Azure での Firewall Threat Defense Virtual の展開

この章では、 Azure ポータルから Secure Firewall Threat Defense Virtual を展開する方法について説明します。

概要

Secure Firewall Threat Defense Virtual は、Microsoft Azure マーケットプレイスに統合され、次の VM サイズをサポートします。

表 1. Azure でサポートされる VM サイズおよび Threat Defense Virtual バージョン

Azure VMサイズ

属性

vNIC

Threat Defense Virtual バージョン

vCPU

メモリ(GB)

Standard_D3

4

14

4

7.7 以下

Standard_D3_v2

4

14

4

7.7 以下

Standard_D4_v2

8

36

8

6.5 ~ 7.7

Standard_D5_v2

16

72

8

6.5 ~ 7.7

Standard_D8s_v3

8

32

4

7.1 以降

Standard_D16s_v3

16

64

8

7.1 以降

Standard_F8s_v2

8

16

4

7.1 以降

Standard_F16s_v2

16

32

4

7.1 以降

前提条件

  • Microsoft Azure アカウント。https://azure.microsoft.com/en-us/ で 1 つ作成できます。

    Azure でアカウントを作成した後は、ログインしてマーケットプレイスから Cisco Firepower Threat Defense を検索し、「Cisco Firepower NGFW Virtual (NGFWv)」を選択します。

  • Cisco スマートアカウント。Cisco Software Central で作成できます。

    Firewall Threat Defense Virtual のライセンス。ヘルプリンクをはじめとしたファイアウォールシステムで使用できる機能ライセンスの概要については、『Cisco Secure Firewall Management Center 機能ライセンス』を参照してください。

  • Firewall Threat Defense Virtual とシステムの互換性については、『Firewall Threat Defense Virtual Compatibility Guide 』を参照してください。

通信パス

  • 管理インターフェイス:Firewall Threat Defense VirtualCisco Secure Firewall Management Center に接続するために使用されます。


    (注)  


    6.7 以降では、必要に応じて、管理インターフェイスの代わりにデータインターフェイスを Firewall Management Center の管理に使用できます。管理インターフェイスはデータインターフェイス管理の前提条件であるため、初期設定でこれを設定する必要があります。Firewall Management Center にアクセスするためのデータインターフェイスの設定に関する詳細については、『Cisco Secure Firewall Threat Defense コマンドリファレンス』の configure network management-data-interface コマンドを参照してください。


  • 診断インターフェイス — 診断およびレポートに使用されます。通過トラフィックには使用できません。

  • 内部インターフェイス(必須):内部ホストに Firewall Threat Defense Virtual を接続するために使用されます。

  • 外部インターフェイス(必須):Firewall Threat Defense Virtual をパブリック ネットワークに接続するために使用されます。

注意事項と制約事項

サポートされる機能

  • ルーテッド ファイアウォール モードのみ

  • Azure Accelerated Networking(AN)

  • 管理モード:次の 2 つのいずれかを選択できます。

  • パブリック IP アドレス:Management 0/0 および GigabitEthernet 0/0 にパブリック IP アドレスが割り当てられます。

    必要に応じて、その他のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、パブリック IP アドレス [英語] を参照してください。

  • インターフェイス:

    • Firewall Threat Defense Virtual デフォルトでは 4 つの vNIC を使用して展開されます。

    • より大規模なインスタンスのサポートにより、最大 8 つの vNIC を使用して Firewall Threat Defense Virtual を展開できます。

    • Firewall Threat Defense Virtual の展開に vNIC を追加するには、「Add network interfaces to or remove network interfaces from virtual machines」に示される情報に従います。

    • vNIC の設定を変更する場合、または IP 転送が必要な場合は、「Create, change, or delete a network interface」に記載されている情報を参照してください。

    • Firewall Threat Defense Virtual インターフェイスは、マネージャを使用して設定します。インターフェイスのサポートと設定の詳細については、管理プラットフォーム(Firewall Management Center または Firewall Device Manager)のコンフィギュレーション ガイドを参照してください。


(注)  


バージョン 7.4.3 以降を実行している Threat Defense 仮想インスタンスでは、最初の起動時にいくつかの初期化タスクが実行され、約 5 分後にコンソールが使用可能になります。この遅延は正常です。最初の起動から約 2 分以内にデバイスの電源がオフになっている場合、重要な初期化手順が中断され、セットアップが不完全になり予期しない動作をする可能性があります。

この問題を解決するには、新しいイメージを使用して仮想プラットフォームを再インストールする必要があります。


ライセンシング

  • シスコ スマート ライセンス アカウントを使用する BYOL(Bring Your Own License)。

  • PAYG(Pay As You Go)ライセンス。顧客がシスコ スマート ライセンシングを購入せずに Firewall Threat Defense Virtual を実行できる従量制課金モデル。登録された PAYG Firewall Threat Defense Virtual デバイスでは、ライセンス供与されたすべての機能(マルウェア、脅威、URL フィルタリング、VPN など)が有効になっています。ライセンス供与された機能は、Firewall Management Center から編集または変更することはできません(バージョン 6.5 以上)。


    (注)  


    PAYG ライセンスは、Firewall Device Manager モードで展開されている Firewall Threat Defense Virtual デバイスではサポートされていません。


Firewall Threat Defense Virtual デバイスのライセンス取得のガイドラインについては、『Cisco Secure Firewall Management Center Administration Guide』 の「Licensing」の章を参照してください。

Firewall Threat Defense Virtual スマートライセンスのパフォーマンス階層

Firewall Threat Defense Virtual は、導入要件に基づいて異なるスループットレベルと VPN 接続制限を提供するパフォーマンス階層型ライセンスをサポートしています。


(注)  


任意の Threat Defense Virtual 階層ライセンスは、サポートされている任意の Threat Defense Virtual vCPUまたはメモリ構成で使用できます。

これにより、Threat Defense Virtual のお客様は、さまざまな VM リソースでライセンスを使用できます。

これにより、サポートされる Azure VM サイズの数を増やすこともできます。Threat Defense Virtual VM を構成する場合、サポートされる最大 vCPU 数は 16 個です。また、サポートされる最大メモリ容量は 32 GB RAM です。


