1. Cisco ASA および関連機器導入の顛末

Cisco 社の ASA と その関連製品を、とある SIer の強い意向で導入した
対象は以下の通り

Cisco ASA ファイアウォール
Cisco ASA with FirePOWER Services
Cisco FireSIGHT Management Center

2. Cisco FirePOWER は処理能力不足、URI フィルタは WebProxy で実現

IDentity FW認証 および URI フィルタ 機能を利用する事に よる性能劣化は事前に予測されていたが、悪い予想は何故か当たるもので、実際に的中して しまった
どうやら Cisco FirePOWER を経由すると、処理能力不足で通信遅延が生じてしまう らしい
已やむを得ず Cisco FirePOWER の無効化を行い、機能を一切利用しない様ように対処した

IDentity FW認証 だけは使用せざるを得なかったので これは利用し続ける事と なったが、URI フィルタを Cisco FirePOWER で実現する当初の方針は畢竟 抛棄ほうきされて しまった
要するに、URI フィルタは別途 WebProxy 機で実現する事と相成あいなった ので ある

何と言うべきか、Cisco FirePOWER 及び Cisco FireSIGHT Management Center での構築と試験に投入した作業時間は完全に水泡に帰きする所ところと なった

3. SI として あるべき姿

これは私の持論で あるので、他の方が読んで納得するか どうかは分からない
反対の見解を持つ者も いると思う
しかし、概おおむね大過たいかは無いと考える

1) ファイアウォールは通信制御のみに専念し、UTM 機能は使用しない

2) URI フィルタは別途機器を用意し、WebProxy 機と連携させて実現せしめる

3) ActiveDirectory を利用したユーザ認証で Web 通信を制限したい場合も、 URI フィルタ機で実現せしめる

4) 特定の製造元で導入製品を揃えず、機能と価格その他で厳正かつ客観的に機器を選定する

5) メーカー公称値に よる処理能力を過信せず、評価機を借用して実行処理能力値を検証する

6) 機材が多くなる事よりも機器の役割を減らす事を優先する

先まず以もって この辺あたりを原則として堅持して おけば不可解なシステムを構築して しまう事は無い と思うので あるが、如何いかがで あろうか

恐らく今回の SIer も何某なにがしか の痛い教訓を得たもの と思うが、それで あれば私が費ついやした時間と手間も無駄には なるまい と思って、今回案件を後に した次第で ある

公開 : 2015年5月18日