Transcript PPT
PSU Week 2015 May [SEC-5] 次世代IPS FirePOWER/FireSIGHTシリーズの 基本設定と導入シナリオ エンタープライズ システムズ エンジニアリング シニア システムズ エンジニア 坂本 祐一 アジェンダ 1. FirePOWER/FireSIGHT機能概要 2. (ASA with) FirePOWER/FireSIGHT製品概要 3. 単体管理・集中管理マネージメントツール比較 4. 基本設定の解説 5. 導入シナリオ FirePOWER/FireSIGHT 機能概要 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 現在の脅威対策にこのような課題はありませんか? 最新の脅威に追加の対策を行いたいが、何を選択すればよいのかわからない 次世代ファイアウォールは導入検討中だが、脅威対策として機能には正直不安がある IPSやサンドボックスなどの専用機器の導入は、運用負荷が心配 01000111 0100 111001 0100 1110101001 1101 0011 011101 10001110100111 01 1110011 0110011 1010 00111 0100 1110101001 不正通信の防御 Webアプリケーション、ユーザ、 脅威の可視化 侵入検知と防御 ファイアウォール 次世代ファイアウォール IPS 不正プログラムの検知 サンドボックス Cisco FirePOWERシリーズが提供する脅威対策 業界最高水準のIPS エンジン ネットワークとホスト の可視化 次世代ファイア ウォール機能 マルウェア 防御(AMP) ネットワークディスカバリ イベント管理・ 解析ツール 運用の自動化 アプリケーション制御 ユーザ制御 URLフィルター ジオロケーション 自動チューニング インパクト解析 FirePOWER インシデント相関分析 統合レポーティング マルウェアの検知 ファイルトラッキング レトロスペクティブ サンドボックス Advanced Malware Protection FireSIGHTによるインテリジェントな脅威解析 ①ネットワークとホストの可視化 • 端末のOS、使用アプリケーション、利用ユーザの他、該当する脆弱性まで詳細に可視化 ②自動チューニングとインパクト解析 • 導入環境に合わせて設定・アラートを最適化し、管理者の運用負荷を大幅削減 ③マルウェアトラッキング • 過去にさかのぼってデータを継続解析し、感染経路を特定 ④インシデント相関分析 専用管理マネージャ FireSIGHT • IPS、マルウェア解析、不正通信等の独立したインシデントを”侵入の痕跡”として統合監視 FirePOWERデバイスの管理・監視および、データの収集・解析を行う (ASA with) FirePOWER/FireSIGHT製 品概要 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 FirePOWER / FireSIGHT Management Center 製品ラインナップ アプライアンス FireSIGHT Management Center FS 750 10Sensor 2000EPS FS 1500 35 Sensor 6000EPS FS 2000 70 Sensor 12000EPS FS 3500 150 Sensor 10000EPS FS 4000 300 Sensor 20000 EPS FirePOWER 8350/60/70/90 10Gbps-60Gbps 仮想アプライアンスも提供 (FirePOWER/FireSIGHT) FirePOWER 7010/20/30 50-250Mbps 小規模オフィス FirePOWER 8120/30/40/8250 2 Gbps-10Gbps FirePOWER 7110/7115 Series 500 Mbps – 1Gbps ブランチオフィス FirePOWER 7120/7125 1 Gbps-2Gbps インターネット エッジ キャンパス データセンタ FirePOWER アプライアンス 次世代FW アプリケーション識別 ユーザ識別 URL フィルター ジオロケーション 次世代IPS AMP ネットワーク可視化 (ネットワーク/ホスト/脆弱性等) 自動チューニング インパクト解析 侵入痕跡 /IOC(C&C通信、マル ウェア感染等) マルウェアの検知 クラウドサンドボックス 侵入/拡散経路解析 (ファイルトラジェクトリ) 過去の攻撃解析 (レトロスペクティブセキュリティ) 故障時にパケット転送 バイパス機能有り インラインモード パッシブモード 拠点に最適な小型アプライアンスから必要なパフォーマンスに 合わせてラインナップが充実 FirePOWER 7000 FirePOWER 8000 必要なポートに合わせてモジュールを組み合わせできる、 スタッキングでスケールアップ可能 あらゆる場面で既知と未知の脅威に対応 最も検知率の高い製品(NSSラボ検知率No.1) 参考 FireSIGHT Management Center モデル FSモデル 750 1500 2000 3500 4000 最大管理 デバイス 10 35 70 150 300 イベント ストレージ 100 GB 最大ネットワーク マップ数 (ホスト / ユーザ) 2K/2K 125 GB 50K/50K 1.8 TB 150K/150K 