Firepower Management Center バージョン 6.3 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.3 コンフィギュレーション ガイド

Chapter Title

Firepower Threat Defense 用のトランスペアレントまたはルーテッド ファイアウォール モード

検索結果

Updated:
2019年9月25日

章のタイトル: Firepower Threat Defense 用のトランスペアレントまたはルーテッド ファイアウォール モード

Firepower Threat Defense 用のトランスペアレントまたはルーテッド ファイアウォール モード

この章では、ファイアウォール モードをルーテッドまたはトランスペアレントに設定する方法と、各ファイアウォール モードでファイアウォールがどのように機能するかについて説明します。


(注)  

ファイアウォール モードは通常のファイアウォール インターフェイスのみに影響し、インライン セットやパッシブ インターフェイスなどの IPS 専用インターフェイスには影響しません。IPS 専用インターフェイスはどちらのファイアウォール モードでも使用できます。IPS 専用インターフェイスの詳細については、Firepower Threat Defense のインライン セットとパッシブ インターフェイス を参照してください。インライン セットは「トランスペアレント インライン セット」と呼ばれることもありますが、インライン インターフェイス タイプはこの章で説明するトランスペアレント ファイアウォール モードおよびファイアウォール タイプのインターフェイスとは無関係です。

ファイアウォール モードについて

Firepower Threat Defense デバイス は、通常のファイアウォール インターフェイスでルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの 2 つのファイアウォール モードをサポートします。

ルーテッド ファイアウォール モードについて

ルーテッド モードでは、Firepower Threat Defense デバイスはネットワーク内のルータ ホップと見なされます。ルーティングを行う各インターフェイスは異なるサブネット上にあります。

統合ルーティングおよびブリッジングにより、ネットワーク上の複数のインターフェイスをまとめた「ブリッジ グループ」を使用できます。そして、Firepower Threat Defense デバイス はブリッジング技術を使用してインターフェイス間のトラフィックを通すことができます。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。Firepower Threat Defense デバイス は BVI と通常のルーテッド インターフェイス間でルーティングを行います。クラスタリング、EtherChannel、冗長または メンバー インターフェイスが必要ない場合は、トランスペアレント モードではなくルーテッド モードの使用を検討してください。ルーテッド モードでは、トランスペアレント モードと同様に 1 つ以上の分離されたブリッジグループを含めることができます。また、モードが混在する導入に関しては、通常のルーテッド インターフェイスも含めることができます。

トランスペアレント ファイアウォール モードについて

従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。ただし、他のファイアウォールのように、インターフェイス間のアクセス制御は管理され、ファイアウォールによる通常のすべてのチェックが実施されます。

レイヤ 2 の接続は、ネットワーク上の内部と外部のインターフェイスをまとめた「ブリッジ グループ」を使用して確立されます。また、Firepower Threat Defense デバイス はブリッジング技術を使用してインターフェイス間のトラフィックを通します。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。複数のネットワークに複数のブリッジグループを設定できます。トランスペアレント モードでは、これらのブリッジグループは相互通信できません。

ネットワークでのトランスペアレント ファイアウォールの使用

Firepower Threat Defense デバイス は、自身のインターフェイス間を同じネットワークで接続します。トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

次の図に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータと各ホストは、外部ルータに直接接続されているように見えます。

図 1. トランスペアレント ファイアウォール ネットワーク

診断 インターフェイス

各ブリッジ仮想インターフェイス(BVI)IP アドレスのほかに、別の診断 スロット/ポート インターフェイスを追加できます。このインターフェイスはどのブリッジ グループにも属さず、Firepower Threat Defense デバイス への管理トラフィックのみを許可します。

ルーテッド モード機能のためのトラフィックの通過

トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、アクセス ルールを使用することによって、(サポートされていない DHCP リレー機能の代わりに)DHCP トラフィックを許可したり、IP/TV で作成されるようなマルチキャスト トラフィックを許可したりできます。また、トランスペアレント ファイアウォールを通過するルーティング プロトコル隣接関係を確立することもできます。つまり、OSPF、RIP、EIGRP、または BGP トラフィックをアクセス ルールに基づいて許可できます。同様に、HSRP や VRRP などのプロトコルは Firepower Threat Defense デバイス を通過できます。

