Cisco Firepower 7000 および 8000 シリーズ アプライアンスは、Firepower システム用に作られた物理デバイスです。7000 および 8000 シリーズ デバイスのスループットはさまざまですが、多数の同じ機能を共有します。一般に、8000 シリーズ デバイスは 7000 シリーズ よりも高性能で、8000 シリーズ 高速パス ルール、リンク集約、およびスタックなどの追加機能もサポートします。

NGIPSv（ESXi ホストとしての 64 ビット仮想デバイス）は、VMware vSphere Hypervisor または VMware vCloud Director 環境を使用して展開できます。サポート対象のすべての ESXi バージョンで VMware ツールを有効化できます。

既定では、NGIPSv は e1000（1 ギガビット/秒）インターフェイスを使用します。また、VMware vSphere クライアントを使用して、既定のセンシングおよび管理インターフェイスを、vmxnet3（10 ギガビット/秒）インターフェイスで置き換えることもできます。

ライセンスに関係なく、NGIPSv では、システムのハードウェアベースの機能（冗長性、リソース共有、スイッチング、ルーティングなど）のいずれもサポートされません。

Cisco ASA with FirePOWER Services（または ASA FirePOWER モジュール）には、NGIPSv に類似した機能.があります。ASA FirePOWER 展開においては、ASA デバイスにより第 1 回線システム ポリシーが提供され、トラフィックが Firepower システムに渡されて、検出とアクセス制御が実行されます。

インストールされ適用されているライセンスに関係なく、ASA FirePOWER は次の Firepower システム機能をサポートしません。

• ASA FirePOWER は、Firepower システムの 7000 および 8000 シリーズ ハードウェアベースの機能（デバイス高可用性、スタッキング、スイッチング、ルーティング、VPN、NAT など）をサポートしません。ただし、これらの機能は ASA プラットフォームによって提供され、ASA CLI および ASDM を使用して設定できます。詳細については、ASA のマニュアルを参照してください。

• Firepower Management Center の Web インターフェイスを使用して ASA FirePOWER のインターフェイスを設定することはできません。Firepower Management Center では、ASA FirePOWER が SPAN ポート モードで展開されている場合、ASA インターフェイスを表示しません。

• Firepower Management Center を使用して ASA FirePOWER のシャットダウン、再起動、その他の管理を行うことはできません。

ASA FirePOWER には ASA プラットフォームに固有のソフトウェアとコマンド ライン インターフェイス（CLI）があります。ASA 専用のこれらのツールを使用して、システムのインストールおよびプラットフォーム固有のその他の管理タスクを実行します。

（注）	ASA FirePOWER を編集して、マルチ コンテキスト モードからシングル コンテキスト モード（またはその逆）に切り替えると、デバイスはそのインターフェイスの名前をすべて変更します。ASA FirePOWER の更新されたインターフェイス名を使用するように、すべての Firepower System セキュリティ ゾーン、相関ルール、関連する設定を再設定する必要があります。

Firepower Threat Defense アプライアンスは、統合された次世代ファイアウォールと次世代の IPS デバイスを提供します。Firepower ソフトウェアのモデルで使用可能な IPS 機能に加えて、ファイアウォールおよびプラットフォーム機能には、サイト間 VPN、堅牢なルーティング、NAT、クラスタリング（Firepower 9300 の場合）、およびアプリケーション インスペクションとアクセス制御におけるその他の最適化が含まれています。

Firepower Threat Defense ソフトウェアは、次のプラットフォームでサポートされます。

• Firepower 9300

• Firepower 4100 シリーズ

• ASA 5512-X から 5555-X まで

• ASA 5508-X および 5516-X

• ASA 5506-X シリーズ

Firepower Threat Defense Virtual（64 ビット仮想アプライアンス）は、仮想化環境に対して、統一された次世代ファイアウォールおよび次世代 IPS 機能を提供します。Firepower Threat Defense Virtual は、複数のハイパーバイザー環境で動作するように設計されており、管理作業のオーバーヘッドを削減し、操作効率を向上させます。

Firepower Threat Defense Virtual は、VMware vSphere ハイパーバイザーや KVM（カーネル ベースの仮想マシン）ハイパーバイザー環境を使用して展開できます。また Firepower Threat Defense Virtual は、Amazon Web Services（AWS）クラウド プラットフォームによって展開することもできます。

仮想アプライアンスと物理 Firepower Threat Defense アプライアンスについての、包括的なマルチ デバイスの展開と管理のため、Firepower Management Center を使用することができます。

Firepower システムの冗長性とリソース共有機能を使用すれば、運用継続性を保証し、複数の 7000 および 8000 シリーズ デバイスの処理リソースを統合することができます。

Firepower システムのネットワーク トラフィック管理機能を使用すれば、7000 および 8000 シリーズ デバイスを組織のネットワーク インフラストラクチャの一部として機能させることができます。ユーザは、スイッチド、ルーテッド、または（この両者を組み合わせた）ハイブリッドの環境内で機能するよう 7000 および 8000 シリーズ のデバイスを設定し、ネットワーク アドレス変換（NAT）を実行することができます。また、安全な仮想プライベート ネットワーク（VPN）トンネルを構築することができます。

ドメイン機能では、管理対象デバイス、設定、イベントへのユーザ アクセスをセグメント化することによって、Firepower システム展開内にマルチテナンシーを実装できます。

ユーザ ロールによる制限に加えて、現在のドメイン レベルによって設定の変更が制限される場合もあります。システム ソフトウェア アップデートなどのほとんどの管理タスクは、グローバル ドメインに制限されます。

