Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。

このページでは Firepower の動作についてまとめています。

基本的に ASA OS のみで、FTD はあまり扱いません。

Cisco コミュニティのまとめページ

Firepower のアーキテクチャ

FPR2100 以外の製品でソフトウェア転送となっており、基本的に ASIC を使用しません。

2100シリーズのデバイスは他のデバイスと大きく異なり、特定用途向け集積回路(ASIC)が存在します。 
従来のASA機能(Lina)はすべてASIC上で実行され、次世代ファイアウォール(NGFW)機能（Snort、
URLフィルタリングなど）はすべて従来のx86アーキテクチャ上で実行されます。

2025/03 更新

2022 年に発売された、Secure Fairewall 3100 は FPGA を搭載し、暗号化・復号化のパフォーマンスがかなり向上しているとのこと。 ^[1]

ASA と Firepower の違い

ASA

以前販売されていたアプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。

Firepower 上でも ASA OS として動作させることが可能な製品が存在する。

Firepower

仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。

Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。

ASA アプライアンスモード
- レイヤ 4 までのフィルタリング、VPN 機能などを備える
- ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている
- ASA のコンフィグや運用は、ほぼそのまま踏襲可能
FTD プラットフォームモード
- レイヤ 7 までを含み、脅威の監査などを行う
- IPS / NGFW / FTD

FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。

動作モード

機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。

また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。

Firepower 1000 シリーズ : ASA アプライアンスモード
Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォームモード
Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォームモード
Firepower 4100 シリーズ : FTD プラットフォームモード
Firepower 9300 シリーズ : FTD プラットフォームモード

機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。

Firepower Management Center (FMC)

Cisco Defense Orchestrator (CDO)

再イメージ

ASA OS <-> RTD OS を切り替える作業のこと。詳細は以下のドキュメントが詳しい。

Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介

Firepower1000/2100/3100シリーズ: ASA（Appliance Mode）と FTD間のリイメージ手順について

Firepower Threat Defense（FTD）管理インターフェイスの設定

冗長化

Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)

ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて

ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)

ASA Failover: ケース別のGARP送付有無について

NAT するなら仮想 MAC を持たせる

ASA: Redundant Interfaceの設定例と動作確認

ASA5500-X: Internet Firewall 設定例 (冗長構成)

FMC 環境下のバックアップ・リストア

FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。

また、機能によってはリストアに対応しない機能もあります。

Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)

・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。
・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です

注意するべき内容

Portchannel のステータスが ASA OS から確認できない

ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため、FXOS の CLI から確認する。

Firepower2100-ASA: EtherChannelの設定確認方法

ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。

ASA から FXOS にコンソールを切り替えて、コマンドを実施します。

show portchannel summary (上記 URL から引用)

firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------

Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------

1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)

その他のコマンドは上述の外部リンクの内容を参照してください。

電源 off / 再起動は明示的に実施する

Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動は FXOS のコマンドや GUI から明示的に実施する必要があります。

Firepower System: FMCと FTDと FirePOWER Moduleの再起動手順

Caution:

電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。

ちなみに ASA アプライアンスモード中に電源スイッチで off にした場合、シャットダウンスクリプトが動作する Graceful Shutdown である ^[2] ため、安全に切れるようになっています。

データベース破損による再インストールが発生しかねない危険な作業は、電源ケーブルの直接抜去です。

ASA 再起動

FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください

再起動を実施する場合は、ASAアプリケーションを reloadコマンドで再起動することで、FXOSも自動で再起動が発生します。

FPR2100-ASA# reload
admin01 config has been modified. Save? [Y]es/[N]o/[S]ave all/[C]ancel:  Y
Cryptochecksum: 02ec7f9d cd0b78cc 9e8d6cf2 2b8b26ca

6418 bytes copied in 0.960 secs
Proceed with reload? [confirm]

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down sw-module
Shutting down License Controller
Shutting down File system
   --- 略 ---

ASA シャットダウン

FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください

シャットダウンを実施する場合は、connect fxos もしくは connect fxos admin コマンド (※) を実行後に、connect local-mgmt --> shutdown コマンドを実施してください。(※ASAアプライアンスモード利用時)

FPR2120# connect fxos admin
Configuring session.
Connecting to FXOS.
...
  --- 略 ---
firepower-2120#
firepower-2120# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-2120(local-mgmt)# shutdown
Before shutdown, please take a configuration backup.
Do you still want to shutdown? (yes/no): yes

