Cisco Firepower 4125

目次

最初に

• このページは 「さくらの専用サーバ PHY」 の 「Cisco Firepower 4125」 の出荷時の基本情報や提供状態、知っておくと便利な情報をまとめたサーバー運用経験者向けの資料マニュアルです。
• このページを読む前に、必ず「 最初にお読みください 」をお読みください。

• このページで表現している「出荷」とは、以下の状態を指します。

  • 契約したサーバー（またはサービス）をユーザーの手にお届けしたときの状態・設定

  • OSまたは該当のアプリケーションをインストール（再インストールを含む）したときの状態・設定

• 提供するサーバーやOS、機材やオプションの「販売終了・提供終了」以降は、対象のマニュアルの改定・更新は停止します。

  更新が停止してから一定の期間経過した時点で、インターネットでの公開を終了します。 詳しくは マニュアルの情報凍結とライフサイクル をご覧ください。
• インターネットでの閲覧が終了したマニュアルが必要になったときは、カスタマーセンターへお問い合わせください。
• 弊社の都合により、予告なく閲覧の取り下げ、または公開を終了する場合があります。

警告

ファイアウォールサービスと専用グローバルネットワークの接続の際に、専用グローバルネットワークのNAT変換用設定を有効とする場合にはロードバランサーサービスがご利用いただけません。 詳細については マニュアル をご参照ください。

サービス概要

このマニュアルが対象とするサービスは以下の通りです。

サービス名称	さくらの専用サーバ PHY ファイアウォール
モデル名称	Cisco Firepower 4125
販売開始	2023/11
販売終了	--

ベンダー提供 ドキュメンテーション

• CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.16

• CLI ブック 2：Cisco ASA シリーズ ファイアウォール 9.12 CLI コンフィギュレーション ガイド

• ASDM Book 2: Cisco Secure Firewall ASA Series Firewall ASDM Configuration Guide, 7.18

• ASDM ブック 2: Cisco ASA シリーズ ファイアウォール ASDM 7.14 コンフィグレーションガイド

ハードウエア情報

モデル	Cisco Firepower 4125
構成	冗長構成
タイプ	共用
スループット（最大）	20Gbps
その他	ファイアウォールモード: ルーテッドモード アウトサイドインターフェース：1個（名称:outside） インサイドインターフェース：1個（名称:inside_a） 管理ツール：ssh（管理CLI）/ https（管理GUI）

Note

ファイアウォールには「アウトサイドインターフェース(outside)」と「インサイドインターフェース(inside_a)」がそれぞれ1個ずつ用意されています。

契約あたりの目安

接続数

同時接続数	100,000
新規接続数/秒	4,400
最大接続ピア数（VPN対向先）	20ピア
コンフィグ行数	10,000行

出荷時の設定情報

ファイアウォール管理IPアドレス

出荷時は、アウトサイドインターフェースとインサイドインターフェースに設定するファイアウォール管理IPアドレスを下記のように設定しています。

項目	初期状態	設定詳細
アウトサイドIPアドレス - アクティブ	設定済み	ファイアウォール契約時に共用セグメントから空きIPアドレスが割り当てられます 初期状態は「設定済み」で設定は必要ありません
アウトサイドIPアドレス - スタンバイ	設定済み
アウトサイドIPv6アドレス - アクティブ	未設定	ファイアウォール契約時に共用セグメントから空きIPv6アドレスが割り当てられます 初期状態は「未設定」で手動で設定する必要があります 必要に応じて、割り当てられたIPv6アドレスをコントロールパネル上で確認し手動で設定ください
アウトサイドIPv6アドレス - スタンバイ	未設定
インサイドIPアドレス - アクティブ	未設定	コントロールパネルから「新規接続」を行うと自動で設定されます 通常は専用グローバルネットワークのゲートウェイアドレスが設定されます NAT構成を選択した場合はお客様指定のプライベートIPアドレスが設定されます
インサイドIPアドレス - スタンバイ	未設定
インサイドIPv6アドレス - アクティブ	未設定	初期状態は「未設定」で手動で設定する必要があります 必要に応じて、専用グローバルネットワークのIPv6ゲートウェイアドレスを手動で設定ください NAT構成を選択した場合は設定は行わないでください
インサイドIPv6アドレス - スタンバイ	未設定

警告

• アウトサイドIPアドレス、アウトサイドIPv6アドレスは管理用として独立した共用セグメントから割り当てられます。

• いかなる用途においても、割り当てられたIPアドレス、IPv6アドレス以外のアドレスの利用は禁止いたします。

アクセス制限

出荷時は、アウトサイドインターフェースからインサイドインターフェースへの通信を下記のように設定しています。

項目	アクセス制限
PING(icmp)	許可
その他 ブロック	ブロック

• インサイドインターフェースからアウトサイドインターフェースへの通信はすべて許可されます。

• 出荷時はIPv6アドレスは設定されていません。IPv6アドレスの通信はすべてブロックされます。

管理ツール（管理GUI・管理CLI）へのアクセス制限

出荷時は、ファイアウォールを通る通信へのアクセス制限とは別に管理ツール（管理GUI・管理CLI）へのアクセス制限を下記のように設定しています。

項目	接続方式	アクセス制限
管理ツール（管理GUI）	HTTPS接続（専用のランチャーアプリを使用）	接続した専用グローバルネットワーク以外からは接続できない
管理ツール（管理CLI）	SSH接続	接続した専用グローバルネットワーク以外からは接続できない

同時接続数

出荷時は、同時接続数を下記のように設定しています。

項目	アクセス制限
SSH(22/tcp)	100
リモートデスクトップ(3389/tcp)
HTTP(80/tcp)	2000
HTTPS(443/tcp)

monitor-interface

出荷時は、弊社管理部分以外でのインターフェース、サービスモジュールの監視を無効といたしております。

項目	設定
monitor-interface outside	無効
monitor-interface inside_a	無効（新規接続時に無効）
monitor-interface service-module	無効

警告

• 意図しない挙動を抑制するため、お客様にて監視を有効とされた場合には弊社にて監視を再度無効とする場合がございます。