Firepower Threat Defense インターフェイスについて
Firepower Threat Defense デバイスには、種々のモードで設定できるデータ インターフェイス、および管理/診断インターフェイスが組み込まれています。
管理/診断インターフェイスとネットワーク配置
物理的な管理インターフェイスは、診断論理インターフェイスと管理論理インターフェイスの間で共有できます。
管理インターフェイス
管理論理インターフェイスはデバイスの他のインターフェイスから切り離されています。これは、Firepower Management Center にデバイスを設定し、登録するために使用されます。また、固有の IP アドレスとスタティック ルーティングを使用します。管理インターフェイスの設定を構成するには、CLI で configure network コマンドを使用します。管理インターフェイスを Firepower Management Center に追加した後にその IP アドレスを CLI で変更した場合、Firepower Management Center での IP アドレスを 領域で一致させることができます。
診断インターフェイス
診断論理インターフェイスは残りのデータ インターフェイスとともに、これは SSH をサポートしません。データ インターフェイスまたは管理インターフェイスのみに SSH を使用できます。診断インターフェイスは、SNMP や syslog のモニタリングに役立ちます。
画面で設定できます。診断インターフェイスの使用はオプションです(シナリオについては、ルーテッド モードおよびトランスペアレント モードの展開を参照)。診断インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。ルーテッド モードの導入
内部ルータがない場合は診断インターフェイスの IP アドレスを設定しないことをお勧めします。診断インターフェイスの IP アドレスを設定しなければ、他のデータ インターフェイスと同じネットワーク上に管理インターフェイスを配置できます。診断インターフェイスを設定すると、一般的にその IP アドレスは管理 IP アドレスと同じネットワークになり、他のデータ インターフェイスと同じネットワーク上に存在できない標準インターフェイスと見なされます。管理インターフェイスは更新のためにインターネットにアクセスする必要があるため、管理インターフェイスを内部インターフェイスと同じネットワーク上に置くと、内部にスイッチのみを持つ Firepower Threat Defense デバイスを導入して、そのゲートウェイとして内部インターフェイスを指定できます。内部スイッチを使用する次の導入を参照してください。
ASA 5506-X、ASA 5508-X、または ASA 5516-X で上記のシナリオをケーブル接続するには、次を参照してください。
診断 IP アドレスを設定する場合は、内部ルータが必要です。
トランスペアレント モードの展開
ルーテッド モードの展開と同様、内部スイッチを使用したデバイスの展開を選択できます。この場合、診断インターフェイスを IP アドレスなしで維持する必要があります。
また、内部ルータを使用して展開することもできます。この場合、追加の管理アクセスのために、IP アドレスを持つ診断インターフェイスを使用できます。
インターフェイス モードとタイプ
通常のファイアウォール モードと IPS 専用モードの 2 つのモードで Firepower Threat Defense インターフェイスを展開できます。同じデバイスにファイアウォール インターフェイスと IPS 専用インターフェイスの両方を含めることができます。
通常のファイアウォール モード
ファイアウォール モードのインターフェイスでは、トラフィックが、フローの維持、IP レイヤおよび TCP レイヤの両方でのフロー状態の追跡、IP 最適化、TCP の正規化などのファイアウォール機能の対象となります。オプションで、セキュリティ ポリシーに従ってこのトラフィックに IPS 機能を設定することもできます。
設定できるファイアウォール インターフェイスのタイプは、ルーテッド モードとトランスペアレント モードのどちらのファイアウォール モードがそのデバイスに設定されているかによって異なります。詳細については、Firepower Threat Defense 用のトランスペアレントまたはルーテッド ファイアウォール モードを参照してください。
-
ルーテッド モード インターフェイス(ルーテッド ファイアウォール モードのみ):ルーティングを行う各インターフェイスは異なるサブネット上にあります。
-
ブリッジグループ インターフェイス(ルーテッドおよびトランスペアレント ファイアウォール モード):複数のインターフェイスをネットワーク上でグループ化することができ、Firepower Threat Defense デバイスはブリッジング技術を使用してインターフェイス間のトラフィックを通過させることができます。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。ルーテッド モードでは、Firepower Threat Defense デバイスは BVI と通常のルーテッド インターフェイス間をルーティングします。トランスペアレント モードでは、各ブリッジグループは分離されていて、相互通信できません。