400 GB 300K/300K 4.8/6.3 TB (SSD/SAS) 600K/600K 仮想版 仮想FireSIGHT Management Center 25 管理デバイスまで 仮想 FireSIGHT Management Center 2または 10 管理 デバイスまでに制限 FS-VMW-2-SW-K9 FS-VMW-10-SW-K9 イベント/秒 (EPS) 2000 6000 12000 10000 20000 ASA with FirePOWER Services のみ対象 FirePOWER サービス対応ASA WWW ASA5585-X SSP60 サービスモジュール New ASA モジュール AVC: 15Gbps AVC,IPS: 10Gbps S20F60 AVC:7 Gbps AVC,IPS:7 Gbps ASA5585-X SSP40 AVC: 10Gbps AVC,IPS: 6Gbps New WWW ASA5585-X SSP20 ソフトウェア ASA5585-X SSP10 New New New ASA 5506-X AVC: 250Mbps AVC,IPS: 125Mbps SOHO ASA 5512-X AVC: 300Mbps AVC,IPS: 150Mbps ASA5508-X AVC: 450Mbps AVC,IPS: 250Mbps ASA 5515-X AVC: 500Mbps AVC,IPS: 250Mbps ASA5516-X ASA5525-X AVC: 850Mbps AVC,IPS: 450Mbps AVC: 1.1Gbps AVC,IPS: 650Mbps ASA5555-X ASA5545-X AVC: 1.5Gbps AVC,IPS: 1Gbps AVC: 7Gbps AVC,IPS: 3.5Gbps AVC: 4.5Gbps AVC,IPS: 2Gbps AVC: 1.75Gbps AVC,IPS: 1.25Gbps SSD搭載 Cisco ASA 5500-Xシリーズ 小規模向け ブランチ S10F40 AVC: 4.5Gbps AVC,IPS:4.5 Gbps 中規模向け インターネットエッジ、キャンパス FirePOWER Services スペア モジュール搭載 Cisco ASA 5585-X 大規模向け キャンパス、データセンタ ASA with FirePOWERモジュール 次世代FW アプリケーション識別 ユーザ識別 URL フィルター ジオロケーション 次世代IPS AMP ネットワーク可視化 (ネットワーク/ホスト/脆弱性等) 自動チューニング インパクト解析 侵入痕跡 /IOC(C&C通信、マル ウェア感染等) マルウェア防御 クラウドサンドボックス 侵入/拡散経路解析 (ファイルトラジェクトリ) 過去の攻撃解析 (レトロスペクティブセキュリティ) Classic FW処理 H/Wも ハイブリッド ASA 5500-X ミッドレンジ モデル(5506X~5555X)では 筐体内の異なるリソースを利用して独立動作 ASA 5585-X では、より高いスループットを必要とする 環境のために追加モジュールで動作 ASA FW と FirePOWERサービスを組み合わせて あらゆる場面に対応可能 単体管理・集中管理 マネージメントツールの比較 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13 単体管理・集中管理マネージメント FirePOWERアプライアンス FirePOWER モジュール URL Category/Reputation NGIPS Application Visibility and Control File Type Filtering Advanced Malware Protection File Capture TCP Normalization NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination Botnet Traffic Filter ASDMによる FirePOWER機能設定は、 現時点で以下の機器のみサポート ASA5506/5508/5516-X のみ CLI via SSH / Telnet ASA Firewall 中央集中管理: FireSIGHT Management Center • 複数デバイスの管理 • 日本語対応GUIで、包括的な可視化とネットワーク活動 の制御 • 感染範囲や根本原因の特定といった最適な改善 管理対象:FirePOWER, ASA with FirePOWERサービス 中央集中管理: ASA with Firepower と同じで、CSM & FireSIGHT を利用 筐体内蔵の管理GUI: ASDM 7.3.x アクセスポリシーと脅威からの防御 の拡張機能を新しく一体制御可能 拡張UI(ユーザインターフェース)で、 傾向や 詳細をドリルダウンで、即時 に把握可能 管理対象: ASA5500-X 全モデル ※ASDM for FirePOWER機能: ASA5506/5508/5516-Xのみ ASDM: Access Control Policy 統合された設定管理画面: ASA Access Control 設定と FirePOWER Access Control Policy設定を切り替え ASDM: Intrusion Policy 上位機種と同等のIPS機能: