ネットワークエンジニアでフリーランスの日々

ネットワークエンジニアでフリーランスのサイトです

お問い合わせ

Cisco Firepowerとは

Cisco Firepower(ファイアパワー)とは、Ciscoが提供する次世代ファイアウォール(NGFW: Next-Generation Firewall)および脅威防御プラットフォームの総称です。

従来のASAが“ファイアウォール中心”だったのに対して、Firepowerは高度な脅威検知・可視化・攻撃防御に強いのが特徴です。

Cisco Firepower の構成イメージ

Firepower製品は、次の3つの要素で構成されています。

① Firepower Threat Defense(FTD)

  • ASAファイアウォール + FirePOWER脅威防御エンジンを統合した OS
  • 今の主流で、Ciscoが推奨する最新プラットフォーム
  • ファイアウォール、IPS、URLフィルタ、マルウェア検知を一体化

② Firepower Management Center(FMC)

  • Firepowerを集中管理する GUI 管理サーバ(オンプレ)
  • ポリシー管理、ログ管理、可視化、分析を一括管理

③ Firepower Device Manager(FDM)

  • Firepower単体を管理する内蔵GUI(小規模向け)
  • FMCなしで単体構成が可能(Firepower 1010, 1120など)

Firepowerシリーズ

  • Firepower 1010(小規模〜家庭ラボでも人気)
  • Firepower 1120 / 1140(中規模)
  • Firepower 2110 / 2120 / 2130(企業向け)
  • Firepower 4100 / 9300(大規模DC向け)

Firepower が提供する主なセキュリティ機能

1. 次世代ファイアウォール(NGFW)機能

  • アプリケーション可視化/制御(App-IDのようなもの)
  • ユーザー単位ポリシー(AD連携)

2. Intrusion Prevention System(IPS)

  • Snortベース(Snort3を採用)
  • シグネチャベースの攻撃検知・防御

3. URLフィルタリング

  • カテゴリベースのWebアクセス制御

4. AMP(Advanced Malware Protection)

  • マルウェア検知・サンドボックス分析
  • ファイルのレピュテーションチェック

5. Threat Intelligence(Talos)

  • Cisco Talos の脅威情報をリアルタイム活用

ASA と Firepower の違い

項目ASAFirepower(FTD)
主目的ファイアウォール/ VPN次世代ファイアウォール / IPS / マルウェア対策
セキュリティ機能最小限非常に豊富
管理方法CLI中心GUI中心(FMC or FDM)
VPN設定ASAが簡単FTDは少し手順多い
CLI構文IOS-like(比較的分かりやすい)CLIは限定的(設定の大半はGUI)
推奨度レガシーCisco推奨の現行製品

Firepower を使うメリット

  • ゼロデイ攻撃や高度なマルウェアを検出できる
  • 可視化・ログ分析が圧倒的に強い
  • アプリ制御 + IPS + URLフィルタ + マルウェア防御を統合
  • Cisco Talos の脅威情報を利用できる
  • ASAよりポリシー管理が直感的

Firepower の構成モードまとめ

OSモード説明
ASA従来のASAファイアウォールOS(シンプル・軽い)
firepowerで、ASA設定をそのまま使えるモード
FTD(Firepower Threat Defense)次世代FW+IPS機能が統合された最新OS
FTD on ASA Hardware(Firepower 1010/2110など)ASA機能は使わず、完全にFTDとして動作

もしも、Firepower 1010 が ASA モードで動作している

👉 ASA の VPN コンフィグをそのまま投入してOK

  • crypto isakmp policy
  • tunnel-group
  • group-policy
  • crypto map
    などは ASA の書き方そのまま。

🔸もしも、Firepower 1010 が FTD モードで動作している

👉 ASA の CLI コンフィグは使えない
👉 FDM または FMC の GUI で VPN設定する必要がある

FTDでは VPN 設定は GUIベースで、
ASAの crypto map などの構文は 存在しません

FTD CLI は show/debugレベルで、設定はほぼできません。

現状のfirepower が ASAかFTDか確認する方法

CLIで確認可能

show version

出力にこう出れば ASA

Cisco Adaptive Security Appliance Software Version 9.x

こう出れば FTD

Cisco Firepower Threat Defense (FTD) Version 7.x

This website stores cookies on your computer. These cookies are used to provide a more personalized experience and to track your whereabouts around our website in compliance with the European General Data Protection Regulation. If you decide to to opt-out of any future tracking, a cookie will be setup in your browser to remember this choice for one year.

Accept or Deny