IT BLOG(KR)

안녕하세요.

오늘은 고객사가 ASA-5545-X를 ASA 기능으로만 사용중이고 EOL 떄문에 방화벽 Tech Refresh를 진행중입니다.

하지만 고객사 요구사항은 아래와 같습니다. 

1. 이 방화벽은 Remote Acess VPN용으로만 사용중입니다. 약 350명 정도

2. 현재 고객사 비지니스가 너무 중요하기 때문에, Risk를 가지고 것을 원하지 않습니다.

3. 더 좋은 방화벽이 벤더가 있더라고 다른 벤더 방화벽 교체를 원하지 않습니다.

4. FPR은 FTD 차세대 방화벽인데, 차세대 방화벽 기능 사용 하고 싶지 않습니다. 이유는 이미 인터넷 방화벽이 팔로알토이기 때문에, 단순히 Remote Access VPN용으로만 사용하고 유저를 인증하고 싶습니다. 

   Certificate는 Godaddy에서 인증받고 보안강화를 위해서 2FA Okta SSO를 사용 합니다.

5. 똑같은 ASA 버전을 사용 하고 싶습니다. 

6. 똑같은 설정값을 복사 붙여넣기 해서 위험을 최대한 줄이길 원합니다. 

ASA vs FTD 차이

Cisco Secure Firewall 3100 시리즈는 **ASA(Adaptive Security Appliance)**와 FTD(Firepower Threat Defense) 소프트웨어를 모두 지원합니다. FPR3105-ASA-K9는 ASA 소프트웨어를 실행하는 모델로, 전통적인 방화벽 기능에 중점을 둡니다. 반면, FTD 소프트웨어를 실행하는 모델은 고급 위협 방어 기능과 통합된 보안 관리를 제공합니다. 따라서, FPR3105-ASA-K9는 ASA 소프트웨어 기반의 보안 솔루션을 제공합니다.cisco.com+6sec.cloudapps.cisco.com+6compsource.com+6

요약하면, FPR3105-ASA-K9는 Cisco ASA 소프트웨어를 실행하는 장비로, 고성능 방화벽 기능을 제공하며, Cisco Secure Firewall 3100 시리즈의 일부입니다.

장비를 구매 할때 아래처럼 FPR3105-ASA-K9으로 구매를 하면 별도로 FTD를 ASA로 변환하지 않아도 됩니다. 이미 ASA버전으로 이미지가 설치 되어서 배달됩니다.

예, FPR3105-ASA-K9는 Cisco의 ASA(Adaptive Security Appliance) 소프트웨어를 실행하는 장비입니다.

FPR3105-ASA-K9 개요

• 모델명: FPR3105-ASA-K9
• 제품군: Cisco Secure Firewall 3100 시리즈
• 운영 체제: Cisco ASA 소프트웨어
• 형태: 1U 랙 장착형 보안 어플라이언스
• 주요 사양:
  • 방화벽 처리량: 최대 10 Gbps
  • 동시 연결 수: 최대 150만
  • VPN 처리량: 최대 5.5 Gbps
  • 포트 구성: 8x1G RJ45, 8x1/10G SFP+
  • 스토리지: 900GB SSD
  • 운영 온도: 0~40°C
  • 소프트웨어: Cisco ASA 소프트웨어 

이 모델은 Cisco ASA 소프트웨어를 실행하며, Cisco Secure Firewall 3100 시리즈의 일부로서 고성능 방화벽 기능을 제공합니다.

만약에 FTD버전에 방화벽을 원하시면 아래처럼 구매 합니다.

FPR3105-NGFW-K9는 Cisco Firepower Threat Defense (FTD) 소프트웨어를 실행하는 차세대 방화벽(NGFW) 장비입니다.

회사에서 FPR3105-ASA-K9 개봉해서 콘솔포트에 연결한 사진 입니다.

자세한 부팅 과정은 생략.

아래처럼 자동으로 firepower로그인 되면서 아래처럼 Cisco ASA로 부팅을 시도 합니다. 

그리고 아래처럼 cisco asa로 부팅된것을 확인 가능 합니다. 

ciscoasa> 

지금까지 [FTD#6]-FPR FTD ASA Version Order - FPR3105-ASA-K9 글을 읽어주셔서 감사합니다. 