ベースのルールセットの選択 Snortルールのカスタマイズ ASDM: Advanced Malware Protection AMPクラウド連携: 検査対象の通信を下記から選択 プロトコル: Any, HTTP,SMTP,IMAP,POP3,FTP,SMB 方向: Any, Upload, Download マルウェア検知とブロック ファイルタイプ別のアクション Actionを下記から選択 Detect Files, Block Files, Malware Cloud Lookup, Block Malware ASDM: レポーティングとリアルタイムモニタリング Monitoring > ASA FirePOWER Reporting タイムレンジを選択 項目を選択 Monitoring > ASA FirePOWER Monitoring > Real Time Eventing タブ項目を選択 ”View Details” をクリックして 詳細イベントログを確認 FirePOWER機能管理ツール機能比較 (1/2) Features 侵入検知(IPS) ルール更新 ルールカスタマイズ 自動チューニング インパクトフラグ 高度なマルウェア防御(AMP) クラウドルックアップ(マルウェア検出・防御) ファイルモニタリング / ファイルポリシ ファイル保存 ファイル展開 ダイナミック分析(サンドボックス) ASDM FireSIGHT FirePOWER機能管理ツール機能比較 (2/2) Features アプリケーション制御 カスタムアプリケーション ジオロケーション ジオベースポリシ ネットワークマップ コリレーション イベントモニタリング Syslog コンテキストビルダー 管理ツール HA ASDM FireSIGHT 基本設定の解説 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23 基本構成 • FireSIGHT Web GUI • 管理専用アプライアンス • パッチ、シグニチャ、イベント、可視化 FireSIGHT Management Center • 自動化 • FirePOWERに対して最低1台必要 管理ネットワーク • FirePOWER • 検知専用アプライアンス FirePOWER • NGIPS • インライン、パッシブ構成(併用可) • Fail Open NIC標準搭載 インライン パッシブ FireSIGHT、FirePOWERの役割 FireSIGHT Management Center ※全ての設定はGUI経由で行います。初期設定及び トラブルシューティング以外でCLIを使用することはありません。 • • • • • • Deviceの設定変更 パッチ適用 シグニチャ(SRU)アップデート ポリシーチューニング Deviceのヘルスチェック バックアップの実施 • 検出イベントの転送 • NTPの同期(オプション) • バックアップファイルの転送 ※初期セットアップ及びトラブルシューティング以外で FirePOWERに直接ログインすることはありません FirePOWER FireSIGHT/FireSIGHT システム 設定ステップ概要 FireSIGHT 初期設定 FirePOWER 設定&登録と基本設定 システム設定 ヘルスモニタリング設定 パッチ・シグネチャ等のアップデート 各種セキュリティポリシーの作成 アクセスポリシーの設定と適用 本セッションで扱う設定項目 初期セットアップ、ライセンスのインストール等 FirePOWERデバイス設定登録、インターフェイス設定等 システム管理に関する各種項目(管理ポート、アクセス 制限等)を設定 死活監視項目、アラート、しきい値などを設定 パッチ、IPSシグネチャ、VDB等の最新バージョンを適用 IPS、AMP(File)、ネットワークディスカバリー等を設定 各種セキュリティポリシーをFirePOWERに適用 設定に必要な項目:オブジェクトとポリシー オブジェクト 各設定パラメータを共通項目化 Network: IPアドレス群を定義 Variables Set: 侵入検知シグネチャマッチングに利用 Security Zone: インターフェース群およびインターフェース動作を定義 VLAN tag: VLAN番号を定義 Geolocation: 国ごとのGeo-IPを複数まとめて定義 …etc ポリシー 各FirePOWERの動作条件を定義 Network Discovery: 可視化するネットワークと情報を定義 Intrusion: 侵入検知に関連するポリシー定義 File: マルウェア防御・サンドボックスに関連するルールを複数定義 Access Control: 各ポリシーを利用するための条件定義 SSL: 暗号化通信に対するアクセスコントロールポリシーを定義 … etc オブジェクト・ポリシー利用用途 Objects イベントのインパクトフラグ Network Map Policy IPS自動チューニング ホストIP・ホストMAC・OS・アプリ・ ユーザ情報・関連脆弱性 FireSIGHTで設定したオブジェクトと ポリシーを ACPにまとめて設定 Network Discovery SSL Access Control Policy : 1筐体に1つだけ紐づくポリシー Network App Filters Variables Intrusion File 動作条件を決める ACPの中身 と Rules Access Control Policy