catch-img

Ciscoファイアウォール製品入門! 第3回:ライセンスの種類と提供形態について

Cisco Secure Firewallの入門者向け記事として、3回に分けて製品の全体的な情報を整理してお届けしております。第3回となる今回はライセンスの種類と提供形態についてご紹介したいと思います。


  第1回:Secure Firewallの概要

  第2回:製品ラインナップのご紹介

  第3回:ライセンスの種類と提供形態について


第1回、第2回記事はこちらからご覧いただけます。

  Ciscoファイアウォール製品入門! 第1回:Secure Firewall概要 Ciscoが提供するセキュリティ製品群は2020年秋に「Cisco Secure」というブランド名に統一され、これまでASAやFirepower等と呼ばれていたCiscoが提供するファイアウォール製品は「Cisco Secure Firewall」としてリブランドされました。 本ブログでは3回に渡ってSecure Firewallに関する情報を入門編として整理してお届けしたいと思います。 ネットワンパートナーズ株式会社ブログサイト


  Ciscoファイアウォール製品入門!第2回:製品ラインナップご紹介 Cisco Secure Firewallの入門者向け記事として、3回に分けて製品の全体的な情報を整理してお届けしております。第2回となる今回は製品ラインナップとそれぞれのシリーズの特徴についてお伝えしたいと思います。 ネットワンパートナーズ株式会社ブログサイト



目次[非表示]

  1. 1.ライセンス種別
    1. 1.1.Firepowerシリーズ+ASA OS
    2. 1.2.Firepowerシリーズ+FTD OS
  2. 2.ライセンス方式
    1. 2.1.ライセンス方式について
    2. 2.2.閉域網への対応
  3. 3.ライセンス認証方法
    1. 3.1.Firepower筐体 + ASA OS
    2. 3.2.Firepower筐体 + FTD OS
  4. 4.終わりに



ライセンス種別

Cisco Secure Firewall(Firepowerシリーズ)で稼働させるOS(ASA OS/FTD OS)によって、利用可能なライセンスが異なります。


Firepowerシリーズ+ASA OS

Firepower1000/2100/3100/4100/9300筐体にASA OSを搭載した場合に利用可能なライセンスは下記となっています。

  • Standard

    • 標準で付属する必須ライセンスです(無償)。ASA機能をサポートします。
    • 永久ライセンス
  • Context

    • マルチコンテキストモード利用時に、コンテキストを追加するためのライセンスです。
    • 永久ライセンス、有償
  • Carrier

    • Diameter、GTP/GPRS、SCTPインスペクションを利用するためのライセンスです。
    • 永久ライセンス、有償
  • Security Plus

    • Firepower1010でのみサポートされるライセンスです。FPR1010においてFailover機能(冗長化)を利用する場合に適用が必要です。
    • 永久ライセンス、有償
  • 3DES/AES(Strong-encryption)

    • 高度暗号化ライセンス。古いライセンスであり、通常は必要ありません
    • 必要となるのは2.3.0より前のバージョンのスマートライセンスサテライトサーバ(On-Premサーバ)を利用する場合になります。
    • こちらのライセンスを購入せずとも、スマートライセンス認証の際のID Token発行時に「Allow export-controlled functionality on the products registered with this token(このトークンに登録された製品の輸出規制された機能を許可する)」へチェックを入れておけば暗号化機能は利用可能です。
      ※利用可能となる機能:SSH、VPN等

上記のライセンスに加え、リモートアクセスVPN機能を利用する場合はAny Connectライセンスの別途購入が必要です。


Firepowerシリーズ+FTD OS

Firepower1000/2100/3100/4100/9300筐体にFTD OSを搭載した場合に利用可能なライセンスは下記となっています。

  • Base

    • 標準で付属する必須ライセンスです(無償)。Firewall機能やAVC機能等をサポートしま
    • 永久ライセンス
  • Threat

    • IPSや Security Intelligence、File Control機能を利用するためのライセンスです。
    • 期間ベースライセンス(サブスクリプション)
  • Malware

