Radware DefensePro サービス チェーン(Firepower Threat Defense 用)クイック スタート ガイド
1. Firepower Threat Defense 用 Radware DefensePro サー ビス チェーンについて
Radware DefensePro サービス チェーンのライセンス要件
APSolute Vision Manager のバージョン要件
2. サービス チェーンにおける Radware vDP の導入と設定
Radware DefensePro サービス チェーンを備えたスタンドアロンの Firepower Threat Defense 論理デバイスの導入
Radware DefensePro サービス チェーンを備えた Firepower Threat Defense クラスタ の導入
Cisco FXOS シャーシは、単一ブレードで複数のサービス(Firepower Threat Defense ファイアウォール、サードパーティの DDoS アプリケーションなど)をサポートできます。これらのアプリケーションは、リンクされてサービス チェーンを形成します。Firepower 4120、4140、4150、および 9300 のセキュリティ アプライアンスで動作する Firepower eXtensible Operating System(FXOS)2.1.1 以降では、ASA や Firepower Threat Defense の前で実行するように、サードパーティ製の Radware DefensePro 仮想プラットフォームをインストールできます。Radware DefensePro は、FXOS シャーシに分散型サービス妨害(DDoS)の検出と緩和機能を提供する KVM ベースの仮想プラットフォームです。FXOS シャーシでサービス チェーンが有効になると、ネットワークからの入力トラフィックは Firepower Threat Defense に到達する前に DefensePro 仮想プラットフォームを通過する必要があります。
Firepower Threat Defense 対応の Radware DefensePro は、次のモードで展開することができます。
(注) サービス チェーンは、シャーシ内クラスタ コンフィギュレーションではサポートされていません。ただし、Radware DefensePro(vDP)アプリケーションは、シャーシ内クラスタ シナリオのスタンドアロン コンフィギュレーションに導入できます。DefensePro アプリケーションは最大 3 つのセキュリティ モジュールの個別のインスタンスとして動作できます。
Firepower 4100 および Firepower 9300 シリーズのセキュリティ アプライアンスで動作する Radware Virtual DefensePro アプリケーションのライセンスは、Radware APSolute Vision Manager を通じて処理されます。デバイスのスループット ライセンスを注文するには、Cisco Commerce Workspace(CCW)に移動します。このリクエストを送信すると、Radware ポータルへのログイン情報とリンクが返信され、ライセンス要求が可能になります。
Radware の APSolute Vision Manager および スループット ライセンス要件の詳細については、Radware の Web サイト( htttps://portals.radware.com/Customer/Home/Downloads/Management-Monitoring/?Product=APSolute-Vision )を参照してください。このポータルにアクセスするには、Radware に登録することが必要です。
Firepower セキュリティ アプライアンスに Radware vDP を展開する前に、シャーシ マネージャが NTP サーバを使用するように Etc/UTC タイム ゾーンで設定されていることを確認する必要があります。
1. Firepower Chassis Manager で [プラットフォームの設定(Platform Settings)] を選択し、[プラットフォームの設定(Platform Settings)] ページで [NTP] 領域を開きます。
2. [タイムゾーン(Time Zone)] ドロップダウン リストで [etc/UTC] を選択します。
3. [時刻源の設定(Set Time Source)] で、[NTPサーバの使用(Use NTP Server)] を選択します。
4. [NTPサーバ(NTP Server)] フィールドに、使用する NTP サーバの IP アドレスまたはホスト名を入力します。
Firepower シャーシでの日付と時刻の設定についての詳細は、『Cisco FXOS CLI コンフィギュレーション ガイド』[英語] または『Cisco FXOS Firepower Chassis Manager コンフィギュレーション ガイド』[英語]で、「日付と時刻の設定」のトピックを参照してください( http://www.cisco.com/go/firepower9300-config)。
Radware APSolute Vision は、vDP の主要な管理インターフェイスです。vDP と Firepower Threat Defense サービス チェーンの統合によって提供されるすべての機能を APSolute Vision Manager でサポートするには、APSolute Vision のバージョン R3.40 以上が必要です。
(注) Radware DefensePro の HTTPS 管理には、APSolute Vision Manager が必要です。APSolute Vision Manager なしで Radware DefensePro をローカルで管理するには、FXOS CLI を使用する必要があります。
スーパバイザで、 Firepower Threat Defense 論理デバイスおよび vDP デコレータの導入設定に
組み込むことのできる管理タイプのインターフェイスを設定します。また、少なくとも 1 つのデータ タイプのインターフェイスを設定する必要があります。
1. Firepower Chassis Manager で、[Interfaces] を選択してインターフェイス ページを開きます。
2. EtherChannel を追加するには、次の手順を実行します。
a. [Add Port Channel] をクリックします。
b. [Port Channel ID] に、1 ~ 47 の値を入力します。
d. [Type] で、[Management] または [Data] を選択します。各論理デバイスには、管理インターフェイスを 1 つだけ含めることができます。[Cluster] は選択しないでください。