表 2. Firewall Threat Defense Virtual 権限付与に基づくライセンス機能の制限

パフォーマンス階層

推奨される vCPU/メモリ構成

レート制限

RA VPN セッション制限

FTDv5、100Mbps

4 コア/8 GB

100Mbps

50

FTDv10、1Gbps

4 コア/8 GB

1Gbps

250

FTDv20、3Gbps

4 コア/8 GB

3 Gbps

250

FTDv30、5Gbps

8 コア/16 GB

5 Gbps

250

FTDv50、10Gbps

12 コア/24 GB

10 Gbps

750

FTDv100、16 Gbps

16 コア/34 GB

16 Gbps

10,000

パフォーマンスの最適化

Firewall Threat Defense Virtual の最高のパフォーマンスを実現するために、VM とホストの両方を調整することができます。詳細については、「Azure での仮想化の調整と最適化」を参照してください。

Receive Side ScalingFirewall Threat Defense Virtual は Receive Side Scaling(RSS)をサポートしています。これは、ネットワークアダプタによって複数のプロセッサコアにネットワーク受信トラフィックを分散するために使用されるテクノロジーです。バージョン 7.0 以降でサポートされています。詳細については、「Receive Side Scaling(RSS)用の複数の RX キュー」を参照してください。

サポートされない機能

  • ライセンス:

    • PLR(パーマネントライセンス予約)

    • PAYG(Pay As You Go)(バージョン 6.4 以前)

  • ネットワーキング(これらの制限事項の多くは Microsoft Azure の制約):

    • ジャンボフレーム

    • 802.1Q VLAN

    • トランスペアレントモードおよびその他のレイヤ 2 機能。ブロードキャストなし、マルチキャストなし。

    • Azure の観点からデバイスが所有していない IP アドレスのプロキシ ARP(一部の NAT 機能に影響)

    • 無差別モード(サブネットトラフィックのキャプチャなし)

    • インラインセットモード、パッシブモード


      (注)  


      Azure ポリシーにより Firewall Threat Defense Virtual のトランスペアレント ファイアウォール モードやインラインモードでの動作は阻止されます。これは、Azure ポリシーがインターフェイスの無差別モードでの動作を許可していないためです。


    • ERSPAN(GRE を使用。これは Azure では転送されません)

  • 管理:

    • Azure ポータルの「パスワードのリセット」機能

    • コンソールベースのパスワード回復。ユーザーはコンソールにリアルタイムアクセスができないため、パスワードの回復もできません。パスワード回復イメージの起動ができません。唯一の方法は、新しい Firewall Threat Defense Virtual VM を展開することです。

  • 高可用性(アクティブ/スタンバイ)

  • クラスタリング

  • IPv6

  • VM のインポート/エクスポート

  • Azure での Gen 2 VM の生成

  • 展開後の VM のサイズ変更

  • VM の OS ディスクの Azure ストレージ SKU を Premium から Standard SKU に移行または更新、およびその逆

  • Firewall Device Manager ユーザーインターフェイス(バージョン 6.4 以前)

Azure DDoS 防御機能

Microsoft Azure の Azure DDoS Protection は、Firewall Threat Defense Virtual の最前線に実装された追加機能です。仮想ネットワークでこの機能を有効にすると、ネットワークで予想されるトラフィックの 1 秒あたりのパケット数に応じて、一般的なネットワーク層攻撃からアプリケーションを保護するのに役立ちます。この機能は、ネットワーク トラフィック パターンに基づいてカスタマイズできます。

Azure DDoS Protection 機能の詳細については、『Azure DDoS Protection Standard overview』[英語] を参照してください。

Snort

  • Snort のシャットダウンに時間がかかったり、VM が全体的に遅くなったりといった異常な動作が見られる場合や、特定のプロセスが実行されるときには、Firewall Threat Defense Virtual および VM ホストからログを収集します。全体的な CPU 使用率、メモリ、I/O 使用率、および読み取り/書き込み速度のログの収集は、問題のトラブルシューティングに役立ちます。

  • Snort のシャットダウン時には、CPU と I/O の使用率が高くなります。十分なメモリがなく、専用の CPU がない単一のホスト上に多数の Firewall Threat Defense Virtual インスタンスが作成されている場合は、Snort のシャットダウンに時間がかかって Snort コアが作成されます。

Cisco Secure Firewall Threat Defense Virtual デバイスの管理方法

Cisco Secure Firewall Threat Defense Virtual を管理するには、2 つのオプションがあります。

Cisco Secure Firewall Management Center

多数のデバイスを管理している場合、または Firewall Threat Defense で許可される、より複雑な機能や設定を使用したい場合は、組み込みの Firewall Device Manager の代わりに Firewall Management Center を使用してデバイスを設定します。詳細については、Cisco Secure Firewall Management Center を使用した Cisco Secure Firewall Threat Defense Virtual の管理を参照してください。


重要


Firewall Device ManagerFirewall Management Center の両方を使用して Firewall Threat Defense デバイスを管理することはできません。いったん Firewall Device Manager の統合管理を有効にすると、ローカル管理を無効にして、Firewall Management Center を使用するように管理を再設定しない限り、Firewall Management Center を使用して Firewall Threat Defense デバイスを管理することはできなくなります。一方、Firewall Threat Defense デバイスを Firewall Management Center に登録すると、Firewall Device Manager のオンボード管理サービスは無効になります。



注意    


現在、シスコには Firewall Device Manager の設定を Firewall Management Center に移行するオプションはありません。その逆も同様です。Firewall Threat Defense デバイス用に設定する管理のタイプを選択する際は、このことを考慮してください。


Cisco Secure Firewall Device Manager

Firewall Device Manager は、ほとんどの Firewall Threat Defense デバイス に含まれる Web インターフェイスです。これを使用して、小規模ネットワークで最も一般的に使用されるソフトウェアの基本的な機能を構成できます。特に、多数のデバイスを含む大規模なネットワークを制御するためのデバイス マネージャを必要としない、1 台もしくは数台のデバイスを含むネットワークを対象としています。詳細については、Cisco Secure Firewall Device Manager を使用した Cisco Secure Firewall Threat Defense Virtual の管理を参照してください。


(注)  


Firewall Device Manager をサポートしているデバイスのリストについては、Cisco Secure Firewall Threat Defense 互換性ガイド を参照してください。