Standard Rules 各Rule設定項目 動作 Root Rules Default Action 1. BLOCK ALL 2. TRUST ALL 3. Network Discovery 4. IPSポリシー ルール2 Admin Rules ルール1 通信に対して上位 からルールを適用 通信対象 範囲対象 アクション ゾーン ネットワーク VLAN ユーザ アプリ ポート Allow Trust Monitor Block Interactive Block (w/ Reset) Security Zones Network VLAN tag AD属性情報 App Filters Port URL URL 検査 Intrusion Variables Geolocation カテゴリー リスク ビジネス関連性 カテゴリー コネクションログ Syslog SNMP File FW ログ IPS AMP TIPS Allow:パケットを許可しますが、IPSで検知されBlock設定の場合だけ止めます Trust:パケットを許可します。IPS等全てのオプションをスキップします Monitor:パケットを許可します。ログに残すことができ、次のRule評価を行います。 Block:パケットを止めます Interactive Block:URLフィルタと連動してエラーを表す。Webページを表示してパケットを止めます withReset : ブロックと合わせて、リセットパケットを送ります。 ACP と Rules 設定例 Rule1: 社内からGambleと Job Serch関連のウェブサイトを閲覧させない アクション ゾーン Block ネットワーク VLAN ユーザ アプリ ポート Internal URL 検査 Gamble Job Search ログ logging First Match Rule2: Finance部門のみSocial Networking関連のアプリを使わせない アクション ゾーン ネットワーク VLAN Block ユーザ Finance アプリ ポート URL 検査 SNS app ログ logging Rule3: サーバセグメントの通信に 侵入検知を適用する アクション ゾーン Allow ネットワーク VLAN ユーザ アプリ ポート URL Server NW 検査 IPS Policy+ Variables ログ Logging Rule4: キャンパスセグメントの通信に存在する EXE, Office docs, Archiveファイルを マルウェア検知とサンドボックス検査する アクション Allow ゾーン ネットワーク VLAN ユーザ アプリ ポート Campus NW ※ IPS / AMP イベントSNMP通知は Action Alert Policy と Correlation Policy にて設定します Default Action: Trust ALL URL 検査 File Policy ログ Logging オブジェクト 設定サンプル – Network Object Object > Object Management > Networks オブジェクト化するIPレンジ オブジェクト 設定サンプル – Variables Set Object Object > Object Management > Variables Set TIPS: VariablesはSnortエンジンにシグニチャをロードする 際に、組み込まれる変数で、$HOME_NETはシグニ チャ内でこの文字が使用されている場合、定義され ている変数で置き換えてマッチングします。 IPS Policy利用時は必ずご活用ください。 HOME_NETを選択 オブジェクト 設定サンプル – Variables Set Object Object > Object Management > Variables Set > Add Variables 作成済み Network Objectを選択可能 アドレスレンジも指定可能 ポリシー 設定サンプル – Network Discovery Policy Object > Policies > Network Discovery > Edit (Add) Rules Network MAPに残したい属性を選択 TIPS: 可視化したいネットワークを指定することで学習ずる 情報を最適化できます。多くの場合は、社内・サーバ ネットワークを指定します。 対象 Network / Security Zones Objectを選択 IPアドレスレンジを直接指定することも可能 ポリシー 設定サンプル – IPS Policy 1/2 Policies > Intrusion > Intrusion Policy > Edit (Create) Rule Tips: システム定義済みルールセット一覧 • Security over Connectivity • Balanced Security and Connectivity • Connectivity over Security 上から順にONとなるシグネチャが多くなります IPSポリシー名を入力 インライン設定時に パケット破棄の 有無を設定 提供済みシグネチャのルールセットを選択 ポリシー 設定サンプル – IPS Policy 2/2 Policies > Intrusion > Intrusion Policy > Edit (Create) Rule