FTD 再起動

[1]FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください

FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。

firepower# connect ftd
>
>
> reboot

FTD シャットダウン

FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください

シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。

> shutdown
This command will shutdown the system. Continue?
Please enter 'YES' or 'NO': YES

インターフェースモードのパッシブコマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニターモードを意味する

Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager バージョン 6.4.0 用）

インターフェイス モード

インターフェイスごとに、次のいずれかのモードを設定できます。

ルーテッド

各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

パッシブ

パッシブ インターフェイスは、スイッチ SPAN（スイッチド ポート アナライザ）またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。

FMC から FTD が削除できない

FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。

Firepower System: FMCからのデバイス登録の強制削除方法

ASA の Port-channel はシャーシまたぎに対応しない

Catalyst Stack がシャーシまたぎで LAG を組める、という常識で ASA と Port-channel で接続すると、ハマる構成。

ASA を Active / Standby の HA 冗長構成を組んだ場合、対向側 Catalyst の Port-channel は、ASA のシャーシごとに組む必要がある。

Catalyst Stack#1 Po1 --- Po1 ASA#1
Catalyst Stack#2 Po2 --- Po1 ASA#2

ASA 側は HA のコンフィグ同期で Po1 は 1 つになるため、ややこしい。

ASA は Po1 でコンフィグは HA により共通化されているが、Po1 の存在自体は ASA#1 と ASA#2 で独立しているため、別として扱う必要がある
Catalyst も Po1 でコンフィグが Stack により共通化されるが、Po1 の存在は Catalyst#1 と #2 で共通 (=シャーシまたぎ) となっている

FPR1010 の Vlan ID 制限

3968 〜 4047 は Firepower 内部で使用するため、使用できない。 ^[3]

低セキュリティ暗号によるプロトコルの廃止

ASA OS 9.13 以降

以下が削除となっている。

低セキュリティの暗号の廃止

ASA OS 9.16 以降

以下のプロトコルが使用不可となった。

2048 ビットよりも小さい RSA ^[4]
SSH バージョン 1 ^[5]
DH Group 2 , 5 , 24 ^[6]

切り替え時間短縮 TIPS

NAT 環境では仮想 MAC を使用する。

参考 : 5. データ処理用Interfaceの仮想MACアドレスの利用について (NAT利用時)