クラウド提供型 Firewall Management Center

クラウド提供型 Firewall Management Center は、Cisco Secure Firewall Threat Defense Virtual デバイスを一元管理できるクラウドベースの管理プラットフォームです。クラウド提供型 Firewall Management Center は、Cisco Secure Firewall Threat Defense Virtual バージョン 7.0.3、7.2.0 以降でサポートされています。詳細については、クラウド提供型 Firewall Management Center を使用した Cisco Secure Firewall Threat Defense Virtual の管理を参照してください。


重要


クラウド提供型 Firewall Management Center を Firewall Device Manager とともに使用しながら、同じ Cisco Secure Firewall Threat Defense Virtual デバイスを管理することはできません。


Azure 上の Firewall Threat Defense Virtual のネットワークトポロジの例

次の図は、Azure 内でルーテッド ファイアウォール モードに設定された Firewall Threat Defense Virtual の代表的なトポロジを示しています。最初に定義されるインターフェイスが常に管理インターフェイスであり、Management 0/0 および GigabitEthernet 0/0 のみにパブリックIPアドレスが割り当てられます。

導入時に作成されるリソース

Azure に Secure Firewall Threat Defense Virtual を展開すると、次のリソースが作成されます。

  • Firewall Threat Defense Virtual マシン(VM)

  • リソースグループ

    • Firewall Threat Defense Virtual は常に新しいリソースグループに配置されます。ただし、Firepower Threat Defense Virtual を別のリソースグループ内の既存仮想ネットワークにアタッチすることはできます。

  • 4 枚の NIC(名前は、vm name-Nic0、vm name-Nic1、vm name-Nic2、vm name-Nic3)

    (注)  


    要件に基づいて、IPv4 のみで VNet を作成できます。


    これらの NIC は、Firewall Threat Defense Virtual インターフェイスの Management、Diagnostic 0/0、GigabitEthernet 0/0、GigabitEthernet 0/1 にそれぞれマッピングされます。

  • セキュリティグループ(名前は、vm name-mgmt-SecurityGroup)

    セキュリティ グループは、Firewall Threat Defense Virtual 管理インターフェイスにマッピングされる VM の Nic0 にアタッチされます。

    このセキュリティグループには、Firewall Management Center インターフェイス(TCP ポート 8305)用の SSH(TCP ポート 22)および管理トラフィックを許可するルールが含まれます。導入後に、これらの値を変更できます。

  • パブリック IP アドレス(導入時に選択した値に従って命名)。

    任意のインターフェイスにパブリック IP アドレスを割り当てることができます。パブリック IP アドレスの作成、変更、削除など、パブリック IP に関する Azure のガイドラインについては、「パブリック IP アドレス」を参照してください。

  • [新規ネットワーク(New Network)] オプションを選択すると、4 つのサブネットを備えた仮想ネットワークが作成されます。

  • サブネットごとのルーティングテーブル(既存の場合は最新のもの)

    テーブルには、subnet name-FTDv-RouteTable という名前が付けられます。

    各ルーティングテーブルには、Firewall Threat Defense Virtual IP アドレスを持つ他の 3 つのサブネットへのルートがネクストホップとして含まれています。トラフィックを他のサブネットまたはインターネットに到達させる必要がある場合は、デフォルトルートを追加することもできます。

  • 選択したストレージアカウントの起動時診断ファイル

    起動時診断ファイルは、ブロブ(サイズの大きいバイナリオブジェクト)内に配置されます。

  • 選択したストレージアカウントのブロブおよびコンテナ VHD にある 2 つのファイル(名前は、vm name-disk.vhd および vm name-<uuid>.status)

  • ストレージアカウント(既存のストレージアカウントが選択されていない場合)


    (注)  


    VM を削除すると、保持を希望する任意のリソースを除き、これらの各リソースを個別に削除する必要があります。

Accelerated Networking(AN)

Azure の Accelerated Networking(AN)機能により、VM に対するシングルルート I/O 仮想化(SR-IOV)が可能になります。これにより、VM NIC がハイパーバイザをバイパスしてその下の PCIe カードに直接アクセスできるようになり、ネットワークが高速化します。AN は VM のスループットパフォーマンスを大幅に向上させ、コアの追加(つまり VM の拡大)にも対応します。

AN はデフォルトではディセーブルになっています。Azure は、事前プロビジョニングされた仮想マシンでの AN の有効化をサポートしています。Azure で VM を停止し、ネットワークカードのプロパティを更新して enableAcceleratedNetworking パラメータを true に設定するだけです。Microsoft ドキュメントの「既存の VM で高速ネットワークを有効にする」を参照してください。その後、VM を再起動します。

ixgbe-vf インターフェイスの使用の制限事項

ixgbe-vf インターフェイスを使用する場合、次の制限事項があります。

  • ゲスト VM では、VF を無差別モードに設定できません。そのため、ixgbe-vf の使用時はトランスペアレント モードがサポートされません。

  • ゲスト VM では、VF 上で MAC アドレスを設定できません。そのため、HA 中は MAC アドレスが転送されません。他の Firewall Threat Defense Virtual プラットフォームや他のインターフェイス タイプを使用した場合は転送されます。HA フェールオーバーは、IP アドレスをアクティブからスタンバイに移行することによって機能します。


    (注)  


    この制限は、i40e-vf インターフェイスにも適用されます。


  • Cisco UCSB サーバーは ixgbe-vf の vNIC をサポートしません。

  • フェールオーバー セットアップでは、ペアになっている Firewall Threat Defense Virtual(プライマリ装置)に障害が発生すると、スタンバイ装置がプライマリ装置のロールを引き継ぎ、そのインターフェイス IP アドレスがスタンバイ Firewall Threat Defense Virtual 装置の新しい MAC アドレスで更新されます。その後、Firewall Threat Defense Virtual は Gratuitous Address Resolution Protocol(ARP)更新を送信して、インターフェイス IP アドレスの MAC アドレスの変更を同じネットワーク上の他のデバイスに通知します。ただし、インターフェイスタイプの非互換性により、Gratuitous ARP 更新は、インターフェイス IP アドレスをグローバル IP アドレスに変換するための NAT または PAT ステートメントで定義されているグローバル IP アドレスに送信されません。