    • アンチマルウェア機能を利用するためのライセンスです。
    • 期間ベースライセンス(サブスクリプション)
  • URL Filtering

    • カテゴリやURL評価に基づくURLフィルタリングを利用するためのライセンスです。
    • 期間ベースライセンス(サブスクリプション)

Threat/Malware/URL Filteringライセンスは必要に応じて適用します。それぞれのライセンスを組み合わせることも可能です。

上記のライセンスに加え、リモートアクセスVPN機能を利用する場合はAny Connectライセンスの別途購入が必要です。



ライセンス方式

ライセンス方式について

Firepower1000/2100/3100/4100/9300筐体の場合、ライセンスの形態はASA OS、FTD OSともにスマートライセンス形式のみのサポートとなります。

図:ライセンス形態対応表


スマートライセンス形式となりますので、インターネットアクセスによるライセンス認証が必要です。初回の認証後にも、30日毎に自動でライセンスクラウドと定期認証が行われます。

90日間 再認証できない場合や、ライセンス不足/失効時に、以下の制限が発生する恐れがあります。

  • ASA OS の場合
    • 通信処理の影響はありません。
    • 関連機能の設定変更が 一部不可になります。
  • FTD OSの場合
    • ライセンスにより、Intrusion Eventの検知不可や、AMPクラウド照会不可、URLフィルタリング停止、 などが発生しセキュリティ低下する恐れがあります。
    • 関連機能を利用した設定のデプロイが不可に


閉域網への対応

閉域網(インターネットアクセスができないクローズド環境)でFirepowerシリーズを利用したい場合、ライセンス認証の選択肢としては下記の3つの方法があります。
※「Smart Licensing Using Policy」は現時点ではサポートしておりません。(2022/5時点)


① SSM On-Premサーバ(サテライトサーバ)経由でのライセンス認証

② SLR(Specified License Reservations)の利用

  • SLRはFTD OSのみのサポートです。
  • FTD Version 6.3.0 以降(FMC管理)でサポートされています。
    ※FDM管理の場合は非サポートです(2022年5月時点)
  • 任意の既存ライセンスをSLR指定し利用。CSSM上で必要な数分だけSLR化します。

③​​​​​​UPLR(Universal Permanent License Reservations)の利用

  • ASA OS、FTD OSともにサポートされています。
  • ダークネットワークや完全なクローズネットワークで利用
  • 通常のライセンスとは異なるPLR用の専用ライセンスを用意する必要があります。
  • 利用にはCiscoアカウントチームへの申請が必要です。厳密な審査が行われます。


ライセンス認証方法

Cisco Secure Firewall(Firepowerシリーズ)で稼働させるOS(ASA OS/FTD OS)によって、ライセンス認証方法が異なります。

Firepower筐体 + ASA OS

ASA OSの場合、ライセンスの認証設定は筐体によって2つに分かれます。

  • FPR1000/2100/3100
    • 認証設定は ASA OS側で実施します。
    • ASA OSがスマートライセンス認証します。
      (アプライアンスモード・プラットフォームモード (※1)ともに)
  • FPR4100/9300
    • 認証設定はFXOS側で実施。
    • FXOSがスマートライセンス認証します。
    • セキュリティアプリケーション(ASA)は、FXOS(※2)にライセンス利用要求します

図:ASA OSの場合のライセンス認証イメージ


※1 アプライアンスモード・プラットフォームモード

FPR1000/2100/3100における動作モードです。詳細は以下メーカドキュメントをご参照ください。

  Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介   はじめに システム要件 プラットフォームモードとアプライアンスモードの比較 コンソール接続について 操作モードの確認 アプライアンスモードからプラットフォームモードへの移行 プラットフォームモードからアプライアンスモードへの移行 参考情報    はじめに 本ドキュメントでは、ASA 9.13(1)リリースで導入されたFirepower 1000、2100および3100シリーズのアプライアンスモードの概要について説明します。   アプライアンスモードでは、ASAのコマンドラインインターフェイス(ASA CLI)、ASDM、CSMからデバイスを構成する機能を提供し、従来のASA5500-X製... https://community.cisco.com/t5/-/-/ta-p/4319018


