Q1.SFR、ディフェンスセンターなどの用語を聞いたことがあるのですが、どのような意味でしょうか。
用語については、以下の通りです。
●FirePOWER
SFR、ソースファイア、managed device
●FireSIGHT
ディフェンスセンター、FireSIGHT ディフェンスセンター、ソースファイア ディフェンスセンター、FireSIGHT Management Center
Q2.IDSとIPSの違いについて教えてください。
IDS(Intrusion Detection System)は侵入検知システムです。
IPS(Intrusion Prevention System)は侵入防止システムです。例えばマルウェアを検出した場合に、IDSはアラートを出しますがパケットを破棄しませんが、IPSはパケットを破棄し侵入をブロックすることができます。
Q3.FirePOWERはIDSとIPSのどちらで動作しますか。
FirePOWERはIDSとIPSのどちらでも動作させることが可能です。
IDSとして動作させる場合はモニタ専用モード(プロミスキャスモード)で設定し、IPSとして動作させる場合はインラインモードで設定します。なお、FirePOWERのデフォルトの動作はインラインモードです。
Q4.FirePOWERでIDSとIPSを同時に動作することはできますか。
IDSとIPSは同時に動作することはできません。
ASAにはマルチコンテキストと呼ばれる、論理的に複数のASAとして動作する機能がありますが、その場合も1つの物理的なASAに対し、IDSかIPSのどちらか1つを設定します。
Q5. FirePOWERとCX(Context Aware)、あるいはFirePOWERとIPSモジュールを同時に動作することはできますか。
FirePOWER、CX、IPSのモジュールは同時に動作することはできません。
FirePOWERを導入するASAにCXやIPSのモジュールがインストールされている場合は、あらかじめシャットダウンとアンインストールを行った後で、FirePOWERをインストールする必要があります。
Q6.ASAでActive-StandbyなどのHA構成を組んでいる場合、FirePOWERはどのように動作しますか。
HA構成を組む場合、あるいはクラスタ構成を組む場合は各ASAに同様のコンフィギュレーションを設定します。
FirePOWERの設定も同じコンフィギュレーションを設定することでHA構成やクラスタ構成に対応できます。ただし、FirePOWERのインスペクションのステートは引継ぎをしません。
Q7.FirePOWERに直接設定が必要なことはありますか?
はい、あります。
FirePOWERの初期設定、インターフェイスの構成、FirePOWERのモジュールのシャットダウン/バックアップ/リストアなどはFireSIGHTからは実行できません。そのためコマンドで設定を行う必要があります。
Q8.Access Control Policy 、IPS Policy、File Policy はどのような順番で処理されますか?
Access Contorol Policyの中でルールを作成し、各ルールの中でIPS PolicyやFile Policyの設定を行います。
1つのルールでIPS PolicyとFile Policyの両方を設定した場合は、先にFile Policyの処理、次にIPS Policyの処理を行います。
Q9.アプリケーションに「ビジネスとの関連性」という項目がありましたが、どのように定義されているのでしょうか?
FireSIGHT システムが IP トラフィックを分析する場合、アプリケーションを識別するためにディテクタを使用します。
「ビジネスとの関連性」「リスク」「カテゴリ」などのアプリケーションの詳細はどのディテクタを使用するかによって異なります。 ディテクタはCisco提供と、ユーザ定義があり、設定はFireSIGHT上の[Detectors] のページから可能です。