Azure ルーティング

Azure 仮想ネットワークサブネットでのルーティングは、サブネットの有効ルーティングテーブルによって決定されます。有効ルーティングテーブルは、組み込みのシステムルートとユーザー定義ルート(UDR)テーブルが組み合わされたものです。


(注)  


有効ルーティングテーブルは VM NIC のプロパティの下に表示されます。

ユーザー定義のルーティングテーブルは表示および編集できます。システムルートとユーザー定義ルートを組み合わせて有効ルーティングテーブルを構成する際に、最も固有なルート(同位のものを含め)がユーザー定義ルーティングテーブルに含められます。また、システム ルーティング テーブルには、Azure の仮想ネットワーク インフラストラクチャ ゲートウェイを指すネクストホップとともに、他の定義済みのサブネットへの固有ルートが含まれます。

Azure Routing Firewall Threat Defense Virtual 経由でトラフィックをルーティングするには、各データサブネットに関連付けられたユーザー定義ルーティングテーブルのルートを追加または更新する必要があります。対象トラフィックは、そのサブネット上の Firewall Threat Defense Virtual IPアドレスをネクストホップとして使用してルーティングする必要があります。

システム ルーティング テーブル内の既存の限定的なルートのために、ユーザー定義のルーティングテーブルに、ネクストホップとして Firewall Threat Defense Virtual を指す限定的なルートを追加する必要があります。追加しないと、ユーザー定義のテーブル内のデフォルトルートではなく、システム ルーティング テーブル内のより限定的なルートが選択され、トラフィックは Firewall Threat Defense Virtual をバイパスします。

仮想ネットワーク内の VM のルーティング設定

Azure 仮想ネットワーク内のルーティングは、クライアントの特定なゲートウェイ設定ではなく、有効なルーティングテーブルに依存します。仮想ネットワーク内で稼働するクライアントは、DHCPによって、それぞれのサブネット上の 1 アドレスとなるルートを指定されることがあります。これはプレースホルダで、仮想ネットワークのインフラストラクチャ仮想ゲートウェイにパケットを送信するためにだけ使用されます。パケットは、VM から送信されると、有効なルーティングテーブル(ユーザー定義のテーブルによって変更された)に従ってルーティングされます。有効なルーティング テーブルは、クライアントでゲートウェイが 1 として、または Firewall Threat Defense Virtual アドレスとして設定されているかどうかに関係なく、ネクストホップを決定します。

Azure VM ARP テーブルには、すべての既知のホストに対して同じ MAC アドレス(1234.5678.9abc)が表示されます。これによって、Azure VM からのすべてのパケットが、有効なルーティングテーブルを使用してパケットのパスを決定する Azure ゲートウェイに到達するように保証されます。

IP アドレス

次の情報は Azure の IP アドレスに適用されます。

  • Firewall Threat Defense Virtual 上の最初の NIC(Management にマッピングされる)には、アタッチ先のサブネット内のプライベート IP アドレスが付与されます。

    パブリック IP アドレスは、プライベート IP アドレスに関連付けられる場合があり、Azure インターネットゲートウェイは NAT 変換を処理します。

  • スタティックパブリック IP アドレスは、Azure 内でそれらを変更するまで変わりません。

  • Firewall Threat Defense Virtual インターフェイスは、DHCP を使用して自身の IP アドレスを設定できます。Azure インフラストラクチャは、Azure に設定された IP アドレスが確実に Firewall Threat Defense Virtual インターフェイスに割り当てられるようにします。

Firewall Threat Defense Virtual の導入

テンプレートを使用して、Azure に Firewall Threat Defense Virtual を展開できます。2 種類のテンプレートが用意されています。

  • Azure マーケットプレイスのソリューションテンプレート:Azure マーケットプレイスで使用可能なソリューションテンプレートを使用すると、Azure ポータルを使用して Firewall Threat Defense Virtual を展開できます。既存のリソースグループおよびストレージアカウントを使用して(あるいは、それらを新規に作成して)、仮想アプライアンスを展開できます。ソリューションテンプレートを使用するには、「ソリューションテンプレートを使用した Azure マーケットプレイスからの展開」を参照してください。

  • VHD からの管理対象イメージを使用したカスタムテンプレート( https://software.cisco.com/download/home から入手可能):マーケットプレイスベースの展開の他に、圧縮仮想ディスク(VHD)が用意されています。これを Azure にアップロードして、Azure に Firewall Threat Defense Virtual を展開するプロセスを簡素化できます。管理対象イメージと 2 つの JSON ファイル(テンプレートファイルおよびパラメータファイル)を使用して、単一の協調操作で Firewall Threat Defense Virtual のすべてのリソースを導入およびプロビジョニングできます。カスタムテンプレートを使用するには、「VHD およびリソーステンプレートを使用した Azure からの展開」を参照してください。


(注)  


マーケットプレイスでシスコのオファーを検索すると、アプリケーションオファーと仮想マシンオファーという、名前は似ているものの、オファーのタイプが異なる 2 つの異なるオファーが見つかる場合があります。

マーケットプレイス展開の場合は、アプリケーションオファーのみを使用します。

マーケットプレイスでは、VMSR(仮想マシンソフトウェア予約)プランを持つ仮想マシンオファーが表示される場合があります。これらは、特にチャネル/リセールのための特定のマルチパーティ プライベート オファー プランであり、通常の展開では無視するべきものです。

アプリケーション マーケットプレイスで利用可能なアプリケーションオファー


ソリューションテンプレートを使用した Azure マーケットプレイスからの展開

次の手順は、Azure マーケットプレイスで使用できる Firewall Threat Defense Virtual のソリューションテンプレートを展開する方法を示しています。これは、Microsoft Azure 環境で Firewall Threat Defense Virtual をセットアップする手順の概略です。Azure のセットアップの詳細な手順については、「Azure を使ってみる」を参照してください。

導入後に、これらの設定をさらに管理できます。たとえば、アイドルタイムアウト値を、デフォルトの短いタイムアウトから変更することができます。


(注)  


GitHub リポジトリで使用できるカスタマイズ可能な ARM テンプレートについては、「VHD およびリソーステンプレートを使用した Azure からの展開」を参照してください。


