Radware DefensePro サービス チェーン(ASA 用)クイック スタート ガイド
Table of Contents
Radware DefensePro サービス チェーン(ASA 用)クイック スタート ガイド
1. ASA 用 Radware DefensePro サービス チェーンについて
Radware DefensePro サービス チェーンのライセンス要件
APSolute Vision Manager のバージョン要件
2. サービス チェーンにおける Radware vDP の展開と設定
Radware DefensePro サービス チェーン対応のスタンドアロン ASA の導入
Radware DefensePro サービス チェーン対応の ASA クラスタの導入
1. ASA 用 Radware DefensePro サービス チェーンについて
Cisco FXOS シャーシは、単一ブレードで複数のサービス(ASA ファイアウォール、サードパーティの DDoS アプリケーションなど)をサポートできます。これらのアプリケーションは、リンクされてサービス チェーンを形成します。Firepower 4120、4140、4150、および 9300 のセキュリティ アプライアンスで動作する Firepower eXtensible Operating System(FXOS)1.1.4 以降では、ASA ファイアウォールの手前で実行するサードパーティの Radware DefensePro 仮想プラットフォームをインストールできます。Radware DefensePro は、FXOS シャーシに分散型サービス妨害(DDoS)の検出と緩和機能を提供する KVM ベースの仮想プラットフォームです。FXOS シャーシでサービス チェーンが有効になると、ネットワークからの入力トラフィックは ASA ファイアウォールに到達する前に DefensePro 仮想プラットフォームを通過する必要があります。
次のモードで ASA 対応の Radware DefensePro を導入することができます。
(注
) サービス チェーンは、シャーシ内クラスタまたはアクティブ-アクティブ フェールオーバー コンフィギュレーションではサポートされていません。ただし、Radware DefensePro(vDP)アプリケーションは、シャーシ内クラスタ シナリオのスタンドアロン コンフィギュレーションに導入できます。DefensePro アプリケーションは最大 3 つのセキュリティ モジュールの個別のインスタンスとして動作できます。
- Radware DefensePro 仮想プラットフォームは、Radware vDP(仮想 DefensePro)、またはシンプルに vDP と呼ばれることがあります。
- Radware DefensePro アプリケーションは、ASA ファイアウォールではリンク デコーダと呼ばれることもあります。
Radware DefensePro サービス チェーンのライセンス要件
Firepower 4100 および 9300 シリーズのデバイスで動作する Radware Virtual DefensePro アプリケーションのライセンスは、Radware APSolute Vision Manager を通じて処理されます。デバイスのスループット ライセンスを注文する Cisco Commerce Workspace(CCW)に移動します。このリクエストを送信すると、Radware ポータルへのログイン情報とリンクが返信され、ライセンス要求が可能になります。
Radware の APSolute Vision Manager および スループット ライセンス要件の詳細については、Radware の Web サイト( https://portals.radware.com/Customer/Home/Downloads/Management-Monitoring/?Product=APSolute-Vision )を参照してください。このポータルにアクセスするには、Radware に登録することが必要です。
タイムゾーン同期の要件
Firepower セキュリティ アプライアンスに Radware vDP を展開する前に、シャーシ マネージャが NTP サーバを使用するように Etc/UTC タイム ゾーンで設定されていることを確認する必要があります。
1. Firepower Chassis Manager で [プラットフォームの設定(Platform Settings)] を選択し、[プラットフォームの設定(Platform Settings)] ページで [NTP] 領域を開きます。
2. [タイム ゾーン(Time Zone)] ドロップダウン リストで [etc/UTC] を選択します。
3. [時刻源の設定(Set Time Source)] で、[NTPサーバの使用(Use NTP Server)] を選択します。
4. [NTP サーバNTP Server)] フィールドに、使用する NTP サーバの IP アドレスまたはホスト名を入力します。
Firepower シャーシでの日付と時刻の設定についての詳細は、『Cisco FXOS CLI コンフィギュレーション ガイド』[英語] または『Cisco FXOS Firepower Chassis Manager コンフィギュレーション ガイド』[英語]で、「日付と時刻の設定」のトピックを参照してください( http://www.cisco.com/go/firepower9300-config)。
APSolute Vision Manager のバージョン要件