나의 말:

ChatGPT의 말:

Cisco Firepower 3100 시리즈(FPR3105)는 **FTD(Firepower Threat Defense)**와 ASA(Adaptive Security Appliance) 소프트웨어를 모두 지원하는 멀티모드 플랫폼입니다. 따라서 FTD에서 ASA로의 전환은 비교적 간단하며, 다음 절차를 따르면 됩니다.Cisco

---

🔄 FPR3105에서 FTD → ASA로 전환하는 방법

1. ASA 이미지 다운로드

• Cisco 계정에 로그인 후, Cisco 소프트웨어 다운로드 페이지로 이동합니다.
• FPR3105 모델에 해당하는 ASA 소프트웨어 이미지를 다운로드합니다.
  • 예: asa9-18-4-15-smp-k8.bin
• 다운로드하려면 Cisco 계정에 대한 적절한 권한이 필요합니다.

2. 장비의 FTD 모드 확인

• 장비가 FTD 모드에서 실행 중인지 확인합니다.
• FTD 모드에서는 FXOS(Firepower eXtensible Operating System)와 ASA 소프트웨어가 분리되어 관리됩니다.PeteNetLive

3. FXOS 모드로 전환

• 장비를 재부팅한 후, 부팅 중에 BREAK 키를 눌러 FXOS 모드로 진입합니다.
• FXOS 모드에서 system 명령어를 사용하여 시스템 상태를 확인합니다.PeteNetLive

4. ASA 이미지 업로드

• USB 드라이브 또는 TFTP 서버를 사용하여 ASA 이미지를 장비에 업로드합니다.
• USB를 사용하는 경우, USB 드라이브에 ASA 이미지 파일을 복사한 후 장비에 연결합니다.

5. ASA 이미지로 부팅 설정

• FXOS 모드에서 다음 명령어를 사용하여 ASA 이미지를 부팅하도록 설정합니다:
• bash
  복사편집
  boot system usb0:/asa9-18-4-15-smp-k8.bin

위 명령어에서 usb0:/asa9-18-4-15-smp-k8.bin은 실제 파일 경로로 변경해야 합니다.

6. ASA로 부팅 및 초기 설정

• 설정이 완료되면 장비를 재부팅하여 ASA 모드로 부팅합니다.
• 부팅이 완료되면 ASA CLI에 접근할 수 있습니다.
• 초기 설정을 진행합니다.

---

⚠️ 주의사항

• 라이선스 확인: FTD에서 ASA로 전환하면 기존 FTD 라이선스는 적용되지 않습니다. ASA 전용 라이선스가 필요합니다.
• 구성 데이터: FTD에서 ASA로 전환하면 기존 FTD 구성은 유지되지 않습니다. ASA에서 새롭게 구성을 진행해야 합니다.
• 모델 지원 여부: 일부 모델은 ASA 모드에서만 동작하며, FTD 모드로의 전환이 불가능할 수 있습니다.

---

FPR3105 모델은 FPR3105-ASA-K9와 같은 ASA 전용 모델이 있으며, 이러한 모델은 초기부터 ASA 모드로 제공됩니다. 그러나 FPR3105-NGFW-K9와 같은 모델은 FTD 모드로 제공되며, 위 절차를 통해 ASA 모드로 전환할 수 있습니다.xsnet.com.au+2Equtechnology.com+2xsnet.com.au+2xsnet.com.au+4signalgroup.com.au+4xsnet.com.au+4

추가적인 도움이 필요하시거나 구체적인 설정에 대한 문의가 있으시면 언제든지 말씀해 주세요.

출처

나의 말:

ChatGPT의 말:

안녕하세요.

현재 Firepower 제품군은 unified software image 지원 합니다. 

FTD - Firepower Threat Defense - Next-genration Firewall 이미지를 사용 합니다.

만약에 FTD에 Cisco ASA code로 변환해서 사용을 하면 Next-Generation Firewall에서 제공하는 기능들을 사용 못합니다. 

그리고 Cisco ASA code는 현재는 제공하지만 점차 제공하지 않을 예정이기 때문에 Cisco 에서도 FTD를 이미지를 권장합니다. 

