- 1. はじめに
- 2. 機能比較
- 3. 管理画面比較
- 3.1. FDMで、FTDを管理時
- 3.2. FMCで、FTDもしくは FirePOWERを管理時
- 3.3. ASDMで、ASAと FirePOWERを管理時
- 4. 参考情報
1. はじめに
本ドキュメントは、Firepower System 6.0と 6.1を用いて、2016年10月現在の情報を元に作成しており、一部内容はアップデートしております。
|
Note (2019年10月追記): ASA5500-Xシリーズの後継製品として、FPR1000/2100/4100/9300シリーズをリリースしており ASA もしくは FTDが動作可能です。FPR1000/2100/4100/9300シリーズは、ASA with FirePOWERはサポートしてません。 FPR1000/2100/4100/9300シリーズは FTDバージョン 6.5以降もサポートしておりますため、最新のFirepower Systemの保護機能を使うためには、当後継製品とFTDのご利用をご検討ください。 |
2. 機能比較
ASA5500-XシリーズのFirepower System バージョン6.1とそれ以降では、以下の何れかのソフトウェア構成を選択可能です。
| ソフトウェア | 説明 |
| Firepower Threat Defense (FTD) Software |
|
| ASA Software and FirePOWER module |
|
管理UIとして 以下3つが利用できます。
| 管理UI | 管理対象 | 説明 |
| Firepower Device Manager (FDM) |
FTD |
|
| Firepower Management Center (FMC) |
FTD and/or FirePOWER |
|
| Adaptive Security Device Manager (ASDM) |
ASA and FirePOWER |
|
構成により利用できる機能が異なります。以下はその一覧の参考情報です。 なお、将来的に、FTDとFDMの提供する機能は増えていく予定です。
| サポート機能 |
FTD 6.1 * |
FTD 6.1
|
ASA with FirePOWER using FMC ** |
ASA with FirePOWER using ASDM |
FTD 6.6 using FDM 2020.Jun Updated |
| アクセス制御 (L3/L4) | ○ | ○ | ○ | ○ | ○ |
| アプリケーション制御 (L7) | ○ | ○ | ○ | ○ | ○ |
| URL Filtering | ○ | ○ | ○ | ○ | ○ |
| 侵入検知/防御 | ○ | ○ | ○ | ○ | ○ |
| Malware & File (AMP) | ○ | ○ | ○ | ○ | ○ |
| NAT | ○ | ○ | ○ | ○ | ○ |
| MPF | - | - | ○ | ○ | △ (flexconfig) |
| Static Routing | ○ | ○ | ○ | ○ | ○ |
| Dynamic Routing (OSPF) | - | ○ | ○ | ○ | ○ |
| Dynamic Routing (BGP) | - | ○ | ○ | ○ | ○ |
| Dynamic Routing (EIGRP) | - | - | ○ | ○ | - |
| Multiple Context | - | - | ○ | ○ | - |
| Site-to-site VPN | - | ○ | ○ | ○ | ○ |
| Remote Access VPN | - | - | ○ | ○ | ○ |
| ASA Failover | - | - | ○ | ○ | |
| ASA+Snort Failover | - | ○ | - | - | ○ |
| DHCP | ○ | ○ | ○ | ○ | ○ |
| PPPoE | - | ○ | ○ | ○ | ○ |
| EtherChannel | - | ○ | ○ | ○ | ○ (FPR系のみ) |
| Redundant Interface | - | ○ | ○ | ○ | - |
| Syslog | ○ | ○ | ○ | ○ | ○ |
| SNMP | - | ○ | ○ | ○ | - |
| NTP | ○ | ○ | ○ | ○ | ○ |
| Transparent Mode | - | ○ | ○ | ○ | - |
| Correlation Policy | - | ○ | ○ | - | - |
| 複数デバイスの一元管理 | - | ○ | ○ | - | - |
* 2019年10月現在、FTD 6.4では、FDMの ASA+Snort Failoverや OSPF、BGP、Remote Access VPN、SNMP Trapもサポートしてます。 FTD 6.5以降で ASA5500-Xの後継製品となるFPR1000/2100/4100/9300を利用時は FDMでも Etherchannelの利用が可能です。 今後サポート機能はさらに増えていく予定です
** ASAソフトウェアは ASDMもしくはCLIで管理、FirePOWERソフトウェアをFMCで管理時
各モデル別の、構成の対応状況は以下となります。(2019年11月更新)
| モデル | FTD managed by FMC |
FTD managed by FDM |
ASA with |
| ASA5505 | × | × | × |
| ASA5510/5520/5540/5550 | × | × | × |
| ASA5512/5515/5525/5545/5555-X with SSD | ○ | ○ | ○ |
| ASA5585-X with FirePOWER module | × | × | ○ |
| ASA5506/5508/5516-X | ○ | ○ | ○ |
| NEW) FPR1000/2100 | ○ | ○ | × |
| NEW) FPR4100/9300 | ○ | ○ *ver6.5以降 |
× |
| NEW) FTDv | ○ | ○ *AWS利用時除く |
× |
3. 管理画面比較
以各構成毎の、管理画面や、アクセスコントロール設定画面のスクリーンショットを紹介します。 各画像の高解像度版は、当ドキュメントの添付ファイルを参照してください。
3.1. FDMで、FTDを管理時
FDMは、設定可能な範囲は狭めですが、シンプルで直観的に操作できる、使いやすいUIです。 FTDデバイス 1台のみ管理できます。
以下はFTDデバイスのデバイスダッシュボードです。
以下はFTDデバイスのアクセスコントロール設定画面です。
3.2. FMCで、FTDもしくは FirePOWERを管理時
FMCで、複数のFTDデバイスや、ASA上のFirePOWERソフトウェアを、統合管理できます。
以下はOverviewのSummary Dashboardです。 FMCが管理する複数デバイスの通信の分析結果を一括確認できます。
以下はFMCに登録したFTDデバイスの管理画面です。
以下はFMCのアクセスコントロール設定画面です。 設定したポリシーは、任意のFTDデバイス and/or FirePOWERソフトウェアに適用可能です。
3.3. ASDMで、ASAと FirePOWERを管理時
ASAソフトウェアと FirePOWERソフトウェアを、同一アプリケーション(ASDM)内で、個別に管理・設定が可能です。
以下はASAソフトウェアのデバイスダッシュボードです。
以下はASAソフトウェアの アクセス制御用の設定画面です。
以下はFirePOWERソフトウェアのデバイスダッシュボードです。
以下はFirePOWERソフトウェアのアクセスコントロール設定画面です。
4. 参考情報
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191
Cisco Firepower NGFW Configuration Guides
http://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
