解決済み: FDMで管理するFirepower 1010 を L2モード(Transparent) で動作させるための設定方法

cja56910tf · ‎2021-11-02

FTD-OS(Ver 6.6.5-81)版のFirepower 1010 を使用しています。
装置の設定・管理はFMCを用いたものではなく、FDM(Firepower Device Manager)を用いています。

このファイアウォールをL2モード(Transparentモード)で使用したいと考えています。
具体的には、EIGRPネイバーを張っているL3SWの間にFirepower1010を挟み込む構成です。
L3SW間を接続するインターフェースはTrunkポートで複数VLANを透過させています。
Firepowerを跨ぐ通信は基本的には全て許可で良いのですが、脅威防御機能を適用させたいと考えています。

上記の場合の設定方法についてご存じの方がおられましたら詳細をご教授いただけませんでしょうか。
または資料提供やWebサイトURLのご教示でも構いませんので、御支援いただけると助かります。

Akira Muranaka · ‎2021-11-03

おはようございます。

FDMは簡単に便利にNGFW (L3) を利用するための簡易セットアップモードのため、残念ながら Transparentや Inline といった L2モード（いわゆるNGIPS機能）は対応してません。

代替としては、NGIPS機能をサポートするFMC ＋ FTDで管理するか、ASAを利用する方法があります。

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/fdm/fptd-fdm-config-guide-660/fptd-fdm-interfaces.html#concept_92B885383C1C41E18EF091FFBB4E1569

Routed firewall mode only is supported. You cannot configure transparent firewall mode interfaces.

You can configure passive interfaces, but not ERSPAN interfaces.

You cannot configure interfaces to be inline (in an inline set), or inline tap, for IPS-only processing. IPS-only mode interfaces bypass many firewall checks and only support IPS security policy. In comparison, Firewall mode interfaces subject traffic to firewall functions such as maintaining flows, tracking flow states at both IP and TCP layers, IP defragmentation, and TCP normalization. You can also optionally configure IPS functions for this firewall mode traffic according to your security policy.

元の投稿で解決策を見る

Akira Muranaka · ‎2021-11-04

FMCは費用はかかりますが、Virtual版の場合、管理するセンサーの数（2台・10台・25台・300台）によってライセンスがわかれてます。

https://www.cisco.com/c/ja_jp/products/collateral/security/firesight-management-center/datasheet-c78-736775.html

2台管理の場合は、たしか 6万円くらいなので、個人的には手ごろな価格なのかなぁ、と思います。FMCがあれば、FTDのフル機能が解放されますし、イベントの管理や監視（管理者に問題発生時のアラートメール通知）などもでき、運用や障害管理がすごく楽になります。

また、FMCvは評価ライセンスが90日ついてきたと思うので、一旦 FMCvを評価ライセンスで利用してみてから、購入するか検討していただくと如何でしょうか。

元の投稿で解決策を見る

Akira Muranaka · ‎2021-11-03

おはようございます。

FDMは簡単に便利にNGFW (L3) を利用するための簡易セットアップモードのため、残念ながら Transparentや Inline といった L2モード（いわゆるNGIPS機能）は対応してません。

代替としては、NGIPS機能をサポートするFMC ＋ FTDで管理するか、ASAを利用する方法があります。

https://www.cisco.com/c/en/us/td/docs/security/firepower/660/fdm/fptd-fdm-config-guide-660/fptd-fdm-interfaces.html#concept_92B885383C1C41E18EF091FFBB4E1569

Routed firewall mode only is supported. You cannot configure transparent firewall mode interfaces.

You can configure passive interfaces, but not ERSPAN interfaces.

You cannot configure interfaces to be inline (in an inline set), or inline tap, for IPS-only processing. IPS-only mode interfaces bypass many firewall checks and only support IPS security policy. In comparison, Firewall mode interfaces subject traffic to firewall functions such as maintaining flows, tracking flow states at both IP and TCP layers, IP defragmentation, and TCP normalization. You can also optionally configure IPS functions for this firewall mode traffic according to your security policy.

cja56910tf · ‎2021-11-04

おはようございます。

早速のご回答、誠にありがとうございます。

FDMでは非対応だったのですね。どうりでそれらしいドキュメントが無い訳だと納得しました。

投稿した質問は解決したのですが、もしお分かりであれば後１点ご教授下さい。

FMCを用いればL2モードは可能との事ですが、FMCを利用するには費用が掛かりますでしょうか？

利用可能な仮想基盤があるので、VMware版FMCを用意してみようかと思ったのですが、費用が掛かるなら断念するしかないと思っておりまして・・・

Akira Muranaka · ‎2021-11-04

FMCは費用はかかりますが、Virtual版の場合、管理するセンサーの数（2台・10台・25台・300台）によってライセンスがわかれてます。

https://www.cisco.com/c/ja_jp/products/collateral/security/firesight-management-center/datasheet-c78-736775.html

2台管理の場合は、たしか 6万円くらいなので、個人的には手ごろな価格なのかなぁ、と思います。FMCがあれば、FTDのフル機能が解放されますし、イベントの管理や監視（管理者に問題発生時のアラートメール通知）などもでき、運用や障害管理がすごく楽になります。

また、FMCvは評価ライセンスが90日ついてきたと思うので、一旦 FMCvを評価ライセンスで利用してみてから、購入するか検討していただくと如何でしょうか。

cja56910tf · ‎2021-11-04

早速のご回答ありがとうございます。

詳細にご教授いただき、大変助かります。

それではまずは評価版のFMCvを使ってみたいと思います。

ご対応いただきまして、ありがとうございました。