手順


ステップ 1

Azure Resource Manager(ARM)ポータルにログインします。

Azure ポータルは、データセンターの場所に関係なく、現在のアカウントとサブスクリプションに関連付けられた仮想要素を表示します。

ステップ 2

[Azureマーケットプレイス(Azure Marketplace)] > [仮想マシン(Virtual Machines)] を順に選択します。

ステップ 3

マーケットプレイスで「Cisco Firepower NGFW Virtual (Firewall Threat Defense Virtual)」を検索して選択し、[作成(Create)] をクリックします。

ステップ 4

基本的な設定を行います。

  1. 仮想マシンの名前を入力します。この名前は Azure サブスクリプション内で一意である必要があります。

    重要

     
    既存の名前を使用している場合、導入は失敗します。
  2. Byol または PAYG のいずれかのライセンス方式を選択します。

    シスコ スマート ライセンス アカウントを使用する Byol(Bring Your Own License)を選択します。

    シスコ スマート ライセンシングを購入せずに従量制課金モデルを使用するには、PAYG(Pay As You Go)ライセンスを選択します。

    重要

     

    PAYG は、Firewall Management Center を使用して Firewall Threat Defense Virtual を管理する場合にのみ使用できます。

  3. Firewall Threat Defense Virtual 管理者のユーザー名を入力します。

    (注)  

     
    「admin」という名前は Azure で予約されており、使用できません。
  4. 認証タイプとして、パスワードまたは SSH キーのいずれかを選択します。

    パスワードを選択した場合は、パスワードを入力して確定します。

    SSH キーを選択した場合は、リモート ピアの RSA 公開キーを指定します。

  5. Firewall Threat Defense Virtual の設定時にログインする際に Admin ユーザーアカウントで使用するパスワードを作成します。

  6. サブスクリプションを選択します。

  7. 新しいリソースグループを作成します。

    Firewall Threat Defense Virtual は新しいリソースグループに導入する必要があります。既存のリソースグループに展開するオプションは、既存のリソースグループが空の場合にのみ機能します。

    ただし、後の手順でネットワークオプションを設定する際に、Firewall Threat Defense Virtual を別のリソースグループ内に存在している仮想ネットワークへ接続できます。

  8. 地理的なロケーションを選択します。このロケーションは、導入で使用される全リソース(Firewall Threat Defense Virtual、ネットワーク、ストレージアカウントなど)で統一する必要があります。

  9. [OK] をクリックします。

ステップ 5

Firewall Threat Defense Virtual の設定項目を設定します。

  1. 仮想マシンのサイズを選択します。

  2. ストレージアカウントを選択します。

    (注)  

     
    既存のストレージアカウントを使用するほか、新規に作成することもできます。ストレージアカウント名には、小文字と数字のみを使用できます。
  3. パブリック IP アドレスを選択します。

    選択したサブスクリプションとロケーションで使用可能なパブリック IP アドレスを選択するか、[新規作成(Create new)] をクリックします。

    新しいパブリック IP アドレスを作成する場合は、Microsoft が所有する IP アドレスのブロックの中から 1 つ取得するため、特定のアドレスを選択することはできません。インターフェイスに割り当てることができるパブリック IP アドレスの最大数は、Azure サブスクリプションに基づいています。

    重要

     

    Azure は、デフォルトでダイナミックパブリック IP アドレスを作成します。VM を停止させて再起動すると、パブリック IP が変わることがあります。固定 IP アドレスを使用する場合は、スタティックアドレスを作成する必要があります。導入後にパブリック IP アドレスを変更して、ダイナミックアドレスからスタティックアドレスに変更することもできます。

  4. DNS ラベルを追加します。

    (注)  

     
    完全修飾ドメイン名は、DNS ラベルと Azure URL の組み合わせで、<dnslabel>.<location>.cloudapp.azure.com の形式になります。
  5. 仮想ネットワークを選択します。

    既存の Azure Virtual Network(VNet)を選択するか、新しいものを作成して、VNet の IP アドレス空間を入力できます。デフォルトでは、Classless Inter-Domain Routing(CIDR)の IP アドレスは 10.0.0.0/16 です。

  6. Firewall Threat Defense Virtual ネットワーク インターフェイスで 4 つのサブネットを構成します。

    • FTDv 管理インターフェイス(第 1 サブネット(Azure の Nic0)に接続)

    • FTDv 診断インターフェイス(第 2 サブネット(Azure の Nic1)に接続)

    • FTDv 外部インターフェイス(第 3 サブネット(Azure の Nic2)に接続)

    • FTDv 内部インターフェイス(第 4 サブネット(Azure の Nic3)に接続)

  7. [OK] をクリックします。

ステップ 6

構成サマリを確認し、[OK] をクリックします。

ステップ 7

利用条件を確認し、[購入(Purchase)] をクリックします。

導入時間は Azure によって異なります。Firewall Threat Defense Virtual VM が実行されていることが Azure から報告されるまで待機します。


次のタスク

次の手順は、選択した管理モードによって異なります。

管理オプションの選択方法の概要については、「Cisco Secure Firewall Threat Defense Virtual デバイスの管理方法」を参照してください。

VHD およびリソーステンプレートを使用した Azure からの展開

シスコが提供する圧縮 VHD イメージを使用して、独自のカスタム Firewall Threat Defense Virtual イメージを作成できます。VHD イメージを使用して展開するには、Azure ストレージアカウントに VHD イメージをアップロードする必要があります。次に、アップロードしたディスクイメージおよび Azure Resource Manager テンプレートを使用して、管理対象イメージを作成できます。Azure テンプレートは、リソースの説明とパラメータの定義が含まれている JSON ファイルです。

始める前に

  • Firewall Threat Defense Virtual テンプレートの展開には、JSON テンプレートおよび対応する JSON パラメータファイルが必要です。これらのファイルは、Github リポジトリからダウンロードできます。

  • この手順では、Azure に Linux VM が存在している必要があります。一時的な Linux VM(Ubuntu 16.04 など)を使用して、Azure に圧縮 VHD イメージをアップロードすることを推奨します。このイメージを解凍するには、約 50 GB のストレージが必要です。また、Azure の Linux VM から Azure ストレージへのアップロード時間が短縮されます。

    VM を作成する必要がある場合は、次のいずれかの方法を使用します。

  • Azure サブスクリプションには、Firewall Threat Defense Virtual を展開する場所で使用可能なストレージアカウントが必要です。

