Cisco Secure Firewallの入門者向け記事として、3回に分けて製品の全体的な情報を整理してお届けしております。第2回となる今回は製品ラインナップとそれぞれのシリーズの特徴についてお伝えしたいと思います。

　　第１回：Secure Firewallの概要

　　第２回：製品ラインナップのご紹介

　　第３回：ライセンスの種類と提供形態について

第1回記事はこちらからご覧いただけます。

Firepower 1000シリーズ

Secure Firewallのラインナップのうち、最も小規模環境向けとしてデザインされたシリーズです。特にFirepower 1010はデスクトップ型の製品となり、省スペースながら高いパフォーマンスを実現します。Firepower 1000シリーズではデータ用インタフェースは各モデルごとに固定の構成となっており、オプションにより変更することはできません。

        ○ 形態：デスクトップ型/ボックス型
        ○ 対応OS： ASA OS / FTD OS
        ○ シリーズモデル：1010, 1120,  1140, 1150
        ○ 最大FWスループット： 890 Mbps ~ 5.3 Gbps
        ○ 最大脅威防御(FW+AVC+IPS)スループット： 880 Mbps ~ 4.9 Gbps
        ○ 1秒あたりの新規コネクション数(最大)：6,000 ~ 28,000
        ○ 同時セッション数(最大)：100,000 ~ 600,000

Firepower 2100シリーズ

NPU(Network Processing Unit)の搭載による高速なL2-L4処理に対応し、IPSなどの脅威検知機能を利用した場合も安定したパフォーマンスを実現したシリーズです。上位モデル(2130および2140)では、電源冗長への対応(2130では要オプション)のほか、NWモジュールスロットを１つ搭載しており、10G SFP+ポートの追加やFail-to-Wireに対応したポートの追加が可能です。

        ○ 形態：ボックス型
        ○ 対応OS： ASA OS / FTD OS
        ○ シリーズモデル：2110, 2120, 2130, 2140
        ○ 最大FWスループット： 3 Gbps ~ 20 Gbps
        ○ 最大脅威防御スループット(FW+AVC+IPS)： 2.6 Gbps ~ 10.5 Gbps
        ○ 1秒あたりの新規コネクション数(最大)：14,000 ~ 57,000
        ○ 同時セッション数(最大)：1,000,000 ~ 3,000,000
    

Fail-to-Wire(FTW)とは？

Fail-to-Wire（FTW）は、ペアリングされたポート間をレイヤ１レベルでバイパスし、ソフトウェアまたはハードウェアの障害時にもパケットを転送するネットワーク接続を提供します。特にFirepower(Secure Firewall)アプライアンスがトラフィックのモニタまたはロギングのみ行っているポートで役立ちます。電源冗長オプションと合わせ、耐障害性を高めることが可能です。

Cisco Secure Firewall 3100シリーズ（NEW)

2022年4月にリリースされたミッドレンジ向けの新しいシリーズです。カスタムビルドされたFPGAの導入によって一部の処理をオフロードするとともに内部システムバス上でのフローを最適化し、脅威防御機能(FW+IPS+AVC)の適用時やIPsec、DTLS接続におけるパフォーマンスが劇的に向上していることが特徴です。特に、FWスループットと脅威防御スループットでは、カタログ上での公表値では同一となっています。すべてのモデルで電源冗長オプションに対応(3130/3140では標準で電源冗長)し、ネットワークモジュールは１つ搭載しています。

        ○ 形態：ボックス型
        ○ 対応OS： ASA OS / FTD OS
        ○ シリーズモデル：3110, 3120, 3130, 3140
        ○ 最大FWスループット： 17 Gbps ~ 45 Gbps
        ○ 最大脅威防御スループット(FW+AVC+IPS)： 17 Gbps ~ 45 Gbps
        ○ 1秒あたりの新規コネクション数(最大)：130,000~ 300,000
        ○ 同時セッション数(最大)：2,000,000 ~ 10,000,000
    

Firepower 4100シリーズ

1RUの省スペースながら30Gbps~80GbpsのFWスループットを実現するハイパフォーマンスシリーズです。2つのネットワークモジュールスロットを搭載しており、環境に合わせた柔軟な構成変更が可能です。すべてのモデルで冗長電源オプションに対応(4125/4145では標準で電源冗長)しており、ネットワークモジュールでは40Gbポートを搭載したものも提供されています。

        ○ 形態：ボックス型
        ○ 対応OS： ASA OS / FTD OS / Cisco Secure DDoS Protection
        ○ シリーズモデル：4110(EoS), 4112, 4115, 4125,4145
        ○ 最大FWスループット： 35 Gbps ~ 80 Gbps
        ○ 最大脅威防御スループット(FW+AVC+IPS)： 15.5 Gbps ~ 53 Gbps
        ○ 1秒あたりの新規コネクション数(最大)：64,000~ 365,000
        ○ 同時セッション数(最大)：10,000,000 ~ 30,000,000
        

Firepower 9300シリーズ

サービスプロバイダや大規模データセンター向けにデザインされたハイエンドのシリーズです。シャーシ型の製品となっており、3つのセキュリティモジュールスロットを搭載しています。

Firepower9300のアーキテクチャ：

セキュリティーモジュールごとにOSがインストールされ、シャーシ内またはシャーシを跨いだクラスタ構成をします。クラスタ化より1Tbpsを超えるFWスループットにも対応をするスケーラブルなプラットフォームになっています。

   　  ○ 形態：シャーシ型
        ○ 対応OS： ASA OS / FTD OS / Cisco Secure DDoS Protection
        ○ シリーズモデル：9300
         1モジュールあたり：
        　○ 最大FWスループット： 80 Gbps ~ 235 Gbps
        　○ 最大脅威防御スループット(FW+AVC+IPS)： 55 MGbps ~ 190 Gbps
        　○ 1秒あたりの新規コネクション数(最大)：380,000 ~ 1,100,000
        　○ 同時セッション数(最大)：35,000,000 ~ 60,000,000

終わりに

第２回目となる今回は現行で展開されているSecure Firewall(Firepower)アプラアインスの各シリーズについてその概要と特徴をご紹介させていただきました。シリーズ間では、単純なCPU能力やメモリのアップグレードによるスループットの向上だけではなく、専用設計されたハードウェアの導入などパフォーマンスをより高めるための仕組みが導入されているなどの違いがあります。ご利用される目的や機能によって最適な選択が異なる場合がありますので、今回ご案内した記事の内容が少しでも皆様の参考になれば幸いです。

次回はSecure Firewallのライセンス体系と管理方法についてご案内させていただく予定です。是非次回の記事もご覧ください。

■関連記事