Cisco Japan Blog

Firepower 6.6 の新機能と改良点 (その2)

1 min read



NGIPS / NGFW / Anti-Malware である Cisco Firepower のソフトウェアバージョン 6.6 がリリースされました。前回に引き続き、今回は、FMC 管理 / FDM 管理のどちらにも該当する以下の新機能をピックアップします。

・URL Filter のデータベース変更
・Firepower 1010 だけの特別な機能のサポート
・冗長構成 / クラスタリング での設定同期の改善
・VRF をサポート
・アップデートファイルの柔軟な指定
・リモートアクセス VPN での DTLS 1.2 サポート
・Object Group Search のサポート
・AWS と Azure での FMCv & FTDv の大型インスタンス対応および FTDv のオートスケール対応


URL Filter のデータベース変更

バージョン 6.5 から、URL Filter のデータベースが、Cisco Talos popup_icon ネイティブなものに変更されました。カテゴリも統合 + 分割 + 新規追加等で変わっておりますので、改めて URL Filter の設定を見直すことをおすすめします。

 

Firepower 1010 だけの特別な機能のサポート

Firepower 1010 popup_icon は、デスクトップに置けるような小型サイズのアプライアンスであり、L2 Switching Port や PoE 対応 Port といった、他のアプライアンスには無い機能があります。バージョン 6.5 からこれらの設定が可能になりました。

Firepower 1010 のポート構成と FDM のインターフェイス設定画面

クラスタリング / 冗長構成での設定同期の改善

Active / Standby の冗長構成や、Firepower 4100 popup_icon / 9300 popup_icon でサポートされるクラスタリングにおける設定の同期方法がパラレルに変わり、結果、設定の同期そのものが早くなりました。

VRF をサポート

VRF (Virtual Routing and Forwarding) をサポートしました。Firepower 1010 および ISA 3000 popup_icon 以外の FTD で、ルーティングドメインを分割する VRF に対応します。これにより、FTD 配下で IP アドレスが重複していても、そのインターフェイスを異なる VRF に属させることで、この問題を解決できます。Firepower 4100 / 9300 でサポートされるマルチインスタンスとの併用も可能です。

FMC での VRF 設定例

 


FDM での VRF 設定例

 

FTD のインスタンスに対して、FTD のセキュリティポリシー設定を 1つを割り当てるので、VRF 毎にセキュリティポリシーそのものを使い分けることはできませんのでご注意ください。ただし、ルールにセキュリティゾーンが適用できるので、インターフェイスにセキュリティゾーンをマッピングさせて、セキュリティポリシー内でセキュリティゾーンを適用したルールを組み合わせることで、管理は複雑になりますが、VRF 毎に異なるセキュリティポリシーの運用を実現することができます。ルーティングドメイン毎に適用するセキュリティポリシーを完全に分けたい場合には、VRF ではなくマルチインスタンスか、あるいは FTDv を複数立ち上げるといった方法を検討してください。

アップデートファイルの柔軟な指定

FMC で管理している FTD デバイスのバージョンアップ実施時の使うアップデートファイル (イメージファイル) は、FMC がシスコのサイトから直接取得するか、あるいは管理者が事前にダウンロードしたファイルをローカル PC から FMC に手動でアップロードするしかありませんでした。バージョン 6.6 からは、管理者が準備した内部の Web サーバからのイメージ取得、という方法が可能になりました。

FMC での FTD のバージョンアップイメージを内部サーバに指定している例

また、FDM で管理している FTD デバイスにおける各種アップデートファイル (SRU, VDB, 位置情報 等) は、FTD が直接シスコのサイトからダウンロードするしかありませんでしたが、バージョン 6.6 からは、管理者が事前にダウンロードしたファイルをローカル PC から FTD に手動でアップロードすることもできるようになりました。

FDM の SRU マニュアルアップデートの例

リモートアクセス VPN での DTLS 1.2 サポート

AnyConnect を使った SSL-VPN でのリモートアクセス VPN 利用時に、より効率の良い DTLS 1.2 を使えるようになりました。ただし、ASA 5508-X / 5516-X で動作する FTD には未対応です。AnyConnect はバージョン 4.7 以降が必要です。ご参考までに、AnyConnect は常に最新版のものを使うことが推奨されています。現時点 (2020年7月) ではバージョン 4.9 系が最新です。

Object Group Search のサポート

ASA でサポートされていた Object Group Search (OGS) が、FTD バージョン 6.6 で Access Control Policy に適用可能になりました。OGS は、Object の中身が多く、Access Control Entry に Object の中身まで広げて FTD のメモリに保有すると、メモリ使用量が増えてしまうような場合に利用します。OGS を有効にすると、Object の中身は展開せずに、ルール内に Object のままで Access Control Entry として保持し、そのルールを評価 (適用) する際に、都度 Object の内容を探す、という動きになります。つまり、メモリ使用量を節約し、代わりに CPU 使用率が上がる、という結果になります。OGS はデフォルトでは無効です。必要に応じて有効にしてください。また、FDM で OGS を有効にする場合、FlexConfig での設定になりますのでご注意ください。

OGS の例

 

AWS と Azure での FMCv & FTDv の大型インスタンス対応および FTDv のオートスケール対応

バージョン 6.5 から 6.6 にかけて、AWS と Azure の FMCv と FTDv のデプロイ時に、大型のインスタンスを選択することが可能になりました。対応しているインスタンスは FTDv のクイックスタートガイド (AWS 用 popup_icon / Azure 用 popup_icon ) をご確認ください。
また、AWS と Azure ともに FTDv のオートスケールに対応しました。キャパシティに合わせて FTDv のインスタンス数を増減することができます。その際、FMC 管理の FTDv の場合には、FMC へのレジストとアンレジストを自動的に実施します。

 

 

今回は、FMC 管理 / FDM 管理のどちらにも該当する、バージョン 6.6 (一部 6.5) からの新機能をピックアップして解説しました。次回は、FMC 管理 のデバイスだけに該当する新機能について説明する予定です。

Authors

小林 達哉

テクニカル ソリューションズ アーキテクト

セキュリティ事業

コメントを書く