2021年10月4日 / 最終更新日時 : 2023年2月16日 テクバン ネットワークソリューション担当 ファイアウォール

Cisco Firewallの選び方(ASA、FTD)

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Cisco Firewall(ASA、FTD)の選び方ついてご紹介します。

Cisco Firewall brand名称変更

全て、「Cisco Secure Firewall」とブランド名が付くようになりました。

Cisco Secure Firewall Threat Defense (FTD)

以前はFirepower ThreatDefense (FTD)でした。FTDの名称は変わらないです。

Cisco Secure Firewall ASA

以前はAdaptive Security Appliance (ASA)でした。ASAの名称は変わらないです。

Cisco Secure Firewall Series

以前はFirepower Hardware Applianceでした。

Firepower Hardware Appliance の種類(エンタープライズ向け)

Cisco Secure Firewall Series にブランド名変更されてますが、機器シリーズ名はまだ変わってないです。

Firepower 1000 シリーズ

スループット650M~3Gbpsまでの小規模企業向けモデルです。

Firepower 2100 シリーズ

スループット2.6~10.4Gbpsまでの中、大規模企業モデルです。

Firepower Hardware Appliance のOS(FTD、ASA)

FTD OS

ASA with Firepower servicesの時はASA OSとは別にFirepower用のOSが動いていましたが1つ統合されたのがFTD OSになります。
そのため、ASAとは操作感(ASDM)も異なります。
また、リモートVPN(Anyconnect)の機能もASA OSとは違い全機能は網羅されていませんでした。

ASA OS

ハードウェアのASAシリーズは販売終了になりましたが、 Firepower Hardware Appliance上でも同じASA OSが動作します。
UTM機能を利用せず、 リモートVPN(Anyconnect) を利用している既存からのリプレースはASA OSの方が良いかと思います。

FTD、ASAの違い

メインで利用する機能によって、OSを選択できます。
なお、導入後でもOSは切り替えられます。

L4までのFirewall機能とリモートVPN(Anyconnect)メイン:ASA OS

UTM機能メイン :FTD OS

の棲み分けになるかと思います。

ASAFTD
Firewall(L4まで)、ルーティング機能
リモートVPN
サイト間VPN
IPS/IDSX
URLフィルタX
ウィルス対策X
SSL復号化X

FTD 7.0 新機能

FTD 7.0がリリースされましたのでご紹介します。

リリースノート
https://www.cisco.com/c/en/us/td/docs/security/firepower/70/relnotes/firepower-release-notes-700/welcome.html

主な機能追加

  • Snort 3
  • DNSレピュテーション
  • AnyConnect カスタムアトリビュート
  • モバイルデバイスでのPre App VPN
  • Dynamic Split tunnelling
  • VPNローカルDB
  • VPNロードバランシング

FTD 6.4の時はAnyConnectが簡易サポートだったのでかなりASAに追いついてきました。
これであれば、UTM機能を利用しつつリモートVPN用途でも使えそうです。

未サポート機能 (FTD バージョン 6.4時)  ※FMCで管理時

Secure Mobility, Network Access Management, and all other AnyConnect modules and their profiles beyond the core VPN capabilities and the VPN client profile.

Posture variants such as Hostscan and Endpoint Posture Assessment, and any Dynamic Access Policies based on the client posture.

AnyConnect Customization and Localization support. The FTD device does not configure or deploy the files necessary to configure AnyConnect for these capabilities.

Custom Attributes for the AnyConnect Client are not supported on the FTD. Hence all features that make use of Custom Attributes are not supported, such as Deferred Upgrade on desktop clients and Per-App VPN on mobile clients.

Local authentication; VPN users cannot be configured on the FTD secure gateway.

Local CA, the secure gateway cannot act as a Certificate Authority.

Single Sign-on using SAML 2.0.

TACACS, Kerberos (KCD Authentication and RSA SDI).

LDAP Authorization (LDAP Attribute Map).

Browser Proxy.

VPN load balancing.

https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/ftd-anyconnect%E5%88%A9%E7%94%A8%E6%99%82%E3%81%AE%E6%A9%9F%E8%83%BD%E5%88%B6%E9%99%90%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3366418

今回はCisco Firewallの選び方(ASA、FTD)を紹介しました。
ASAリプレース時の参考になれば幸いです。

関連記事:

Cisco Secure Client(旧Anyconnect)のご紹介 Cisco Firepower(FTD)の管理構成、冗長化について UmbrellaUmbrellaのAnyconnect接続(DNS、Webセキュリティ) CUCM 11.5のバージョンアップ計画はお済みですか?
カテゴリー
ファイアウォール
タグ
Cisco

前の記事

Cisco My Notifications(更新通知機能)について
2021年9月27日
Cisco

次の記事

Cisco製品値上げ(2021年10月末より)
2021年10月6日