ブリッジグループについて

ブリッジ グループは、Firepower Threat Defense デバイス がルーティングではなくブリッジするインターフェイスのグループです。 ブリッジグループはトランスペアレント ファイアウォール モード、ルーテッド ファイアウォール モードの両方でサポートされています。他のファイアウォール インターフェイスのように、インターフェイス間のアクセス制御は管理され、ファイアウォールによる通常のチェックがすべて実施されます。

ブリッジ仮想インターフェイス(BVI)

各ブリッジグループには、ブリッジ仮想インターフェイス(BVI)が含まれます。Firepower Threat Defense デバイス は、ブリッジ グループから発信されるパケットの送信元アドレスとしてこの BVI IP アドレスを使用します。BVI IP アドレスはブリッジグループ メンバー インターフェイスと同じサブネット上になければなりません。BVI では、セカンダリ ネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。

トランスペアレント モード:インターフェイス ベースの各機能はブリッジ グループのメンバー インターフェイスだけを指定でき、これらについてのみ使用できます。

ルーテッド モード:BVI はブリッジグループと他のルーテッド インターフェイス間のゲートウェイとして機能します。ブリッジグループ/ルーテッド インターフェイス間でルーティングするには、BVI を指定する必要があります。一部のインターフェイスベース機能に代わり、BVI 自体が利用できます。

  • DHCPv4 サーバ:BVI のみが DHCPv4 サーバの構成をサポートします。

  • スタティック ルート:BVI のスタティック ルートを設定できます。メンバー インターフェイスのスタティック ルートは設定できません。

  • Syslog サーバと Firepower Threat Defense デバイス 由来の他のトラフィック:syslog サーバ(または SNMP サーバ、Firepower Threat Defense デバイス からトラフィックが送信される他のサービス)を指定する際、BVI またはメンバー インターフェイスのいずれかを指定できます。

ルーテッド モードで BVI を指定しない場合、Firepower Threat Defense デバイス はブリッジ グループのトラフィックをルーティングしません。この設定は、ブリッジグループのトランスペアレント ファイアウォール モードを複製します。クラスタリング、EtherChannel、冗長または メンバーインターフェイスが不要であれば、ルーテッド モードの使用を検討すべきです。ルーテッド モードでは、トランスペアレント モードと同様に 1 つ以上の分離されたブリッジグループを含めることができます。また、モードが混在する導入に関しては、通常のルーテッド インターフェイスも含めることができます。

トランスペアレント ファイアウォール モードのブリッジグループ

ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは Firepower Threat Defense デバイス 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから Firepower Threat Defense デバイス 内の他のブリッジ グループにルーティングされる前に、Firepower Threat Defense デバイス から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。

1 つのブリッジグループにつき複数のインターフェイスを入れることができます。サポートされるブリッジグループとインターフェイスの正確な数については、ファイアウォール モードのガイドラインを参照してください。ブリッジグループごとに 2 つ以上のインターフェイスを使用する場合は、内部、外部への通信だけでなく、同一ネットワーク上の複数のセグメント間の通信を制御できます。たとえば、相互通信を希望しない内部セグメントが 3 つある場合、インターフェイスを別々のセグメントに置き、外部インターフェイスとのみ通信させることができます。または、インターフェイス間のアクセス ルールをカスタマイズし、希望通りのアクセスを設定できます。

次の図に、2 つのブリッジ グループを持つ、Firepower Threat Defense デバイス に接続されている 2 つのネットワークを示します。

図 2. 2 つのブリッジ グループを持つトランスペアレント ファイアウォール ネットワーク

ルーテッド ファイアウォール モードのブリッジグループ

ブリッジグループ トラフィックは他のブリッジ グループまたはルーテッド インターフェイスにルーティングできます。ブリッジグループの BVI インターフェイスに名前を割り当てないことで、ブリッジグループのトラフィックを分離することもできます。BVI に名前を付けると、その BVI はその他の通常のインターフェイスと同様にルーティングに参加します。

ルーテッド モードでブリッジ グループを使用する方法として、外部スイッチの代わりに Firepower Threat Defense デバイス の予備インターフェイスを使用する方法があります。たとえば、デバイスの中には、通常のインターフェイスとして外部インターフェイスを持ち、その他すべてのインターフェイスが内部ブリッジグループに割り当てられているというデフォルト設定のものがあります。このブリッジグループは外部スイッチを置き換えることを目的としているので、すべてのブリッジグループ インターフェイスが自由に通信できるようにアクセス ポリシーを設定する必要があります。