Ruleチューニング(オプション) 推奨設定のチューニング Policy テンプレートの変更(オプション) ポリシー 設定サンプル – File Policy (AMP) Policies > Files > Edit (Add) Rule 対象プロトコル、検知方向を指定 実行するアクションを選択 該当するFile自身を保存したい場合、 対象のFileタイプを選択 検査対象のFileカテゴリを選択 ポリシー 設定サンプル – Access Control Policy 1/2 Policies > Access Control > New Policy Access Policy名を設定 デフォルトアクションを設定 対象 FirePOWERを指定 ポリシー 設定サンプル – Access Control Policy 2/4 Policies > Access Control > Edit (New) Policy Access Control Policy内に Ruleを設定 設定済みルールを変更 ポリシー 設定サンプル – Access Control Policy 3/4 Policies > Access Control > Edit (New) Policy > Edit (Add) Rule > Inspectionタブ アクションを定義 IPSの場合はIntrusion Policyを選択 システム定義済み、ユーザ定義 IPS Policyをセットする場合は、 Variables Set Objectも選択 AMPの場合は、File Policyを選択 ポリシー 設定サンプル – Access Control Policy 4/4 Policies > Access Control > Edit (Add) Rule > Logging タブ コネクションログの取得有無を設 定 導入シナリオと設定例 1. インターネット境界 2. 社内LAN (侵入検知システム) 3. データセンタファイアウォール (侵入防止システム) 4. データセンタサーバセグメント © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42 導入シナリオ例 ASA with FirePOWER どこで脅威を検出するか? インターネット境界 FirePOWER / ASA with FirePOWER 社内LAN(侵入検知システム) 本社 DMZ・内部・外部接続 SPAN/ネットワークタッ プと組み合わせ 拠点 WAN・Internet接続 SPAN/ネットワークタッ プと組み合わせ ASA with FirePOWER FirePOWER データセンタファイアウォール データセンタサーバフロント(侵 入防御システム) 社内データセンタ SPAN/ネットワークタッ プと組み合わせ サーバフロントの大・中 規模ファイアウォール ロードバランサ(SSL復 号化・スケールアウト) 商用データセンタ(クラウド) SPAN/ネットワークタッ プと組み合わせ サーバフロントの大・中 規模ファイアウォール ロードバランサ(SSL復 号化・スケールアウト) 導入シナリオごとの要件 1/2 FirePOWER / ASA with FirePOWER ASA with FirePOWER FirePOWER ASA with FirePOWER 求められる要件 インターネット境界 社内LAN(侵入検知システム) データセンタファイアウォール データセンタサーバフロント(侵 入防御システム) ファイアウォール アクセスリスト、セッショ ンコントロール ー アクセスリスト、セッショ ンコントロール (FW・LB側で実施) アプリケーションコントロール アプリケーションコント ロール (AD連携も可) ー ー ー URL フィルター ウェブカテゴリーごとの フィルター ー ー ー ネットワーク可視化 ユーザ・ホスト・クライア ントアプリ・OS・脆弱性 ユーザ・ホスト・クライア ントアプリ・OS・脆弱性 ー ホスト・サーバアプリ・ OS・脆弱性 ※ FireSIGHT Management System導入時 導入シナリオごとの要件 2/2 ASA with FirePOWER 求められる要件 侵入検知・侵入防御 インターネット境界 侵入検知・侵入防御 暗号化通信の復号 CY15年内対応予定 マルウェア防御 Advanced Malware Protection サンドボックス連携 クラウドサンドボックス ※ FireSIGHT Management System導入時 FirePOWER / ASA with FirePOWER 社内LAN(侵入検知システム) 侵入検知 FirePOWERのみ可 Advanced Malware Protection クラウドサンドボックス ASA with FirePOWER データセンタファイアウォール 侵入検知・侵入防御 FirePOWER データセンタサーバフロント(侵 入防御システム) 侵入防御 CY15年内対応予定 (LB側で実施) Advanced Malware Protection Advanced Malware Protection クラウドサンドボックス クラウドサンドボックス インターネット境界で脅威を防ぐ • • 機能要件 ベーシックファイアウォール(L3-L4) アプリケーションコントロール URLフィルター ユーザ識別 (AD連携) マルウェア防御 サンドボックス連携 侵入検知と防御 (拠点間IPsec・NAT) 動作要件 • 冗長構成 適合する製品 ASA with FirePOWER ASA with FirePOWER 冗長構成 • 外部 ネットワーク Active/Standby状態。