Firepower セキュリティ アプライアンスについて
Cisco Firepower 4100/9300 シャーシ は、ネットワークおよびコンテンツ セキュリティ ソリューションの次世代プラットフォームです。Firepower 4100/9300 シャーシ はシスコ アプリケーション セントリック インフラストラクチャ(ACI)セキュリティ ソリューションの一部であり、拡張性、一貫性のある制御、シンプルな管理を実現するために構築された、俊敏でオープン、かつセキュアなプラットフォームを提供します。
Firepower 4100/9300 シャーシ は次の機能を提供します。
-
モジュラ シャーシベースのセキュリティ システム:高いパフォーマンス、柔軟な入出力設定、および拡張性を提供します。
-
Firepower Chassis Manager:グラフィカル ユーザ インターフェイスによって、現在のシャーシ ステータスが効率良く視覚的に表示され、シャーシの機能は簡単に設定できます。
-
Firepower eXtensible オペレーティングシステム(FXOS)CLI:機能の設定、シャーシステータスのモニタリング、および高度なトラブルシューティング機能へのアクセスを行うコマンドベースのインターフェイスを提供します。
-
FXOS REST API:ユーザがシャーシをプログラムを使用して設定し、管理できます。
論理デバイスの動作方法:Firepower 4100/9300
Firepower 4100/9300 は、Firepower eXtensible Operating System(FXOS)という独自のオペレーティング システムをスーパバイザ上で実行します。オンボックスの Firepower Chassis Manager では、シンプルな GUI ベースの管理機能を利用できます。Firepower Chassis Manager を使用して、ハードウェア インターフェイスの設定、スマートライセンシング(ASA 用)、およびその他の基本的な操作パラメータをスーパバイザ上で設定します。
論理デバイスでは、1 つのアプリケーション インスタンスおよび 1 つのオプション デコレータ アプリケーションを実行し、サービス チェーンを形成できます。論理デバイスを導入すると、スーパバイザは選択されたアプリケーション イメージをダウンロードし、デフォルト設定を確立します。その後、アプリケーションのオペレーティング システム内でセキュリティ ポリシーを設定できます。
論理デバイスは互いにサービスチェーンを形成できず、バックプレーンを介して相互に通信することはできません。別の論理デバイスに到達するために、すべてのトラフィックが 1 つのインターフェイス上のシャーシから出て、別のインターフェイスに戻る必要があります。コンテナインスタンスの場合、データインターフェイスを共有できます。この場合にのみ、複数の論理デバイスがバックプレーンを介して通信できます。
サポートされるアプリケーション
次のアプリケーション タイプを使用して、シャーシに論理デバイスを展開できます。
FTD
FTD は、ステートフル ファイアウォール、ルーティング、VPN、Next-Generation Intrusion Prevention System(NGIPS)、Application Visibility and Control(AVC)、URL フィルタリング、マルウェア防御などの次世代ファイアウォールサービスを提供します。
FTDは、次のいずれかのマネージャを使用して管理できます。
-
FMC:別のサーバ上で実行されるフル機能のマルチデバイス マネージャ。
-
FDM:デバイスに含まれるシンプルな単独のデバイスマネージャ。
-
CDO:クラウドベースのマルチデバイスマネージャ。
ASA
ASA は、高度なステートフル ファイアウォールと VPN コンセントレータの機能を 1 つの装置に組み合わせたものです。次のいずれかのマネージャを使用して ASA を管理できます。
-
ASDM:デバイスに含まれるシンプルな単独のデバイス マネージャ。
-
CLI
-
CDO:クラウドベースのマルチデバイスマネージャ。
-
CSM:別のサーバー上のマルチデバイスマネージャ。
Radware DefensePro (デコレータ)
Radware DefensePro(vDP)をインストールし、デコレータアプリケーションとして ASA または FTD の目の前で実行することができます。vDP は、Firepower 4100/9300 に分散型サービス妨害(DDoS)の検出と緩和機能を提供する KVM ベースの仮想プラットフォームです。ネットワークからのトラフィックは、ASA または FTD に到達する前に、まず vDP を通過する必要があります。