図 3. 内部ブリッジグループと外部ルーテッド インターフェイスからなるルーテッド ファイアウオール ネットワーク

レイヤ 3 トラフィックの許可

  • ユニキャストの IPv4 および IPv6 トラフィックがブリッジグループを通過するにはアクセル ルールが必要です。

  • ARP は、アクセス ルールなしで両方向にブリッジグループを通過できます。ARP トラフィックは、ARP インスペクションによって制御できます。

  • IPv6 ネイバー探索およびルータ送信要求パケットは、アクセス ルールを使用して通過させることができます。

  • ブロードキャストおよびマルチキャスト トラフィックは、アクセス ルールを使用して通過させることができます。

許可される MAC アドレス

アクセス ポリシーで許可されている場合、以下の宛先 MAC アドレスをブリッジグループで使用できます(レイヤ 3 トラフィックの許可を参照)。このリストにない MAC アドレスはドロップされます。

  • FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

  • 0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

  • 3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

  • 0100.0CCC.CCCD の BPDU マルチキャスト アドレス

BPDU 処理

スパニングツリー プロトコルを使用するときのループを防止するために、デフォルトで BPDU が渡されます。

デフォルトでは、BPDU は高度なインスペクションにも転送されます。このインスペクションは、このタイプのパケットには必要なく、インスペクションの再起動によってブロックされた場合など、問題を引き起こす可能性があります。BPDU は高度なインスペクションから常に除外することをお勧めします。これを行うには、FlexConfig を使用して BPDU を信頼する EtherType ACL を設定し、各メンバー インターフェイス上の高度な検査から BPDU を除外します。Firepower Threat Defense の FlexConfig ポリシーを参照してください。

FlexConfig オブジェクトは次のコマンドを展開する必要があります。ここで、<if-name> はインターフェイス名に置き換えます。必要な数の access-group コマンドを追加して、デバイス上の各ブリッジ グループのメンバー インターフェイスをカバーします。また、ACL に別の名前を選択することもできます。 


access-list permit-bpdu ethertype trust bpdu
access-group permit-bpdu in interface <if-name>

MAC アドレスとルート ルックアップ

ブリッジ グループ内のトラフィックでは、パケットの発信インターフェイスは、ルート ルックアップではなく宛先 MAC アドレス ルックアップを実行することによって決定されます。

ただし、次の場合にはルート ルックアップが必要です。

  • トラフィックの発信元が Firepower Threat Defense デバイス:syslog サーバなどがあるリモート ネットワーク宛てのトラフィック用に、Firepower Threat Defense デバイス にデフォルト/スタティック ルートを追加します。

  • Voice over IP(VoIP)および TFTP トラフィック、エンドポイントが 1 ホップ以上離れている:セカンダリ接続が成功するように、リモート エンドポイント宛てのトラフィック用に、Firepower Threat Defense デバイス にスタティック ルートを追加します。Firepower Threat Defense デバイス は、セカンダリ接続を許可するためにアクセス コントロール ポリシーに一時的な「ピンホール」を作成します。セカンダリ接続ではプライマリ接続とは異なる IP アドレスのセットが使用される可能性があるため、Firepower Threat Defense デバイス は正しいインターフェイスにピンホールをインストールするために、ルート ルックアップを実行する必要があります。

    影響を受けるアプリケーションは次のとおりです。

    • H.323

    • RTSP

    • SIP

    • Skinny(SCCP)

    • SQL*Net

    • SunRPC

    • TFTP

  • Firepower Threat Defense デバイス が NAT を実行する 1 ホップ以上離れたトラフィック:リモート ネットワーク宛てのトラフィック用に、Firepower Threat Defense デバイス にスタティック ルートを設定します。また、Firepower Threat Defense デバイス に送信されるマッピング アドレス宛てのトラフィック用に、上流に位置するルータにもスタティック ルートが必要です。

    このルーティング要件は、NAT が有効になっている VoIP と DNS の、1 ホップ以上離れている組み込み IP アドレスにも適用されます。Firepower Threat Defense デバイス は、変換を実行できるように正しい出力インターフェイスを識別する必要があります。