Radware APSolute Vision は、vDP の主要な管理インターフェイスです。サービス チェーンの統合によって提供されるすべての機能を APSolute Vision Manager でサポートするには、APSolute Vision のバージョン R3.40 以上が必要です。
(注) Radware DefensePro の HTTPS 管理には、APSolute Vision Manager が必要です。APSolute Vision Manager なしで Radware DefensePro をローカルに管理するには、FXOS CLI を使用する必要があります。
2. サービス チェーンにおける Radware vDP の展開と設定
Firepower Chassis Manager を使用して、スタンドアロン ASA または ASA のクラスタで Radware DefensePro サービス チェーンを展開できます。CLI の完全な手順については、FXOS CLI のコンフィギュレーション ガイドを参照してください。
管理インターフェイスおよびデータ インターフェイスの設定
ASA および vDP デコレータの導入コンフィギュレーションに含めることができる、スーパーバイザ上の管理タイプのインターフェイスを設定します。
ASA および vDP デコレータ用です。また、少なくとも 1 つのデータ タイプのインターフェイスを設定する必要があります。
1. Firepower Chassis Manager で、[Interfaces] を選択してインターフェイス ページを開きます。
2. EtherChannel を追加するには、次の手順を実行します。
a. [Add Port Channel] をクリックします。
b. [Port Channel ID] に、1 ~ 47 の値を入力します。
d. [Type] で、[Management] または [Data] を選択します。各論理デバイスには、管理インターフェイスを 1 つだけ含めることができます。[Cluster] は選択しないでください。
e. 必要に応じて、メンバー インターフェイスを追加します。
a. インターフェイス行で [Edit] アイコンをクリックして、[Edit Interface] ダイアログボックスを開きます。
c. [Type] で、[Management] または [Data] をクリックします。各論理デバイスには、管理インターフェイスを 1 つだけ含めることができます。
Radware DefensePro サービス チェーン対応のスタンドアロン ASA の導入
1. [Logical Devices] を選択して [Logical Devices] ページを開きます。
2. [Add Device] をクリックして [Add Device] ダイアログボックスを開きます。
3. [Device Name] には、論理デバイスの名前を指定します。
4. [Template] では、[asa] を選択します。
5. [Image Version] では、ASA ソフトウェア バージョンを選択します。
6. [Device Mode] では、[Standalone] オプション ボタンをクリックします。
7. [OK] をクリックします。[Provisioning - device name ] ウィンドウが表示されます。
8. [データポート(Data Ports)] 領域を展開し、ASA に割り当てるインターフェイスをそれぞれクリックします。
9. 画面中央のデバイス アイコンをクリックします。[ASA Configuration] ダイアログボックスが表示されます。
11. [OK] をクリックして、[ASA Configuration] ダイアログボックスを閉じます。
12. [デコレータ(Decorators)] 領域で、[vDP] を選択します。[Radware: Virtual DefensePro - Configuration] ダイアログボックスが表示されます。[一般情報(General Information)] タブで、次のフィールドを設定します。
13. FXOS シャーシに複数の vDP バージョンをアップロードしている場合は、[バージョン(Version)] ドロップダウンから使用するバージョンを選択します。
14. リソース構成可能な Radware DefensePro アプリケーションがある場合は、[Resource Profile] ドロップダウンの下に、サポートされているリソース プロファイルのリストが表示されます。デバイスに割り当てるリソース プロファイルを選択してください。リソース プロファイルを選択しない場合、デフォルトの設定が使用されます。
15. [管理インターフェイス(Management Interface)] ドロップダウンで、この手順の初めに作成した管理インターフェイスを選択します。
16. 使用する [アドレスタイプ(Address Type)] を選択します(IPv4 のみ)。
17. 前の手順で選択した [アドレスタイプ(Address Type)] に基づいて次のフィールドを設定します。
a. [管理IP( Management IP)] フィールドで、ローカル IP アドレスを設定します。
b. [ネットワークマスク(Network Mask)] を入力します。
c. [ネットワークゲートウェイアドレス(Network Gateway Address)] を入力します。
18. vDP デコレータに割り当てる各データ ポートの横にあるチェック ボックスをクリックします。選択した各データ ポートでは、すべての入力トラフィックは ASA に到達する前に vDP デコレータを最初に通過します。すべての出力トラフィックは、最初に ASA を介して送信され、その後 vDP に送信されます。
