Firepower Threat Defense のインターフェイスの概要

FTD デバイスには、種々のモードで設定できるデータインターフェイス、および管理/診断インターフェイスが組み込まれています。

管理/診断インターフェイス

管理インターフェイス

管理インターフェイスは、デバイスの他のインターフェイスとは分離されています。Firepower Management Centerにデバイスを設定し、登録するために使用されます。また、固有の IP アドレスとスタティック ルーティングを使用します。管理インターフェイスを設定するには、CLI で configure network コマンドを使用します。管理インターフェイスを Firepower Management Center に追加した後にその IP アドレスを CLI で変更した場合、Firepower Management Center での IP アドレスを [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Devices)] > [管理(Management)] エリアで一致させることができます。

診断インターフェイス(レガシー)

診断論理インターフェイスは残りのデータインターフェイスとともに、[Devices] > [Device Management] > [Interfaces] 画面で構成できます。診断インターフェイスの使用はオプションです(シナリオについては、ルーテッド モードおよびトランスペアレント モードの展開を参照)。診断インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。これは SSH をサポートしません。データ インターフェイスまたは管理インターフェイスのみに SSH を使用できます。診断インターフェイスは、SNMP や syslog のモニタリングに役立ちます。

インターフェイス モードとタイプ

通常のファイアウォール モードと IPS 専用モードの 2 つのモードで FTD インターフェイスを展開できます。同じデバイスにファイアウォール インターフェイスと IPS 専用インターフェイスの両方を含めることができます。

通常のファイアウォール モード

ファイアウォール モードのインターフェイスでは、トラフィックが、フローの維持、IP レイヤおよび TCP レイヤの両方でのフロー状態の追跡、IP 最適化、TCP の正規化などのファイアウォール機能の対象となります。オプションで、セキュリティ ポリシーに従ってこのトラフィックに IPS 機能を設定することもできます。

設定できるファイアウォール インターフェイスのタイプは、ルーテッド モードとトランスペアレント モードのどちらのファイアウォール モードがそのデバイスに設定されているかによって異なります。詳細については、Firepower Threat Defense 用のトランスペアレントまたはルーテッド ファイアウォール モードを参照してください。

  • ルーテッド モード インターフェイス(ルーテッド ファイアウォール モードのみ):ルーティングを行う各インターフェイスは異なるサブネット上にあります。

  • ブリッジグループ インターフェイス(ルーテッドおよびトランスペアレント ファイアウォール モード):複数のインターフェイスをネットワーク上でグループ化することができ、Firepower Threat Defense デバイスはブリッジング技術を使用してインターフェイス間のトラフィックを通過させることができます。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。 ルーテッド モードでは、Firepower Threat Defense デバイスは BVI と通常のルーテッド インターフェイス間をルーティングします。トランスペアレント モードでは、各ブリッジグループは分離されていて、相互通信できません。

IPS 専用モード

IPS 専用モードのインターフェイスは、多数のファイアウォールのチェックをバイパスし、IPS セキュリティ ポリシーのみをサポートします。別のファイアウォールがこれらのインターフェイスを保護していて、ファイアウォール機能のオーバーヘッドを避けたい場合、IPS 専用のインターフェイスを実装することがあります。


(注)  

ファイアウォール モードは通常のファイアウォール インターフェイスにのみ影響を与えます。インライン セットやパッシブ インターフェイスなどの IPS 専用インターフェイスには影響を与えません。IPS 専用インターフェイスは両方のファイアウォール モードで使用可能です。

IPS 専用インターフェイスは以下のタイプとして展開できます。

  • インライン セット、タップ モードのオプションあり:インライン セットは「Bump In The Wire」のように動作し、2 つのインターフェイスを一緒にバインドし、既存のネットワークに組み込みます。この機能によって、隣接するネットワークデバイスの設定がなくても、任意のネットワーク環境に FTD をインストールすることができます。インライン インターフェイスはすべてのトラフィックを無条件に受信しますが、これらのインターフェイスで受信されたすべてのトラフィックは、明示的にドロップされない限り、インライン セットの外部に再送信されます。