    図 4. NAT の例:ブリッジ グループ内の NAT

    Threat Defense トランスペアレント モードの NAT

トランスペアレント モードのブリッジ グループのサポートされていない機能

次の表に、トランスペアレント モードのブリッジ グループでサポートされない機能を示します。

表 1. トランスペアレント モードでサポートされない機能

機能

説明

ダイナミック DNS

-

DHCP リレー

トランスペアレント ファイアウォールは DHCPv4 サーバとして機能することができますが、DHCP リレーはサポートしません。2 つのアクセス ルール(1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。)を使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。

ダイナミック ルーティング プロトコル

ただし、ブリッジグループ メンバー インターフェイスの場合、Firepower Threat Defense デバイス で発信されたトラフィックにスタティック ルートを追加できます。アクセス ルールを使用して、ダイナミック ルーティング プロトコルが Firepower Threat Defense デバイス を通過できるようにすることもできます。

マルチキャスト IP ルーティング

アクセス ルールで許可することによって、マルチキャスト トラフィックが Firepower Threat Defense デバイス を通過できるようにすることができます。

QoS

通過トラフィック用の VPN 終端

トランスペアレント ファイアウォールは、ブリッジ グループ メンバー インターフェイスでのみ、管理接続用のサイト間 VPN トンネルをサポートします。これは、Firepower Threat Defense デバイスを通過するトラフィックに対して VPN 接続を終端しません。アクセス ルールを使用して VPN トラフィックに ASA を通過させることはできますが、非管理接続は終端されません。

ルーテッド モードのブリッジ グループのサポートされていない機能

次の表に、ルーテッド モードのブリッジ グループでサポートされない機能を示します。

表 2. ルーテッド モードでサポートされない機能

機能

説明

EtherChannel メンバー インターフェイス

物理インターフェイス、冗長インターフェイス、およびサブインターフェイスのみがブリッジ グループ メンバー インターフェイスとしてサポートされます。

診断 インターフェイスもサポートされていません。

クラスタリング

ブリッジ グループはクラスタリングでサポートされません。

ダイナミック DNS

-

DHCP リレー

ルーテッド ファイアウォールは DHCPv4 サーバとして機能することができますが、DHCP リレーを BVI またはブリッジ グループ メンバー インターフェイスでサポートしません。

ダイナミック ルーティング プロトコル

ただし、BVI のスタティック ルートを追加することはできます。アクセス ルールを使用して、ダイナミック ルーティング プロトコルが Firepower Threat Defense デバイス を通過できるようにすることもできます。非ブリッジ グループ インターフェイスはダイナミック ルーティングをサポートします。

マルチキャスト IP ルーティング

アクセス ルールで許可することによって、マルチキャスト トラフィックが Firepower Threat Defense デバイス を通過できるようにすることができます。非ブリッジ グループ インターフェイスはマルチキャスト ルーティングをサポートします。

QoS

非ブリッジ グループ インターフェイスは、QoS をサポートします。

通過トラフィック用の VPN 終端

VPN 接続を BVI で終端することはできません。非ブリッジ グループ インターフェイスは、VPN をサポートします。

ブリッジ グループ メンバー インターフェイスは、管理接続専用のサイト間 VPN トンネルをサポートします。これは、Firepower Threat Defense デバイスを通過するトラフィックに対して VPN 接続を終端しません。アクセス ルールを使用して VPN トラフィックにブリッジ グループを通過させることはできますが、非管理接続は終端されません。

デフォルト設定

ブリッジ グループのデフォルト

デフォルトでは、すべての ARP パケットはブリッジ グループ内で渡されます。

ファイアウォール モードのガイドライン

モデルのガイドライン

  • ブリッジされた ixgbevf インターフェイスを持つ VMware 上の Firepower Threat Defense Virtual では、のブリッジ グループはサポートされません。

  • Firepower 2100 シリーズでは、ルーテッド モードのブリッジ グループはサポートされません。

  • Firepower Threat Defense Virtual では、ルーテッド モードのブリッジ グループはサポートされません。

ブリッジグループのガイドライン(トランスペアレントおよびルーテッドモード)

  • 64 のインターフェイスをもつブリッジグループを 250 まで作成できます。

  • 直接接続された各ネットワークは同一のサブネット上にある必要があります。

  • Firepower Threat Defense デバイス では、セカンダリ ネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。