手順


ステップ 1

シスコ ダウンロード ソフトウェア ページから Firewall Threat Defense Virtual 圧縮 VHD イメージをダウンロードします。

  1. [製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [次世代ファイアウォール(NGFW)(Next-Generation Firewalls (NGFW))] > [Cisco Secure Firewall Threat Defense Virtualファイアウォール管理(Cisco Secure Firewall Threat Defense Virtual)] の順に移動します。

  2. [Firepower Threat Defenseソフトウェア(Firepower Threat Defense Software)] をクリックします。

    手順に従ってイメージをダウンロードしてください。

    例:Cisco_Secure_Firewall_Threat_Defense_Virtual-X.X.X-xxx.vhd.bz2

ステップ 2

Azure の Linux VM に圧縮 VHD イメージをコピーします。

Azure との間でファイルをやり取りするために使用できるオプションが数多くあります。この例では、SCP(セキュアコピー)を示します。

# scp /username@remotehost.com/dir/Cisco_Secure_Firewall_Threat_Defense_Virtual-7.1.0-92.vhd.bz2 <linux-ip>

ステップ 3

Azure の Linux VM にログインし、圧縮 VHD イメージをコピーしたディレクトリに移動します。

ステップ 4

Firewall Threat Defense Virtual VHD イメージを解凍します。

ファイルを解凍または圧縮解除するために使用できるオプションが数多くあります。この例では Bzip2 ユーティリティを示しますが、Windows ベースのユーティリティも正常に機能します。

# bunzip2 Cisco_Firepower_Threat_Defense_Virtual-7.1.0-92.vhd.bz2

ステップ 5

Azure ストレージアカウントのコンテナに VHD をアップロードします。既存のストレージアカウントを使用するほか、新規に作成することもできます。ストレージアカウント名には、小文字と数字のみを使用できます。

ストレージアカウントに VHD をアップロードするために使用できるオプションが数多くあります。AzCopy、Azure Storage Copy Blob API、Azure Storage Explorer、Azure CLI、Azure ポータルなどです。Firewall Threat Defense Virtual VHD ほどの容量があるファイルには、Azure ポータルを使用しないことを推奨します。

次の例は、Azure CLI を使用した構文を示しています。

azure storage blob upload \
       --file <unzipped vhd> \
       --account-name <azure storage account> \
       --account-key yX7txxxxxxxx1dnQ== \
       --container <container> \
       --blob <desired vhd name in azure> \
       --blobtype page

ステップ 6

VHD から管理対象イメージを作成します。

  1. Azure ポータルで、[イメージ(Images)] を選択します。

  2. [追加(Add)] をクリックして、新しいイメージを作成します。

  3. 次の情報を入力します。

    • [サブスクリプション(Subscription)]:ドロップダウンリストからサブスクリプションを選択します。

    • [リソースグループ(Resource group)]:既存のリソースグループを選択するか、新しいリソースグループを作成します。

    • [名前(Name)]:管理対象イメージのユーザー定義の名前を入力します。

    • [リージョン(Region)]:VM が展開されるリージョンを選択します。

    • [OSタイプ(OS type)]:OS タイプとして [Linux] を選択します。

    • [VMの世代(VM Generation)]

      BIOS ブートモードの場合は [第1世代(Generation 1)] を選択します。

      (注)  

       

      [世代2(Gen 2)] はサポートされていません。

    • [ストレージブロブ(Storage blob)]:ストレージアカウントを参照して、アップロードした VHD を選択します。

    • [アカウントタイプ(Account type)]:要件に応じて、ドロップダウンリストから [Standard HDD]、[Standard SSD]、または [Premium SSD] を選択します。

      このイメージの展開用に計画している VM サイズを選択する場合は、選択したアカウントタイプがその VM サイズでサポートされていることを確認します。

    • [ホストキャッシング(Host caching)]:ドロップダウンリストから [読み取り/書き込み(Read/write)] を選択します。

    • [データディスク(Data disks)]:デフォルトのままにして、データディスクを追加しないでください。

  4. [作成(Create)] をクリックします。

    「イメージが正常に作成されました(Successfully created image)」というメッセージが [通知(Notifications)] タブの下に表示されるまで待ちます。

(注)  

 

管理対象イメージが作成されたら、アップロードした VHD とアップロード ストレージ アカウントを削除できます。

ステップ 7

新規に作成した管理対象イメージのリソース ID を取得します。

Azure の内部では、あらゆるリソースがリソース ID に関連付けられています。リソース ID は、この管理対象イメージから新しい Firewall Threat Defense Virtual ファイアウォールを展開するときに必要になります。

  1. Azure ポータルで、[イメージ(Images)] を選択します。

  2. 前のステップで作成した管理対象イメージを選択します。

  3. [概要(Overview)] をクリックして、イメージのプロパティを表示します。

  4. クリップボードにリソース ID をコピーします。

    リソース ID は、次の形式を取ります。

    /subscriptions/<subscription-id>/resourceGroups/<resourceGroup>/providers/Microsoft.Compute/<container>/ <vhdname>

ステップ 8

管理対象イメージおよびリソーステンプレートを使用して、Firewall Threat Defense Virtual ファイアウォールを構築します。

  1. Azure GUIで、カスタムデプロイメントを検索します。

  2. [テンプレートを選択(Select a template)] の下で、[エディタで独自のテンプレートを構築する(Build your own template in the editor)] をクリックします。

    カスタマイズできる空白のテンプレートが作成されます。テンプレートファイルについては、「 Github 」を参照してください。

  3. カスタマイズした JSON テンプレートコードをウィンドウに貼り付け、[保存(Save)] をクリックします。

  4. ドロップダウンリストから [サブスクリプション(Subscription)] を選択します。

  5. 既存の [リソースグループ(Resource group)]を選択するか、新しいリソースグループを作成します。

  6. ドロップダウンリストから [リージョン(Region)] を選択します。

  7. 前のステップの管理対象イメージの [リソースID(Resource ID)] [VMイメージID(Vm Image Id)] フィールドに貼り付けます。

ステップ 9

[カスタム展開(Custom deployment)] ページの最上部にある [パラメータの編集(Edit parameters)] をクリックします。カスタマイズできるパラメータテンプレートが作成されます。