FXOS シャーシは、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスおよび vDP デコレータを導入します。
21. DefensePro アプリケーションのパスワードを設定します。パスワードを設定するまでは、アプリケーションはオンラインにならないことに注意してください。詳細については、cisco.com に用意されている『Radware DefensePro DDoS Mitigation User Guide』を参照してください。
Radware DefensePro サービス チェーン対応の ASA クラスタの導入
(注) Firepower 9300 にクラスタを導入すると、安全なモジュール間通信のため、システムは自動的にポートチャネル 48 を作成します。ASA クラスタをクラスタ制御リンクとして導入するには、メンバ インターフェイスなしでクラスタをデフォルト(ポートチャネル 48)に設定する必要があります。
(注) サービス チェーンは、シャーシ内クラスタまたはアクティブ-アクティブ フェールオーバー コンフィギュレーションではサポートされていません。ただし、Radware DefensePro(vDP)アプリケーションは、シャーシ内クラスタ シナリオのスタンドアロン コンフィギュレーションに導入できます。
1. [Logical Devices] を選択して [Logical Devices] ページを開きます。
2. [Add Device] をクリックして [Add Device] ダイアログボックスを開きます。
3. [Device Name] には、論理デバイスの名前を指定します。
4. [Template] では、[asa] を選択します。
5. [Image Version] では、ASA ソフトウェア バージョンを選択します。
6. [Device Mode] では、[Cluster] オプション ボタンをクリックします。
7. [Create New Cluster] ラジオ ボタンをクリックします。
8. [OK] をクリックします。[Provisioning - device name ] ウィンドウが表示されます。
9. [データ ポート(Data Ports)] 領域を展開し、ASA に割り当てるインターフェイスをそれぞれクリックします。
10. 画面中央のデバイス アイコンをクリックします。[ASA Configuration] ダイアログボックスが表示されます。
12. [OK] をクリックして、[ASA Configuration] ダイアログボックスを閉じます。
注:[管理IPプール(Management IP Pool)] フィールドに、開始アドレスと終了アドレスをハイフンで区切って入力し、ローカル IP アドレスのプールを設定します。このうちの 1 つがインターフェイス用に各クラスタ ユニットに割り当てられます。最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。クラスタを拡張する予定の場合は、アドレスを増やします。現在の標準出荷単位に属する仮想 IP アドレス(メイン クラスタ IP アドレスと呼ばれる)は、このプールの一部ではありません。必ず、同じネットワークの IP アドレスの 1 つを仮想 IP アドレス用に確保してください。
13. [デコレータ(Decorators)] 領域で、[vDP] を選択します。[Radware: Virtual DefensePro - Configuration] ダイアログボックスが表示されます。[General Information] タブで、次のフィールドを設定します。
14. FXOS シャーシに複数の vDP バージョンをアップロードしている場合は、[バージョン(Version)] ドロップダウンから使用するバージョンを選択します。
15. リソース構成可能な Radware DefensePro アプリケーションがある場合は、[Resource Profile] ドロップダウンの下に、サポートされているリソース プロファイルのリストが表示されます。デバイスに割り当てるリソース プロファイルを選択してください。リソース プロファイルを選択しない場合、デフォルトの設定が使用されます。
16. [Management Interface] ドロップダウンで管理インターフェイスを選択します。
17. vDP デコレータに割り当てる各データ ポートの横にあるチェック ボックスをクリックします。選択した各データ ポートでは、すべての入力トラフィックは ASA に到達する前に vDP デコレータを最初に通過します。すべての出力トラフィックは、最初に ASA を介して送信され、その後 vDP に送信されます。
18. [Interface Information] タブをクリックします。
19. 使用する [アドレス タイプ(Address Type)] を選択します(IPv4 のみ)。
20. 各セキュリティ モジュールで、次のフィールドを設定します。表示されるフィールドは、前の手順で選択した [アドレスタイプ(Address Type)] により異なります。
a. [管理 IP( Management IP)] フィールドで、ローカル IP アドレスを設定します。
b. [ネットワーク マスク(Network Mask)] を入力します。
FXOS シャーシは、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスおよび vDP デコレータを導入します。
23. DefensePro アプリケーションのパスワードを設定します。パスワードを設定するまでは、アプリケーションはオンラインにならないことに注意してください。詳細については、cisco.com に用意されている『Radware DefensePro DDoS Mitigation User Guide』を参照してください。
