Cisco Security Cloud Control を使用した FDM デバイスの管理

インターフェイス

Security Cloud Control を使用して、FDM による管理デバイスのデータインターフェイスまたは管理/診断インターフェイスを設定および編集できます。

現時点では、Security Cloud Control はルーテッドインターフェイスとブリッジグループのみを設定できます。パッシブインターフェイスの設定はサポートしていません。

Firepower インターフェイス設定に関する注意事項と制約事項

Security Cloud Control を使用してデバイスを設定する場合、インターフェイス構成に関するいくつかの制限があります。次の機能のいずれかが必要な場合は、Firepower Management Center を使用してデバイスを設定する必要があります。

Firewall

ルーテッドファイアウォールモードのみがサポートされます。トランスペアレントファイアウォールモードのインターフェイスは設定できません。
スイッチポートモード用に設定されたインターフェイスをサポートするのは、Firepower 1010 の物理デバイスだけです。詳細については、「FDM による管理デバイスのスイッチポートモードインターフェイス」を参照してください。

パッシブ

現時点では、Security Cloud Control はインターフェイステーブルのパッシブインターフェイスモードを識別しないため、パッシブインターフェイスまたは ERSPAN インターフェイスを設定できません。パッシブインターフェイスを設定および識別するには、FDM による管理 UI を使用する必要があります。

IPS 専用モード

インターフェイスをインライン（インラインセット内）またはインラインタップ（IPS オンリー処理用）に設定することはできません。IPS 専用モードのインターフェイスは、多数のファイアウォールのチェックをバイパスし、IPS セキュリティポリシーのみをサポートします。対照的に、ファイアウォールモードのインターフェイスでは、トラフィックが、フローの維持、IP レイヤおよび TCP レイヤの両方でのフロー状態の追跡、TCP の標準化などのファイアウォール機能の対象となります。
また、任意で、セキュリティポリシーに従ってファイアウォールモードのトラフィックに IPS 機能を設定することもできます。

EtherChannel

Security Cloud Control は、バージョン 6.5 以降を実行しているデバイスの読み取り、作成、および機能をサポートします。EtherChannel インターフェイスを作成するには、「FDM 管理対象デバイスの EtherChannel インターフェイスの追加」を参照してください。プレフィックスを作成

一度にアクティブにできるインターフェイスの数はデバイスモデルによって異なりますが、Firepower の物理デバイスには最大 48 の EtherChannel を設定できます。デバイス固有の制限については、「デバイス固有の要件」を参照してください。
チャネルグループ内のすべてのインターフェイスは、同じメディアタイプと容量である必要があり、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ（銅と光ファイバ）の SFP を混在させることができます。容量の大きいインターフェイスで速度を低く設定することによってインターフェイスの容量（1 GB インターフェイスと 10 GB インターフェイスなど）を混在させることはできません。
EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。
FDM 管理対象デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して隣接スイッチのネイティブ VLAN タギングを有効にすると、FDM による管理デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ず無効化してください。

すべての FDM による管理デバイスのコンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

（注）

ポートチャネルとして設定されたインターフェイスは、物理インターフェイス、冗長インターフェイスのみ使用でき、サブインターフェイスのみがブリッジグループメンバーインターフェイスとしてサポートされます。

ブリッジグループ

現時点では、Security Cloud Control は 1 つのブリッジグループの設定をサポートしています。デバイスがブリッジグループをサポートしているかどうかを判断するには、「Bridge Group Compatibility in FDM による管理 Device Configurations」 [英語] で詳細を確認してください。

インターフェイスをブリッジグループに追加する際、次の点に注意してください。

インターフェイスには名前が必要です。
静的に、または DHCP を介してインターフェイス用に定義された IPv4 または IPv6 アドレスは設定できません。
BVI は、VLAN インターフェイスまたは他のルーテッドインターフェイスのいずれかをメンバーインターフェイスとして持つことができますが、1 つの BVI で両方をメンバーインターフェイスとして持つことはできません。
BVI は、VLAN インターフェイスまたは他のルーテッドインターフェイスのいずれかをメンバーインターフェイスとして持つことができますが、1 つの BVI で両方をメンバーインターフェイスとして持つことはできません。
インターフェイスは、Point-to-Point Protocol over Ethernet（PPPoE）にはできません。
インターフェイスをセキュリティゾーンに関連付けることはできません（ゾーン内にある場合）。インターフェイスをブリッジグループに追加する前に、そのインターフェイスのすべての NAT ルールを削除する必要があります。
メンバーインターフェイスは個別に有効または無効にします。そのため、未使用のインターフェイスはブリッジグループから削除することなく無効化できます。ブリッジグループ自体は常に有効になっています。
ブリッジグループの メンバー になるインターフェイスを設定できます。インターフェイスの要件と作成については、「ブリッジグループの設定」を参照してください。

Point-to-Point Protocol over Ethernet

IPv4 では、Point-to-Point Protocol over Ethernet（PPPoE）を設定できません。インターネットインターフェイスが DSL、ケーブルモデム、または ISP へのその他の接続に接続されていて、ISP が PPPoE を使用して IP アドレスを提供している場合、これらを設定するには、FDM を使用する必要があります。

VLAN

VLAN インターフェイスと VLAN メンバーを設定するには、「Configure an FDM による管理 Device VLAN」 [英語] で詳細を確認してください。スイッチポートモード用に VLAN を設定するには、「Configure an FDM による管理 Device VLAN for Switch Port Mode」 [英語] で詳細を確認してください。

このインターフェイスは物理的である必要があります。
このインターフェイスは管理専用にできません。
このインターフェイスは、BVI、サブインターフェイス、別の VLAN インターフェイス、EtherChannel など、他のタイプのインターフェイスとして関連付けることはできません。
このインターフェイスを BVI メンバーまたは etherchannel メンバーにすることはできません。

デバイスモデルは、さまざまな数の VLAN メンバーをサポートします。詳細については、「デバイスモデルごとの VLAN メンバーの最大数」を参照してください。

（注）

お使いの環境に VLAN を設定するには、「Firepower VLAN サブインターフェイスと 802.1Q トランキングの設定」で詳細を確認してください。

ネットワークモジュールカード

任意のネットワークモジュールのインストールは、ASA 5515-X、5525-X、5545-X、5555-X、および Firepower 2100 シリーズデバイスに限定されます。

カードはブートストラップ中（つまり、初期インストールまたは再イメージ化、ローカル/リモート管理間の切り替え時）にのみ検出されます。Security Cloud Control はこれらのインターフェイスの速度とデュプレックスに正しいデフォルトを設定します。利用可能なインターフェイスの合計数を変更することなく、オプションのカードを、インターフェイスの速度/デュプレックスのオプションを変更するカードと交換する場合、交換されたインターフェイスの正しい速度/デュプレックスの値をシステムが認識できるように、デバイスを再起動します。デバイスとのコンソールセッションまたは SSH から、reboot コマンドを入力します。次に、Security Cloud Control を使用して、機能の変更を含む各物理インターフェイスを編集し、有効な速度とデュプレックスのオプションを選択します。システムは元の設定を自動的に修正しないためです。すぐに変更を展開して、システムの正しい動作を確認します。
FDM による管理 Secure Firewall 3100 シリーズデバイスでは、ネットワークモジュールを有効または無効にしたり、インターフェイスのブレークアウト活性挿抜（OIR）を実行したりすることはできません。

（注）

カードをインターフェイスの総数が変更されたカードと交換する、または他のオブジェクトによって参照されたインターフェイスを削除すると、予期しない問題が発生することがあります。このような変更が必要な場合は、まずセキュリティゾーンのメンバーシップ、VPN 接続など、削除するインターフェイスへの参照をすべて削除してください。変更を行う前にバックアップを実行することもお勧めします。

仮想 FDM による管理デバイスのインターフェース

仮想 FDM による管理デバイスを再初期化せずにインターフェイスを追加または削除することはできません。FDM による管理デバイスでこれらのアクションを実行する必要があります。

（注）

ただし、異なる速度/デュプレックス機能を持っているインターフェイスと交換した場合、システムを再起動します（デバイスの CLI コンソールから、reboot コマンドを入力します）。これにより、システムが新しい速度/デュプレックス値を認識できるようになります。次に、Security Cloud Control を使用して、機能の変更を含む各インターフェイスを編集し、有効な速度とデュプレックスのオプションを選択します。システムは元の設定を自動的に修正しないためです。すぐに変更を展開して、システムの正しい動作を確認します。

デバイスモデルによる VLAN メンバーの最大数

デバイスモデルにより、設定できる VLAN サブインターフェイスの最大数が制限されます。データインターフェイスでのみサブインターフェイスを設定することができ、管理インターフェイスでは設定できないことに注意してください。次の表で、各デバイスモデルの制限について説明します。


モデル	VLAN サブインターフェイスの最大数
Firepower 1010	60
Firepower 1120	512
Firepower 1140、Firepower 1150	1024
Firepower 2100	1024
Cisco Secure Firewall 3100	1024
Firepower 4100	1024
Firepower 9300	1024
ASA 5508-X	50
ASA 5515-X	100
ASA 5516-X	100
ASA 5525-X	200
ASA 5545-X	300
ASA 5555-X	500
ISA 3000	100

Firepower データインターフェイス

Security Cloud Control は、FDM による管理デバイスでのルーテッドインターフェイスとブリッジ仮想インターフェイスの設定をサポートしています。

ルーテッドインターフェイス

各レイヤ 3 ルーテッドインターフェイス（またはサブインターフェイス）に、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

スタティックアドレスを割り当てるか、または DHCP サーバから取得できます。ただし、DHCP サーバがデバイス上の静的に定義されたインターフェイスと同じサブネットアドレスを提供すると、システムは DHCP インターフェイスを無効にします。DHCP を使用してアドレスを取得しているインターフェイスがトラフィックの通過を停止している場合は、アドレスがデバイス上の別のインターフェイスのサブネットと重複していないかどうかを確認してください。

ルーテッドインターフェイスでは、IPv6 アドレスと IPv4 アドレスの両方を設定できます。IPv4 と IPv6 の両方で、デフォルトルートを設定してください。このタスクは、Firepower Device Manager を使用して FDM による管理デバイスで実行する必要があります。デフォルトルートの設定については、『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager バージョン x.x.x 用』の「基本 > ルーティング」を参照してください。

ブリッジグループとブリッジ仮想インターフェイス

ブリッジグループは、FDM による管理デバイスがルーティングではなくブリッジするインターフェイスのグループです。ブリッジされたインターフェイスはブリッジグループに属し、すべてのインターフェイスが同じネットワーク上にあります。ブリッジグループはブリッジネットワークに IP アドレスを持つブリッジ仮想インターフェイス（BVI）によって表されます。ブリッジグループに含まれるインターフェースを「メンバー」と呼びます。

BVI に名前を付けると、ルーテッドインターフェイスと BVI の間のルーティングを実行できます。この場合、BVI はメンバーインターフェイスとルーテッドインターフェイス間のゲートウェイとして機能します。BVI に名前を指定しない場合、ブリッジグループメンバーのインターフェイス上のトラフィックはブリッジグループを離れることができません。通常、インターネットにメンバーインターフェイスをルーティングするため、インターフェイスに名前を付けます。

FDM による管理デバイスは 1 つのブリッジグループのみをサポートしているため、Security Cloud Control ではその 1 つのブリッジグループのみを管理でき、デバイス上に追加のブリッジグループを作成できません。Security Cloud Control では、仮想 FDM による管理デバイスインスタンスではなく、ハードウェアに直接インストールされた FDM による管理デバイス上の BVI のみを管理できます。

ルーテッドモードでブリッジグループを使用する方法として、外部スイッチの代わりに FDM による管理デバイスの予備インターフェイスを使用する方法があります。ブリッジグループのメンバーインターフェイスにエンドポイントを直接接続できます。また、BVI と同じネットワークにより多くのエンドポイントを追加するために、スイッチを接続できます。

パッシブインターフェイス

パッシブインターフェイスは、スイッチ SPAN（スイッチドポートアナライザ）またはミラーポートを使用してネットワーク全体を流れるトラフィックをモニターします。SPAN またはミラーポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワークトラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で構成されたシステムでは、特定のアクション（トラフィックのブロッキングやシェーピングなど）を実行することができません。パッシブインターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。

現時点では、FDM による管理デバイスのパッシブインターフェイスの管理に関する Security Cloud Control のサポートには制限があります。

FDM による管理デバイスでパッシブインターフェイスを設定する必要があります。
Security Cloud Control を使用して、ルーテッドインターフェイスをパッシブインターフェイスに変更したり、パッシブインターフェイスをルーテッドインターフェイスに変更したりできません。
Security Cloud Control では、インターフェイステーブル内のパッシブインターフェイスが識別されません。

管理/診断インターフェイス

管理ラベル付けされた物理ポート（または、FDM による管理仮想デバイスの場合は Management0/0 仮想インターフェイス）には、2 つの別個のインターフェイスが実際に関連付けられています。

管理仮想インターフェイス：この IP アドレスは、システムの通信に使用されます。これはシステムがスマートライセンスに使用し、データベースの更新情報を取得するためのアドレスです。これに対して管理セッションを開くことができます（Firepower Device Manager および CLI）。[システム設定（System Settings）] > [管理インターフェイス（Management Interface）] で定義されている管理アドレスを設定する必要があります。
診断物理インターフェイス：物理管理ポートは、実際には診断という名前が付けられています。外部 syslog サーバーに syslog メッセージを送信するためにこのインターフェイスを使用できます。診断物理インターフェイスの IP アドレスの設定は任意です。syslog で使用する場合にのみ、インターフェイスを設定します。このインターフェイスは、セキュリティデバイス > [インターフェイス（Interfaces）]ページで確認して設定できます。診断物理インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。

（ハードウェアデバイス）管理/診断を設定する際、物理ポートをネットワークに接続しないことをお勧めします。代わりに、管理 IP アドレスのみを設定し、インターネットからの更新情報を得るためのゲートウェイとして、データインターフェイスを使用するように設定します。次に、HTTPS/SSH トラフィック（デフォルトで HTTPS は有効）への内部インターフェイスを開き、内部 IP アドレスを使用して Firepower Device Manager を開きます。このタスクは、Firepower Device Manager で直接実行する必要があります。手順については、『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』の「管理アクセスリストの設定」を参照してください。

FDM による管理仮想デバイスの推奨設定は、Management0/0 を内部インターフェイスと同じネットワークに接続し、内部インターフェイスをゲートウェイとして使用することです。診断用に別のアドレスを設定しないでください。

（注）

管理インターフェイスを編集する際の特別な手順については、Firepower バージョン 6.4 以降の『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』を参照してください。コンフィギュレーションガイドを開き、「基本」 > 「インターフェイス」 > 「管理/診断インターフェイス」に移動します。管理インターフェイスの設定は、Firepower Device Manager で行う必要があります。

インターフェイスの設定

以下のトピックを使用して、インターフェイスを設定します。

Firepower インターフェイスの設定におけるセキュリティゾーンの使用

各インターフェイスは単一のセキュリティゾーンに割り当てることができます。ゾーンに基づいてセキュリティポリシーを適用されます。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。また、たとえば、トラフィックが内部から外部に移動できるようにアクセスコントロールポリシーを設定することはできますが、外部から内部に向けては設定できません。

各ゾーンは、ルーテッドまたはパッシブのいずれかのモードになっています。これはインターフェイスのモードに直接関係します。ルーテッドインターフェイスとパッシブインターフェイスは、同じモードのセキュリティゾーンにのみ追加できます。

ブリッジ仮想インターフェイス（BVI）は、セキュリティゾーンに追加されません。メンバーインターフェイスのみがセキュリティゾーンに追加されます。

ゾーンには診断インターフェイスや管理インターフェイスを含めません。ゾーンは、データインターフェイスにのみ適用されます。

Security Cloud Control は、現在、ASA デバイスまたは FDM による管理デバイス上の仮想トンネルインターフェイス（VTI）トンネルの管理、監視、使用をサポートしていません。VTI トンネルが設定されているデバイスを Security Cloud Control にオンボーディングすることは可能ですが、VTI インターフェイスは無視されます。セキュリティゾーンまたはスタティックルートが VTI を参照する場合、Security Cloud Control は VTI 参照を除いてセキュリティゾーンとスタティックルートを読み取ります。VTI トンネルに対する Security Cloud Control のサポートは近日中に提供されます。

セキュリティゾーンの詳細については、「セキュリティゾーンオブジェクト」を参照してください。

FDM による管理デバイスインターフェイスのセキュリティゾーンへの割り当て

はじめる前に

セキュリティゾーンを追加する場合、インターフェイスには次の制限があります。

インターフェイスには名前が必要です。
このインターフェイスは管理専用にできません。このオプションは、インターフェイスの [詳細設定（Advanced）] タブから有効または無効にします。
ブリッジグループインターフェイスにセキュリティゾーンを割り当てることはできません。
スイッチポートモード用に設定したインターフェイスにセキュリティゾーンを割り当てることはできません。
Security Cloud Control は、現在、ASA デバイスまたは FDM による管理デバイス上の仮想トンネルインターフェイス（VTI）トンネルの管理、監視、使用をサポートしていません。VTI トンネルが設定されているデバイスを Security Cloud Control にオンボーディングすることは可能ですが、VTI インターフェイスは無視されます。セキュリティゾーンまたはスタティックルートが VTI を参照する場合、Security Cloud Control は VTI 参照を除いてセキュリティゾーンとスタティックルートを読み取ります。VTI トンネルに対する Security Cloud Control のサポートは近日中に提供されます。

Firepower インターフェイスをセキュリティゾーンに割り当てる

セキュリティゾーンを既存のインターフェイスに関連付けるには、以下の手順を実行します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] デバイスをクリックし、変更する FDM による管理デバイスを選択します。

ステップ 4

右側にある [管理（Management）] ペインで、[インターフェイス（Interfaces）] をクリックします。

ステップ 5

セキュリティゾーンを追加するインターフェイスを選択し、[編集（Edit）] をクリックします。

ステップ 6

[セキュリティゾーン（Security Zone）] ドロップダウンメニューを使用して、このインターフェイスに関連付けるセキュリティゾーンを選択します。

（注）

必要に応じて、[新規作成（Create New）] をクリックして、このドロップダウンメニューから新しいセキュリティゾーンを作成します。

ステップ 7

[保存（Save）] をクリックします。

ステップ 8

設定変更を Security Cloud Control から FDM による管理デバイスに展開します。

Firepower インターフェイス設定での Auto-MDI/MDX の使用

RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーションフェーズでストレートケーブルを検出すると、内部クロスオーバーを実行することでクロスケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。ギガビットイーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。

これらの設定は、インターフェイスの編集時に [詳細（Advanced）] タブで行います。

Firepower インターフェイス設定での MAC アドレスの使用

Media Access Control（MAC）アドレスを手動で設定してデフォルト値を上書きできます。

高可用性設定の場合は、インターフェイスのアクティブ MAC アドレスとスタンバイ MAC アドレスの両方を設定できます。アクティブユニットがフェールオーバーしてスタンバイユニットがアクティブになると、その新規アクティブユニットがアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。

アクティブおよびスタンバイの MAC アドレスは、インターフェイスを設定する際に [詳細（Advanced）] タブで指定します。

デフォルトの MAC アドレス

デフォルトの MAC アドレスの割り当ては、インターフェイスのタイプによって異なります。

物理インターフェイス：物理インターフェイスは Burned-In MAC Address を使用します。
サブインターフェイス：物理インターフェイスのすべてのサブインターフェイスは同じ Burned-In MAC Address を使用します。サブインターフェイスに一意の MAC アドレスを割り当てることが必要になる場合があります。たとえば、サービスプロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカルアドレスが可能になります。

Firepower インターフェイス設定での MTU 設定の使用

MTU について

MTU は、FDM による管理デバイスが特定のイーサネットインターフェイスで送信可能な最大フレームペイロードサイズを指定します。MTU 値は、イーサネットヘッダー、VLAN タギング、またはその他のオーバーヘッドを含まないフレームサイズです。たとえば MTU を 1500 に設定した場合、想定されるフレームサイズはヘッダーを含めて 1518 バイト、VLAN を使用する場合は 1522 バイトです。これらのヘッダーに対応するために MTU 値を高く設定しないでください。

『Path MTU Discovery』

FDM による管理デバイスは、Path MTU Discovery（RFC 1191 の定義に従う）をサポートします。つまり、2 台のホスト間のネットワークパス内のすべてのデバイスで MTU を調整できます。したがってパスの最小 MTU の標準化が可能です。

MTU およびフラグメンテーション

IPv4 では、出力 IP パケットが指定された MTU より大きい場合、2 つ以上のフレームにフラグメント化されます。フラグメントは宛先（場合によっては中間ホップ）で組み立て直されますが、フラグメント化はパフォーマンス低下の原因となります。IPv6 では、通常、パケットをフラグメント化することはできません。したがって、フラグメント化を避けるために、IP パケットを MTU サイズ以内に収める必要があります。

UDP または ICMP の場合、アプリケーションではフラグメント化を避けるために MTU を考慮する必要があります。

（注）

FDM による管理デバイスはメモリに空きがある限り、設定された MTU よりも大きいフレームを受信できます。

MTU とジャンボフレーム

MTU が大きいほど、大きいパケットを送信できます。パケットが大きいほど、ネットワークの効率が良くなる可能性があります。次のガイドラインを参照してください。

トラフィックパスの MTU の一致：すべての FDM による管理デバイスインターフェイスとトラフィックパス内のその他のデバイスのインターフェイスでは、MTU が同じになるように設定することを推奨します。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。

ジャンボフレームへの対応：ジャンボフレームとは、標準的な最大値 1522 バイト（レイヤ 2 ヘッダーおよび VLAN ヘッダーを含む）より大きく、9216 バイトまでのイーサネットパケットのことです。ジャンボフレームに対応するために、9198 バイトまでの MTU を設定できます。FDM による管理仮想の最大値は 9000 です。

（注）

MTU を増やすとジャンボフレームに割り当てるメモリが増え、他の機能（アクセスルールなど）の最大使用量が制限される場合があります。ASA 5500-X シリーズデバイスまたは FDM による管理仮想のデフォルト値の 1,500 よりも MTU のサイズを大きくする場合は、システムを再起動する必要があります。ジャンボフレームのサポートが常に有効な場合、Firepower 2100 シリーズデバイスを再起動する必要はありません。

Firepower 3100 デバイスでは、ジャンボフレームのサポートがデフォルトで有効になっています。

Firepower インターフェイスの IPv6 アドレッシング

Firepower 物理インターフェイスに、次の 2 種類のユニキャスト IPv6 アドレスを設定できます。

[グローバル（Global）]：グローバルアドレスは、パブリックネットワークで使用可能なパブリックアドレスです。ブリッジグループの場合、各メンバーインターフェイスではなくブリッジ仮想インターフェイス（BVI）上でグローバルアドレスを設定します。次のいずれかをグローバルアドレスとして指定することはできません。
- 内部で予約済みの IPv6 アドレス：fd00::/56 (from=fd00:: to= fd00:0000:0000:00ff:ffff:ffff:ffff:ffff)
- 未指定のアドレス（::/128 など）
- ループバックアドレス（::1/128）
- マルチキャストアドレス（ff00::/8）
- リンクローカルアドレス（fe80::/10）
[リンクローカル（Link-local）]：リンクローカルアドレスは、直接接続されたネットワークだけで使用できるプライベートアドレスです。ルータは、リンクローカルアドレスを使用してパケットを転送するのではなく、特定の物理ネットワークセグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決およびネイバー探索などのネットワーク検出機能に使用できます。リンクローカルアドレスがセグメントでのみ使用可能であり、インターフェイス MAC アドレスに接続されているため、各インターフェイスは独自のアドレスを持つ必要があります。

最低限、IPv6 が動作するようにリンクローカルアドレスを設定する必要があります。グローバルアドレスを設定すると、リンクローカルアドレスがインターフェイスに自動的に設定されるため、リンクローカルアドレスを個別に設定する必要はありません。グローバルアドレスを設定しない場合は、リンクローカルアドレスを自動的にするか、手動で設定する必要があります。

Firepower インターフェイスの設定

インターフェイス接続（物理的または仮想）のためにケーブルを接続するとき、インターフェイスを設定する必要があります。少なくとも、トラフィックを通過させることができるように、インターフェイスに名前を付けて有効化します。インターフェイスがブリッジグループのメンバーである場合、インターフェイスに名前を付けるだけで十分です。インターフェイスがブリッジ仮想インターフェイス（BVI）の場合、BVI に IP アドレスを割り当てる必要があります。単一の物理インターフェイスではなく、VLAN サブインターフェイスを特定のポートで作成する場合、通常、物理インターフェイスではなくサブインターフェイス上で IP アドレスを設定します。VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。

インターフェイスリストは、利用可能なインターフェイス、その名前、アドレスおよびステータスを表示します。インターフェイスの行を選択し、[操作（Actions）] ウィンドウで [編集（Edit）] をクリックして、インターフェイスの状態（オンまたはオフ）を変更したり、インターフェイスを編集したりすることができます。このリストは、設定に基づいたインターフェイス特性を示します。インターフェイスの行を展開して、サブインターフェイスまたはブリッジグループメンバーを表示します。

物理 Firepower インターフェイスの設定

少なくとも 1 つの物理インターフェイスを有効にして使用できるようにする必要があります。通常、物理インターフェイスに名前を付けて IP アドレッシングを設定する必要がありますが、VLAN サブインターフェイスを設定する予定の場合、パッシブモードインターフェイスを設定している場合、またはインターフェイスをブリッジグループに追加する予定の場合は、IP アドレッシングを設定しません。

（注）

ブリッジグループメンバーインターフェイスまたはパッシブインターフェイスに IP アドレスを設定することはできません。ただし、IPv6 アドレッシングとは関連がない詳細設定を変更することは可能です。

接続されたネットワークでの送信を一時的に防ぐために、インターフェイスを無効にできます。インターフェイスの設定を削除する必要はありません。現時点では、Security Cloud Control はルーテッドインターフェイスとブリッジグループのみを設定できます。Security Cloud Control はパッシブインターフェイスを一覧表示しますが、Security Cloud Control からアクティブインターフェイスとして再設定することはできません。

（注）

注：Security Cloud Control では、IPv4 の Point-to-Point Protocol over Ethernet（PPPoE）はサポートされていません。FDM による管理でこのオプションを設定すると、Security Cloud Control UI で問題が発生する可能性があります。デバイスに PPPoE を構成する必要がある場合は、FDM による管理デバイスで適切な変更を行う必要があります。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックし、インターフェイスを設定するデバイスをクリックし、右側の [管理（Management）] ペインで [インターフェイス（Interfaces）] をクリックします。

ステップ 2

[インターフェイス（Interfaces）] ページで、設定する物理インターフェイスを選択します。

ステップ 3

右側の [操作（Actions）] ウィンドウで、[編集（Edit）] をクリックします。

ステップ 4

[論理名（Logical Name）] に物理インターフェイの論理名を入力し、任意で [説明（Description）] を入力します。サブインターフェイスを設定する場合を除き、インターフェイスには名前が必要です。

（注）

名前を変更すると、その変更は古い名前を使用しているすべての場所（セキュリティゾーン、syslog サーバーオブジェクト、DHCP サーバーの定義を含む）に自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

ステップ 5

次のいずれかのオプションを選択します。

サブインターフェースを追加する場合：

この物理インターフェイスのサブインターフェイスを設定する予定の場合、すでに設定している可能性が高いです。[保存（Save）] をクリックして、「Firepower VLAN サブインターフェイスと 802.1Q トランキングの設定」に進みます。それ以外の場合は続行します。

（注）

サブインターフェイスを設定している場合でも、インターフェイスに名前を付けて、IP アドレスを指定できます。これは一般的な設定ではありませんが、必要だとわかっている場合は設定できます。

サブインターフェイスを追加しない場合は、「物理インターフェイスの IPv4 アドレス指定」と「物理インターフェイスの IPv6 アドレス指定」のいずれかまたは両方に進みます。

物理インターフェイスの IPv4 アドレス指定

警告	DHCP アドレスプールを設定して保存すると、DHCP アドレスプールがインターフェイスに設定された IP アドレスにバインドされます。DHCP アドレスプールを設定した後にインターフェイスのサブネットマスクを編集すると、FDM による管理デバイスへの展開に失敗します。また、FDM による管理コンソールで DHCP アドレスプールを編集し、FDM による管理デバイスから Security Cloud Control に設定を読み込むと、読み込みに失敗します。

手順

ステップ 1

[物理インターフェースの編集（Editing Physical Interface）] ダイアログで、[IPv4アドレス（IPv4 Address）] タブをクリックします。

ステップ 2

[タイプ（Type）] フィールドから次のいずれかのオプションを選択します。

[スタティック（Static）]：変わらないアドレスを割り当てる必要がある場合は、このオプションを選択します。インターフェイスに接続されたネットワークに対するインターフェイスの IP アドレスとサブネットマスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続する場合は、「10.100.10.1/24」と入力します。入力するアドレスがネットワーク ID またはネットワークのブロードキャストアドレスではなく、そのネットワークでまだ使用されていないことを確認してください。
- [スタンバイIPアドレスとサブネットマスク（Standby IP Address and Subnet Mask）]：高可用性を設定し、このインターフェイスの HA をモニターリングしている場合は、同じサブネット上にスタンバイ IP アドレスも設定します。スタンバイアドレスは、スタンバイデバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。
- （任意）[DHCPアドレスプール（DHCP Address Pool）]：単一の DHCP サーバーの IP アドレス、または IP アドレスの範囲を入力します。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自体の IP アドレス、ブロードキャストアドレス、またはサブネットネットワークアドレスを含めることはできません。プールの開始アドレスと終了アドレスをハイフンで区切って指定します。この DHCP サーバを一時的に無効にするには、[Firepower Threat Defenseデバイス設定（Firepower Threat Defense Device Settings）] ページの [DHCPサーバー（DHCP Servers）] セクションでサーバーを編集します。DHCP サーバーの設定

[ダイナミック（Dynamic）]（DHCP）：ネットワーク上の DHCP サーバーからアドレスを取得する必要がある場合は、このオプションを選択します。必要に応じて、次のオプションを変更します。

[デフォルトルートを取得（Obtain Default Route）]：デフォルトルートを DHCP サーバーから取得するかどうかを指定します。通常、このオプションのチェックボックスをオンにします。

[ルートメトリック（Route Metric）]：DHCP サーバーからデフォルトルートを取得する場合、学習済みルートまでのアドミニストレーティブディスタンスは 1 ~ 255 の間です。

（注）

インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレスプールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレスプールを構成する必要があります。

ステップ 3

設定が完了した場合、または次のいずれかの手順を続行する場合は、[保存（Save）] をクリックします。

このインターフェイスに IPv4 アドレスだけでなく IPv6 アドレスも割り当てる場合は、「物理インターフェイスの IPv6 アドレス指定」に進みます。
高度な Firepower インターフェイスオプションの設定。詳細設定には、ほとんどのネットワークに適しているデフォルト設定があります。デフォルト設定はネットワークの問題を解決する場合のみ編集します。
インターフェイスを保存し、インターフェイスの詳細オプションの設定に進まない場合は、「物理インターフェイスの有効化」に進みます。

物理インターフェイスの IPv6 アドレス指定の設定

手順

ステップ 1

[物理インターフェースの編集（Editing Physical Interface）] ダイアログで、[IPv6アドレス（IPv6 Address）] タブをクリックします。

ステップ 2

[状態（State）]：グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態（State）] スライダをクリックして有効にします。リンクローカルアドレスはインターフェイスの MAC アドレス（Modified EUI-64 形式）に基づいて生成されます。

（注）

IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

ステップ 3

[アドレスの自動設定（Address Auto Configuration）]：アドレスを自動的に設定するには、チェックボックスをオンにします。IPv6 ステートレス自動設定では、デバイスが存在するリンクで使用する IPv6 グローバルプレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスが生成されます。IPv6 ルーティングサービスがリンクで使用できない場合、リンクローカル IPv6 アドレスのみが取得され、そのデバイスが属するネットワークリンクの外部にはアクセスできません。リンクローカルアドレスは Modified EUI-64 インターフェイス ID に基づいています。

RFC 4862 では、ステートレス自動設定用に設定されたホストはルータアドバタイズメントメッセージを送信しないと規定されていますが、この場合は、FDM による管理デバイスがルータアドバタイズメントメッセージを送信します。メッセージを抑制して、RFC に準拠するためには、[RA を抑制（Suppress RA）] を選択します。

ステップ 4

[RAを抑制（Suppress RA）]：ルータアドバタイズメントを抑制する場合にチェックボックスをオンにします。Firepower Threat Defense デバイスをルータアドバタイズメントに参加させると、ネイバーデバイスがデフォルトのルータアドレスをダイナミックに把握できるようになります。デフォルトでは、ルータアドバタイズメントメッセージ（ICMPv6 Type 134）は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

ルータアドバタイズメントもルータ要請メッセージ（ICMPv6 Type 133）に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータアドバタイズメントメッセージを待つことなくただちに自動設定できます。

Firepower Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス（外部インターフェイスなど）では、これらのメッセージを抑制できます。

ステップ 5

[リンクローカルアドレス（Link-Local Address）]：アドレスをリンクローカルのみとして使用する場合に入力します。リンクローカルアドレスでは、ローカルネットワークの外部にはアクセスできません。リンクローカルアドレスはブリッジグループインターフェイスには設定できません。

（注）

リンクローカルアドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。例、fe80::20d:88ff:feee:6a82。Modified EUI-64 形式に基づくリンクローカルアドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカルアドレスによりパケットがドロップされることがあります。

ステップ 6

[スタンバイリンクローカルアドレス（Standby Link-Local Address）]：インターフェイスがデバイスの高可用性ペアに接続する場合は、このアドレスを設定します。このインターフェイスが接続されている他の FDM による管理デバイスのインターフェイスのリンクローカルアドレスを入力します。

ステップ 7

[スタティックアドレスとプレフィックス（Static Address/Prefix）]：ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、「Firepower インターフェイスの IPv6 アドレッシング」を参照してください。

ステップ 8

[スタンバイIPアドレス（Standby IP Address）]：高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイアドレスは、スタンバイデバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。

ステップ 9

設定が完了した場合、または次のいずれかの手順を続行する場合は、[保存（Save）] をクリックします。

高度な Firepower インターフェイスオプションの設定。詳細設定には、ほとんどのネットワークに適しているデフォルト設定があります。デフォルト設定はネットワークの問題を解決する場合のみ編集します。
インターフェイスを保存し、インターフェイスの詳細オプションの設定に進まない場合は、「物理インターフェイスの有効化」に進みます。

物理インターフェイスの有効化

手順

ステップ 1	有効化するインターフェイスを選択します。
ステップ 2	インターフェイスの論理名に関連付けられている、ウィンドウ右上の [状態（State）] スライダを青にスライドします。
ステップ 3	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower VLAN サブインターフェイスと 802.1Q トランキングの設定

VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはデバイスを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。

物理インターフェイスをスイッチのトランクポートに接続する場合は、サブインターフェイスを作成します。スイッチトランクポートで表示できる各 VLAN のサブインターフェイスを作成します。物理インターフェイスをスイッチのアクセスポートに接続する場合は、サブインターフェイスを作成しても意味がありません。

（注）

必要に応じて詳細設定を変更することはできますが、ブリッジグループメンバーインターフェイスの IP アドレスを設定することはできません。

はじめる前に

物理インターフェイス上のタグなしパケットの禁止。物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。サブインターフェイスでトラフィックを通過させるには物理的インターフェイスを有効にする必要があるため、インターフェイスに名前を付けないことでトラフィックを通過させないようにします。物理インターフェイスにタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、インターフェイスを設定するデバイスをクリックします。

ステップ 4

右側の [管理（Management）] ペインで [インターフェイス（Interfaces）] をクリックします。

ステップ 5

[インターフェイス（Interfaces）] ページで、設定する物理インターフェイスを選択し、右側の操作ウィンドウで [+新しいサブインターフェイス（+ New Subinterface）] をクリックします。

[親インターフェイス（Parent Interface）] フィールドには、このサブインターフェイスを作成する対象の物理インターフェイス名が表示されます。いったん作成したサブインターフェイスの親インターフェイスは変更できません。

ステップ 6

[論理名（Logical Name）] に物理インターフェイの論理名を入力し、任意で [説明（Description）] を入力します。論理名を設定しないと、インターフェイスの残りの設定は無視されます。

（注）

名前を変更すると、その変更は古い名前を使用しているすべての場所（セキュリティゾーン、syslog サーバーオブジェクト、DHCP サーバーの定義を含む）に自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

ステップ 7

VLAN ID とサブインターフェイス ID を次のように設定します。

[VLAN ID]：VLAN ID を 1 ～ 4094 の範囲で入力します。これは、このサブインターフェイス上のパケットにタグを付けるために使用されます。
[サブインターフェイスID（Sub-Interface ID）]：サブインターフェイス ID を 1 ～ 4294967295 の範囲の整数で入力します。許可されるサブインターフェイスの番号は、プラットフォームによって異なります。いったん作成したサブインターフェイスの ID は変更できません。

「サブインターフェイスの IPv4 アドレスの設定」および「サブインターフェイスの IPv6 アドレスの設定」に進みます。

サブインターフェイスの IPv4 アドレスの設定

手順

ステップ 1

[サブインターフェースの追加（Adding Subinterface）] ダイアログで、[IPv4アドレス（IPv4 Address）] タブをクリックします。

ステップ 2

[タイプ（Type）] フィールドから次のいずれかのオプションを選択します。

[スタティック（Static）]：変わらないアドレスを割り当てる必要がある場合は、このオプションを選択します。

インターフェイスに接続されたネットワークに対するインターフェイスの IP アドレスとサブネットマスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続する場合は、「10.100.10.1/24」と入力します。入力するアドレスがネットワーク ID またはネットワークのブロードキャストアドレスではなく、そのネットワークでまだ使用されていないことを確認してください。
[スタンバイIPアドレス（Standby IP Address）] および [サブネットマスク（Subnet Mask）]：このインターフェイスがデバイスの高可用性ペアで使用されている場合にのみ入力します。

[ダイナミック（Dynamic）]（DHCP）：ネットワーク上の DHCP サーバーからアドレスを取得する必要がある場合は、このオプションを選択します。必要に応じて、次のオプションを変更します。

[デフォルトルートを取得（Obtain Default Route）]：デフォルトルートを DHCP サーバーから取得するかどうかを指定します。通常、このオプションのチェックボックスをオンにします。

[ルートメトリック（Route Metric）]：DHCP サーバーからデフォルトルートを取得する場合、学習済みルートまでのアドミニストレーティブディスタンスは 1 ~ 255 の間です。

「DHCP サーバーの設定」を参照してください。

（注）

インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレスプールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレスプールを構成する必要があります。

ステップ 3

設定が完了した場合、または次のいずれかの手順を続行する場合は、[作成（Create）] をクリックします。

このインターフェイスに IPv4 アドレスだけでなく IPv6 アドレスも割り当てる場合は、「物理インターフェイスの IPv6 アドレスの設定」に進みます。
高度な Firepower インターフェイスオプションの設定。詳細設定には、ほとんどのネットワークに適しているデフォルト設定があります。デフォルト設定はネットワークの問題を解決する場合のみ編集します。
サブインターフェイスを作成した場合は、「物理インターフェイスの有効化」に進みます。

サブインターフェイスの IPv6 アドレスの設定

手順

ステップ 1

[IPv6アドレス（IPv6 Address）] タブをクリックします。

ステップ 2

IPv6 処理の有効化：グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態（State）] スライダを青にスライドします。リンクローカルアドレスはインターフェイスの MAC アドレス（Modified EUI-64 形式）に基づいて生成されます。

（注）

IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

ステップ 3

[アドレスの自動設定（Address Auto Configuration）]：アドレスを自動的に設定するには、チェックボックスをオンにします。IPv6 ステートレス自動設定では、デバイスが存在するリンクで使用する IPv6 グローバルプレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスが生成されます。IPv6 ルーティングサービスがリンクで使用できない場合、リンクローカル IPv6 アドレスのみが取得され、そのデバイスが属するネットワークリンクの外部にはアクセスできません。リンクローカルアドレスは Modified EUI-64 インターフェイス ID に基づいています。

ステップ 4

[RAを抑制（Suppress RA）]：ルータアドバタイズメントを抑制する場合にチェックボックスをオンにします。Firepower Threat Defense デバイスをルータアドバタイズメントに参加させると、ネイバーデバイスがデフォルトのルータアドレスをダイナミックに把握できるようになります。デフォルトでは、ルータアドバタイズメントメッセージ（ICMPv6 Type 134）は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

ルータアドバタイズメントもルータ要請メッセージ（ICMPv6 Type 133）に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータアドバタイズメントメッセージを待つことなくただちに自動設定できます。

Firepower Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス（外部インターフェイスなど）では、これらのメッセージを抑制できます。

ステップ 5

[リンクローカルアドレス（Link-Local Address）]：アドレスをリンクローカルのみとして使用する場合に入力します。リンクローカルアドレスでは、ローカルネットワークの外部にはアクセスできません。

（注）

リンクローカルアドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。例、fe80::20d:88ff:feee:6a82。Modified EUI-64 形式に基づくリンクローカルアドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカルアドレスによりパケットがドロップされることがあります。

ステップ 6

[スタンバイリンクローカルアドレス（Standby Link-Local Address）]：インターフェイスがデバイスの高可用性ペアに接続する場合は、このアドレスを設定します。

ステップ 7

[スタティックアドレスとプレフィックス（Static Address/Prefix）]：ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、136 ページの「IPv6 アドレッシング」を参照してください。

ステップ 8

[スタンバイIPアドレス（Standby IP Address）]：高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイアドレスは、スタンバイデバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。

ステップ 9

設定が完了した場合、または次のいずれかの手順を続行する場合は、[作成（Create）] をクリックします。

[詳細設定（Advanced）] タブをクリックして、高度な Firepower インターフェイスオプションの設定を行います。詳細設定には、ほとんどのネットワークに適しているデフォルト設定があります。デフォルト設定はネットワークの問題を解決する場合のみ編集します。
サブインターフェイスを作成した場合は、「物理インターフェイスの有効化」に進みます。

物理インターフェイスの有効化

手順

ステップ 1	サブインターフェースを有効にするには、サブインターフェースの論理名に関連付けられている [状態（State）] スライダを青にスライドします。
ステップ 2	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

高度な Firepower インターフェイスオプションの設定

高度なインターフェイスオプションには、ほとんどのネットワークに適合するデフォルト設定が用意されています。ネットワークの問題を解決する場合のみ設定を行います。

次の手順では、インターフェイスが定義済みであることを前提としています。インターフェイスを最初に編集または作成するときに、これらの設定を編集することもできます。

この手順と手順内のすべてのステップはオプションです。

制限事項

Firepower 2100 シリーズデバイス上の管理インターフェイスに MTU、デュプレックス、速度を設定することはできません。
名前のないインターフェイスの MTU は、1500 バイトに設定する必要があります。

手順

ステップ 1

ナビゲーションウィンドウで、セキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、インターフェイスを設定するデバイスをクリックします。

ステップ 4

右側の [管理（Management）] ペインで [インターフェイス（Interfaces）] をクリックします。

ステップ 5

[インターフェイス（Interfaces）] ページで、設定する物理インターフェイスを選択し、右側の操作ウィンドウで [編集（Edit）] をクリックします。

ステップ 6

[詳細（Advanced）] タブをクリックします。

ステップ 7

[HAモニタリングの有効化（Enable for HA Monitoring）] は自動的に有効になります。これが有効になっている場合、高可用性の設定でピア装置にフェールオーバーするかどうかの判断要素にインターフェイスの状態が含まれます。このオプションは、高可用性を設定しない場合は無視されます。インターフェイスの名前を設定しない場合も、無視されます。

ステップ 8

データインターフェイスを管理専用に指定する場合は、[管理専用（Management Only）] チェックボックスをオンにします。

管理専用インターフェイスはトラフィックの通過を許可しないため、データインターフェイスを [管理専用（Management Only）] インターフェイスに設定する意味はあまりありません。管理/診断インターフェイスは、常に管理専用であるため、この設定を変更することはできません。

ステップ 9

IPv6 DHCP の設定を変更します。

[IPv6アドレス設定でDHCPを有効化する（Enable DHCP for IPv6 address configuration）]：IPv6 ルータのアドバタイズメントパケットに、管理アドレス設定フラグを設定するかどうか。このフラグは、取得されるステートレス自動設定のアドレス以外のアドレスの取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。
[IPv6のアドレス以外の設定でDHCPを有効化する（Enable DHCP for IPv6 non-address configuration）]：IPv6 ルータのアドバタイズメントパケットに、その他のアドレス設定フラグを設定するかどうか。このフラグは、DHCPv6 から DNS サーバアドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。

ステップ 10

[DADの試行（DAD Attempts）]：インターフェイスで重複アドレス検出（DAD）を実行する頻度（0 ～ 600）。デフォルトは 1 です。ステートレス自動設定プロセスでは、DAD はアドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を検証します。重複アドレスがインターフェイスのリンクローカルアドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバルアドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出（DAD）プロセスを無効にするには、この値を 0 に設定します。

ステップ 11

[MTU]（最大伝送ユニット）を目的の値に変更します。

デフォルトの MTU は 1500 バイトです。64 ～ 9198 の値を指定できます（Firepower Threat Defense Virtual の場合は最大値が 9000）。ジャンボフレームが頻繁にやり取りされるネットワークでは、大きな値に設定します。詳細については、「インターフェースの MTU の設定」を参照してください。

（注）

ASA 5500-X シリーズデバイス、ISA 3000 シリーズデバイス、または Firepower Threat Defense Virtual で MTU を 1500 より大きい値に設定する場合は、デバイスを再起動する必要があります。CLI にログインし、reboot コマンドを使用します。ジャンボフレームのサポートが常に有効な場合、Firepower 2100 または Cisco Secure Firewall 3100 シリーズデバイスを再起動する必要はありません。

ステップ 12

（物理インターフェイスのみ）速度およびデュプレックスの設定を変更します。

デフォルトでは、インターフェイスは接続相手のインターフェイスに対し、互いに最適なデュプレックスおよび速度をネゴシエートしますが、必要に応じて、特定のデュプレックスおよび速度を強制的に適用することもできます。記載されているオプションは、インターフェイスでサポートされるもののみです。ネットワークモジュールのインターフェイスにこれらのオプションを設定する前に、「インターフェイス設定の制限事項」をお読みください。

[二重（Duplex）]：[自動（Auto）]、[ハーフ（Half）]、[フル（Full）]、または [デフォルト（Default）] を選択します。 [自動（Auto）] は、インターフェイスによってサポートされる場合のみデフォルトとなります。たとえば、Firepower 2100 または Cisco Secure Firewall 3100 シリーズデバイスの SFP インターフェイスでは [自動（Auto）] を選択できません。Firepower Device Manager が設定を試行できないことを示すために [Default] を選択します。

既存の設定は、すべてそのまま変更されません。
[速度（Speed）]：[自動（Auto）] を選択してインターフェイスに速度をネゴシエートさせるか（これがデフォルトです）、または特定の速度：[10]、[100]、[1000]、[10000] Mbps を選択します。次の特別オプションも選択できます。

既存の設定は、すべてそのまま変更されません。

インターフェイスのタイプによって、選択可能なオプションが制限されます。たとえば、Firepower 2100 シリーズデバイスの SFP+ インターフェイスは 1000（1 Gbps）および 10000（10 Gpbs）のみをサポートし、SFP インターフェイスは 1000（1 Gbps）のみをサポートしますが、GigabitEthernet ポートは 10000（10 Gpbs）をサポートしません。その他のデバイス上の SPF インタフェースでは [ネゴシエートなし（No Negotiate）] が必須の場合があります。インターフェイスのサポート対象については、ハードウェアのマニュアルを参照してください。

ステップ 13

（必要に応じて、サブインターフェイスおよび高可用性装置に推奨されます。）MAC アドレスを設定します。

[MACアドレス（MAC Address）]：H.H.H 形式の Media Access Control。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。MAC アドレスはマルチキャストビットセットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。

[スタンバイMACアドレス（Standby MAC Address）]：高可用性で使用します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイアドレスを使用します。

ステップ 14

[作成（Create）] をクリックします。

ブリッジグループの設定

ブリッジグループは 1 つ以上のインターフェイスをグループ化する仮想インターフェイスです。インターフェイスをグループ化する主な理由は、スイッチドインターフェイスのグループを作成することにあります。そのため、ブリッジグループに含まれているインターフェイスにワークステーションやその他のエンドポイントデバイスを直接接続できます。それらは別の物理スイッチを介して接続する必要はありませんが、スイッチをブリッジグループメンバーに接続することもできます。

グループメンバーには IP アドレスはありません。代わりに、すべてのメンバーインターフェイスがブリッジ仮想インターフェイス（BVI）の IP アドレスを共有します。BVI で IPv6 を有効にすると、メンバーインターフェイスには一意のリンクローカルアドレスが自動的に割り当てられます。

通常は、メンバーインターフェイス経由で接続されているエンドポイントの IP アドレスを提供するブリッジグループインターフェイス（BVI）に DHCP サーバーを設定します。ただし、必要に応じて、メンバーインターフェイスに接続されているエンドポイントにスタティックアドレスを設定できます。ブリッジグループ内のすべてのエンドポイントには、ブリッジグループの IP アドレスと同じサブネットの IP アドレスが必要です。

（注）

ISA 3000 では、デバイスは inside という名前のブリッジグループ BVI で事前に設定されており、outside インターフェイスを除くすべてのデータインターフェイスを含んでいます。そのため、デバイスにはインターネットやその他のアップストリームネットワークへの接続に使用される 1 つのポートが事前に設定されています。また、その他のポートはすべて有効になっていて、エンドポイントへの直接接続に使用できます。新しいサブネットで内部インターフェイスを使用する場合は、まず必要なインターフェイスを BVI から削除する必要があります。

FDM による管理デバイスは、1 つのブリッジグループのみをサポートします。したがって、Security Cloud Control ではその 1 つのブリッジグループのみを管理でき、デバイス上に追加のブリッジグループを作成することはできません。

Security Cloud Control でブリッジグループを作成した後、設定が FDM による管理デバイスに展開されるまで、ブリッジグループ ID はわかりません。FDM による管理デバイスは、BVI1 などのブリッジグループ ID を割り当てます。インターフェイスが削除され、新しいブリッジグループが作成されると、新しいブリッジグループには、BVI2 などの増分された番号が割り当てられます。

はじめる前に

ブリッジグループのメンバーになるインターフェイスを設定します。具体的には、各メンバーインターフェイスは、次の要件を満たしている必要があります。

インターフェイスには名前が必要です。
インターフェイスは管理専用として設定できません。
インターフェイスはパッシブモードで設定できません。
インターフェイスを EtherChannel インターフェイスまたは EtherChannel サブインターフェイスにすることはできません。
静的に、または DHCP を介してインターフェイス用に定義された IPv4 または IPv6 アドレスは設定できません。現在使用しているインターフェイスからアドレスを削除する必要がある場合、そのインターフェイスのその他の設定（アドレスを持つインターフェイスに依存するスタティックルート、DHCP サーバー、NAT ルールなど）も削除する必要がある場合があります。IP アドレスを持つインターフェイスをブリッジグループに追加しようとすると、Security Cloud Control は警告を表示します。インターフェイスをブリッジグループに追加し続けると、Security Cloud Control はインターフェイス設定から IP アドレスを削除します。
BVI は、VLAN インターフェイスまたは他のルーテッドインターフェイスのいずれかをメンバーインターフェイスとして持つことができますが、1 つの BVI で両方をメンバーインターフェイスとして持つことはできません。
インターフェイスは、Point-to-Point Protocol over Ethernet（PPPoE）にはできません。
インターフェイスをセキュリティゾーンに関連付けることはできません（ゾーン内にある場合）。インターフェイスをブリッジグループに追加する前に、そのインターフェイスのすべての NAT ルールを削除する必要があります。
メンバーインターフェイスは個別に有効または無効にします。そのため、未使用のインターフェイスはブリッジグループから削除することなく無効化できます。ブリッジグループ自体は常に有効になっています。
ブリッジグループではクラスタリングがサポートされません。

（注）

ブリッジグループは、ルーテッドモードの Firepower 2100 デバイス、またはブリッジされた ixgbevf インターフェイスを備えた VMware ではサポートされていません。

ブリッジグループインターフェイス名の設定とブリッジグループメンバーの選択

この手順では、ブリッジグループインターフェイス（BVI）に名前を付け、ブリッジグループに追加するインターフェイスを選択します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ブリッジグループを作成するデバイスを選択します。

ステップ 4

次のいずれかを実行します。

BVI ブリッジグループを選択し、操作ウィンドウで [編集（Edit）] をクリックします。
プラスボタンをクリックして、ブリッジグループインターフェイスを選択します。

（注）

作成および設定できるのは 1 つのブリッジグループのみです。ブリッジグループをすでに定義している場合は、新しいグループ作成するのではなく、そのグループを編集する必要があります。新しいブリッジグループを作成する必要がある場合は、まず既存のブリッジグループを削除する必要があります。

ステップ 5

次を設定します。

[論理名（Logical Name）]：ブリッジグループに名前を付ける必要があります。最大 48 文字です。英字は小文字にする必要があります。例、[inside] または [outside]。名前を設定しないと、インターフェイスの残りの設定は無視されます。

（注）

名前を変更すると、その変更は古い名前を使用しているすべての場所（セキュリティゾーン、syslog サーバーオブジェクト、DHCP サーバーの定義を含む）に自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

（任意）[説明（Description）]：説明は 200 文字以内で、改行を入れずに 1 行で入力します。

ステップ 6

[ブリッジグループメンバー（Bridge Group Members）] タブをクリックします。1 つのブリッジグループに最大 64 個のインターフェイスまたはサブインターフェイスを追加できます。

インターフェイスを確認して、ブリッジグループに追加します。
ブリッジグループから削除するインターフェイスのチェックボックスをオフにします。

ステップ 7

[保存（Save）] をクリックします。

BVI に名前とメンバーインターフェイスが追加されました。次のタスクに進み、ブリッジグループインターフェイスを設定します。メンバーインターフェイス自体に対して次のタスクを実行していません。

IPv4 アドレスを BVI に割り当てる場合は、ブリッジグループインターフェイスに IPv4 アドレス情報を設定します。
IPv6 アドレスを BVI に割り当てる場合は、ブリッジグループインターフェイスに IPv6 アドレス情報を設定します。
ブリッジグループインターフェイスにインターフェイス詳細オプションを設定します。

BVI の IPv4 アドレスの設定

手順

ステップ 1

ブリッジグループを作成するデバイスを選択します。

ステップ 2

インターフェイスのリストで [BVI] を選択し、操作ウィンドウで [編集（Edit）] をクリックします。

ステップ 3

[IPv4アドレス（IPv4 Address）] タブをクリックして、IPv4 アドレスを設定します。

ステップ 4

[タイプ（Type）] フィールドから次のいずれかのオプションを選択します。

[スタティック（Static）]：変わらないアドレスを割り当てる必要がある場合は、このオプションを選択します。ブリッジグループの IP アドレスとサブネットマスクを入力します。接続されているエンドポイントはすべて、このネットワーク上に存在することになります。ブリッジグループが事前設定されたモデルでは、デフォルトの BVI の「内部」ネットワークは 192.168.1.1/24（つまり 255.255.255.0）です。このアドレスがネットワーク上ですでに使用されていないことを確認します。

高可用性を設定し、このインターフェイスの HA をモニタしている場合は、同じサブネット上のスタンバイ IP アドレスも設定します。スタンバイアドレスは、スタンバイデバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。

（注）

インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレスプールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレスプールを構成する必要があります。「DHCP サーバーの設定」を参照してください。