    タップモードでは、FTD はインラインで展開されますが、ネットワーク トラフィック フローは妨げられません。代わりに、FTD は各パケットのコピーを作成して、パケットを分析できるようにします。それらのタイプのルールでは、ルールがトリガーされると侵入イベントが生成され、侵入イベントのテーブルビューにはトリガーの原因となったパケットがインライン展開でドロップされたことが示されることに注意してください。インライン展開された FTD でタップモードを使用することには、利点があります。たとえば、FTD がインラインであるかのように FTD とネットワーク間の配線をセットアップし、FTD で生成される侵入イベントのタイプを分析することができます。その結果に基づいて、効率性に影響を与えることなく最適なネットワーク保護を提供するように、侵入ポリシーを変更してドロップ ルールを追加できます。FTD をインラインで展開する準備ができたら、タップモードを無効にして、FTD とネットワーク間の配線を再びセットアップせずに、不審なトラフィックのドロップを開始することができます。


    (注)  

    タップモードは、トラフィックによっては FTD のパフォーマンスに大きく影響します。


    (注)  

    「透過インライン セット」としてインライン セットに馴染みがある人もいますが、インライン インターフェイスのタイプはトランスペアレント ファイアウォール モードやファイアウォール タイプのインターフェイスとは無関係です。

  • パッシブまたは ERSPAN パッシブ:パッシブ インターフェイスは、スイッチ SPAN またはミラー ポートを使用してネットワークを流れるトラフィックをモニタします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で FTD を構成した場合は、FTD で特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブインターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。Encapsulated Remote Switched Port Analyzer(ERSPAN)インターフェイスは、複数のスイッチに分散された送信元ポートからのトラフィックをモニタし、GRE を使用してトラフィックをカプセル化します。ERSPAN インターフェイスは、FTD がルーテッド ファイアウォール モードになっている場合にのみ許可されます。


    (注)  

    無差別モードの制限により、SR-IOV ドライバを使用する一部の Intel ネットワークアダプタ(Intel X710 や 82599 など)では、SR-IOV インターフェイスを NGFWv のパッシブインターフェイスとして使用することはできません。このような場合は、この機能をサポートするネットワークアダプタを使用してください。Intel ネットワークアダプタの詳細については、『Intel Ethernet Products』[英語] を参照してください。

セキュリティ ゾーンとインターフェイス グループ

各インターフェイスは、セキュリティゾーンおよびインターフェイスグループに割り当てることができます。その上で、ゾーンまたはグループに基づいてセキュリティ ポリシーを適用します。たとえば、「内部」インターフェイスを「内部」ゾーンに割り当て、「外部」インターフェイスを「外部」ゾーンに割り当てることができます。また、たとえば、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。インターフェイスまたはゾーン名自体は、セキュリティポリシーに関してデフォルトの動作を提供しないことに注意してください。将来の設定での間違いを避けるために、自己記述的な名前を使用することをお勧めします。適切な名前とは、論理セグメントまたはトラフィック仕様を表すものです。次に例を示します。

  • 内部インターフェイスの名前:InsideV110、InsideV160、InsideV195

  • DMZ インターフェイスの名前:DMZV11、DMZV12、DMZV-TEST

  • 外部インターフェイスの名前:Outside-ASN78、Outside-ASN91

ポリシーによっては、セキュリティ ゾーンだけをサポートする場合も、ゾーンとグループの両方をサポートする場合もあります。詳細については、インターフェイス オブジェクト:インターフェイスグループとセキュリティ ゾーンを参照してください。セキュリティ ゾーンおよびインターフェイス グループは、[オブジェクト(Objects)] ページで作成できます。また、インターフェイスを設定する際にゾーンを追加することもできます。インターフェイスは、そのインターフェイスに適切なタイプのゾーン(パッシブ、インライン、ルーテッド、スイッチド ゾーン タイプ)にのみ追加できます。