Cisco ASA Code는 아래처럼 두가지 모드가 있습니다.

1. Platform 모드

2. Appliance 모드

Platform 모드는 시스템을 하나의 통합 플랫폼으로 보고, 하드웨어와 관리 기능을 분리하여 구성합니다.

주요 특징:

• **제어 플레인(Control Plane)**과 **데이터 플레인(Data Plane)**이 분리되어 있습니다. ASA 소프트웨어는 Firepower 플랫폼 내의 하나의 구성요소로 실행됩니다.
• **FXOS(Firepower eXtensible Operating System)**가 기본 운영체제로 동작하며, 하드웨어 관리에 사용됩니다.
• 논리적 장치(Logical Device) 구성: Firepower Chassis Manager(FCM)나 FXOS CLI를 통해 ASA, FTD 등의 장치를 생성합니다.
• 다중 인스턴스(multi-instance) 지원: 하나의 장비에서 여러 논리적 방화벽을 운영할 수 있어 멀티 테넌시가 가능합니다.
• 주로 Firepower 4100 시리즈 또는 9300 시리즈에서 사용됩니다.

관리 방법:

• FXOS와 ASA CLI 또는 ASDM을 함께 사용하여 관리합니다.
• FXOS에서 인터페이스, 모듈, 하드웨어 수준의 설정을 담당합니다.

Appliance 모드

Appliance 모드는 Firepower 장비를 전통적인 ASA 장비처럼 독립형 방화벽 어플라이언스로 사용합니다.

주요 특징:

• 단일 이미지 부팅: ASA 소프트웨어가 직접 장비에서 실행되며, FXOS는 사용되지 않습니다.
• 구성이 간단하며, 기존 ASA 사용자에게 친숙한 방식입니다.
• 논리적 장치 개념 없이 단일 ASA 인스턴스만 실행됩니다.
• 주로 Firepower 2100 시리즈 또는 하위 모델에서 사용됩니다.

관리 방법:

• ASA CLI, ASDM, 또는 Cisco Security Manager 등을 사용하여 직접 관리합니다.
• FMC(Firepower Management Center)와는 주로 FTD 모드에서 통합됩니다.

항목 Platform 모드 Appliance 모드

이번에 고객사 장비가 FPR3105인데 Cisco ASA Code를 사용해서 기존에 사용중인 ASA 5545-X 교체하고자 합니다. 

FPR3105는 Appliance Mode를 지원하나요?

Cisco Firepower 3105(FPR3105)는 Appliance Mode를 지원합니다.
이 모드는 장치를 독립 실행형 ASA 어플라이언스로 작동하게 하며, Firepower eXtensible Operating System(FXOS) 계층 없이 전통적인 방화벽 기능을 제공합니다.

Appliance Mode에서는, FPR3105가 ASA 이미지를 직접 실행하므로, ASA 기능만 필요한 환경에서 배포 및 관리가 간소화됩니다.

이 모드는 특히 익숙한 ASA 인터페이스를 선호하고, Firepower Threat Defense(FTD)가 제공하는 고급 기능이 필요하지 않은 사용자에게 적합합니다.

단, Appliance Mode로 운영할 경우, 고급 위협 방어 및 침입 방지(IPS)와 같은 Firepower 서비스는 사용할 수 없습니다.
따라서 네트워크 보안 전략에 이러한 고급 기능이 포함되어 있다면, FPR3105를 FTD 이미지로 배포하는 것을 고려해야 합니다.

요약하자면, FPR3105는 유연한 장비로, ASA 또는 FTD 소프트웨어 중 원하는 모드로 구성할 수 있으며, 보안 요구사항과 운영 환경에 맞게 선택할 수 있습니다.

그럼 이번에는 ASA 버전 몇부터 Platform모드를 지원하고 Appliance모드를 지원하는지 알아보겠습니다.