[ダイナミック（Dynamic）]（DHCP）：ネットワーク上の DHCP サーバーからアドレスを取得する必要がある場合は、このオプションを選択します。これはブリッジグループの一般的なオプションではありませんが、必要に応じて設定できます。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。
- [ルートメトリック（Route Metric）]：DHCP サーバーからデフォルトルートを取得する場合、学習済みルートまでのアドミニストレーティブディスタンスは 1 ~ 255 の間です。デフォルトは 1 です。
- [デフォルトルートを取得（Obtain Default Route）]：チェックボックスをオンにすると、デフォルトルートが DHCP サーバーから取得されます。通常は、デフォルトのこのオプションを選択します。

ステップ 5

次の手順のいずれかに進みます。

IPv4 アドレスを BVI に割り当てる場合は、「BVI の IPv6 アドレスの設定」を行います。
インターフェイスの詳細オプションの設定
[保存（Save）] をクリックして、Firepower デバイスに変更を展開します。詳細については、「Security Cloud Control から FTD への設定変更の展開」を参照してください。

BVI の IPv6 アドレスの設定

手順

ステップ 1

[IPv6アドレス（IPv6 Address）] タブをクリックして、BVI の IPv6 アドレスを設定します。

ステップ 2

IPv6 アドレスの次の項目を設定します。

ステップ 3

IPv6 処理の有効化：グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態（State）] スライダを青にスライドします。リンクローカルアドレスはインターフェイスの MAC アドレス（Modified EUI-64 形式）に基づいて生成されます。

（注）

IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

ステップ 4

[RAを抑制（Suppress RA）]：ルータアドバタイズメントを抑制するかどうかを指定します。Firepower Threat Defense デバイスをルータアドバタイズメントに参加させると、ネイバーデバイスがデフォルトのルータアドレスをダイナミックに把握できるようになります。デフォルトでは、ルータアドバタイズメントメッセージ（ICMPv6 Type 134）は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

ルータアドバタイズメントもルータ要請メッセージ（ICMPv6 Type 133）に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータアドバタイズメントメッセージを待つことなくただちに自動設定を行うことができます。

FDM による管理デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス（外部インターフェイスなど）では、これらのメッセージを抑制できます。

ステップ 5

[スタティックアドレスとプレフィックス（Static Address/Prefix）]：ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、「IPv6 アドレッシング」を参照してください。

ステップ 6

[スタンバイIPアドレス（Standby IP Address）]：高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイアドレスは、スタンバイデバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。

ステップ 7

次の手順のいずれかに進みます。

インターフェイスの詳細オプションの設定
[保存（Save）] をクリックして、Firepower デバイスに変更を展開します。詳細については、「Security Cloud Control から FTD への設定変更の展開」を参照してください。

高度なインターフェイスオプションの設定

ブリッジグループのメンバーインターフェイスに対して最も詳細なオプションを設定しますが、一部はブリッジグループインターフェイス自体でも使用できます。

手順

ステップ 1	詳細設定には、ほとんどのネットワークに適しているデフォルト設定があります。デフォルト設定はネットワークの問題を解決する場合のみ編集します。
ステップ 2	[OK] をクリックします。
ステップ 3	[保存（Save）] をクリックして、Firepower デバイスに変更を展開します。詳細については、「Security Cloud Control から FTD への設定変更の展開」を参照してください。

次のタスク

使用する予定のすべてのメンバーインターフェイスが有効になっていることを確認します。
ブリッジグループの DHCP サーバを設定します。「DHCP サーバーの設定」を参照してください。
メンバーインターフェイスを適切なセキュリティゾーンに追加します。
アイデンティティ、NAT、アクセスなどのポリシーにより、ブリッジグループとメンバーインターフェイスに必要なサービスが提供されることを確認します。

FDM による管理設定におけるブリッジグループの互換性

各種設定でインターフェイスを指定する際、ブリッジ仮想インターフェイス（BVI）を指定できる場合もあれば、ブリッジグループのメンバーを指定できる場合もあります。次の表では、BVI をいつ使用でき、メンバーインターフェイスをいつ使用できるかを示します。


Firepower Threat Defense の設定タイプ	BVI が使用可能	BVI メンバーが使用可能
DHCP サーバー	対応	非対応
DNS サーバー	対応	対応
管理アクセス	対応	非対応
NAT（ネットワークアドレス変換。）	非対応	対応
セキュリティゾーン	非対応	対応
サイト間 VPN アクセスポイント	非対応	対応
Syslog サーバー（Syslog Server）	対応	非対応

ブリッジグループの削除

ブリッジグループを削除すると、そのメンバーは標準のルーテッドインターフェイスになり、NAT ルールまたはセキュリティゾーンのメンバーシップはすべて維持されます。インターフェイスを編集して、IP アドレスを付与できます。新しいブリッジグループを作成する必要がある場合は、まず既存のブリッジグループを削除する必要があります。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	[FTD] タブをクリックして、ブリッジグループを削除するデバイスを選択します。
ステップ 4	BVI ブリッジグループを選択し、操作ウィンドウで [削除（Remove）] をクリックします。
ステップ 5	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

FDM による管理デバイスの EtherChannel インターフェイスの追加

EtherChannel インターフェイスの制限事項

EtherChannel は、デバイスモデルによっては、同じメディアタイプと容量のメンバーインターフェイスを複数含めることができますが、同じ速度とデュプレックスに設定する必要があります。容量の大きいインターフェイスで速度を低く設定することによってインターフェイスの容量（1 GB インターフェイスと 10 GB インターフェイスなど）を混在させることはできません。リンク集約制御プロトコル（LACP）では、2 つのネットワークデバイス間でリンク集約制御プロトコルデータユニット（LACPDU）を交換することによって、インターフェイスが集約されます。

EtherChannel インターフェイスには、物理設定とソフトウェアバージョンに基づいた多くの制限があります。詳細については、以下のセクションを参照してください。

インターフェイスの一般的な制限事項

EtherChannel は、FDM による管理バージョン 6.5 以降を実行しているデバイスでのみ使用できます。
Security Cloud Control は次の Firepower デバイスで EtherChannel インターフェイス構成をサポートします。1010、1120、1140、1150、2110、2120、2130、2140、3110、3120、3130、および 3140。デバイスモデルごとのインターフェイスの制限については、「デバイス固有の要件」を参照してください。
チャネルグループ内のすべてのインターフェイスは、同じメディアタイプと容量である必要があり、同じ速度とデュプレックスに設定する必要があります。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ（銅と光ファイバ）の SFP を混在させることができます。容量の大きいインターフェイスで速度を低く設定することによってインターフェイスの容量（1 GB インターフェイスと 10 GB インターフェイスなど）を混在させることはできません。
EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。
FDM による管理デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して隣接スイッチのネイティブ VLAN タギングを有効にすると、FDM による管理デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ず無効化してください。
すべての FDM による管理デバイスのコンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。
ポートチャネルインターフェイスは物理インターフェイスとして表示されます。

デバイス固有の制限事項

次のデバイスには、特定のインターフェイスの制限事項があります。

1000 シリーズ

Firepower 1010 は、最大 8 つの EtherChannel インターフェイスをサポートします。
Firepower 1120、1140、1150 は、最大 12 の EtherChannel インターフェイスをサポートします。
1000 シリーズは、LACP 高速レートをサポートしていません。 LACP では常に通常のレートが使用されます。この値は設定不可能です。

2100 シリーズ

Firepower 2110 および 2120 モデルは、最大 12 の EtherChannel インターフェイスをサポートします。
Firepower 2130 および 2140 モデルは、最大 16 の EtherChannel インターフェイスをサポートします。
2100 シリーズは LACP 高速レートをサポートしていません。 LACP は常に通常のレートを使用します。この値は設定不可能です。

Cisco Secure Firewall 3100 シリーズ

すべての Cisco Secure Firewall 3100 モデルは最大 16 の EtherChannel インターフェイスをサポートします。
Cisco Secure Firewall 3100 モデルは LACP 高速レートをサポートします。
Cisco Secure Firewall 3100 シリーズモデルは、ネットワークモジュールの有効化と無効化、およびインターフェイスのブレークアウト活性挿抜（OIR）をサポートしていません。

4100 シリーズおよび 9300 シリーズ

4100 および 9300 シリーズで EtherChannel を作成または設定することはできません。これらのデバイスの EtherChannel は、FXOS シャーシで設定する必要があります。
4100 および 9300 シリーズの EtherChannel は、物理インターフェイスとして Security Cloud Control に表示されます。

EtherChannel インターフェイスの追加

次の手順を使用して、EtherChannel を FDM 管理対象デバイスに追加します。

（注）

続けて別の EtherChannel を作成する場合は、[別のEtherChannelを作成（Create another）] チェックボックスをオンにして、[作成（Create）] をクリックします。

手順

ステップ 1	[デバイス] タブをクリックします。
ステップ 2	[FTD] タブをクリックして、EtherChannel を追加するデバイスを選択します。
ステップ 3	右側の [管理（Management）] ペインで、[インターフェイス（Interfaces）] を選択します。
ステップ 4	青色のプラスボタンをクリックし、[EtherChannel] を選択します。
ステップ 5	（任意）[論理名（Logical Name）] を入力します。
ステップ 6	（任意）説明を入力します。
ステップ 7	[EtherChannel ID] を入力します。 Firepower 1010 シリーズの場合は、1 ～ 8 の値を入力します。 Firepower 2100、3100、4100、および 9300 シリーズの場合は、1 ～ 48 の値を入力します。
ステップ 8	[リンク集約制御プロトコル（Link Aggregation Control Protocol）] のドロップダウンボタンをクリックし、次の 2 つのオプションのいずれかを選択します。 [アクティブ（Active）]：LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブモードを使用する必要があります。 [オン（On）]：EtherChannel は常にオンであり、LACP は使用されません。[オン（On）] の EtherChannel は、[オン（On）] と設定されている別の EtherChannel のみと接続できます。
ステップ 9	メンバーとして EtherChannel に含めるインターフェイスを検索して選択します。1 つ以上のインターフェースを含める必要があります。警告：EtherChannel インターフェイスをメンバーとして追加し、すでに IP アドレスが設定されている場合、Security Cloud Control はそのメンバーの IP アドレスを削除します。
ステップ 10	[作成（Create）] をクリックします。

FDM による管理デバイスの EtherChannel インターフェイスの編集または削除

次の手順を使用して、既存の EtherChannel インターフェイスを変更したり、EtherChannel インターフェイスを FDM による管理デバイスから削除したりします。

EtherChannel の編集

EtherChannel には制限事項がいくつかあるため、変更時には注意が必要です。詳細については、「Firepower インターフェイス設定に関する注意事項と制約事項」を参照してください。

（注）

EtherChannel には 1 つ以上のメンバーが必要です。

既存のEtherChannel を編集するには、次の手順を実行します。

手順

ステップ 1

ナビゲーションウィンドウで、セキュリティデバイスをクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックし、変更する EtherChannel に関連付けられている脅威に対する防御を選択します。

ステップ 4

右側にある [管理（Management）] ペインで、[インターフェイス（Interfaces）] をクリックします。

ステップ 5

[インターフェイス（Interfaces ）] ページで、編集する EtherChannel インターフェイスを選択します。右側の操作ウィンドウで、編集アイコンをクリックします。

ステップ 6

次の項目のいずれかを変更します。

論理名
状態
[説明（Description）]
セキュリティゾーンの割り当て
リンクアグリケーション制御プロトコルのステータス
[IPv4]、[IPv6]、[詳細（Advanced）] タブのいずれかの IP アドレス設定
EtherChannel メンバー

警告	EtherChannel インターフェイスをメンバーとして追加し、すでに IP アドレスが設定されている場合、Security Cloud Control はメンバーの IP アドレスを削除します。

ステップ 7

[保存（Save）] をクリックします。

EtherChannel インターフェイスの削除

（注）

高可用性（HA）またはその他の設定に関連付けられた EtherChannel インターフェイスの場合は、Security Cloud Control から削除する前に、すべての設定から EtherChannel インターフェイスを手動で削除する必要があります。

次の手順を使用して、FDM による管理デバイスから EtherChannel インターフェイスを削除します。

手順

ステップ 1	ナビゲーションウィンドウで、セキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	[FTD] タブをクリックし、削除する EtherChannel に関連付けられている脅威に対する防御を選択します。
ステップ 4	右側の [管理（Management）] ペインで、[インターフェイス（Interfaces）] を選択します。
ステップ 5	[インターフェイス（Interfaces ）] ページで、編集する EtherChannel インターフェイスを選択します。右側の [アクション（Actions）] ペインで、[削除（Remove）] をクリックします。
ステップ 6	削除する EtherChannel インターフェイスを確認し、[OK] をクリックします。

EtherChannel インターフェイスへのサブインターフェイスの追加

EtherChannel サブインターフェイス

[インターフェイス（Interfaces）] ページでは、各インターフェイスを展開して、デバイスのどのインターフェイスにサブインターフェイスがあるかを表示できます。この展開されたビューには、一意の論理名、有効/無効状態、関連するセキュリティゾーン、およびサブインターフェイスのモードも表示されます。サブインターフェイスのインターフェイスタイプとモードは、親インターフェイスによって決定されます。

一般的な制限事項

Security Cloud Control は、次のインターフェイスタイプのサブインターフェイスをサポートしていません。

管理専用に設定されたインターフェース
スイッチポートモード用に設定されたインターフェイス
パッシブインターフェイス
VLAN インターフェイス
ブリッジ仮想インターフェイス（BVI）
すでに別の EtherChannel インターフェイスのメンバーになっているインターフェイス

次のサブインターフェイスを作成できます。

ブリッジグループメンバー
EtherChannel インターフェイス
物理インターフェイス

EtherChannel インターフェイスへのサブインターフェイスの追加

既存のインターフェイスにサブインターフェイスを追加するには、次の手順を実行します。

（注）

続けて別のサブインターフェイスを作成する場合は、[別のサブインターフェイスを作成（Create another）] チェックボックスをオンにして、[作成（Create）] をクリックします。

手順

ステップ 1	ナビゲーションウィンドウで、セキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	[FTD] タブをクリックして、EtherChannel を追加する脅威に対する防御を選択します。右側の [管理（Management）] ペインで、[インターフェイス（Interfaces）] を選択します。
ステップ 4	サブインターフェイスをグループ化するインターフェイスを選択します。右側の操作ウィンドウで、ボタンをクリックします。
ステップ 5	（任意）[論理名（Logical Name）] を入力します。
ステップ 6	（任意）説明を入力します。
ステップ 7	（任意）セキュリティゾーンをサブインターフェイスに割り当てます。サブインターフェイスに論理名がない場合は、セキュリティゾーンを割り当てることができないので注意してください。
ステップ 8	VLAN ID を入力します。
ステップ 9	[EtherChannel ID] を入力します。1 ～ 48 の値を使用します。Firepower 1010 シリーズの場合は 1 ～ 8 の値を使用します。
ステップ 10	[IPv4]、[IPv6]、または [詳細設定（Advanced）] タブを選択して、サブインターフェイスの IP アドレスを設定します。
ステップ 11	[作成（Create）] をクリックします。

EtherChannel のサブインターフェイスの編集または削除

既存のサブインターフェイスを変更、またはサブインターフェイスを Etherchannel インターフェイスから削除するには、次の手順を実行します。

（注）

サブインターフェイスと EtherChannel インターフェイスには、設定に関する一連のガイドラインと制限事項があります。詳細については、一般的なサブインターフェイスの制限事項を参照してください。

サブインターフェイスの編集

EtherChannel インターフェイスに関連付けられている既存のサブインターフェイスを編集するには、次の手順を実行します。

手順

ステップ 1	ナビゲーションウィンドウで、セキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	[FTD] タブをクリックし、編集する EtherChannel およびサブインターフェイスに関連付けられている脅威に対する防御を選択します。
ステップ 4	右側の [管理（Management）] ペインで、[インターフェイス（Interfaces）] を選択します。
ステップ 5	サブインターフェイスが属している Etherchannel インターフェイスを見つけて展開します。
ステップ 6	編集対象のサブインターフェイスを選択します。右側の操作ウィンドウで、編集アイコンをクリックします。
ステップ 7	次の項目のいずれかを変更します。論理名状態 [説明（Description）] セキュリティゾーンの割り当て VLAN ID [IPv4]、[IPv6]、[詳細（Advanced）] タブのいずれかの IP アドレス設定
ステップ 8	[保存（Save）] をクリックします。

EtherChannel からのサブインターフェイスの削除

EtherChannel インターフェイスから既存のサブインターフェイスを削除するには、次の手順を実行します。

手順

ステップ 1	ナビゲーションウィンドウで、セキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	[FTD] タブをクリックし、編集する EtherChannel およびサブインターフェイスに関連付けられている脅威に対する防御を選択します。右側の [管理（Management）] ペインで、[インターフェイス（Interfaces）] を選択します。
ステップ 4	サブインターフェイスが属している Etherchannel インターフェイスを見つけて展開します。
ステップ 5	削除対象のサブインターフェイスを選択します。
ステップ 6	右側の [アクション（Actions）] ペインで、[削除（Remove）] をクリックします。
ステップ 7	削除するサブインターフェイスを確認し、[OK] をクリックします。

仮想 FDM による管理デバイスへのインターフェイスの追加

仮想 FDM による管理デバイスを導入する場合は、その仮想マシンにインターフェイスを割り当てます。次に、FDM による管理デバイス内から、ハードウェアデバイスの場合と同じ方法を使用して、それらのインターフェイスを設定します。

ただし、仮想マシンにさらに仮想インターフェイスを追加して、FDM に自動的に認識させることはできません。仮想 FDM による管理デバイス向けに追加の物理インターフェイスが必要な場合は、基本的にもう一度やり直す必要があります。新しい仮想マシンを導入することもできれば、次の手順を使用することもできます。

注意	仮想マシンにインターフェイスを追加するには、仮想 FDM による管理の設定を完全に消去する必要があります。設定でそのまま残しておける唯一の部分は、管理アドレスとゲートウェイ設定です。

はじめる前に

FDM による管理デバイスで次の手順を実行します。

仮想 FDM による管理デバイスの設定を調べ、新しい仮想マシンで複製する設定を書き留めておきます。
[デバイス（Devices）] > [スマートライセンス（Smart License）] > [設定の表示（View Configuration）] を選択し、すべての機能ライセンスを無効にします。

手順

ステップ 1	仮想 FDM による管理デバイスの電源をオフにします。
ステップ 2	仮想マシンソフトウェアを使用して、仮想 FDM による管理デバイスにインターフェイスを追加します。VMware の場合、仮想アプライアンスはデフォルトで e1000（1 Gbit/s）インターフェイスを使用します。また、vmxnet3 または ixgbe（10 Gbit/s）インターフェイスを使用することもできます。
ステップ 3	仮想 FDM による管理デバイスの電源をオンにします。
ステップ 4	仮想 FDM による管理デバイスコンソールを開いてローカルマネージャを削除し、ローカルマネージャを有効にします。ローカルマネージャを削除してから、それを有効にすると、デバイス設定がリセットされ、システムに新しいインターフェイスを認識させることができます。管理インターフェイス設定はリセットされません。次の SSH セッションはコマンドを表示します。 `> show managers Managed locally. > configure manager delete If you enabled any feature licenses, you must disable them in Firepower Device Manager before deleting the local manager. Otherwise, those licenses remain assigned to the device in Cisco Smart Software Manager. Do you want to continue[yes/no] yes DCHP Server Disabled > show managers No managers configured. > configure manager local >`
ステップ 5	FDM による管理デバイスへのブラウザセッションを開き、デバイスのセットアップウィザードを完了して、デバイスを設定します。詳細については、『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager バージョン x.x.x 用）』の「使用する前に」の章にある「初期設定の完了」のセクションを参照してください。

FDM による管理デバイスのスイッチポートモードインターフェイス

Firepower 1010 物理インターフェイスごとに、ファイアウォールインターフェイスまたはスイッチポートとしてその動作を設定できます。スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、FDM による管理デバイスのセキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、単一の VLAN に割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。バージョン 6.4 に再イメージ化されたデバイスの場合、イーサネット 1/2 ～ 1/8 は VLAN 1 のアクセススイッチポートとして設定されています。バージョン 6.4 以降に手動でアップグレードされたデバイスの場合、イーサネット構成はアップグレード前の構成を維持します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信でき、トラフィックには、FDM による管理デバイスのセキュリティポリシーは適用されないことに注意してください。

アクセスまたはトランク

スイッチポートとして設定されている物理インターフェイスは、アクセスポートまたはトランクポートとして割り当てることができます。

アクセスポートは、トラフィックを 1 つの VLAN にのみ転送し、タグなしのトラフィックのみを受け入れます。トラフィックを単一のホストまたはデバイスに転送する場合は、このオプションを強くお勧めします。また、インターフェイスに関連付ける VLAN を指定する必要があり、指定しないとデフォルトで VLAN 1 に設定されます。

トランクポートは、トラフィックを複数の VLAN に転送します。1 つの VLAN インターフェイスをネイティブトランクポートとして割り当て、少なくとも 1 つの VLAN を関連トランクポートとして割り当てる必要があります。最大 20 のインターフェイスを選択して、スイッチポートインターフェイスに関連付けることができます。これにより、異なる VLAN ID からのトラフィックがスイッチポートインターフェイスを通過できるようになります。タグなしのトラフィックがスイッチポートを通過する場合、そのトラフィックは、ネイティブ VLAN インターフェイスの VLAN ID でタグ付けされます。1002 ～ 1005 のデフォルトのファイバ分散データインターフェイス（FDDI）およびトークンリング ID は、VLAN ID に使用できないことに注意してください。

ポートモードの変更

ルーテッドモードに設定されているインターフェイスを VLAN メンバーとして選択すると、Security Cloud Control は、そのインターフェイスをスイッチポートモードに自動的に変換し、デフォルトでは、そのインターフェイスをアクセスポートとして設定します。その結果、論理名と関連する静的 IP アドレスが、そのインターフェイスから削除されます。

設定の制限

次の制限事項に注意してください。

物理 Firepower 1010 デバイスのみが、スイッチポートモード設定をサポートしています。仮想 FDM による管理デバイスは、スイッチポートモードをサポートしていません。
Firepower 1010 デバイスは最大 60 の VLAN を許容します。
スイッチポートモードに設定される VLAN インターフェイスは、名前のないインターフェイスである必要があります。これは、MTU を 1500 バイトに設定する必要があることを意味します。
スイッチポートモードとして設定されているインターフェイスは削除できません。インターフェイスモードをスイッチポートモードからルーテッドモードに手動で変更する必要があります。
スイッチポートモードに設定されるインターフェイスは、IP アドレスをサポートしません。インターフェイスが現在、VPN、DHCP で参照されているか、それらのために設定されているか、静的ルートに関連付けられている場合は、IP アドレスを手動で削除する必要があります。
ブリッジグループインターフェイスのメンバーをスイッチポートとして使用することはできません。
VLAN インターフェイスの MTU は 1500 バイトである必要があります。名前のない VLAN インターフェイスは、他の設定をサポートしません。
スイッチポートモードは、次をサポートしていません。
- 診断インターフェイス。
- 動的、マルチキャスト、または等コストマルチパス（ECMP）ルーティング。
- パッシブインターフェイス。
- ポート EtherChannel（または EtherChannel のメンバーであるインターフェイスの使用）。
- サブインターフェイス。
- フェールオーバーおよびステートリンク。

ハイアベイラビリティおよびスイッチポートモードインターフェイス

ハイアベイラビリティを使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットとスタンバイユニットの両方でトラフィックを通過させ続けます。ハイアベイラビリティは、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常のハイアベイラビリティのネットワーク設定では、両方のユニットのアクティブなスイッチポートがネットワークループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニターできますが、スイッチポートはモニターできません。

（注）

ファイアウォールインターフェイスはフェールオーバーリンクとしてのみ使用できます。

テンプレートのスイッチポートモード設定

スイッチポートモード用に設定されたインターフェイスを持つデバイスのテンプレートを作成できます。テンプレートからデバイスにインターフェイスをマッピングするときは、次のシナリオに注意してください。

テンプレートを適用する前にテンプレートインターフェイスに VLAN メンバーが含まれていない場合、Security Cloud Control は、それを、同じプロパティを持つ使用可能なデバイスインターフェイスに自動的にマッピングします。
VLAN メンバーを含まないテンプレートインターフェイスが、N/A として設定されているデバイスインターフェイスにマッピングされている場合、Security Cloud Control は、テンプレートが適用されるデバイスにインターフェイスを自動的に作成します
VLAN メンバーを含むテンプレートインターフェイスが、存在しないデバイスインターフェイスにマッピングされている場合、テンプレートの適用は失敗します。
テンプレートは、複数のテンプレートインターフェイスを同じデバイスインターフェイスにマッピングすることをサポートしていません。
テンプレートの管理インターフェイスは、デバイスの管理インターフェイスにマッピングされる必要があります。

FDM による管理デバイス VLAN の設定

サブインターフェイスまたはスイッチポートを設定する場合は、最初に VLAN インターフェイスを設定する必要があります。

（注）

FDM による管理デバイスは、最大 60 個の VLAN インターフェイスをサポートします。

手順

ステップ 1

ナビゲーションウィンドウで、セキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、VLAN 作成の対象となるデバイスを選択します。

ステップ 4

右側の [管理（Management）] ペインで、[インターフェイス（Interfaces）] をクリックします。

ステップ 5

[インターフェイス（Interfaces）] ページで、ボタンをクリックします。

ステップ 6

次を設定します。

[親インターフェイス（Parent Interface）]：サブインターフェイスの追加先となる物理インターフェイスです。いったん作成したサブインターフェイスの親インターフェイスは変更できません。

（任意）[論理名（Logical Name）]：VLAN の名前を 48 文字以内で設定します。英字は小文字にする必要があります。VLANと他のVLANまたはファイアウォールインターフェイス間でルーティングしない場合は、VLANインターフェイス名を空白のままにします。

（注）

論理名を入力しない場合は、[詳細オプション（Advanced Options）] の [MTU] を「1500」に設定する必要があります。[MTU] を「1500」以外に変更する場合は、VLAN に論理名を付ける必要があります。

（任意）[説明（Description）]：説明は 200 文字以内で、改行を入れずに 1 行で入力します。
（任意）[セキュリティゾーン（Security Zone）]：サブインターフェースをセキュリティゾーンに割り当てます。論理名がない場合、サブインターフェイスを割り当てることはできません。サブインターフェイスの作成後にセキュリティゾーンを割り当てることもできます。詳細については、「Firepower インターフェイスの設定におけるセキュリティゾーンの使用」を参照してください。

（任意）[VLAN ID]：VLAN ID を 1 ～ 4070 の範囲で入力します。これは、このサブインターフェイス上のパケットにタグを付けるために使用されます。

（注）

デフォルトでは VLAN インターフェイスがルーティングされます。後でこの VLAN インターフェイスをブリッジグループに追加すると、Security Cloud Control では自動的にモードが[BridgeGroupMember] に切り替わります。同様に、この VLAN インターフェイスをスイッチポートモードに変更すると、Security Cloud Control では自動的にモードがスイッチポートに切り替わります。

（任意）[サブインターフェイスID（Sub-Interface ID）]：サブインターフェイス ID を 1 ～ 4294967295 の範囲の整数で入力します。この ID は、インターフェイス ID に追加されます。たとえば、Ethernet1/1.100 のようになります。便宜上 VLAN ID を一致させることもできますが、必須ではありません。いったん作成したサブインターフェイスの ID は変更できません。

ステップ 7

[IPv4 アドレス（IPv4 Address）] タブをクリックし、[タイプ（Type）] フィールドで次のオプションのいずれかを選択します。

[スタティック（Static）]：変更されない必要があるアドレスを割り当てる場合は、このオプションを選択します。インターフェイスに接続されたネットワークに対するインターフェイスの IP アドレスとサブネットマスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続する場合は、「10.100.10.1/24」と入力します。このアドレスがネットワーク上ですでに使用されていないことを確認します。

高可用性を設定し、このインターフェイスの HA をモニタしている場合は、同じサブネット上のスタンバイ IP アドレスも設定します。スタンバイアドレスは、スタンバイデバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。

（注）

インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレスプールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレスプールを構成する必要があります。詳細については、「DHCP サーバーの設定」を参照してください。

[ダイナミック（Dynamic）]（DHCP）：ネットワーク上の DHCP サーバーからアドレスを取得する必要がある場合は、このオプションを選択します。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。
- [ルートメトリック（Route Metric）]：DHCP サーバーからデフォルトルートを取得する場合、学習済みルートまでのアドミニストレーティブディスタンスは 1 ~ 255 の間です。デフォルトは 1 です。
- [デフォルトルートを取得（Obtain Default Route）]：チェックボックスをオンにすると、デフォルトルートが DHCP サーバーから取得されます。通常は、デフォルトのこのオプションを選択します。
[DHCPアドレスプール（DHCP Address Pool）]：インターフェイスに対して設定されている DHCP サーバーがある場合は、その設定が表示されます。DHCP アドレスプールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレスプールを構成する必要があります。

ステップ 8

（任意）[IPv6アドレス（IPv6 Address）] タブをクリックして、以下を設定します。

[状態（State）]：グローバルアドレスを設定しない場合に IPv6 処理を有効にしてリンクローカルアドレスを自動的に設定するには、[状態（State）] スライダを青にスライドします。リンクローカルアドレスはインターフェイスの MAC アドレス（Modified EUI-64 形式）に基づいて生成されます。

（注）

IPv6 を無効にしても、明示的な IPv6 アドレスを指定して設定されているインターフェイス、または自動設定が有効になっているインターフェイスの IPv6 処理は無効になりません。

[アドレスの自動設定（Address Auto Configuration）]：アドレスを自動的に設定するには、チェックボックスをオンにします。IPv6 ステートレス自動設定では、デバイスが存在するリンクで使用する IPv6 グローバルプレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスが生成されます。IPv6 ルーティングサービスがリンクで使用できない場合、リンクローカル IPv6 アドレスのみが取得され、そのデバイスが属するネットワークリンクの外部にはアクセスできません。リンクローカルアドレスは Modified EUI-64 インターフェイス ID に基づいています。
[RAを抑制（Suppress RA）]：ルータアドバタイズメントを抑制するかどうかを指定します。ネイバーデバイスがデフォルトのルータアドレスをダイナミックに把握できるように、脅威防御はルータアドバタイズメントに参加できます。デフォルトでは、ルータアドバタイズメントメッセージ（ICMPv6 Type 134）は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

ルータアドバタイズメントもルータ要請メッセージ（ICMPv6 Type 133）に応答して送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータアドバタイズメントメッセージを待つことなくただちに自動設定を行うことができます。

FDM による管理デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス（外部インターフェイスなど）では、これらのメッセージを抑制することを推奨します。
[スタティックアドレスとプレフィックス（Static Address/Prefix）]：ステートレス自動設定を使用しない場合、完全なスタティックグローバル IPv6 アドレスとネットワークプレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、「Firepower インターフェイスの IPv6 アドレッシング」を参照してください。
[スタンバイIPアドレス（Standby IP Address）]：高可用性を設定し、このインターフェイスの HA をモニタリングしている場合は、同じサブネット上にスタンバイ IPv6 アドレスも設定します。スタンバイアドレスは、スタンバイデバイスでこのインターフェイスにより使用されます。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。

ステップ 9

（任意）[詳細（Advanced）] タブをクリックします。

インターフェイスの状態を高可用性設定でピア装置にフェールオーバーするかどうか判断する際の要素にする場合は、[HAモニタリングの有効化（Enable for HA Monitoring）] を選択します。

このオプションは、高可用性を設定しない場合は無視されます。インターフェイスの名前を設定しない場合も、無視されます。
データインターフェイスを管理専用に指定する場合は、[管理専用（Management Only）] を選択します。

管理専用インターフェイスはトラフィックの通過を許可しないため、データインターフェイスを管理専用に設定する意味はあまりありません。管理/診断インターフェイスは、常に管理専用であるため、この設定を変更することはできません。
[IPv6設定（IPv6 Configuration）] を変更します。
- [IPv6アドレス設定でDHCPを有効化する（Enable DHCP for IPv6 address configuration）]：IPv6 ルータのアドバタイズメントパケットに、管理アドレスアクセス設定フラグを設定するかどうか。このフラグは、取得されるステートレス自動設定のアドレス以外のアドレスの取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。
- [IPv6のアドレス以外の設定でDHCPを有効化する（Enable DHCP for IPv6 non-address configuration）]：IPv6 ルータのアドバタイズメントパケットに、その他のアドレス設定フラグを設定するかどうか。このフラグは、DHCPv6 から DNS サーバアドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。
- [DAD の試行（DAD Attempts）]：インターフェイスが重複アドレス検出（DAD）を実行する頻度（0 ～ 600）。デフォルトは 1 です。ステートレス自動設定プロセスでは、DAD はアドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を検証します。重複アドレスがインターフェイスのリンクローカルアドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバルアドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出（DAD）プロセスを無効にするには、この値を 0 に設定します。

[MTU]（最大伝送ユニット）を目的の値に変更します。

デフォルトの MTU は 1500 バイトです。64 ～ 9198（仮想 FDM による管理デバイスの場合は 9000、 Firepower 4100/9300 の場合は 9184）の値を指定できます。ジャンボフレームが頻繁にやり取りされるネットワークでは、大きな値に設定します。

（注）

ASA 5500-X シリーズデバイス、ISA 3000 シリーズデバイス、または仮想 FDM による管理デバイスで MTU を 1500 より大きい値に設定する場合は、VLAN の名前を未設定にし、デバイスを再起動する必要があります。CLI にログインし、reboot コマンドを使用します。HA にデバイスが設定されている場合、スタンバイデバイスも再起動する必要があります。ジャンボフレームのサポートが常に有効な場合、Firepower モデルを再起動する必要はありません。

（サブインターフェイスと HA ペアの場合は任意）MAC アドレスを設定します。

デフォルトでは、システムはインターフェイスのネットワークインターフェイスカード（NIC）に焼き込まれた MAC アドレスを使用します。したがって、インターフェイスのすべてのサブインターフェイスは同じ MAC アドレスを使用するため、サブインターフェイスごとに一意のアドレスを作成する必要がある場合があります。手動設定されたアクティブ/スタンバイ MAC アドレスも、高可用性を設定する場合に推奨されます。MAC アドレスを定義すると、フェールオーバー時にネットワークの一貫性を維持できます。
- [MACアドレス（MAC Address）]：H.H.H 形式の Media Access Control。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。MAC アドレスはマルチキャストビットセットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。
- [スタンバイ MAC アドレス（Standby MAC Address）]：HA ペアで使用します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイアドレスを使用します。

ステップ 10

このデバイスに別のサブインターフェイスを作成する場合は、サブインターフェイスの設定を完了する前に、[別のサブインターフェイスを作成（Create another）] をオンにします。

ステップ 11

（任意）作成時にサブインターフェイスをアクティブにするには、ポップアップウィンドウの右上隅にある [状態（State）] スライダーを灰色から青色に切り替えます。

ステップ 12

[OK] をクリックします。

ステップ 13

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

スイッチポートモード用 FDM による管理デバイス VLAN の設定

構成する前に、スイッチポートモードの制限事項を必ずお読みください。詳細については、『FTD のスイッチポートモードインターフェイス』を参照してください。

（注）

VLAN メンバーの物理インターフェイスへの割り当てや編集はいつでも実行できます。新しい構成を確認したら、必ず変更をデバイスに展開してください。

スイッチポートモードでの VLAN インターフェイスの作成

手順

ステップ 1

ナビゲーションウィンドウで、セキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、インターフェイスを設定するデバイスを選択します。

ステップ 4

右側の [管理（Management）] ペインで、[インターフェイス（Interfaces）] をクリックします。

ステップ 5

[インターフェイス（Interfaces）] ページで、ボタンをクリックし、[VLANインターフェイス（VLAN Interface）] を選択します。

ステップ 6

[VLANメンバー（VLAN Members）] タブを表示し、目的の物理インターフェイスを選択します。

（注）

アクセスまたはネイティブトランク用に設定された VLAN インターフェイスを参照するメンバーを追加する場合、1 つの VLAN のみをメンバーとして選択できます。関連トランク用に設定された VLAN インターフェイスを参照する物理インターフェイスには、最大 20 個のインターフェイスをメンバーとして追加できます。

ステップ 7

「FDM 管理対象 VLAN の設定」の説明に従って、残りの VLAN インターフェイスを設定します。

ステップ 8

[保存（Save）] をクリックします。VLAN 設定をリセットし、IP アドレスをインターフェイスに再割り当てすることを確認します。

ステップ 9

行った変更を今すぐレビューして展開するか、複数の変更を後から一度に展開します。

スイッチポートモードに使用する既存の物理インターフェイスの設定

手順

ステップ 1	ナビゲーションウィンドウで、セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、インターフェイスを設定するデバイスを選択します。
ステップ 4	右側の [管理（Management）] ペインで、[インターフェイス（Interfaces）] をクリックします。
ステップ 5	[インターフェイス（Interfaces ）] ページで、変更する物理インターフェイスを選択します。右側の操作ウィンドウで、編集アイコンをクリックします。
ステップ 6	スイッチポートモードに設定されるインターフェイスは、論理名をサポートしません。インターフェイスに論理名がある場合は、削除します。
ステップ 7	[モード（Mode）] を見つけ、ドロップダウンメニューで [スイッチポート（Switch Port）] を選択します。
ステップ 8	スイッチポートモードの物理インターフェイスを設定します。（任意）このスイッチポートを保護対象として設定するには、[保護ポート（Protected Port）] チェックボックスをオンにします。これにより、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぐことができます。スイッチポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートにこのオプションを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。 [使用タイプ（Usage Type）] で、[アクセス（Access）] または [トランク（Trunk）] を選択します。必要なポートタイプを判別するには、「FTD のスイッチポートモードインターフェイス」を参照してください。 [トランク（Trunk）] を選択した場合、1 つの VLAN インターフェイスをタグなしトラフィックを転送するための [ネイティブトランクVLAN（Native Trunk VLAN ）] として選択し、1 つ以上をタグ付きトラフィックを転送するための [関連するVLAN（Associated VLAN）] として選択する必要があります。アイコンをクリックして、既存の物理インターフェイスを表示します。関連する VLAN として最大 20 個の VLAN インターフェイスを選択できます。 [新しい VLANを作成（Create new VLAN）] をクリックすると、アクセスモードに設定された新しい VLAN インターフェイスを作成できます。
ステップ 9	[保存（Save）] をクリックします。VLAN 設定をリセットし、IP アドレスをインターフェイスに再割り当てすることを確認します。
ステップ 10	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower インターフェイスの表示とモニターリング

Firepower インターフェイスを表示するには、次の手順を実行します。

手順

ステップ 1	ナビゲーションウィンドウで、セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、インターフェイスを表示するデバイスをクリックします。
ステップ 4	右側の [管理（Management）] ペインで [インターフェイス（Interfaces）] をクリックします。
ステップ 5	インターフェイステーブルでインターフェイスを選択します。インターフェイスの行を展開すると、サブインターフェイスの情報が表示されます。右側には詳細なインターフェイス情報が表示されます。

CLI でのインターフェイスのモニタリング

SSH を使用してデバイスに接続し、以下のコマンドを実行することで、インターフェイスに関する基本的な情報、動作、および統計を表示できます。

SSH を使用してデバイスに簡単に接続するには、モニターする FDM による管理デバイスを SSH デバイスとしてオンボードしてから、Security Cloud Control で >_ コマンドラインインターフェイスを使用します。

show interface は、インターフェイスの統計情報および設定情報を表示します。このコマンドには多数のキーワードがあり、必要な情報を取得するために使用できます。使用可能なオプションを表示するには、「?」をキーワードとして使用します。
show ipv6 interface は、インターフェイスに関する IPv6 設定情報を表示します。
show bridge-group は、メンバー情報や IP アドレスを含む、ブリッジ仮想インターフェイス（BVI）に関する情報を表示します。
show conn は、インターフェイスを介して現在確立されている接続に関する情報を表示します。
show traffic は、各インターフェイスを介して移動するトラフィックに関する統計情報を表示します。
show ipv6 traffic は、デバイスを介して移動する IPv6 トラフィックに関する統計情報を表示します。
show dhcpd は、インターフェイスでの DHCP の使用状況、特にインターフェイスで設定されている DHCP サーバーに関する統計情報とその他の情報を表示します。

Firepower デバイスに追加したインターフェイスの FXOS を使用した同期

Firepower 4100 シリーズまたは 9300 シリーズデバイスで、Firepower eXtensible Operating System（FXOS）Chassis Manager を使用して Firepower デバイスにインターフェイスを追加すると、Security Cloud Control では設定の変更が認識されず、設定の競合が報告されます。

Security Cloud Control に新しく追加されたインターフェイスを表示するには、次の手順を実行します。

手順

ステップ 1	FDM による管理デバイスにログインします。
ステップ 2	FDM による管理のメインページの [インターフェイス（Interfaces）] パネルで、[すべてのインターフェイスの表示（View All Interfaces）] をクリックします。
ステップ 3	[インターフェイスのスキャン（Scan Interfaces）] ボタンをクリックします。
ステップ 4	インターフェイスがスキャンされるのを待ってから、[OK] をクリックします。
ステップ 5	FDM による管理デバイスに変更を展開します。
ステップ 6	管理者またはネットワーク管理者として Security Cloud Control にログインします。
ステップ 7	左側のペインでセキュリティデバイスをクリックします。
ステップ 8	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 9	[FTD] タブをクリックして、想定した新しいインターフェイス構成があるデバイスを選択します。
ステップ 10	Security Cloud Control に保存されている設定のコピーとデバイス上の設定のコピーをすぐに比較するには、[変更の確認（Check for Changes）] をクリックします。Security Cloud Control はインターフェイスの変更を検出し、デバイスの [セキュリティデバイス（Security Devices）] ページで [競合検出（Conflict Detected）] 状態を報告します。
ステップ 11	検出された競合を解決するには、[競合の確認（Review Conflict）] をクリックして、アウトオブバンドの変更を受け入れます。

ルーティング

ルーティングは、送信元から宛先にネットワーク経由で情報を移動する行為のことです。その間に、通常は少なくとも 1 つの中間ノードがあります。ルーティングには、最適なルーティングパスの決定と、ネットワーク経由のパケットの転送という 2 つの基本的なアクティビティが含まれます。

Security Cloud Control を使用すると、FDM による管理デバイスのデフォルトルートやその他のスタティックルートを定義できます。ここでは、ルーティングの基本と Security Cloud Control を使用して FDM による管理デバイスで静的ルーティングを設定する方法について説明します。

静的ルーティングとデフォルトルートについて
ルーティングテーブルとルート選択
静的ルートとデフォルトルートの設定
ルーティングのモニタリング

静的ルーティングとデフォルトルートについて

接続されていないホストまたはネットワークにトラフィックをルーティングするには、ホストまたはネットワークへのルートを定義する必要があります。定義したルートは静的ルートになります。デフォルトルートを設定することも検討してください。デフォルトルートは、他の方法でデフォルトのネットワークゲートウェイにルーティングされていないすべてのトラフィックを対象とし、通常はネクストホップルータです。

デフォルトルート

特定のネットワークへのルートが不明な場合、最も単純なオプションは、すべてのトラフィックを上流に位置するルータに送信するデフォルトルートを設定して、トラフィックのルーティングをルータに任せることです。デフォルトルートで、スタティックルートが定義されていないすべての IP パケットを FDM 管理対象デバイスが送信するゲートウェイの IP アドレスを特定します。デフォルトルートとは、つまり宛先の IP アドレスとして 0.0.0.0/0（IPv4）または ::/0（IPv6）が指定されたスタティックルートのことです。

スタティックルート

スタティックルートは、あるネットワークから別のネットワークへのルートであり、手動で定義してルーティングテーブルに入力します。次の場合は、スタティックルートを使用します。

ネットワークは小規模で安定しており、デバイス間のルートの追加や変更を手動で簡単に管理できます。
ネットワークがサポート対象外のルータディスカバリプロトコルを使用している。
ルーティングプロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。
場合によっては、デフォルトルートだけでは不十分である。デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティックルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部にある場合、デフォルトルートからは、FDM による管理デバイスに直接接続されていない内部ネットワークにはトラフィックを転送できません。
ダイナミックルーティングプロトコルをサポートしていない機能を使用している。

制限事項

Security Cloud Control は、現在、ASA デバイスまたは FDM による管理デバイス上の仮想トンネルインターフェイス（VTI）トンネルの管理、監視、使用をサポートしていません。VTI トンネルが設定されているデバイスを Security Cloud Control にオンボーディングすることは可能ですが、VTI インターフェイスは無視されます。セキュリティゾーンまたはスタティックルートが VTI を参照する場合、Security Cloud Control は VTI 参照を除いてセキュリティゾーンとスタティックルートを読み取ります。VTI トンネルに対する Security Cloud Control のサポートは近日中に提供されます。
ソフトウェアバージョン 7.0 以降を実行している FDM による管理デバイスでは、等コストマルチパス（ECMP）トラフィックゾーンを設定できます。FDM による管理デバイスは Security Cloud Control にオンボードすると、グローバル VRF ルートにある ECMP 設定を読み込めますが、変更はできません。これは、同じメトリック値を持つ同じ宛先ネットワークへのルートが許可されないためです。FDM を使用して ECMP トラフィックゾーンを作成および変更すると、Security Cloud Control に読み込むことができます。ECMP の詳細については、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager、バージョン 7.0 以降』[英語] で「Routing Basics and Static Routes」章の「Equal-Cost Multi-Path（ECMP）Routing」項を参照してください。

ルーティングテーブルとルート選択

NAT 変換（xlates）およびルールで出力インターフェイスを決定しない場合、システムはルーティングテーブルを使用してパケットのパスを決定します。

ルーティングテーブルのルートには、指定ルートに相対的な優先順位を定める「アドミニストレーティブディスタンス」というメトリックが含まれています。パケットが複数のルートエントリと一致する場合、最短距離のルートエントリが使用されます。直接接続されたネットワーク（インターフェイス上で定義されたネットワーク）の距離は 0 のため、これが常に優先されます。スタティックルートのデフォルトの距離は 1 ですが、1 ～ 254 の距離で作成できます。

特定の宛先が指定されたルートは、デフォルトルート（宛先が 0.0.0.0/0 または ::/0 のルート）よりも優先されます。

ルーティングテーブルへの入力方法

FDM による管理デバイスルーティングテーブルには、静的に定義されたルートと直接接続されたルートを入力できます。同じルートが複数の方法で入力される可能性があります。同じ宛先への 2 つのルートがルーティングテーブルに追加されると、ルーティングテーブルに残るルートは次のように決定されます。

2 つのルートのネットワークプレフィックス長（ネットワークマスク）が異なる場合は、どちらのルートも固有と見なされ、ルーティングテーブルに入力されます。入力された後は、パケット転送ロジックが 2 つのうちどちらを使用するかを決定します。

たとえば、次のルートがルーティングテーブルに入力されているとします。

192.168.32.0/24
192.168.32.0/19

192.168.32.0/24 ルートの方がネットワークプレフィクスが長いにもかかわらず、両方のルートがルーティングテーブルにインストールされます。この 2 つのルートのプレフィックス長（サブネットマスク）がそれぞれ異なるためです。これらは異なる宛先と見なされ、パケット転送ロジックが使用するルートを決定します。

同じ宛先への複数のパスがルーティングテーブルに入力されている場合、スタティックルートの場合と同様に、より適切なメトリックを持つルートがルーティングテーブルに入力されます。

メトリックは特定のルートに関連付けられた値で、ルートを最も優先されるものから順にランク付けします。メトリックの判定に使用されるパラメータは、ルーティングプロトコルによって異なります。メトリックが最も小さいパスは最適パスとして選択され、ルーティングテーブルにインストールされます。同じ宛先への複数のパスのメトリックが等しい場合は、これらの等コストパスに対してロードバランシングが行われます。

転送の決定方法

転送の決定は次の順序で行われます。

NAT 変換（xlate）とルールによって、出力インターフェイスが決定されます。NAT ルールによって出力インターフェイスが決定されない場合、ルーティングテーブルを使用してパケットのパスが決定されます。
宛先が、ルーティングテーブル内のエントリと一致しない場合、パケットはデフォルトルートに指定されているインターフェイスを通して転送されます。デフォルトルートが設定されていない場合、パケットは破棄されます。
宛先が、ルーティングテーブル内の 1 つのエントリと一致した場合、パケットはそのルートに関連付けられているインターフェイスを通して転送されます。
宛先が、ルーティングテーブル内の複数のエントリと一致し、パケットはネットワークプレフィックス長がより長いルートに関連付けられているインターフェイスから転送されます。たとえば、192.168.32.1 宛てのパケットが、ルーティングテーブルの次のルートを使用してインターフェイスに到着したとします。
192.168.32.0/24 gateway 10.1.1.2
192.168.32.0/19 gateway 10.1.1.3

この場合、192.168.32.1 は 192.168.32.0/24 ネットワークに含まれるため、192.168.32.1 宛てのパケットは 10.1.1.2 宛てに送信されます。このアドレスはまた、ルーティングテーブルの他のルートにも含まれますが、ルーティングテーブル内では 192.168.32.0/24 の方が長いプレフィックスを持ちます（24 ビットと 19 ビット）。パケットを転送する場合、プレフィックスが長い方が常に短いものより優先されます。

（注）

ルートの変更が原因で新しい同様の接続が異なる動作を引き起こしたとしても、既存の接続は設定済みのインターフェイスを使用し続けます。

FDM による管理デバイスのスタティックルートとデフォルトルートの設定

FDM 管理対象デバイスでスタティックルートを定義して、システムのインターフェイスに直接接続されていないネットワークに向かうパケットの送信先をデバイスが認識できるようにします。

デフォルトルートの作成を検討してください。これは、ネットワーク 0.0.0.0/0 のルートです。このルートは、既存の NAT変換、スタティック NAT ルール、またはその他のスタティックルートでは出力インターフェイスを判別できないパケットの送信先を定義します。

デフォルトゲートウェイを使用してもすべてのネットワークに到達できない場合、他のスタティックルートが必要になる可能性があります。たとえば、デフォルトルートは通常、外部インターフェイスの上流に位置するルータです。デバイスに直接接続されていない追加の内部ネットワークがあり、それらにデフォルトゲートウェイを介してアクセスできない場合、これらそれぞれの内部ネットワークに対してスタティックルートが必要です。

システムのインターフェイスに直接接続されたネットワークのスタティックルートを定義することはできません。システムは自動でこれらのルートを作成します。

手順

ステップ 1	ナビゲーションウィンドウで、セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	FTD デバイスをクリックし、静的ルートを定義するデバイスを選択します。
ステップ 4	右側の [管理（Management）] ペインで、 [ルーティング（Routing）] をクリックします。
ステップ 5	[ルーティングの選択（Select Routing）] ページで、次のいずれかを実行します。新しい静的ルートを追加するには、プラスボタンをクリックします。編集するルートの編集アイコンをクリックします。ルートが不要になったら、ルートの [ごみ箱（trash can）] アイコンをクリックして削除します。
ステップ 6	ルートプロパティの設定 [プロトコル（Protocol）]：ルートが IPv4 アドレス用か IPv6 アドレス用かを選択します。 [インターフェイス（Interface）]：トラフィックの送信経路となるインターフェイスを選択します。ゲートウェイアドレスは、このインターフェイスを介してアクセス可能である必要があります。 [ゲートウェイ（Gateway）]：宛先ネットワークへのゲートウェイの IP アドレスを識別するネットワークオブジェクトを選択します。トラフィックはこのアドレスに送信されます。 [メトリック（Metric）]：ルートのアドミニストレーティブディスタンス。1～254 の範囲で指定します。スタティックルートのデフォルトは 1 です。インターフェイスとゲートウェイの間に追加ルータがある場合、アドミニストレーティブディスタンスとしてホップ数を入力します。アドミニストレーティブディスタンスは、ルートを比較するために使用されるパラメータです。番号が低いほど、ルートに高い優先順位が与えられます。接続されたルート（デバイスのインターフェイスに直接接続されているネットワーク）は、スタティックルートよりも常に優先されます。 [宛先ネットワーク（Destination Network）]：宛先ネットワークを識別するネットワークオブジェクトを選択します。ホストが含まれ、このルートのゲートウェイが使用される宛先ネットワークです。デフォルトルートを定義するには、事前定義された any-ipv4 または any-ipv6set ネットワークオブジェクトを使用するか、0.0.0.0/0（IPv4）または ::/0（IPv6）ネットワークのオブジェクトを作成します。
ステップ 7	[OK] をクリックします。
ステップ 8	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

静的ルートの例

この例で使用されるアドレスについては、「静的ルートのネットワーク構成図」を参照してください。

宛先ネットワーク 20.30.1.0/24 の 20.30.1.2 にあるホストへのリターントラフィックを許可する静的ルートを作成することを目的としています。

パケットは、宛先に到達するためにどのパスでも通過できます。ネットワークはインターフェイス上でパケットを受信すると、宛先への最適なルートを使用するためにパケットの転送先を決定します。

（注）

DMZ はインターフェイスに直接接続されているため、静的ルートはありません。

たとえば、宛先に到達するための次の 2 つのルートについて考えます。

ルート 1：

手順

ステップ 1	パケットは外部インターフェイス 209.165.201.0/27 に戻り、20.30.1.2 を探します。
ステップ 2	パケットに対して、宛先と同じネットワーク上にあるゲートウェイ 192.168.1.2 に内部インターフェイスを介して到達するように指示します。
ステップ 3	そこから、そのネットワークのゲートウェイアドレス 20.30.1.1 によって宛先ネットワークを識別します。
ステップ 4	IP アドレス 20.30.1.2 は、20.30.1.1 と同じサブネット上にあります。ルータはパケットをスイッチに転送し、スイッチはそのパケットを 20.30.1.2 に転送します。インターフェイス：内部、宛先ネットワーク：20.30.1.0/24、ゲートウェイ：192.168.1.2、メトリック：1

ルート 2：

手順

ステップ 1	パケットは外部インターフェイス 209.165.201.0/27 に戻り、20.30.1.2 を探します。
ステップ 2	パケットに対して、宛先ネットワークから複数ホップ離れたゲートウェイ 192.168.50.20 に内部インターフェイスを介して到達するように指示します。
ステップ 3	そこから、そのネットワークのゲートウェイアドレス 20.30.1.1 によって宛先ネットワークを識別します。
ステップ 4	IP アドレス 20.30.1.2 は、20.30.1.0 と同じサブネット上にあります。ルータはパケットをスイッチに転送し、スイッチはそのパケットを 20.30.1.2 に転送します。インターフェイス：内部、宛先ネットワーク：20.30.1.0/24、ゲートウェイ：192.168.50.20、メトリック：100 これらのルートの完成した静的ルートの追加テーブルは、次のようになります。

ルーティングのモニタリング

ルーティングをモニタリングし、トラブルシューティングするには、デバイスの Firewall Device Manager を開いて CLI コンソールを開くか、SSH を使用してデバイスの CLI にログインし、次のコマンドを使用します。

show route は、直接接続されたネットワークのルートを含め、データインターフェイスのルーティングテーブルを表示します。
show ipv6 route は、直接接続されたネットワークのルートを含め、データインターフェイスの IPv6 ルーティングテーブルを表示します。
show network は、管理ゲートウェイを含め、仮想管理インターフェイスの設定を表示します。仮想インターフェイスを介したルーティングは、データインターフェイスを管理ゲートウェイに指定しなければ、データインターフェイスルーティングテーブルによって処理されません。
show network-static-routes は、configure network static-routes コマンドを使用して仮想管理インターフェイス用に設定されたスタティックルートを表示します。通常、ほとんどの場合、管理ゲートウェイは管理ルーティングに対して十分機能するため、スタティックルートは存在しません。これらのルートは、データインターフェイス上のトラフィックには使用できません。このコマンドは、CLI コンソールでは使用できません。

