2016年06月20日

Cisco ASA with FirePOWER

いま海外拠点のファイアウォールをCiscoのASAに統一しようとしています。世界中で同じ機種が手に入るからという消極的な理由ですが、最近FirePOWERというモジュールが乗って、アプリケーション識別などのいわゆる次世代ファイアウォール機能が付いたのが大きな理由。ということでまずは自分で触ってみなくちゃということでCiscoから検証機借りて、仕事中は時間もないので自宅で週末にテストしています。

まず分かったのは、やはり後付け機能だけあってPaloAltoのようなシームレスなポリシー設定はできず、ファイアウォール側でサービスポリシー設定してFirePOWERモジュール側にパケットを渡すという付け焼刃的な動作をします。ASDMで設定はしますが・・・推奨はFireSIGHTだとかでこれまたお金がかかる。やはり敷居は高いですね。ポリシー設定の判りやすさはPaloAltoが最強だと思いますが、Paloはパフォーマンスに重大な欠陥を抱えているのでどうもいまいちです。今も日本サイトのファイアウォールはPaloを使っているのですが、ポリシーを変更するだけで不具合に遭遇したりうまく動かなかったりで時間がどんどんたち・・・今のビジネスのスピードに全くついていけません。最新の機種は改善されているかもしれないので近々検証する予定ですが、痛い目見ているのでちょっと敬遠してしまいます。でも、ASA with FirePOWERも設定が一筋縄ではいかないようで、うーん、ファイアウォールどれがいいんでしょうね?

kenjiz at 23:31│Comments(0)TrackBack(0) IT 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