ブリッジグループまたは IPv6 DAD を使用する場合、failover wait-disable を設定する。

参考 : フェールオーバー遅延の無効化

CLI

FTD / ASA を移動する

FXOS: FTD: OSの構造とコマンドプロンプトの移動方法

FTD から ASA に CLI を変更し、ping 試験を行う

FTD: CLIからのPING試験について

system support diagnostic-cli

推奨バージョン

推奨バージョンまとめ#ASA / FirePower を参照。

Verup

ASA OS は互換性があれば異バージョンであっても、一時的に冗長構成を組むことが可能。

両系を同時に再起動することなく、Verup することができる。

FirepowerアプライアンスでのASA HAペアのアップグレード

Cisco Secure Firewall ASA アップグレードガイド

日本語版は情報が古いため、英語版の Cisco Secure Firewall ASA Upgrade Guide を参照したほうが良い

Upgrade Path でターゲット Version へ移行できるか (=異バージョンで冗長が組めるか) 確認可能

アクティブ/スタンバイフェールオーバーペアのアップグレード

Firepower1000/2100: ASAのアップグレードについて

threat-detection 脅威検出

デフォルトの動作

デフォルトで有効になっている。脅威ホストからの通信として検知されると、デフォルト値で 3600 秒 = 1 時間の間通信させないという挙動を行う。

CLI ブック 2：Cisco Secure Firewall ASA ファイアウォール 9.20 CLI コンフィギュレーションガイド
脅威検出のデフォルト

表 2. 基本的な脅威の検出のデフォルト設定

基本脅威検出は、デフォルトでイネーブルになっています。

これをディセーブルにするには no threat-detection basic-threat を使用します。

任意）攻撃元のホストを遮断する期間を設定します。
threat-detection scanning-threat shun duration seconds

ASA脅威の検出機能と設定の確認

ASA OS の threat-detection でパケットが遮断される場合の対処法

ASA OS は threat-detection でパケットを遮断する場合がある。

運用時は問題ないが、試験環境では大量のパケットを投げる場合もあり、遮断されるのが好ましくないケースがある。

試験環境の場合、以下で回避可能。

除外する場合

こちらは現在遮断中のホストに影響しない。遮断対象から除外するコマンド。

show shun でエントリがあるか確認する

以下で shun の範囲から除外する

threat-detection scanning-threat shun except ip-address <IP> <mask>

遮断をすぐに解除したい場合

clear threat-detection shun <IP> で遮断のエントリを削除する

リファレンス

TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer

ASA: スマートライセンス認証とトラブルシューティング

ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)

Cisco Secure Firewall ASA コンフィギュレーションガイド

Cisco Secure Firewall ASA コマンドリファレンス

脆弱性・不具合情報

【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について

Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability

CVE-2023-20086
CSCwd77581

機能拡張

Cisco Secure Firewall ASA の新機能（リリース別）

パフォーマンス

crypto engineの最適化コマンド

ASA 5585、5580、5545/5555、ASASM、FP4110、FP4120、FP4140、FP4150、FP9300、SM-24、SM-36、および SM-44 に対応するコマンド。

crypto engine accelerator-bias で SSL 優先有無を設定可能

crypto engine accelerator-bias ssl

SSL にコアを最適化する。

crypto engine accelerator-bias balanced

SSL と IPsec 両方にバランスよくコアを設定する。

オフロード

flow-offload enable

FPR4100 , 9300 で対応

flow-offload-dtls

FPR3100 , 4200 で対応

flow-offload-dtls egress-optimization

FPR3100 , 4200 で対応

flow-offload-ipsec

FPR3100 ではデフォルトで有効。

デバッグ手法

RADIUS

debug radius + test aaa-server

asav-0/pri/act(config)# test aaa-server authentication Radius-Grp host 172.16.$

INFO: Attempting AuthenticaRADIUS packet decode (authentication request)
tion test to IP address (172.16.0.101) (timeout: 10 seconds)
ERROR: Authentication Server not responding: No active server found
asav-0/pri/act(config)#
--------------------------------------
Raw packet data (length = 87).....
01 12 00 57 06 02 41 2c 05 f9 91 6f 9e 8e a8 1f    |  ...W..A,...o....
25 1a 7c 8d 01 0a 74 65 73 74 75 73 65 72 02 12    |  %.|...testuser..
f5 ba a8 5d 20 4f ed 88 fc f5 67 23 8e 3a ee 64    |  ...] O....g#.:.d
04 06 0a 00 00 06 05 06 00 00 00 12 3d 06 00 00    |  ............=...
00 05 1a 15 00 00 00 09 01 0f 63 6f 61 2d 70 75    |  ..........coa-pu
73 68 3d 74 72 75 65                               |  sh=true

Parsed packet data.....
Radius: Code = 1 (0x01)
Radius: Identifier = 18 (0x12)
Radius: Length = 87 (0x0057)
Radius: Vector: 0602412C05F9916F9E8EA81F251A7C8D
Radius: Type = 1 (0x01) User-Name
Radius: Length = 10 (0x0A)
Radius: Value (String) =
74 65 73 74 75 73 65 72                            |  testuser
Radius: Type = 2 (0x02) User-Password
Radius: Length = 18 (0x12)
Radius: Value (String) =
f5 ba a8 5d 20 4f ed 88 fc f5 67 23 8e 3a ee 64    |  ...] O....g#.:.d
Radius: Type = 4 (0x04) NAS-IP-Address
Radius: Length = 6 (0x06)
Radius: Value (IP Address) = 10.0.0.6 (0x0A000006)
Radius: Type = 5 (0x05) NAS-Port
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x12
Radius: Type = 61 (0x3D) NAS-Port-Type
Radius: Length = 6 (0x06)
Radius: Value (Hex) = 0x5
Radius: Type = 26 (0x1A) Vendor-Specific
Radius: Length = 21 (0x15)
Radius: Vendor ID = 9 (0x00000009)
Radius: Type = 1 (0x01) Cisco-AV-pair
Radius: Length = 15 (0x0F)
Radius: Value (String) =
63 6f 61 2d 70 75 73 68 3d 74 72 75 65             |  coa-push=true
un all

