[FTD-#4]- cisco asa code

안녕하세요.

 

현재 Firepower 제품군은 unified software image 지원 합니다. 

FTD - Firepower Threat Defense - Next-genration Firewall 이미지를 사용 합니다.

만약에 FTD에 Cisco ASA code로 변환해서 사용을 하면 Next-Generation Firewall에서 제공하는 기능들을 사용 못합니다. 

 

그리고 Cisco ASA code는 현재는 제공하지만 점차 제공하지 않을 예정이기 때문에 Cisco 에서도 FTD를 이미지를 권장합니다. 

 

Cisco ASA Code는 아래처럼 두가지 모드가 있습니다.

1. Platform 모드

2. Appliance 모드

 

Platform 모드는 시스템을 하나의 통합 플랫폼으로 보고, 하드웨어와 관리 기능을 분리하여 구성합니다.

주요 특징:

• **제어 플레인(Control Plane)**과 **데이터 플레인(Data Plane)**이 분리되어 있습니다. ASA 소프트웨어는 Firepower 플랫폼 내의 하나의 구성요소로 실행됩니다.
• **FXOS(Firepower eXtensible Operating System)**가 기본 운영체제로 동작하며, 하드웨어 관리에 사용됩니다.
• 논리적 장치(Logical Device) 구성: Firepower Chassis Manager(FCM)나 FXOS CLI를 통해 ASA, FTD 등의 장치를 생성합니다.
• 다중 인스턴스(multi-instance) 지원: 하나의 장비에서 여러 논리적 방화벽을 운영할 수 있어 멀티 테넌시가 가능합니다.
• 주로 Firepower 4100 시리즈 또는 9300 시리즈에서 사용됩니다.

관리 방법:

• FXOS와 ASA CLI 또는 ASDM을 함께 사용하여 관리합니다.
• FXOS에서 인터페이스, 모듈, 하드웨어 수준의 설정을 담당합니다.

Appliance 모드

Appliance 모드는 Firepower 장비를 전통적인 ASA 장비처럼 독립형 방화벽 어플라이언스로 사용합니다.

주요 특징:

• 단일 이미지 부팅: ASA 소프트웨어가 직접 장비에서 실행되며, FXOS는 사용되지 않습니다.
• 구성이 간단하며, 기존 ASA 사용자에게 친숙한 방식입니다.
• 논리적 장치 개념 없이 단일 ASA 인스턴스만 실행됩니다.
• 주로 Firepower 2100 시리즈 또는 하위 모델에서 사용됩니다.

관리 방법:

• ASA CLI, ASDM, 또는 Cisco Security Manager 등을 사용하여 직접 관리합니다.
• FMC(Firepower Management Center)와는 주로 FTD 모드에서 통합됩니다.

항목 Platform 모드 Appliance 모드

기본 운영체제	FXOS	ASA 이미지 직접 실행
배포 방식	논리적 장치로 구성	단일 ASA 인스턴스
사용 가능한 하드웨어	Firepower 4100/9300 시리즈	Firepower 2100 시리즈 등
관리 도구	FXOS + ASA CLI/ASDM	ASA CLI, ASDM
다중 인스턴스 지원	예 (논리적 또는 다중 컨텍스트로 가능)	아니오 (ASA 자체 기능만 사용 가능)
복잡도	높음 (더 많은 제어 및 유연성 제공)	낮음 (간단한 설정 및 운영)

 

이번에 고객사 장비가 FPR3105인데 Cisco ASA Code를 사용해서 기존에 사용중인 ASA 5545-X 교체하고자 합니다. 

 

FPR3105는 Appliance Mode를 지원하나요?

Cisco Firepower 3105(FPR3105)는 Appliance Mode를 지원합니다.
이 모드는 장치를 독립 실행형 ASA 어플라이언스로 작동하게 하며, Firepower eXtensible Operating System(FXOS) 계층 없이 전통적인 방화벽 기능을 제공합니다.

Appliance Mode에서는, FPR3105가 ASA 이미지를 직접 실행하므로, ASA 기능만 필요한 환경에서 배포 및 관리가 간소화됩니다.

이 모드는 특히 익숙한 ASA 인터페이스를 선호하고, Firepower Threat Defense(FTD)가 제공하는 고급 기능이 필요하지 않은 사용자에게 적합합니다.

단, Appliance Mode로 운영할 경우, 고급 위협 방어 및 침입 방지(IPS)와 같은 Firepower 서비스는 사용할 수 없습니다.
따라서 네트워크 보안 전략에 이러한 고급 기능이 포함되어 있다면, FPR3105를 FTD 이미지로 배포하는 것을 고려해야 합니다.

요약하자면, FPR3105는 유연한 장비로, ASA 또는 FTD 소프트웨어 중 원하는 모드로 구성할 수 있으며, 보안 요구사항과 운영 환경에 맞게 선택할 수 있습니다.

 

그럼 이번에는 ASA 버전 몇부터 Platform모드를 지원하고 Appliance모드를 지원하는지 알아보겠습니다.

 

예, Cisco Firepower 2100 시리즈에서 Appliance 모드는 ASA 9.13 이상 버전부터 지원됩니다. 이전 버전인 9.12 이하에서는 Platform 모드만 지원되며, Appliance 모드로의 전환을 위해서는 FXOS를 통한 재이미징이 필요합니다.ManualsLib+9Cisco Community+9ccnpsecuritywannabe.blogspot.com+9

ASA 9.13 이상으로 업그레이드하면 Appliance 모드가 기본 모드로 설정되며, show fxos mode 명령어를 통해 현재 모드를 확인할 수 있습니다. 이 모드에서는 ASA CLI나 ASDM을 통해 모든 설정을 구성할 수 있으며, FXOS CLI는 고급 트러블슈팅 명령어에만 사용됩니다.ManualsLib+3Manuals++3pseudoco.cisco.com+3

따라서, Firepower 2100을 Appliance 모드로 운영하려면 ASA 9.13 이상으로 업그레이드해야 하며, 이전 버전에서는 FXOS를 통해 Platform 모드로만 구성할 수 있습니다.