- はじめに
- FMC/CDOと FDM 管理の違い
- サポート機能 比較
- 管理画面比較
- 1. FDMで、FTDを管理時
- 2. FMCで、FTDを管理時
- 3. CDOで、FTDや ASAを管理時
- よくある質問
- FMCやCDO管理時の追加コストを教えてください
- FMC管理のデモ・検証方法を教えてください
- CDO管理のデモ・検証方法を教えてください
- FMC 仮想版から FMC アプライアンス版へのマイグレーション方法を教えてください
- 参考情報
はじめに
Cisco Secure Firewall の Firewall Threat Defense (FTD) は、管理方式により用途や利用できる機能、GUIが異なります。本ドキュメントでは、用途や機能差についてご紹介します。
なお、最新のバージョンの機能差は、各管理方式の最新の設定ガイドやリリースノートを確認してください。例えば、以下は Firewall Management Center (FMC)と、Firewall Device Management (FDM) 利用時の各設定ガイドで、設定可能なパラメータに大きな違いがあることがわかります。Cisco Defense Orchestrator (CDO) の設定画面は、ログ関係を除き、FMCと大きく変わりません。
[統合管理] Cisco Secure Firewall Management Center Administration Guide, 7.6
https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/760/management-center-admin-76.html
[統合管理] Managing FDM Devices with Cisco Defense Orchestrator
https://www.cisco.com/c/en/us/td/docs/security/cdo/managing-ftd-with-cdo/managing-ftd-with-cisco-defense-orchestrator.html
[単体管理] Cisco Secure Firewall Device Manager Configuration Guide, Version 7.6
https://www.cisco.com/c/en/us/td/docs/security/firepower/760/fdm/fptd-fdm-config-guide-760.html
FMC/CDOと FDM 管理の違い
Firewall Management Center (FMC) や Cisco Defense Orchestrator (CDO) は、オンプレ(アプライアンス or 仮想環境上)、もしくはクラウドに設置可能な統合管理サーバーで、FMCは複数のFTDを、CDOは複数のFTDやASAを統合管理可能です。サーバーは専用のデータベースを保持しており、高度なセキュリティ制御機能やログ分析とアラート機能も保持しています。セキュリティの保護と運用に優れ、殆どの環境で、FMD/CDO + FTD の導入が向きます。
一方、Firewall Device Manager (FDM) は、単一の FTDデバイスを直接管理できるモードです。FDMは、中小規模向けにシンプルに次世代ファイアウォールを導入・運用することを開発された管理モードとなり、シンプルで軽快なUIで簡単に設定管理が可能な一方、複雑性回避のためオーソドックスな機能のみ実装しています。中小規模での導入に向いておりますが、高度なFW/IPS機能利用時や大規模展開時はFMC管理、もしくは CDO管理に切り替えを検討ください。また、ハイエンド向け製品である Secure Firewall 4200 では、FDM 管理はサポートされてません。 FDM管理機器は、CDOで統合管理することも可能です。
サポート機能 比較
管理構成により利用できる機能が異なります。以下は、2024年10月時のサポート機能のマトリックスです。FDM管理時は、GUIで設定できない正式サポート外機能は「-」としています。バージョンによりサポート機能が変わるため、最新サポート機能は最新のリリースノートや設定ガイドを参照してください。
FMC もしくは CDOで統合管理時の機能差はほぼありませんが、管理デバイスがFTDのみの場合は、FMC管理の利用が最も高機能でセキュアです。 CDOは、クラウド経由でどこからでも簡単に、FTDやASA、Meraki MX Firewall を統合管理できるのが大きなメリットです。
| サポート機能 |
[統合管理] |
[統合管理] |
[単体管理] |
| 【通信制御・脅威対策機能】 | |||
| アクセス制御 (L3/L4) | 〇 | 〇 | 〇 |
| タイムベース ACL | 〇 | 〇 | - |
| Dynamic Attribute (クラウド動的制御) | 〇 | 〇 | - |
| ネットワークアドレス変換 (NAT) | 〇 | 〇 | 〇 |
| アプリケーション制御 (L7) | 〇 | 〇 | 〇 |
| URL Filtering | 〇 | 〇 | 〇 |
| 侵入検知/防御 (IPS) | 〇 | 〇 | △(基本機能) |
| 暗号可視化エンジン (EVE) | 〇 | 〇 | - |
| サードパーティーフィードの利用 (CTID) | 〇 | - | - |
| Network Discovery / Impact Flag | 〇 | - | - |
| セキュリティインテリジェンス (IP/URL) | 〇 | 〇 | 〇 |