(注)  

あらゆるゾーンに適用されるポリシー(グローバルポリシー)は、ゾーン内のインターフェイスだけでなく、ゾーンに割り当てられていないインターフェイスにも適用されます。

診断/管理インターフェイスは、ゾーンまたはインターフェイスグループには属しません。

Auto-MDI/MDIX 機能

RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。

インターフェイスのデフォルト設定

この項では、インターフェイスのデフォルト設定を示します。

インターフェイスのデフォルトの状態

インターフェイスの状態は、タイプによって異なります。

  • 物理インターフェイス:ディセーブル。初期セットアップで有効になるインターフェイスは例外です。

  • 冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。

  • VLAN サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

  • EtherChannel ポートチャネル インターフェイス(ASA モデル):有効。ただし、トラフィックが EtherChannel を通過するためには、チャネル グループ物理インターフェイスもイネーブルになっている必要があります。

  • EtherChannel ポートチャネル インターフェイス(Firepower モデル):無効。


(注)  

Firepower 4100/9300 の場合、管理上、シャーシおよび FMC の両方で、インターフェイスを有効および無効にできます。インターフェイスを動作させるには、両方のオペレーティング システムで、インターフェイスを有効にする必要があります。インターフェイスの状態は個別に制御されるので、シャーシと FMC の間の不一致が生じることがあります。

デフォルトの速度および二重通信

デフォルトでは、銅線(RJ-45)インターフェイスの速度とデュプレックスは、オートネゴシエーションに設定されます。

デフォルトでは、光ファイバ(SFP)インターフェイスの速度とデュプレックスは最大速度に設定され、自動ネゴシエーションが有効です。

物理インターフェイスの有効化およびイーサネット設定の構成

ここでは、次の方法について説明します。

  • 物理インターフェイスを有効にします。デフォルトでは、物理インターフェイスは無効になっています( インターフェイスを除く)。

  • 特定の速度と二重通信を設定します。デフォルトでは、速度とデュプレックスは [自動(Auto)] に設定されます。

この手順は、インターフェイス設定のごく一部にすぎません。この時点では、他のパラメータを設定しないようにします。たとえば、EtherChannel または冗長インターフェイスの一部として使用するインターフェイスには名前を付けることはできません。


(注)  

Firepower 4100/9300 の場合、FXOS の基本インターフェイスの設定を行います。詳細については、物理インターフェイスの設定を参照してください。


(注)  

Firepower 1010 スイッチ ポートについては、Firepower 1010 スイッチ ポートの設定を参照してください。

始める前に

FMC に追加した後、デバイスの物理インターフェイスを変更した場合、[インターフェイス(Interfaces)] の左上にある [デバイスからのインターフェイスの同期(Sync Interfaces from device)] をクリックしてそのインターフェイスリストを更新する必要があります。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択し、FTDデバイス をクリックします。[インターフェイス(Interfaces)] タブがデフォルトで選択されます。

ステップ 2

編集するインターフェイス をクリックします。

ステップ 3

[有効(Enabled)] チェック ボックスをオンにして、インターフェイスを有効化します。

ステップ 4

(任意) [Description] フィールドに説明を追加します。

説明は 200 文字以内で、改行を入れずに 1 行で入力します。

ステップ 5

(任意) [ハードウェア構成(Hardware Configuration)] をクリックして、デュプレックスと速度を設定します。

  • [デュプレックス(Duplex)]:[全(Full)]、[半(Half)]、または [自動(Auto)] を選択します。RJ-45 インターフェイスのデフォルトは [自動(Auto)] です。SFP インターフェイスでは [自動(Auto)] を選択できません。