クラスタ内で DefensePro インスタンスの設定を確認
vDP アプリケーション インスタンスを ASA クラスタにインストールした後に、クラスタ内で DefensePro インスタンスが設定されているかどうかを確認する必要があります。
1. [Logical Devices] を選択して [Logical Devices] ページを開きます。
2. 設定された論理デバイスのリストをスクロールして vDP のエントリを表示します。[Management IP] 列に示されている属性を確認します。
–[CLUSTER-ROLE] 要素の DefensePro インスタンスが [Unknown] と表示される場合は、vDP クラスタの作成を完了するために、DefensePro アプリケーションを入力してマスター IP アドレスを設定する必要があります。これを行うには、下記の「vDP アプリケーション インスタンスのクラスタ化」で説明されている手順に従ってください。
–[CLUSTER-ROLE] 要素の DefensePro インスタンスが「primary」または「secondary」と表示される場合は、アプリケーションはオンラインで、クラスタ化されています。
vDP アプリケーション インスタンスのクラスタ化
ASA クラスタに vDP インスタンスをインストールした後、vDP CLI を入力して vDP インスタンスをクラスタ化する必要があります。スタンドアロン設定で vDP サービス チェーンが設定されている場合は、次の手順を実行する必要はありません。
2. vDP のアプリケーション インスタンスに接続します。
3. DefensePro アプリケーション インスタンスにログインするには、特定のユーザ名とパスワード(radware/radware)を使用します。
4. FXOS プラットフォームによって vDP インスタンスに割り当てられたクラスタ IP を表示します。
5. この割り当てられた IP にマスター IP を設定します。
7. vDP アプリケーションを終了して FXOS CLI に戻ります。
8. 次の vDP アプリケーション インスタンスに接続します。
9. この手順の 4 および 5 で見つけて割り当てたクラスタ IP にマスター IP を設定します。
11. vDP アプリケーションを終了して FXOS CLI に戻ります。
12. (必要に応じて)3 番目の vDP アプリケーション インスタンスで手順 8 ~ 11 を繰り返します。3 つすべての vDP インスタンスにマスター IP を設定すると、最初のインスタンスにはプライマリが割り当てられ、残りの 2 つにはクラスタ内のセカンダリ クラスタロールが割り当てられます。
3. vDP Web サービスの有効化
APSolute Vision で FXOS シャーシ内に配置される Virtual DefensePro アプリケーションを管理するために、vDP Web インターフェイスを有効にする必要があります。
1. FXOS CLI から、vDP のアプリケーション インスタンスに接続します。
2. DefensePro アプリケーション インスタンスにログインするには、特定のユーザ名とパスワード(radware/radware)を使用します。
4. UDP/TCP ポートのオープン
Radware APSolute Vision Manager インターフェイスは、さまざまな UDP/TCP ポートを使用して Radware vDP のアプリケーションと通信します。vDP のアプリケーション が APSolute Vision Manager と通信するために、これらのポートがアクセス可能でありファイアウォールによってブロックされないことを確認します。オープンする特定のポートの詳細については、『 APSolute Vision ユーザ ガイド 』の次の表を参照してください。
5. 次の作業
- すべての FXOS、Firepower 4100、および Firepower 9300 のマニュアルのリンクについては、 Cisco FXOS マニュアルのナビゲーション を参照してください。
- ASA/ASDM のすべてのドキュメントのリンクについては、 Navigating the Cisco ASA Series Documentation を参照してください。
- 『Radware DefensePro DDoS 緩和ユーザ ガイド』は、 http://www.cisco.com/c/en/us/support/security/firepower-9000-series/products-installation-and-configuration-guides-list.html からダウンロードできます。
- 『Radware DefensePro DDoS 緩和リリース ノート』は、 http://www.cisco.com/c/en/us/support/security/firepower-9000-series/products-installation-and-configuration-guides-list.html からダウンロードできます。
- Radware の APSolute Vision Manager の詳細については、Radware の Web サイトでマニュアルのポータル( https://portals.radware.com/Customer/Home/Downloads/Management-Monitoring/?Product=APSolute-Vision )を参照してください。このポータルにアクセスするには、Radware に登録することが必要です。
フィードバック