Cisco の検出およびアイデンティティ テクノロジーは、ネットワークの全体像を提供するためにホスト、オペレーティング システム、アプリケーション、ユーザ、ファイル、ネットワーク、位置情報、および脆弱性に関する情報を収集します。

• ネットワーク検出ポリシーは、ネットワーク上のトラフィックを監視し、ホスト、アプリケーション、および権限のないユーザのデータを収集します。

• アイデンティティ ポリシーは、権限のあるユーザのデータを収集するため、ネットワーク上のユーザを、レルムおよび認証方式と関連付けます。

LDAP または AD サーバへの接続を確立し、ユーザ データのダウンロードを実行するため、アイデンティティ ポリシーと共にレルムを構成します。

特定のタイプの検出およびアイデンティティ データを使用すると、ネットワーク アセットの包括的なマップを作成し、フォレンジック分析、動作プロファイリング、アクセス制御を行い、組織が影響を受ける脆弱性およびエクスプロイトに対応して軽減することができます。

また、Firepower Management Center の Web インターフェイスを使用して、収集されたデータを表示および分析することもできます。

アクセス コントロールはポリシーベースの機能で、ユーザはこれを使用してネットワークを横断できるトラフィックを指定、検査、および記録できます。アクセス コントロール ポリシーは、システムがネットワーク上のトラフィックを処理する方法を決定します。

最も単純なアクセス コントロール ポリシーでは、デフォルト アクションを使用してすべてのトラフィックを処理するターゲット デバイスを指定します。追加のインスペクションなしですべてのトラフィックをブロックまたは信頼するか、または侵入および検出データがないかトラフィックを検査するようにこのデフォルト アクションを設定できます。

より複雑なアクセス コントロール ポリシーは、IP、URL、および DNS のセキュリティ インテリジェンス データに基づいてトラフィックをブラックリスト登録することができます。さらに、アクセス コントロール ルールを使用して、ネットワーク トラフィックのロギングおよび処理を細かく制御することができます。これらのルールは単純にすることも複雑にすることもでき、複数の基準を使用してトラフィックを照合および検査します。セキュリティ ゾーン、ネットワークまたは地理的位置、VLAN、ポート、アプリケーション、要求された URL、およびユーザ別にトラフィックを制御できます。アクセス コントロールの詳細オプションには、復号化、前処理、およびパフォーマンスが含まれます。

各アクセス コントロール ルールにはアクションも含まれており、一致するトラフィックをモニタ、信頼、ブロック、または許可するかどうかを決定します。トラフィックを許可するときは、システムが侵入ポリシーまたはファイル ポリシーを使用してトラフィックを最初に検査し、アセットに到達したりネットワークを出る前に、エクスプロイト、マルウェア、または禁止されたファイルをブロックするように指定できます。

SSL インスペクション（検査）はポリシーベースの機能です。暗号化されたトラフィックを復号化せずに処理したり、暗号化されたトラフィックを復号化して詳細なアクセス制御検査を行ったりすることができます。トラフィックの復号化や詳細な分析を行わずに信頼できない暗号化トラフィックの送信元をブロックすることも、暗号化されたトラフィックを復号化する代わりにアクセス制御を使用して検査することもできます。

暗号化トラフィックをさらに調査するために、システムにアップロードされた公開キー証明書とペア化された秘密キーを使用して、ネットワークを通過する暗号化トラフィックを復号化し、非暗号化の場合と同じ方法で復号化トラフィックをアクセス制御によって検査できます。システムで、復号されたトラフィックのポスト分析をブロックしない場合、トラフィックを再暗号化してから宛先ホストに渡します。システムは、暗号化された接続を処理する際にその詳細をログに記録できます。

侵入検知および侵入防御は、トラフィックが宛先に許可される前のシステムの最後の防御ラインです。侵入ポリシーは、アクセス コントロール ポリシーによって呼び出される侵入検知および侵入防御の設定の定義済みセットです。侵入ルールおよびその他の設定を使用して、これらのポリシーはセキュリティ違反がないかトラフィックを検査し、インライン展開では、悪意のあるトラフィックをブロックまたは変更できます。

Firepower システムには複数の侵入ポリシーが付属しています。システム付属のポリシーを使用することで、Cisco Talos Security Intelligence and Research Group（Talos）の経験を活用できます。これらのポリシーに対して、Talos は侵入およびプリプロセッサ ルールの状態（有効または無効）を設定し、他の詳細設定の初期設定も行います。ルールを有効にすると、ルールに一致するトラフィックに対して侵入イベントが生成されます（さらに、必要に応じてトラフィックがブロックされます）。

システムが提供するポリシーが組織のセキュリティのニーズに十分に対応していない場合は、カスタム ポリシーを作成することで、環境内のシステムのパフォーマンスを向上させ、ネットワーク上で発生する悪意のあるトラフィックやポリシー違反に焦点を当てたビューを提供できます。設定できるカスタム ポリシーを作成および調整することにより、システムがネットワーク上のトラフィックを処理して侵入の有無について検査する方法を非常にきめ細かく設定できます。

マルウェアの影響を特定して軽減しやすくするため、Firepower システムのファイル制御、ネットワーク ファイル トラジェクトリ、および Advanced Malware Protection（AMP）の各コンポーネントによって、ネットワーク トラフィック内のファイル（マルウェア ファイルとアーカイブ ファイル内にネストされたファイルを含む）の伝送を検出、追跡、キャプチャ、分析、および必要に応じてブロックできます。

アプリケーション プログラミング インターフェイス（API）を使用してシステムと対話する方法がいくつか用意されています。