  • [速度(Speed)]:[自動(Auto)] を選択してインターフェイスに速度、リンクステータス、フロー制御をネゴシエートさせるか([自動(Auto)] は RJ-45 インターフェイスでのみ使用可能)、または特定の速度([10]、[100]、[1000]、[10000] Mbps)を選択します。SFP インターフェイスの場合、速度を設定すると、リンクステータスとフロー制御の自動ネゴシエーションが有効になります。SFP インターフェイスの場合、ハードウェアによっては、[ネゴシエートなし(No Negotiate)] を選択して、速度を 1000 に設定し、リンクネゴシエーションを無効化できます。

ステップ 6

[モード(Mode)] ドロップダウン リストで、次のいずれかを選択します。

  • [なし(None)]: この設定を通常のファイアウォール インターフェイスおよびインライン セットに選択します。他の設定に基づいて [ルーテッド(Routed)]、[スイッチド(Switched)]、または [インライン(Inline)] にモードが自動的に変更されます。

  • [パッシブ(Passive)]:この設定を IPS 専用インターフェイスに選択します。

  • [Erspan]:この設定を Erspan パッシブ IPS 専用インターフェイスに選択します。
ステップ 7

[OK] をクリックします。

ステップ 8

[Save(保存)] をクリックします。

これで、[展開(Deploy)] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

ステップ 9

インターフェイスの構成を続行します。

インターフェイスの変更と Firepower Management Center の同期

デバイスのインターフェイスの設定を変更することによって FMC とデバイスが同期しなくなる可能性があります。FMC は次の方法のいずれかでインターフェイスの変更を検出できます。

  • デバイスから送信されたイベント

  • FMC からの展開の同期

    展開を試行したときに FMC がインターフェイスを検出すると、その展開は失敗します。最初にインターフェイスの変更を承認する必要があります。

  • 手動同期

FMC が変更を検出すると、[インターフェイス(Interface)] ページの各インターフェイスの左側にステータス([削除済み(removed)]、[変更済み(changed)]、または [追加済み(added)])が表示されます。

新しいインターフェイスを追加したり、未使用のインターフェイスを削除したりしても、FTD の設定に与える影響は最小限です。ただし、セキュリティポリシーで使用されているインターフェイスを削除すると、設定に影響を与えます。インターフェイスは、アクセス ルール、NAT、SSL、アイデンティティ ルール、VPN、DHCP サーバなど、FTD の設定における多くの場所で直接参照されている可能性があります。インターフェイスを削除すると、そのインターフェイスに関連付けられている設定がすべて削除されます。セキュリティ ゾーンを参照するポリシーは影響を受けません。また、論理デバイスに影響を与えず、かつ FMC での同期を必要とせずに、割り当てられた EtherChannel のメンバーシップを編集できます。

この手順では、必要に応じてデバイスの変更を手動で同期する方法と検出された変更を確認する方法について説明します。デバイスの変更が一時的なものである場合は、その変更を FMC に保存する必要はありません。デバイスが安定するまで待機してから再同期します。

始める前に

  • モデルのサポートFTD

  • ユーザの役割

    • 管理者

    • アクセス管理者

    • ネットワーク管理者

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択し、FTDデバイス をクリックします。[インターフェイス(Interfaces)] タブがデフォルトで選択されます。

ステップ 2

必要に応じて、[インターフェイス(Interfaces)] の左上にある [デバイスの同期(Sync Device)] をクリックします。

ステップ 3

変更が検出されたら、次の手順を参照してください。

  1. インターフェイス設定が変更されたことを示す赤色のバナーが [インターフェイス(Interfaces)] に表示されます。[クリックして詳細を表示(Click to know more)] リンクをクリックしてインターフェイスの変更内容を表示します。

  2. [変更の検証(Validate Changes)] をクリックし、インターフェイスが変更されてもポリシーが機能していることを確認します。

    エラーがある場合は、ポリシーを変更して検証に戻る必要があります。

  3. [Save(保存)] をクリックします。

    これで、[展開(Deploy)] をクリックし、割り当てたデバイスにポリシーを展開できます。