IPS 専用モード
IPS 専用モードのインターフェイスは、多数のファイアウォールのチェックをバイパスし、IPS セキュリティ ポリシーのみをサポートします。別のファイアウォールがこれらのインターフェイスを保護していて、ファイアウォール機能のオーバーヘッドを避けたい場合、IPS 専用のインターフェイスを実装することがあります。
(注) |
ファイアウォール モードは通常のファイアウォール インターフェイスのみに影響し、インライン セットやパッシブ インターフェイスなどの IPS 専用インターフェイスには影響しません。IPS 専用インターフェイスはどちらのファイアウォール モードでも使用できます。 |
IPS 専用インターフェイスは以下のタイプとして展開できます。
-
インライン セット、タップ モードのオプションあり:インライン セットは「Bump In The Wire」のように動作し、2 つのインターフェイスを一緒にバインドし、既存のネットワークに組み込みます。この機能によって、隣接するネットワーク デバイスの設定がなくても、任意のネットワーク環境にシステムをインストールすることができます。インライン インターフェイスはすべてのトラフィックを無条件に受信しますが、これらのインターフェイスで受信されたすべてのトラフィックは、明示的にドロップされない限り、インライン セットの外部に再送信されます。
タップ モードの場合、デバイスはインラインで展開されますが、パケットがデバイスを通過する代わりに各パケットのコピーがデバイスに送信され、ネットワーク トラフィック フローは影響を受けません。ただし、これらのタイプのルールでは、トリガーされた侵入イベントが生成され、侵入イベントのテーブル ビューには、トリガーの原因となったパケットがインライン展開でドロップされたことが示されます。インライン展開されたデバイスでタップ モードを使用することには、利点があります。たとえば、デバイスがインラインであるかのようにデバイスとネットワーク間の配線をセットアップし、デバイスで生成される侵入イベントのタイプを分析することができます。その結果に基づいて、効率性に影響を与えることなく最適なネットワーク保護を提供するように、侵入ポリシーを変更してドロップ ルールを追加できます。デバイスをインラインで展開する準備ができたら、タップ モードを無効にして、デバイスとネットワークの間の配線を再びセットアップすることなく、不審なトラフィックをドロップし始めることができます。
(注)
「透過インライン セット」としてインライン セットに馴染みがある人もいますが、インライン インターフェイスのタイプはトランスペアレント ファイアウォール モードやファイアウォール タイプのインターフェイスとは無関係です。
-
パッシブまたは ERSPAN パッシブ:パッシブ インターフェイスは、スイッチ SPAN またはミラー ポートを使用してネットワークを流れるトラフィックをモニタします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で構成されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。Encapsulated Remote Switched Port Analyzer(ERSPAN)インターフェイスは、複数のスイッチに分散された送信元ポートからのトラフィックをモニタし、GRE を使用してトラフィックをカプセル化します。ERSPAN インターフェイスは、デバイスがルーテッド ファイアウォール モードになっている場合にのみ許可されます。
セキュリティ ゾーンとインターフェイス グループ
各インターフェイスは、セキュリティ ゾーンおよびインターフェイス グループに割り当てる必要があります。その上で、ゾーンまたはグループに基づいてセキュリティ ポリシーを適用します。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。また、たとえば、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。ポリシーによっては、セキュリティ ゾーンだけをサポートする場合も、ゾーンとグループの両方をサポートする場合もあります。詳細については、インターフェイス オブジェクト:インターフェイスグループとセキュリティ ゾーン を参照してください。セキュリティ ゾーンおよびインターフェイス グループは、[オブジェクト(Objects)] ページで作成できます。また、インターフェイスを設定する際にゾーンを追加することもできます。インターフェイスは、そのインターフェイスに適切なタイプのゾーン(パッシブ、インライン、ルーテッド、スイッチド ゾーン タイプ)にのみ追加できます。
診断/管理インターフェイスは、ゾーンまたはインターフェイス グループには属しません。
(注) |
インライン セットのインターフェイスのセキュリティ ゾーンを追加する前に、インライン セットを作成します。作成していない場合、セキュリティ ゾーンは削除され、再度追加する必要があります。 |
Auto-MDI/MDIX 機能
RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。