静的ルートのネットワーク構成図

次のネットワーク構成図に基づいて静的ルートの構成について説明します。

仮想ルーティングおよびフォワーディングについて

VRF について

仮想ルーティングおよびフォワーディング（VRF）により、ルーティングテーブルの複数のインスタンスがルータに同時に存在できます。Firepower バージョン 6.6 では、デフォルトの VRF テーブルとユーザ作成の VRF テーブルを持つことができるようになりました。1 つの VRF テーブルで、EX、OSPF、BGP、IGRP などのさまざまなルーティングプロトコルを複数タイプ処理できます。VRF テーブル内の各ルーティングプロトコルは、エントリとしてリストされます。複数のタイプの一般的なルーティングプロトコルの処理に加えて、別の VRF のインターフェイスを参照するようにルーティングプロトコルを設定できます。これにより、複数のデバイスを使用せずにネットワークパスをセグメント化できます。

詳細については、「仮想ルータと、仮想ルーティングおよびフォワーディング（VRF）について」を参照してください。

Security Cloud Control の VRF

この機能は Firepower バージョン 6.6 の新機能です。FDM による管理が Security Cloud Control にオンボードされると、[デバイスルーティング（Device Routing）] ページには、FDM による管理デバイスのグローバルルータで定義された VRF のみが読み込まれてサポートされます。Security Cloud Control でグローバル VRF を表示するには、[セキュリティデバイス（Security Devices）] ページでデバイスを選択し、ウィンドウの右側にある [管理（Management）] ペインで [ルーティング（Routing）] を選択します。ここでグローバル VRF を表示、変更、および削除できます。Security Cloud Control は FDM から設定を読み込む際に VRF の名前を保持します。

Security Cloud Control Firewall Device Manager ではユーザー定義の仮想ルータで設定した VRF は読み込まれません。Firewall Device Manager を介して VRF テーブルを作成および管理する必要があります。

グローバルルートおよびユーザ定義ルートの詳細については、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager、バージョン 7.0 以降』[英語] で「Virtual Routers」章の「Managing Virtual Routers」項を参照してください。

オブジェクト

オブジェクトは、1 つ以上のセキュリティポリシーで使用できる情報のコンテナです。オブジェクトを使用すると、ポリシーの一貫性を簡単に維持できます。単一のオブジェクトを作成し、異なるポリシーを使用して、オブジェクトを変更すると、その変更がオブジェクトを使用するすべてのポリシーに伝播されます。オブジェクトを使用しない場合は、同じ変更が必要なすべてのポリシーを個別に変更する必要があります。

デバイスをオンボードすると、Security Cloud Control はそのデバイスで使用されるすべてのオブジェクトを認識して保存し、[オブジェクト（Objects）] ページにリストします。[オブジェクト（Objects）] ページから、既存のオブジェクトを編集したり、セキュリティポリシーで使用する新しいオブジェクトを作成したりできます。

Security Cloud Control は、複数のデバイスで使用されるオブジェクトを共有オブジェクトと呼び、[オブジェクト（Objects）] ページでこのバッジでそれらを識別します。

共有オブジェクトが何らかの「問題」を引き起こし、複数のポリシーまたはデバイス間で完全に共有されなくなる場合があります。

重複オブジェクトとは、同じデバイス上にある、名前は異なるが値は同じである 2 つ以上のオブジェクトです。通常、重複したオブジェクトは同じ目的を果たし、さまざまなポリシーによって使用されます。重複するオブジェクトは、この問題のアイコンで識別されます。
不整合オブジェクトとは、2 つ以上のデバイス上にある、名前は同じだが値は異なるオブジェクトです。ユーザーは、さまざまな設定の中で、同じ名前と内容のオブジェクトを作成することがあります。これらのオブジェクトの値が時間の経過につれて相互に異なる値になり、不整合が生じます。不整合オブジェクトは、この問題のアイコンで識別されます。
未使用オブジェクトは、デバイス構成に存在するものの、別のオブジェクト、アクセスリスト、NAT ルールによって参照されていないオブジェクトです。未使用オブジェクトは、この問題のアイコンで識別されます。

ルールやポリシーですぐに使用するためのオブジェクトを作成することもできます。ルールやポリシーに関連付けないオブジェクトを作成できます。2024 年 6 月 28 日までは、関連付けられていないオブジェクトをルールまたはポリシーで使用すると、Security Cloud Control ではそのコピーが作成され、そのコピーが使用されます。この動作により、[オブジェクト（Objects）] メニューに同じオブジェクトの 2 つのインスタンスが表示されることがあります。一方、Security Cloud Control ではこの動作は行われなくなります。関連付けられていないオブジェクトをルールまたはポリシーで使用することはできますが、Security Cloud Control によってオブジェクトが重複して作成されることはありません。

[オブジェクト（Objects）] メニューに移動するか、ネットワークポリシーの詳細でオブジェクトを表示することにより、Security Cloud Control によって管理されているオブジェクトを表示できます。

Security Cloud Control を使用すると、サポートされているデバイス全体のネットワークオブジェクトとサービスオブジェクトを 1 つの場所から管理できます。Security Cloud Control を使用すると、次の方法でオブジェクトを管理できます。

さまざまな基準に基づいて、すべてのオブジェクトを検索してフィルタリングします。
デバイス上の重複、未使用、および不整合のオブジェクトを見つけて、それらのオブジェクトの問題を統合、削除、または解決します。
関連付けられていないオブジェクトを見つけて、それらが未使用であれば削除します。
デバイス間で共通の共有オブジェクトを検出します。
変更をコミットする前に、オブジェクトへの変更が一連のポリシーとデバイスに与える影響を評価します。
一連のオブジェクトとそれらの関係を、さまざまなポリシーやデバイスで比較します。
デバイスが Security Cloud Control にオンボードされた後、デバイスによって使用されているオブジェクトをキャプチャします。

（注）

オブジェクトに対して行われたアウトオブバンド変更は、オブジェクトに対するオーバーライドとして検出されます。このような変更が発生すると、編集された値がオーバーライドとしてオブジェクトに追加されます（オブジェクトを選択すると表示できます）。デバイスのアウトオブバンド変更の詳細については、デバイスのアウトオブバンド変更を参照してください。

オンボードされたデバイスからのオブジェクトの作成、編集、または読み取りで問題が発生した場合は、Security Cloud Control のトラブルシューティングを参照してください。

オブジェクト

オブジェクトは、1 つ以上のセキュリティポリシーで使用できる情報のコンテナです。オブジェクトを使用すると、ポリシーの一貫性を簡単に維持できます。単一のオブジェクトを作成し、異なるポリシーを使用して、オブジェクトを変更すると、その変更がオブジェクトを使用するすべてのポリシーに伝播されます。オブジェクトを使用しない場合は、同じ変更が必要なすべてのポリシーを個別に変更する必要があります。

デバイスをオンボードすると、Security Cloud Control はそのデバイスで使用されるすべてのオブジェクトを認識して保存し、[オブジェクト（Objects）] ページにリストします。[オブジェクト（Objects）] ページから、既存のオブジェクトを編集したり、セキュリティポリシーで使用する新しいオブジェクトを作成したりできます。

Security Cloud Control は、複数のデバイスで使用されるオブジェクトを共有オブジェクトと呼び、[オブジェクト（Objects）] ページでこのバッジでそれらを識別します。

共有オブジェクトが何らかの「問題」を引き起こし、複数のポリシーまたはデバイス間で完全に共有されなくなる場合があります。

重複オブジェクトとは、同じデバイス上にある、名前は異なるが値は同じである 2 つ以上のオブジェクトです。通常、重複したオブジェクトは同じ目的を果たし、さまざまなポリシーによって使用されます。重複するオブジェクトは、この問題のアイコンで識別されます。
不整合オブジェクトとは、2 つ以上のデバイス上にある、名前は同じだが値は異なるオブジェクトです。ユーザーは、さまざまな設定の中で、同じ名前と内容のオブジェクトを作成することがあります。これらのオブジェクトの値が時間の経過につれて相互に異なる値になり、不整合が生じます。不整合オブジェクトは、この問題のアイコンで識別されます。
未使用オブジェクトは、デバイス構成に存在するものの、別のオブジェクト、アクセスリスト、NAT ルールによって参照されていないオブジェクトです。未使用オブジェクトは、この問題のアイコンで識別されます。

ルールやポリシーですぐに使用するためのオブジェクトを作成することもできます。ルールやポリシーに関連付けないオブジェクトを作成できます。2024 年 6 月 28 日までは、関連付けられていないオブジェクトをルールまたはポリシーで使用すると、Security Cloud Control ではそのコピーが作成され、そのコピーが使用されます。この動作により、[オブジェクト（Objects）] メニューに同じオブジェクトの 2 つのインスタンスが表示されることがあります。一方、Security Cloud Control ではこの動作は行われなくなります。関連付けられていないオブジェクトをルールまたはポリシーで使用することはできますが、Security Cloud Control によってオブジェクトが重複して作成されることはありません。

[オブジェクト（Objects）] メニューに移動するか、ネットワークポリシーの詳細でオブジェクトを表示することにより、Security Cloud Control によって管理されているオブジェクトを表示できます。

Security Cloud Control を使用すると、サポートされているデバイス全体のネットワークオブジェクトとサービスオブジェクトを 1 つの場所から管理できます。Security Cloud Control を使用すると、次の方法でオブジェクトを管理できます。

さまざまな基準に基づいて、すべてのオブジェクトを検索してフィルタリングします。
デバイス上の重複、未使用、および不整合のオブジェクトを見つけて、それらのオブジェクトの問題を統合、削除、または解決します。
関連付けられていないオブジェクトを見つけて、それらが未使用であれば削除します。
デバイス間で共通の共有オブジェクトを検出します。
変更をコミットする前に、オブジェクトへの変更が一連のポリシーとデバイスに与える影響を評価します。
一連のオブジェクトとそれらの関係を、さまざまなポリシーやデバイスで比較します。
デバイスが Security Cloud Control にオンボードされた後、デバイスによって使用されているオブジェクトをキャプチャします。

（注）

オブジェクトに対して行われたアウトオブバンド変更は、オブジェクトに対するオーバーライドとして検出されます。このような変更が発生すると、編集された値がオーバーライドとしてオブジェクトに追加されます（オブジェクトを選択すると表示できます）。デバイスのアウトオブバンド変更の詳細については、デバイスのアウトオブバンド変更を参照してください。

オンボードされたデバイスからのオブジェクトの作成、編集、または読み取りで問題が発生した場合は、Security Cloud Control のトラブルシューティングを参照してください。

オブジェクトタイプ

以下の表では、デバイス用に作成し、Security Cloud Control を使用して管理できるオブジェクトについて説明します。

表 1. 共通のオブジェクト
オブジェクトタイプ	説明
ネットワーク（Network）	ホストまたはネットワークのアドレスを定義するネットワークグループおよびネットワークオブジェクト（総称してネットワークオブジェクトと呼ばれます）。
URL	URL オブジェクトとグループ（URL オブジェクトと総称する）を使用して、Web リクエストの URL または IP アドレスを定義します。これらのオブジェクトを使用して、アクセス制御ポリシーに手動の URL フィルタリング、またはセキュリティインテリジェンスポリシーにブロッキングを実装できます。

表 2. FDM 管理対象デバイスのオブジェクトタイプ
オブジェクト	説明
アプリケーションフィルタ	アプリケーションフィルタオブジェクトは、IP 接続で使用されるアプリケーション、あるいはタイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタを定義します。ポートの仕様を使用する代わりに、これらのオブジェクトをポリシーで使用し、トラフィックを制御できます。
AnyConnect クライアントプロファイル	AnyConnect クライアントプロファイルオブジェクトは、通常はリモートアクセス VPN ポリシーの構成で使用するファイルオブジェクトおよび表明ファイルです。このオブジェクトには、AnyConnect クライアントプロファイルと AnyConnect クライアントイメージファイルを含めることができます。
証明書フィルタ	デジタル証明書は、認証に使用されるデジタル ID を提供します。証明書は、SSL（セキュアソケットレイヤ）、TLS（Transport Layer Security）、および DTLS（データグラム TLS）接続（HTTPS や LDAPS など）に使用されます。
DNS Group	www.example.com などの完全修飾ドメイン名（FQDN）を IP アドレスに解決するのには、DNS サーバーが必要です。管理インターフェイスとデータインターフェイスに異なる DNS グループオブジェクトを構成できます。
位置情報（GeoLocation）	地理位置情報オブジェクトは、トラフィックの送信元または接続先であるデバイスをホストする国と大陸を定義します。IP アドレスを使用する代わりに、これらのオブジェクトをポリシーで使用してトラフィックを制御できます。
IKEv1ポリシー	IKEv1 ポリシーオブジェクトには、VPN 接続を定義する際に IKEv1 ポリシーに必要なパラメータが含まれています。
IKEv2 ポリシー	IKEv2 ポリシーオブジェクトには、VPN 接続を定義する際に IKEv2 ポリシーに必要なパラメータが含まれています。
IKEv1 IPSec プロポーザル	IPsec プロポーザルオブジェクトは、IKE フェーズ 1 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティプロトコルとアルゴリズムの組み合わせを定義します。
IKEv2 IPSec プロポーザル	IPsec プロポーザルオブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティプロトコルとアルゴリズムの組み合わせを定義します。
ネットワーク（Network）	ホストまたはネットワークのアドレスを定義するネットワークグループおよびネットワークオブジェクト（総称してネットワークオブジェクトと呼ばれます）。
セキュリティゾーン	セキュリティゾーンとはインターフェイスのグループ分けです。ゾーンは、トラフィックの管理と分類に役立つようにネットワークをセグメントに分割します。
サービス	サービスオブジェクト、サービスグループ、ポートグループは、TCP/IP プロトコルスイートの一部が考慮されたプロトコルまたはポートを含む再利用可能なコンポーネントです。
SGT グループ	SGT ダイナミックオブジェクトは、ISE によって割り当てられた SGT に基づいて送信元または宛先アドレスを識別し、着信トラフィックと照合できます。
Syslog サーバー	syslog サーバーのオブジェクトはコネクション型メッセージまたは診断システムログ（syslog）メッセージを受信できるサーバーを指定します。
URL	URL オブジェクトとグループ（URL オブジェクトと総称する）を使用して、Web リクエストの URL または IP アドレスを定義します。これらのオブジェクトを使用して、アクセス制御ポリシーに手動の URL フィルタリング、またはセキュリティインテリジェンスポリシーにブロッキングを実装できます。

共有オブジェクト

Security Cloud Control では、複数のデバイス上の同じ名前と同じ内容のオブジェクトを「共有オブジェクト」と呼びます。共有オブジェクトはこのアイコンで識別されます。

これは、[オブジェクト（Objects）]ページに表示されます。共有オブジェクトを使用すると、1 か所でオブジェクトを変更でき、その変更がそのオブジェクトを使用する他のすべてのポリシーに影響するため、ポリシーの維持が容易になります。共有オブジェクトを使用しない場合は、同じ変更が必要なすべてのポリシーを個別に変更する必要があります。

共有オブジェクトを調査する場合、Security Cloud Control ではオブジェクトの内容がオブジェクトテーブルに表示されます。共有オブジェクトの内容はまったく同じです。Security Cloud Control では、オブジェクトの要素の結合された、つまり「フラット化された」ビューが詳細ペインに表示されます。詳細ペインでは、ネットワーク要素が単純なリストにフラット化されており、名前付きオブジェクトに直接関連付けられていないことに注意してください。

オブジェクトのオーバーライド

オブジェクトのオーバーライドを使用すると、特定のデバイス上の共有ネットワークオブジェクトの値をオーバーライドできます。Security Cloud Control は、オーバーライドの設定時に指定したデバイスに対応する値を使用します。これらのオブジェクトは、名前は同じで値が異なる複数のデバイス上にありますが、Security Cloud Control は、これらの値がオーバーライドとして追加されただけでは、それらを不整合オブジェクトとして識別しません。

ほとんどのデバイスに有効な定義を設定したオブジェクトを作成した後、異なる定義を必要とする少数のデバイスについて、オーバーライドを使用してオブジェクトに対する変更内容を指定できます。また、すべてのデバイスに対してオーバーライドする必要があるオブジェクトを作成し、そのオブジェクトを使用してすべてのデバイスに適用する単一のポリシーを作成することもできます。オブジェクトオーバーライドでは、デバイス全体で使用する共有ポリシーの小さなセットを作成し、個々のデバイスの必要に応じてポリシーを変更できます。

たとえば、各オフィスにプリンタサーバーがあり、プリンタサーバーオブジェクト print-server を作成しているシナリオを考えてみましょう。ACL には、プリンタサーバーのインターネットへのアクセスを拒否するルールを設定しています。プリンタサーバーオブジェクトには、オフィスごとに変更できるデフォルト値があります。これを行うには、オブジェクトのオーバーライドを使用し、すべての場所でルールと「printer-server」オブジェクトの一貫性を維持します（値は異なる場合があります）。

オブジェクトに対して行われたアウトオブバンド変更は、オブジェクトに対するオーバーライドとして検出されます。このような変更が発生すると、編集された値がオーバーライドとしてオブジェクトに追加されます（オブジェクトを選択すると表示できます）。アウトオブバンド変更の詳細については、デバイスのアウトオブバンド変更を参照してください。

（注）

Security Cloud Control を使用すると、ルールセット内のルールに関連付けられたオブジェクトをオーバーライドできます。新しいオブジェクトをルールに追加する場合、デバイスをルールセットに接続して変更を保存しないと、オブジェクトを上書きできません。詳細については、「FTD のルールセットの設定」を参照してください。

（注）

一貫性のないオブジェクトがある場合は、オーバーライドを使用してそれらを 1 つの共有オブジェクトに結合できます。詳細については、不整合オブジェクトの問題を解決するを参照してください。

オブジェクトの比較

手順

ステップ 1	左側のペインで、[オブジェクト（Objects）] をクリックして、オプションを選択します。
ステップ 2	ページのオブジェクトをフィルタ処理して、比較するオブジェクトを見つけます。
ステップ 3	[比較（Compare）] ボタンをクリックします。
ステップ 4	比較するオブジェクトを最大 3 つまで選択します。
ステップ 5	画面の下部にオブジェクトを並べて表示します。 [オブジェクトの詳細（Object Details）] タイトルバーの上下の矢印をクリックして、表示するオブジェクト詳細を調整します。 [詳細（Details）] ボックスと [関係（Relationships）] ボックスを展開するか折りたたんで、表示する情報を調整します。
ステップ 6	（オプション）[関係（Relationships）] ボックスには、オブジェクトの使用方法が表示されます。オブジェクトはデバイスまたはポリシーに関連付けられている場合があります。オブジェクトがデバイスに関連付けられている場合は、デバイス名をクリックしてから [構成の表示（View Configuration）] をクリックして、デバイスの構成を表示できます。Security Cloud Control はデバイスの構成ファイルを表示し、そのオブジェクトのエントリをハイライトします。

フィルタ

[セキュリティデバイス（Security Devices）] ページと [オブジェクト（Objects）] ページのさまざまなフィルタを使用して、探しているデバイスやオブジェクトを検索できます。

フィルタ処理するには、[セキュリティデバイス（Security Devices）] タブ、[ポリシー（Policies）] タブ、および [オブジェクト（Objects）] タブの左側のペインでをクリックします。

セキュリティデバイスフィルタでは、デバイスタイプ、ハードウェアとソフトウェアのバージョン、Snort バージョン、設定ステータス、接続状態、競合検出、Secure Device Connector、およびラベルでフィルタ処理できます。フィルタを適用して、選択したデバイスタイプのタブ内のデバイスを見つけることができます。フィルタを使用して、選択したデバイスタイプのタブ内のデバイスを見つけることができます。

（注）

[FTD] タブを開くと、フィルタペインでフィルタを使用できます。これにより、Security Cloud Control からデバイスにアクセスするために使用されている管理アプリケーションに基づいて FDM による管理デバイスが表示されます。

FDM：FTD API または FDM を使用して管理されるデバイス。
FMC-FTD：Firepower Management Center を使用して管理されるデバイス。
FTD：FTD 管理を使用して管理されるデバイス。

オブジェクトフィルタを使用すると、デバイス、問題タイプ、共有オブジェクト、関連付けのないオブジェクト、およびオブジェクトタイプでフィルタ処理できます。結果にシステムオブジェクトを含めるかどうかを選択できます。検索フィールドを使用して、特定の名前、IP アドレス、またはポート番号を含むフィルタ結果内のオブジェクトを検索することもできます。

オブジェクトタイプフィルタを使用すると、ネットワークオブジェクト、ネットワークグループ、URL オブジェクト、URL グループ、サービスオブジェクト、サービスグループなどのタイプによってオブジェクトをフィルタ処理できます。共有オブジェクトフィルタを使用すると、デフォルト値またはオーバーライド値を持つオブジェクトをフィルタ処理できます。

デバイスとオブジェクトをフィルタ処理する場合、検索語を組み合わせて、関連する結果を見つけるためのいくつかの潜在的な検索戦略を作成することができます。

次の例では、「問題（使用されている、または、不整合）があるオブジェクト、かつ、追加の値を持つ共有オブジェクト」であるようなオブジェクトを検索するフィルタが適用されます。

オブジェクトフィルタ

フィルタ処理するには、[オブジェクト（Object）] タブの左側のペインでをクリックします。

[デバイスごとのフィルタ（Filter by Device）]：特定のデバイスを選択して、選択したデバイスで見つかったオブジェクトを表示できます。
[問題（Issues）]：未使用のオブジェクト、重複するオブジェクト、および一貫性のないオブジェクトを選択して表示できます。
[無視された問題（Ignored Issues）]：不整合を無視したすべてのオブジェクトを表示できます。
[共有オブジェクト（Shared Objects）]：複数のデバイスで共有されていることが Security Cloud Control によって検出されたすべてのオブジェクトを表示できます。デフォルト値またはオーバーライド値のみ、あるいはその両方を持つ共有オブジェクトを表示することを選択できます。
[関連付けられていないオブジェクト（Unassociated Objects）]：ルールまたはポリシーに関連付けられていないすべてのオブジェクトを表示できます。
[オブジェクトタイプ（Object Type）]：オブジェクトタイプを選択して、ネットワークオブジェクト、ネットワークグループ、URL オブジェクト、URL グループ、サービスオブジェクト、サービスグループなど、選択したタイプのオブジェクトのみを表示できます。

サブフィルタ – 各メインフィルタ内には、選択をさらに絞り込むために適用できるサブフィルタがあります。これらのサブフィルタは、オブジェクトタイプ（ネットワーク、サービス、プロトコルなど）に基づいています。

このフィルタバーで選択されたフィルタは、以下の条件に一致するオブジェクトを返します。

* 2 つのデバイスのいずれかにあるオブジェクト（[デバイスでフィルタ処理（Filter by Device）] をクリックしてデバイスを指定します）。および

* 一貫性のないオブジェクト。および

* ネットワークオブジェクトまたはサービスオブジェクト。および

* オブジェクトの命名規則に「グループ」という単語が含まれているオブジェクト。

[システムオブジェクトの表示（Show System Objects）] がオンになっているため、結果にはシステムオブジェクトとユーザー定義オブジェクトの両方が含まれます。

[システム定義オブジェクトの表示（Show System-Defined Objects）] フィルタ

一部のデバイスには、一般的なサービス用に事前定義されたオブジェクトがあります。これらのシステムオブジェクトは既に作成されており、ルールやポリシーで使用できるので便利です。オブジェクトテーブルには多くのシステムオブジェクトが含まれる場合があります。システムオブジェクトは編集または削除できません。

[システム定義オブジェクトの表示（Show System-Defined Objects）] は、デフォルトではオフになっています。オブジェクトテーブルにシステムオブジェクトを表示するには、フィルタバーで [システム定義オブジェクトの表示（Show System-Defined Objects）] をオンにします。オブジェクトテーブルでシステムオブジェクトを非表示にするには、フィルタバーで [システムオブジェクトを表示（Show System Objects）] をオフのままにします。

システムオブジェクトを非表示にすると、それらは検索およびフィルタ処理の結果に含まれなくなります。システムオブジェクトを表示すると、それらはオブジェクトの検索とフィルタ処理の結果に含まれます。

オブジェクトフィルタを設定する

条件を必要な数だけ設定してフィルタリングできます。フィルタリングするカテゴリが多いほど、予想される結果は少なくなります。

手順

ステップ 1	左側のペインで [オブジェクト（Objects）] をクリックします。
ステップ 2	ページ上部のフィルタアイコンをクリックして、フィルタパネルを開きます。オブジェクトが誤って除外されないように、チェック付きのフィルタのチェックを外します。さらに、検索フィールドを見て、検索フィールドに入力された可能性のあるテキストを削除します。
ステップ 3	結果を特定のデバイスで見つかったものに限定したい場合： [デバイスでフィルタ処理（Filter By Device）] をクリックします。すべてのデバイスを検索するか、デバイスタブをクリックして特定の種類のデバイスのみを検索します。フィルタ条件に含めるデバイスのチェックボックスをオンにします。 [OK] をクリックします。
ステップ 4	検索結果にシステムオブジェクトを含めるには、[システムオブジェクトを表示（Show System Objects）] をオンにします。検索結果でシステムオブジェクトを除外するには、[システムオブジェクトを表示（Show System Objects）] をオフにします。
ステップ 5	[問題（Issues）] で、フィルタリングするオブジェクトの問題のチェックボックスをオンにします。複数の問題をオンにすると、オンにしたいずれかのカテゴリのオブジェクトがフィルタ結果に含まれます。
ステップ 6	問題があったが管理者によって無視されたオブジェクトを表示する場合は、[無視（Ignored）] の問題をチェックします。
ステップ 7	2 つ以上のデバイス間で共有されるオブジェクトをフィルタリングする場合は、[共有オブジェクト（Shared Objects）] で必要なフィルタをオンにします。 [デフォルト値（Default Values）]：デフォルト値のみを持つオブジェクトをフィルタリングします。 [オーバーライド値（Override Values）]：オーバーライドされた値を持つオブジェクトをフィルタリングします。 [追加の値（Additional Values）]：追加の値を持つオブジェクトをフィルタリングします。
ステップ 8	ルールまたはポリシーの一部ではないオブジェクトをフィルタリングする場合は、[関連付けなし（Unassociated）] をオンにします。
ステップ 9	フィルタリングする [オブジェクトタイプ（Object Types）] をオンにします。
ステップ 10	オブジェクト名、IP アドレス、またはポート番号を [オブジェクト（Objects）] 検索フィールドに追加して、フィルタリングされた結果の中から検索条件に一致するオブジェクトを見つけることもできます。

フィルタ基準からデバイスを除外する場合

デバイスをフィルタリング基準に追加すると、結果にはデバイス上のオブジェクトは表示されますが、それらのオブジェクトと他のデバイスとの関係は表示されません。たとえば、ObjectA が ASA1 と ASA2 の間で共有されている場合、オブジェクトをフィルタリングして ASA1 上の共有オブジェクトを検索すると、ObjectA は見つかりますが、[関係（Relationships）] ペインには、オブジェクトが ASA1 にあることだけが表示されます。

オブジェクトが関連するすべてのデバイスを表示するには、検索条件でデバイスを指定しないでください。他の条件でフィルタリングし、必要に応じて検索条件を追加します。Security Cloud Control が識別するオブジェクトを選択し、[関係（Relationships）] ペインを調べます。そのオブジェクトに関連するすべてのデバイスとポリシーが表示されます。

オブジェクトの無視の解除

未使用、重複、不整合のオブジェクトを解決する方法の 1 つは、それらを無視することです。オブジェクトが未使用、重複、または不整合であっても、その状態には正当な理由があると判断し、オブジェクトの問題を未解決のままにすることを選択する場合もあります。将来のある時点で、これらの無視されたオブジェクトを解決することが必要になる場合があります。オブジェクトの問題を検索するときに Security Cloud Control は無視されたオブジェクトを表示しないため、無視されたオブジェクトのオブジェクトリストをフィルタリングし、結果に基づいて操作する必要があります。

手順

ステップ 1	左側のペインで、[オブジェクト（Objects）] をクリックして、オプションを選択します。
ステップ 2	無視されたオブジェクトをフィルタリングして検索します。
ステップ 3	[オブジェクト（Object）] テーブルで、無視を解除するオブジェクトをすべて選択します。一度に 1 つのオブジェクトの無視を解除できます。
ステップ 4	詳細ペインで [無視の解除（Unignore）] をクリックします。
ステップ 5	要求を確認します。これで、オブジェクトを問題でフィルタリングすると、以前は無視されていたオブジェクトが見つかるはずです。

オブジェクトの削除

1 つのオブジェクトまたは複数のオブジェクトを削除できます。

1 つのオブジェクトの削除

注意

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

Cisco ASA、FDM、および FTD ネットワークオブジェクトやグループに加えた変更は、対応するクラウド提供型 Firewall Management Center ネットワークオブジェクトやグループに反映されます。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリから変更を選択し、それらのオブジェクトがあるオンプレミス Management Center に展開できます。

いずれかのページからネットワークオブジェクトまたはグループを削除すると、両方のページからそのオブジェクトまたはグループは削除されます。

手順

ステップ 1	左側のペインで [オブジェクト（Objects）] をクリックします。
ステップ 2	オブジェクトフィルタと検索フィールドを使用して、削除するオブジェクトを見つけ、それを選択します。
ステップ 3	[関係（Relationships）] ペインを確認します。オブジェクトがポリシーまたはオブジェクトグループで使用されている場合は、そのポリシーまたはグループから削除するまでオブジェクトを削除できません。
ステップ 4	[アクション（Actions）] ペインで、[削除（Remove）] アイコンをクリックします。
ステップ 5	[OK] をクリックしてオブジェクトの削除を確認します。
ステップ 6	行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

未使用オブジェクトのグループの削除

デバイスをオンボードしてオブジェクトの問題解決に取り組むと、多くの未使用のオブジェクトが見つかります。一度に最大 50 個の未使用オブジェクトを削除できます。

手順

ステップ 1	[問題（Issues）] フィルタを使用して、未使用のオブジェクトを見つけます。デバイスフィルタを使用する際に [デバイスなし（No Device）] を選択し、デバイスに関連付けられていないオブジェクトを検索することもできます。オブジェクトリストをフィルタリングすると、オブジェクトのチェックボックスが表示されます。
ステップ 2	オブジェクトテーブルヘッダーの [すべて選択（Select all）] チェックボックスをオンにして、フィルタによって検出されオブジェクトテーブルに表示されるすべてのオブジェクトを選択するか、削除する個々のオブジェクトの個々のチェックボックスをオンにします。
ステップ 3	[アクション（Actions）] ペインで、[削除（Remove）] アイコンをクリックします。
ステップ 4	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ネットワークオブジェクト

1 つのネットワークオブジェクトには、ホスト名、ネットワーク IP アドレス、IP アドレスの範囲、完全修飾ドメイン名（FQDN）または CIDR 表記のサブネットワークのいずれか 1 つを入れることができます。[ネットワークグループ（Network groups）] は、ネットワークオブジェクトと、グループに追加するその他の個々のアドレスまたはサブネットワークのコレクションです。ネットワークオブジェクトとネットワークグループは、アクセスルール、ネットワークポリシー、および NAT ルールで使用されます。Security Cloud Control を使用して、ネットワークオブジェクトとネットワークグループを作成、更新、および削除できます。

すべてのプラットフォームが Cisco Meraki や Multicloud Defense などのネットワークオブジェクトをサポートしているわけではないことに注意してください。ダイナミックオブジェクトを共有すると、Security Cloud Control は、発信元のプラットフォームまたはデバイスからの適切な情報を、Security Cloud Control が使用できる一連の使用可能な情報に自動的に変換します。

表 3. ネットワークオブジェクトで許可される値
デバイスタイプ	IPv4 / IPv6	シングルアドレス	アドレス範囲	完全修飾ドメイン名	CIDR 表記法によるサブネット
FTD	IPv4 と IPv6	対応	対応	対応	対応
Multicloud Defense	IPv4 と IPv6	対応	対応	対応	対応

表 4. ネットワークグループで許可される内容
デバイスタイプ	IP 値	ネットワークオブジェクト	ネットワークグループ
FTD	非対応	対応	対応
Multicloud Defense	対応	対応	対応

製品間でのネットワークオブジェクトの再利用

クラウド提供型 Firewall Management Center とテナントにオンボーディングされている 1 つ以上のオンプレミス Management Center を含む Security Cloud Control テナントがある場合は、次の手順を実行します。

Cisco Secure Firewall Threat Defense、FDM による管理脅威に対する防御、Cisco ASA、または Cisco Meraki ネットワークオブジェクトまたはグループを作成すると、そのオブジェクトのコピーが、クラウド提供型 Firewall Management Center の設定時に使用する [オブジェクト（Objects）] ページのオブジェクトリストにも追加されます。その逆も同様です。
Cisco Secure Firewall Threat Defense、FDM による管理脅威に対する防御、または ASA ネットワークオブジェクトまたはグループを作成すると、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっている各オンプレミス Firewall Management Center の [保留中の変更があるデバイス（Devices with Pending Changes）] ページにエントリが作成されます。このリストから、オブジェクトを選択して、そのオブジェクトを使用するオンプレミス Management Center に展開し、不要なオブジェクトを破棄できます。、[管理（Administration）] > [Firewall Management Center] に移動しオンプレミス Management Center を選択します。[オブジェクト（Objects）] をクリックし、オンプレミス Firewall Management Center ユーザーインターフェイスでオブジェクトを確認して、ポリシーに割り当てます。

いずれかのページのネットワークオブジェクトやグループに加えた変更は、両方のページのオブジェクトまたはグループインスタンスに適用されます。1 つのページからオブジェクトを削除すると、そのオブジェクトの対応するコピーも他のページから削除されます。

例外：

同じ名前のネットワークオブジェクトがすでにクラウド提供型 Firewall Management Center に存在する場合、新しい Cisco Secure Firewall Threat Defense、FDM による管理脅威に対する防御、Cisco ASA、または Cisco Meraki ネットワークオブジェクトは、Security Cloud Control の [オブジェクト（Objects）] ページには複製されません。
オンプレミスの Cisco Secure Firewall Management Center によって管理されるオンボード済み脅威に対する防御デバイスのネットワークオブジェクトおよびグループは複製されず、クラウド提供型 Firewall Management Center で使用できません。

クラウド提供型 Firewall Management Center に移行したオンプレミスの Cisco Secure Firewall Management Center インスタンスの場合、ネットワークオブジェクトとグループは、FTD デバイスに展開されたポリシーで使用されていれば、Security Cloud Control オブジェクトページに複製されることに注意してください。
Security Cloud Control とクラウド提供型 Firewall Management Center の間のネットワークオブジェクトの共有は、新しいテナントでは自動的に有効になりますが、既存のテナントでは要求する必要があります。ネットワークオブジェクトがクラウド提供型 Firewall Management Center と共有されていない場合は、TAC に連絡して、テナントで機能を有効にしてもらいます。
Security Cloud Control とオンプレミス Management Center の間のネットワークオブジェクトの共有は、Security Cloud Control に対して導入準備された新しいオンプレミス Management Center の Security Cloud Control では自動的に有効になりません。ネットワークオブジェクトがオンプレミス Management Center と共有されていない場合は、[設定（Settings）] でオンプレミス Management Center の [ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] トグルボタンが有効になっていることを確認するか、TAC に連絡してテナントで機能を有効にしてもらいます。

ネットワークオブジェクトの表示

Security Cloud Control を使用して作成するネットワークオブジェクトと、オンボーディングしたデバイスの設定から Security Cloud Control が認識するネットワークオブジェクトは、[オブジェクト（Objects）] ページに表示されます。これらのネットワークオブジェクトには、それぞれのオブジェクトタイプのラベルが付けられています。これにより、オブジェクトタイプでフィルタリングして、探しているオブジェクトをすばやく見つけることができます。

[オブジェクト（Objects）] ページでネットワークオブジェクトを選択すると、オブジェクトの値が [詳細（Detail）] ペインに表示されます。[関係（Relationships）] ペインには、オブジェクトがポリシーで使用されているかどうか、およびオブジェクトが保存されているデバイスが表示されます。

ネットワークグループをクリックすると、そのグループの内容が表示されます。ネットワークグループは、ネットワークオブジェクトによってグループに与えられたすべての値の集合体です。

Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集

Firepower ネットワークオブジェクトには、CIDR 表記で表現されたホスト名、IP アドレス、またはサブネットアドレスを含めることができます。ネットワークグループは、アクセスルール、ネットワークポリシー、および NAT ルールで使用されるネットワークオブジェクトとネットワークグループの集合体です。Security Cloud Control を使用して、ネットワークオブジェクトとネットワークグループを作成、読み取り、更新、および削除できます。

Firepower ネットワークオブジェクトおよびグループは、ASA、脅威に対する防御、FDM による管理、および Meraki デバイスで使用できます。「製品間でのネットワークオブジェクトの再利用」を参照してください。

（注）

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

FTD、FDM、または Cisco ASA ネットワークオブジェクトやグループを [オブジェクト（Objects）] ページで作成すると、オブジェクトのコピーがクラウド提供型 Firewall Management Center に自動的に追加されます。その逆も同様です。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリからオブジェクトを選択し、それらのオブジェクトを必要とするオンプレミス Management Center に展開できます。

注意

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

Cisco ASA、FDM、および FTD ネットワークオブジェクトやグループに加えた変更は、対応するクラウド提供型 Firewall Management Center ネットワークオブジェクトやグループに反映されます。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリから変更を選択し、それらのオブジェクトがあるオンプレミス Management Center に展開できます。

いずれかのページからネットワークオブジェクトまたはグループを削除すると、両方のページからそのオブジェクトまたはグループは削除されます。

表 5. ネットワークオブジェクトに追加できる IP アドレス
デバイスタイプ	IPv4 / IPv6	シングルアドレス	アドレス範囲	部分修飾ドメイン名（PQDN）	CIDR 表記法によるサブネット
Firepower	IPv4 / IPv6	対応	対応	対応	対応

Firepower ネットワークオブジェクトの作成

（注）

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

FTD、FDM、または Cisco ASA ネットワークオブジェクトやグループを [オブジェクト（Objects）] ページで作成すると、オブジェクトのコピーがクラウド提供型 Firewall Management Center に自動的に追加されます。その逆も同様です。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリからオブジェクトを選択し、それらのオブジェクトを必要とするオンプレミス Management Center に展開できます。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

青色のプラスボタンをクリックして、オブジェクトを作成します。

ステップ 3

[FTD] > [ネットワーク（Network）] をクリックします。

ステップ 4

[オブジェクト名（Object Name）] を入力します。

ステップ 5

[ネットワークオブジェクトの作成（Create a network object）] を選択します。

ステップ 6

[値（Value）] セクションで、次の手順を実行します。

[eq] を選択し、単一の IP アドレス、CIDR 表記で表されるサブネットアドレス、または部分修飾ドメイン名（PQDN）を入力します。
[範囲（range）] を選択し、IP アドレスの範囲を入力します。

（注）

ホストビット値を設定しないでください。0 以外のホストビット値を入力すると、オブジェクトの作成中に Security Cloud Control が設定を解除します。これは、クラウド提供型 Firewall Management Center はホストビットが設定されていない IPv6 オブジェクトのみを受け入れるためです。

ステップ 7

[Add] をクリックします。

[Attention（注意）] ：新たに作成されたネットワークオブジェクトは、ルールやポリシーの一部ではないため、いずれの FDM による管理デバイスにも関連付けられていません。それらのオブジェクトを表示するには、オブジェクトフィルタで [関連付けなし（Unassociated）] オブジェクトカテゴリを選択します。詳細については、「オブジェクトフィルタ」を参照してください。デバイスのルールやポリシーに関連付けられていないオブジェクトを使用すると、そのオブジェクトはそのデバイスに関連付けられます。

Firepower ネットワークグループの作成

[ネットワークグループ（network group）] には、ネットワークオブジェクトとネットワークグループを含めることができます。新しいネットワークグループを作成するときに、名前、IP アドレス、IP アドレス範囲、または FQDN で既存のオブジェクトを検索し、[ネットワークグループ（network group）] に追加できます。オブジェクトが存在しない場合は、同じインターフェイスでそのオブジェクトをすぐに作成し、[ネットワークグループ（Network Group）] に追加できます。

（注）

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

FTD、FDM、または Cisco ASA ネットワークオブジェクトやグループを [オブジェクト（Objects）] ページで作成すると、オブジェクトのコピーがクラウド提供型 Firewall Management Center に自動的に追加されます。その逆も同様です。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリからオブジェクトを選択し、それらのオブジェクトを必要とするオンプレミス Management Center に展開できます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	青色のプラスボタンをクリックして、オブジェクトを作成します。
ステップ 3	[FTD] > [ネットワーク（Network）] をクリックします。
ステップ 4	[オブジェクト名（Object Name）] を入力します。
ステップ 5	[ネットワークグループの作成（Create a network group）] を選択します。
ステップ 6	[値（Values）] フィールドに、値または名前を入力します。入力を開始すると、入力に一致するオブジェクト名または値が Security Cloud Control によって表示されます。
ステップ 7	表示されている既存のオブジェクトの 1 つを選択するか、入力した名前または値に基づいて新しいオブジェクトを作成できます。
ステップ 8	Security Cloud Control で一致が検出された場合、既存のオブジェクトを選択するには、[追加（Add）] をクリックして、ネットワークオブジェクトまたはネットワークグループを新しいネットワークグループに追加します。
ステップ 9	存在しない値またはオブジェクトを入力した場合は、次のいずれかを実行できます。 [この名前の新しいオブジェクトとして追加（Add as New Object With This Name）] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。 [新しいオブジェクトの追加（Add as New Object）] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。注：編集アイコンをクリックして、詳細を変更できます。削除ボタンをクリックしても、オブジェクト自体は削除されず、代わりに、ネットワークグループから削除されます。
ステップ 10	必要なオブジェクトを追加したら、[保存（Save）] をクリックして新しいネットワークグループを作成します。
ステップ 11	すべてのデバイスの設定変更をプレビューして展開します。

Firepower ネットワークオブジェクトの編集

注意

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

Cisco ASA、FDM、および FTD ネットワークオブジェクトやグループに加えた変更は、対応するクラウド提供型 Firewall Management Center ネットワークオブジェクトやグループに反映されます。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリから変更を選択し、それらのオブジェクトがあるオンプレミス Management Center に展開できます。

いずれかのページからネットワークオブジェクトまたはグループを削除すると、両方のページからそのオブジェクトまたはグループは削除されます。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

オブジェクトフィルタと検索フィールドを使用して、編集するオブジェクトを見つけます。

ステップ 3

ネットワークオブジェクトを選択し、[アクション（Actions）] ペインで編集アイコンをクリックします。

ステップ 4

「Firepower ネットワークグループの作成」で作成したのと同じ方法で、ダイアログボックスの値を編集します。

（注）

ネットワークグループからオブジェクトを削除するには、横にある削除アイコンをクリックします。

ステップ 5

[保存（Save）] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。

ステップ 6

[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。

Firepower ネットワークグループの編集

注意

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

Cisco ASA、FDM、および FTD ネットワークオブジェクトやグループに加えた変更は、対応するクラウド提供型 Firewall Management Center ネットワークオブジェクトやグループに反映されます。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリから変更を選択し、それらのオブジェクトがあるオンプレミス Management Center に展開できます。

いずれかのページからネットワークオブジェクトまたはグループを削除すると、両方のページからそのオブジェクトまたはグループは削除されます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと [検索（Search）] フィールドを使用して、編集するネットワークグループを見つけます。
ステップ 3	ネットワークグループを選択し、[アクション（Actions）] ペインで編集アイコンをクリックします。
ステップ 4	オブジェクトの名前と説明を必要に応じて変更します。
ステップ 5	ネットワークグループにすでに追加されているオブジェクトまたはネットワークグループを変更する場合は、次の手順を実行します。オブジェクト名またはネットワークグループの横に表示される編集アイコンをクリックして、それらを変更します。チェックマークをクリックして変更内容を保存します。注：削除アイコンをクリックして、ネットワークグループから値を削除できます。
ステップ 6	ネットワークグループに新しいネットワークオブジェクトまたはネットワークグループを追加する場合は、次の手順を実行する必要があります。 [値（Values）] フィールドに、新しい値または既存のネットワークオブジェクトの名前を入力します。入力を開始すると、入力に一致するオブジェクト名または値が Security Cloud Control によって表示されます。表示されている既存のオブジェクトの 1 つを選択するか、入力した名前または値に基づいて新しいオブジェクトを作成できます。 Security Cloud Control で一致が検出された場合、既存のオブジェクトを選択するには、[追加（Add）] をクリックして、ネットワークオブジェクトまたはネットワークグループを新しいネットワークグループに追加します。存在しない値またはオブジェクトを入力した場合は、次のいずれかを実行できます。 [この名前の新しいオブジェクトとして追加（Add as New Object With This Name）] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。 [新しいオブジェクトの追加（Add as New Object）] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。
ステップ 7	[保存（Save）] をクリックします。Security Cloud Control に変更の影響を受けるポリシーが表示されます。
ステップ 8	[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。
ステップ 9	すべてのデバイスの設定変更をプレビューして展開します。

オブジェクトオーバーライドの追加

注意

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

Cisco ASA、FDM、および FTD ネットワークオブジェクトやグループに加えた変更は、対応するクラウド提供型 Firewall Management Center ネットワークオブジェクトやグループに反映されます。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリから変更を選択し、それらのオブジェクトがあるオンプレミス Management Center に展開できます。

いずれかのページからネットワークオブジェクトまたはグループを削除すると、両方のページからそのオブジェクトまたはグループは削除されます。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

オブジェクトフィルタと検索フィールドを使用して、オーバーライドを追加するオブジェクトを見つけます。

ステップ 3

ネットワークオブジェクトを選択し、[アクション（Actions）] ペインで編集アイコンをクリックします。

ステップ 4

[オーバーライド値（Override Values）] ダイアログボックスに値を入力し、[+ 値の追加（+ Add Value）] をクリックします。

重要	追加するオーバーライドは、オブジェクトに含まれる値と同じ型である必要があります。たとえば、ネットワークオブジェクトに対しては、ホスト値ではなくネットワーク値のみでオーバーライドを構成できます。

ステップ 5

値が追加されたことを確認したら、[オーバーライド値（Override Values）] の [デバイス（Devices）] 列でセルをクリックします。

ステップ 6

[デバイスの追加（Add Devices）] をクリックし、オーバーライドを追加するデバイスを選択します。選択するデバイスには、オーバーライドを追加するオブジェクトが含まれている必要があります。

ステップ 7

[保存（Save）] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。

ステップ 8

[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるデバイスへのオーバーライドの追加を確定します。

（注）

1 つのオブジェクトに複数のオーバーライドを追加できます。ただし、オーバーライドを追加するたびに、オブジェクトを含む別のデバイスを選択する必要があります。

ステップ 9

オブジェクトオーバーライドの詳細については「オブジェクトのオーバーライド」を、既存のオーバーライドの編集については「オブジェクトオーバーライドの編集」を参照してください。

オブジェクトオーバーライドの編集

オブジェクトがデバイスに存在している間は、既存のオーバーライドの値を変更できます。

手順

ステップ 1	左側の Security Cloud Control ナビゲーションバーで、オブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと検索フィールドを使用して、編集対象のオーバーライドがあるオブジェクトを見つけます。
ステップ 3	オーバーライドがあるオブジェクトを選択し、[アクション（Actions）] ペインで編集アイコンをクリックします。
ステップ 4	オーバーライド値を変更します。値を変更するには、編集アイコンをクリックします。 [オーバーライド値（Override Values）] で [デバイス（Devices）] 列のセルをクリックして、新しいデバイスを割り当てます。すでに割り当てられているデバイスを選択し、[オーバーライドの削除（Remove Overrides）] をクリックすると、そのデバイスのオーバーライドを削除できます。 [オーバーライド値（Override Values）] の矢印をクリックすると、共有オブジェクトのデフォルト値にできます。削除するオーバーライドの横にある削除アイコンをクリックします。
ステップ 5	[保存（Save）] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。
ステップ 6	[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。
ステップ 7	すべてのデバイスの設定変更をプレビューして展開します。

共有ネットワークグループへの追加の値の追加

関連付けられているすべてのデバイスに存在する共有ネットワークグループの値は、「デフォルト値」と呼ばれます。Security Cloud Control を使用すると、共有ネットワークグループに「追加の値」を追加し、その共有ネットワークグループに関連付けられている一部のデバイスにそれらの値を割り当てることができます。Security Cloud Control がデバイスに変更を展開するときに、内容が決定され、「デフォルト値」が共有ネットワークグループに関連付けられているすべてのデバイスにプッシュされ、「追加の値」が指定されたデバイスにのみプッシュされます。

たとえば、本社に 4 つの AD メインサーバーがあり、すべての拠点からアクセスできる必要があるシナリオを考えてみます。この状況で、すべての拠点で使用する「Active-Directory」という名前のオブジェクトグループを作成しました。ここで、ブランチオフィスの 1 つにさらに 2 つの AD サーバーを追加します。これを行うには、オブジェクトグループ「Active-Directory」で、ブランチオフィスに固有の追加値として詳細を追加します。これら 2 つのサーバーは、オブジェクト「Active-Directory」が一貫しているか、または共有されているかの判断には関与しません。したがって、4 つの AD メインサーバーはすべての拠点からアクセスできますが、ブランチオフィス（2 つの追加サーバーがある）は 2 つの AD サーバーと 4 つの AD メインサーバーにアクセスできます。

（注）

一貫性のない共有ネットワークグループがある場合は、追加の値を使用してそれらを 1 つの共有ネットワークグループに結合できます。詳細については、不整合オブジェクトの問題を解決するを参照してください。

注意

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

Cisco ASA、FDM、および FTD ネットワークオブジェクトやグループに加えた変更は、対応するクラウド提供型 Firewall Management Center ネットワークオブジェクトやグループに反映されます。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリから変更を選択し、それらのオブジェクトがあるオンプレミス Management Center に展開できます。

いずれかのページからネットワークオブジェクトまたはグループを削除すると、両方のページからそのオブジェクトまたはグループは削除されます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと検索フィールドを使用して、編集する共有ネットワークグループを見つけます。
ステップ 3	[アクション（Actions）] ペインにある編集アイコンをクリックします。 [デバイス（Devices）] フィールドには、共有ネットワークグループが存在するデバイスが表示されます。 [使用（Usage）] フィールドには、共有ネットワークグループに関連付けられたルールセットが表示されます。 [デフォルト値] フィールドは、デフォルトのネットワークオブジェクトと、オブジェクトの作成時に指定された、共有ネットワークグループに関連付けられたオブジェクト値が示されます。このフィールドの横に、このデフォルト値を含むデバイスの数が表示され、クリックすると名前とデバイスタイプを表示できます。この値に関連付けられたルールセットも表示されます。
ステップ 4	[追加の値（Additional Values）] フィールドに、値または名前を入力します。入力を開始すると、入力に一致するオブジェクト名または値が Security Cloud Control によって表示されます。
ステップ 5	表示されている既存のオブジェクトの 1 つを選択するか、入力した名前または値に基づいて新しいオブジェクトを作成できます。
ステップ 6	Security Cloud Control で一致が検出された場合、既存のオブジェクトを選択するには、[追加（Add）] をクリックして、ネットワークオブジェクトまたはネットワークグループを新しいネットワークグループに追加します。
ステップ 7	存在しない値またはオブジェクトを入力した場合は、次のいずれかを実行できます。 [この名前の新しいオブジェクトとして追加（Add as New Object With This Name）] をクリックして、その名前の新しいオブジェクトを作成します。値を入力し、チェックマークをクリックして保存します。 [新しいオブジェクトの追加（Add as New Object）] をクリックして、新しいオブジェクトを作成します。オブジェクト名と値は同じです。名前を入力し、チェックマークをクリックして保存します。値がすでに存在していても、新しいオブジェクトは作成できます。それらのオブジェクトに変更を加えて保存できます。
ステップ 8	[デバイス（Devices）] 列で、新しく追加されたオブジェクトに関連付けられているセルをクリックし、[デバイスの追加（Add Devices）] をクリックします。
ステップ 9	必要なデバイスを選択し、[OK] をクリックします。
ステップ 10	[保存（Save）] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。
ステップ 11	[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。
ステップ 12	すべてのデバイスの設定変更をプレビューして展開します。

共有ネットワークグループの追加の値の編集

注意

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

Cisco ASA、FDM、および FTD ネットワークオブジェクトやグループに加えた変更は、対応するクラウド提供型 Firewall Management Center ネットワークオブジェクトやグループに反映されます。さらに、[変更が保留中のデバイス（Devices with Pending Changes）] ページには、[ネットワークオブジェクトの検出と管理（Discover & Manage Network Objects）] が有効になっているオンプレミス Management Center ごとにエントリが作成されます。このエントリから変更を選択し、それらのオブジェクトがあるオンプレミス Management Center に展開できます。

いずれかのページからネットワークオブジェクトまたはグループを削除すると、両方のページからそのオブジェクトまたはグループは削除されます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと検索フィールドを使用して、編集対象のオーバーライドがあるオブジェクトを見つけます。
ステップ 3	[アクション（Actions）] ペインにある編集アイコンをクリックします。
ステップ 4	オーバーライド値を変更します。値を変更するには、編集アイコンをクリックします。 [デバイス（Devices）] 列のセルをクリックして、新しいデバイスを割り当てます。すでに割り当てられているデバイスを選択し、[オーバーライドの削除（Remove Overrides）] をクリックすると、そのデバイスのオーバーライドを削除できます。 [デフォルト値（Default Values）] の矢印をクリックすると、共有ネットワークグループの追加値にできます。共有ネットワークグループに関連付けられているすべてのデバイスが、自動的に割り当てられます。 [オーバーライド値（Override Values）] の矢印をクリックすると、共有ネットワークグループのデフォルト値にできます。ネットワークグループからオブジェクトを削除するには、横にある削除アイコンをクリックします。
ステップ 5	[保存（Save）] をクリックします。Security Cloud Control は、変更の影響を受けるデバイスを表示します。
ステップ 6	[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるデバイスへの変更を確定します。
ステップ 7	すべてのデバイスの設定変更をプレビューして展開します。

Security Cloud Control のネットワークオブジェクトとグループの削除

クラウド提供型 Firewall Management Center がテナントにデプロイされている場合：

オブジェクトページからネットワークオブジェクトまたはグループを削除すると、クラウド提供型 Firewall Management Center のオブジェクトページから重複するネットワークオブジェクトまたはグループが削除されます。その逆も同様です。

URL オブジェクト

URL オブジェクトと URL グループは、Firepower デバイスによって使用されます。URL オブジェクトとグループ（URL オブジェクトと総称する）を使用して、Web リクエストの URL または IP アドレスを定義します。これらのオブジェクトを使用して、アクセス制御ポリシーに手動の URL フィルタリング、またはセキュリティインテリジェンスポリシーにブロッキングを実装できます。URL オブジェクトは単一の URL または IP アドレスを定義するのに対して、URL グループは複数の URL または IP アドレスを定義します。

はじめる前に

URL オブジェクトを作成する場合は、次の点に注意してください。

パスを含めない（つまり、URL に / の文字がない）場合、一致はサーバーのホスト名のみに基づきます。ホスト名は、:// の区切り記号の後、またはホスト名のドットの後に来る場合、一致とみなされます。たとえば、ign.com は ign.com および www.ign.com と一致するが、verisign.com とは一致しません。
1 つ以上の / を含める場合、サーバ名、パス、およびクエリパラメータを含む文字列の部分一致には URL 文字列全体が使用されます。ただし、サーバは再構成することができ、ページは新しいパスに移動できるため、個々の Web ページまたはサイトの一部をブロックまたは許可するのに手動の URL フィルタリングは使用しないことをお勧めします。文字列の部分一致も予期しない一致となる可能性があり、URL オブジェクトに含める文字列が意図しないサーバ上のパスやクエリパラメータ内の文字列とも一致することがあります。
システムは、暗号化プロトコル（HTTP と HTTPS）を無視します。つまり、ある Web サイトをブロックした場合、アプリケーション条件で特定のプロトコルを対象にしない限り、その Web サイトに向かう HTTP トラフィックと HTTPS トラフィックの両方がブロックされます。URL オブジェクトを作成する場合は、オブジェクトの作成時にプロトコルを指定する必要はありません。たとえば、http://example.com の代わりに example.com を使用します。