  1. [ファイルのロード(Load file)] をクリックし、カスタマイズした Firewall Threat Defense Virtual パラメータファイルを参照します。テンプレートパラメータについては、「Github」を参照してください。

  2. カスタマイズした JSON パラメータコードをウィンドウに貼り付け、[保存(Save)] をクリックします。

ステップ 10

カスタム展開の詳細を確認します。[基本(Basics)] と [設定(Settings)] の情報([リソースID(Resource ID)] など)が、想定した展開設定に一致することを確認します。

ステップ 11

利用規約を確認し、[上記の利用規約に同意します(I agree to the terms and conditions stated above)] チェックボックスをオンにします。

ステップ 12

[購入(Purchase)] をクリックし、管理対象イメージおよびカスタムテンプレートを使用して Firewall Threat Defense Virtual ファイアウォールを展開します。

テンプレートファイルとパラメータファイルに競合がなければ、展開が正常に完了しているはずです。

管理対象イメージは、同じサブスクリプションおよび地域内の複数の展開に使用できます。


次のタスク

  • Azure で Firewall Threat Defense Virtual の IP 設定を更新します。

制限付きの Azure プライベート マーケットプレイス環境での Azure マーケットプレイスオファーの展開

これは、Azure プライベート マーケットプレイスのユーザーにのみ適用されます。Azure プライベート マーケットプレイスを使用している場合は、それぞれのプライベート マーケットプレイスで、ユーザーに対してアプリケーション オファーおよび必要な仮想マシンオファー(非表示)の両方が有効になっていることを確認します。

仮想マシンのオファーとプラン(非表示):

  • パブリッシャー ID:cisco

  • Cisco Secure Firewall Threat Defense Virtual VM オファー(両方の Cisco Secure Firewall Threat Defense Virtual アプリケーションオファーに使用)

    • オファー ID:cisco-ftdv

    • BYOL プラン ID:ftdv-azure-byol

    • PAYG プラン ID:ftdv-azure-payg

ユーザーがマーケットプレイスから表示されているアプリケーションオファーを展開すると、PAYG または BYOL ライセンスのユーザー選択に基づいて、VM オファープランから対応するイメージが参照され、展開されます。

したがって、展開を機能させるには、アプリケーションと VM の両方のオファーが Azure テナント/サブスクリプションのプライベート マーケットプレイスで有効になっていて、利用できる必要があります。

プライベート マーケットプレイスでこれらのアプリケーションオファーと VM オファーを有効にする方法については、Azure のドキュメントを参照してください。

アプリケーションオファーはマーケットプレイスに表示されるため、Azure UI を介して簡単に有効にできます。

プライベート マーケットプレイスで非表示の仮想マシンオファーを有効にするには、CLI コマンドの使用が必要となる場合があります(このドキュメントの作成時点では、CLI の方法のみが可能です)。

サンプルコマンド

Cisco Secure Firewall Threat Defense Virtual BYOL プランは、次に示すようなサンプルコマンドを使用して有効にできます:
$Params = @{
  privateStoreId = ‘<private-store-id>’
  offerId = ‘<publisher-id>.<vm-offer-id>’
  SpecificPlanIdsLimitation =@(‘<plan-id-under-vm-offer>’)
}
Set-AzMarketplacePrivateStoreOffer @Params

$Params = @{
  privateStoreId = ‘<private-store-id>’
  offerId = ‘cisco.cisco-ftdv’
  SpecificPlanIdsLimitation =@(‘ftdv-azure-byol’)
}
Set-AzMarketplacePrivateStoreOffer @Params 

(注)  


サンプルコマンドは参考用です。詳細については、Azure のドキュメントを確認してください。


参照エラーメッセージ

{
  "code": "MarketplacePurchaseEligibilityFailed",
  "details": [
    {
      "code": "BadRequest",
      "message": "Offer with PublisherId: 'cisco', OfferId: 'cisco-XXXX' cannot be purchased due to validation errors. For more information see details. 
Correlation Id: 'XXXXX` 
This plan is not available for purchase because it needs to be added to your tenant's Private Marketplace. Contact your admin to request adding the plan. 
Link to plan: <URL>. 
Plan: '<PLAN NAME>'(planId=<VM-OFFER-PLAN-ID>), 
Offer: <OFFER_NAME>, Publisher: 'Cisco Systems, Inc.'(publisherId='cisco').
…
…
    }
  ],
  "message": "Marketplace purchase eligibilty check returned errors. See inner errors for details. "
}

マーケットプレイスオファーの展開中には、上記のエラーが発生することがあります。これを解決するには、アプリケーションと VM の両方のオファーを Azure テナント/サブスクリプションで有効にし、利用可能にする必要があります。

アップグレードのシナリオ

Firewall Threat Defense Virtual インスタンスは、以下のシナリオに従ってアップグレードできます。

  • Cisco Secure Firewall バージョン 7.3 およびそれ以前 – 診断インターフェイスを使用して展開された Firewall Threat Defense Virtual インスタンスを、診断インターフェイスを使用する Firewall Threat Defense Virtual インスタンスにアップグレードできます。

  • Cisco Secure Firewall バージョン 7.4.1 以降:診断インターフェイスを使用せずに展開された Firewall Threat Defense Virtual インスタンスを、診断インターフェイスを使用しない Firewall Threat Defense Virtual インスタンスにアップグレードできます。

以下に示すアップグレードシナリオはサポートされていません。

  • すべての Cisco Secure Firewall バージョン:診断インターフェイスを使用して展開された Firewall Threat Defense Virtual インスタンスは、診断インターフェイスを使用しない Firewall Threat Defense Virtual インスタンスにはアップグレードできません。


(注)  


NIC の数と順序は、アップグレード後も維持されます。


Threat Defense Virtual クラスタまたは Auto Scale ソリューションの展開

Firewall Threat Defense Virtual クラスタまたは Auto Scale ソリューションの展開には、Azure マーケットプレイスの展開時に割り当てられる 4 つのネットワーク インターフェイス(1 つの管理インターフェイスと 3 つのデータインターフェイス)が必要です。Day-0 構成スクリプトでは、追加の構成は必要ありません

Firewall Threat Defense Virtualイメージスナップショット

Azure ポータルでスナップショットイメージを使用して、Firewall Threat Defense Virtualを作成および展開できます。イメージスナップショットは、状態データのない、複製された Firewall Threat Defense Virtual イメージインスタンスです。