※2 FXOS(Firepower eXtensible Operating System)
Firepower1000/2100/3100/4100/9300シリーズにおける管理OS(スーパーバイザ)。これらの筐体においてはASA OS/FTD OSはFXOSをベースとして、アプリケーション(論理デバイス)として動作します。​​​​​​​


ライセンス認証手順については以下のメーカドキュメントをご参照ください。

  ASAv/FPR1000/FPR2100: スマートライセンス認証とトラブルシューティング        1.  ASAvとスマートライセンス認証 ASAv バージョン 9.3(2)より、ライセンス認証方式がスマートライセンス方式に変わりました。 スマートライセンス方式の場合、ライセンスは 中央管理され、購入済みライセンスのプールから、任意デバイスに割り当てが可能となります。 お客様は、Smart Software Managerを使用して、スマートライセンスをサポートする複数デバイスを統合管理する事ができます。 つまり、従来の物理デバイスに1つ1つ割り当て管理が必要なPAK方式に比べ、スマートライセンス方式は より柔軟な管理運用が可能になります。 なお、スマートライセンス方式の場合... https://community.cisco.com/t5/-/-/ta-p/3163034
  FPR4100/9300-ASA: Smart License 有効化方法とトラブルシューティング         はじめに 本ドキュメントでは、Firepower4100/9300でASAソフトウェア利用時のスマートライセンス登録方法、及び、仮にスマートライセンス登録ができない場合のトラブルシューティング方法を紹介します。 本ドキュメントは、Firepower4120の FXOSパッケージバージョン 2.2(2.26)、ASAバージョン 9.8(2)8、ASDMバージョン 7.8(2)を用いて確認、作成しております。   なお、本ドキュメント内容は Firepower4100/9300シリーズでASA利用時に参照できます。 Firepower2100シリーズでASAを利用時は、ライセンス... https://community.cisco.com/t5/-/-/ta-p/3328615


Firepower筐体 + FTD OS

FTD OSの場合、ライセンスの認証設定は管理方法によって2つに分かれます。  

  • FMC管理
    • 認証設定は FMC上で実施します。
    • FMCがスマートライセンス認証を行います。ですのでFMCのみがインターネットアクセスできれば認証が可能です。
    • FMCが 管理デバイス(FTD)にライセンス割当てと管理を行います。

図:FTDOSでFMC管理の場合のライセンス認証イメージ



  • FDM管理
    • FDM上で認証設定を行います。つまり、Firepower筐体が直接ライセンス認証を実施する形です(インターネットアクセス要)。



ライセンス認証手順については以下のメーカドキュメントをご参照ください。

  FMC: Smart License 有効化方法と トラブルシューティング      はじめに 本ドキュメントでは、Firepower Management Center(FMC)のスマートライセンス登録方法、及び、仮にスマートライセンス登録ができない場合のトラブルシューティング方法を紹介します。 本ドキュメントは、Cisco Firepower Management Center for VMWare バージョン 6.2.0.2、ASA5516 FTD バージョン 6.2.0.2を用いて確認、作成しております。       FMCと FTDと スマートライセンス FMCにてスマートライセンス登録を実施し、クラウドの Smart Software Manager (S... https://community.cisco.com/t5/-/-/ta-p/3296811



終わりに

シリーズの最終回となる第3回目となる今回はSecure Firewall(Firepower)アプラアインスのライセンスに関してご紹介させていただきました。筐体へ搭載するOSによって、ライセンス種別や適用方法等も異なるため混乱される部分もあるかと思いますが、今回の内容が少しでも皆さまのお役に立ちましたら幸いです。




Rina Kobayashi

Rina Kobayashi

セールスエンジニアリング部所属。セキュリティ系の製品担当SEとして活動中です。
カタログ ソリューション資料のダウンロード

人気記事