アクセスコントロールルールで URL オブジェクトを使用して HTTPS トラフィックを照合することを計画している場合は、トラフィックの暗号化に使用される公開キー証明書内でサブジェクトの共通名を使用するオブジェクトを作成します。なお、システムはサブジェクトの共通名に含まれるドメインを無視するため、サブドメイン情報は含めないでください。たとえば、www.example.com ではなく、example.com を使用します。

ただし、証明書のサブジェクト共通名が Web サイトのドメイン名とはまったく関係ない場合があることをご了承ください。たとえば、youtube.com の証明書のサブジェクト共通名は *.google.com です（当然、これは随時変更される可能性があります）。SSL 復号ポリシーを使用して HTTPS トラフィックを復号し、URL フィルタリングルールが復号されたトラフィックで動作するようにすると、より一貫性のある結果が得られるようになります。

（注）

証明書情報を利用できないためにブラウザが TLS セッションを再開した場合、URL オブジェクトは HTTPS トラフィックと一致しません。このため、慎重に URL オブジェクトを設定した場合でも、HTTPS 接続では一貫性のない結果が得られることがあります。

FDM による管理 URL オブジェクトの作成または編集

URL オブジェクトは、URL または IP アドレスを指定する再利用可能なコンポーネントです。

URL オブジェクトを作成するには、次の手順を実行します。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	> [FTD] > [URL] をクリックします。
ステップ 3	オブジェクト名と説明を入力します。
ステップ 4	[URLオブジェクトの作成（Create a URL object）] を選択します。
ステップ 5	オブジェクトに固有の URL または IP アドレスを入力します。
ステップ 6	[追加（Add）] をクリックします。

Firepower URL グループの作成

URL グループは、1 つ以上の URL または IP アドレスを表す 1 つ以上の URL オブジェクトで構成できます。Firepower Device Manager および Firepower Management Center では、これらのオブジェクトは「URL オブジェクト」とも呼ばれます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	> [FTD] > [URL] をクリックします。
ステップ 3	オブジェクト名と説明を入力します。
ステップ 4	[URL グループの作成（Create a URL group）] を選択します。
ステップ 5	[オブジェクトの追加（Add Object）] をクリックし、オブジェクトを選択して [選択（Select）] をクリックすることで既存のオブジェクトを追加します。このステップを繰り返してさらにオブジェクトを追加します。
ステップ 6	URL グループへの URL オブジェクトの追加が完了したら、[追加（Add）] をクリックします。

Firepower URL オブジェクトまたは URL グループの編集

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトをフィルタリングして編集するオブジェクトを見つけ、オブジェクトテーブルでオブジェクトを選択します。
ステップ 3	詳細ペインで、編集するをクリックします。
ステップ 4	前述の手順で作成したのと同じ方法で、ダイアログボックスの値を編集します。
ステップ 5	[保存（Save）] をクリックします。
ステップ 6	Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。

アプリケーションフィルタオブジェクト

アプリケーションフィルタオブジェクトは、Firepower デバイスによって使用されます。アプリケーションフィルタオブジェクトは、IP 接続で使用されるアプリケーション、あるいはタイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタを定義します。ポートの仕様を使用する代わりに、これらのオブジェクトをポリシーで使用し、トラフィックを制御できます。

個々のアプリケーションを指定することはできますが、アプリケーションフィルタはポリシーの作成や管理を簡素化します。たとえば、リスクが高く、ビジネスとの関連性が低いアプリケーションをすべて認識してブロックする、アクセスコントロールルールを作成できます。ユーザがこのようなアプリケーションのいずれかを使用しようとすると、セッションがブロックされます。

アプリケーションフィルタオブジェクトを使用せず、ポリシーのアプリケーションとアプリケーションフィルタを直接選択できます。ただし、同じアプリケーションまたはフィルタグループに対して複数のポリシーを作成する場合にはオブジェクトが便利です。システムには、事前に定義されたいくつかのアプリケーションフィルタが含まれていて、これらは編集または削除できません。

（注）

シスコは、システムおよび脆弱性データベース（VDB）の更新を通じて頻繁にアプリケーションディテクタを更新し追加しています。そのため、手動でルールを更新することなく、高リスクのアプリケーションをブロックするルールを新しいアプリケーションに自動的に適用できます。

（注）

FDM による管理デバイスが Security Cloud Control にオンボードされると、アクセスルールまたは SSL 復号で定義されたルールを変更することなく、アプリケーションフィルタがアプリケーションフィルタオブジェクトに変換されます。設定が変更されたため、デバイスの設定ステータスが [未同期（Not Synced）] に変更されるので、Security Cloud Control から設定を展開する必要があります。一般に、FDM は、フィルタを手動で保存するまで、アプリケーションフィルタをアプリケーションフィルタオブジェクトに変換しません。

Firepower アプリケーションフィルタオブジェクトの作成と編集

アプリケーションフィルタオブジェクトを使用すると、厳選されたアプリケーションまたはフィルタによって識別されるアプリケーションのグループを対象にできます。このアプリケーションフィルタオブジェクトは、ポリシーで使用できます。

Firepower アプリケーションフィルタオブジェクトの作成

アプリケーションフィルタオブジェクトを作成するには、次の手順を実行します。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

> [FTD] > [アプリケーションフィルタ（Application Filter）] をクリックします。

ステップ 3

そのオブジェクトのオブジェクト名を入力し、任意で説明を入力します。

ステップ 4

[フィルタの追加] をクリックし、オブジェクトに追加するアプリケーションとフィルタを選択します。

最初のリストには、継続的にスクロールするリストでアプリケーションが表示されます。[フィルタの詳細設定（Advanced Filter）] をクリックすると、フィルタオプションが表示され、アプリケーションを容易に選択できます。選択したら、[追加（Add）] をクリックします。このプロセスを繰り返して、アプリケーションやフィルタを追加できます。

（注）

1 つのフィルタ条件内での複数の選択は OR 関係にあります。たとえば、リスクが「高（High）」または（OR）「非常に高い（Very High）」となります。フィルタ間の関係は「論理積（AND）」であるため、リスクが「高（High）」または（OR）「非常に高い（Very High）」であり、かつ（AND）ビジネスとの関連性が「低（Low）」または（OR）「非常に低い（Very Low）」となります。フィルタを選択すると、ディスプレイに表示されるアプリケーションが更新され、条件を満たすものだけが表示されます。これらのフィルタを使用すると、個別に追加するアプリケーションを容易に見つけたり、ルールに追加する目的のフィルタを選択していることを確認したりできます。

[リスク]：アプリケーションが組織のセキュリティポリシーに反する可能性がある目的のために使用される確率（「非常に低い」から「非常に高い」まで）。

[ビジネスとの関連性]：アプリケーションが、娯楽としてではなく、組織の事業運営の文脈内で使用される確率（「非常に低い」から「非常に高い」まで）。

[タイプ]：アプリケーションのタイプ。

[アプリケーションプロトコル]：HTTP や SSH など、ホスト間の通信を表すアプリケーションプロトコル。
[クライアントプロトコル]：Web ブラウザや電子メールクライアントなどのホスト上で動作しているソフトウェアを表すクライアント。
[Webアプリケーション]：HTTP トラフィックの格納ファイルまたは要求された URL を表す MPEG ビデオや Facebook などの Web アプリケーション。

[カテゴリ]：アプリケーションの最も重要な機能を説明する一般的な分類。

[タグ]：カテゴリに似た、アプリケーションに関する追加情報。

暗号化されたトラフィックの場合、システムは [SSL Protocol] とタグ付けされたアプリケーションだけを使用して、トラフィックを識別およびフィルタリングできます。このタグがないアプリケーションは、暗号化されていないまたは復号されたトラフィックでのみ検出できます。また、システムは、復号されたトラフィック（暗号化された、または暗号化されていないトラフィックではなく）のみで検出を行うことができるアプリケーションに [復号されたトラフィック（decrypted traffic）] タグを割り当てます。

[アプリケーションリスト]（画面下部）：上記のリストのオプションからフィルタを選択するとこのリストが更新されるため、現在のフィルタに一致するアプリケーションを確認できます。ルールにフィルタ条件を追加するときに、フィルタが目的のアプリケーションを対象としていることを確認するためにこのリストを使用します。特定のアプリケーションまたは複数のアプリケーションをオブジェクトに追加するには、フィルタ処理されたリストからそれらを選択します。アプリケーションを選択すると、フィルタは適用されなくなります。フィルタ自体をオブジェクトにする場合は、リストからアプリケーションを選択しないでください。フィルタをオブジェクトにすると、そのオブジェクトは、常にフィルタによって識別されたアプリケーションを表します。

ステップ 5

[OK] をクリックして変更を保存します。

Firepower アプリケーションフィルタオブジェクトの編集

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと検索フィールドを使用して、編集するオブジェクトを見つけます。
ステップ 3	編集するオブジェクトを選択します。
ステップ 4	詳細パネルの [アクション（Actions）] ペインにある編集アイコンをクリックします。
ステップ 5	前述の手順で作成したのと同じ方法で、ダイアログボックスの値を編集します。
ステップ 6	[保存（Save）] をクリックします。
ステップ 7	Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。

地理位置情報オブジェクト

地理位置情報オブジェクトは、トラフィックの送信元または接続先であるデバイスをホストする国と大陸を定義します。IP アドレスを使用する代わりに、これらのオブジェクトをポリシーで使用してトラフィックを制御できます。たとえば、地理的な場所を使用して、使用されている可能性のある IP アドレスすべてを把握する必要なしに、特定の国へのアクセスを簡単に制限できます。

通常は、地理位置情報オブジェクトを使用せずに、地理的な場所をポリシーで直接選択できます。とはいえ、同じ国や大陸のグループのために複数のポリシーを作成する場合、オブジェクトが便利です。

地理位置情報データベースの更新

常に最新の地理位置情報データを使用してトラフィックをフィルタ処理できるように、地理位置情報データベース（GeoDB）を定期的に更新することを強くお勧めします。現時点では、Security Cloud Control を使用して実行できるタスクではありません。GeoDB とその更新方法の詳細については、デバイスが実行しているバージョンの『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の次のセクションを参照してください。

システムデータベースとフィードの更新
システムデータベースの更新

Firepower 地理位置情報フィルタオブジェクトの作成と編集

地理位置情報オブジェクトは、オブジェクトページで単独で作成するか、セキュリティポリシーの作成時に作成することができます。この手順では、オブジェクトページから地理位置情報オブジェクトを作成します。

地理位置情報オブジェクトを作成するには、次の手順を実行します。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	> [FTD] > [地理位置情報（Geolocation）] をクリックします。
ステップ 3	そのオブジェクトのオブジェクト名を入力し、任意で説明を入力します。
ステップ 4	フィルタバーで、国または地域の名前の入力を開始すると、一致する可能性のあるもののリストが表示されます。
ステップ 5	オブジェクトに追加する 1 つまたは複数の国や地域のチェックボックスをオンにします。
ステップ 6	[追加（Add）] をクリックします。

オブジェクトを追加する方法：地理位置情報

手順

ステップ 1	左側のペインで、オブジェクトを選択します。
ステップ 2	フィルタパネルと検索フィールドを使用して、オブジェクトを見つけます。
ステップ 3	[アクション（Actions）] ペインで、[編集（Edit）] をクリックします。
ステップ 4	オブジェクト名を変更したり、オブジェクトに国や地域を追加または削除したりできます。
ステップ 5	[保存（Save）] をクリックします。
ステップ 6	影響を受けるデバイスがある場合は通知されます。[確認（Confirm）] をクリックします。
ステップ 7	デバイスまたはポリシーが影響を受けた場合は、[セキュリティデバイス（Security Devices）] ページを開き、デバイスへの変更を [プレビューして展開（Preview and Deploy）] します。

DNS グループオブジェクト

ドメインネームシステム（DNS）グループは、DNS サーバーおよび関連付けられているいくつかの属性のリストを定義します。www.example.com などの完全修飾ドメイン名（FQDN）を IP アドレスに解決するのには、DNS サーバーが必要です。管理インターフェイスとデータインターフェイスに異なる DNS グループオブジェクトを構成できます。

新しい DNS グループオブジェクトを作成する前に、FDM による管理デバイスに DNS サーバーが構成されている必要があります。Security Cloud Control の Firepower Threat Defense デバイス設定に DNS サーバーを追加するか、Firewall Device Manager で DNS サーバーを作成してから、FDM による管理構成を Security Cloud Control に同期することができます。Firewall Device Manager で DNS サーバー設定を作成または変更するには、『Cisco Firepower Device Manager Configuration Guide』バージョン 6.4 以降の「Configuring DNS for Data and Management Interfaces」を参照してください。

DNS グループオブジェクトの作成

Security Cloud Control で新しい DNS グループオブジェクトを作成するには、次の手順を使用します。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

> [FTD] > [DNSグループ（DNS Group）] をクリックします。

ステップ 3

[オブジェクト名（Object Name）] を入力します。

ステップ 4

（任意）説明を追加します。

ステップ 5

[DNSサーバー（DNS server）] の IPアドレスを入力します最大 6 台の DNS サーバーを追加できます。 [DNS サーバーの追加（Add DNS Server）] をクリックします。サーバーアドレスを削除する場合は、削除アイコンをクリックします。

（注）

リストは優先順です。リストの最初のサーバが常に使用されます。後続のサーバは、上位のサーバから応答が受信されない場合にのみ使用されます。最大 6 台のサーバーを追加できますが、リストされている最初の 3 台のサーバーのみが管理インターフェイスに使用されます。

ステップ 6

[ドメイン検索名（Domain Search Name）] を入力します。このドメインは、完全修飾されていないホスト名（たとえば、serverA.example.com ではなく serverA）に追加されます。

ステップ 7

[再試行（Retries）] の回数を入力します。システムが応答を受信しない場合に DNS サーバーのリストを再試行する回数です（0 ～ 10）。デフォルトは 2 です。この設定は、データインターフェイスのみで使用される DNS グループに適用されます。

ステップ 8

[タイムアウト（Timeout）] の値を入力します。次の DNS サーバーを試行する前に待機する秒数です（1 ～ 30）。デフォルト値は 2 秒です。システムがサーバーのリストを再試行するたびに、このタイムアウトは 2 倍になります。この設定は、データインターフェイスのみで使用される DNS グループに適用されます。

ステップ 9

[追加（Add）] をクリックします。

DNS グループオブジェクトの編集

Security Cloud Control または Firewall Device Manager で作成された DNS グループオブジェクトを編集できます。次の手順を使用して、既存の DNS グループオブジェクトを編集します。

手順

ステップ 1	左側の Security Cloud Control ナビゲーションバーで、オブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと [検索（search）] フィールドを使用して、編集する DNS グループオブジェクトを見つけます。
ステップ 3	オブジェクトを選択し、[アクション（Actions）] ペインで編集アイコンをクリックします。
ステップ 4	次のエントリのいずれかを編集します。オブジェクト名。 [説明（Description）] DNS サーバー。このリストから DNS サーバーを編集、追加、または削除できます。ドメイン検索名。リトライ。タイムアウト。
ステップ 5	[保存（Save）] をクリックします。
ステップ 6	すべてのデバイスの設定変更をプレビューして展開します。

DNS グループオブジェクトの削除

Security Cloud Control から DNS グループオブジェクトを削除するには、次の手順を使用します。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと [検索（search）] フィールドを使用して、編集する DNS グループオブジェクトを見つけます。
ステップ 3	オブジェクトを選択し、[削除（remove）] アイコンをクリックします。
ステップ 4	DNS グループオブジェクトを削除することを確認し、[Ok] をクリックします。
ステップ 5	すべてのデバイスの設定変更をプレビューして展開します。

DNS グループオブジェクトを FDM による管理 DNS サーバーとして追加

DNS グループオブジェクトは、データインターフェイスまたは管理インターフェイスの優先 DNS グループとして追加できます。詳細については、「FDM 管理対象デバイスの設定」を参照してください。

証明書オブジェクト

デジタル証明書は、認証に使用されるデジタル ID を提供します。証明書は、SSL（セキュアソケットレイヤ）、TLS（Transport Layer Security）、および DTLS（データグラム TLS）接続（HTTPS や LDAPS など）に使用されます。

デバイスが実行しているバージョンについては、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Resuable Objects」の章にある「About Certificates」および「Configuring Certificates」以降のセクションを参照してください。

証明書について

デジタル証明書は、認証に使用されるデジタル ID を提供します。デジタル証明書には、名前、シリアル番号、会社、部門、または IP アドレスなど、ユーザーまたはデバイスを識別する情報が含まれます。デジタル証明書には、ユーザまたはデバイスの公開キーのコピーも含まれています。証明書は、SSL（セキュアソケットレイヤ）、TLS（Transport Layer Security）、および DTLS（データグラム TLS）接続（HTTPS や LDAPS など）に使用されます。

次のタイプの証明書を作成できます。

内部証明書：内部 ID 証明書は、特定のシステムまたはホストの証明書です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名証明書を生成することもできます。

システムには、そのまま、または置き換えて使用できる事前定義された内部証明書（DefaultInternalCertificate および DefaultWebServerCertificate）が付属します。
内部認証局（CA）証明書：内部 CA 証明書は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。

システムには、そのまま、または置き換えて使用できる事前定義された内部 CA 証明書（NGFW-Default-InternalCA）が付属します。
信頼できる認証局（CA）証明書：信頼できる CA 証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。

認証局（CA）は、証明書に「署名」してその認証を確認することで、デバイスまたはユーザーのアイデンティティを保証する、信頼できる機関です。CA は、公開キーまたは秘密キーの暗号化を使用してセキュリティを保証する PKI コンテキストで、デジタル証明書を発行します。CA は、信頼できるサードパーティ（VeriSign など）の場合もあれば、組織内に設置したプライベート CA（インハウス CA）の場合もあります。CA は、証明書要求の管理とデジタル証明書の発行を行います。

システムには、第三者証明機関からの多数の信頼できる CA の証明書も含まれています。これらは再署名の復号アクションのために SSL 復号ポリシーが使用します。

詳細については、デバイスが実行しているバージョンの Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）[英語] の「Reusable Objects」の章にある「Certificate Types Used by Feature」を参照してください。https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html

各機能で使用される証明書タイプ

各機能に適したタイプの証明書を作成する必要があります。次の機能は、証明書が必要です。

アイデンティティポリシー（キャプティブポータル）：内部証明書

（オプション）キャプティブポータルはアイデンティティポリシーで使用されます。この証明書は、ユーザーが自身を証明し、自分のユーザー名に関連付けられた IP アドレスを取得することを目的として、デバイスへの認証の際に承認する必要があります。証明書を提示しないと、デバイスは自動生成された証明書を使用します。

SSL 復号ポリシー：内部、内部 CA、および信頼できる CA 証明書。

（必須）SSL 復号ポリシーは、以下の目的のため証明書を使用します。

内部証明書は既知のキー復号ルールに使用されます。
内部 CA 証明書は、クライアントと FDM 管理対象デバイス間にセッションを作成する際の再署名の復号ルールに使用されます。
信頼できる CA 証明書
- この証明書は、FDM 管理対象デバイスとサーバー間のセッションを作成するときに、再署名の復号ルールに間接的に使用されます。その他の証明書とは異なり、これらの証明書は SSL 復号ポリシーで直接設定しません。これらは単にシステムにアップロードする必要があります。システムには多数の信用できる CA 証明書が含まれるため、追加の証明書をアップロードする必要はないことがあります。
- Active Directory レルムオブジェクトを作成し、暗号化を使用するようにディレクトリサーバーを設定する場合。

証明書の設定

アイデンティティポリシーまたは SSL 復号ポリシーで使用される証明書は、PEM または DER 形式の X509 証明書である必要があります。OpenSSL を使用して必要に応じて証明書を生成したり、信頼できる認証局から取得したり、または自己署名証明書を作成したりできます。

以下の手順を使用して、証明書オブジェクトを構成します。

内部および内部 CA 証明書のアップロード
信頼できる CA 証明書のアップロード
自己署名内部および内部 CA 証明書の生成
証明書を表示または編集するには、証明書の編集アイコンまたは表示アイコンをクリックします。
証明書を削除するには、その証明書のごみ箱アイコン（削除アイコン）をクリックします。「オブジェクトの削除」を参照してください。

内部および内部 CA 証明書のアップロード

内部 ID 証明書は、特定のシステムまたはホストの証明書です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名証明書を生成することもできます。

内部認証局（CA）証明書（内部 CA 証明書）は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。

これらの証明書を使用する機能の詳細については、「Certificate Type Used by Feature」を参照してください。

手順

この手順では、証明書ファイルをアップロードするか、既存の証明書のテキストをテキストボックスに貼り付けて、内部証明書または内部 CA 証明書を作成します。自己署名証明書を生成する場合は、「自己署名内部および内部 CA 証明書の生成」を参照してください。

内部証明書または内部 CA 証明書オブジェクトを作成する場合、または新しい証明書オブジェクトをポリシーに追加する場合は、次の手順に従います。

手順

ステップ 1	次のいずれかを実行します。 [オブジェクト（Objects）] ページで証明書オブジェクトを作成します。左側のペインでオブジェクトをクリックします。プラスボタンをクリックして、[FTD] > [証明書（Certificate）] を選択しますポリシーに新しい証明書オブジェクトを追加するときに、[新しいオブジェクトの作成（Create New Object）] をクリックします。
ステップ 2	[Name] に証明書の名前を入力します。名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。
ステップ 3	ステップ 1 で、[内部証明書（Internal Certificate）] または [内部CA（Internal CA）] を選択します。
ステップ 4	ステップ 2 で、[アップロード（Upload）] を選択して証明書ファイルをアップロードします。
ステップ 5	ステップ 3 で、[サーバー証明書（Server Certificate）] 領域で、証明書の内容をテキストボックスに貼り付けるか、ウィザードの説明に従って証明書ファイルをアップロードします。証明書をテキストボックスに貼り付ける場合、証明書に BEGIN CERTIFICATE と END CERTIFICATE の行を含める必要があります。次に例を示します。

-----BEGIN CERTIFICATE-----
 MIICMTCCAZoCCQDdUV3NGK/cUjANBgkqhkiG9w0BAQsFADBdMQswCQYDVQQGEwJV
UzETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50ZXJuZXQgV2lkZ2l0
(...5 lines removed...)
shGJDReRYJQqilhHZrYTWZAYTrD7NQPHutK+ZiJng67cPgnNDuXEn55UwMOQoHBp
HMUwmhiGZlzJM8BpX2Js2yQ3ms30pr8rO+gPCPMCAwEAATANBgkqhkiG9w0BAQsF
AAOBgQCB02CebA6YjJCGr2CJZrQSeUwSveRBpmOuoqm98o2Z+5gJM5CkqgfxwCUn
RV7LRfQGFYd76V/5uor4Wx2ZCjqy6+zuQEm4ZxWNSZpA9UBixFXJCs9MBO4qkG5D
vlk3WYJfcgyJ10h4E4b0W2xiixBU+xoOTLRATnbKY36EWAG5cw==
-----END CERTIFICATE-----

ステップ 6

ステップ 3 で、[証明書キー（Certificate Key）] 領域で、キーの内容を [証明書キー（Certificate Key）] テキストボックスに貼り付けるか、ウィザードの説明に従ってキーファイルをアップロードします。キーをテキストボックスに貼り付ける場合、キーには BEGIN PRIVATE KEY または BEGIN RSA PRIVATE KEY、および END PRIVATE KEY または END PRIVATE KEY 行が含まれている必要があります。

（注）

キーは暗号化できません。

ステップ 7

[追加（Add）] をクリックします。

信頼できる CA 証明書のアップロード

信頼できる認証局（CA）の証明書は、他の証明書に署名するために使用されます。これは自己署名され、ルート証明書と呼ばれます。別の CA 証明書により発行される証明書は、下位証明書と呼ばれます。

これらの証明書を使用する機能の詳細については、「Certificate Type Used by Feature」を参照してください。

外部の認証局から信頼できる CA 証明書を取得するか、自身の内部 CA を使用して（OpenSSL ツールを使用するなど）CA 証明書を作成します。その後、次の手順を使用して証明書をアップロードします。

手順

ステップ 1	次のいずれかを実行します。 [オブジェクト（Objects）] ページで証明書オブジェクトを作成します。左側のペインでオブジェクトをクリックします。 > [FTD] > [証明書（Certificate）] をクリックします。ポリシーに新しい証明書オブジェクトを追加するときに、[新しいオブジェクトの作成（Create New Object）] をクリックします。
ステップ 2	[Name] に証明書の名前を入力します。名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。
ステップ 3	手順 1 では、[外部CA証明書（External CA Certificate）] を選択し、[続行（Continue）] をクリックします。ウィザードの手順が 3 に進みます。
ステップ 4	手順 3 では、証明書の内容を [証明書の内容（Certificate Contents）] 領域にあるテキストボックスに貼り付けるか、ウィザードの説明に従って証明書ファイルをアップロードします。証明書は、次のガイドラインに合致している必要があります。証明書内のサーバ名は、サーバのホスト名または IP アドレスと一致している必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。証明書は PEM または DER 形式の X509 証明書である必要があります。貼り付ける証明書は、BEGIN CERTIFICATE と END CERTIFICATE の行を含める必要があります。次に例を示します。 -----BEGIN CERTIFICATE----- MIIFgTCCA2mgAwIBAgIJANvdcLnabFGYMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV BAYTAlVTMQswCQYDVQQIDAJUWDEPMA0GA1UEBwwGYXVzdGluMRQwEgYDVQQKDAsx OTIuMTY4LjEuMTEUMBIGA1UEAwwLMTkyLjE2OC4xLjEwHhcNMTYxMDI3MjIzNDE3 WhcNMTcxMDI3MjIzNDE3WjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCVFgxDzAN BgNVBAcMBmF1c3RpbjEUMBIGA1UECgwLMTkyLjE2OC4xLjExFDASBgNVBAMMCzE5 Mi4xNjguMS4xMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA5NceYwtP ES6Ve+S9z7WLKGX5JlF58AvH82GPkOQdrixn3FZeWLQapTpJZt/vgtAI2FZIK31h (...20 lines removed...) hbr6HOgKlOwXbRvOdksTzTEzVUqbgxt5Lwupg3b2ebQhWJz4BZvMsZX9etveEXDh PY184V3yeSeYjbSCF5rP71fObG9Iu6+u4EfHp/NQv9s9dN5PMffXKieqpuN20Ojv 2b1sfOydf4GMUKLBUMkhQnip6+3W -----END CERTIFICATE-----
ステップ 5	[追加（Add）] をクリックします。

自己署名内部および内部 CA 証明書の生成

内部 ID 証明書は、特定のシステムまたはホストの証明書です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名証明書を生成することもできます。

内部認証局（CA）証明書（内部 CA 証明書）は、他の証明書の署名にシステムが使用できる証明書です。これらの証明書は、基本制約拡張と CA フラグに関して内部アイデンティティ証明書と異なります。これらは CA 証明書では有効ですが、アイデンティティ証明書では無効です。これらは OpenSSL ツールキットを使用して自分で生成することも、認証局から取得することもできます。自己署名内部 CA 証明書を生成することもできます。自己署名内部 CA 証明書を設定する場合は、CA はデバイス自体で稼働します。

また、これらの証明書は、OpenSSL を使用して作成することも、信頼できる CA から取得してアップロードすることもできます。詳細は「内部および内部 CA 証明書のアップロード」を参照してください。

これらの証明書を使用する機能の詳細については、Certificate Type Used by Featureを参照してください。

（注）

新しい自己署名証明書は 5 年の有効期間で生成されます。期限が切れる前に必ず証明書を交換してください。

警告	自己署名証明書を持つデバイスをアップグレードすると、問題が発生する可能性があります。詳細については、「新しい証明書の検出」を参照してください。

手順

この手順では、ウィザードに適切な証明書フィールド値を入力することにより、自己署名証明書を生成します。証明書ファイルをアップロードして内部または内部 CA 証明書を作成する場合は、「内部および内部 CA 証明書のアップロード」を参照してください。

自己署名証明書を生成するには、次の手順を実行します。

手順

ステップ 1	次のいずれかを実行します。 [オブジェクト（Objects）] ページで証明書オブジェクトを作成します。左側のペインでオブジェクトをクリックします。 > [FTD] > [証明書（Certificate）] をクリックします。ポリシーに新しい証明書オブジェクトを追加するときに、[新しいオブジェクトの作成（Create New Object）] をクリックします。
ステップ 2	[Name] に証明書の名前を入力します。名前は、設定時にオブジェクト名としてのみ使用され、証明書自体には含まれません。
ステップ 3	ステップ 1 で、[内部証明書（Internal Certificate）] または [内部CA（Internal CA）] を選択します。
ステップ 4	ステップ 2 で、[自己署名（Self-Signed）] を選択して、この手順で自己署名証明書を作成します。
ステップ 5	証明書の件名および発行者の情報については、次の少なくとも 1 つを設定します。 [国（C）（Country (C)）]：ドロップダウトリストから国コードを選択します。 [都道府県（ST）（State or Province (ST)）]：証明書に含める都道府県。 [地域または都市（L）（Locality or City (L)）]：都市の名前など、証明書に含める地域。 [組織（O）（Organization (O)）]：証明書に含める組織または会社の名前。 [組織単位（部門）（OU）（Organizational Unit (Department) ）]：証明書に含める組織単位の名前（部門名など）。 [共通名（CN）（Common Name (CN)）]：証明書に含める X.500 共通名。これは、デバイスの名前、Web サイト、または他の文字列にできます。この要素は、通常は正常な接続のために必要です。たとえば、リモートアクセス VPN で使用する内部証明書に CN を含める必要があります。
ステップ 6	[追加（Add）] をクリックします。

IPsec プロポーザルについて

IPsec は、VPN を設定する場合の最も安全な方法の 1 つです。IPsec では、IP パケットレベルでのデータ暗号化が提供され、標準規格に準拠した堅牢なセキュリティソリューションが提供されます。IPsec では、データはトンネルを介してパブリックネットワーク経由で送信されます。トンネルとは、2 つのピア間のセキュアで論理的な通信パスです。IPsec トンネルを通過するトラフィックは、トランスフォームセットと呼ばれるセキュリティプロトコルとアルゴリズムの組み合わせによって保護されます。IPsec Security Association（SA：セキュリティアソシエーション）のネゴシエーション中に、ピアでは、両方のピアに共通するトランスフォームセットが検索されます。

IKE バージョン（IKEv1 または IKEv2）に基づいて、別個の IPsec プロポーザルオブジェクトがあります。

IKEv1 IPsec プロポーザルを作成する場合、IPSec が動作するモードを選択し、必要な暗号化タイプおよび認証タイプを定義します。アルゴリズムには単一のオプションを選択できます。VPN で複数の組み合わせをサポートするには、複数の IKEv1 IPsec プロポーザルオブジェクトを作成して選択します。
IKEv2 IPsec プロポーザルを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュアルゴリズムを選択できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、マッチが見つかるまでピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

カプセル化セキュリティプロトコル（ESP）は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。これは認証、暗号化、およびアンチリプレイサービスを提供します。ESP は、IP プロトコルタイプ 50 です。

（注）

IPsec トンネルで暗号化と認証の両方を使用することを推奨します。

次に、各 IKE バージョンの IPsec プロポーザルの設定方法を説明します。

IKEv1 IPSec プロポーザルオブジェクトの作成および編集
IKEv2 IPSec プロポーザルオブジェクトの作成および編集

IPsec プロポーザルオブジェクトの管理

IPsec プロポーザルオブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティプロトコルとアルゴリズムの組み合わせを定義します。IKEv1 と IKEv2 に対して、異なるオブジェクトがあります。現在、Security Cloud Control は IKEv1 IPsec プロポーザルオブジェクトをサポートしています。

カプセル化セキュリティプロトコル（ESP）は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。このプロトコルにより、認証、暗号化、およびアンチリプレイサービスが実現します。ESP は、IP プロトコルタイプ 50 です。

（注）

IPsec トンネルで暗号化と認証の両方を使用することを推奨します。

IKEv1 IPSec プロポーザルオブジェクトの作成または編集

定義済みの複数の IKEv1 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト（Objects）] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続の IKEv1 IPSec 設定を編集している間に、オブジェクトリストに表示される [新規IKEv1プロポーザルの作成（Create New IKEv1 Proposal）] リンクをクリックして、IKEv1 IPSec プロポーザルオブジェクトを作成することもできます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	次のいずれかの操作を実行します。をクリックし、[FTD] > [IKEv1 IPSecプロポーザル（IKEv1 IPsec Proposal）] の順に選択して新しいオブジェクトを作成します。オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [アクション（Actions）] ペインで [編集（Edit）] をクリックします。
ステップ 3	新しいオブジェクトのオブジェクト名を入力します。
ステップ 4	IKEv1 IPSec プロポーザルオブジェクトが動作するモードを選択します。トンネルモードでは IP パケット全体がカプセル化されます。IPSec ヘッダーが、元の IP ヘッダーと新しい IP ヘッダーとの間に追加されます。これがデフォルトです。トンネルモードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネルモードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール（またはその他のセキュリティゲートウェイ）間で通常の IPSec が実装される標準の方法です。トランスポートモードでは IP パケットの上位層プロトコルだけがカプセル化されます。IPSec ヘッダーは、IP ヘッダーと上位層プロトコルヘッダー（TCP など）との間に挿入されます。トランスポートモードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポートモードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。一般的に、トランスポートモードは、レイヤ 2 またはレイヤ 3 のトンネリングプロトコル（GRE、L2TP、DLSW など）を保護する場合にだけ使用されます。
ステップ 5	このプロポーザルの [ESP暗号化（ESP Encryption）]（カプセル化セキュリティプロトコル暗号化）アルゴリズムを選択します。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。
ステップ 6	認証に使用する [ESPハッシュ（ESP Hash）] または整合性アルゴリズムを選択します。オプションの説明については、使用するハッシュアルゴリズムの決定を参照してください。
ステップ 7	[追加（Add）] をクリックします。

IKEv2 IPsec プロポーザルオブジェクトの管理

IPsec プロポーザルオブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティプロトコルとアルゴリズムの組み合わせを定義します。

IKEv2 IPsec プロポーザルを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュアルゴリズムを選択できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、マッチが見つかるまでピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

IKEv2 IPSec プロポーザルオブジェクトの作成または編集

定義済みの複数の IKEv2 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト（Objects）] ページから直接オブジェクトを作成および編集する方法について説明します。VPN 接続の IKEv2 IPsec 設定を編集している間に、オブジェクトリストに表示される [新規IPsecプロポーザルの作成（Create New IPsec Proposal）] リンクをクリックして、IKEv2 IPsec プロポーザルオブジェクトを作成することもできます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	次のいずれかの操作を実行します。をクリックし、[FTD] > [IKEv2 IPSecプロポーザル（IKEv2 IPsec Proposal）] の順に選択して新しいオブジェクトを作成します。オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [アクション（Actions）] ペインで [編集（Edit）] をクリックします。
ステップ 3	新しいオブジェクトのオブジェクト名を入力します。
ステップ 4	IKEv2 IPsec プロポーザルオブジェクトの設定： [暗号化（Encryption）]：このプロポーザルのカプセル化セキュリティプロトコル（ESP）暗号化アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。 [整合性ハッシュ（Integrity Hash）]：認証に使用するハッシュまたは整合性アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用するハッシュアルゴリズムの決定を参照してください。
ステップ 5	[追加（Add）] をクリックします。

グローバル IKE ポリシーについて

Internet Key Exchange（IKE、インターネットキーエクスチェンジ）は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association（SA、セキュリティアソシエーション）の自動的な確立に使用されるキー管理プロトコルです。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティアソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKE プロポーザルは、2 つのピア間のネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通（共有）IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティパラメータを示します。

IKE ポリシーオブジェクトはこれらのネゴシエーションに対して IKE プロポーザルを定義します。有効にするオブジェクトは、ピアが VPN 接続をネゴシエートするときに使用するものであり、接続ごとに異なる IKE ポリシーを指定することはできません。各オブジェクトの相対的な優先順位は、これらの中でどのポリシーを最初に試行するかを決定します。数が小さいほど、優先順位が高くなります。ネゴシエーションで両方のピアがサポートできるポリシーを見つけられなければ、接続は確立されません。

IKE グローバルポリシーを定義するには、各 IKE バージョンを有効にするオブジェクトを選択します。事前定義されたオブジェクトが要件を満たさない場合、セキュリティポリシーを適用する新しいポリシーを作成します。

次に、オブジェクトページでグローバルポリシーを設定する方法について説明します。VPN 接続を編集しているときに IKE ポリシー設定の [編集（Edit）] をクリックすることで、ポリシーの有効化、無効化および作成が行えます。

次に、各バージョンの IKE ポリシーの設定方法を説明します。

IKEv1 ポリシーの設定
IKEv2 ポリシーの設定

IKEv1 ポリシーの管理

IKEv1 ポリシーについて

インターネットキーエクスチェンジ（IKE）バージョン 1 ポリシーオブジェクトには、VPN 接続を定義する際に必要な IKEv1 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティアソシエーション（SA）の自動確立に使用されます。

複数の事前定義された IKEv1 ポリシーが存在します。必要に適したポリシーがあれば、[状態（State）] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

IKEv1 ポリシーの作成または編集

次の手順では、[オブジェクト（Objects）] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続での IKE 設定の編集時に、オブジェクトリストに表示される [新しいIKEv1 ポリシーの作成（Create New IKEv1 Policy）] リンクをクリックして、IKEv1 ポリシーを作成することもできます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	次のいずれかの操作を実行します。をクリックし、[FTD] > [IKEv1ポリシー（IKEv1 Policy）] の順に選択して、新しい IKEv1 ポリシーを作成します。オブジェクトのページで、編集する IKEv1 ポリシーを選択し、右側の [操作（Actions）] ウィンドウで [編集（Edit）] をクリックします。
ステップ 3	[オブジェクト名（Object Name）] を 128 文字以内で入力します。
ステップ 4	IKEv1 プロパティを設定します。 [優先順位（Priority）]：IKE ポリシーの相対的優先順位（1 ～ 65,535）。このプライオリティによって、共通のセキュリティアソシエーション（SA）の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。 [暗号化（Encryption）] ：フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティアソシエーション（SA）の確立に使用される暗号化アルゴリズム。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。 [Diffie-Hellmanグループ（Diffie-Hellman Group）] ：2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。オプションの説明については、「使用する Diffie-Hellman 係数グループの決定」を参照してください。 [ライフタイム（Lifetime）]：セキュリティアソシエーション（SA）のライフタイム（120 ～ 2147483647 までの秒数、または空白）。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティアソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません（フィールドを空白のままにします）。 [認証（Authentication）] ：2 つのピア間で使用される認証方式。詳細については、使用する認証方式の決定を参照してください。 [事前共有キー（Preshared Key）]：各デバイスで定義されている事前共有キーを使用します。事前共有キーを使用すると、秘密鍵を 2 つのピア間で共有し、認証フェーズ中に IKE で使用できます。ピアに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。 [証明書（Certificate）]：ピアのデバイス ID 証明書を使用して相互に識別します。認証局に各ピアを登録することによって、これらの証明書を取得する必要があります。また、各ピアでアイデンティティ証明書の署名に使用された、信頼できる CA ルート証明書および中間 CA 証明書もアップロードする必要があります。ピアは、同じ CA または別の CA に登録できます。どちらのピアにも自己署名証明書を使用することはできません。 [ハッシュ（Hash）] ：メッセージの整合性の確保に使用されるメッセージダイジェストを作成するためのハッシュアルゴリズム。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。
ステップ 5	[追加（Add）] をクリックします。

IKEv2 ポリシーの管理

IKEv2 ポリシーについて

インターネットキーエクスチェンジ（IKE）バージョン 2 ポリシーオブジェクトには、VPN 接続を定義する際に必要な IKEv2 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティアソシエーション（SA）の自動確立に使用されます。

複数の事前定義された IKEv2 ポリシーがあります。必要に適したポリシーがあれば、[状態（State）] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

IKEv2 ポリシーの作成または編集

次に、オブジェクトページからオブジェクトを直接作成および編集する方法について説明します。サイト間 VPN 接続での IKE 設定の編集時に、オブジェクトリストに表示される [新しいIKEv2ポリシーの作成（Create New IKEv2 Policy）] リンクをクリックして、IKEv2 ポリシーを作成することもできます。

手順

ステップ 1	左側の Security Cloud Control ナビゲーションバーで、オブジェクトをクリックします。
ステップ 2	次のいずれかの操作を実行します。をクリックし、[FTD] > [IKEv2ポリシー（IKEv2 Policy）] の順に選択して、新しい IKEv2 ポリシーを作成します。オブジェクトページで、編集する IKEv2 ポリシーを選択し、右側の [アクション（Actions）] ペインで [編集（Edit）] をクリックします。
ステップ 3	[オブジェクト名（Object Name）] を 128 文字以内で入力します。
ステップ 4	IKEv2 プロパティを設定します。 [優先順位（Priority）]：IKE ポリシーの相対的優先順位（1 ～ 65,535）。このプライオリティによって、共通のセキュリティアソシエーション（SA）の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。 [状態（State）]：IKE ポリシーが有効か無効かを示します。トグルをクリックして状態を変更します。IKE ネゴシエーション中には、有効なポリシーのみが使用されます。 [暗号化（Encryption）] ：フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティアソシエーション（SA）の確立に使用される暗号化アルゴリズム。有効にするすべてのアルゴリズムを選択します。ただし、同じポリシーに混合モード（AES-GCM）と通常モードのオプションを含めることはできません（通常モードでは整合性ハッシュを選択する必要がありますが、混合モードでは個別の整合性ハッシュの選択は禁止されています）。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する暗号化アルゴリズムの決定を参照してください。 [Diffie-Hellmanグループ（Diffie-Hellman Group）] ：2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。許可するすべてのアルゴリズムを選択します。システムは、最も強いグループから始めて最も弱いグループに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、使用する Diffie-Hellman 係数グループの決定を参照してください。 [整合性ハッシュ（Integrity Hash）] ：メッセージの整合性の確保に使用されるメッセージダイジェストを作成するためのハッシュアルゴリズムの整合性部分。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。整合性ハッシュは、AES-GCM 暗号化オプションでは使用されません。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。 [擬似ランダム関数（PRF）ハッシュ（Pseudo-Random Function（PRF）Hash）] ：ハッシュアルゴリズムの疑似ランダム関数（PRF）部分。このアルゴリズムは IKEv2 トンネル暗号化に必要なキー関連情報とハッシュ操作を取得するために使用されます。IKEv1 では、整合性と PRF アルゴリズムは別ですが、IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、VPN で使用される暗号化アルゴリズムとハッシュアルゴリズムを参照してください。 [ライフタイム（Lifetime）]：セキュリティアソシエーション（SA）のライフタイム（120 ～ 2147483647 までの秒数、または空白）。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティアソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません（フィールドを空白のままにします）。
ステップ 5	[追加（Add）] をクリックします。

RA VPN オブジェクト

セキュリティゾーンオブジェクト

セキュリティゾーンとはインターフェイスのグループ分けです。ゾーンは、トラフィックの管理と分類に役立つようにネットワークをセグメントに分割します。複数のゾーンを定義できますが、所与のインターフェイスは単一のゾーンの中にのみ存在できます。

Firepower システムでは、初期設定中に次のゾーンが作成され、Security Cloud Control のオブジェクトページに表示されます。ゾーンを編集してインターフェイスを追加または削除したり、使用しなくなったゾーンを削除したりできます。

inside_zone：内部インターフェイスが含まれます。このゾーンは、内部ネットワークを表します。
outside_zone：外部インターフェイスが含まれます。このゾーンは、インターネットなどの制御不可能な外部ネットワークを表すことを目的としています。

通常、ネットワーク内で果たす役割によって、インターフェイスをグループ化します。たとえば、インターフェイスに接続するインターフェイスを outside_zone セキュリティゾーンに配置し、内部ネットワークに接続するすべてのインターフェイスを inside_zone セキュリティゾーンに配置できます。次に、外部ゾーンから来て内部ゾーンへ向かうトラフィックにアクセスコントロールルールを適用できます。

ゾーンを作成する前に、ネットワークに適用するアクセスルールや他のポリシーを検討してください。たとえば、すべての内部インターフェイスを同じゾーンに配置する必要はありません。4 つの内部ネットワークがあり、1 つだけ他の 3 つとは異なる処理をしたい場合、1 つではなく 2 つのゾーンを作成できます。パブリック Web サーバへの外部アクセスを許可するインターフェイスがある場合、そのインターフェイスに別のゾーンを使用できます。

Firepower セキュリティゾーンオブジェクトの作成または編集

セキュリティゾーンとはインターフェイスのグループ分けです。ゾーンは、トラフィックの管理と分類に役立つようにネットワークをセグメントに分割します。複数のゾーンを定義できますが、所与のインターフェイスは単一のゾーンの中にのみ存在できます。詳細については、「セキュリティゾーンオブジェクト」を参照してください。

セキュリティゾーンオブジェクトは、デバイスのルールで使用されない限り、そのデバイスに関連付けられません。

セキュリティゾーンオブジェクトの作成

セキュリティゾーンオブジェクトを作成するには、以下の手順に従ってください。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	> [FTD] > [セキュリティゾーン（Security Zone）] をクリックしてオブジェクトを作成します。
ステップ 3	オブジェクトに名前を付け、任意で説明を入力します。
ステップ 4	セキュリティゾーンに含めるインターフェイスを選択します。
ステップ 5	[追加（Add）] をクリックします。

セキュリティゾーンオブジェクトの編集

FDM による管理デバイスをオンボーディングすると、少なくとも 2 つのセキュリティゾーンがすでに存在することがわかります。1 つは inside_zone で、もう 1 つは outside_zone です。これらのゾーンは編集または削除できます。セキュリティゾーンオブジェクトを編集するには、次の手順に従います。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

編集するオブジェクトを見つけます。

オブジェクトの名前がわかっている場合は、[オブジェクト（Objects）] ページで検索できます。
- リストをセキュリティゾーンでフィルタリングします。
- オブジェクトの名前を検索フィールドに入力します。
- オブジェクトを選択します。
オブジェクトがデバイスに関連付けられていることがわかっている場合は、[セキュリティデバイス（Security Devices）] ページから検索を開始できます。
- 左側のペインでセキュリティデバイスをクリックします。
- [デバイス] タブをクリックします。
- 適切なタブをクリックします。
- デバイスフィルタと検索バーを使用して、デバイスを見つけます。
- デバイスを選択します。
- 右側の [管理（Management）] ペインで、 [オブジェクト（Objects）] をクリックします。
- オブジェクトフィルタと検索バーを使用して、探しているオブジェクトを見つけます。

（注）

作成したセキュリティゾーンオブジェクトがデバイスのポリシーに含まれるルールに関連付けられていない場合、そのオブジェクトは「関連付けられていない」と見なされ、デバイスの検索結果に表示されません。

ステップ 3

オブジェクトを選択します。

ステップ 4

右側の [操作（Actions）] ウィンドウで [編集（Edit）] アイコンをクリックします。

ステップ 5

オブジェクトの属性を編集した後、[保存（Save）] をクリックします。

ステップ 6

[保存（Save）] をクリックすると、加えた変更が他のデバイスにどのように影響するかを説明するメッセージが表示されます。[確認（Confirm）] をクリックして変更を保存するか、[キャンセル（Cancel）] をクリックして変更を取り消します。

サービスオブジェクト

Firepower サービスオブジェクト

FTD サービスオブジェクト、サービスグループ、およびポートグループは、IP プロトコルスイートの一部が考慮されたプロトコルまたはポートを含む再利用可能なコンポーネントです。

FTD サービスグループは、サービスオブジェクトのコレクションです。1 つのサービスグループには、1 つ以上のプロトコルのオブジェクトを含めることができます。その後、トラフィックの一致基準を定義するためのセキュリティポリシーでオブジェクトを使用して、たとえばアクセスルールを使用して特定の TCP ポートへのトラフィックを許可できます。システムには、一般的なサービス向けの複数の事前定義されたオブジェクトが含まれています。これらのオブジェクトはポリシーで使用できます。ただし、システムで定義されたオブジェクトは編集または削除ができません。

Firepower Device Manager および Firepower Management Center では、サービスオブジェクトをポートオブジェクトとして、およびサービスグループとポートグループとして参照します。

詳細については、「Firepower Threat Defense サービスオブジェクトの作成と編集」を参照してください。

プロトコルオブジェクト

プロトコルオブジェクトは、使用頻度の低いプロトコルやレガシープロトコルを含むサービスオブジェクトの一種です。プロトコルオブジェクトは、名前とプロトコル番号によって識別されます。Security Cloud Control は、ASA および Firepower（FDM による管理デバイス）設定でこれらのオブジェクトを認識し、これらに独自のフィルタ「プロトコル」を適用します。そのため、これらのオブジェクトを簡単に見つけることができます。

詳細については、「Firepower Threat Defense サービスオブジェクトの作成と編集」を参照してください。

ICMP オブジェクト

Internet Control Message Protocol（ICMP）オブジェクトは、ICMP および IPv6-ICMP メッセージ専用のサービスオブジェクトです。Security Cloud Control は、ASA および Firepower がオンボードされたときにデバイスの設定でこれらのオブジェクトを認識し、これらに Security Cloud Control が独自のフィルタ「ICMP」を適用します。そのため、これらのオブジェクトを簡単に見つけることができます。

Security Cloud Control を使用して、ASA 設定から ICMP オブジェクトの名前を変更したり、ICMP オブジェクトを削除したりできます。Security Cloud Control を使用して、Firepower 設定の ICMP および ICMPv6 オブジェクトを作成、更新、および削除できます。

（注）

ICMPv6 プロトコルの場合、AWS は特定の引数の選択をサポートしていません。すべての ICMPv6 メッセージを許可するルールのみがサポートされます。

詳細については、「Firepower Threat Defense サービスオブジェクトの作成と編集」を参照してください。

Firepower サービスオブジェクトの作成および編集

Firepower サービスオブジェクトを作成するには、次の手順を実行します。

Firewall Device Manager（FDM による管理）サービスオブジェクトは、TCP/IP プロトコルとポートを指定する再利用可能なコンポーネントです。Firewall Device Manager、オンプレミス Firewall Management Center およびクラウド提供型 Firewall Management Center では、これらのオブジェクトを「ポートオブジェクト」と呼びます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	> [FTD] > [サービス（Service）] をクリックします。
ステップ 3	オブジェクト名と説明を入力します。
ステップ 4	[サービスオブジェクトの作成（Create a service object）] を選択します。
ステップ 5	[サービスタイプ（Service Type）] ボタンをクリックし、オブジェクトを作成するプロトコルを選択します。
ステップ 6	次の手順に従い、プロトコルを設定します。 TCP、UDP [eq] を選択し、ポート番号またはプロトコル名を入力します。たとえば、ポート番号として 80 を入力したり、プロトコル名として HTTP を入力したりできます。 [範囲（range）] を選択して、ポート番号の範囲を入力することもできます（例、1 65535 （すべてのポートをカバーする場合））。 ICMP、IPv6-ICMP：ICMP タイプを選択します。タイプをすべての ICMP メッセージに適用するには、[任意（Any）] を選択します。タイプとコードについての詳細は、次のページを参照してください。 [ICMP]：http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xml [ICMPv6]：http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xml [その他（Other）]：目的のプロトコルを選択します。
ステップ 7	[追加（Add）] をクリックします。
ステップ 8	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower サービスグループの作成

サービスグループは、1 つ以上のプロトコルを表す 1 つ以上のサービスオブジェクトで構成できます。サービスオブジェクトは、グループに追加する前に作成する必要があります。Firepower Device Manager および Firepower Management Center では、それらのオブジェクトを「ポートオブジェクト」と呼びます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	> [FTD] > [サービス（Service）] をクリックします。
ステップ 3	オブジェクト名と説明を入力します。
ステップ 4	[サービスグループの作成（Create a service group）] を選択します。
ステップ 5	[オブジェクトの追加（Add Object）] をクリックして、オブジェクトをグループに追加します。上記の「Firepower サービスオブジェクトの作成」で行ったように、[作成（Create）] をクリックして新しいオブジェクトを作成します。 [選択（Choose）] をクリックして、既存のサービスオブジェクトをグループに追加します。この手順を繰り返してさらにオブジェクトを追加します。
ステップ 6	サービスグループへのサービスオブジェクトの追加が完了したら、[追加（Add）] をクリックします。
ステップ 7	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower サービスオブジェクトまたはサービスグループの編集

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトをフィルタリングして編集するオブジェクトを見つけ、オブジェクトテーブルでオブジェクトを選択します。
ステップ 3	[アクション（Actions）] ペインで、[編集（Edit）] をクリックします。
ステップ 4	前述の手順で作成したのと同じ方法で、ダイアログボックスの値を編集します。
ステップ 5	[保存（Save）] をクリックします。
ステップ 6	Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。
ステップ 7	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

セキュリティグループタググループ

セキュリティグループタグ

セキュリティグループタグについて

Cisco TrustSec ネットワークでトラフィックを分類するために Cisco Identity Services Engine（ISE）を使用してセキュリティグループタグ（SGT）を定義して使用する場合は、一致基準として SGT を使用するアクセス制御ルールを作成できます。これにより、IP アドレスではなく、セキュリティグループメンバーシップに基づいてアクセスをブロックまたは許可することができます。

ISE で SGT を作成し、各タグにホストまたはネットワークの IP アドレスを割り当てることができます。ユーザーアカウントに SGT を割り当てた場合、SGT はユーザーのトラフィックに割り当てられます。ISE サーバーに接続するように FDM による管理デバイスを構成して SGT を作成した後、Security Cloud Control で SGT グループを作成し、それらに関するアクセス制御ルールを構築できます。SGT を FDM による管理デバイスに関連付ける前に、ISE の SGT 交換プロトコル（SXP）マッピングを構成する必要があることに注意してください。詳細は、現在実行しているバージョンの『Cisco Identity Services Engine 管理者ガイド』の「セキュリティグループタグ交換プロトコル」を参照してください。

FDM による管理デバイスは、アクセス制御ルールのトラフィック一致基準として SGT を評価するときに、次の優先順位を使用します。

パケット内で定義されている送信元 SGT （存在する場合）。宛先の照合は、この手法では行われません。SGT がパケットに含まれるようにするには、ネットワーク内のスイッチとルータがそれらを追加するように設定されている必要があります。このメソッドの実装方法については、ISE のマニュアルを参照してください。
ISE セッションディレクトリからダウンロードされるユーザーセッションに割り当てられた SGT。この種の SGT 照合では、セッションディレクトリ情報をリッスンするオプションを有効にする必要がありますが、このオプションは最初に ISE アイデンティティソースを作成するときにデフォルトでオンになっています。SGT は、送信元または宛先と照合することができます。必須ではありませんが、通常は ISE アイデンティティソースを AD レルムとともに使用してパッシブ認証アイデンティティルールを設定し、ユーザ ID 情報を収集します。

SXP を使用してダウンロードされた SGT-to-IP アドレスマッピング。IP アドレスが SGT の範囲内にある場合、トラフィックは SGT を使用するアクセス制御ルールと一致します。SGT は、送信元または宛先と照合することができます。

（注）

ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。

バージョンサポート

Security Cloud Control は現在、バージョン 6.5 以降を実行している FDM による管理デバイスで SGT および SGT グループをサポートしています。FDM による管理デバイスでは、バージョン 6.5 以降で ISE サーバーを構成して接続できますが、バージョン 6.7 までは UI からの SGT 構成をサポートしていません。