Firewall Threat Defense Virtualスナップショットの概要

Firewall Threat Defense Virtual インスタンスのスナップショットイメージを作成するプロセスは、Firewall Threat Defense Virtual および FSIC に対して実行される最初のブート手順をスキップすることにより、初期システムの初期化時間を最小限に抑えるのに役立ちます。スナップショットイメージは、事前に入力されたデータベースと Firewall Threat Defense Virtual 初期ブートプロセスで構成されます。これにより、イメージは Firewall Management Center またはその他の管理センターのシステム ID に関連する一意の ID(UUID、シリアル番号)を再生成できます。このプロセスは、自動スケール展開に不可欠な Firewall Threat Defense Virtual の起動時間を短縮するのに役立ちます。


(注)  


スナップショットイメージの作成は、未登録の Cisco Secure Firewall Threat Defense Virtual での初期システム初期化時間を最小限に抑えるために使用されます。バックアップ/復元の目的では使用しないでください。



(注)  


現在、Pay-As-You-Go(PAYG)ライセンスは、Firewall Threat Defense Virtual のスナップショットイメージを使用して展開されたインスタンスではサポートされていません。PAYG ライセンスは、マーケットプレイスから直接展開するインスタンスでのみ使用できます。PAYG ライセンスでは、このような新規の Firewall Threat Defense Virtual 展開にスマートライセンシングを使用できます。


管理対象イメージからの Firewall Threat Defense Virtual スナップショットイメージの作成

Firewall Threat Defense Virtual のイメージスナップショットの作成は、Azure ポータルで Firewall Threat Defense Virtual インスタンスの既存の管理対象イメージを複製するプロセスです。

始める前に

Azure ポータルで Linux VM の Azure ストレージアカウント内のコンテナにサイズ変更した VHD イメージをアップロードして、Firewall Threat Defense Virtual バージョン 7.2 以降の管理対象イメージを作成しておく必要があります。サイズ変更した VHD イメージの作成については、「VHD およびリソーステンプレートを使用した Azure からの展開」を参照してください。

イメージスナップショットの準備をしている Firewall Threat Defense Virtual インスタンスを Firewall Management CenterFirewall Device Manager などのマネージャに登録しないでください。

手順


ステップ 1

Firewall Threat Defense Virtual インスタンスの管理対象イメージを作成した Azure ポータルに移動します。

(注)  

 
複製する予定の Firewall Threat Defense Virtual インスタンスが Firewall Management Center に登録されていないこと、または他のローカルマネージャに設定されていないこと、または設定が適用されていないことを確認します。

ステップ 2

[リソースグループ(Resource Group)] に移動し、Firewall Threat Defense Virtual インスタンスを選択します。

ステップ 3

Firewall Threat Defense Virtual インスタンスのナビゲーションページで [シリアルコンソール(Serial Console)] をクリックします。

ステップ 4

次のスクリプトを使用して、エキスパートシェルからプレスナップショット プロセスを実行します。


> expert
admin@FTDvbaseimg:~$ Sudo su
root@firepower:/ngfw/var/common# prepare_snapshot
Do you want to continue [Y/N]:
スクリプトで prepare_snapshot コマンドを使用すると、スクリプトの実行の確認を求める中間メッセージが表示されます。スクリプトを実行するには、[Y] を押します。

または、root@firepower:/ngfw/var/common# prepare_snapshot -f のように、このコマンドに -f を追加して、ユーザーの確認メッセージをスキップしてスクリプトを直接実行することもできます。

このスクリプトは、Firewall Threat Defense Virtual インスタンスに関連付けられたすべての回線設定、展開されたポリシー、設定されたマネージャ、UUID を削除します。処理が完了すると、Firewall Threat Defense Virtual インスタンスはシャットダウンされます。

ステップ 5

[キャプチャ(Capture)] をクリックします。

ステップ 6

[イメージの作成(Create an image)] ページで、既存のリソースグループを選択するか、[リソースグループ(Resource Group)] ドロップダウンリストから新しいリソースグループを作成します。

ステップ 7

[インスタンスの詳細(Instance Details)] セクションで [いいえ、管理対象イメージのみをキャプチャします(No, capture only a managed image)] をクリックして、管理対象イメージのみを作成します。

ステップ 8

Firewall Threat Defense Virtual インスタンスの管理対象イメージを使用して作成するスナップショットイメージの名前を指定します。

ステップ 9

[レビューと確認(Review+Create)] をクリックして、Firewall Threat Defense Virtual インスタンスの新しいスナップショットイメージを作成します。


次のタスク

スナップショットイメージを使用して Firewall Threat Defense Virtual インスタンスを展開します。「Deploy Secure Firewall Threat Defenece Virtual using snapshot image」を参照してください。

イメージスナップショットを使用した Firewall Threat Defense Virtual インスタンスの展開

始める前に

次のことを推奨します。

  • Firewall Threat Defense Virtual インスタンスのスナップショットイメージが使用可能であることを確認します。

手順


ステップ 1

Azure ポータルにログインします。

ステップ 2

新規に作成したスナップショットイメージのリソース ID をコピーします。

(注)  

 
Azure では、あらゆるリソース(スナップショットイメージ)がリソース ID に関連付けられています。新しい Firewall Threat Defense Virtual インスタンスを展開するには、スナップショットイメージのリソース ID が必要です。
  1. Azure ポータルで、[イメージ(Images)] を選択します。

  2. 管理対象イメージを使用して作成したスナップショットイメージを選択します。

  3. [概要(Overview)] をクリックして、イメージのプロパティを表示します。

  4. クリップボードにリソース ID をコピーします。リソース ID シンタックスは次の様に表されます。/subscriptions/<subscription-id>/resourceGroups/<resourceGroup>/providers/Microsoft.Compute/<container>/ <vhdname>

ステップ 3

スナップショットイメージを使用して Firewall Threat Defense Virtual インスタンスの展開を続行します。VHD およびリソーステンプレートを使用した Azure からの展開 を参照してください。

(注)  

 
Firewall Threat Defense Virtual コンソールから CLI コマンド show version および show snapshot detail を実行すると、新しく展開された Firewall Threat Defense Virtual インスタンスのバージョンと詳細を確認できます。