障害時はASA間でフェイルオー バーが発生 • Active Active Standby 内部 ネットワーク FirePOWERモジュール冗長構成 常に双方のモジュールがActive / Active 状態 障害時はASA側でフェイルオーバー FireSIGHT • Active ASA冗長構成 インターフェイス構成 ASA上のデータインターフェイス名がFirePOWER内の Interface名として表示される。インターフェイス毎に異な るセキュリティゾーンを適用可能。 ASA with FirePOWER サービスモジュールの構成 Non-conforming traffic • ASA モジュラーポリシーフレームワーク(MPF)ポリシーで、 Conforming traffic FirePOWERモジュールへのトラフィック転送を設定 FirePOWER NGFW Module • インターフェイス、送信元/宛先ネットワーク、プロトコル、ポート、ASA で識別したユーザアイデンティティ等をマッチング条件に利用 • マルチコンテキストモードでは、コンテキスト毎に異なるFirePOWER ポリシーをアサイン可能 • FirePOWERサーバモジュール(スタンドアロン)の障害時動作は、 Fail-open または Fail-closed から選択 • monitor-only トラフィックコピーをモジュールに転送する(試験導入 もしくはIDSモードとして使用)。 • 全トラフィックをインラインでモジュールに転送する場合: policy-map global_policy class class-default sfr fail-open service-policy global_policy global 48 ASA Firewall Inline NGFW Deployment Monitor-only Deployment (Demo/PoC/IDS) インターネットエッジのユースケース クライアント ASA Firewall インターネットエッジ FirePOWER Services 感染サーバ ASA Firewall アプリケーショ ン制御 アクセスリスト・ インスペクション 通過するトラ フィックのみ 内部転送 指定された トラフィックのみ 内部転送 企業ポリシーに 沿わない通信や C&Cサーバとの 通信をブロック NAT変換、 (IPSec) URL フィルタ 侵入検知 インターネット 社内LAN 指定された トラフィックのみ 内部転送 マルウェア 防御・サン ドボックス 悪意のある ペイロードやファ イルを認識して ブロックする NAT変換、アクセス リスト、(IPsec) マルウェア 社内LAN(侵入検知システム)で求められる機能 • • 機能要件 ユーザ識別と制御(AD連携) ネットワーク可視化 マルウェア検知と防御 サンドボックス 侵入検知 動作要件 • パッシブモード 適合する製品 FirePOWERアプライアンス ASA with FirePOWER • パッシブ構成 スイッチのSPAN(パケットコピー)機能、ネットワーク タップ 外部 ネットワーク • 異なるポリシーが求められる環境 Security Zone呼ばれる各Interface毎に異なるZone を割り当てることで対応することが可能 DMZ Internal NW SPAN 内部 ネットワーク ネットワーク タップ 異なるZONE • スイッチのSPAN(パケットコピー)機能、ネットワーク タップ 外部 ネットワーク • 外部から 内部の経路 内部から 外部の経路 SPAN SPAN 内部 ネットワーク パッシブ構成 非対称ネットワーク環境 FirePOWER 2つのインターフェースを同一 Security Zoneに登録することで、それぞれ受信するパケットを 1つのセッションとして処理可能 データセンタファイアウォールで求められる機能 • • 機能要件 ベーシックファイアウォール(L3-L4) ファイアウォールのスケールアウト ネットワーク可視化 侵入検知と防御 (マルウェア検知と防御) 動作要件 • スケールアウト(クラスタリング)構成 適合する製品 ASA with FirePOWER ASA5585-X 最大16台クラスタ 100〜Gbps FW • 外部 ネットワーク ASA5585-X間を専用10GE接続(CCL: Cluster Control Link・スイッチ経由構成)。パフォーマンスの要求に応じて 機器をすケースアウト ASA Cluster • 推奨: Catalyst VSS機能 Nexus vPC機能 クラスタ構成 ハイパフォーマンスな侵入防御 ASA5585-Xと合わせて FirePOWERサービスモジュー ルを同時に増設。FWとIPSの処理性能を同時に向上 サーバ ネットワーク • 外部 ネットワーク 最初にコネクションを処理した筐体が戻りのパケットも処 理するため、一連のフローが 共通のASAとFirePOWER で処理される ASA Cluster 推奨: Catalyst VSS機能 Nexus vPC機能 コネクションの最適化 • ステートレスな侵入検知 それぞれのFirePOWERサービスモジュールは独立して 動作。