FDM による管理 UI から、これは、バージョン 6.5 以降を実行している FDM による管理デバイスは SGT の SXP マッピングをダウンロードできますが、オブジェクトまたはアクセス制御ルールに手動で追加できないことを意味します。バージョン 6.5 またはバージョン 6.6 を実行しているデバイスの SGT に変更を加えるには、ISE UI を使用する必要があります。ただし、バージョン 6.5 を実行しているデバイスが Security Cloud Control にオンボーディングされている場合は、デバイスに関連付けられている現在の SGT を表示し、SGT グループを作成できます。

Security Cloud Control の SGT

セキュリティグループタグ

SGT は、Security Cloud Control では読み取り専用です。Security Cloud Control で SGT を作成または編集することはできません。SGT を作成するには、現在実行しているバージョンの『Cisco Identity Services Engine 管理者ガイド』を参照してください。https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html

SGT グループ

（注）

FDM による管理デバイスでは、SGT のグループを SGT 動的オブジェクトと呼びます。Security Cloud Control では、これらのタグのリストは現在 SGT グループと呼ばれています。FDM による管理デバイスまたは ISE UI を参照せずに、Security Cloud Control で SGT グループを作成できます。

SGT グループを使用して、ISE によって割り当てられた SGT に基づいて送信元または宛先アドレスを識別します。その後、トラフィックの一致基準を定義するためにアクセス制御ルールでオブジェクトを使用できます。ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。

SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。

Security Cloud Control で SGT グループを作成するには、少なくとも 1 つの構成済み SGT と、使用するデバイスの FDM による管理コンソール用に構成された ISE サーバーからの SGT マッピングが必要です。複数の FDM による管理デバイスが同じ ISE サーバーに関連付けられている場合、SGT または SGT グループを複数のデバイスに適用できます。デバイスが ISE サーバに関連付けられていない場合、アクセスコントロールルールに SGT オブジェクトを含めたり、そのデバイス構成に SGT グループを適用したりすることはできません。

ルール内の SGT グループ

SGT グループをアクセスコントロールルールに追加できます。それらは、送信元または宛先のネットワークオブジェクトとして表示されます。ネットワークがルールでどのように機能するかの詳細は、「FDM アクセスコントロールルールの送信元および宛先の条件」を参照してください。

[オブジェクト（Objects）] ページから SGT グループを作成できます。詳細については、SGT グループの作成を参照してください。

SGT グループの作成

アクセス制御ルールに使用できる SGT グループを作成するには、次の手順を実行します。

始める前に

セキュリティグループタグ（SGT）グループを作成する前に、次の構成または環境を設定しておく必要があります。

FDM による管理デバイスは、少なくともバージョン 6.5 を実行している必要があります。
SXP マッピングをサブスクライブして変更を展開するように ISE アイデンティティソースを設定する必要があります。SXP マッピングを管理するには、使用しているバージョン（バージョン 6.7 以降）用の Firepower Device Manager 設定ガイドの「ISE でのセキュリティグループと SXP パブリッシングの設定」を参照してください。
すべての SGT は ISE で作成する必要があります。SGT を作成するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

> [FTD] > [ネットワーク（Network）] をクリックします。

ステップ 3

[オブジェクト名（Object Name）] を入力します。

ステップ 4

（任意）説明を追加します。

ステップ 5

[SGT] をクリックし、ドロップダウンメニューを使用して、グループに含めるすべての SGT のチェックボックスをオンにします。SGT 名順にリストをソートできます。

ステップ 6

[保存（Save）] をクリックします。

（注）

Security Cloud Control で SGT を作成したり編集したりすることはできません。SGT グループへの追加やグループからの削除のみを実行できます。SGT を作成または編集するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

SGT グループの編集

SGT グループを編集するには、次の手順を使用します。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

オブジェクトフィルタと検索フィールドを使用して、編集する SGT グループを見つけます。

ステップ 3

SGT グループを選択し、[操作（Actions）] ウィンドウで編集アイコンをクリックします。

ステップ 4

SGT グループを変更します。グループに関連付けられた名前、説明、または SGT を編集します。

ステップ 5

[保存（Save）] をクリックします。

（注）

Security Cloud Control で SGT を作成したり編集したりすることはできません。SGT グループへの追加やグループからの削除のみを実行できます。SGT を作成または編集するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

SGT グループのアクセスコントロールルールへの追加

SGT グループをアクセス制御ルールに追加するには、次の手順を実行します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、SGT グループを追加するデバイスを選択します。

ステップ 4

[管理（Management）] ペインで、 [ポリシー（Policy）] を選択します。

ステップ 5

接続元オブジェクトまたは接続先オブジェクトの青いプラスボタンをクリックし、[SGTグループ（SGT Groups）] を選択します。

ステップ 6

オブジェクトフィルタと検索フィールドを使用して、編集する SGT グループを見つけます。

ステップ 7

[保存（Save）] をクリックします。

ステップ 8

すべてのデバイスの設定変更をプレビューして展開します。

（注）

追加の SGT グループを作成する必要がある場合は、[Create New Object] をクリックします。「FTD SGT グループの作成」に記載されている必須情報を入力し、SGT グループをルールに追加します。

Syslog サーバーオブジェクト

FDM による管理デバイスではイベントを保存するための容量が制限されています。イベントのストレージを最大化するために、外部サーバーを構成できます。システムログ（syslog）サーバーのオブジェクトはコネクション型メッセージまたは診断 syslog メッセージを受信できるサーバーを指定します。syslog サーバーにログ収集と分析のための設定がある場合は、Security Cloud Control を使用してオブジェクトを作成してそれらを定義し、関連ポリシーでこのオブジェクトを使用します。

Syslog サーバーオブジェクトの作成および編集

新しい syslog サーバーオブジェクトを作成するには、次の手順を実行します。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	新しいオブジェクトを作成するには、[オブジェクトの作成（Create Object）] ボタンをクリックします。
ステップ 3	FDM による管理デバイスオブジェクトタイプの下で [Syslog サーバ（Syslog Server）] を選択します。
ステップ 4	syslog サーバーオブジェクトのプロパティを設定します。 [IPアドレス（IP Address）]：syslog サーバーの IP アドレスを入力します。 [プロトコルタイプ（Protocol Type）]：syslog サーバーがメッセージの受信に使用するプロトコルを選択します。[TCP] を選択すると、システムは syslog サーバーが利用できない場合を認識して、サーバーが再度利用可能になるまでイベントの送信を停止できます。 [ポート番号（Port Number）]：syslog に使用する有効なポート番号を入力します。syslog サーバーがデフォルトのポートを使用している場合は、デフォルトの UDP ポートとして 514 を入力するか、デフォルトの TCP ポートとして 1470 を入力します。サーバーがデフォルトのポートを使用していない場合は、正しいポート番号を入力します。1025 ～ 65535 の範囲のポートを使用してください。 [インターフェイスの選択（Select an interface）]：診断 syslog メッセージの送信に使用するインターフェイスを選択します。接続および侵入イベントでは常に管理インターフェイスを使用します。インターフェイスの選択によって、syslog メッセージに関連付けられる IP アドレスが決まります。以下にリストされているオプションで選択できるのは 1 つだけです。両方を選択することはできません。次のオプションのいずれかを選択します。 [データインターフェイス（Data Interface）]：選択したデータインターフェイスを診断 syslog メッセージに使用します。生成されたリストからインターフェイスを選択します。サーバーがブリッジグループのメンバーインターフェイスを介してアクセスできる場合、ブリッジグループインターフェイス（BVI）を選択します。診断インターフェイス（物理的な管理インターフェイス）経由でアクセスできる場合は、このオプションではなく [管理インターフェイス（Management Interface）] を選択することを推奨します。パッシブインターフェイスを選択することはできません。データインターフェイスで通信する場合、接続および侵入の syslog メッセージでは、送信元 IP アドレスが管理インターフェイスかゲートウェイインターフェイスで使用されます。 [管理インターフェイス（Management Interface）]：すべてのタイプの syslog メッセージに仮想管理インターフェイスを使用します。データインターフェイスで通信する場合、送信元 IP アドレスが管理インターフェイスかゲートウェイインターフェイスで使用されます。
ステップ 5	[追加（Add）] をクリックします。
ステップ 6	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Syslog サーバーオブジェクトの編集

既存の syslog サーバーオブジェクトを編集するには、次の手順を実行します。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	対象の syslog サーバーオブジェクトを見つけて選択します。オブジェクトリストは、syslog サーバーオブジェクトタイプでフィルタリングできます。
ステップ 3	[アクション（Actions）] ペインで、[編集（Edit）] をクリックします。
ステップ 4	必要な編集を行って、[保存（Save）] をクリックします。
ステップ 5	行った変更を確認します。
ステップ 6	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Secure Logging Analytics（SaaS）の Syslog サーバーオブジェクトの作成

イベントを送信する Secure Event Connector（SEC）の IP アドレス、TCP ポート、または UDP ポートを使用して、syslog サーバーオブジェクトを作成します。テナントにオンボーディングした SEC ごとに 1 つの syslog オブジェクトを作成しますが、1 つのルールから 1 つの SEC を表す 1 つの syslog オブジェクトのみにイベントを送信します。

前提条件

このタスクは、より大きなワークフローの一部です。開始する前に「FDM による管理デバイスに安全なロギング分析（SaaS）を導入する」を参照してください。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

新しいオブジェクトを作成するには、[オブジェクトの作成（Create Object）] ボタンをクリックします。

ステップ 3

FDM による管理デバイスオブジェクトタイプの下で [Syslogサーバー（Syslog Server）] を選択します。

ステップ 4

syslog サーバーオブジェクトのプロパティを設定します。SEC のこれらのプロパティを見つけるには、左側のナビゲーションペインで、[ツールとサービス（Tools & Services）] > [セキュアコネクタ（Secure Connectors）]を選択します。次に、syslog オブジェクトを設定する Secure Event Connector を選択し、右側の [詳細（Details）] ペインを調べます。

[IP アドレス（IP Address）]：SEC の IP アドレスを入力します。
[プロトコルタイプ（Protocol Type）]：TCP または UDP を選択します。
[ポート番号（Port Number）]：TCP を選択した場合はポート 10125、UDP を選択した場合は 10025 を入力します。
[インターフェイスの選択（Select an interface）]：SEC に到達するように設定されたインターフェイスを選択します。

（注）

FDM による管理デバイスは IP アドレスごとに 1 つの syslog オブジェクトをサポートするため、TCP と UDP のどちらを使用するかを選択する必要があります。

ステップ 5

[追加（Add）] をクリックします。

次のタスク

セキュアロギング分析（SaaS）を導入し、Secure Event Connector を介して Cisco Cloud にイベントを送信するための既存の Security Cloud Control カスタマーワークフローのステップ 3 に進みます。

Security Cloud Control のセキュリティポリシーの管理

セキュリティポリシーは、目的の宛先へのトラフィックを許可するか、セキュリティ脅威が特定された場合にトラフィックをドロップすることを最終的な目標として、ネットワークトラフィックを検査します。Security Cloud Control を使用して、さまざまな種類のデバイスでセキュリティポリシーを設定できます。

FDM ポリシー設定
ネットワークアドレス変換

FDM ポリシー設定

セキュリティポリシーは、目的の宛先へのトラフィックを許可するか、セキュリティ脅威が特定された場合にトラフィックをドロップすることを最終的な目標として、ネットワークトラフィックを検査します。Security Cloud Control を使用して、FDM による管理デバイスのセキュリティポリシーのすべてのコンポーネントを管理します。

FDM による管理アクセスコントロールポリシー

Security Cloud Control を使用して、FDM による管理デバイスのアクセスコントロールポリシーを管理できます。アクセスコントロールポリシーは、アクセスコントロールルールに照らしてネットワークトラフィックを評価することで、ネットワークリソースへのアクセスを制御します。FDM による管理デバイスは、アクセスコントロールルールの条件を、アクセスコントロールポリシーに表示される順序で、ネットワークトラフィックと比較します。アクセスコントロールルールのすべてのトラフィック条件が次の場合の動作を以下に示します。

[信頼（Trust）]：どのような種類のインスペクションも行わずにトラフィックを許可します。
[許可（Allow）]：ポリシーで侵入およびその他のインスペクション設定の対象となるトラフィックを許可します。
[ブロック（Block）]：トラフィックを無条件でドロップします。トラフィックのインスペクションは実行されません。

アクセスコントロールポリシーのどのルールもネットワークトラフィックと一致しない場合、FDM による管理デバイスはアクセスコントロールルールの下にリストされているデフォルトのアクションを実行します。

FDM による管理アクセスコントロールポリシーの読み込み

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックして、ポリシーを読み込むデバイスを選択します。
ステップ 4	右側の [管理（Management）] ペインで、 [ポリシー（Policy）] を選択します。
ステップ 5	ポリシー全体が表示されるようにするには、[フィルタ処理（Filter）] パネルで [すべて表示（Show All）] をクリックします。
ステップ 6	ルール列の表示を切り替えて、列の数を増やしたり減らしたりしてルールを表示します。FDM による管理デバイスでのアクセス制御ルールの確認に慣れている場合は、ルール列の表示を切り替えて、より多くの列を表示します。ポリシー内のルールを読み取る方法の例を次に示します。すべてのトラフィックは、最初にルール 1 に照らし合わせて一致しているかどうか評価されます。トラフィックがルール 1 に一致する場合、そのルールのアクションがトラフィックに適用されます。内部ゾーンに位置するアフリカまたはオーストラリアで HTTP または HTTPS ポートから開始されたトラフィックが、外部ゾーンに位置するオーランド諸島またはアルバニアの任意のポートを経由して ABC または About.com に到達する場合に、送信元から宛先へのフローが許可されています。また、侵入ポリシーとファイルポリシーがルールに適用され、ルールから発生したイベントがログに記録されていることもわかります。

FDM アクセスコントロールポリシーの設定

FDM による管理デバイスには単一のポリシーがあります。そのポリシーの一セクションにアクセス制御ルールがあります。議論を容易にするために、アクセス制御ルールを持つポリシーのセクションをアクセスコントロールポリシーと呼びます。FDM による管理デバイスを導入準備した後、アクセスコントロールポリシーにルールを追加するか、ルールを編集します。

新しい FDM による管理デバイスをオンボーディングしている場合、インポートされたポリシーにルールがない可能性があります。その場合、FDM ポリシーページを開くと、「結果が見つかりませんでした」というメッセージが表示されます。このメッセージが表示された場合は、FDM 管理対象デバイスポリシーへのルールの追加を開始し、Security Cloud Control からデバイスにそれらのルールを展開できます。

始める前のヒント

条件をアクセスコントロールルールに追加する場合は、次のヒントを参考にしてください。

条件をルールに追加するときに、一部の条件のカスタムオブジェクトを作成できます。カスタムオブジェクトを作成するためのリンクをダイアログボックスで探します。
1 つのルールにつき複数の条件を設定できます。ルールがトラフィックに適用されるには、トラフィックがそのルールのすべての条件に一致する必要があります。たとえば、特定のホストまたはネットワークの URL フィルタリングを行う単一のルールを使用できます。
ルールの条件ごとに、最大 50 の条件を追加できます。条件の基準のいずれかに一致するトラフィックはその条件を満たします。たとえば、最大 50 のアプリケーションまたはアプリケーションフィルタにアプリケーション制御を適用する単一のルールを使用できます。したがって、単一の条件では項目間に OR 関係がありますが、条件タイプ間（たとえば、送信元/宛先とアプリケーション間）には AND 関係があります。
一部の機能では、適切な Firepower ライセンスを有効にする必要があります。
一部の編集タスクでは、編集モードに入る必要がない場合もあります。ポリシーページでは、条件列内の [+] ボタンをクリックしてルールの条件を変更し、ポップアップダイアログボックスで希望するオブジェクトまたは要素を選択できます。オブジェクトまたは要素の [x] をクリックすると、そのオブジェクトまたは要素が削除されます。

FDM による管理アクセスコントロールポリシーの作成または編集

次の手順を使用して、Cisco Security Cloud Control を使用して FDM による管理アクセスコントロールポリシーを編集します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ポリシーを編集するアクセス制御を選択します。

ステップ 4

右側の [管理（Management）] ペインで、 [ポリシー（Policy）] を選択します。

ステップ 5

次のいずれかを実行します。

新しいルールを作成するには、青色のプラスボタンをクリックします。
既存のルールを編集するには、ルールを選択し、[アクション（Actions）] ペインの編集アイコンをクリックします。(単純な編集は、編集モードに移行せずにインラインで実行することも可能です。)
不要になったルールを削除するには、ルールを選択し、操作ウィンドウで削除アイコンをクリックします。
ポリシー内でルールを移動させるには、アクセスコントロールテーブルでルールを選択し、ルールの行の最後にある上下の矢印をクリックしてルールを移動します。

ルールを編集または追加する場合は、引き続き残りの手順を実行します。

ステップ 6

[順序（Order）] フィールドで、ポリシー内のルールの位置を選択します。ネットワークトラフィックは、ルールのリストに照らして 1 から最後の番号までの順に評価されます。

ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。

デフォルトでは、ルールはリストの最後に追加されます。ルールの順序を後で変更する場合、このオプションを編集します。

ステップ 7

ルール名を入力します。英数字、スペース、および次の特殊文字を使用できます： + . _ -

ステップ 8

ネットワークトラフィックがルールに一致する場合に適用するアクションを選択します。

[信頼（Trust）]：どのような種類のインスペクションも行わずにトラフィックを許可します。
[許可（Allow）]：ポリシーで侵入およびその他のインスペクション設定の対象となるトラフィックを許可します。
[ブロック（Block）]：トラフィックを無条件でドロップします。トラフィックのインスペクションは実行されません。

ステップ 9

次のタブ内の属性を任意に組み合わせて、トラフィック一致基準を定義します。

[送信元（Source）]：[送信元（Source）] タブをクリックして、ネットワークトラフィックが発信されるセキュリティゾーン（インターフェイス）、ネットワーク（ネットワーク、大陸、カスタム地理位置情報を含む）ポートを追加または削除します。デフォルト値は、 [任意（Any）] です。
[接続先（Destination）]：[接続先（Destination）] タブをクリックして、ネットワークトラフィックが到着するセキュリティゾーン（インターフェイス）、ネットワーク（ネットワーク、大陸、カスタム地理位置情報を含む）、ポートを追加または削除します。デフォルト値は、 [任意（Any）] です。「FDM アクセス制御ルールの送信元および宛先の条件」を参照してください。
[アプリケーション（Application）]：[アプリケーション（Application）] タブをクリックして、Web アプリケーション、またはタイプ、カテゴリ、タグ、リスク、ビジネスとの関連性ごとにアプリケーションを定義するフィルタを追加または削除します。デフォルトはすべてのアプリケーションです。「FDM アクセス制御ルールの適用基準」を参照してください。
[URL]：[URL] タブをクリックして、Web リクエストの URL や URL カテゴリを追加または削除します。デフォルトはすべての URL です。URL カテゴリとレピュテーションフィルタを使用してこの条件を微調整する方法については、「FDM アクセス制御ルールの URL 条件」を参照してください。

[ユーザー（Users） ]：Active Directory レルムオブジェクト、特別なアイデンティティ（失敗した認証、ゲスト、非認証、不明）や Firewall Device Manager からルールに追加されたユーザーグループは、ルール行には表示されますが、Security Cloud Control ではまだ編集できません。

注意	個々のユーザーオブジェクトは、Security Cloud Control のアクセスコントロールポリシールールにはまだ表示されません。FDM による管理にログインして、個々のユーザーオブジェクトがアクセスコントロールポリシールールに及ぼす影響を確認します。

ステップ 10

（任意、許可アクションのあるルールの場合）侵入やエクスプロイトについてトラフィックを検査するには、[侵入ポリシー（Intrusion Policy）] タブをクリックして、侵入検査ポリシーを割り当てます。「FDM アクセス制御ルールの侵入ポリシーの設定」を参照してください。

侵入ポリシールールによって生成された侵入イベントをログに記録するには、デバイスの「ロギング設定の設定」を参照してください。

ステップ 11

（任意、許可アクションのあるルールの場合）[ファイルポリシー（File Policy）] タブをクリックして、マルウェアを含むファイルやブロックする必要があるファイルのトラフィックを検査するファイルポリシーを割り当てます。「FDM アクセス制御ルールのファイルポリシーの設定」を参照してください。

ファイルポリシールールによって生成されたファイルイベントをログに記録するには、デバイスの「ロギングの設定の設定」を参照してください。

ステップ 12

（任意）[ロギング（Logging）] タブをクリックしてロギングを有効にし、アクセス制御ルールによって報告された接続イベントを収集します。

ロギング設定の詳細については、「FDM アクセス制御ルールのロギング設定」を参照してください。

Cisco Security Analytics and Logging に登録する場合、SEC の IP アドレスとポートを使用して syslog オブジェクトを設定することで、Security Cloud Control で接続イベントを設定して Secure Event Connector に送信できます。この機能の詳細については、「Cisco Security Analytics and Logging」を参照してください。テナントにオンボーディングした SEC ごとに 1 つの syslog オブジェクトを作成しますが、1 つのルールによって生成されたイベントのみを 1 つの SEC を表す 1 つの syslog オブジェクトに送信します。

ステップ 13

[保存（Save）] をクリックします。セキュリティポリシーの特定ルールの設定が完了しました。

ステップ 14

セキュリティポリシー全体のデフォルトアクションを設定できます。デフォルトアクションでは、ネットワークトラフィックがアクセスコントロールポリシー、侵入ポリシー、ファイル/マルウェアポリシーのどのルールにも適合しない場合の処理を定義します。

ステップ 15

ポリシーのデフォルトアクションをクリックします。

ステップ 16

上記のステップ 9 で行ったように侵入ポリシーを設定します。

ステップ 17

デフォルトアクションによって生成される接続イベントのロギングを設定します。

Cisco Security Analytics and Logging のサブスクリプションがある場合、SEC の IP アドレスとポートを使用して syslog オブジェクトを設定することで、デフォルトアクションによって生成されたイベントを Secure Event Connector（SEC）に送信できます。この機能の詳細については、「Cisco Security Analytics and Logging」を参照してください。テナントにオンボーディングした SEC ごとに 1 つの syslog オブジェクトを作成しますが、ルールによって生成されたイベントのみを 1 つの SEC を表す 1 つの syslog オブジェクトに送信します。

ステップ 18

（オプション）自分で作成したルールの場合、ルールを選択して、[コメントを追加（Add Comments）] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

ステップ 19

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

アクセスポリシーの設定

ポリシー内の特定のルールではなく、アクセスポリシーを対象にした設定を行うことができます。

手順

次の設定は、ポリシー内の特定のルールではなく、アクセスポリシー全体を対象としています。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、ポリシーを編集するアクセス制御を選択します。
ステップ 4	右側の [管理（Management）] ペインで、 [ポリシー（Policy）] を選択します。
ステップ 5	[設定（Settings）] アイコンをクリックして、次の設定を行います。 [TLSサーバーアイデンティティ検出]：TLS 1.3 証明書は暗号化されます。TLS 1.3 で暗号化されたトラフィックで、アプリケーションまたは URL フィルタリングを使用するアクセスルールに対応するには、システムが TLS 1.3 証明書を復号する必要があります。暗号化された接続が適切なアクセス制御ルールに適合していることを確認するために、このオプションを有効にすることを推奨します。この設定では、証明書のみが復号されます。接続は暗号化されたままになります。TLS 1.3 証明書を復号するには、このオプションを有効にするだけで十分です。対応する SSL 復号ルールを作成する必要はありません。ソフトウェアバージョン 6.7 以降を実行している FDM による管理デバイスで使用できます。 [DNSトラフィックへのレピュテーション適用]：URL フィルタリングカテゴリとレピュテーションルールを DNS ルックアップ要求に適用するには、このオプションを有効にします。ルックアップ要求の完全修飾ドメイン名（FQDN）にブロックしているカテゴリやレピュテーションがある場合、システムは DNS 応答をブロックします。ユーザーは DNS 解決を受信しないため、ユーザーは接続を完了できません。非 Web トラフィックに URL カテゴリおよびレピュテーションフィルタリングを適用するには、このオプションを使用します。詳細については、「DNS 要求のフィルタリング」を参照してください。ソフトウェアバージョン 7.0 以降を実行している FDM による管理デバイスで使用できます。
ステップ 6	[保存（Save）] をクリックします。

TLS サーバーアイデンティティ検出について

通常、TLS 1.3 証明書は暗号化されます。TLS 1.3 で暗号化されたトラフィックで、アプリケーションまたは URL フィルタリングを使用するアクセスルールに対応するには、システムが TLS 1.3 証明書を復号する必要があります。暗号化された接続が適切なアクセス制御ルールに適合していることを確認するために、早期アプリケーション検出と URL 分類を有効にすることを推奨します。この設定では、証明書のみが復号されます。接続は暗号化されたままになります。

（注）

この機能は現在のところ、ソフトウェアバージョン 6.7 以降を実行している FDM による管理デバイスで使用できます。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、ポリシーを編集するアクセス制御を選択します。
ステップ 4	右側の [管理（Management）] ペインで、 [ポリシー（Policy）] を選択します。
ステップ 5	設定ボタンをクリックします。
ステップ 6	[TLSサーバーアイデンティティ検出（TLS Server Identity Discovery）] の横にあるスライダをクリックして、暗号化された接続の早期アプリケーション検出と URL 分類を有効にします。
ステップ 7	[保存（Save）] をクリックします。

FDM による管理アクセスコントロールルールのコピー

アクセスコントロールルールをコピーするにはこの手順に従い、現在の位置からコピーして同じポリシー内の新しい位置に貼り付けるか、別の FDM による管理デバイスのポリシーに貼り付けます。ルールはポリシー内の他のルールの前または後に貼り付けることができるため、ポリシー内における適切な順序でネットワークトラフィックを評価します。

デバイス内のルールのコピー

FDM による管理デバイス内でルールをコピーするには、次の手順を実行します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ポリシーを編集する FDM による管理デバイスを選択します。

ステップ 4

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。

ステップ 5

コピーする 1 つ以上のアクセス制御ルールを選択し、右側の [アクション（Actions）] ペインで [コピー（Copy）] をクリックします。

ステップ 6

ルールの貼り付け先のポリシーで、コピーしたルールを貼り付ける位置の上または下にあるルールを選択し、[アクション（Actions）] ペインで次のオプションのいずれかをクリックします。

[前に貼り付け（Paste Before）]：選択したルールの上に 1 つ以上のルールを自動的に貼り付けます。これにより、コピーされたルールは、選択したルールの前に配置されます。
[後に貼り付け（Paste After）]：選択したルールの下に 1 つ以上のルールを自動的に貼り付けます。これにより、コピーされたルールは、選択したルールの後に配置されます。

貼り付け操作は、必要な位置に複数回実行できます。

（注）

ルールを FDM による管理デバイス内に貼り付けるときに、同じ名前のルールが存在する場合、「-Copy」が元の名前に追加されます。この変更名も存在する場合は、元の名前に「- Copy n」が追加されます。たとえば、「rule name - Copy 2」になります。

ステップ 7

変更内容を確認し、「Cisco Security Cloud Control から FTD への設定変更の展開」をすぐに実行するか、複数の変更を後で一度に展開します。

任意の FDM による管理デバイスポリシーから別の FDM による管理デバイスポリシーへのルールのコピー

任意の FDM による管理デバイスポリシーから別の FDM による管理デバイスポリシーにルールをコピーすると、ルールに関連付けられているオブジェクトも新しい FDM による管理デバイスにコピーされます。

ルールを貼り付けるときに、いくつかの条件が Security Cloud Control で検証されます。詳細については、「別の FTD にルールを貼り付けるときのオブジェクトの動作」を参照してください。

重要	重要：ソフトウェアのバージョンが両方のデバイスで同じ場合にのみ、Security Cloud Control で任意の FDM による管理デバイスから別の FDM による管理デバイスにルールをコピーできます。ソフトウェアのバージョンが異なる場合、ルールを貼り付けようとすると、「このデバイスのバージョンと互換性がないため、ルールを貼り付けることができませんでした」というエラーが表示されます。[詳細（Details）] リンクをクリックすると、エラーの詳細が表示されます。ルールを別の FDM による管理デバイスにコピーするには、次の手順を実行します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ルールのコピー元のデバイスを選択します。

ステップ 4

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。

ステップ 5

コピーする 1 つ以上のアクセス制御ルールを選択し、右側の [アクション（Actions）] ペインで [コピー（Copy）] をクリックします。

ステップ 6

セキュリティデバイスをクリックし、ルールを貼り付ける FDM による管理デバイスに移動します。

ステップ 7

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。

ステップ 8

コピーしたルールの貼り付け先のポリシーで、貼り付ける位置の前または後にあるルールを選択し、[アクション（Actions）] ペインで [前に貼り付け（Paste Before）] または [後に貼り付け（Paste After）] をクリックします。

ステップ 9

コピーしたルールと一緒に貼り付けるアクセス制御ルールがある場合は選択し、[アクション（Actions）] ペインで次のオプションのいずれかをクリックします。

[前に貼り付け（Paste Before）]：選択したルールの上に 1 つ以上のルールを自動的に貼り付けます。これにより、コピーされたルールは、選択したルールの前にネットワークトラフィックを評価します。
[後に貼り付け（Paste After）]：選択したルールの下に 1 つ以上のルールを自動的に貼り付けます。これにより、コピーされたルールは、選択したルールの後にネットワークトラフィックを評価します。

貼り付け操作は、必要な位置に複数回実行できます。

（注）

ルールを別の FDM による管理デバイスに貼り付けるときに、同じ名前のルールが存在する場合、「-Copy」が元の名前に追加されます。この変更名も存在する場合は、元の名前に「-Copy n」が追加されます。たとえば、「rule name-Copy 2」になります。

ステップ 10

別の FDM による管理デバイスにルールをコピーすると、コピー先のデバイスの [設定ステータス（Configuration Status）] は [未同期（Not Synced）] 状態になります。変更内容を確認し、「Cisco Security Cloud Control から FTD への設定変更の展開」をすぐに実行するか、複数の変更を後で一度に展開します。

FDM による管理アクセスコントロールルールの移動

アクセスコントロールルールを移動するにはこの機能を使用し、現在の位置から切り取って同じポリシー内の新しい位置に貼り付けるか、別の FDM による管理デバイスのポリシーに貼り付けます。ルールはポリシー内の他のルールの前または後に貼り付けることができるため、ポリシー内における適切な順序でネットワークトラフィックを評価します。

デバイス内のルールの移動

FDM による管理デバイス内でルールを移動するには、次の手順を実行します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ポリシーを編集する FDM による管理デバイスを選択します。

ステップ 4

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。

ステップ 5

移動する 1 つ以上のアクセス制御ルールを選択し、右側の [アクション（Actions）] ペインで [切り取り（Cut）] をクリックします。選択したルールが黄色で強調表示されます。注：選択をキャンセルする場合は、任意のルールを選択して [コピー（Copy）] をクリックします。

ステップ 6

切り取ったルールの貼り付け先のポリシーで、貼り付ける位置の前または後にあるルールを選択し、[アクション（Actions）] ペインで次のオプションのいずれかをクリックします。

[前に貼り付け（Paste Before）]：選択したルールの上に 1 つ以上のルールを自動的に貼り付けます。これにより、切り取ったルールは、選択したルールの前にネットワークトラフィックを評価します。
[後に貼り付け（Paste After）]：選択したルールの下に 1 つ以上のルールを自動的に貼り付けます。これにより、切り取ったルールは、選択したルールの後にネットワークトラフィックを評価します。

貼り付け操作は、必要な位置に複数回実行できます。

（注）

ルールを FDM による管理デバイス内に貼り付けるときに、同じ名前のルールが存在する場合、「-Copy」が元の名前に追加されます。この変更名も存在する場合は、元の名前に「- Copy n」が追加されます。たとえば、「rule name - Copy 2」になります。

ステップ 7

変更内容を確認し、「Cisco Security Cloud Control から FTD への設定変更の展開」をすぐに実行するか、複数の変更を後で一度に展開します。

任意の FDM による管理デバイスポリシーから別の FDM による管理デバイスポリシーへのルールの移動

任意の FDM による管理デバイスポリシーから別の FDM による管理デバイスポリシーにルールを移動すると、ルールに関連付けられているオブジェクトも新しい FDM による管理デバイスにコピーされます。

ルールを貼り付けるときに、いくつかの条件が Security Cloud Control で検証されます。これらの条件の詳細については、「別の FTD にルールを貼り付けるときのオブジェクトの動作」を参照してください。

ルールを別の FDM による管理デバイスに移動するには、次の手順を実行します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、ルールのコピー元の FDM による管理デバイスを選択します。

ステップ 4

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。

ステップ 5

移動する 1 つ以上のアクセス制御ルールを選択し、右側の [アクション（Actions）] ペインで [切り取り（Cut）] をクリックします。

ステップ 6

セキュリティデバイスをクリックし、1 つ以上の選択したルールの移動先となる FDM による管理デバイスに移動します。

ステップ 7

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。

ステップ 8

切り取ったルールの貼り付け先のポリシーで、貼り付ける位置の前または後にあるルールを選択し、[アクション（Actions）] ペインで [前に貼り付け（Paste Before）] または [後に貼り付け（Paste After）] をクリックします。

[前に貼り付け（Paste Before）]：選択したルールの上に 1 つ以上のルールを自動的に貼り付けます。これにより、切り取ったルールは、選択したルールの前にネットワークトラフィックを評価します。
[後に貼り付け（Paste After）]：選択したルールの下に 1 つ以上のルールを自動的に貼り付けます。これにより、切り取ったルールは、選択したルールの後にネットワークトラフィックを評価します。

貼り付け操作は、必要な位置に複数回実行できます。

（注）

ルールを FDM による管理デバイス内に貼り付けるときに、同じ名前のルールが存在する場合、「-Copy」が元の名前に追加されます。この変更名も存在する場合は、元の名前に「- Copy n」が追加されます。たとえば、「rule name - Copy 2」になります。

ステップ 9

FDM による管理デバイス間でルールをコピーすると、コピー元とコピー先のデバイスの [設定ステータス（Configuration Status）] は [未同期（Not Synced）] 状態になります。変更内容を確認し、「Cisco Security Cloud Control から FDM 管理対象デバイスへの設定変更の展開」をすぐに実行するか、複数の変更を後で一度に展開します。

別のデバイスにルールを貼り付けるときのオブジェクトの動作

オブジェクトが含まれるルールを切り取りまたはコピーして別の FDM による管理デバイスポリシーに貼り付けた場合、次のいずれかの条件を満たしていると、Security Cloud Control はルール内のオブジェクトを貼り付け先の FDM による管理デバイスにコピーします。

すべてのタイプのオブジェクト（セキュリティゾーンを除く）の場合

コピー先のデバイス内にそのオブジェクトがない場合、Security Cloud Control は最初にコピー先のデバイスにオブジェクトを作成してから、ルールを貼り付けます。
コピー先のデバイスには、コピー元のデバイスと同じ名前と同じ値を持つオブジェクトが存在します。

セキュリティゾーンオブジェクトの場合

コピー先のデバイスには、コピー元と同じ名前と同じインターフェイスを持つセキュリティゾーンが存在します。
コピー先のデバイスには同じセキュリティゾーンオブジェクトは存在せず、コピー先で使用するためのインターフェイスがあります。
コピー先のデバイスには空のセキュリティゾーンオブジェクトが存在し、コピー先で使用するためのインターフェイスがあります。

Active Directory（AD）レルムを含むオブジェクトの場合

Security Cloud Control は、同じ名前のレルムがターゲットデバイスにすでに存在する場合にのみ、Active Directory（AD）レルムオブジェクトを含むルールを貼り付けます。

重要	次の条件下では、貼り付け操作に失敗します。 2 つのデバイスバージョン間で脆弱性、地理位置情報、侵入、URL データベースに違いがある場合、Security Cloud Control はルールをターゲットデバイスに貼り付けられません。新しいデバイスでルールを手動で再作成する必要があります。追加するルールに、「管理専用」タイプのインターフェースを含むセキュリティゾーンがある場合。

FDM による管理アクセスコントロールルールの送信元および宛先の条件

アクセスルールの送信元および宛先の基準によって、トラフィックが通過するセキュリティゾーン（インターフェイス）、IP アドレスや IP アドレスの国や大陸（地理的位置）、またはトラフィックで使用されるプロトコルとポートが定義されます。デフォルトは、すべてのゾーン、アドレス、地理的位置、プロトコル、およびポートです。

アクセスコントロールルールの送信元または宛先の条件を変更する場合は、「FDM アクセスコントロールポリシーの設定」の手順を使用してルールを編集できます。簡単な編集は、編集モードに移行せずに実行できます。ポリシーページで、ルールを選択し、送信元または宛先条件列内で [+] ボタンをクリックし、ポップアップダイアログボックスで新しいオブジェクトまたは要素を選択することにより、ルールの条件を変更できます。オブジェクトまたは要素の [x] をクリックすると、そのオブジェクトまたは要素が削除されます。

次の基準を使用して、ルールに一致する送信元および宛先を特定できます。

送信元ゾーン、宛先ゾーン

トラフィックが通過するインターフェイスを定義するセキュリティゾーンオブジェクト。1 つの基準を定義する、両方の基準を定義する、またはどちらの基準も定義しないことができます。指定しない基準は、すべてのインターフェイスのトラフィックに適用されます。

ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン（Destination Zones）] に追加します。
ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン（Source Zones）] に追加します。
送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

トラフィックがデバイスに出入りする場所に基づいてルールを適用する必要がある場合は、この基準を使用します。たとえば、ホスト内部に向かうすべてのトラフィックが侵入検査を受けるようにする場合は、内部ゾーンを [送信先ゾーン（Destination Zones）] として選択し、送信元ゾーンは空白のままにします。侵入フィルタリングをルールに含めるには、ルールのアクションを [許可（Allow）] にし、ルールで侵入ポリシーを選択する必要があります。

（注）

1 つのルールにパッシブセキュリティゾーンとルーテッドセキュリティゾーンを混在させることはできません。さらに、パッシブセキュリティゾーンは送信元ゾーンとしてのみ指定でき、宛先ゾーンとして指定することはできません。

送信元ネットワーク、宛先ネットワーク

トラフィックのネットワークアドレスまたは場所を定義する、ネットワークオブジェクトまたは地理的位置。

IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク（Source Networks）] を設定します。
IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク（Destination Networks）] を設定します。
送信元（Source）ネットワーク条件と宛先（Destination）ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

この条件を追加する場合、次のタブから選択します。

[ネットワーク（Network）]：制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワークオブジェクトまたはグループを選択します。完全修飾ドメイン名（FQDN）を使用してアドレスを定義するオブジェクトを使用できます。このアドレスは DNS ルックアップによって判別されます。
[地理位置情報（Geolocation）]：位置情報機能を選択して、その送信元または宛先の国や大陸に基づいてトラフィックを制御できます。大陸を選択すると、大陸内のすべての国が選択されます。ルール内で地理的位置を直接選択する以外に、作成した地理位置オブジェクトを選択して、場所を定義することもできます。地理的位置を使用すると、特定の国で使用されているすべての潜在的な IP アドレスを知る必要なく、その国へのアクセスを簡単に制限できます。

（注）

最新の地理的位置データを使用してトラフィックをフィルタ処理できるように、地理位置情報データベース（GeoDB）を定期的に更新することを強くお勧めします。

送信元ポート、宛先ポート/プロトコル

トラフィックで使用されるプロトコルを定義するポートオブジェクト。TCP/UDP では、これにポートを含めることができます。ICMP では、コードとタイプを含めることができます。

プロトコルまたはポートからのトラフィックを照合するには、[送信元ポート（Source Ports）] を設定します。送信元ポートを使用できるのは、TCP/UDP のみです。
プロトコルまたはポートへのトラフィックを照合するには、[宛先ポート/プロトコル（Destination Ports/Protocols）] を設定します。宛先ポートだけを条件に追加する場合は、異なるトランスポートプロトコルを使用するポートを追加できます。ICMP およびその他の非 TCP/UDP 仕様は、宛先ポートでのみ許可されます。送信元ポートでは許可されません。
特定の TCP/UDP ポートから発生し、特定の TCP/UDP ポートに向かうトラフィックを照合するには、両方設定します。送信元ポートと宛先ポートの両方を条件に追加する場合、単一のトランスポートプロトコル、TCP、または UDP を共有するポートのみを追加できます。たとえば、ポート TCP/80 からポート TCP/8080 へのトラフィックを対象にできます。

FDM による管理アクセス制御ルールの URL 条件

アクセス制御ルールの URL 条件では、Web 要求で使用される URL または要求された URL が属するカテゴリを定義します。カテゴリが一致する場合は、許可またはブロックするためのサイトの相対レピュテーションも指定できます。デフォルトでは、すべての URL が許可されます。

URL のカテゴリおよびレピュテーションにより、アクセスコントロールルールの URL 条件をすぐに作成できます。たとえば、すべてのゲームサイトやリスクの高いすべてのソーシャルネットワーキングサイトをブロックできます。ユーザがそのカテゴリとレピュテーションの組み合わせで URL を閲覧しようとすると、セッションがブロックされます。

カテゴリデータおよびレピュテーションデータを使用することで、ポリシーの作成と管理も簡素化されます。この方法では、システムが Web トラフィックを期待通りに確実に制御します。最後に、脅威インテリジェンスは新しい URL だけでなく、既存の URL に対する新しいカテゴリとリスクで常に更新されるため、システムは確実に最新の情報を使用して、要求された URL をフィルタします。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表す悪意のあるサイトは、組織でポリシーを更新したり新規ポリシーを展開したりするペースを上回って次々と出没する可能性があります。

アクセス制御ルールの URL や URL カテゴリ条件を変更する場合は、「FTD アクセスコントロールポリシーの設定」の手順を使用してルールを編集できます。簡単な編集は、編集モードに移行せずに実行できます。ポリシーページで、ルールを選択してから URL 条件列内で [+] ボタンをクリックし、ポップアップダイアログボックスで新しいオブジェクト、要素、URL レピュテーション、または URL カテゴリを選択すると、URL 条件を変更できます。オブジェクトまたは要素の [x] をクリックすると、そのオブジェクトまたは要素が削除されます。

青いプラスアイコンをクリックし、URL オブジェクト、グループ、または URL カテゴリを選択して [保存（Save）] をクリックします。必要な URL オブジェクトが存在しない場合は、[新しいオブジェクトの作成（Create New Object）] をクリックします。URL オブジェクトの詳細については、「FDM URL オブジェクトの作成と編集」を参照してください。

URL フィルタリングのライセンス要件

URL フィルタリングを使用するには、FDM による管理デバイスで URL ライセンスを有効にする必要があります。

ルールで使用される URL カテゴリのレピュテーションの指定

デフォルトでは、URL カテゴリ内のすべての URL は、ルールに従って同じように扱われます。たとえば、ソーシャルネットワークの URL をブロックするルールがある場合、レピュテーションに関係なくすべてをブロックします。この設定を調整して、リスクの高いソーシャルネットワークサイトのみをブロックできます。同様に、ある URL カテゴリにおいては、リスクの高いサイトを除くすべての URL を許可することができます。

アクセス制御ルールの URL カテゴリでレピュテーションフィルタを使用するには、次の手順を実行します。

手順

ステップ 1	[FDMポリシー（FDM Policy）] ページで、編集するルールを選択します。
ステップ 2	[編集（Edit）] をクリックします。
ステップ 3	[URLs] タブをクリックします。
ステップ 4	青色のプラスボタンをクリックし、URL カテゴリを選択します。
ステップ 5	[選択したカテゴリにすべてのレピュテーションを適用（Apply Reputation to Selected Categories）] または選択した URL カテゴリの [任意のレビュテーション（Any Reputation）] リンクをクリックします。
ステップ 6	[任意のレピュテーション（Any Reputation）] チェックボックスをオフにします。
ステップ 7	レピュテーションで URL をフィルタ処理します。ルールにブロックアクションがある場合は、レピュテーションスライダを右にスライドすると、レピュテーションが赤でマークされているサイトのみがブロックされます。たとえば、スライダを [セキュリティリスクのあるサイト（Sites with Security Risks）] にスライドすると、ブロックルールは「セキュリティリスクのあるサイト」、「疑わしいサイト」、および「リスクの高いサイト」をブロックしますが、「よく知られたサイト」と「無害のサイト」からのトラフィックは許可します。ルールに許可アクションがある場合は、レピュテーションスライダを右にスライドすると、レピュテーションが緑でマークされているサイトのみが許可されます。たとえば、スライダを [無害のサイト] にスライドすると、ルールは「既知のサイト」と「無害のサイト」からのトラフィックを許可しますが、「セキュリティリスクのあるサイト」、「疑わしいサイト」、および「リスクの高いサイト」からのトラフィックは許可しません。
ステップ 8	[保存（Save）] をクリックします。
ステップ 9	[選択（Select）] をクリックします。
ステップ 10	[保存（Save）] をクリックします。
ステップ 11	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

FDM による管理アクセスコントロールルールの侵入ポリシーの設定

Firepower システムには複数の侵入ポリシーが付属しています。これらのポリシーは、侵入ルールとプリプロセッサルールの状態を設定し、詳細設定を構成する Cisco Talos Security Intelligence and Research Group によって設計されています。

侵入ポリシーのためのライセンスおよび操作の要件

[ライセンス（Licenses）]：侵入ポリシーをルールに追加するには、FDM による管理デバイスでライセンスを有効にする必要があります
ルールアクション：トラフィックのみを許可するルールに基づいて侵入ポリシーを設定できます。トラフィックを [信頼（trust）] または [ブロック（block）] するように設定されたルールではインスペクションは実行されません。さらに、アクセスコントロールポリシーのデフォルトのアクションが [許可（allow）] の場合は、侵入ポリシーを設定できますが、ファイルポリシーは設定できません。

アクセスコントロールルールに使用可能な侵入ポリシー

トラフィックを許可するアクセスコントロールルールでは、次の侵入ポリシーのいずれかを選択して、トラフィックの侵入やエクスプロイトのインスペクションを実行できます。侵入ポリシーは、復号されたパケットの攻撃をパターンに基づいて調査し、悪意のあるトラフィックをブロックしたり、変更したりします。

ポリシーは、安全性の低いものから高いものへの順で表示されています。

[セキュリティよりも接続性を優先（Connectivity over Security）]：このポリシーは、ネットワークインフラストラクチャのセキュリティよりも接続性（すべてのリソースにアクセスできること）が優先される組織のために作成されています。この侵入ポリシーは、[接続性よりもセキュリティを優先（Security over Connectivity）] ポリシー内で有効になっているルールよりもはるかに少ないルールを有効にします。トラフィックをブロックする最も重要なルールのみが有効にされます。このポリシーは、侵入からの保護を適用する必要があるが、ネットワークのセキュリティにかなり自信がある場合に選択します。
[バランスのとれたセキュリティと接続性（Balanced Security and Connectivity）]：このポリシーは、全体的なネットワークパフォーマンスとネットワークインフラストラクチャのセキュリティのバランスを取るように設計されています。このポリシーは大部分のネットワークに適しています。このポリシーは、侵入防御を適用したい大部分の状況で選択できます。
[接続性よりもセキュリティを優先（Security over Connectivity）]：このポリシーは、ユーザーの利便性よりもネットワークインフラストラクチャのセキュリティが優先される組織のために作成されています。この侵入ポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。このポリシーは、セキュリティが特に重要であるか、トラフィックのリスクが高い場合に選択します。
[最大検出（Maximum Detection）]：このポリシーは、[接続性よりもセキュリティを優先（Security over Connectivity）] ポリシーよりもさらに、ネットワークインフラストラクチャのセキュリティを重視する組織のために作成されています。動作への影響がさらに高くなる可能性があります。たとえば、この侵入ポリシーでは、マルウェア、エクスプロイトキット、古い脆弱性や一般的な脆弱性、および既知の流行中のエクスプロイトを含め、多数の脅威カテゴリのルールを有効にします。このポリシーを選択する場合、正当なトラフィックが過剰にドロップされていないか慎重に評価してください。

FDM による管理アクセスコントロールルールのファイルポリシーの設定

Advanced Malware Protection for Firepower（AMP for Firepower）を使用して悪意のあるソフトウェア、つまり、マルウェアを検出するファイルポリシーを使用します。ファイル制御を実行するファイルポリシーを使用して、ファイルにマルウェアが含まれているかどうかに関係なく、特定のタイプのすべてのファイルを制御することもできます。

AMP for Firepower は、ネットワークトラフィックで検出された潜在的なマルウェアの性質を取得し、ローカルマルウェアファイル分析と事前分類の更新を取得するために AMP クラウドを使用します。AMP クラウドにアクセスし、マルウェアルックアップを実行するため、管理インターフェイスにはインターネットへのパスが必要です。デバイスが対象ファイルを検出すると、ファイルの SHA-256 ハッシュ値を使用してファイルの性質について AMP クラウドに問い合わせます。可能な性質を次に示します。

マルウェア（Malware）：AMP クラウドはファイルをマルウェアクラウドとして分類しました。ファイル内のいずれかのファイルがマルウェアである場合、アーカイブファイル（たとえば zip ファイル）はマルウェアとしてマークされます。
クリーン（Clean）：AMP クラウドはファイルをマルウェアが含まれないクリーンな状態であると分類しました。その中のすべてのファイルがクリーンであれば、アーカイブファイルはクリーンであるとマークされます。
不明（Unknown）：AMP クラウドがまだファイルの性質を指定していません。その中のすべてのファイルが不明であれば、アーカイブファイルは不明であるとマークされます。
利用不可（Unavailable）：システムは、ファイルの性質を判断するために AMP クラウドに問い合わせできませんでした。この性質に関するイベントが、わずかながら存在する可能性があります。これは予期された動作です。複数の「利用不可」イベントが連続して発生している場合、管理アドレスのインターネット接続が正常に機能していることを確認します。

ファイルポリシーのライセンスおよび操作の要件

ライセンス：ファイルポリシーをルールに追加するには、Firepower Device Manager で次の 2 つのライセンスを有効にする必要があります。

ライセンス
マルウェアライセンス

ルールアクション：トラフィックのみを許可するルールに基づいてファイルポリシーを設定できます。トラフィックを [信頼（trust）] または [ブロック（block）] するように設定されたルールではインスペクションは実行されません。さらに、アクセスコントロールポリシーのデフォルトのアクションが [許可（allow）] の場合は、侵入ポリシーを設定できますが、ファイルポリシーは設定できません。

アクセスコントロールルールに使用可能なファイルポリシー

[なし（None）] は、送信したファイルでマルウェアの評価を行わず、特定のファイルをブロックしません。このオプションは、ファイル送信が信頼されている、またはファイル送信の可能性が低い（または不可能である）、あるいはアプリケーションを信頼している、または URL フィルタリングがネットワークを適切に保護しているルールに対して選択します。
[マルウェアをすべてブロック（Block Malware All）] は、AMPクラウドに問い合わせてネットワークを通過するファイルにマルウェアが含まれているかどうかを判断し、脅威を示しているファイルをブロックします。
[クラウドをすべてルックアップ（Cloud Lookup All）] は、AMPクラウドに問い合わせてネットワークを通過するファイルの傾向を取得して記録したうえでその伝送を許可します。
[オフラインドキュメントとアップロードされたPDFをブロック、その他のマルウェアをブロック（Block Office Document and PDF Upload, Block Malware Others）] は、ユーザーによる Microsoft Office のドキュメントと PDF のアップロードをブロックします。AMPクラウドに問い合わせてネットワークを通過するファイルにマルウェアが含まれているかどうかを判断し、脅威を示しているファイルをブロックします。
[オフラインドキュメントのアップロードをブロック、その他のマルウェアをブロック（Block Office Documents Upload, Block Malware Others）] は、ユーザーによる Microsoft Office のドキュメントのアップロードをブロックします。AMPクラウドに問い合わせてネットワークを通過するファイルにマルウェアが含まれているかどうかを判断し、脅威を示しているファイルをブロックします。

FDM による管理アクセスコントロールルールのロギング設定

アクセス制御ルールのロギング設定

アクセスルールのロギング設定は、接続イベントがルールに一致するトラフィックに対して発行されるかどうかを決定します。

組織のセキュリティ上およびコンプライアンス上の要件に従って接続をロギングしてください。生成するイベントの数を抑え、パフォーマンスを向上させることが目標である場合は、分析のために重要な接続のロギングのみを有効にします。しかし、プロファイリングの目的でネットワークトラフィックの広範な表示が必要な場合は、追加の接続のロギングを有効にできます。

注意	サービス妨害（DoS）攻撃の間にブロックされた TCP 接続をロギングすると、システムパフォーマンスに影響し、複数の同様のイベントによってデータベースが過負荷になる可能性があります。ブロックルールにロギングを有効にする前に、そのルールがインターネット側のインターフェイスまたは DoS 攻撃を受けやすい他のインターフェイスを対象としているかどうかを検討します。

手順

ステップ 1

アクセス制御ルールを作成または編集し、[ロギング（Logging）] タブをクリックします。

ステップ 2

ログアクションを指定します。

[接続の開始時と終了時にログを記録する（Log at Beginning and End of Connection）]：接続の開始時と終了時にイベントを発行します。接続終了イベントには接続開始イベントに含まれるすべての情報と、接続中に拾うことができるすべての情報が含まれているため、許可しようとしているトラフィックではこのオプションを選択しないことをお勧めします。両方のイベントのロギングは、システムパフォーマンスに影響する可能性があります。ただし、これはブロックされているトラフィックに許可されている唯一のオプションです。
[接続終了時にログを記録する（Log at End of Connection）]：接続の終了時に接続ログの記録を許可する場合は、このオプションを選択します。これは許可されている、または信頼されているトラフィックに推奨されます。
[ロギングなし（Log None）]：ルールのロギングを無効にするには、このオプションを選択します。これがデフォルトです。

（注）

アクセス制御ルールによって呼び出された侵入ポリシーが侵入を検出して侵入イベントを生成すると、システムはルールのロギング設定に関係なく、侵入が発生した接続の終了を自動的にロギングします。侵入がブロックされた接続では、接続ログ内の接続のアクションは [ブロック（Block）]、理由は [侵入ブロック（Intrusion Block）] ですが、侵入インスペクションを実行するには、許可ルールを使用する必要があります。

ステップ 3

接続イベントの送信先を指定します。

外部 syslog サーバーにイベントのコピーを送信するには、syslog サーバーを定義するサーバーオブジェクトを選択します。必要なオブジェクトがまだ存在しない場合は、作成する必要があります。詳細については、「Syslog サーバーオブジェクトの作成および編集」を参照してください。

デバイスのイベントストレージは限られているため、外部 syslog サーバーにイベントを送信すると、長期的な保存が可能になり、イベント分析が強化されます。

シスコのセキュリティ分析とロギングに登録している場合：

Secure Event Connector（SEC）を介して Cisco Cloud にイベントを送信する場合は、syslog サーバーとして SEC を指定します。これらのイベントは、ファイルポリシーとマルウェアポリシーの接続イベントとともに表示されます。
SEC を介さずに Cisco Cloud に直接イベントを送信する場合は、イベントを記録するタイミング（接続の開始時または終了時）を指定しますが、SEC を syslog サーバーとして指定しないでください。

ステップ 4

ファイルイベント

禁止されたファイルまたはマルウェアイベントのロギングを有効にするには、[ファイルのロギング（Log Files）] のチェックボックスをオンにします。このオプションを設定するには、ルールでファイルポリシーを選択する必要があります。ルールにファイルポリシーを選択している場合、このオプションはデフォルトで有効になっています。このオプションを有効のままにすることを推奨します。

システムは、禁止されたファイルを検出すると、次のイベントタイプのいずれか 1 つを FDM による管理内部バッファに自動的に記録します。

ファイルイベント：検出またはブロックされたファイル（マルウェアファイルを含む）を表します。
マルウェアイベント：検出されたまたはブロックされたマルウェアファイルのみを表します。
レトロスペクティブマルウェアイベント：以前に検出されたファイルでのマルウェア処理が変化した場合に生成されます。