  • IPv4 の場合は、管理トラフィックと、Firepower Threat Defense デバイス を通過するトラフィックの両方の各ブリッジ グループに対し、BVI の IP アドレスが必要です。IPv6 アドレスは BVI でサポートされますが必須ではありません。

  • IPv6 アドレスは手動でのみ設定できます。

  • BVI IP アドレスは、接続されたネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。

  • 管理インターフェイスはブリッジグループのメンバーとしてサポートされません。

  • Firepower 4100/9300 では、データ共有インターフェイスはブリッジ グループのメンバーとしてサポートされません。

  • トランスペアレント モードでは、少なくとも 1 つのブリッジ グループを使用し、データ インターフェイスがブリッジ グループに属している必要があります。

  • トランスペアレント モードでは、接続されたデバイス用のデフォルト ゲートウェイとして BVI IP アドレスを指定しないでください。デバイスは Firepower Threat Defense デバイス の他方側のルータをデフォルト ゲートウェイとして指定する必要があります。

  • トランスペアレント モードでは、管理トラフィックの戻りパスを指定するために必要なデフォルト ルートは、1 つのブリッジグループ ネットワークからの管理トラフィックにだけ適用されます。これは、デフォルト ルートはブリッジグループのインターフェイスとブリッジグループ ネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルト ルートしか定義できないためです。複数のブリッジグループ ネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別する標準のスタティック ルートを指定する必要があります。

  • トランスペアレント モードでは、PPPoE は 診断 インターフェイスでサポートされません。

  • ルーテッドモードでは、ブリッジグループと他のルーテッド インターフェイスの間をルーティングするために、BVI を指定する必要があります。

  • ルーテッド モードでは、FTD 定義の EtherChannel インターフェイスがブリッジ グループのメンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジ グループ メンバーにすることができます。

  • Bidirectional Forwarding Detection(BFD)エコー パケットは、ブリッジ グループ メンバを使用するときに、FTD を介して許可されません。BFD を実行している FTD の両側に 2 つのネイバーがある場合、FTD は BFD エコー パケットをドロップします。両方が同じ送信元および宛先 IP アドレスを持ち、LAND 攻撃の一部であるように見えるからです。

ファイアウォール モードの設定

スマート ライセンス 従来のライセンス サポートされるデバイス サポートされるドメイン アクセス(Access)

任意(Any)

該当なし

FTD

任意(Any)

Admin Access Admin Network Admin

ファイアウォール モードは、最初のシステム セットアップの実行時に CLI で設定できます。セットアップ時にファイアウォール モードを設定することをお勧めします。これは、ファイアウォール モードを変更すると、非適合の設定が発生しないように設定が消去されるためです。ファイアウォール モードの変更が後で必要になった場合は、CLI から変更する必要があります。

手順

ステップ 1

FMC から FTD デバイスの登録を解除します。

モードの変更は、デバイスの登録を解除するまで実行できません。

  1. [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

  2. 管理対象デバイスのリストから、デバイスを選択します。

  3. デバイスを削除(ゴミ箱アイコンをクリック)して、確認してから、システムがデバイスを削除するまで待機します。

ステップ 2

FTD デバイスの CLI にアクセスします。可能ならばコンソール ポートからアクセスします。

診断インターフェイスへの SSH を使用している場合、モードを変更すると、インターフェイスの設定が消去され、切断されます。代わりに、管理インターフェイスに接続する必要があります。

ステップ 3

ファイアウォール モードを変更します。

configure firewall [routed | transparent]

例:


> configure firewall transparent
This will destroy the current interface configurations, are you sure that you want to proceed? [y/N] y
The firewall mode was changed successfully.
ステップ 4

FMC に再登録します。

configure manager add {hostname | ip_address | DONTRESOLVE} reg_key [nat_id]

引数の説明

  • {hostname | ip_address | DONTRESOLVE } は、FMC の完全修飾ホスト名または IP アドレスのいずれかを指定します。FMC を直接アドレス指定できない場合は、DONTRESOLVE を使用します。

  • reg_key はデバイスを FMC へ登録するのに必要な英数字の一意の登録キーです。

  • nat_id は、FMC とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。これは、ホスト名が DONTRESOLVE に設定されている場合に必要です。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