コマンドリスト

作業日、全作業の事前・事後ログに取りたいコマンドのリスト。

作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。

Firepower ASA シリーズ事前・事後ログリスト
大区分	小区分	コマンド	備考
ターミナル設定		terminal pager 0 terminal monitor
サポート		show tech-support
Common	System Management	show version show running-config more system:running-config ^[7] show logging show ntp associations	IOS-XE Version , ライセンス動作中のコンフィグメモリに保存された log NTP 同期
Layer1	Hardware	show facility-alarm status
Layer1	Interface	show interface	インターフェース状態カウンタエラーカウンタ
Layer2	Common	show vlan show mac address-table	Vlan MAC アドレステーブル
Layer2	Redundancy Protocol	show port-channel summary (FX-OS) show port-channel load-balance	ポートチャネル負荷分散メソッド
Layer3	Common	show arp show interface ip brief show ipv6 neighbors	ARP エントリ IP インターフェース一覧 IPv6 ネイバー
	Security	show ip access-lists show ipv6 access-list	IPv4 アクセスリスト IPv6 アクセスリスト
	Routing	show route show ospf neighbor show bgp summary show bgp neighbor x.x.x.x advertised-routes show ip bgp neighbor x.x.x.x received-routes show ipv6 route show ipv6 ospf neighbor show ipv6 interface brief show bgp ipv6 summary	IPv4 ルート OSPF ネイバー BGP IPv4 ピア一覧特定ピアの BGP 広報ルート特定ピアの BGP 受信ルート IPv4 ルート IPv6 OSPF ネイバー IPv6 インターフェース一覧 BGP IPv6 ピア一覧
High Availability		show failover state	フェイルオーバー
ASA VPN	Site-to-Site VPN	show crypto ikev1 sa show crypto ikev2 sa show crypto ipsec sa show crypto isakmp sa	セキュリティアソシエーション


ASA Threat-detection	shun	show shun	遮断エントリの表示

更新履歴

2024/11/12 : 初版作成

2025/03/27 : FPR3100 について追記

引用

↑ Secure Firewall 3100 シリーズが満を持して登場この FPGA には（「業界初」、特許取得済みの）次世代フローオフロードエンジンが搭載されており、超高速のシングルフロースループットと高性能コンピューティンググレードの低遅延を実現しています。
↑ FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。
↑ Cisco ASA シリーズ 9.16(x) リリースノート Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性：9.15(1) 以降にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。
↑ Cisco ASA シリーズ 9.16(x) リリースノート 2048 よりも小さい RSA キーは、9.16(1) では生成できません
↑ Cisco ASA シリーズ 9.16(x) リリースノート ssh version コマンドは 9.16(1) で削除されました
↑ Cisco ASA シリーズ 9.16(x) リリースノート 9.16(1) では DH グループ 2、5、24 はサポートされません：SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2、group5およびgroup24が削除されました。
↑ 実行コンフィギュレーションの確認 （注） 多くのパスワードは ***** として表示されます。パスワードをプレーンテキストまたは暗号化された形式（マスターパスフレーズを有効にしている場合）で表示するには、more コマンドを使用します。

[1] Secure Firewall 3100 シリーズが満を持して登場この FPGA には（「業界初」、特許取得済みの）次世代フローオフロードエンジンが搭載されており、超高速のシングルフロースループットと高性能コンピューティンググレードの低遅延を実現しています。

[2] FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。

[3] Cisco ASA シリーズ 9.16(x) リリースノート Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性：9.15(1) 以降にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。

[4] Cisco ASA シリーズ 9.16(x) リリースノート 2048 よりも小さい RSA キーは、9.16(1) では生成できません

[5] Cisco ASA シリーズ 9.16(x) リリースノート ssh version コマンドは 9.16(1) で削除されました

[6] Cisco ASA シリーズ 9.16(x) リリースノート 9.16(1) では DH グループ 2、5、24 はサポートされません：SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2、group5およびgroup24が削除されました。

[7] 実行コンフィギュレーションの確認 （注） 多くのパスワードは ***** として表示されます。パスワードをプレーンテキストまたは暗号化された形式（マスターパスフレーズを有効にしている場合）で表示するには、more コマンドを使用します。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

2025-04-02 Firepower / Cisco Secure Firewall まとめ