ファイルがブロックされた接続では、接続ログ内の接続のアクションは [ブロック（Block）] ですが、ファイルおよびマルウェアのインスペクションを実行するには、許可ルールを使用する必要があります。接続の原因は、[ファイルモニター（File Monitor）]（ファイルタイプまたはマルウェアが検出された）、[マルウェアブロック（Malware Block）]、[ファイルブロック（File Block）]（ファイルがブロックされた）のいずれかです。

ステップ 5

[保存（Save）] をクリックします。

ステップ 6

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

セキュリティグループタグ

セキュリティグループタグについて

Cisco TrustSec ネットワークでトラフィックを分類するために Cisco Identity Services Engine（ISE）を使用してセキュリティグループタグ（SGT）を定義して使用する場合は、一致基準として SGT を使用するアクセス制御ルールを作成できます。これにより、IP アドレスではなく、セキュリティグループメンバーシップに基づいてアクセスをブロックまたは許可することができます。

ISE で SGT を作成し、各タグにホストまたはネットワークの IP アドレスを割り当てることができます。ユーザーアカウントに SGT を割り当てた場合、SGT はユーザーのトラフィックに割り当てられます。ISE サーバーに接続するように FDM による管理デバイスを構成して SGT を作成した後、Security Cloud Control で SGT グループを作成し、それらに関するアクセス制御ルールを構築できます。SGT を FDM による管理デバイスに関連付ける前に、ISE の SGT 交換プロトコル（SXP）マッピングを構成する必要があることに注意してください。詳細は、現在実行しているバージョンの『Cisco Identity Services Engine 管理者ガイド』の「セキュリティグループタグ交換プロトコル」を参照してください。

FDM による管理デバイスは、アクセス制御ルールのトラフィック一致基準として SGT を評価するときに、次の優先順位を使用します。

パケット内で定義されている送信元 SGT （存在する場合）。宛先の照合は、この手法では行われません。SGT がパケットに含まれるようにするには、ネットワーク内のスイッチとルータがそれらを追加するように設定されている必要があります。このメソッドの実装方法については、ISE のマニュアルを参照してください。
ISE セッションディレクトリからダウンロードされるユーザーセッションに割り当てられた SGT。この種の SGT 照合では、セッションディレクトリ情報をリッスンするオプションを有効にする必要がありますが、このオプションは最初に ISE アイデンティティソースを作成するときにデフォルトでオンになっています。SGT は、送信元または宛先と照合することができます。必須ではありませんが、通常は ISE アイデンティティソースを AD レルムとともに使用してパッシブ認証アイデンティティルールを設定し、ユーザ ID 情報を収集します。

SXP を使用してダウンロードされた SGT-to-IP アドレスマッピング。IP アドレスが SGT の範囲内にある場合、トラフィックは SGT を使用するアクセス制御ルールと一致します。SGT は、送信元または宛先と照合することができます。

（注）

ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。

バージョンサポート

Security Cloud Control は現在、バージョン 6.5 以降を実行している FDM による管理デバイスで SGT および SGT グループをサポートしています。FDM による管理デバイスでは、バージョン 6.5 以降で ISE サーバーを構成して接続できますが、バージョン 6.7 までは UI からの SGT 構成をサポートしていません。

FDM による管理 UI から、これは、バージョン 6.5 以降を実行している FDM による管理デバイスは SGT の SXP マッピングをダウンロードできますが、オブジェクトまたはアクセス制御ルールに手動で追加できないことを意味します。バージョン 6.5 またはバージョン 6.6 を実行しているデバイスの SGT に変更を加えるには、ISE UI を使用する必要があります。ただし、バージョン 6.5 を実行しているデバイスが Security Cloud Control にオンボーディングされている場合は、デバイスに関連付けられている現在の SGT を表示し、SGT グループを作成できます。

Security Cloud Control の SGT

セキュリティグループタグ

SGT は、Security Cloud Control では読み取り専用です。Security Cloud Control で SGT を作成または編集することはできません。SGT を作成するには、現在実行しているバージョンの『Cisco Identity Services Engine 管理者ガイド』を参照してください。https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html

SGT グループ

（注）

FDM による管理デバイスでは、SGT のグループを SGT 動的オブジェクトと呼びます。Security Cloud Control では、これらのタグのリストは現在 SGT グループと呼ばれています。FDM による管理デバイスまたは ISE UI を参照せずに、Security Cloud Control で SGT グループを作成できます。

SGT グループを使用して、ISE によって割り当てられた SGT に基づいて送信元または宛先アドレスを識別します。その後、トラフィックの一致基準を定義するためにアクセス制御ルールでオブジェクトを使用できます。ISE から取得した情報をアクセス制御ルールで直接使用することはできません。代わりに、ダウンロードした SGT 情報を参照する SGT グループを作成する必要があります。

SGT グループは複数の SGT を参照できます。そのため、必要に応じて、関連するタグのコレクションに基づいてポリシーを適用できます。

Security Cloud Control で SGT グループを作成するには、少なくとも 1 つの構成済み SGT と、使用するデバイスの FDM による管理コンソール用に構成された ISE サーバーからの SGT マッピングが必要です。複数の FDM による管理デバイスが同じ ISE サーバーに関連付けられている場合、SGT または SGT グループを複数のデバイスに適用できます。デバイスが ISE サーバに関連付けられていない場合、アクセスコントロールルールに SGT オブジェクトを含めたり、そのデバイス構成に SGT グループを適用したりすることはできません。

ルール内の SGT グループ

SGT グループをアクセスコントロールルールに追加できます。それらは、送信元または宛先のネットワークオブジェクトとして表示されます。ネットワークがルールでどのように機能するかの詳細は、「FDM アクセスコントロールルールの送信元および宛先の条件」を参照してください。

[オブジェクト（Objects）] ページから SGT グループを作成できます。詳細については、SGT グループの作成を参照してください。

SGT グループの作成

アクセス制御ルールに使用できる SGT グループを作成するには、次の手順を実行します。

始める前に

セキュリティグループタグ（SGT）グループを作成する前に、次の構成または環境を設定しておく必要があります。

FDM による管理デバイスは、少なくともバージョン 6.5 を実行している必要があります。
SXP マッピングをサブスクライブして変更を展開するように ISE アイデンティティソースを設定する必要があります。SXP マッピングを管理するには、使用しているバージョン（バージョン 6.7 以降）用の Firepower Device Manager 設定ガイドの「ISE でのセキュリティグループと SXP パブリッシングの設定」を参照してください。
すべての SGT は ISE で作成する必要があります。SGT を作成するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

> [FTD] > [ネットワーク（Network）] をクリックします。

ステップ 3

[オブジェクト名（Object Name）] を入力します。

ステップ 4

（任意）説明を追加します。

ステップ 5

[SGT] をクリックし、ドロップダウンメニューを使用して、グループに含めるすべての SGT のチェックボックスをオンにします。SGT 名順にリストをソートできます。

ステップ 6

[保存（Save）] をクリックします。

（注）

Security Cloud Control で SGT を作成したり編集したりすることはできません。SGT グループへの追加やグループからの削除のみを実行できます。SGT を作成または編集するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

SGT グループの編集

SGT グループを編集するには、次の手順を使用します。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

オブジェクトフィルタと検索フィールドを使用して、編集する SGT グループを見つけます。

ステップ 3

SGT グループを選択し、[操作（Actions）] ウィンドウで編集アイコンをクリックします。

ステップ 4

SGT グループを変更します。グループに関連付けられた名前、説明、または SGT を編集します。

ステップ 5

[保存（Save）] をクリックします。

（注）

Security Cloud Control で SGT を作成したり編集したりすることはできません。SGT グループへの追加やグループからの削除のみを実行できます。SGT を作成または編集するには、現在実行しているバージョンの『Cisco Identity Services Engine Configuration Guide』を参照してください。

SGT グループのアクセスコントロールルールへの追加

SGT グループをアクセス制御ルールに追加するには、次の手順を実行します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、SGT グループを追加するデバイスを選択します。

ステップ 4

[管理（Management）] ペインで、 [ポリシー（Policy）] を選択します。

ステップ 5

接続元オブジェクトまたは接続先オブジェクトの青いプラスボタンをクリックし、[SGTグループ（SGT Groups）] を選択します。

ステップ 6

オブジェクトフィルタと検索フィールドを使用して、編集する SGT グループを見つけます。

ステップ 7

[保存（Save）] をクリックします。

ステップ 8

すべてのデバイスの設定変更をプレビューして展開します。

（注）

追加の SGT グループを作成する必要がある場合は、[Create New Object] をクリックします。「FTD SGT グループの作成」に記載されている必須情報を入力し、SGT グループをルールに追加します。

FDM による管理アクセス制御ルールの適用基準

アクセスルールのアプリケーション基準では、IP 接続で使用されるアプリケーション、あるいは、タイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタが規定されます。デフォルトは任意のアプリケーションです。

ルールで個別のアプリケーションを指定できますが、アプリケーションフィルタを使用すれば、ポリシーの作成と管理が簡単になります。たとえば、リスクが高く、ビジネスとの関連性が低いアプリケーションをすべて認識してブロックする、アクセスコントロールルールを作成できます。ユーザがこのようなアプリケーションのいずれかを使用しようとすると、セッションがブロックされます。

また、シスコは、システムおよび脆弱性データベース（VDB）の更新を通じて頻繁にアプリケーションディテクタを更新し追加します。そのため、ルールを手動で更新せずに、高リスクアプリケーションをブロックするルールを新しいアプリケーションに自動的に適用できます。

アプリケーションとフィルタをルールで直接指定することも、これらの特性を定義するアプリケーションフィルタオブジェクトを作成することもできます。指示は同じですが、複雑なルールを作成する場合、オブジェクトを使用した方が基準当たり 50 項目のシステム上限範囲を超えにくくなります。アプリケーションフィルタオブジェクトの作成の詳細については、「Firepower アプリケーションフィルタオブジェクトの作成と編集」を参照してください。

ルールで使用されるアプリケーションやアプリケーションフィルタを変更する場合、「FDM アクセスコントロールポリシーの設定」の手順を使用してルールを編集できます。簡単な編集は、編集モードに移行せずに実行できます。ポリシーページでルールのアプリケーション条件を変更するには、ルールを選択してアプリケーション条件列内で [+] ボタンをクリックし、ポップアップダイアログボックスで新しいオブジェクトや要素を選択します。オブジェクトまたは要素の [x] をクリックすると、そのオブジェクトまたは要素が削除されます。

FDM による管理アクセスコントロールポリシーでの侵入、ファイル、およびマルウェアの検査

侵入ポリシーとファイルポリシーは、トラフィックが宛先に対して許可される前の最後のとりでとして連携して動作します。

侵入ポリシーは、システムの侵入防御機能を制御します。
ファイルポリシーは、システムのファイルコントロールと AMP for Firepower の機能を制御します。

他のトラフィック処理はすべて、侵入、禁止されたファイル、およびマルウェアについて、ネットワークトラフィックが調べられる前に実行されます。侵入ポリシーまたはファイルポリシーをアクセスコントロールルールに関連付けることで、アクセスコントロールルールの条件に一致するトラフィックを通過させる前に、侵入ポリシーまたはファイルポリシー（またはその両方）を使ってトラフィックのインスペクションを実行するよう、システムに指示できます。

トラフィックを [許可（allow）] するのみの侵入ポリシーおよびファイルポリシーを設定できます。トラフィックを [信頼（trust）] または [ブロック（block）] するように設定されたルールではインスペクションは実行されません。さらに、アクセスコントロールポリシーのデフォルトのアクションが [許可（allow）] の場合は、侵入ポリシーを設定できますが、ファイルポリシーは設定できません。

アクセスコントロールルールによって処理される単一接続の場合、ファイルインスペクションは侵入インスペクションの前に行われます。つまり、システムは侵入のためファイルポリシーによってブロックされたファイルを検査しません。ファイルインスペクション内では、タイプによる単純なブロッキングの方が、マルウェアインスペクションおよびブロッキングよりも優先されます。ファイルがセッションで検出されてブロックされるまで、セッションからのパケットは侵入インスペクションの対象になります。

（注）

デフォルトでは、暗号化されたペイロードの侵入インスペクションとファイルインスペクションは無効になっています。これにより、侵入およびファイルインスペクションが設定されたアクセスコントロールルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。暗号化されていないトラフィックのみのインスペクションが実行されます。

FDM による管理アクセス制御ルールのカスタム IPS ポリシー

同じカスタム IPS ポリシーの複数のインスタンスを 1 つのデバイスに関連付けることはできません。

（注）

IPS ポリシーをアクセス制御ルールに関連付けるということは、通過するトラフィックがディープパケットインスペクションに送信されることを意味します。IPS ポリシーが設定されたアクセス制御ルールで唯一サポートされているルールアクションは、許可です。

次の手順を使用して、カスタム IPS ポリシーを FDM による管理デバイスに関連付けます。

手順

ステップ 1	カスタム IPS ポリシーを作成します。詳細については、「カスタム IPS ポリシーの作成」を参照してください。
ステップ 2	左側のペインで [ポリシー（Policies）] > [FDM] > [ポリシー（Policies）] をクリックします。
ステップ 3	FDM による管理デバイスポリシーのリストをスクロールまたはフィルタ処理して、カスタム IPS ポリシーに関連付けるポリシーを選択します。
ステップ 4	青色のプラスボタンをクリックします。
ステップ 5	[順序（Order）] フィールドで、ポリシー内のルールの位置を選択します。ネットワークトラフィックは、ルールのリストに照らして 1 から最後の番号までの順に評価されます。
ステップ 6	ルール名を入力します。英数字、スペース、および次の特殊文字を使用できます： + . _ -
ステップ 7	[侵入ポリシー（Intrusion Policy）] タブを選択します。ドロップダウンメニューを展開して、使用可能なすべての侵入ポリシーを表示し、目的のカスタム IPS ポリシーを選択します。
ステップ 8	残りのタブ（[送信元/宛先（Source/Destination）]、[URL]、[アプリケーション（Applications）]、[ファイルポリシー（File Policy）]）の属性を任意に組み合わせて、トラフィックの一致基準を定義します。
ステップ 9	（任意）[ロギング（Logging）] タブをクリックしてロギングを有効にし、アクセス制御ルールによって報告された接続イベントを収集します。
ステップ 10	[保存（Save）] をクリックします。
ステップ 11	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower Threat Defense の TLS サーバーアイデンティティ検出

脅威に対する防御独自の TLS サーバーアイデンティティ検出機能を使用して、改善された URL のフィルタリングとトラフィックのアプリケーション制御を実行し、使用環境での制御と精度を向上できます。この機能が動作するためにトラフィックを復号する必要はありません。

（注）

サーバーアイデンティティ検出機能は、バージョン 6.7 以降でのみサポートされています。

TLS サーバーアイデンティティ検出の有効化

次の手順を使用して、FDM による管理アクセスコントロールポリシーの TLS サーバーアイデンティティ検出機能を有効または無効にします。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックして、デバイスを選択します。
ステップ 4	右側の [管理（Management）] ペインで、[ポリシー（Policy）] を選択します。
ステップ 5	テーブルの右上隅にあるアクセスポリシー設定の歯車アイコンをクリックします。
ステップ 6	トグルをスライドして、TLS サーバーアイデンティティ検出機能を有効にします。
ステップ 7	[保存（Save）] をクリックします。

侵入防御システム

Cisco Talos Intelligence Group（Talos）は、脅威をリアルタイムで検出して関連付けし、数十億のファイルのレピュテーション傾向を維持管理します。Cisco IOS 侵入防御システム（IPS）は、ネットワークへの攻撃を軽減するインラインのディープパケットインスペクション機能です。Talos から取得した脅威インテリジェンスデータを使用して、悪意のあるトラフィックをリアルタイムで正確に識別、分類、およびドロップします。

Security Cloud Control は、ソフトウェアバージョン 6.4.xx から 6.6.0.x および 6.6.1.x を実行する FDM による管理デバイスで IPS 機能をアクティブ化して調整する機能を提供します。

（注）

Security Cloud Control は現在、バージョン 6.7 での IPS ルールの調整をサポートしていません。

Security Cloud Control メニューバーで、[ポリシー（Policies）] > [署名のオーバーライド（Signature Overrides）] に移動して、以下のタスクを実行します。

複数のデバイスにわたるオーバーライドの不整合を解決します。
脅威イベントを表示および非表示にします。
ルールアクションを変更して、脅威イベントの処理方法をオーバーライドします。

脅威イベント

脅威イベントレポートは、Cisco Talos の侵入ポリシーの 1 つに一致した後にドロップされたか、アラートを生成したトラフィックのレポートです。ほとんどの場合、IPS ルールを調整する必要はありません。必要に応じて、Security Cloud Control の一致ルールアクションを変更して、イベントの処理方法をオーバーライドするオプションが用意されています。

[脅威（Threats）] ページの次の動作に注意してください。

表示される脅威イベントはライブではありません。デバイスは、追加の脅威イベントについて 1 時間ごとにポーリングされます。
ライブビューまたは履歴ビューに含まれていない脅威イベントは、Cisco Security Analytics and Logging の一部ではありません。ライブイベントを表示する
非表示にした脅威イベントを表示するには、フィルタアイコンをクリックし、[非表示を表示（View Hidden）] オプションをオンにします。
Cisco Security Analytics and Logging のサブスクライバである場合、脅威イベントテーブルに表示されるイベントには、Secure Event Connector に送信されたイベントは含まれません。

手順

ステップ 1

左側のペインで [インサイトとレポート（Insights & Reports）] > [Firewall Threat Defense] > [脅威ダッシュボード（FDM）（Threats Dashboard (FDM)）] をクリックします。表示されるイベントをフィルタリングし、送信元 IP アドレスで検索できます。オブジェクトフィルタ

ステップ 2

脅威イベントをクリックして、右側の詳細パネルを展開します。

ルールの詳細については、[ルールの詳細（Rule Details）] セクションで [ルールドキュメント（Rule Document）] の URL をクリックしてください。
このイベントを非表示にするには、[イベントを非表示（Hide Events）] のトグルスイッチをオンにします。イベント処理はそのまま続行されますが、[非表示を表示（View Hidden）] をクリックするか、このイベントの非表示を解除しない限り、ここには表示されません。
ルールのオーバーライドを編集するには、[ルールの調整（Tune Rule）] をクリックします。Security Cloud Control でルールアクションを変更すると、事前定義されたすべてのポリシーにオーバーライドが適用されます。これは、各ルールがポリシーごとに異なる可能性がある FDM による管理デバイスとは異なります。

（注）

Security Cloud Control は、ソフトウェアバージョン 6.4.x.x から 6.6.0.x および 6.6.1.x を実行する FDM による管理デバイスでルールを調整する機能を提供します。Security Cloud Control は現在、FDM による管理バージョン 6.7 でのルールの調整をサポートしていません。

[すべてのデバイスをオーバーライド（Override All devices）] プルダウンで、アクションを選択して [保存（Save）] をクリックします。
- [ドロップ（Drop）]：選択すると、このルールがトラフィックと一致するとイベントが作成され、接続がドロップされます。このアクションを使用して、特定のルールのセキュリティを強化します。たとえば、[ドロップ（Drop）] を指定すると、アクセスコントロールルールに「セキュリティよりも接続性を優先（Connectivity over Security）」ポリシーが指定されている場合でも、Talos ルールに一致するとセキュリティが厳しくなります。
- [アラート（Alert）]：選択すると、このルールがトラフィックと一致するとイベントは作成されますが、接続はドロップされません。[アラート（Alert）] のユースケースは、トラフィックがブロックされているが、お客様がトラフィックを許可し、ルールを無効にする前にアラートを確認したい場合です。
- [無効（Disabled）]：選択すると、トラフィックがルールに一致しないようになります。イベントは生成されません。[無効（Disabled）] のユースケースは、レポートの誤検出を停止するか、httpd を使用しない場合に Apache httpd ルールを無効にするなど、使用環境に当てはまらないルールを削除することです。
- [デフォルト（Default）]：選択すると、リストされている侵入ポリシーに対して、Talos によって割り当てられたデフォルトアクションにルールを戻します。侵入ルールを [デフォルト（Default）] に戻すことは、アクションを「セキュリティよりも接続性を優先（Connectivity over Security）」ポリシーの [アラート（Alert）] と「バランスのとれたセキュリティと接続性（Balanced Security and Connectivity」ポリシーの [ブロック（Block）] に戻すことを意味する場合があります。

デバイスごとにルールのオーバーライドを編集するには、[詳細オプション（Advanced Options）] スライダをオンにします。このセクションには、各デバイスに設定されたルールアクションが表示されます。アクションは、影響を受けるデバイスをチェックし、オーバーライドアクションを選択して [保存（Save）] をクリックすることで変更できます。
[影響を受けるデバイス（Affected Devices）] は、送信元デバイスを示していません。代わりに、イベントを報告している FDM による管理デバイスが表示されます。

（注）

更新（）ボタンをクリックして、現在の検索フィルタに基づいて脅威を表示するテーブルを更新します。
エクスポート（）ボタンをクリックして、脅威の現在の概要をコンマ区切り値（.csv）ファイルにダウンロードします。Microsoft Excel などのスプレッドシートアプリケーションで .csv ファイルを開いて、リスト内のアイテムを並べ替えたり、フィルタ処理したりできます。Security Cloud Control は、時間、送信元、デバイスなどの追加情報を除き、基本的な脅威の詳細をファイルにエクスポートします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower 侵入ポリシーの署名のオーバーライド

ほとんどの場合、IPS ルールを調整する必要はありません。必要に応じて、Security Cloud Control の一致ルールアクションを変更して、イベントの処理方法をオーバーライドするオプションが用意されています。Security Cloud Control には、オーバーライドの問題を解決するオプションがあります。

署名オーバーライドの管理

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [署名のオーバーライド（Signature Overrides）] をクリックします。表示するデバイスとポリシーオーバーライドポリシーはフィルタ処理できます。名前または侵入ルール SID で侵入ポリシーを検索することもできます。
ステップ 2	ポリシーオーバーライドのポリシー名をクリックして、右側に詳細パネルを展開します。
ステップ 3	[問題（Issues）] ペインのバッジは、デバイス間でオーバーライドの整合性がないことを示しています。次のように、[不整合（ INCONSISTENT）] フィールドでは、影響を受けるデバイスの数を確認できます。問題を無視するには、[無視（Ignore）] をクリックします。問題の状況に変化はありませんが、[問題（Issues）] 列からインジケーターバッジが削除されます。問題を解決するには、[解決（Resolve）] をクリックします。左側のパネルで、比較するポリシーを選択し、整合性のあるオーバーライドと整合性のないオーバーライドを表示します。ポリシーをマージするには、次の手順を実行します。 [マージして解決（Resolve by Merging）] をクリックして 1 つのポリシーに結合し、そのすべてのデバイスで同じオーバーライドを使用します。 [確認（Confirm）] をクリックします。ポリシーの名前を変更するには、次の手順を実行します。ポリシーのセクションで、[名前の変更（Rename）] をクリックして、別の名前を付けます。 [確認（Confirm）] をクリックします。ポリシーを無視するには、次の手順を実行します。ポリシーのセクションで、[無視（Ignore）] をクリックします。 [確認（Confirm）] をクリックします。すべての不整合を無視するには、[すべて無視（Ignore All）] をクリックします。
ステップ 4	FDM による管理デバイスを使用してデバイス上で変更された個別の Talos 侵入ルールがある場合は、[オーバーライド（Overrides）] ペインに表示されます。侵入ルールのオーバーライドアクションを変更するには、[調整（Tune）] リンクをクリックしてオーバーライドアクションを選択します。このアクションは、使用されているすべての Talos 侵入ポリシーのルールに適用されます。デフォルトのアクションルール（[デフォルト（Default） ) の復元を選択した場合、環境によっては侵入ルールがトリガーされるまで、再度調整することはできません。セキュリティよりも接続性を優先バランスのとれたセキュリティと接続性接続性よりもセキュリティを優先最大検出デバイス間の一貫性を保つために、オーバーライドアクションは、侵入オーバーライドポリシーに関連付けられているすべてのデバイスに保存されます。オーバーライドアクションの効果は次のとおりです。 [ドロップ（Drop）]：選択すると、このルールがトラフィックと一致するとイベントが作成され、接続がドロップされます。このアクションを使用して、特定のルールのセキュリティを強化します。たとえば、[ドロップ（Drop）] を指定すると、アクセスコントロールルールに「セキュリティよりも接続性を優先（Connectivity over Security）」ポリシーが指定されている場合でも、Talos ルールに一致するとセキュリティが厳しくなります。 [アラート（Alert）]：選択すると、このルールがトラフィックと一致するとイベントは作成されますが、接続はドロップされません。[アラート（Alert）] のユースケースは、トラフィックがブロックされているが、お客様がトラフィックを許可し、ルールを無効にする前にアラートを確認したい場合です。 [無効（Disabled）]：選択すると、トラフィックがルールに一致しないようになります。イベントは生成されません。[無効（Disabled）] のユースケースは、レポートの誤検出を停止するか、httpd を使用しない場合に Apache httpd ルールを無効にするなど、使用環境に当てはまらないルールを削除することです。 [デフォルト（Default）]：ルールのデフォルトアクションが Talos 侵入ポリシーのレベルで異なる場合にのみ適用されます。たとえば、侵入ルールを [デフォルト（Default）] に戻すことは、アクションを「セキュリティよりも接続性を優先（Connectivity over Security）」ポリシーの [アラート（Alert）] と「バランスのとれたセキュリティと接続性（Balanced Security and Connectivity」ポリシーの [ブロック（Block）] に戻すことを意味する場合があります。次のオプションを使用してルールのオーバーライドを編集します。 [すべてのデバイスのオーバーライド（Override for all devices）]：このオプションを選択すると、Security Cloud Control によって管理されるすべてのデバイスに必要なアクションが設定されます。オプションはドロップダウンメニューから選択します。侵入オーバーライドポリシーごとに、ルールのオーバーライド値が異なる場合、ドロップダウンオプションはデフォルトで [複数（Multiple）] になります。デバイスごとにルールのオーバーライドを編集する： [詳細オプション（Advanced Options）] スライダをオンにして、[デバイスごとのオーバーライド（Overrides by Devices）] タブを選択します。このオプションには、各デバイスに設定されたルールアクションが表示されます。アクションを変更するには、対象デバイスのチェックボックスをオンにし、オーバーライドアクションを選択して [保存（Save）] をクリックします。ポリシーごとにルールのオーバーライドを編集する： [詳細オプション（Advanced Options）] スライダをオンにして、[すべてのオーバーライド（All Overrides）] タブを選択します。このセクションは、テナントに複数の IPS ポリシーが設定されている場合にのみ適用されます。このページでは、複数のデバイスが関連付けられているポリシーを含むすべての IP ポリシーを管理できます。
ステップ 5	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

署名のオーバーライドの作成

FDM による管理デバイスですでにトリガーされている IPS ルールの署名のオーバーライドのみを作成できます。Security Cloud Control で署名のオーバーライドを作成すると、設定されたアクション（[ドロップ（Drop）]、[アラート（Alert）]、[無効化（Disabled）]、[デフォルト（Default）] ）すべてのポリシーレベルに自動的に適用されます。

手順

ステップ 1	左側のペインで [インサイトとレポート（Insights & Reports）] > [Firewall Threat Defense] > [脅威ダッシュボード（FDM）（Threats Dashboard (FDM)）] をクリックします。
ステップ 2	テーブルで脅威を選択して展開します。[調整アクション（Tune Actions）] ペインで、[調整（Tune）] をクリックします。
ステップ 3	「Firepower 侵入ポリシーの署名のオーバーライド」手順のステップ 4 の説明に従いルールを調整します。
ステップ 4	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

署名のオーバーライドの削除

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [署名のオーバーライド（Signature Overrides）] をクリックします。
ステップ 2	オーバーライド名をクリックして、右側に詳細パネルを展開します。
ステップ 3	[オーバーライド（Overrides）] ペインを展開し、削除するオーバーライドを選択して、[調整（Tune）] をクリックします。
ステップ 4	デフォルトアクションを [デフォルト（Default）] に設定します。
ステップ 5	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower 侵入防御システムのカスタムポリシー

IPS のカスタムポリシーについて

バージョン 6.7 の導入に伴い改善された Snort 3 処理エンジンにより、Cisco Talos Intelligence Group（Talos）が提供するルールを使用して侵入防御システム（IPS）ポリシーを作成およびカスタマイズできます。ベストプラクティスは、提供されている Talos ポリシーテンプレートに基づいて独自のポリシーを作成し、ルールアクションを調整する必要がある場合はそれを変更することです。

（注）

現時点では、Security Cloud Control はカスタム IPS ルールをサポートしていません。Talos が提供するルールを使用してカスタム IPS ポリシーを作成および変更できますが、独自の IPS ルールを作成して、カスタム IPS ポリシーに適用することはできません。

基本テンプレートには一連の同じ侵入ルール（署名とも呼ばれます）が含まれていますが、各ルールに対して実行する操作は異なります。たとえば、あるポリシーでは有効化され、別のポリシーでは無効化されるルールがあります。他の例を挙げると、誤検出が非常に多く、ブロックして欲しくないトラフィックをブロックする特定のルールがあるとします。そのような場合には、安全性の低い侵入ポリシーに切り替えることなく、そのルールを無効にできます。または、トラフィックをドロップせずに、一致すると警告するように変更することもできます。

IPS ポリシーの基本テンプレート

基本テンプレートには一連の同じ侵入ルール（署名とも呼ばれます）が含まれていますが、各ルールに対して実行する操作は異なります。たとえば、あるポリシーでは有効化され、別のポリシーでは無効化されるルールがあります。他の例を挙げると、誤検出が非常に多く、ブロックして欲しくないトラフィックをブロックする特定のルールがあるとします。そのような場合には、安全性の低い侵入ポリシーに切り替えることなく、そのルールを無効にできます。または、トラフィックをドロップせずに、一致すると警告するように変更することもできます。

提供される基本テンプレートは、ネットワークで必要性の高い保護タイプに基づく推奨設定になっています。新しいポリシーを作成するときは、次のテンプレートのいずれかをベースとして使用できます。

注意	Snort 3 が有効になっている FDM による管理デバイスで提供されるデフォルトの IPS ポリシーは変更しないでください。以下のテンプレートに基づいて新しいカスタム IPS ポリシーを作成し、下記のデフォルトの IPS ポリシー名とは異なる一意の名前を新しいポリシーに付けることを強くお勧めします。ポリシーのトラブルシューティングが必要になった場合、Cisco TAC はカスタムポリシーからデフォルトポリシーに簡単に戻すことができます。このとき、カスタマイズした変更を失うことなくネットワークを保護できます。

提供される基本テンプレートは、ネットワークで必要性の高い保護タイプに基づく推奨設定になっています。新しいポリシーを作成するときは、次のテンプレートのいずれかをベースとして使用できます。

[最大検出（Maximum Detection）]：このポリシーは、[接続よりもセキュリティを優先（Security over Connectivity）] ポリシーよりもさらにネットワークインフラストラクチャのセキュリティを重視するネットワーク向けです。運用に対する影響がさらに大きくなる可能性があります。
[接続性よりもセキュリティを優先（Security over Connectivity）]：このポリシーは、ユーザーの利便性よりもネットワークインフラストラクチャのセキュリティが優先されるネットワーク向けです。この侵入ポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。
[バランスのとれたセキュリティと接続性（Balanced Security and Connectivity）]：このポリシーは、速度と検出の両方を兼ね備えていますこれらを一緒に使用すると、ほとんどの種類のネットワークおよび展開に適した出発点として機能します。
[セキュリティより接続性を優先（Connectivity Over Security）]：このポリシーは、接続性やすべてのリソースを取得する機能が、ネットワークインフラストラクチャのセキュリティよりも優先されるネットワーク向けです。トラフィックをブロックする最も重要なルールだけが有効にされます。
[アクティブなルールなし（No Rules Active）]：ポリシーに含まれるルールは、デフォルトで無効になっています。

ヒント

[最大検出（Maximum Detection）] ベーステンプレートを効果的に動作させるには、大量のメモリと CPU が必要です。Security Cloud Control では、このテンプレートを使用して IPS ポリシーを 2100、4100、または仮想デバイスなどのモデルに展開することを推奨しています。

新たな脆弱性が既知になると、Talos は侵入ルールの更新をリリースします。侵入ルールが更新されると、シスコが提供するネットワーク分析ポリシーや侵入ポリシーが変更される場合があります。また、侵入ルールやプリプロセッサルールが新たに提供または更新され、既存のルールやポリシー設定に自動的に適用されます。ルールの更新によって、既存の基本テンプレートからルールが削除され、新しいルールカテゴリが提供されるとともに、デフォルトの変数セットが変更される場合もあります。

IPS ポリシーモード

デフォルトでは、IPS を実装するため、すべての侵入ポリシーが防御モードで動作します。防御インスペクションモードでは、トラフィックを切断するアクションの侵入ルールと接続が一致する場合、接続は能動的にブロックされます。

代わりに、ネットワーク上で侵入ポリシーの影響をテストするには、侵入検知システム（IDS）を実装する検出にモードを変更します。このインスペクションモードでは、ドロップルールはアラートルールと同様に扱われます。この場合、一致する接続が通知されますが、アクションの結果は [ブロック対象の可能性（Would Have Blocked）] となり、接続は実際にはブロックされません。

IPS ルールグループのセキュリティレベル

Security Cloud Control では、ポリシーに含まれるルールグループのセキュリティレベルを変更できます。このセキュリティレベルは、個々のルールではなく、ルールグループ内のすべてのルールに適用されることに注意してください。

（注）

ルールグループのセキュリティレベルに対する変更は自動的に送信され、元に戻すことはできません。セキュリティレベルの変更を送信する際に [保存（Save）] をクリックする必要はありません。セキュリティレベルを元に戻す場合は、手動で行う必要があります。

IPS ルールアクション

個々のルールアクションまたはルールグループ内の複数のルールアクションは、いつでも変更できます。IPS ルールは、次のオプションで設定できます。

[無効（Disabled）]：このルールではトラフィックは一致しません。イベントは生成されません。
[アラート（Alert）]：このルールがトラフィックと一致するとイベントを作成しますが、接続はドロップしません。
[ドロップ（Drop）]：このルールがトラフィックと一致するとイベントを作成し、接続をドロップします。

FDM テンプレートとカスタム IPS ポリシー

Snort 3 が有効になっているデバイスから取得されたテンプレートは、Snort 3 が有効になっているデバイスにのみ適用できます。Snort 2 および Snort 3 でサポートおよび処理されるルールにはばらつきがあるため、Snort 3 で設定されたテンプレートは、Snort 2 で設定されたデバイスを完全にサポートおよび保護することはできません。詳細については、「Snort 2 から Snort 3 への切り替え」を参照してください。

Cisco ASA 移行ツールを使用して Cisco ASA 設定から FDM テンプレートを作成する場合は、IPS ポリシーを設定または設定解除しないことを強く推奨します。Cisco ASA デバイスは Snort エンジンをサポートしていないため、IPS ポリシーを Cisco ASA 設定から FDM による管理デバイスに移行すると問題が発生することがあります。ASA 移行ツールを使用する場合は、テンプレートを作成して展開した後に、デバイスのカスタム IPS ポリシーを作成することをお勧めします。

テンプレートの詳細については、「FDM テンプレート」を参照してください。

ルールセットとカスタム IPS ポリシー

ルールセットは、Snort 3 用に設定されたデバイスではまだサポートされていません。次の制限が適用されます。

Snort 3 対応デバイスにルールセットをアタッチすることはできません。
Snort 3 がインストールされている既存のデバイスからルールセットを作成することはできません。
カスタム IPS ポリシーをルールセットに関連付けることはできません。

前提条件

[侵入ポリシー（Intrusion Policies）] ページから使用可能な IPS ポリシーを表示できますが、カスタム IPS ポリシーを作成または変更するには、次の前提条件を満たす必要があります。

デバイスサポート

Firepower 1000 シリーズ
Firepower 2100 シリーズ
Firepower 4100 シリーズ
AWS を搭載した脅威防御仮想
Azure を搭載した脅威防御仮想

ソフトウェアサポート

デバイスは、少なくともバージョン 6.7 と Snort 3 を実行している必要があります。

デバイスが 6.7 より前のバージョンを実行している場合は、デバイスをアップグレードしてください。詳細については、「FDM 管理対象デバイスのアップグレード」を参照してください。

デバイスが Snort 2 搭載のバージョン 6.7 を実行している場合は、Snort 2.0 の一部の侵入ルールが Snort 3.0 に存在しない可能性があります。詳細については、「Snort 2 から Snort 3 への切り替え」を参照してください。

（注）

デバイスで実行されているソフトウェアバージョンおよび Snort エンジンのバージョンを確認するには、[セキュリティデバイス（Security Devices）] ページでデバイスを見つけて選択し、[デバイスの詳細（Device Details）] を確認します。

Firepower カスタム IPS ポリシーの設定

Security Cloud Control で FDM による管理デバイスのカスタム IPS ポリシーを作成または変更する前に、「IPS の前提条件」を必ずお読みください。

現時点では、Security Cloud Control はカスタム IPS ルールをサポートしていません。Talos が提供するルールを使用してカスタム IPS ポリシーを作成および変更できますが、独自の IPS ルールを作成して、カスタム IPS ポリシーに適用することはできません。

Security Cloud Control で IPS ポリシーを作成または編集する際に問題が発生した場合は、侵入防御システムのトラブルシュートで詳細を確認してください。

（注）

カスタム IPS ポリシーのルールグループ内のルールを削除または並べ替えることはできません。

カスタム IPS ポリシーの作成

Talos が提供する IPS ルールで新しいカスタム IPS ポリシーを作成するには、次の手順を実行します。

手順

ステップ 1

左側のペインで [ポリシー（Policies）] > [FDM] > [侵入防御（Intrusion Prevention）] をクリックします。

ステップ 2

青色のプラスボタンをクリックします。

ステップ 3

[基本テンプレート（Base Template）] のドロップダウンメニューを展開します。バージョン 7.2 の Snort 3 を実行しているデバイスの場合は、ドロップダウンを展開し、[選択（Choose）] をクリックしてテンプレートを選択する必要があります。バージョン 7.1.x 以前を実行しているデバイスの場合は、ドロップダウンメニューを展開して次のいずれかのテンプレートを選択します。

[最大検出（Maximum Detection）]：このポリシーは、[接続よりもセキュリティを優先（Security over Connectivity）] ポリシーよりもさらにネットワークインフラストラクチャのセキュリティを重視するネットワーク向けです。運用に対する影響がさらに大きくなる可能性があります。

ヒント

[最大検出（Maximum Detection）] ベーステンプレートを効果的に動作させるには、大量のメモリと CPU が必要です。Security Cloud Control では、このテンプレートを使用して IPS ポリシーを 2100、3100、4100、または脅威に対する防御 Virtual などのモデルに展開することを推奨しています。

[接続性よりもセキュリティを優先（Security over Connectivity）]：このポリシーは、ユーザーの利便性よりもネットワークインフラストラクチャのセキュリティが優先されるネットワーク向けです。この侵入ポリシーは、正式なトラフィックに対して警告またはドロップする可能性のある膨大な数のネットワーク異常侵入ルールを有効にします。
[バランスのとれたセキュリティと接続性（Balanced Security and Connectivity）]：このポリシーは、速度と検出の両方を兼ね備えていますこれらを一緒に使用すると、ほとんどの種類のネットワークおよび展開に適した出発点として機能します。
[セキュリティより接続性を優先（Connectivity Over Security）]：このポリシーは、接続性やすべてのリソースを取得する機能が、ネットワークインフラストラクチャのセキュリティよりも優先されるネットワーク向けです。トラフィックをブロックする最も重要なルールだけが有効にされます。
[アクティブなルールなし（No Rules Active）]：ポリシーに含まれるルールは、デフォルトで無効になっています。

ステップ 4

[名前（Name）] にポリシー名を入力します。

デフォルトの基本テンプレートとは異なる一意の名前を使用することを強く推奨します。IPS ポリシーのトラブルシューティングが必要になった場合、Cisco TAC はカスタムポリシーからデフォルトポリシーに簡単に戻すことができます。このとき、カスタマイズした変更を失うことなくネットワークを保護できます。

ステップ 5

（任意）[説明（Description）] にポリシーの説明を入力します。

ステップ 6

[モード（Mode）] を次から選択します。

[防御（Prevention）]：トラフィックを切断するアクションの侵入ルールと接続が一致する場合、接続は能動的にブロックされます。
[検出（Detection）]：トラフィックをドロップするアクションの侵入ルールと接続が一致する場合、アクションの結果は [ブロック対象の可能性（Would Have Blocked）] になり、アクションは実行されません。

ステップ 7

[保存（Save）] をクリックします。

次のステップ

IPS ポリシーを FDM による管理デバイスアクセス制御ルールに追加します。詳細については、「FDM アクセス制御ルールのカスタム IPS ポリシー」を参照してください。

カスタム IPS ポリシーの編集

すでに IPS ポリシーが設定されている FDM による管理デバイスをオンボードした場合、FDM で IPS ポリシーを作成し、展開された設定から Security Cloud Control がポリシーを読み取る場合、または新しい IPS ポリシーを作成したばかりの場合、既存の IPS ポリシーを編集できます。

既存のカスタム IPS ポリシーを変更するには、次の手順を実行します。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [侵入防御（Intrusion Prevention）] をクリックします。
ステップ 2	編集する IPS ポリシーを特定します。[編集（Edit）] をクリックします。
ステップ 3	ページ上部で、編集アイコンをクリックします。
ステップ 4	次に示す目的のフィールドを編集します。 [基本テンプレート（Base Template）] 名前 [説明（Description）] [IPSモード（IPS Mode）]
ステップ 5	[保存（Save）] をクリックします。
ステップ 6	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

カスタム IPS ポリシーのルールグループの編集

ルールグループ内のルールのデフォルトアクションは上書きできます。ルールグループに含まれるルールを編集するには、次の手順を実行します。

手順

ステップ 1
ステップ 2	左側のペインで [ポリシー（Policies）] > [FDM] > [侵入防御（Intrusion Prevention）] をクリックします。
ステップ 3	編集する IPS ポリシーを特定します。[編集（Edit）] をクリックします。
ステップ 4	左側の [ルールグループ（Rule Group）] タブで目的のルールグループを展開します。展開されたリストから、グループを選択します。
ステップ 5	ルールグループを編集します。セキュリティレベルバーを選択して、ルールグループ全体の [セキュリティレベル（Security Level）] を編集します。ルールグループ全体に適用するセキュリティタイプまで、セキュリティレベルを手動でドラッグします。[Submit（送信）] をクリックします。右側にあるルールのドロップダウンメニューを展開して、個々のルールの [ルールアクション（Rule Action）] を編集します。目的のルールのチェックボックスをオンにして、ルールのテーブルの上にあるドロップダウンメニューを展開し、複数のルールの [ルールアクション（Rule Action）] を編集します。選択したルールアクションは、選択したすべてのルールに影響します。テーブルのタイトル行のチェックボックスをオンにして、ルールのテーブルの上にあるドロップダウンメニューを展開し、すべてのルールの [ルールアクション（Rule Action）] を編集します。選択したルールアクションは、ルールグループ内のすべてのルールに影響します。
ステップ 6	ポリシーページの最上部にある [保存（Save）] をクリックします。
ステップ 7	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

カスタム IPS ポリシーの削除

次の手順を使用して、Security Cloud Control からカスタム IPS ポリシーを削除します。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [侵入防御（Intrusion Prevention）] をクリックします。
ステップ 2	編集する IPS ポリシーを特定します。[Delete（削除）] をクリックします。
ステップ 3	[OK] をクリックしてポリシーを削除します。
ステップ 4	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

セキュリティインテリジェンスポリシー

セキュリティインテリジェンスについて

セキュリティインテリジェンスポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。システムは、トラフィックをアクセスコントロールポリシーで評価する前にドロップすることにより、使用されるシステムリソースの量を減らします。

次のものに基づいてトラフィックをブロックできます。

Cisco Talos フィード：Cisco Talos は、定期的に更新されるセキュリティインテリジェンスフィードへのアクセスを提供します。マルウェア、スパム、ボットネット、フィッシングなど、セキュリティに対する脅威を表すサイトは目まぐるしく現れては消えるため、カスタム設定を更新して導入するのでは最新の状況に追いつきません。システムはフィードの更新を定期的にダウンロードするため、設定を再導入する必要なく新しい脅威インテリジェンスを利用できます。

（注）

Cisco Talos フィードはデフォルトで 1 時間ごとに更新されます。更新頻度を変更でき、またフィードをオンデマンドで更新することもできます。そのためには、Firepower Device Manager にログインし、ホームページから [デバイス（Device）] > [更新（Updates）] > [設定の表示（View Configuration）] に移動します。

ネットワークおよび URL オブジェクト：ブロック対象の IP アドレスまたは URL が既知の場合は、それらのオブジェクトを作成し、それらをブロックリストまたは許可リストに追加することができます。

IP アドレス（ネットワーク）と URL で別のブロックリストと許可リストを作成します。

セキュリティインテリジェンスのためのライセンス要件

セキュリティインテリジェンスを使用するには、FDM による管理デバイスでライセンスを有効にする必要があります。

詳細については、該当する『Cisco FTD Configuration Guide for Firepower Device Manager』の「セキュリティポリシー」の章の「セキュリティインテリジェンスフィードカテゴリ」セクションを参照してください。

Firepower セキュリティインテリジェンスポリシーの作成

セキュリティインテリジェンスポリシーにより、送信元/宛先の IP アドレスまたは宛先 URL に基づいて、望ましくないトラフィックを早い段階でドロップできます。許可された接続もすべてアクセスコントロールポリシーによって引き続き評価され、最終的にドロップされる可能性があります。セキュリティインテリジェンスを使用するには、ライセンスを有効にする必要があります。

Firepower セキュリティインテリジェンスポリシーの設定

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、セキュリティインテリジェンスポリシーを作成または編集する FDM による管理デバイスを選択します。

ステップ 4

右側の [管理（Management）] ペインで、 [ポリシー（Policy）] をクリックします。

ステップ 5

FDM による管理デバイスのポリシーページで、ポリシーバーの [セキュリティインテリジェンス（Security Intelligence）] をクリックします。

ステップ 6

ポリシーが有効になっていない場合は、[セキュリティインテリジェンス（Security Intelligence）] スライダをクリックして有効にするか、[セキュリティインテリジェンスについて（About Security Intelligence）] 情報ボックスで [有効化（Enable）] をクリックします。

（注）

[セキュリティインテリジェンス（Security Intelligence）] をクリックしてオフに切り替えることで、いつでもセキュリティインテリジェンスを無効にできます。設定は維持されるため、ポリシーを再度有効にするときに再設定する必要はありません。

ステップ 7

[ブロックリスト（Blocked List）] の行を選択します。テーブルビューによっては、ネットワーク、ネットワークオブジェクト、ネットワークフィード、URL、URL オブジェクト、および URL フィードの列にプラス記号があることに留意してください。

[ブロックリストへのネットワークの追加（Add Networks to Blocked List）] ダイアログボックスと [ブロックリストへのURLオブジェクトの追加（Add URL Object to Blocked List）] ダイアログボックスで、既存のオブジェクトを検索するか、必要に応じてオブジェクトを作成できます。ブロックするオブジェクトにチェックを入れ、[選択（Select）] をクリックします。

（注）

セキュリティインテリジェンスは、/0 ネットマスクを使用して、IP アドレスブロックを無視します。これには、any-ipv4 と any-ipv6 のネットワークオブジェクトが含まれます。ネットワークのブロックリストのためにこれらのオブジェクトを選択しないでください。

[ブロックリストへのURLオブジェクトの追加（Add URL Objects to Blocked List）] および [ブロックリストへのネットワークフィードの追加（Add Network Feeds to Blocked List）] ダイアログで、ブロックするフィードにチェックを入れ、[選択（Select）] をクリックします。フィードの行の端にある下矢印をクリックすると、フィードの説明を読むことができます。「セキュリティインテリジェンスフィードカテゴリ」でも説明されています。

ステップ 8

例外とするネットワーク、IP アドレス、または URL が、前の手順で指定したネットワークグループ、ネットワークフィード、URL オブジェクト、または URL フィードのいずれかに含まれることがわかっている場合は、[許可リスト（Allowed List）] の行をクリックします。

ステップ 9

例外とするネットワーク、IP アドレス、および URL のオブジェクトを選択または作成します。[選択（Select）] または [追加（Add）] をクリックすると、[許可リスト（Allowed List）] の行に追加されます。

ステップ 10

（オプション）セキュリティインテリジェンスポリシーによって生成されたイベントをログに記録するには、次の手順を実行します。

ロギングの設定アイコンをクリックして、ロギングを設定します。ロギングを有効にした場合は、ブロックリストのエントリに一致するものが記録されます。ロギングを有効にして、除外された接続がアクセス制御ルールに一致した場合、ログメッセージは取得しますが例外エントリに一致するものは記録されません。
[接続イベントロギング（Connection Events Logging）] トグルをクリックして、イベントのロギングを有効にします。
イベントの送信先を選択します。
- [なし（None）] をクリックすると、イベントが FDM による管理デバイスに保存されます。イベントは FDM イベントビューアに表示されます。FDM による管理デバイスの記憶容量は非常に限られています。[なし（None）] を選択する代わりに、syslog サーバーオブジェクトを定義して、syslog サーバーに接続イベントを保存することをお勧めします。
- [作成（Create）] または [選択（Choose）] をクリックすると、syslog サーバーオブジェクトで表される syslog サーバーを作成または選択して、ロギングイベントを送信できます。デバイスのイベントストレージは限られているため、外部 syslog サーバーにイベントを送信すると、長期的な保存が可能になり、イベント分析が強化されます。
Cisco Security Analytics and Logging のサブスクリプションがある場合は、SEC の IP アドレスとポートを使用して syslog オブジェクトを設定することにより、イベントを Secure Event Connector に送信します。この機能の詳細については、「Cisco Security Analytics and Logging」を参照してください。

ステップ 11

（オプション）自分で作成したルールの場合、ルールを選択して、[コメントを追加（Add Comments）] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

ステップ 12

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Firepower のセキュリティインテリジェンスポリシーブロックリストに対する例外の作成

Firepower セキュリティインテリジェンスポリシーで作成するブロックリストごとに、関連する許可リストを作成できます。許可リストの唯一の目的は、ブロックリストに表示される IP アドレスまたは URL の例外を作成することです。つまり、使用する必要があり、安全であることがわかっているアドレスや URL が、ブラックリストに設定されているフィードにある場合、許可リストに追加することで、そのアドレスや URL を除外できます。これにより、1 つのアドレスや URL のためにブロックリストからフィード全体を削除する必要がなくなります。

許可されたトラフィックはセキュリティインテリジェンスポリシーを通過した後、アクセスコントロールポリシーによって評価されます。接続が許可またはドロップされたかどうかの最終決定は、接続に一致するアクセス制御ルールに基づきます。また、アクセスルールは接続に侵入やマルウェア検査を適用するかどうかも判断します。

Firepower セキュリティインテリジェンスポリシー用セキュリティインテリジェンスのフィード

次の表では、Cisco Talos フィードで利用可能なカテゴリについて説明します。これらのカテゴリは、ネットワークブロックリストと URL ブロックリストの両方で使用できます。


カテゴリ	説明
attackers	アクティブスキャナと悪意のある発信アクティビティが知られているブラックリストのホスト。
bogon	bogon ネットワークと未割り当て IP アドレス。
bots	バイナリマルウェアドロッパーをホストするサイト。
CnC	ボットネットの指示管理サーバをホストするサイト。
dga	指示管理サーバでランデブーポイントとして動作する多数のドメイン名の生成に使用されるマルウェアアルゴリズム。
exploitkit	クライアントでのソフトウェアの脆弱性を識別するために設計されたソフトウェアキット。
malware	マルウェアバイナリまたはエクスプロイトキットをホストするサイト。
open_proxy	匿名での Web ブラウジングを許可するオープンプロキシ。
open_relay	スパムに使用されることが知られているオープンメールリレー。
phishing	フィッシング詐欺のページをホストするサイト。
response	悪意のある、または不審なアクティビティに積極的に参加している IP アドレスおよび URL。
spam	スパムの送信で知られているメールホスト。
suspicious	疑わしく、既知のマルウェアのような特性を持っていると思われるファイル。
tor_exit_node	Tor の出口ノード。

FDM 管理対象デバイスのアイデンティティポリシー

アイデンティティポリシーの概要

ID ポリシーを使用して、接続からユーザーアイデンティティ情報を収集できます。その後で、ダッシュボードにユーザーアイデンティティに基づく使用状況を表示し、ユーザーまたはユーザーグループに基づくアクセスコントロールを設定できます。ネットワーク動作、トラフィック、およびイベントを個別のユーザーやグループに直接リンクすることによって、ポリシー違反、攻撃、またはネットワークの脆弱性の発生源の特定に役立てることができます。

たとえば、侵入イベントのターゲットとされたホストを誰が所有し、誰が内部攻撃やポートスキャンを開始したかを確認できます。また、高帯域幅のユーザーや、望ましくない Web サイトまたはアプリケーションにアクセスしているユーザーを確認することもできます。

次に、ユーザー ID に基づいて使用状況をダッシュボードに表示し、Active Directory（AD）レルムオブジェクト（その AD 上のすべてのユーザーに一致するオブジェクト）、特殊なアイデンティティ（認証失敗、ゲスト、認証不要、不明なアイデンティ）、またはユーザーグループに基づいてアクセス制御を設定できます。

ユーザアイデンティティは、次の方法で取得できます。

パッシブ認証：すべてのタイプの接続で、ユーザ名とパスワードを求められることなく、その他の認証サービスからユーザアイデンティティを取得します。
アクティブ認証：HTTP 接続でのみ、ユーザ名とパスワードの入力が求められ、送信元 IP アドレスのユーザアイデンティティを取得するために指定のアイデンティティソースに対する認証が行われます。

パッシブ認証によるユーザーアイデンティティの確立

パッシブ認証では、ユーザーにユーザー名とパスワードを求めることなくユーザー ID を収集します。システムは、指定したアイデンティティソースからマッピングを取得します。

ユーザと IP アドレスのマッピングは次のソースから受動的に取得できます。

リモートアクセス VPN ログイン。パッシブアイデンティティについては次のユーザタイプがサポートされています。
- 外部認証サーバで定義されたユーザアカウント。
- FDM による管理デバイスで定義されたローカルユーザーアカウント。
Cisco Identity Services Engine（ISE）、Cisco Identity Services Engine Passive Identity Connector（ISE PIC）。

特定のユーザーが複数のソースによって識別される場合は、リモートアクセス VPN ログインアイデンティティが優先されます。

アクティブ認証によるユーザー ID の確立

認証は、ユーザのアイデンティティを確認する動作です。

アクティブ認証を使用すると、HTTP トラフィックフローがユーザー ID のマッピングがないシステムの IP アドレスから送られてきたときに、ネットワークに設定されたディレクトリを使用して、トラフィックフローを開始したユーザーを認証するかどうかを決定できます。ユーザーが正常に認証された場合、IP アドレスは認証されたユーザーの識別情報を保持していると見なされます。

認証が失敗しても、ユーザーのネットワークアクセスは妨げられません。アクセスルールは最終的に、これらのユーザーにどのアクセスを提供するか決定します。

不明なユーザーの対処

FDM による管理デバイスを使用してアイデンティティポリシーのディレクトリサーバーを設定すると、FDM による管理はディレクトリサーバーからユーザーおよびグループメンバーシップ情報をダウンロードします。Active Directory 情報は、24 時間ごとに夜間に更新されるか、またはディレクトリ設定を編集して保存するたびに（変更がなくても）更新されます。

アクティブな認証アイデンティティルールによって求められた認証に成功したにも関わらず、ユーザー名がダウンロードしたユーザー ID 情報の中に存在しない場合、不明なユーザーとしてマークされます。ID 関連のダッシュボードにそのユーザーの ID は表示されず、ユーザー一致グループルールにも検出されません。