예, Cisco Firepower 2100 시리즈에서 Appliance 모드는 ASA 9.13 이상 버전부터 지원됩니다. 이전 버전인 9.12 이하에서는 Platform 모드만 지원되며, Appliance 모드로의 전환을 위해서는 FXOS를 통한 재이미징이 필요합니다.ManualsLib+9Cisco Community+9ccnpsecuritywannabe.blogspot.com+9

ASA 9.13 이상으로 업그레이드하면 Appliance 모드가 기본 모드로 설정되며, show fxos mode 명령어를 통해 현재 모드를 확인할 수 있습니다. 이 모드에서는 ASA CLI나 ASDM을 통해 모든 설정을 구성할 수 있으며, FXOS CLI는 고급 트러블슈팅 명령어에만 사용됩니다.ManualsLib+3Manuals++3pseudoco.cisco.com+3

따라서, Firepower 2100을 Appliance 모드로 운영하려면 ASA 9.13 이상으로 업그레이드해야 하며, 이전 버전에서는 FXOS를 통해 Platform 모드로만 구성할 수 있습니다.

안녕하세요. 

이번에는 FTD랑 FMC를 설치 후 FMC를 통해서 FTD를 관리해보겠습니다. 

토폴리지는 아래와 같습니다.

FTD01: MGMT IP 10.20.20.1/24 GW 10.20.20.254

FTD02: MGMT IP 10.20.20.2/24 GW 10.20.20.254

FMC01: MGMT IP 10.20.20.3/24 GW 10.20.20.254

FTD01: outside interface g0/0 - 192.168.100.101/24 GW 192.168.100.254

FTD01: Inside Interface g0/1 - 10.100.100.254

Virtual PC: 10.100.100.1/24 GW 10.100.100.254

이번은 블로그에서는 FTD HA는 생략 하겠습니다. 

MGMT SW설정입니다. 현재 사용하시는 EVE-NG 구성도에 따라서 기본적인 설정값은 다를수 있습니다. 

Vlan Check

Interface Status check

Routing Table check

Ping Test to Default Gateway

FTD01 MGMT 설정

default login information

admin/Admin123

로그인후 새로운 패스워드를 입력합니다.

MGMT IP주소를 입력 합니다. 

show network 명령어를 통해서 MGMT IP주소를 확인합니다.

안녕하세요.

FTD MGMT IP: 192.168.100.11이고 PC에서 Ping도 잘 됩니다.

FTD GUI를 접속하면 아래와 같이 에러메시지 뜨면 해결 방법 입니다.

EVE-NG에서 FTD를 아이콘을 더블클릭 후 VNC안에서 명령어를 아래와 같이 입력합니다.

아래 처럼 접속 가능합니다.

만약에 곧바로 부팅후 접속 시도하면 위와 같이 에러 메시지 발생할수 있습니다.

10분정도 기다렸다가 다시 접속을 시도 합니다. 

서버 또는 laptop 성능이 느리면 더 오래 걸릴수도 있습니다.

FTD를 중지 하고 CPU랑 MEM를 늘린후에 다시 부팅후 10분뒤에 접속을 다시 시도해 봅니다.

지금까지 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 FTD 기본 설정에 대해서 알아보겠습니다.

EVE-NG에 FTD를 설치 하기위해서는 아래 글을 참고 부탁드립니다.
https://itblog-kr.tistory.com/21

FTD MGMT - Internet Connection  - 192.168.10.231

g0/0 - Internet Connection - 192.168.10.232

g0/1 - LAN - Virtual PC에 연결 합니다. - 10.1.1.254/24

Virtual PC IP - 10.1.1.1/24

1. FTD를 부팅하고 더블클릭 합니다.

admin/Admin123 디폴트 로그인 정보입니다.

Enter를 입력합니다.

Enter를 입력합니다.

Password를 새로 입력합니다.

아래처럼 입력합니다.

IP: 192.168.10.231

Sunetmask; 255.255.255.0

Gw: 192.168.10.253

Manger the devies locally? yes를 입력합니다. 

PC에서 Ping를 시도합니다.

https://192.168.10.231로 방화벽에 접속 합니다.

FTD를 로그인 합니다. 

그렇게 장비 접속이 가능 합니다. 

수동으로 장비를 설정할 예정입니다. 

아래 처럼 디바이스 설정 건너뛰기를 선택하고 확인 버튼을 클릭합니다. 

90일 평가 시작를 체크 하고 확인 버튼을 클릭합니다.