| セキュリティインテリジェンス (DNS/Sink Hole) | 〇 | 〇 | - |
| Malware & File (AMP) | 〇 | 〇 | △(基本機能) |
| Elephant Flow 対策 | 〇 | 〇 | 〇 |
| MPF (ALG) / DoS 対策 / TCP State Bypass | 〇 | 〇 | - |
| SSL Decryption | 〇 | 〇 | 〇 |
| 【ルーティング機能】 | |||
| Static Routing | 〇 | 〇 | 〇 |
| Dynamic Routing (OSPFv2) | 〇 | 〇 | - |
| Dynamic Routing (OSPFv3) | 〇 | 〇 | - |
| Dynamic Routing (BGP) | 〇 | 〇 | - |
| Dynamic Routing (EIGRP) | 〇 | 〇 | - |
| Policy Base Routing (PBR) | 〇 | 〇 | - |
| VRF | 〇 | 〇 | 〇 |
| 【VPN機能】 | |||
| Site-to-site VPN | 〇 | 〇 | △(基本機能) |
| SD-WAN | 〇 | 〇 | - |
| Remote Access VPN (AnyConnect) | 〇 | 〇 | △(基本機能) |
| Clientless ZTNA (Zero Trust Network Access) | 〇 | 〇 | - |
| VPN モニタリング / ダッシュボード | 〇 | △ | - |
| VPN ロードバランス | 〇 | 〇 | - |
| IPSEC/DTLS Offload (超高速処理) | 〇 | 〇 | - |
| 【管理機能】 | |||
| Failover (2台のActive/Standby運用) | 〇 | 〇 | 〇 |
| Cluster (2台以上のActive/Active運用) | 〇 | 〇 | - |
| Multi Instance (FTD OSの仮想化機能) | 〇 | 〇 | - |
| AWS GWLB 連携 | 〇 | 〇 | - |
| DHCP | 〇 | 〇 | 〇 |
| PPPoE | 〇 | 〇 | 〇 |
| EtherChannel (LACP) | 〇 | 〇 | 〇 |
| Syslog | 〇 | 〇 | △(基本機能) |
| SNMP | 〇 | 〇 | - |
| NetFlow | 〇 | 〇 | - |
| NTP | 〇 | 〇 | 〇 |
| Inline Mode | 〇 | 〇 | 〇 |
| Unified Event (複数イベントの一括確認) | 〇 | 〇 | - |
| Correlation Policy(高度なイベント制御・通知) | 〇 | 〇 | - |
| Advanced Search (高度なイベント検索) | 〇 | 〇 | - |
| レポート機能 | 〇 | △(基本機能) | - |
| AI アシスタント | 〇 | 〇 | - |
| ACL ヒットカウントや重複管理・削除機能 | 〇 | 〇 | △(基本機能) |
| 設定ロールバック | 〇 | 〇 | - |
| 推奨バージョン管理 | 〇 | - | - |
| 複数 FTD デバイスの一元管理 | 〇 | 〇 | - |
| 複数 ASA デバイスの一元管理 | - | 〇 | - |
| 複数 Meraki MX デバイスの一元管理 | - | 〇 | - |
| XDR 連携 | 〇 | 〇 | △(基本機能) |
| eStreamer 連携 | 〇 | - | - |
| IBM QRader 連携 | 〇 | - | - |
管理画面比較
以各構成毎の、管理画面や、アクセスコントロール設定画面のスクリーンショットを紹介します。 各画像の高解像度版は、当ドキュメントの添付ファイルを参照してください。
1. FDMで、FTDを管理時
FDMは、設定可能な範囲は狭めですが、シンプルで直観的に操作できる、使いやすいUIです。 FTDデバイス 1台のみ管理できます。
以下はFTDデバイスのデバイスダッシュボードです。 イベント分析用の内部データベースを持たないため、検知イベントの分析情報などは表示されません。
以下はFDM管理時の、Access Control Policy の設定画面です。シンプルに設定・運用が可能です。
2. FMCで、FTDを管理時
FMCで、複数のFTDデバイスを統合管理できます。
以下はOverviewのSummary Dashboardです。 イベント分析用の内部データベースを持つため、複数デバイスの過去の検知イベントや分析情報なども表示可能です。
以下はFMCの、Access Control Policy の設定画面です。FDM管理時に比べ設定可能箇所が増え、高度な設定や運用、カスタマイズが可能です。
3. CDOで、FTDや ASAを管理時
FMCで、複数のFTDデバイスやASAデバイス、Meraki MXデバイスを統合管理できます。
以下は、CDO上のFMC(cdFMC)の起動画面です。
以下はcdFMCの、Access Control Policy の設定画面です。FMCと同様のGUIで設定管理が可能です。
よくある質問
FMCやCDO管理時の追加コストを教えてください