ただし、不明なユーザーに対するアクセスコントロールルールが適用されます。たとえば、不明なユーザーの接続をブロックすると、これらのユーザーは、たとえ認証に成功（ディレクトリサーバーがユーザーとパスワードが有効であると認識したことを意味する）してもブロックされます。

そのため、ユーザーの追加や削除、グループメンバーシップの変更などをディレクトリサーバーに加えた場合、システムがディレクトリから更新情報をダウンロードするまで、これらの変更はポリシーの適用に反映されません。

夜間の日次更新を待たない場合は、ディレクトリのレルム情報を編集して強制的に更新できます（FDM による管理にログインして、[オブジェクト（Objects）] > [アイデンティティソース（Identity Sources）] に移動し、レルムを編集します）。[OK] をクリックし、変更を展開します。システムはただちに更新情報をダウンロードします。

（注）

FDM による管理デバイスにログインし、[ポリシー（Policies）] > [アクセス制御（Access Control）] に移動して、[ルールの追加（Add Rule）]（+）ボタンをクリックして、[ユーザー（Users）] タブに表示されるユーザーリストを確認することで、新たに追加したユーザー、または削除したユーザーの情報が FDM による管理システムに反映されているか確認できます。新規ユーザーがリスト上に見つからない場合、または削除されたユーザーがリスト上にある場合、システム内の情報は古いままです。

アイデンティティポリシーの導入方法

Security Cloud Control を使用して FDM による管理デバイスの ID ポリシーを管理する場合は、最初に ID ソースを作成する必要があります。残りの設定は、Security Cloud Control を使用して構成できます。

正しく設定されている場合、FDM の監視ダッシュボードおよびイベントでユーザー名を確認できます。ユーザーアイデンティティは、アクセス制御ルールや SSL 復号ルールでもトラフィック一致基準として使用できます。

（注）

現時点では、Security Cloud Control は、リモートアクセス VPN や Cisco Identity Services Engine などのアイデンティティポリシーの実装に必要な一部のコンポーネントを設定できません。これらのコンポーネントは、デバイスのローカルマネージャである FDM で設定する必要があります。次に示す手順の一部は、アイデンティティポリシーを実装するため、FDM を使用して一部のアイデンティティコンポーネントを設定する必要があることを示しています。

手順

次の手順では、アイデンティティポリシーを機能させるために必要な設定の概要を示します。

手順

ステップ 1	AD アイデンティティレルムを設定します。ユーザーアイデンティティをアクティブまたはパッシブに収集して、ユーザーアイデンティティ情報を含む Active Directory（AD）サーバーを設定する必要があります。詳細は「Firepower Threat Defense Active Directory レルムオブジェクトの作成と編集」を参照してください。
ステップ 2	パッシブ認証アイデンティティルールを使用する場合は、FDM を使用してパッシブアイデンティティソースを設定します。デバイスに実装しているサービスおよびネットワークで使用可能なサービスに基づき、次のいずれかを設定できます。リモートアクセス VPN：デバイスへのリモートアクセス VPN 接続をサポートする場合は、AD サーバーまたは（FDM による管理デバイスに定義されている）ローカルユーザーに基づいて、ユーザーログイン時にアイデンティティを提供できます。リモートアクセス VPN の設定については、デバイスが実行しているバージョンの『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用』の「リモートアクセス VPN の設定」の章を参照してください。 Cisco Identity Services Engine（ISE）または Cisco Identity Services Engine Passive Identity Connector（ISE PIC）：これらの製品を使用する場合は、デバイスを pxGrid サブスクライバとして設定し、ISE からユーザアイデンティティを取得できます。手順については、『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』の「Identity Services Engine の設定」を参照してください。
ステップ 3	Security Cloud Control を使用して、アイデンティティポリシーを有効にし、パッシブまたはアクティブ認証を設定します。詳細については、「アイデンティティポリシーの設定」を参照してください。
ステップ 4	Security Cloud Control を使用して、アイデンティティポリシーのデフォルトアクションを設定します。パッシブ認証だけを使用する場合は、パッシブ認証に対するデフォルトアクションを設定でき、特定のルールを作成する必要はありません。
ステップ 5	Security Cloud Control を使用して、アイデンティティルールを設定します。関連するネットワークからパッシブまたはアクティブユーザーアイデンティティを収集するルールを作成します。
ステップ 6	（オプション）自分で作成したルールの場合、ルールを選択して、[コメントを追加（Add Comments）] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。
ステップ 7	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

アイデンティティポリシーの設定

アイデンティティポリシーを使用して、接続からユーザーアイデンティティ情報を収集できます。その後、FDM ダッシュボードにユーザーアイデンティティに基づく使用状況を表示し、ユーザーまたはユーザーグループに基づくアクセス制御を設定できます。

次に、アイデンティティポリシーでユーザーアイデンティティを取得するために必要な要素を設定する方法の概要を示します。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、ID ポリシーを構成するデバイスを選択して、右側の [管理（Management）] ペインで [ポリシー（Policy）] をクリックします。
ステップ 4	[ポリシー（Policy）] バーで [アイデンティティ（Identity）] をクリックします。
ステップ 5	アイデンティティポリシーをまだ有効にしていない場合は、パッシブ認証とアクティブ認証について確認し、[有効化（Enable）] をクリックします。これにより、パッシブ認証ポリシーやアクティブ認証ポリシーではなく、アイデンティティポリシーが有効になります。ポリシーのルールでは、アクティブ認証またはパッシブ認証が指定されます。
ステップ 6	アイデンティティポリシーを管理します。アイデンティティ設定を行うと、このページにすべてのルールが順番にリストアップされます。上から下に向かってルールがトラフィックと照合され、最初に適合したルールによって、適用されるアクションが決定されます。このページで次の操作を実行できます。アイデンティティポリシーを有効または無効にするには、アイデンティティトグルをクリックします。詳細については、「アイデンティティポリシーの設定」を参照してください。パッシブ認証の設定を確認するには、アイデンティティバーの [パッシブ認証（Passive Auth）] ラベルの横にあるボタンをクリックします。詳細については、「アイデンティティポリシーの設定」を参照してください。アクティブ認証を有効にするには、アイデンティティバーの [アクティブ認証（Active Auth）] ラベルの横にあるボタンをクリックします。詳細については、「アイデンティティポリシーの設定」を参照してください。デフォルトアクションを変更するには、デフォルトアクションのボタンをクリックし、目的のアクションを選択します。「アイデンティティポリシーのデフォルトアクションの設定」を参照してください。テーブル内でルールを移動させるには、ルールテーブルでルールを選択し、ルールの行の最後にある上矢印または下矢印をクリックします。テーブル内でルールを移動させるには、ルールテーブルでルールを選択し、ルールの行の最後にある上矢印または下矢印をクリックします。ルールを設定するには、次の手順を実行します。新しいルールを作成するには、プラスボタンをクリックします。既存のルールを編集するには、ルールを選択し、[アクション（Actions）] ペインの [編集（Edit）] をクリックします。テーブルでプロパティをクリックして、選択的にルールのプロパティを編集することもできます。不要になったルールを削除するには、ルールを選択し、[アクション（Actions）] ペインで [削除（Remove）] をクリックします。アイデンティティルールの作成と変更の詳細については、「アイデンティティルールの設定」を参照してください。
ステップ 7	（オプション）自分で作成したルールの場合、ルールを選択して、[コメントを追加（Add Comments）] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。
ステップ 8	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

アイデンティティポリシー設定の構成

アイデンティティポリシーを機能させるには、ユーザアイデンティティ情報を提供する送信元を設定する必要があります。必要な設定は、設定するルールのタイプ（パッシブ、アクティブ、または両方）によって異なります。

（注）

現時点では、Security Cloud Control は、Active Directory アイデンティティレルム、リモートアクセス VPN、Cisco Identity Services Engine などのアイデンティティポリシーの実装に必要な一部のコンポーネントを設定できません。これらのコンポーネントは、デバイスのローカルマネージャである FDM で設定する必要があります。次に示す手順の一部は、アイデンティティポリシーを実装するため、FDM を使用して一部のアイデンティティコンポーネントを設定する必要があることを示しています。

手順

始める前に

ディレクトリサーバー、FDM による管理デバイス、およびクライアント間で、時刻設定が一致していることを確認します。これらのデバイス間で時刻にずれがあると、ユーザ認証が成功しない場合があります。「一致」とは、別のタイムゾーンを使用できますが、たとえば、10 AM PST = 1 PM EST など、それらのゾーンに対して相対的に同じになっている必要があることを意味しています。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ID ポリシーを構成するデバイスを選択して、右側の [管理（Management）] ペインで [ポリシー（Policy）] をクリックします。

ステップ 4

[アイデンティティ（Identity）] トグルをクリックして、アイデンティティポリシーを有効にします。または、ボタンをクリックし、パッシブ認証とアクティブ認証の説明を確認して、ダイアログで [有効化（Enable）] をクリックします。

ステップ 5

パッシブ認証の設定を読みます。アイデンティティバーの [パッシブ認証（Passive Auth）] ボタンをクリックします。

Firepower Device Manager を使用してリモートアクセス VPN または Cisco Identity Services エンジンを構成している場合、パッシブ認証ボタンには [有効（Enabled）] と表示されます。

パッシブ認証ルールを作成するには、少なくとも 1 つのパッシブアイデンティティソースを設定している必要があります。

ステップ 6

アクティブ認証を構成します。アイデンティティルールにユーザのアクティブ認証が必要な場合、ユーザは接続されているインターフェイスのキャプティブポータルポートにリダイレクトされ、その後、認証を要求されます。

アイデンティティバーの [アクティブ認証（Active Auth）] ボタンをクリックします。

まだ有効にしていない場合は、[有効化（Enable）] リンクをクリックして SSL の説明を有効化します。[有効化（Enable）] リンクが表示されない場合は、手順「c」にスキップします。

[再署名証明書の復号選択（Select Decrypt Re-Sign Certificate）] メニューで、再署名証明書での復号を実装するルールに使用する内部 CA 証明書を選択します。

事前定義された NGFW-Default-InternalCA 証明書を使用するか、メニューをクリックして [作成（Create）] または [選択（Choose）] を選択することで、新しい証明書を作成、またはすでに FDM による管理デバイスにアップロードした証明書を選択します。

クライアントのブラウザに証明書をまだインストールしていない場合は、ダウンロードボタン（）をクリックしてコピーを入手します。証明書をインストールする方法については、各ブラウザのマニュアルを参照してください。『再署名の復号ルールの CA 証明書のダウンロード』も参照してください。再署名の復号ルールの CA 証明書のダウンロード

（注）

SSL 復号ポリシーをまだ構成していない場合にのみ SSL 復号の設定が求められます。ID ポリシーを有効にした後、これらの設定を変更するには、SSL 復号ポリシー設定を編集します。

[保存（Save）] をクリックします。

[サーバ証明書（Server Certificate）] メニューをクリックし、アクティブ認証時にユーザに提示する内部証明書を選択します。必要な証明書をまだ作成していない場合は、[作成（Create）] をクリックします。ブラウザが信頼している証明書をアップロードしない場合、ユーザは証明書を許可する必要があります。

[ポート（Port）] フィールドにキャプティブポータルのポート番号を入力します。デフォルトは、885（TCP）です。別のポートを設定する場合は、1025 ～ 65535 の範囲にする必要があります。

（注）

HTTP Basic、HTTP 応答ページ、および NTLM 認証方式では、ユーザはインターフェイスの IP アドレスを使用してキャプティブポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザは完全修飾 DNS 名「firewall-hostname.AD-domain-name」を使用してリダイレクトされます。HTTP ネゴシエートを使用する場合、アクティブ認証を必要としているすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバを更新する必要があります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。

[保存（Save）] をクリックします。

ステップ 7

「アイデンティティポリシーのデフォルトアクションの設定」を続けます。

アイデンティティポリシーのデフォルトアクションの設定

アイデンティティポリシーにはデフォルトアクションがあり、これは個別のアイデンティティルールに一致しない接続に対して実行されます。

実際には、ルールがないことがポリシーの有効な設定になります。すべてのトラフィックの送信元でパッシブ認証を使用する予定の場合は、単純にパッシブ認証をデフォルトアクションとして設定します。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、ID ポリシーを構成するデバイスを選択して、右側の [管理（Management）] ペインで [ポリシー（Policy）] をクリックします。
ステップ 4	[ポリシー（Policy）] バーで [アイデンティティ（Identity）] をクリックします。
ステップ 5	「アイデンティティポリシー設定の構成」が完了していない場合は行います。
ステップ 6	画面の下部にある [デフォルトアクション（Default Action）] ボタンをクリックして、次のいずれかを選択します。 [パッシブ認証（Passive Auth）]：ユーザ―アイデンティティは、任意のアイデンティティルールに一致しない接続に対して、設定されたすべてのパッシブアイデンティティソースを使用して特定されます。パッシブアイデンティティソースを設定しない場合は、パッシブ認証をデフォルトとして使用すると [認証なし（No Auth）] を使用することと同じになります。 [認証なし（No Auth）]：ユーザ―アイデンティティは、任意のアイデンティティルールに一致しない接続について特定されません。
ステップ 7	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

アイデンティティルールの設定

アイデンティティルールは、一致するトラフィックに対してユーザ識別情報を収集する必要があるかどうかを定義します。一致するトラフィックのユーザーアイデンティティ情報を収集しない場合は、[認証なし（No Authentication）] を設定できます。

ルール設定に関係なく、アクティブ認証は HTTP トラフィックに対してのみ実行されることに注意してください。したがって、HTTP 以外のトラフィックをアクティブ認証から除外するルールを作成する必要はありません。すべての HTTP トラフィックに対してユーザ識別情報を取得する場合は、アクティブ認証ルールをすべての送信元および宛先に適用するだけで済みます。

（注）

また、認証に失敗してもネットワークアクセスには影響しません。アイデンティティポリシーは、ユーザ識別情報のみを収集します。認証に失敗したユーザがネットワークにアクセスできないようにするには、アクセスルールを使用する必要があります。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックし、ID ポリシーを構成するデバイスを選択して、右側の [管理（Management）] ペインで [ポリシー（Policy）] をクリックします。

ステップ 4

[ポリシー（Policy）] バーで [アイデンティティ（Identity）] をクリックします。

ステップ 5

次のいずれかを実行します。

新しいルールを作成するには、プラスボタンをクリックします。アイデンティティソースオブジェクトとそれがルールに与える影響については、「アイデンティティソースについて」を参照してください。
既存ルールを編集するには、編集するルールを選択し、右側の操作ウィンドウで [編集（Edit）] をクリックします。
不要になったルールを削除するには、削除するルールを選択し、右側の操作ウィンドウで [削除（Remove）] をクリックします。

ステップ 6

[順序（Order）] で、ルールの番号付きリストのどこにルールを挿入するかを選択します。

ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。

デフォルトでは、ルールはリストの最後に追加されます。ルールの順序を後で変更する場合、このオプションを編集します。

ステップ 7

[名前（Name）] にルール名を入力します。

ステップ 8

ルールに適合した場合に FDM による管理デバイスが適用するアクションを [アクション（Action）] で選択し、必要に応じて Active Directory（AD）のアイデンティティソースを選択します。

パッシブおよびアクティブ認証ルールのユーザーアカウントが含まれる AD アイデンティティレルムを選択する必要があります。選択肢は以下のとおりです。

[パッシブ認証（Passive Auth）]：パッシブ認証を使用して、ユーザアイデンティティを判断します。設定されたすべてのアイデンティティソースが表示されます。ルールでは、設定されたすべてのソースが自動的に使用されます。
[アクティブ認証（Active Auth）]：アクティブ認証を使用して、ユーザーアイデンティティを判断します。アクティブ認証は HTTP トラフィックのみに適用されます。他のタイプのトラフィックが、アクティブ認証を要求または許可するアイデンティティポリシーに適合した場合、アクティブ認証は試行されません。
[認証なし（No Auth）]：ユーザ識別情報を取得しません。このトラフィックに、アイデンティティベースのアクセスルールは適用されません。これらのユーザは、[認証不要（No Authentication Required）] とマークが付けられます。

（注）

[パッシブ認証（Passive Auth）] と [アクティブ認証（Active Auth）] の両方で、AD レルムのアイデンティティソースを選択できます。アイデンティティソースオブジェクトを準備していない場合は、[新しいオブジェクトの作成（Create new object）] をクリックして、アイデンティティソースオブジェクトウィザードを起動します。詳細は「Firepower Threat Defense Active Directory レルムオブジェクトの作成と編集」を参照してください。

ステップ 9

（アクティブ認証のみ）[アクティブ認証] タブをクリックして、ディレクトリサーバーでサポートする認証方法（タイプ）を選択します。

[HTTP基本（HTTP Basic）]：暗号化されていない HTTP 基本認証接続を使用して、ユーザーを認証します。ユーザはブラウザのデフォルトの認証ポップアップウィンドウを使用してネットワークにログインします。これがデフォルトです。
[NTLM]：NT LAN マネージャ（NTLM）接続を使用して、ユーザを認証します。この選択は AD レルムを選択するときにのみ使用できます。ユーザーはブラウザのデフォルトの認証ポップアップウィンドウを使用してネットワークにログインします。Windows ドメインのログインを使ってトランスペアレント認証が行われるように、Internet Explorer と Firefox ブラウザを設定することもできます。このタスクは FDM で実行します。手順については、『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』 > 「セキュリティポリシー」 > 「アイデンティティポリシー」 > 「トランスペアレントユーザー認証の有効化」を参照してください。
[HTTPネゴシエート（HTTP Negotiate）]：ユーザエージェント（トラフィックフローを開始するためにユーザが使用しているアプリケーション）方式と Active Directory サーバ方式の間でデバイスがネゴシエーションできるようになります。ネゴシエーションの結果は、NTLM、ベーシックの順に、共通にサポートされ、使用されている最も強力な方式になります。ユーザはブラウザのデフォルトの認証ポップアップウィンドウを使用してネットワークにログインします。
[HTTP応答ページ（HTTP Response Page）]：システムが提供する Web ページを使用して、ユーザーに認証を求めるプロンプトを表示します。これは、HTTP 基本認証の 1 つの形式です。

（注）

HTTP Basic、HTTP 応答ページ、および NTLM 認証方式では、ユーザはインターフェイスの IP アドレスを使用してキャプティブポータルにリダイレクトされます。ただし、HTTP ネゴシエートでは、ユーザーは完全修飾 DNS 名「firewall-hostname.AD-domain-name」を使用してリダイレクトされます。HTTP ネゴシエートを使用する場合、アクティブ認証を必要としているすべての内部インターフェイスの IP アドレスにこの名前をマッピングするように DNS サーバを更新する必要があります。そうしないと、リダイレクトは実行できず、ユーザを認証できません。

ステップ 10

（アクティブ認証のみ）アクティブ認証に失敗したユーザーをゲストユーザーとしてラベル付けするかどうかを決めるには、[ゲストとしてフォールバック（Fall Back as Guest）] > [オン/オフ（On/Off）] を選択します。

ユーザは、正常に認証する 3 つの機会が得られます。失敗した場合、このオプションの選択により、ユーザがどのようにマーク付けされるかが決まります。これらの値に基づき、アクセスルールを展開できます。

[ゲストとしてフォールバック（Fall Back as Guest）] > [オン（On）]：ユーザーは [ゲスト（Guest）] としてマーク付けされます。
[ゲストとしてフォールバック（Fall Back as Guest）] > [オフ（Off）]：ユーザ―は [失敗した認証（Failed Authentication）] としてマーク付けされます。

ステップ 11

パッシブ認証、アクティブ認証、または認証なしのルールアクションについて、[送信元（Source）] タブと [宛先（Destination）] タブで、トラフィックの適合基準を定義します。

アクティブ認証は、HTTP トラフィックに対してのみ試されることに注意してください。したがって、HTTP 以外のトラフィックに対して「認証なし」のルールを設定は不要で、HTTP 以外のトラフィックに対してアクティブ認証ルールを作成するポイントもありません。ただし、パッシブ認証は任意のタイプのトラフィックに有効です。

アイデンティティルールの送信元/宛先基準は、トラフィックが通過するセキュリティゾーン（インターフェイス）、IP アドレス、または IP アドレスの国または大陸（地理的位置）、またはトラフィックで使用されるプロトコルおよびポートを定義します。デフォルトは、すべてのゾーン、アドレス、地理的位置、プロトコル、およびポートです。

条件を変更するには、条件内のボタンをクリックし、希望するオブジェクトまたは要素を選択し、ポップアップダイアログボックスの [OK] をクリックします。条件で必要とされているオブジェクトが存在しない場合は、[新規オブジェクトの作成（Create New Object）] をクリックします。

条件からオブジェクトを削除するには、オブジェクトにカーソルを合わせて [X] をクリックします。

次のトラフィック一致基準を設定できます。

送信元ゾーン、宛先ゾーン

トラフィックが通過するインターフェイスを定義するセキュリティゾーンオブジェクト。1 つの基準を定義する、両方の基準を定義する、またはどちらの基準も定義しないことができます。指定しない基準は、すべてのインターフェイスのトラフィックに適用されます。

ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン（Destination Zones）] に追加します。
ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン（Source Zones）] に追加します。
送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

トラフィックがデバイスに出入りする場所に基づいてルールを適用する必要がある場合は、この基準を使用します。たとえば、内部ネットワークから発信されるすべてのトラフィックからユーザ識別情報を収集する場合、内部ゾーンを [送信元ゾーン（Source Zones）] として選択し、宛先ゾーンを空のままにします。

（注）

1 つのルールにパッシブセキュリティゾーンとルーテッドセキュリティゾーンを混在させることはできません。さらに、パッシブセキュリティゾーンは送信元ゾーンとしてのみ指定でき、宛先ゾーンとして指定することはできません。

送信元ネットワーク、宛先ネットワーク

トラフィックのネットワークアドレスまたは場所を定義する、ネットワークオブジェクトまたは地理的位置。

IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク（Source Networks）] を設定します。
IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク（Destination Networks）] を設定します。
送信元（Source）ネットワーク条件と宛先（Destination）ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

この条件を追加する場合、次のタブから選択します。

[ネットワーク（Network）]：制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワークオブジェクトまたはグループを選択します。
[国/大陸（Country/Continent）]：地理的な位置を選択して、その送信元または宛先の国や大陸に基づきトラフィックを制御できます。大陸を選択すると、大陸内のすべての国が選択されます。ルール内で地理的位置を直接選択する以外に、作成した地理位置オブジェクトを選択して、場所を定義することもできます。地理的位置を使用すると、特定の国で使用されているすべての潜在的な IP アドレスを知る必要なく、その国へのアクセスを簡単に制限できます。
[カスタム地理位置情報（Custom Geolocation）]：指定した国と大陸を正確に含む地理位置情報オブジェクトを選択（または作成）します。

（注）

最新の地理的位置データを使用してトラフィックをフィルタ処理できるように、地理位置情報データベース（GeoDB）を定期的に更新することを強くお勧めします。詳細については、「地理位置情報データベースの更新」を参照してください。

送信元ポート、宛先ポート/プロトコル

トラフィックで使用されるプロトコルを定義するポートオブジェクト。TCP/UDP では、これにポートを含めることができます。

プロトコルまたはポートからのトラフィックを照合するには、[送信元ポート（Source Ports）] を設定します。送信元ポートを使用できるのは、TCP/UDP のみです。
プロトコルまたはポートへのトラフィックを照合するには、[宛先ポート/プロトコル（Destination Ports/Protocols）] を設定します。
特定の TCP/UDP ポートから発生し、特定の TCP/UDP ポートに向かうトラフィックを照合するには、両方設定します。送信元ポートと宛先ポートの両方を条件に追加する場合、単一のトランスポートプロトコル、TCP、または UDP を共有するポートのみを追加できます。たとえば、ポート TCP/80 からポート TCP/8080 へのトラフィックを対象にできます。

ステップ 12

[保存（Save）] をクリックします。

ステップ 13

[セキュリティデバイス（Security Devices）] ページに戻ります。

ステップ 14

ルールを追加したアイデンティティポリシーがあるデバイスを選択します。

ステップ 15

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

SSL 復号ポリシー

HTTPS など一部のプロトコルは、セキュアソケットレイヤ（SSL）またはその後継バージョンである Transport Layer Security（TLS）を使用して、セキュアな転送のためにトラフィックを暗号化します。システムでは暗号化された接続を検査できないため、アクセス判断のために上位層のトラフィック特性を考慮したアクセスルールを適用する場合は、SSL 復号ポリシーを適用して暗号化された接続を復号する必要があります。

注意	トラフィックの復号とその後の再暗号化は、全体的なシステムパフォーマンスを低下させるデバイスの処理負荷が増加することに注意してください。

次のトピックに進みます。

SSL 復号について
SSL 復号ポリシーの実装および管理方法
SSL 復号ポリシーの設定
既知のキーと復号の再署名の証明書の設定
再署名の復号ルールの CA 証明書のダウンロード
SSL 暗号解読の問題のトラブルシューティング

SSL 復号ポリシーの実装および管理方法

URL フィルタリング、侵入、マルウェアコントロール、および詳細なパケット検査を必要とするその他のサービスを適用できるように、SSL 復号ポリシーを使用して暗号化されたトラフィックをプレーンテキストトラフィックにできます。ポリシーがトラフィックを許可する場合、そのトラフィックはデバイスから出る前に再暗号化されます。

SSL 復号ポリシーは、暗号化されたトラフィックにのみ適用されます。暗号化されていない接続は SSL 復号ルールに対して評価されません。

他のセキュリティポリシーの場合とは異なり、SSL 復号ポリシーは、監視して積極的に保守する必要があります。これは、証明書の期限が切れたり、宛先サーバで変更されたりするためです。さらに、クライアントソフトウェアの変更により特定の接続を復号する能力が変わる場合もあります。これは、再署名の復号アクションを中間者攻撃と区別できないためです。

次の手順では、SSL 復号ポリシーの実装と保守のエンドツーエンドプロセスを説明します。

手順

ステップ 1	再署名の復号ルールを実装する場合は、必要な内部 CA 証明書を作成します。内部認証局（CA）証明書を使用する必要があります。次の選択肢があります。ユーザは証明書を信頼する必要があるため、すでに信頼されると設定されているクライアントブラウザに証明書をアップロードするか、またはアップロードする証明書がブラウザの信頼ストアに追加されるようにします。デバイス自体によって署名される自己署名内部 CA 証明書を作成します。『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』で「再利用可能なオブジェクト」>「証明書」>「自己署名内部および内部 CA 証明書の生成」を参照してください。外部の信頼できる CA または組織内部の CA によって署名される内部 CA 証明書およびキーをアップロードします。『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』で「再利用可能なオブジェクト」>「証明書」>「内部および内部 CA 証明書のアップロード」を参照してください。
ステップ 2	既知のキーの復号ルールを実装する場合は、各内部サーバーから証明書とキーを収集します。サーバーから証明書とキーを取得する必要があるため、既知のキーの復号は自分で制御しているサーバーでのみ使用できます。これらの証明書とキーを内部証明書（内部 CA 証明書ではない）としてアップロードします。『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』で「再利用可能なオブジェクト」>「証明書」>「内部および内部 CA 証明書のアップロード」を参照してください。
ステップ 3	SSL 復号ポリシーの有効化ポリシーを有効にする際に、いくつかの基本的な設定も構成します。
ステップ 4	SSL 復号のデフォルトアクションの設定不確かな場合は、デフォルトアクションとして [復号しない（Do not decrypt）] を選択します。この場合でも、アクセスコントロールポリシーは、デフォルトの SSL 復号ルールに一致するトラフィックを適切であればドロップできます。
ステップ 5	SSL 復号ルールの設定復号するトラフィック、および適用する復号のタイプを識別します。
ステップ 6	既知のキーでの復号を設定する場合は、これらの証明書を含めるように SSL 復号ポリシー設定を編集します。「既知のキーと復号の再署名の証明書の設定」を参照してください。
ステップ 7	必要に応じて、再署名の復号ルールに使用する CA 証明書をダウンロードして、クライアントワークステーションのブラウザにアップロードします。証明書のダウンロードおよびクライアントへの配布については、「再署名の復号ルールの CA 証明書のダウンロード」を参照してください。
ステップ 8	定期的に、再署名証明書および既知のキーの証明書を更新します。再署名証明書：期限切れになる前にこの証明書を更新します。Firepower Device Manager を使用して証明書を生成する場合は、5 年間有効です。証明書の有効期限を確認するには、[オブジェクト（Objects）] ページで証明書の表示アイコンをクリックします。既知のキーの証明書：既知のキーによる復号ルールの場合、宛先サーバーの現在の証明書とキーがアップロードされていることを確認する必要があります。サポートされるサーバで証明書およびキーが変更されるたびに、新しい証明書およびキーを（内部証明書として）アップロードし、新しい証明書を使用するように SSL 復号設定を更新する必要があります。
ステップ 9	外部サーバで不足している信頼できる CA 証明書をアップロードします。システムには、サードパーティによって発行された、広範な信頼できる CA ルート証明書および信頼できる CA 中間証明書が含まれています。これらは、再署名の復号ルールについて FDM による管理デバイスと宛先サーバーの間で接続をネゴシエートするときに必要です。信頼できるルート CA の信頼チェーン内にあるすべての証明書を、信頼できる CA 証明書のリストにアップロードしますが、これにはルート CA 証明書およびすべての中間 CA 証明書が含まれます。これを行わないと、中間 CA から発行された信頼できる証明書の検出が困難になります。[オブジェクト（Objects）] > [証明書（Certificates）] ページで証明書をアップロードします。『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』で「再利用可能なオブジェクト」>「証明書」>「信頼できる CA 証明書のアップロード」を参照してください。

SSL 復号について

通常、ネットワーク接続が許可されるかブロックされるかを決定するのはアクセスコントロールポリシーです。ただし、SSL 復号ポリシーを有効にする場合、暗号化された接続は最初に SSL 復号ポリシー経由で送信され、復号するかブロックする必要があるかが判断されます。ブロックされていない接続は、復号の有無にかかわらず、許可/ブロックの最終的な決定のためにアクセスコントロールポリシーを経由します。

（注）

アイデンティティポリシーでアクティブな認証ルールを実装するためには、SSL 復号ポリシーを有効にする必要があります。SSL 復号を有効にして ID ポリシーを有効にするが、SSL 復号は実装しない場合、[SSL復号（SSL Decryption）] ページでデフォルトのアクションに [復号しない（Do Not Decrypt）] を選択し、追加の SSL 復号ルールは作成しないでください。アイデンティティポリシーでは、必要なルールを自動的に生成します。

ここでは、暗号化トラフィックフロー管理と復号についてさらに詳しく説明します。

SSL 復号を実装する理由
自動的に生成された SSL 復号ルール
復号できないトラフィックの処理

SSL 復号を実装する理由

HTTPS 接続などの暗号化されたトラフィックは検査することができません。銀行や他の金融機関への接続など、多くの接続は合法的に暗号化されます。多くの Web サイトでは、プライバシーや機密性の高いデータを保護するために暗号化を使用します。たとえば、Firepower Device Manager への接続は暗号化されます。ただし、暗号化された接続の中ではユーザが望ましくないトラフィックを隠すこともできます。

SSL 復号を実装することによって、接続を復号して脅威またはその他の望ましくないトラフィックが含まれていないかを確認するために検査し、再度暗号化してから接続の続行を許可できます。（復号されたトラフィックは、アクセス制御ポリシーを通過し、暗号化された特性ではなく、復号された接続の検査特性に基づいたルールに一致します。）これは、アクセス制御ポリシーを適用する必要性とユーザーの機密情報を保護する必要性との間でバランスをとります。

ネットワークを利用させたくない種類の暗号化されたトラフィックをブロックする SSL 復号ルールを構成することもできます。

注意	トラフィックの復号とその後の再暗号化は、全体的なシステムパフォーマンスを低下させるデバイスの処理負荷が増加することに注意してください。

暗号化されたトラフィックに適用できるアクション

SSL 復号ルールを設定する場合は、次のトピックで説明しているアクションを適用できます。これらのアクションは、明示的なルールと一致しないすべてのトラフィックに適用されるデフォルトのアクションにも使用できます。

再署名の復号
既知のキーの復号
Do Not Decrypt
ブロック（Block）

（注）

SSL 復号ポリシーを経由するすべてのトラフィックは、アクセスコントロールポリシーを経由する必要があります。SSL 復号ポリシーにドロップするトラフィックを除き、許可またはドロップの最終的な決定はアクセスコントロールポリシーに委ねられます。

再署名の復号

トラフィックを復号し再署名する場合、システムは中間者として機能します。

たとえば、ユーザーがブラウザで https://www.cisco.com と入力します。トラフィックが FDM 管理対象デバイスに達すると、デバイスはルールで指定された CA 証明書を使用してユーザーとネゴシエーションし、ユーザーと FDM 管理対象デバイス間に SSL トンネルを構築します。同時に、デバイスは https://www.cisco.com に接続し、サーバーと FTD 管理対象デバイス間に SSL トンネルを作成します。

このため、ユーザには、www.cisco.com からの証明書ではなく、SSL 復号ルールで設定された CA 証明書が表示されます。ユーザは、接続を完了するために証明書を信頼する必要があります。FTD 管理対象デバイスは、ユーザーと宛先サーバー間のトラフィックで両方向の復号と再暗号化を実行します。

（注）

サーバー証明書の再署名に使用する CA をクライアントが信頼していない場合、証明書が信頼できないという警告がユーザーに出されます。これを防止するには、クライアントの信用できる CA ストアに CA 証明書をインポートします。または組織にプライベート PKI がある場合は、組織の全クライアントで自動的に信頼されるルート CA が署名する中間 CA 証明書を発行して、その CA 証明書をデバイスにアップロードすることもできます。

[復号-再署名（Decrypt - Resign）] アクションをルールに設定すると、ルールによるトラフィックの照合は、設定されている他のルール条件に加えて、参照する内部 CA 証明書の署名アルゴリズムタイプに基づいて実施されます。SSL 復号ポリシーに 1 つの再署名証明書を選択できるため、これによって再署名ルールのトラフィック一致を制限できます。

たとえば、楕円曲線（EC）アルゴリズムで暗号化された発信トラフィックは、再署名証明書が EC ベースの CA 証明書の場合にのみ、再署名の復号ルールと一致します。同様に、RSA アルゴリズムで暗号化されたトラフィックは、グローバル再署名証明書が RSA の場合にのみ、再署名の復号ルールと一致します。EC アルゴリズムで暗号化された発信トラフィックは、設定されたその他すべてのルール条件が一致していても、このルールとは一致しません。

既知のキーの復号

宛先サーバを所有している場合、既知のキーで復号を実装できます。この場合、ユーザーが https://www.cisco.com への接続を開くと、FTD 管理対象デバイスが証明書を提示している場合であっても、www.cisco.com の実際の証明書がユーザーに表示されます。

ドメインおよび証明書の所有者は、所属組織でなければなりません。cisco.com を例として取り上げると、エンドユーザーにシスコの証明書が表示されるのは、組織が実際にドメイン cisco.com の所有者であり（つまり、所属企業が Cisco Systems であること）、パブリック CA によって署名された cisco.com 証明書の所有権を持っている場合のみです。復号できるのは、所属組織が所有するサイトの既存のキーを使用する場合のみです。

既知のキーを使用して復号する主な目的は、HTTPS サーバへのトラフィックを復号して、社内サーバを外部の攻撃から保護することです。外部 HTTPS サイトへのクライアント側のトラフィックを検査する場合は、サーバを所有していないので、再署名の復号を使用する必要があります。

（注）

既知のキーの復号を使用するには、サーバーの証明書およびキーを内部アイデンティティ証明書としてアップロードし、SSL 復号ポリシー設定で既知のキーの証明書一覧に追加する必要があります。その後は、サーバーのアドレスを宛先アドレスとして使用して、既知のキーの復号ルールを展開できます。SSL 復号ポリシーに証明書を追加する方法については、「既知のキーと復号の再署名の証明書の設定」を参照してください。

復号禁止

特定の種類のトラフィックで復号をバイパスする場合、トラフィックの処理は行われません。暗号化されたトラフィックはアクセスコントロールポリシーに渡され、一致するアクセス制御ルールに基づいて許可またはドロップされます。

ブロック

単に SSL 復号ルールと一致する暗号化されたトラフィックをブロックできます。SSL 復号ポリシーのブロックでは、アクセスコントロールポリシーに接続が達することを防ぎます。

HTTPS 接続をブロックすると、ユーザにはシステムのデフォルトのブロック応答ページが表示されません。代わりに、セキュアな接続で障害が発生した際のブラウザのデフォルトページが表示されます。エラーメッセージには、ポリシーによってサイトがブロックされたことは示されません。代わりに、一般的な暗号化アルゴリズムがないと示される場合があります。このメッセージからは、故意に接続がブロックされたことは明らかになりません。

自動的に生成された SSL 復号ルール

SSL 復号ポリシーを有効にしてもしなくても、FDM による管理デバイスはアクティブ認証を実装する各 ID ポリシールールに対して再署名の復号ルールを自動的に生成します。これは、HTTPS 接続でアクティブな認証を有効にするために必要です。

SSL 復号ポリシーを有効にすると、アイデンティティポリシーのアクティブな認証ルールの見出しの下にこれらのルールが表示されます。これらのルールは、SSL 復号ポリシーの上部にグループ化されます。ルールは読み取り専用です。ルールは ID ポリシーを変更することによってのみ変更できます。

復号できないトラフィックの処理

接続が復号できなくなる特性は複数あります。接続に次の特性のいずれかがある場合、接続で一致するルールがあっても接続にはデフォルトのアクションが適用されます。（[復号しない（Do Not Decrypt）] ではなく）デフォルトアクションとしてブロックを選択する場合、正当なトラフィックの過剰なドロップなどの問題があることがあります。

圧縮されたセッション：データ圧縮が接続に適用されています。
SSLv2 セッション：サポートされている最下位の SSL バージョンは SSLv3 です。
不明な暗号スイート：システムで接続の暗号スイートが認識されません。
サポート外の暗号スイート：システムで、検出された暗号スイートに基づく復号がサポートされません。
キャッシュされないセッション：SSL セッションにおいてセッションの再利用が可能になっていて、クライアントとサーバがセッション ID でセッションを再確立したときに、システムがそのセッション ID をキャッシュに入れなかったことを意味します。
ハンドシェイクエラー：SSL ハンドシェイクのネゴシエーション中にエラーが発生しました。
復号エラー：復号処理中にエラーが発生しました。
パッシブインターフェイストラフィック：パッシブインターフェイス（パッシブセキュリティゾーン）のすべてのトラフィックが復号不能です。

SSL 復号ポリシーのライセンス要件

SSL 復号ポリシーを使用するのに特別なライセンスは必要ありません。

ただし、URL カテゴリおよびレピュテーションを一致基準として使用するルールを作成するには、URL ライセンスが必要です。ライセンスの設定については、『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』>「システムのライセンス」> 「オプションライセンスの有効化と無効化」を参照してください。

SSL 復号のガイドライン

SSL 復号ポリシーを設定してモニターする場合は、次の点に注意してください。

SSL 復号ポリシーは、次のようなアクセス制御ルールがトラフィックを信頼またはブロックするように設定されている場合に、それらのルールに一致する接続に関してバイパスされます。
- セキュリティゾーン、ネットワーク、地理位置情報、およびポートだけをトラフィック照合基準として使用する。
- 検査を必要とする他のルール（アプリケーションまたは URL に基づいて接続を照合するルールなど）に先立つか、侵入またはファイル検査を適用するルールを許可する。
URL カテゴリのマッチングを使用するときは、サイトのログインページがサイトそのものと異なるカテゴリにある場合に注意してください。たとえば、Gmail は「Web ベースの電子メール」カテゴリにあり、ログインページは「インターネットポータル」カテゴリにあります。これらのサイトへの接続を復号するには、両方のカテゴリをルールに含める必要があります。
アクティブ認証ルールを使用している場合は、SSL 復号ポリシーを無効にすることができません。SSL 復号ポリシーを無効にするには、アイデンティティポリシーを無効にするか、またはアクティブ認証を使用するアイデンティティルールを削除する必要があります。

SSL 復号ポリシーの設定

URL フィルタリング、侵入、マルウェアコントロール、および詳細なパケット検査を必要とするその他のサービスを適用できるように、SSL 復号ポリシーを使用して暗号化されたトラフィックをプレーンテキストトラフィックにできます。ポリシーがトラフィックを許可する場合、そのトラフィックはデバイスから出る前に再暗号化されます。

SSL 復号ポリシーは、暗号化されたトラフィックにのみ適用されます。暗号化されていない接続は SSL 復号ルールに対して評価されません。

注意	トラフィックの復号とその後の再暗号化は、全体的なシステムパフォーマンスを低下させるデバイスの処理負荷が増加することに注意してください。

（注）

VPN トンネルは SSL 復号ポリシーが評価される前に復号されるので、トンネル自体にはポリシーは適用されません。ただし、トンネル内で暗号化された接続は SSL 復号ポリシーによる評価の対象となります。

以下の手順で、SSL 復号ポリシーを設定する方法を説明します。SSL 復号を作成および管理するエンドツーエンドプロセスの説明については、「SSL 復号ポリシーの実装および管理方法」を参照してください。

手順

始める前に

SSL 復号ルールテーブルには、2 つのセクションが含まれています。

[アイデンティティポリシーアクティブ認証ルール（Identity Policy Active Authentication Rules）]：アイデンティティポリシーを有効にしてアクティブ認証を使用するルールを作成すると、システムがこれらのポリシーの動作に必要な SSL 復号ルールを自動的に作成します。これらのルールは、常に自分で作成した SSL 復号ルールの前に評価されます。アイデンティティポリシーに変更することによって、間接的にのみこれらのルール変更できます。
[SSLネイティブルール（SSL Native Rules）]：これらは自分で構成したルールです。このセクションにのみルールを追加できます。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックして、SSL ポリシーを作成するデバイスを選択します。
ステップ 4	右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。
ステップ 5	ポリシーバーの [SSL復号（SSL Decryption）] をクリックします。
ステップ 6	ポリシーをまだ有効化していない場合は、[SSL復号の有効化（Enable SSL Decryption）] をクリックし、「SSL 復号ポリシーの有効化」の説明に従ってポリシーを設定します。
ステップ 7	ポリシーのデフォルトアクションを設定します。最も安全な選択肢は、[復号しない（Do Not Decrypt）] です。詳細については、デバイスが実行しているバージョンの『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用』で、「セキュリティポリシー」章の「SSL 復号のデフォルトアクションの設定」項を参照してください。
ステップ 8	SSL 復号ポリシーを管理します。 SSL 復号を設定した後、このページにすべてのルールが順番に一覧表示されます。上から下に向かってルールがトラフィックと照合され、最初に適合したルールによって、適用されるアクションが決定されます。このページで次の操作を実行できます。ポリシーを無効にするには、[SSL復号ポリシー（SSL Decryption Policy）] トグルをクリックします。[SSL複合を有効化（Enable SSL Decryption）] をクリックすると再度有効にできます。ポリシーで使用する証明書リストを含むポリシー設定を編集するには、SSL ツールバーの設定ボタンをクリックします。また、クライアントに配布できるように、再署名の復号ルールで使用する証明書をダウンロードできます。デバイスで実行しているバージョンの『Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）』で「セキュリティポリシー」章の次の項を参照してください。既知のキーと復号の再署名の証明書の設定再署名の復号ルールの CA 証明書のダウンロードルールを設定するには、次の手順を実行します。新しいルールを作成し、そのルールによりログイベントを生成するには、青色のプラスボタンをクリックします。「SSL 復号ルールの設定」を参照してください。既存のルールを編集するには、ルールテーブル内のルールを選択し、操作ウィンドウで [編集（Edit）] をクリックします。テーブルでプロパティをクリックして、選択的にルールのプロパティを編集することもできます。不要になったルールを削除するには、ルールテーブル内のルールを選択し、操作ウィンドウで [削除（Remove）] をクリックします。ルールを移動するには、ルールテーブル内の該当するルールにカーソルを合わせます。行の最後にある上下の矢印を使用して、ルールテーブルでその位置を移動します。（オプション）自分で作成したルールの場合、ルールを選択して、[コメントを追加（Add Comments）] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。
ステップ 9	「SSL 復号ポリシーの有効化」に進みます。

SSL 復号ポリシーの有効化

SSL 復号ルールを設定する前に、ポリシーを有効にして、いくつかの基本的な設定を構成する必要があります。以下の手順で、ポリシーを直接有効にする方法を説明します。アイデンティティポリシーを有効にするときにこのポリシーを有効にすることもできます。アイデンティティポリシーでは、SSL 復号ポリシーを有効にする必要があります。

手順

始める前に

SSL 復号ポリシーを持たないリリースからアップグレードし、アクティブな認証ルールを使用してアイデンティティポリシーを設定した場合、SSL 復号ポリシーはすでに有効になっています。必ず使用する再署名の復号証明書を選択し、必要に応じて事前定義されたルールを有効にします。

まだ行っていない場合は、「SSL 復号ポリシーの設定」を確認してください。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、SSL 復号ポリシーを有効にするデバイスを選択します。
ステップ 4	右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。
ステップ 5	ポリシーバーの [SSL復号（SSL Decryption）] をクリックします。
ステップ 6	SSL バーの [SSL復号（SSL Decryption）] トグルをクリックして、SSL 復号ポリシーを有効にします。初めてポリシーを有効にした場合は、既知のキーの復号および再署名の SSL 復号についての説明に目を通し、[有効化（enable）] をクリックします。以前にこのポリシーを設定した後で無効にした場合は、前の設定とルールを使用してポリシーが再度有効になります。SSL 復号の設定ボタンをクリックし、「既知のキーと復号の再署名の証明書の設定」に記載されている説明に従って設定できます。
ステップ 7	[再署名証明書の復号（Decrypt Re-Sign Certificate）] では、再署名証明書での復号を実装するルールに使用する内部 CA 証明書を選択します。事前定義済みの NGFW-Default-InternalCA 証明書か、作成またはアップロードしたものを使用できます。証明書がまだ存在しない場合は、[作成（Create）] をクリックして FDM による管理デバイス内部 CA 証明書を追加します。クライアントのブラウザに証明書をまだインストールしていない場合は、ダウンロードボタン（）をクリックしてコピーを入手します。証明書をインストールする方法については、各ブラウザのマニュアルを参照してください。「再署名の復号ルールの CA 証明書のダウンロード」も参照してください。
ステップ 8	[保存（Save）] をクリックします。
ステップ 9	「SSL 復号のデフォルトアクションの設定」に進み、ポリシーのデフォルトアクションを設定します。

SSL 復号のデフォルトアクションの設定

暗号化された接続が特定の SSL 復号ルールに一致しない場合、SSL 復号ポリシーのデフォルトアクションに基づいて処理されます。

手順

始める前に

次の手順をまだ実行していない場合は、手順を確認して実行してください。

SSL 復号ポリシーの設定
SSL 復号ポリシーの有効化

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックして、デフォルトの SSL 復号アクションを設定するデバイスを選択します。
ステップ 4	右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。
ステップ 5	ポリシーバーの [SSL復号（SSL Decryption）] をクリックします。
ステップ 6	[デフォルトアクション（Default Action）] ボタンをクリックします。
ステップ 7	一致するトラフィックに適用するアクションを選択します。 [復号しない（Do Not Decrypt）]：暗号化された接続を許可します。次にアクセス制御ポリシーは、暗号化された接続を評価し、アクセス制御ルールに基づいてドロップまたは許可します。 [ブロック（Block）]：接続をすぐに切断します。接続はアクセス制御ポリシーに渡されません。
ステップ 8	（オプション）デフォルトアクションのロギングを設定します。SSL 復号ポリシーからイベントをキャプチャするには、ロギングを有効にする必要があります。次のオプションから選択します。 [接続終了時（At End of Connection）]：接続の終了時にイベントを生成します。 [接続イベントの送信先（Send Connection Events To）]：外部の syslog サーバーにイベントのコピーを送信するには、syslog サーバーを定義するサーバーオブジェクトを選択します。必要なオブジェクトがすでに存在しない場合、[Syslogサーバーの新規作成（Create New Syslog Server）] をクリックして作成します（syslog サーバへのロギングを無効化するには、サーバのリストから [任意（Any）] を選択します）。デバイスのイベントストレージは限られているため、外部 syslog サーバーへイベントを送信すると、長期的な保存が可能になり、イベント分析を強化できます。 Cisco Security Analytics and Logging のサブスクリプションがある場合は、Secure Event Connector の IP アドレスとポートを使用して syslog サーバーを指定または作成します。この機能の詳細については、「Cisco Security Analytics and Logging」を参照してください。 [ロギングなし（No Logging）]：イベントを生成しません。
ステップ 9	[保存（Save）] をクリックします。
ステップ 10	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

SSL 復号ルールの設定

SSL 復号ルールを使用して、暗号化された接続を処理する方法を決定します。SSL 復号ポリシーに設定されたルールは、上から下への順に評価されます。トラフィックに適用されるルールは、すべてのトラフィック基準が一致する最初のルールです。

[SSLネイティブルール（SSL Native Rules）] セクションでのみルールを作成し、編集できます。

注意	トラフィックの復号とその後の再暗号化は、全体的なシステムパフォーマンスを低下させるデバイスの処理負荷が増加することに注意してください。

（注）

SSL 復号ポリシーが接続を評価する前に、VPN 接続（サイト間とリモートアクセスの両方）のトラフィックが復号されます。したがって、SSL 復号ルールが VPN 接続に適用されることはなく、これらのルールを作成するときに VPN 接続を考慮する必要はありません。ただし、VPN トンネル内で暗号化された接続を使用する場合は評価されます。たとえば、RA VPN トンネル自体は（すでに復号されているので）評価されなくても、RA VPN 接続経由の内部サーバーへの HTTPS 接続は、SSL 復号ルールによって評価されます。

手順

始める前に

「SSL 復号ポリシーの設定」、「SSL 復号ポリシーの有効化」、および「SSL 復号のデフォルトアクションの設定」がまだの場合は内容を確認し、ルールを追加する SSL 復号ポリシーを設定します。

既知のキーの復号ルールを作成する場合は、宛先サーバーのための証明書とキーを（内部証明書として）アップロードし、証明書を使用するために SSL 復号ポリシーの設定も編集します。既知のキーのルールは通常、ルールの宛先ネットワークの条件で宛先サーバーを指定します。詳細については、「既知のキーと復号の再署名の証明書の設定」を参照してください。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックして、SSL 復号ポリシーを有効にするデバイスを選択します。
ステップ 4	右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。
ステップ 5	ポリシーバーの [SSL復号（SSL Decryption）] をクリックします。
ステップ 6	次のいずれかを実行します。新しいルールを作成するには、青色のプラスボタンをクリックします。既存のルールを編集するには、ルールの編集アイコンをクリックします。不要になったルールを削除するには、ルールの削除アイコンをクリックします。
ステップ 7	[順序（Order）] で、ルールの番号付きリストのどこにルールを挿入するかを選択します。 [SSLネイティブルール（SSL Native Rules）] セクションにのみルールを挿入できます。アイデンティティポリシーアクティブ認証ルールはアイデンティティポリシーから自動的に生成され、読み取り専用です。ルールは最初に一致したものから順に適用されるため、限定的なトラフィック一致基準を持つルールは、同じトラフィックに適用され、汎用的な基準を持つルールよりも上に置く必要があります。デフォルトでは、ルールはリストの最後に追加されます。ルールの順序を後で変更する場合、このオプションを編集します。
ステップ 8	[名前（Name）] にルール名を入力します。この名前にスペースを含めることはできません。英数字と以下の特殊文字を使用できます： + . _ -
ステップ 9	一致するトラフィックに適用するアクションを選択します。各オプションの詳細については、次を参照してください。再署名の復号既知のキーの復号 Do Not Decrypt ブロック（Block）
ステップ 10	次のタブの任意の組み合わせを使用して、トラフィック一致基準を定義します。 [送信元/送信先（Source/Destination）]：トラフィックが通過するセキュリティゾーン（インターフェイス）、IP アドレスまたは IP アドレスの国/大陸（地理的ロケーション）、トラフィックで使用されている TCP ポート。デフォルトでは、すべてのゾーン、アドレス、地理的ロケーション、TCP ポートが対象になります。「SSL 復号ルールの送信元/送信先基準」を参照してください。 [URL]：Web 要求の URL カテゴリ。デフォルトでは URL カテゴリおよびレピュテーションはマッチングの目的では考慮されません。「SSL 復号ルールの URL 基準」を参照してください。 [アプリケーション（Application）]：アプリケーション、またはタイプ、カテゴリ、タグ、リスク、ビジネスとの関連性ごとにアプリケーションを定義するフィルタ。デフォルトは任意の暗号化されたアプリケーションです。「SSL 復号ルールのアプリケーション基準」を参照してください。 [ユーザ（Users）]：ユーザとユーザグループ。アイデンティティポリシーは、ユーザーとグループの情報がトラフィックの照合に使用できるかどうかを定義します。この基準を使用するには、アイデンティティポリシーを設定する必要があります。「SSL 復号ルールのユーザー基準」を参照してください。 [拡張（Advanced）]：SSL/TLS バージョンや証明書のステータスなどの接続に使用する証明書に由来する特性。「SSL 復号ルールの詳細条件」を参照してください。条件を変更するには、条件内の青色のプラスボタンをクリックして該当するオブジェクトまたは要素を選択し、ポップアップダイアログボックスで [選択（Select）] をクリックします。条件で必要とされているオブジェクトが存在しない場合は、[新規オブジェクトの作成（Create New Object）] をクリックします。オブジェクトまたは要素をポリシーから削除するには、そのオブジェクトまたは要素の [x] をクリックします。条件を SSL 復号ルールに追加する際は、以下のヒントを参考にしてください。 1 つのルールにつき複数の条件を設定できます。ルールがトラフィックに適用されるには、トラフィックがそのルールのすべての条件に一致する必要があります。たとえば、URL カテゴリに基づいて復号するために単一のルールを使用できます。ルールの条件ごとに、最大 50 の条件を追加できます。条件の基準のいずれかに一致するトラフィックはその条件を満たします。たとえば、最大 50 のアプリケーションまたはアプリケーションフィルタにアプリケーション制御を適用する単一のルールを使用できます。したがって、単一の条件では項目間に OR 関係がありますが、条件タイプ間（たとえば、送信元/宛先とアプリケーション間）には AND 関係があります。 URL カテゴリのマッチングには、URL ライセンスが必要です。
ステップ 11	（オプション）ルールのロギングを設定します。ルールと一致するトラフィックをダッシュボードデータまたはイベントビューアに含めるには、ロギングを有効にする必要があります。次のオプションから選択します。 [ロギングなし（No Logging）]：イベントを生成しません。 [接続イベントの送信先（Send Connection Events To）]：外部の syslog サーバにイベントのコピーを送信するには、syslog サーバを定義するサーバオブジェクトを選択します。必要なオブジェクトがすでに存在しない場合、[作成（Create）] をクリックしてそのオブジェクトを作成します（syslog サーバへのロギングを無効化するには、サーバのリストから [任意（Any）] を選択します）。 [接続終了時（At End of Connection）]：接続の終了時にイベントを生成します。デバイスのイベントストレージは限られているため、外部 syslog サーバーへイベントを送信すると、長期的な保存が可能になり、イベント分析を強化できます。 Cisco Security Analytics and Logging のサブスクリプションがある場合は、Secure Event Connector の IP アドレスとポートを使用して syslog サーバーオブジェクトを指定または作成します。詳細については、「Cisco Security Analytics and Logging」を参照してください。
ステップ 12	[保存（Save）] をクリックします。
ステップ 13	（オプション）自分で作成したルールの場合、ルールを選択して、[コメントを追加（Add Comments）] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。
ステップ 14	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