e. 必要に応じて、メンバー インターフェイスを追加します。
a. インターフェイス行で [Edit] アイコンをクリックして、[Edit Interface] ダイアログボックスを開きます。
c. [Type] で、[Management] または [Data] をクリックします。各論理デバイスには、管理インターフェイスを 1 つだけ含めることができます。
Radware DefensePro イメージをインストールして Firepower Threat Defense のスタンドアロン論理デバイスの前に単一のサービス チェーンを設定するには、次の手順に従います。
(注) Firepower 4110 または 4120 デバイスで Firepower Threat Defense に Radware DefensePro をインストールする場合、同時に論理デバイスとしてデコレータを導入する必要があります。デバイスにすでに論理デバイスが設定された後で、デコレータをインストールすることはできません。詳細については、『Cisco FXOS Firepower Chassis Manager コンフィギュレーション ガイド』の「スタンドアロンの Threat Defense 論理デバイスの作成」を参照してください。
1. スタンドアロンの Threat Defense 論理デバイスを作成します(『Cisco FXOS Firepower Manager コンフィギュレーション ガイド』の「 スタンドアロンの Threat Defense 論理デバイスの作成 」を参照)。
2. FXOS CLI で、セキュリティ サービス モードを開始します。
3. Firepower Threat Defense がインストールされているのと同じスロットに Radware vDP イメージをインストールします。
5. セキュリティ モジュールの vDP の設置とプロビジョニングを確認します。
6. (オプション)サポートされている利用可能なリソース プロファイルを表示します。
7. (オプション)前の手順の使用可能なプロファイルの 1 つを使用して、リソース プロファイルを設定します。
b. DefensePro アプリケーション インスタンスを入力します。
8. vDP アプリケーションがオンライン状態になった後、論理デバイスにアクセスします。
9. Firepower Threat Defense 論理デバイスを入力します。
10. vDP に管理インターフェイスを割り当てます。論理デバイスのものと同じ物理インターフェイスを使用することも、別のインターフェイスを使用することもできます。
14. 論理デバイスにサードパーティのアプリケーションを追加します。
15. サードパーティのアプリケーションがインターフェイスに設定されているかどうかを確認します。
17. DefensePro アプリケーションのパスワードを設定します。パスワードを設定するまでは、アプリケーションはオンラインにならないことに注意してください。詳細については、cisco.com に用意されている『Radware DefensePro DDoS Mitigation User Guide』を参照してください。
Radware DefensePro イメージをインストールして Firepower Threat Defense シャーシ内クラスタの前にサービス チェーンを設定するには、次の手順に従います。
(注) サービス チェーンは、シャーシ内クラスタ コンフィギュレーションではサポートされていません。ただし、Radware DefensePro(vDP)アプリケーションは、シャーシ内クラスタ シナリオのスタンドアロン コンフィギュレーションに導入できます。
1. Firepower Threat Defense クラスタを設定します(『Cisco FXOS Firepower Chassis Manager コンフィギュレーション ガイド』の「 Firepower Threat Defense クラスタの設定」 を参照)。
2. 外部(クライアント側)ポートを Radware DefensePro でデコレートします。
3. Firepower Threat Defense の外部管理ポートを割り当てます。
4. DefensePro の外部管理ポートを割り当てます。
5. (オプション)サポートされている利用可能なリソース プロファイルを表示します。
6. (オプション)前の手順の使用可能なプロファイルの 1 つを使用して、リソース プロファイルを設定します。
b. DefensePro アプリケーション インスタンスを入力します。
8. DefensePro の 3 つのすべてのインスタンスの管理ブートストラップを設定します。
10. マスター ブレードで、管理 IP を設定し、クラスタリングを有効にします。
12. DefensePro アプリケーションのパスワードを設定します。パスワードを設定するまでは、アプリケーションはオンラインにならないことに注意してください。詳細については、cisco.com に用意されている『Radware DefensePro DDoS Mitigation User Guide』を参照してください。
13. この手順を完了したら、DefensePro インスタンスがクラスタに設定されているかどうかを確認する必要があります。これを行うには、DefensePro インスタンスの範囲を指定してアプリケーションの属性を表示し、DefensePro インスタンスのどれがプライマリで、どれがセカンダリかを確認します。
DefensePro アプリケーションがオンラインでもクラスタ化されていない場合は、CLI に次のように表示されます。
この「unknown」値が表示された場合は、vDP クラスタを作成するために、DefensePro アプリケーションを入力してマスター IP アドレスを設定する必要があります。
APSolute Vision で FXOS シャーシ内に配置される Virtual DefensePro アプリケーションを管理するために、vDP Web インターフェイスを有効にする必要があります。
1. FXOS CLI から、vDP のアプリケーション インスタンスに接続します。
2. DefensePro アプリケーション インスタンスにログインするには、特定のユーザ名とパスワード(radware/radware)を使用します。
Radware APSolute Vision Manager インターフェイスは、さまざまな UDP/TCP ポートを使用して Radware vDP のアプリケーションと通信します。vDP のアプリケーション が APSolute Vision Manager と通信するために、これらのポートがアクセス可能でありファイアウォールによってブロックされないことを確認します。オープンする特定のポートの詳細については、『 APSolute Vision ユーザ ガイド 』の次の表を参照してください。