FMCの仮想版である FMC virtual は、FTD管理デバイス数によりライセンス料が異なり、FTD管理デバイス数は 規模にあわせ、2台、10台、25台、300台 の中から選ぶことができます。最小の「FTD管理台数 2台」は、FTD-HA(冗長構成)1セットを FMC 1~2台で管理したい時に選択できるミニマム構成です。型番は仮想環境により異なり、例えば、VMware上にインストールする場合のFMC型番は「SF-FMC-VMW-2-K9」になり、価格は 10万円前後と安価に、統合管理と高度機能利用をはじめることができます。 FTD管理デバイスが増えるほど、ライセンスは買い足し、FMCv 1台あたり 最大25台までFTDを管理可能です。 FTDデバイス300台管理の場合は、FMCv300という上位版の仮想サーバーの利用が必要になり、物理アプライアンス FMC2700と近い処理・イベント保持性能を持ちます。
FMCの物理アプライアンス版は、FMC1700、FMC2700、FMC4700をリリースしており、それぞれ FTD管理デバイス数 50、300、1,000台 の管理をサポートします。FMCvに比べ、イベント保持可能なサイズが3倍前後にあがっているため、多数のFTDを統合管理したい場合は、物理アプライアンスがパフォーマンスとイベント管理上、優れます。
FMCは仮想版・物理アプライアンス版、どちらを選んでも機能差はないため、仮想基盤の有無や管理台数、価格、運用に合わせ、どちらか選択頂くと良いですが、FMC 仮想版が最も安価に簡単に使い始めることができます。まず下位のFMCv/FMCアプライアンスで導入し、上位のFMCv/FMCアプライアンスに設定やイベントは引き継ぐことも可能です。
CDOによるクラウドからの統合管理は、FMC virtual と近い価格体系となっております。CDOは、FTDに加え ASAや Meraki MX 製品もクラウドから統合管理できるのが大きな特徴です。 FTD管理時のUIや機能は、FMCと大きく変わりません。CDO管理は、FMC管理と殆ど同じ機能を利用できます。
FMC・CDOのより詳細な型番と性能や機能については以下のデータシートを参照してください。製品価格について詳しくは、シスコ製品販売代理店様の営業までお問合せください。
Cisco Secure Firewall Management Center (formerly Firepower Management Center) Data Sheet
https://www.cisco.com/c/en/us/products/collateral/security/firesight-management-center/datasheet-c78-736775.html
Cisco Defense Orchestrator データシート
https://www.cisco.com/c/ja_jp/products/collateral/security/defense-orchestrator/datasheet-c78-736847.html
FMC管理のデモ・検証方法を教えてください
FMCの仮想版である FMC virtual は、インストール後 90日は評価ライセンスを利用可能で、SSL Decryption や VPN機能以外の殆どの機能の無償検証が可能です。インストールしなおすことで、何度でも評価ライセンスは復活が可能です。 FMC 仮想版のセットアップとデモ方法について詳しくは、以下ガイドを参照してください。
FMCv : ESXi へのデプロイとセットアップ方法
https://community.cisco.com/t5/-/-/ta-p/4941624
CDO管理のデモ・検証方法を教えてください
公式ページより無料トライアルの申請が可能です。
https://www.cisco.com/site/jp/ja/products/security/defense-orchestrator/index.html
FMC 仮想版から FMC アプライアンス版へのマイグレーション方法を教えてください
FMCv利用時は比較的簡単に、FMC物理アプライアンスや FMCv300(仮想アプライアンス上位版)に設定やイベントを移行できます。詳しい手順については、Cisco Secure Firewall Management Center モデル移行ガイド を参照してください。
参考情報
Cisco FTD How To
https://cs.co/ftd
Cisco Secure Firewall Management Center 7.4 管理ガイド
https://www.cisco.com/c/ja_jp/td/docs/security/secure-firewall/management-center/admin/740/management-center-admin-74.html
Cisco Secure Firewall Device Manager バージョン 7.4 コンフィギュレーション ガイド
https://www.cisco.com/c/ja_jp/td/docs/security/firepower/740/fdm/fptd-fdm-config-guide-740/fptd-fdm-virtual-routers.html
Cisco Defense Orchestrator Configuration Guides
https://www.cisco.com/c/en/us/support/security/defense-orchestrator/products-installation-and-configuration-guides-list.html
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