全体のパフォーマンスは台数に応じる サーバ ネットワーク データセンタサーバフロント(侵入防御システム) • • 機能要件 ネットワーク可視化 侵入防御 マルウェア検知と防御 (サンドボックス) 動作要件 • スケールアウト(ロードバランサパーシステント機能)構成 適合する製品 FirePOWERアプライアンス 外部 ネットワーク • • ロードバランサ機能 SSL Decrypt/ (ReEncrypt) IPS ロードバランス、ヘルスチェック サーバロードバランス、ヘルスチェック ルートドメイン FirePOWERインターフェース設定 サーバ ネットワーク ※ ロードバランサをスイッチ横付けデザイン可(ワンアーム構成) インラインペア データセンターサーバフロントのユースケース クライアント Firewall SSLトラフィックがロードバラ ンサで終端される(複合化) ロードバランサ FIREPOWER POOL選択、 トラフィック転送 Cisco FirePOWER FIREPOWER にて解 析されたトラフィックを ロードバランサへ転送 Internet SSLトラフィックがロードバラ ンサで終端される(複合化) FIREPOWER POOL選択、 トラフィック転送 ロードバランサ FIREPOWERにて 不正・悪意のある リクエストをドロップ サーバリソース ロードバランサに てトラフィックが SSL再暗号化され、 サーバへ転送 ロードバランサに てトラフィックが サーバへ 転送される • ロードバランサは、Active/Standbyの情報構成 Connection mirror, Persistent mirrorによりFailover後も継続フローは同じFirePOWERで処理可能 • FirePOWERの正常性確認は、ロードバランサのHealth Monitor機能を利用 FirePOWERをHealth Monitorパケットが透過できなければロードバランス対象から除外 Active FirePOWER Internet Border Router FireWall FirePOWER Connection/ Persistent Mirror Web Server FirePOWER Standby 参考情報) https://devcentral.f5.com/articles/high-performance-intrusion-prevention お役立ち資料 ASA with FirePOWER POV(Proof Of Value) Best Practice ガイド日本語版 https://communities.cisco.com/docs/DOC-57298 ASA5506-X セットアップガイド http://www.cisco.com/web/JP/partners/sell/technology/security/literature.html シスコ総合カタログ http://www.cisco.com/web/JP/product/catalog.html まとめ • FirePOWERシリーズは次世代FW、IPS、AMP機能を1つの筐体で提供 • FireSIGHTのネットワーク可視化、自動チューニング、インパクト解析など管 理者にとって使いやすい環境を提供 • ASA5500-XシリーズでもFirePOWERサービスを提供、また新モデルは ASDM(ON-BOXマネージメント)で簡単にセットアップ可能 • オブジェクトとポリシーを組み合わせて、あらゆる企業ポリシーに合わせれ ルール群をカスタマイズ可能 • インターネット境界(DMZ、拠点ゲートウェイ)やデータセンターで求められる機 能や配置をFirePOWER、ASA with FirePOWERで実現可能 参考 Cisco FirePOWER 7000シリーズアプライアンス 製品型番 FP7010-K9 FP7020-K9 FP7030-K9 FP7050-K9 FP7110-K9 FP7110-FI-K9 FP7115-K9 FP7120-K9 FP7120-FI-K9 FP7125-K9 AMP7150-K9 GE 8 8 8 8 8 ― 4 8 ― 4 4 ポート数 SFP SFP+ ― ― ― ― ― ― ― ― ― ― 8 ― 8 ― ― ― 8 ― 8 ― 8 ― QSFP ― ― ― ― ― ― ― ― ― ― ― 拡張 IPS メモリ スロット数 スループット (DRAM) ― 50Mbps 4GB ― 100Mbps 4GB ― 250Mbps 4GB ― 500Mbps 4GB ― 500Mbps 16GB ― 500Mbps 16GB ― 750Mbps 16GB ― 1Gbps 16GB ― 1Gbps 16GB ― 1.25Gbps 16GB ― 500Mbps 32GB スタック 電源 ― ― ― ― ― ― ― ― ― ― ― 1AC 1AC 1AC 1AC 2AC 2AC 2AC 2AC 2AC 2AC 2AC ラック マウント 1RU 1RU 1RU 1RU 1RU 1RU 1RU 1RU 1RU 1RU 1RU 参考 Cisco FirePOWER 8000シリーズアプライアンス 製品型番 FP8120-K9 FP8130-K9 FP8140-K9 AMP8150-K9 FP8250-K9 FP8260-K9 FP8270-K9 FP8290-K9 FP8350-K9 FP8360-K9 FP8370-K9 FP8390-K9 GE ポート数 SFP SFP+ ネットワークモジュールを使用 QSFP ― ― ― ― ― ― ― 拡張 IPS メモリ スロット数 スループット (DRAM) 3 2Gbps 24GB 3 4Gbps 24GB 3 6Gbps 24GB 3 2Gbps 96GB 7 10Gbps 48GB 6 20Gbps 96GB 5 30Gbps 144GB 4 40Gbps 192GB 7 15Gbps 128GB 6 30Gbps 256GB 5 45Gbps 384GB 4 60Gbps 512GB スタック 電源 ― ― ○ ― ○ ○ ○ ― ○ ○ ○ ― 2AC 2AC 2AC 2AC 2AC 2AC 2AC 2AC 2AC 2AC 2AC 2AC ラック マウント 1RU 1RU 1RU 1RU 2RU 4RU 6RU 8RU 2RU 4RU 6RU 8RU 参考 Cisco FirePOWER8000シリーズ用 ネットワークモジュール ポート数 製品型番 バイパス FPNM-4CU-1G-NBP GE 4 SFP ― SFP+ (SR) ― SFP+ (LR) ― QSFP ― FPNM-4CU-1G-BP FPNM-4SX-1G-NBP 4 ― ― 4 ― ― ― ― ― ― ○ ― FPNM-4SX-1G-BP ― 4 ― ― ― ○ FPNM-4SR-10G-NBP FPNM-2SR-10G-BP ― ― ― ― 4 2 ― ― ― ― ― ○ FPNM-4LR-10G-NBP ― ― ― 4 ― ― FPNM-2LR-10G-BP FPNM-2SR-40G-BP ― ― ― ― ― ― 2 ― ― 2 ○ ○ 製品型番 FPNM-4CU-1G-NBP FPNM-4CU-1G-BP FPNM-4SX-1G-NBP FPNM-4SX-1G-BP FPNM-4SR-10G-NBP FPNM-2SR-10G-BP FPNM-4LR-10G-NBP FPNM-2LR-10G-BP FPNM-2SR-40G-BP FP8120 ○ ○ ○ ○ ○ ○ ○ ○ ― FP8130 ○ ○ ○ ○ ○ ○ ○ ○ ― FP8140 ○ ○ ○ ○ ○ ○ ○ ○ ― AMP8150 ○ ○ ○ ○ ○ ○ ○ ○ ― FP8250 ○ ○ ○ ○ ○ ○ ○ ○ ― ― 対応モデル FP8260 FP8270 ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ― ○ FP8290 ○ ○ ○ ○ ○ ○ ○ ○ ○ FP8350 ○ ○ ○ ○ ○ ○ ○ ○ ― FP8360 ○ ○ ○ ○ ○ ○ ○ ○ ○ FP8370 ○ ○ ○ ○ ○ ○ ○ ○ ○ FP8390 ○ ○ ○ ○ ○ ○ ○ ○ ○ 参考 Cisco FirePOWER8000シリーズ用 電源モジュール 製品説明 650W DC電源モジュール 750W DC電源モジュール 1000W DC電源モジュール FP8120 ○ ― ― FP8130 ○ ― ― FP8140 ○ ― ― AMP8150 ○ ― ― FP8250 ― ○ ― 対応モデル FP8260 FP8270 ― ― ○ ○ ― ― 更なる詳細は、シスコ製品カタログをご活用ください http://www.cisco.com/web/JP/product/catalog.html FP8290 ― ○ ― FP8350 ― ― ○ FP8360 ― ― ○ FP8370 ― ― ○ FP8390 ― ― ○ ASA FirePOWER サービス: データシートのパフォーマンス 参考 • データシートで使用されている値は、サイジングの指針には使わないでください。 • 最大スループット数は、異なるトラフィックのプロファイルまたは異なる設定を使って得られます。 通常、顧客環境でどのようにデバイスが使用されるかは反映されていません。 モデル 5512-X 5515-X 5525-X 5545-X 5555-X 5585-10 5585-20 5585-40 5585-60 最大アプリケー ションコントロール スループット (Mbps) 300 500 1100 1500 1750 4500 7000 10000 15000 最大アプリケー ションコントロール &IPSスループット (Mbps) 150 250 650 1000 1250 2000 3500 6000 10000 ASA FirePOWER サービス: サイジングガイドライン 参考 440 byte HTTP トランザクション(Mbps)の場合の目安 IPSはBalanced Profileを使用し、 AVC は Network Discovery: Applicationsを使用 モデル 5512X 5515X 5525X 5545X 5555X 558510/10 558510/40 558520/20 558520/60 558540/40 558560/60 100 150 375 575 725 1200 1200 2000 2000 3500 6000 75 100 255 360 450 800 1200 1200 2000 2100 3500 60 85 205 310 340 550 1200 850 2000 1500 2300 FirePOWER IPS or AVC (1 サービス) FirePOWER IPS + AVC (2 サービス) FirePOWER IPS+AVC+AMP (3 サービス) この値は予告なく変更される場合がございます。