SSL 復号ルールの送信元/送信先基準

SSL 復号ルールの [送信元/送信先（Source/Destination）] 基準で、トラフィックが通過するセキュリティゾーン（インターフェイス）、IP アドレスまたは IP アドレスの国/大陸（地理的ロケーション）、トラフィックで使用されている TCP ポートを定義します。デフォルトでは、すべてのゾーン、アドレス、地理的ロケーション、TCP ポートが対象になります。TCP は、SSL 復号ルールに一致する唯一のプロトコルです。

条件を変更するには、その条件内の青色ボタンをクリックして、目的のオブジェクトまたは要素を選択し、[選択（Select）] をクリックします。条件で必要とされているオブジェクトが存在しない場合は、[新規オブジェクトの作成（Create New Object）] をクリックします。オブジェクトまたは要素をポリシーから削除するには、そのオブジェクトまたは要素の [x] をクリックします。

送信元ゾーン、宛先ゾーン

トラフィックが通過するインターフェイスを定義するセキュリティゾーンオブジェクト。1 つの基準を定義する、両方の基準を定義する、またはどちらの基準も定義しないことができます。指定しない基準は、すべてのインターフェイスのトラフィックに適用されます。

ゾーン内のインターフェイスからデバイスを離れるトラフィックを照合するには、そのゾーンを [宛先ゾーン（Destination Zones）] に追加します。
ゾーン内のインターフェイスからデバイスに入るトラフィックを照合するには、そのゾーンを [送信元ゾーン（Source Zones）] に追加します。
送信元ゾーン条件と宛先ゾーン条件の両方をルールに追加する場合、一致するトラフィックは指定された送信元ゾーンの 1 つから発生し、宛先ゾーンの 1 つを通って出力する必要があります。

トラフィックがデバイスに出入りする場所に基づいてルールを適用する必要がある場合は、この基準を使用します。たとえば、外部ホストから内部ホストへのすべてのトラフィックが復号されたことを確認したい場合、[送信元ゾーン（Source Zones）] で外部ゾーンを選択し、[送信先ゾーン（Destination Zones）] で内部ゾーンを選択します。

送信元ネットワーク、宛先ネットワーク

トラフィックのネットワークアドレスまたは場所を定義する、ネットワークオブジェクトまたは地理的位置。

IP アドレスまたは地理的位置からのトラフィックを照合するには、[送信元ネットワーク（Source Networks）] を設定します。
IP アドレスまたは地理的位置へのトラフィックを照合するには、[宛先ネットワーク（Destination Networks）] を設定します。

送信元（Source）ネットワーク条件と宛先（Destination）ネットワーク条件の両方をルールに追加する場合、送信元 IP アドレスから発信されかつ宛先 IP アドレスに送信されるトラフィックの照合を行う必要があります。

この条件を追加する場合、次のメニューオプションから選択します。

[ネットワーク（Network）]：制御するトラフィックの送信元または宛先 IP アドレスを定義するネットワークオブジェクトまたはグループを選択します。

（注）

既知のキーの復号ルールの場合、証明書とアップロードしたキーを使用する送信先サーバーの IP アドレスを持つオブジェクトを選択します。

[国/大陸（Country/Continent）]：地理的な位置を選択して、その送信元または宛先の国や大陸に基づきトラフィックを制御できます。大陸を選択すると、大陸内のすべての国が選択されます。
[カスタム地理位置情報（Custom Geolocation）]：作成した地理位置オブジェクトを選択して、場所を定義することもできます。地理的位置を使用すると、特定の国で使用されているすべての潜在的な IP アドレスを知る必要なく、その国へのアクセスを簡単に制限できます。

送信元ポート、宛先ポート/プロトコル

トラフィックで使用されるプロトコルを定義するポートオブジェクト。SSL 復号ルールに対してのみ TCP プロトコルとポートを指定できます。

TCP ポートからのトラフィックを一致させるには、[送信元ポート（Source Ports）] を設定します。
TCP ポートへのトラフィックを一致させるには、[送信先ポート/プロトコル（Destination Ports/Protocols）] を設定します。

特定の TCP ポートから特定の TCP ポートへ発信されるトラフィックを一致させるには、両方のポートを設定します。たとえば、ポート TCP/80 からポート TCP/8080 へのトラフィックを対象にできます。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」

SSL 復号ルールのアプリケーション基準

SSL 復号ルールのアプリケーション基準では、IP 接続で使用されるアプリケーション、あるいは、タイプ、カテゴリ、タグ、リスク、またはビジネスとの関連性によってアプリケーションを定義するフィルタ処理が定義されます。デフォルトは、SSL プロトコルタグを持つアプリケーションです。暗号化されていないアプリケーションは SSL 復号ルールと一致できません。

ルールで個別のアプリケーションを指定できますが、アプリケーションフィルタを使用すれば、ポリシーの作成と管理が簡単になります。たとえば、リスクが高くビジネスとの関連性が低いすべてのアプリケーションを復号またはブロックする SSL 復号ルールを作成できます。ユーザがこのようなアプリケーションのいずれかを使用しようとすると、セッションが復号またはブロックされます。

また、シスコは、システムおよび脆弱性データベース（VDB）の更新を通じて頻繁にアプリケーションディテクタを更新し追加します。これにより、リスクの高いアプリケーションのルールが新しいアプリケーションに自動的に適用される可能性があり、手動でルールを更新する必要がなくなります。

アプリケーションとフィルタをルールで直接指定することも、これらの特性を定義するアプリケーションフィルタオブジェクトを作成することもできます。指示は同じですが、複雑なルールを作成する場合、オブジェクトを使用した方が基準当たり 50 項目のシステム上限範囲を超えにくくなります。

アプリケーションとフィルタリストを変更するには、条件内のボタンをクリックし、目的のアプリケーションまたはアプリケーションフィルタオブジェクトを選択してから、ポップアップダイアログボックスで [選択（Select）] をクリックし、次に [保存（Save）] をクリックします。ポリシーからそれを削除するアプリケーション、フィルタ、またはオブジェクトの [x] をクリックします。[フィルタとして保存（Save As Filter）] リンクをクリックして、すでにオブジェクトではない結合基準を新しいアプリケーションフィルタオブジェクトとして保存します。

アプリケーション基準と、高度なフィルタを設定してアプリケーションを選択する方法の詳細については、「アプリケーションフィルタオブジェクトの設定」を参照してください。

SSL 復号ルールでアプリケーション基準を使用する場合は、次のヒントを考慮してください。

このシステムでは、StartTLS を使用して暗号化される非暗号化アプリケーションを識別できます。これには、SMTPS、POPS、FTPS、TelnetS、IMAPS などのアプリケーションが含まれます。また、TLS ClientHello メッセージ内の Server Name Indication、またはサーバー証明書のサブジェクト識別名の値に基づいて、特定の暗号化されたアプリケーションを識別できます。
システムは、サーバ証明書の交換後にのみアプリケーションを識別できます。SSL ハンドシェイク中に交換されるトラフィックでアプリケーションの識別が完了する前に、アプリケーション条件を含んでいる SSL ルール内の他のすべての条件に一致してしまうと、SSL ポリシーによりそのパケットの通過が許可されます。この動作により、ハンドシェイクが完了し、アプリケーションを識別できるようになります。システムによる識別が完了すると、アプリケーション条件に一致する残りのセッショントラフィックに SSL ルールのアクションが適用されます。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」

SSL 復号ルールの URL 基準

SSL 復号ルールの URL の基準は、Web 要求の URL が属するカテゴリを定義します。また、復号、ブロック、または復号せずに許可するサイトの相対的なレピュテーションも指定できます。デフォルトでは、URL カテゴリに基づき接続と一致しません。

たとえば、すべての暗号化されたゲームサイトをブロックしたり、リスクの高いすべてのソーシャルネットワーキングサイトを復号できます。該当するカテゴリとレピュテーションの URL をユーザが参照しようとすると、セッションがブロックされるか、または復号されます。

SSL 復号ルールに URL 基準を追加するには、次の手順を実行します。

手順

ステップ 1	[URL] タブをクリックして、SSL 復号ルールに URL カテゴリを追加します。
ステップ 2	ブロックする URL カテゴリを検索して選択します。
ステップ 3	デフォルトでは、選択したカテゴリの URL からのトラフィックは、セキュリティレピュテーションに関係なく、SSL 復号ルールによって復号されます。ただし、ルール内の特定の URL カテゴリまたはすべての URL カテゴリを微調整し、レピュテーションに基づいて一部のサイトを復号の対象から除外できます。 URL 内の 1 つのカテゴリのレピュテーションを微調整するには、次の手順を実行します。選択した URL カテゴリをクリックします。 [すべてのレピュテーション（Any Reputation）] のチェックボックスをオフにします。緑色のスライダを右にスライドして、ルールから除外する URL レピュテーションの設定を選択し、[保存（Save）] をクリックします。スライダでカバーされたレピュテーションには、ルールが適用されません。たとえば、緑色のスライダを [無害のサイト（Benign Sites）] にスライドすると、よく知られているサイトと無害のサイトには、選択したカテゴリの SSL 復号ルールが適用されません。セキュリティリスクのあるサイト、疑わしいサイト、および高リスクサイトと見なされる URL には、その URL カテゴリのルールが適用されます。ルールに追加したすべての URL カテゴリのレピュテーションを微調整するには、次の手順を実行します。 SSL 復号ルール対象のすべてのカテゴリを選択したら、[選択したカテゴリにレピュテーションを適用（Apply Reputation to Selected Categories）] をクリックします。 [すべてのレピュテーション（Any Reputation）] のチェックボックスをオフにします。緑色のスライダを右にスライドして、ルールから除外する URL レピュテーションの設定を選択し、[保存（Save）] をクリックします。スライダでカバーされたレピュテーションには、ルールが適用されません。たとえば、緑色のスライダを [無害のサイト（Benign Sites）] にスライドすると、よく知られているサイトと無害のサイトには、すべてのカテゴリの SSL 復号ルールが適用されません。セキュリティリスクのあるサイト、疑わしいサイト、および高リスクサイトと見なされる URL は、すべての URL カテゴリのルールが適用されます。
ステップ 4	[選択（Select）] をクリックします。
ステップ 5	[保存（Save）] をクリックします。ステップ 9 に戻ります。「トラフィックの一致基準の定義」

SSL 復号ルールのユーザー基準

SSL 復号ルールのユーザ基準は、IP 接続のユーザまたはユーザグループを定義します。ルールにユーザまたはユーザグループの基準を含めるように、アイデンティティポリシーと関連ディレクトリサーバを設定する必要があります。

アイデンティティポリシーは、特定の接続に関してユーザーアイデンティティを収集するかどうかを決定します。アイデンティティが確立されると、ホストの IP アドレスに識別されたユーザーが関連付けられます。したがって、送信元 IP アドレスがユーザーにマッピングされているトラフィックは、そのユーザーからのものとみなされます。IP パケット自体にはユーザーアイデンティティ情報は含まれていないため、この IP アドレスとユーザー間のマッピングが使用可能な中での最良近似となります。

1 つのルールに最大 50 のユーザーまたはグループを追加できるため、通常は、グループを選択する方が個々のユーザーを選択するより有意義です。たとえば、外部ネットワークからエンジニアリンググループへのトラフィックを復号するルールを作成し、そのグループからの発信トラフィックを復号しない別のルールを作成できます。その後、ルールを新しいエンジニアに適用するには、エンジニアをディレクトリサーバーのエンジニアリンググループに追加するだけです。

ユーザーリストを変更するには、条件内の [+] ボタンをクリックして、目的のユーザーグループを選択し、[選択（Select）] をクリックします。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」

SSL 復号ルールの詳細条件

詳細のトラフィックの一致条件は、接続に使用する証明書に由来する特徴に関連します。次のオプションのいずれかまたはすべてを設定できます。

証明書のプロパティ

トラフィックは、選択したプロパティのいずれかに一致する場合、ルールの証明書プロパティのオプションに一致します。次の設定を行えます。

[証明書ステータス（Certificate Status）]：証明書が [有効（Valid）] か [無効（Invalid）] か。証明書のステータスを気にしない場合は、[任意（Any）]（デフォルト）を選択します。証明書は、次の条件のすべてが満たされている場合に有効とみなされ、それ以外の場合は無効とみなされます。
- ポリシーが証明書を発行した CA を信用できる。
- 証明書の署名を証明書の内容に対して正しく検証できる。
- 発行元の CA 証明書が、ポリシーの信頼できる CA 証明書のリストに登録されている。
- ポリシーの信頼できる CA のいずれでも証明書が失効していない。
- 現在の日付が証明書の [有効期間の開始（Valid From）] と [有効期間の終了（Valid To）] の期間内にある。
[自己署名（Self-Signed）]：サーバー証明書に同じサブジェクトおよび発行元識別名が含まれているかどうか。次のいずれかを選択します。
[自己署名（Self-Signing）]：サーバー証明書は自己署名されています。
- [CA 署名（CA-Signing）]：サーバー証明書は認証局によって署名されています。つまり、発行元とサブジェクトは同じではありません。
- [任意（Any）]：証明書が自己署名されているかどうかを一致条件として考慮しません。

サポートされるバージョン

一致する SSL/TLS バージョン。ルールは、選択したいずれかのバージョンを使用するトラフィックにのみ適用されます。デフォルトは全バージョンです。[SSLv3.0]、[TLSv1.0]、[TLSv1.1]、[TLSv1.2] から選択します。

たとえば、TLSv1.2 の接続のみを許可する場合は、TLSv1.2 以外のバージョンにブロックルールを作成できます。記載されていない SSL v2.0 などのバージョンを使用するトラフィックは、SSL 復号ポリシーのデフォルトのアクションによって処理されます。

ステップ 9 に戻ります。「トラフィックの一致基準の定義」

既知のキーと復号の再署名の証明書の設定

再署名によってまたは既知のキーを使用して復号を実装する場合は、SSL 復号ルールが使用できる証明書を特定する必要があります。すべての証明書が有効で、期限が切れていないことを確認します。

特に既知のキーを復号する場合は、復号する接続の各宛先サーバーの現在の証明書とキーがシステムにあることを確認する必要があります。既知のキーの復号ルールでは、復号の宛先サーバーからの実際の証明書とキーを使用します。したがって、常に FDM による管理デバイスに最新の証明書とキーがあることを確認する必要があります。そうでない場合、復号に失敗します。

既知のキーのルールで宛先サーバーの証明書またはキーを変更するたびに新しい内部証明書とキーをアップロードします。それらを内部証明書（内部 CA 証明書ではありません）としてアップロードします。以下の手順の間に証明書をアップロードするか、ボタンをクリックして [FTD] > [証明書（Certificate）] を選択することで、[オブジェクト（Object）] ページに証明書をアップロードできます。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、SSL ポリシーを作成するデバイスを選択して、右側の [管理（Management）] ペインで [ポリシー（Policy）] をクリックします。
ステップ 4	ポリシーバーの [SSL復号（SSL Decryption）] をクリックします。
ステップ 5	SSL 復号ポリシーのポリシーバーの証明書ボタンをクリックします。
ステップ 6	SSL 復号構成ダイアログで、[再署名証明書の復号（Decrypt Re-Sign Certificate）] メニューをクリックし、再署名証明書での復号を実装するルールに使用するための内部 CA 証明書を選択または作成します。事前定義済みの NGFW-Default-InternalCA 証明書か、作成またはアップロードしたものを使用できます。クライアントのブラウザに証明書をまだインストールしていない場合は、ダウンロードボタン（）をクリックしてコピーを入手します。証明書をインストールする方法については、各ブラウザのマニュアルを参照してください。また、デバイスが実行しているバージョンに対応する『Firepower Device Manager 向け Cisco Firepower Threat Defense 構成ガイド』の「セキュリティポリシー」の章で、「再署名の復号ルールの CA 証明書のダウンロード」も参照してください。
ステップ 7	既知のキーを使用して復号するルールごとに、宛先サーバの内部証明書とキーをアップロードします。
ステップ 8	[既知のキーの証明書の復号（Decrypt Known-Key Certificates）] でをクリックします。
ステップ 9	内部 ID の証明書を選択するか、[新しい内部証明書の作成（Create New Internal Certificate）] をクリックし、ここでそれをアップロードします。
ステップ 10	[保存（Save）] をクリックします。
ステップ 11	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

再署名の復号ルールの CA 証明書のダウンロード

トラフィックを復号する場合、ユーザは、TLS/SSL を使用するアプリケーションで信頼できるルート認証局として定義された暗号化プロセスで使用される、内部 CA 証明書を持っている必要があります。通常、証明書を生成した場合や、証明書をインポートした場合であっても、これらのアプリケーションで証明書がすでに信頼されているものとして定義されることはありません。ユーザーが HTTPS 要求を送信すると、大部分の Web ブラウザでは、デフォルトで、Web サイトのセキュリティ証明書に問題があることを知らせる警告メッセージがクライアントアプリケーションによって表示されます。通常、このエラーメッセージでは、Web サイトのセキュリティ証明書が信頼された認証機関から発行されたものではないこと、または Web サイトが不明な認証機関で証明されたものであることが示されますが、処理中の中間者攻撃の可能性が警告で示唆される場合もあります。クライアントアプリケーションによっては、この警告メッセージがユーザに示されず、ユーザは承認されない証明書を受け入れることができません。

以下のいくつかの方法で、ユーザに必要な証明書を提供できます。

ルート証明書を受け入れるようにユーザに通知する

組織内のユーザに、企業の新しいポリシーについて通知し、組織が提供したルート証明書を、信頼できる認証局として受け入れるように指示できます。ユーザは証明書を受け入れ、信頼されたルート認証局のストレージエリアにそれを保存して、次にサイトにアクセスしたときにプロンプトが再度表示されないようにする必要があります。

（注）

ユーザは、代替証明書を作成した CA 証明書を受け入れて、信頼する必要があります。そうではなく、単に代替サーバ証明書を信頼した場合は、異なる HTTPS サイトを訪問するたびに、警告が表示される状況が続きます。

クライアントデバイスにルート証明書を追加する

ネットワーク上のすべてのクライアントデバイスに、信頼できるルート認証局としてルート証明書を追加できます。そうすれば、クライアントアプリケーションは自動的にルート証明書を持つトランザクションを受け入れるようになります。

証明書を電子メールで送信するか、共有サイトに置くことで、ユーザが証明書を入手できるようにします。または、会社のワークステーションイメージに証明書を組み込み、アプリケーションの更新機能を使用して、ユーザに証明書を自動的に配布することもできます。

次に、内部 CA 証明書をダウンロードして、Windows クライアントにインストールする方法を説明します。

手順

プロセスは、オペレーティングシステムとブラウザの種類によって異なります。たとえば、Windows 上で実行されている Internet Explorer および Chrome の場合は次のプロセスを使用できます。（Firefox の場合は、[ツール（Tools）] > [オプション（Options）] > [詳細（Advanced）] ページでインストールします。）

メッセージは、インポートが成功したことを示しているはずです。ユーザがよく知られたサードパーティの認証局から証明書を取得するのではなく自己署名証明書を生成した場合は、途中で Windows が証明書を検証できなかったことを警告するダイアログボックスが表示される場合があります。

[証明書（Certificates）] ダイアログボックスと [インターネットオプション（Internet Options）] ダイアログボックスを閉じることができます。

手順

ステップ 1

Firepower Device Manager から証明書をダウンロードします。

左側のペインでセキュリティデバイスをクリックします。
[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
[FTD] タブをクリックして、証明書が保存されているデバイスを選択します。
右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。
ポリシーバーの [SSL復号（SSL Decryption）] をクリックします。
SSL 復号ポリシーのポリシーバーの SSL 復号設定ボタンをクリックします。
ダウンロードボタンをクリックします。
ダウンロード場所を選択して、必要に応じてファイル名を変更し（拡張子はそのまま）、[Save] をクリックします。
これで、[SSL復号設定（SSL Decryption Settings）] ダイアログボックスからキャンセルできます。

ステップ 2

クライアントシステムの Web ブラウザにある信頼されたルート認証局のストレージエリアに証明書をインストールするか、クライアント自体が証明書をインストールできるようにします。この手順は、ブラウザやオペレーティングシステムによって異なります。

警告（Warning）

FDM による管理デバイスを介して設定された CA 証明書

Security Cloud Control では複数のデバイスを管理できますが、デバイス設定の保存時に保存される追加情報には制限があるため、内部 CA 証明書の処理で問題が発生する可能性があります。Security Cloud Control では、FDM による管理コンソールを介して設定した CA 証明書の証明書情報やキー情報は保存されません。セカンダリデバイスに展開された SSL ポリシーに FDM による管理デバイスで設定した CA 証明書を適用する場合、Security Cloud Control により CA 証明書のローカルコピーは作成されますが、キー情報はコピーされません。結果として、Security Cloud Control にもセカンダリデバイスにもキー情報がないため、CA 証明書は正常に展開されません。これは、CA 証明書のローカルコピーのダウンロードリンクが利用できないことも意味します。

FDM による管理デバイスを使用して追加のデバイス用に別の CA 証明書を設定するか、Security Cloud Control UI を使用して CA 証明書を作成することを強く推奨します。

ルールセット

ルールセットについて

ルールセットは、複数の FDM による管理デバイスと共有できるアクセス制御ルールのコレクションです。ルールセットのルールに加えられた変更は、このルールセットを使用する他の管理対象デバイスに影響します。FDM による管理デバイスには、デバイス固有の（ローカル）ルールと共有（ルールセット）ルールを含めることができます。FDM による管理デバイスの既存のルールからルールセットを作成することもできます。

重要	「ルールセット」機能は現在、FDM による管理デバイスバージョン 6.5 以降を実行しているデバイスで使用できます。ルールセットは Snort 3 が有効になっているデバイスをサポートしていないことにも注意してください。次の制限が適用されます。 Snort 3 対応デバイスにルールセットをアタッチすることはできません。 Snort 3 がインストールされている既存のデバイスからルールセットを作成することはできません。カスタム IPS ポリシーをルールセットに関連付けることはできません。

ルールセットに関連付けられたルールのコピーまたは移動

ルールセット内または異なるルールセット間でアクセス制御ルールをコピーまたは移動できます。また、ローカルとルールセット間でルールをコピーまたは移動することもできます。詳細については、「FDM アクセスコントロールルールのコピー」および「FDM アクセスコントロールルールの移動」を参照してください。

既存のルールセットの自動検出

デバイスをオンボーディングすると、Security Cloud Control はデバイス上の既存のルールセットを自動検出し、デバイス上のルールと一致させようとします。一致が成功すると、Security Cloud Control はルールセットを新しくオンボーディングされたデバイスに自動的にアタッチします。ただし、デバイス上の同じルールセットに一致するルールセットが複数ある場合、それらはどれもアタッチされないため、手動で割り当てる必要があります。

デバイスのルールセットの構成

以下のセクションを使用して、ルールセットを作成し展開します。

手順

ステップ 1

ルールセットを作成します。

新しいルールセットを作成し、それにルールを割り当てます。
オブジェクトをルールに割り当てます。
ルールセットの優先順位を設定します。
必要に応じてルールの順序を変更します。

ステップ 2

ルールセットを複数の FDM による管理デバイスに展開します。

複数のデバイスをルールセットに割り当てます。
ルールセットを確認してデバイスに展開します。

ルールセットの作成または編集

ルールセットを作成し、新しいアクセス制御ルールをそのルールセットに追加できます。

次の手順を使用して、複数の FDM による管理デバイスのルールセットを作成します。

手順

ステップ 1

左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。

ステップ 2

プラスボタンをクリックして、新しいルールセットを作成します。

（注）

既存のルールを編集するには、ルールセットを選択して、編集アイコンをクリックします。

ステップ 3

ルールセット名を入力し、[作成（Create）] をクリックします。

ステップ 4

アクセス制御ルールを作成して、ルールセットに追加します。詳細については、「FDM アクセスコントロールポリシーの設定」を参照してください。

（注）

ルールセットのアクセス制御ルールは、ユーザー基準をサポートしていません。

ステップ 5

ウィンドウの右上隅で、ルールセットの優先順位を選択します。優先順位は、デバイスがルールセットに割り当てられていないときに設定できます。選択した優先順位は、このルールセットに含まれるすべてのルールと、デバイスでの処理方法に影響します。

[最上位（Top）]：このルールセットは、デバイス上の他のすべてのルールの前に処理されます。ルールがルールリストの一番上に配置され、最初に処理されます。このポリシーのルールの前に他のルールセットを配置することはできません。デバイスごとに最上位ルールセットを 1 つだけ設定できます。
[最下位（Bottom）]：このルールセットは、デバイス上の他のすべてのルールの後に処理されます。ポリシーのデフォルトアクションを除き、他のルールセットはこのポリシーのルールを継承できません。デバイスごとに最下位ルールセットを 1 つだけ設定できます。デフォルトでは、優先順位は [最下位（Bottom）] に設定されます。

[ローカルルール（Local Rules）] には、そのデバイス固有のルールがすべて表示されます。

（注）

ルールセットがデバイスに割り当てられている場合、優先順位は変更できません。デバイスを切り離してから優先順位を変更する必要があります。

ステップ 6

[保存（Save）] をクリックします。必要な数だけルールを作成できます。

ステップ 7

（オプション）自分で作成したルールの場合、ルールを選択して、[コメントを追加（Add Comments）] フィールドでコメントを追加できます。ルールコメントに関する詳細については、「FTD ポリシーとルールセットのルールにコメントを追加する」を参照してください。

（注）

ルールセットにデバイスが割り当てられている場合でも、ルールセット内のルールの順序を変更できます。ルールセットの優先順位を変更するには、次の手順を実行します。
1. ナビゲーションウィンドウで、[ポリシー（Policies）] > [ルールセット（Rulesets）] をクリックし、変更するルールセットを選択します。
2. 移動するルールを選択します。
3. ルールの行内にカーソルを置き、上向きまたは下向き矢印を使用して、ルールを目的の順序に移動します。
Security Cloud Control を使用すると、ルールセット内のルールに関連付けられたオブジェクトをオーバーライドできます。オブジェクトのオーバーライド新しいオブジェクトをルールに追加する場合、デバイスをルールセットに接続して変更を保存しないと、オブジェクトを上書きできません。

複数の FDM による管理デバイスまたはテンプレートにルールセットを展開する

ルールを適用するには、デバイスまたはテンプレートにルールセットを割り当てる必要があります。変更を確認したら、デバイスに設定を展開できます。テンプレートを新しい FDM による管理デバイスに適用すると、そのテンプレートに含まれるルールセットがデバイスにプッシュされます。

詳細については、「FDM テンプレートを使用した FTD ルールセット」を参照してください。

はじめる前に知っておくべき情報は以下のとおりです。

ルールセットは、Security Cloud Control にオンボード済みの FDM による管理デバイスにのみ割り当てられます。
デバイスには、下位または上位のルールセットを 1 つだけ設定できます。
ルールセットにデバイスを割り当てたり、割り当て解除したりすると、変更は Security Cloud Control にステージングされても展開されないため、デバイスは Security Cloud Control と [未同期（Not Synced）] 状態になります。画面の右上隅にあるアイコンをクリックして、変更をデバイスに展開します。
デバイスを割り当てた後、ルールセットに関連付けられた新しいルールは、デバイスに関連付けられている既存のルールを上書きしません。

次の 2 つの方法で、ルールセットをデバイスに関連付けることができます。

[ルールセット（Ruleset）] ページでルールセットにデバイスを追加する。
[デバイスポリシー（Device Policy）] ページでデバイスにルールセットを追加する。

[ルールセット（Ruleset）] ページでルールセットにデバイスを追加する

手順

ステップ 1

左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。

ステップ 2

FDM による管理デバイスに割り当てるルールセットを選択し、[アクション（Actions）] ペインで [編集（Edit）] をクリックします。

ステップ 3

右上の [ルールセットの対象（Ruleset for）] の横にある [デバイス（Device）] ボタンをクリックします。

ステップ 4

FDM による管理デバイスを候補リストから選択します。

ステップ 5

歯車アイコンをクリックして、ルールセット内のルールとデバイス固有のルールとの間で重複した名前が特定された場合にシステムが実行するアクションを次から 1 つ選択します。

[競合するルールで処理中断（Fail on conflicting rules）]（デフォルトオプション）：Security Cloud Control はルールセットをデバイスに追加しません。重複するルール名を手動で変更してから、ルールセットを追加する必要があります。
[競合するルール名を変更（Rename conflicting rules）]：Security Cloud Control は、デバイス上の競合するルール名を変更します（ローカルルール）。

ステップ 6

[保存（Save）] をクリックします。[デバイスに割り当てられたルールセット（Attached Ruleset to Devices）] ウィザードが閉じられます。

ステップ 7

右上隅の [保存（Save）] をクリックして、ルールセットの変更内容を保存します。ルールセットを保存すると、変更は Security Cloud Control にステージングされます。

（注）

ルールセットを変更するたびに、[保存（Save）] をクリックする必要があります。クリックすると、すべての変更が Security Cloud Control にステージングされます。変更は手動で展開する必要があります。

ステップ 8

[確認（Confirm）] をクリックします。ルールセットを保存すると、変更は Security Cloud Control にステージングされます。

ステップ 9

行った変更をレビューして展開するか、複数の変更を後から一度に展開します。デバイスでステージングされたルールセットの変更を破棄する場合は、「ステージングされたルールセットの変更破棄による影響」を参照してください。

[デバイスポリシー（Device Policy）] ページでデバイスにルールセットを追加する

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、目的のデバイスをリストから選択します。

ステップ 4

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。

ステップ 5

ウィンドウの右上隅に表示されるボタンをクリックします。

ステップ 6

必要なルールセットを選択します。

ステップ 7

歯車アイコンをクリックして、ルールセット内のルールとデバイス固有のルールとの間で重複した名前が特定された場合にシステムが実行するアクションを次から 1 つ選択します。

[競合するルールで処理中断（Fail on conflicting rules）]（デフォルトオプション）：Security Cloud Control はルールセットをデバイスに追加しません。重複するルール名を手動で変更してから、ルールセットを追加する必要があります。
[競合するルール名を変更（Rename conflicting rules）]：Security Cloud Control は、デバイス上の競合するルール名を変更します（ローカルルール）。

（注）

選択したデバイスに競合するルールがない場合、Security Cloud Control はルールセットを変更せずにデバイスに関連付けます。

ステップ 8

[ルールセットの割り当て（Attach Ruleset）] をクリックします。ルールセットは、ルールセットの優先順位に基づいてデバイスに追加されます。

ステップ 9

行った変更をレビューして展開するか、複数の変更を後から一度に展開します。デバイスでステージングされたルールセットの変更を破棄する場合は、「ステージングされたルールセットの変更破棄による影響」を参照してください。

FDM による管理テンプレートを使用したルールセット

Security Cloud Control を使用すると、FDM による管理テンプレートにルールセットを割り当てられます。

ルールセットを使用して FDM による管理デバイスからテンプレートを作成すると、Security Cloud Control により、ソースデバイスの既存のルールセットにテンプレートが自動的に追加されます。テンプレートはルールセットから管理できます。
ルールセットが割り当てられたテンプレートをターゲット FDM による管理デバイスに適用すると、Security Cloud Control によりターゲットデバイスがルールセットに自動的に追加されるため、ターゲットデバイスはルールセットから管理されます。
ルールセットが割り当てられたテンプレートを別のルールセットがあるターゲット FDM による管理デバイスに適用すると、Security Cloud Control によりターゲットデバイスから既存のルールセットが削除され、テンプレートに関連付けられた新しいルールセットが追加されます。

詳細については、「複数の FDM による管理デバイスまたはテンプレートにルールセットを展開する」を参照してください。

既存のデバイスルールを使用したルールセットの作成

FDM による管理デバイスで既存のルールを選択することで、ルールセットを作成できます。

既存のデバイスルールからルールセットを作成するには、次の手順を実行します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、該当するデバイスをリストから選択します。

ステップ 4

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。デバイスの既存のルールが表示されます。

ステップ 5

要件に基づいて、以下を実行します。

[上位（Top）] ルールを作成するには、最上位のルールから順にルールを選択します。
[下位（Bottom）] ルールを作成するには、最下位のルールが最後になるように順番にルールを選択します。

ステップ 6

右側の [アクション（Actions）] ペインで [ルールセットの作成（Create Ruleset）] をクリックします。

（注）

選択に最初または最後のルールを含めると、[ルールセットの作成（Create Ruleset）] リンクをクリックできるようにするになります。

ステップ 7

[ルールセット名（Ruleset Name）] フィールドに名前を指定し、[作成（Create）] をクリックします。対応するルールセットがデバイスに作成されます。

デバイス内の残りのルールを使用して、引き続きルールセットを作成できます。

ルールセットのアウトオブバンド変更による影響

FDM による管理デバイスを使用して新しいルールを追加するか、既存のルールを変更すると、FDM による管理デバイスに対する Security Cloud Control の競合検出が有効になっている場合、Security Cloud Control ではアウトオブバンドの変更が検出され、デバイスの設定ステータスに [競合検出（Conflict Detected）] と表示されます。この競合を解決するには、変更を受け入れるか拒否すします。

デバイスの変更を受け入れると、Security Cloud Control が最後に認識された設定をデバイスの新しい変更で上書きします。変更は次のように行われます。

変更の影響を受けるルールセットは、デバイスとの関連付けを失います。
これらのルールセットに関連付けられたルールは、ローカルルールに変換されます。

デバイスの変更を拒否すると、Security Cloud Control は新しい変更を拒否し、デバイスの設定を Security Cloud Control で最後に同期された設定に置き換えます。

ステージングされたルールセットの変更破棄による影響

ルールセットに新しいルールを追加する、または Security Cloud Control を使用してルールセットに関連付けられた既存のルールを変更すると、変更内容は構成ファイル独自のコピーに保存されます。それらの変更は、デバイスに「展開」されるまで、Security Cloud Control で「保留中」と見なされます。

デバイスで保留中のルールセットの変更を破棄すると、Security Cloud Control はデバイスに保存されている設定でデバイス設定のローカルコピーを完全に上書きします。

ルールセットおよび関連するデバイスでは、次の変更が発生します。

変更の影響を受けるルールセットは、デバイスとの関連付けを失います。
これらのルールセットに関連付けられたルールは、ローカルルールに変換されます。
Security Cloud Control では、新たにステージングされた変更が破棄されて、デバイスに存在する設定が保持されます。

ルールとルールセットの表示

[デバイスポリシー（Device Policy）] ページでルールを表示する

FDM による管理の [デバイスポリシー（Device Policy）] ページには、個別（ローカル）および共有ルール（ルールセットに関連付けられている）が表示されます。

次の手順を使用して、ポリシーページの FDM による管理デバイスルールセットを表示します。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、目的のデバイスを選択します。

ステップ 4

右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。設定に基づいて、次のルールが表示されます。

[上位ルール（Top Rules）]：デバイス上の他のすべてのルールの前に処理される必須の共有ルールが表示されます。
[ローカルルール（Local Rules）]：デバイスの必須ルールの後に処理されるデバイス固有のルールが表示されます。
[下位（Bottom）]：デバイス上の他のすべてのルールの後に処理されるデフォルトの共有ルールが表示されます。

（注）

対応するルールセットページに移動して、ルールセットを編集できます。

ルールセットヘッダーの右上隅で、[ルールセットに移動（Go to ruleset）] をクリックします。
ルールを変更したら、[保存（Save）] をクリックします。新しい変更は、ルールセットに関連付けられているすべてのデバイスで更新されます。

ルールセットの表示

[ルールセット（Rulesets）] ページには、テナントで使用可能なすべてのルールセットが表示されます。また、ルールセットに関連付けられたデバイスについての情報も提供します。

[ルールセット（Rulesets ）] ページからすべてのルールセットを表示するには、次の手順を実行します。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。テナントで使用可能なルールが表示されます。
ステップ 2	ルールセットをクリックして、その詳細を表示します。[デバイス（Devices）] 列には、各ルールセットに割り当てられている FDM による管理デバイスの数が表示されます。
ステップ 3	[管理（Management）] ペインで、[ワークフロー（Workflows）] をクリックします。このページには、デバイスで実行したすべての操作が表示されます。[ダイアグラム（Diagram）] をクリックすると、ワークフローが図で示されます。

ルールセットの検索

[デバイスでフィルタ処理（Filter by Device）] のフィルタ機能でデバイスを選択し、そのデバイスに割り当てられたルールセットを表示できます。

手順

ステップ 1

左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。テナントで使用可能なルールが表示されます。

ステップ 2

フィルタアイコンをクリックし、[デバイスでフィルタ処理（Filter by Device）] をクリックします。

ステップ 3

リストから 1 つ以上のデバイスを選択し、[OK] をクリックします。

選択したデバイスに基づいてルールセットが表示されます。

ルールセットと関連するジョブの表示

[ジョブ（Jobs）] ページには、ルールセットを FDM による管理デバイスに適用したとき、または FDM による管理デバイスからルールセットを削除したときのアクションが記録されます。また、アクションが成功したか失敗したかが示されています。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。テナントで使用可能なルールが表示されます。
ステップ 2	ルールセットをクリックして、その詳細を表示します。
ステップ 3	[管理（Management）] ペインで、[ジョブ（Jobs）] をクリックします。このページには、ルールセットで実行したアクションが表示されます。

ルールセット作成後のログエントリの変更

Security Cloud Control はルールセットでの変更を検出すると、そのルールセットで実行されたすべてのアクションに関する変更ログエントリを作成します。

変更ログエントリの行にある青色の [差分（Diff）] リンクをクリックすると、実行コンフィギュレーションファイルのコンテキストで変更が並べて表示されるため、変更を対比できます。変更ログの差異の表示

次の例では、3 つのルールが追加された新しいルールセットに関するエントリが変更ログに示されています。また、ルールセットの優先順位とルールセットに割り当てられている FDM による管理デバイスの設定に関する情報も表示されます。


図の番号	説明
1	新しいルールセット「Ruleset_3」は、2020 年 2 月 25 日の午前 11:03:18 に作成されています。
2	ルールセット内に、新しいアクセスルール「new_rule_1」、「new_rule_3」、「new_rule_3」が作成されます。
3	ルールセットの優先順位は「必須」に設定されます。
4	ルールセットは「BGL_FTD」デバイスに割り当てられます。
5	ルールセットの変更が保存されます。

選択したルールセットからの FDM による管理デバイスの分離

ルールセットからデバイスを分離するには、次の手順を使用します。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。テナントで使用可能なルールが表示されます。
ステップ 2	編集するルールセットを選択し、[アクション（Actions）] ペインの [編集（Edit）] リンクをクリックします。
ステップ 3	右上の [ルールセットの対象（Ruleset for）] の横にある [デバイス（Device）] ボタンをクリックします。
ステップ 4	ルールセットに現在割り当てられているデバイスのチェックボックスをオフにするか、[クリア（Clear）] をクリックしてすべてのデバイスを一度に削除します。
ステップ 5	[保存（Save）] をクリックします。
ステップ 6	右上のウィンドウで [保存（Save）] をクリックして、ルールセットを保存します。ポリシーを保存すると、変更は Security Cloud Control にステージングされます。
ステップ 7	行った変更をレビューして展開するか、複数の変更を後から一度に展開します。

ルールとルールセットの削除

ルールセットからのルールの削除

ルールセットで不要になったルールを削除できます。

ルールを削除するには、次の手順を実行します。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。テナントで使用可能なルールが表示されます。
ステップ 2	[アクション（Actions）] ペインで [編集（Edit）] をクリックします。
ステップ 3	削除するルールを選択し、[アクション（Actions）] の下の [削除（Remove）] をクリックします。
ステップ 4	[OK] をクリックして、削除を実行します。
ステップ 5	右上隅の [保存（Save）] をクリックして、ルールセットの変更内容を保存します。ルールセットを保存すると、変更は Security Cloud Control にステージングされます。
ステップ 6	変更を今すぐプレビューして展開するか、複数の変更を後から一度に展開します。

ルールセットの削除

ルールセットを削除できるのは、ルールセットに関連付けられているすべてのデバイスを切り離した後に限られます。「ルールセットからの FDM による管理デバイスの分離」を参照してください。

ルールセットを削除するには、次の手順を実行します。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。テナントで使用可能なルールが表示されます。
ステップ 2	ルールセット行内の [削除（Remove）] をクリックします。
ステップ 3	[確認（Confirm）] をクリックして、ルールセットを完全に削除します。
ステップ 4	変更を今すぐレビューして展開するか、後から複数の変更を一度に展開します。

選択した FDM 管理対象デバイスからのルールセットの削除

選択した FDM 管理対象デバイスからルールセットを削除する方法は 2 つあり、操作が若干異なります。

選択した FTD デバイスからのルールセットの削除：この機能は、選択した FDM 管理対象デバイスからルールセットとそれに関連付けられた共有ルールを削除します。
選択した FDM 管理対象デバイスとルールセットの関連付け解除：この機能は共有ルールを削除しません。代わりに、共有ルールをローカルルールに変換します。

選択した FDM による管理デバイスからのルールセットの削除

選択した FDM による管理デバイスからルールセットとそれに関連付けられた共有ルールを削除できます。ルールセットページでは、FDM による管理デバイスからルールセットを切り離すこともできます。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。テナントで使用可能なルールが表示されます。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックして、該当するデバイスをリストから選択します。
ステップ 4	ルールセットの右上隅に表示される削除アイコンをクリックします。
ステップ 5	[確認（Confirm）] をクリックします。
ステップ 6	行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

選択した FDM による管理デバイスとルールセットの関連付け解除

新しいデバイス固有のルールを FDM による管理デバイスのルールセットに追加する場合は、そのルールセットと FDM による管理デバイスの関連付けを解除する必要があります。解除すると、関連付けられている共有ルールがローカルルールに変換されます。その後、ローカルルールに必要なルールを追加できます。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。テナントで使用可能なルールが表示されます。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	[FTD] タブをクリックして、該当するデバイスをリストから選択します。
ステップ 4	右側の [管理（Management）] ペインで、[ポリシー（Policy）] をクリックします。
ステップ 5	ルールセットの右上隅に表示されるアイコンをクリックします。
ステップ 6	[確認（Confirm）] をクリックします。
ステップ 7	行った変更をレビューして展開するか、待機してから複数の変更を一度に展開します。

ポリシーとルールセットのルールにコメントを追加する

FDM による管理デバイスポリシーのルールおよびルールセットのルールにコメントを追加して、ルールのいくつかの特性を文書化できます。ルールコメントは Security Cloud Control でのみ表示されます。FDM による管理デバイスに書き込まれることも、FDM に表示されることもありません。

コメントは、ルールが作成されて Security Cloud Control に保存された後で、ルールに追加されます。ルールコメントは Security Cloud Control の機能にすぎないため、ルールコメントを作成、変更、または削除しても、Security Cloud Control 内のデバイスの設定ステータスは [未同期（Not Synced）] に変更されません。ルールコメントを保存するために、Security Cloud Control から FDM による管理デバイスに変更を書き込む必要はありません。

FDM による管理デバイスポリシーのルールに関連付けられたコメントは、デバイスのポリシーページで表示および編集できます。FDM による管理デバイスルールセットのルールに関連付けられたコメントは、ルールセットページで表示および編集できます。ルールセットがポリシーで使用されている場合、ルールセット内のいずれかのルールに関連付けられているコメントは、ポリシーのコメント領域に表示されます。コメントは読み取り専用です。

ポリシー、ルールセット、または変更ログで文字列を検索すると、Security Cloud Control は、ルールに関連付けられたコメントで文字列を検索し、ルールのその他の属性や値も検索します。

ルールのコメントが追加または編集されると、そのアクションが変更ログに記録されます。ルールコメントは Security Cloud Control でのみ記録および維持されるため、変更ログでは「Security Cloud Control-only change」というラベルが付けられます。

注意	FDM による管理デバイスの設定にアウトオブバンドの変更があり、Security Cloud Control がその設定をデータベースに読み込んだ場合、ルールに関連付けられたコメントはすべて消去されます。

ルールへのコメントの追加

手順

ステップ 1	コメントするルールがあるポリシーまたはルールセットを開きます。
ステップ 2	ルールを選択します。
ステップ 3	ルールの [コメントの追加（Add Comment）] 領域で [コメントの追加（Add Comment）] をクリックします。
ステップ 4	テキストボックスにコメントを入力します。
ステップ 5	[保存（Save）] をクリックします。

ポリシーとルールセット内のルールに関するコメントの編集

ポリシー内のルールに関するコメントの編集

次の手順を使用して、FDM による管理デバイスポリシー内のルールに関するコメントを編集します。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。
ステップ 2	コメントを追加するローカルルールがある FDM による管理デバイスポリシーを選択します。ポリシー内のルールセットのルールにコメントを追加することはできません。
ステップ 3	[コメント（Comment）] ペインで、編集アイコンをクリックします。
ステップ 4	コメントを編集して、[保存（Save）] をクリックします。[コメント（Comment）] 領域にコメントの変更がすぐに反映されます。

ルールセット内のルールに関するコメントの編集

ルールセット内のルールに関するコメントの変更がポリシーページに反映されるようにするには、コメントとルールを特定の順序で変更する必要があります。

手順

ステップ 1	左側のペインで [ポリシー（Policies）] > [FDM] > [ルールセット（Rulesets）] をクリックします。
ステップ 2	コメントを追加するルールを含むルールセットを選択します。
ステップ 3	[アクション（Actions）] ペインで、[編集（Edit）] をクリックします。
ステップ 4	ルールを選択します。
ステップ 5	[コメント（Comment）] ペインで、編集アイコンをクリックします。
ステップ 6	コメントを編集して、[保存（Save）] をクリックします。ルールセットページのコメント領域にコメントの変更がすぐに反映されます。
ステップ 7	変更するルールを選択し、操作ウィンドウで [編集（Edit）] をクリックします。
ステップ 8	ルールを編集したら、青いチェックボタンをクリックして変更を保存します。
ステップ 9	ルールセットページの上部で、[保存（Save）] をクリックしてルールセットを保存します。ルールセット内のルールの新しいコメントがすぐにポリシーページに反映されます。
ステップ 10	ポリシーページでコメントの変更を確認するには、次の手順を実行します。 Security Cloud Control メニューバーから、[ポリシー（Policies）] > [FTD/Cisco Meraki/AWSポリシー（FTD/Meraki/AWS Policies）] を選択します。編集したルールセットを含む FDM による管理デバイスポリシーを選択します。コメントを編集したルールを選択します。[コメント（Comment）] ウィンドウに新しいコメントが表示されることを確認します。

ネットワークアドレス変換

IP ネットワーク内の各コンピュータおよびデバイスには、ホストを識別する固有の IP アドレスが割り当てられています。パブリック IPv4 アドレスが不足しているため、これらの IP アドレスの大部分はプライベートであり、企業のプライベートネットワークの外部にルーティングできません。RFC 1918 では、アドバタイズされない、内部で使用できるプライベート IP アドレスが次のように定義されています。

10.0.0.0 ～ 10.255.255.255
172.16.0.0 ～ 172.31.255.255
192.168.0.0 ～ 192.168.255.255

ネットワークアドレス変換（NAT）の主な機能の 1 つは、プライベート IP ネットワークがインターネットに接続できるようにすることです。NAT は、プライベート IP アドレスをパブリック IP に置き換え、内部プライベートネットワーク内のプライベートアドレスをパブリックインターネットで使用可能な正式の、ルーティング可能なアドレスに変換します。このようにして、NAT はパブリックアドレスを節約します。これは、ネットワーク全体に対して 1 つのパブリックアドレスだけを外部に最小限にアドバタイズするように NAT を設定できるためです。

NAT の他の機能には、次のおりです。

セキュリティ：内部アドレスを隠蔽し、直接攻撃を防止します。
IP ルーティングソリューション：NAT を使用する際に、重複 IP アドレスが問題になりません。
柔軟性：外部で使用可能なパブリックアドレスに影響を与えずに、内部 IP アドレス方式を変更できます。たとえば、インターネットにアクセス可能なサーバーの場合、インターネット用に固定 IP アドレスを維持できますが、内部向けにサーバーのアドレスを変更することができます。
IPv4 と IPv6（ルーテッドモードのみ）の間の変換：IPv4 ネットワークに IPv6 ネットワークを接続する場合は、NAT を使用すると、2 つのタイプのアドレス間で変換を行うことができます。

Security Cloud Control を使用して、さまざまな使用例の NAT ルールを作成できます。NAT ルールウィザードまたは次のトピックを使用して、さまざまな NAT ルールを作成します。

NAT ルールの処理命令

ネットワークオブジェクトの NAT ルールおよび Twice NAT ルールは、3 つセクションに分割された 1 つのテーブルに格納されます。最初にセクション 1 のルール、次にセクション 2、最後にセクション 3 というように、一致が見つかるまで順番に適用されます。たとえば、セクション 1 で一致が見つかった場合、セクション 2 とセクション 3 は評価されません。次の表に、各セクション内のルールの順序を示します。

表 6. NAT ルールテーブル
テーブルのセクション	ルールタイプ	セクション内のルールの順序
セクション 1	Twice NAT（ASA）手動 NAT（FTD）	設定に登場する順に、最初の一致ベースで適用されます。最初の一致が適用されるため、一般的なルールの前に固有のルールが来るようにする必要があります。そうしない場合、固有のルールを期待どおりに適用できない可能性があります。デフォルトでは、Twice NAT ルールはセクション 1 に追加されます。
セクション 2	ネットワークオブジェクト NAT（ASA）自動 NAT（FTD）	セクション 1 で一致が見つからない場合、セクション 2 のルールが次の順序で適用されます。スタティックルールダイナミックルール各ルールタイプでは、次の順序ガイドラインが使用されます。実際の IP アドレスの数量：小から大の順。たとえば、アドレスが 1 個のオブジェクトは、アドレスが 10 個のオブジェクトよりも先に評価されます。数量が同じ場合には、IP アドレス番号（最小から最大まで）が使用されます。たとえば、10.1.1.0 は、11.1.1.0 よりも先に評価されます。同じ IP アドレスが使用される場合、ネットワークオブジェクトの名前がアルファベット順で使用されます。たとえば、オブジェクト「Arlington」はオブジェクト「Detroit」の前に評価されます。
セクション 3	Twice NAT（ASA）手動 NAT（FTD）	まだ一致が見つからない場合、セクション 3 のルールがコンフィギュレーションに登場する順に、最初の一致ベースで適用されます。このセクションには、最も一般的なルールを含める必要があります。このセクションにおいても、一般的なルールの前に固有のルールが来るようにする必要があります。そうしない場合、一般的なルールが適用されます。

たとえばセクション 2 のルールでは、ネットワークオブジェクト内に定義されている次の IP アドレスがあるとします。

192.168.1.0/24（スタティック）
192.168.1.0/24（ダイナミック）
10.1.1.0/24（スタティック）
192.168.1.1/32（スタティック）
172.16.1.0/24（ダイナミック）（オブジェクト Detroit）
172.16.1.0/24（ダイナミック）（オブジェクト Arlington）

この結果、使用される順序は次のとおりです。

192.168.1.1/32（スタティック）
10.1.1.0/24（スタティック）
192.168.1.0/24（スタティック）
172.16.1.0/24（ダイナミック）（オブジェクト Arlington）
172.16.1.0/24（ダイナミック）（オブジェクト Detroit）
192.168.1.0/24（ダイナミック）

ネットワークアドレス変換ウィザード

ネットワークアドレス変換（NAT）ウィザードは、次のタイプのアクセスに使用する NAT ルールをデバイスで作成する際に役立ちます。

内部ユーザーのインターネットアクセスを有効にする。この NAT ルールを使用して、内部ネットワーク上のユーザーがインターネットにアクセスできるようにすることができます。
内部サーバーをインターネットに公開する。この NAT ルールを使用して、ネットワーク外のユーザーが内部 Web サーバーまたは電子メールサーバーにアクセスできるようにすることができます。

「内部ユーザーのインターネットアクセスを有効にする」ための前提条件

NAT ルールを作成する前に、次の情報を収集します。

ユーザーに最も近いインターフェイス。通常これは「内部」インターフェイスと呼ばれます。
インターネット接続に最も近いインターフェイス。通常これは「外部」インターフェイスと呼ばれます。
特定のユーザーのみにインターネットへのアクセスを許可する場合は、それらのユーザーのサブネットアドレスが必要です。

「内部サーバーをインターネットに公開する」ための前提条件

NAT ルールを作成する前に、次の情報を収集します。

ユーザーに最も近いインターフェイス。通常これは「内部」インターフェイスと呼ばれます。
インターネット接続に最も近いインターフェイス。通常これは「外部」インターフェイスと呼ばれます。
インターネット側の IP アドレスに変換する、ネットワーク内のサーバーの IP アドレス。
サーバーが使用するパブリック IP アドレス。

次の作業

NAT ウィザードを使用した NAT ルールの作成を参照してください。

NAT ウィザードを使用した NAT ルールの作成

始める前に

NAT ウィザードを使用して NAT ルールを作成するために必要な前提条件については、ネットワークアドレス変換ウィザードを参照してください。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	フィルタと検索フィールドを使用して、NAT ルールを作成するデバイスを見つけます。
ステップ 5	詳細パネルの [管理（Management）] 領域で、[NAT] をクリックします。
ステップ 6	> [NAT ウィザード（NAT Wizard）] をクリックします。
ステップ 7	NAT ウィザードの質問に回答し、画面の指示に従います。 NAT ウィザードはネットワークオブジェクトを使用してルールを作成します。ドロップダウンメニューから既存のオブジェクトを選択するか、作成ボタンで新しいオブジェクトを作成します。 NAT ルールを保存する前に、すべての IP アドレスをネットワークオブジェクトとして定義する必要があります。
ステップ 8	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

NAT の一般的な使用例

Twice NAT と手動 NAT

「自動 NAT」とも呼ばれる「ネットワークオブジェクト NAT」を使用して達成できるいくつかの一般的なタスクを次に示します。

内部ネットワーク上のサーバーがパブリック IP アドレスを使用してインターネットに到達できるようにする
内部ネットワーク上のユーザーが外部インターフェイスのパブリック IP アドレスを使用してインターネットにアクセスできるようにする
内部ネットワーク上のサーバーをパブリック IP アドレスの特定のポートで使用できるようにする
プライベート IP アドレス範囲のパブリック IP アドレス範囲への変換

ネットワークオブジェクト NAT と自動 NAT

「手動 NAT」とも呼ばれる「Twice NAT」を使用して達成できる一般的なタスクを次に示します。

外部インターフェイスを通過する際に IP アドレスの範囲が変換されるのを防ぐ

内部ネットワーク上のサーバーがパブリック IP アドレスを使用してインターネットに到達できるようにする

使用例

インターネットからアクセスする必要があるプライベート IP アドレスを持つサーバーがあり、1 つのパブリック IP アドレスからプライベート IP アドレスへの NAT に十分なパブリック IP アドレスがある場合は、この NAT 戦略を使用します。パブリック IP アドレスの数に限りがある場合は、「パブリック IP アドレスの特定のポートでユーザーが内部ネットワーク上のサーバーを使用できるようにする」を参照してください（このソリューションの方が適している可能性があります）。

方法

サーバーは静的なプライベート IP アドレスを持ち、そのサーバーにネットワークの外部のユーザーがアクセスできる必要があります。静的プライベート IP アドレスを静的パブリック IP アドレスに変換するネットワークオブジェクト NAT ルールを作成します。その後、そのパブリック IP アドレスからのトラフィックがプライベート IP アドレスに到達できるようにするアクセスポリシーを作成します。最後に、これらの変更をデバイスに展開します。

始める前に

まず始めに、2 つのネットワークオブジェクトを作成します。一方のオブジェクトを「servername_inside」と名前を付け、もう一方のオブジェクトに「servername_outside」という名前を付けます。servername_inside ネットワークオブジェクトには、サーバーのプライベート IP アドレスが含まれている必要があります。servername_outside ネットワークオブジェクトには、サーバーのパブリック IP アドレスが含まれている必要があります。手順については、「ネットワークオブジェクトの作成」を参照してください。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	NAT ルールを作成するデバイスを選択します。
ステップ 5	右側の [管理（Management）] ペインで [NAT] をクリックします。
ステップ 6	> [ネットワークオブジェクト NAT（Network Object NAT）] をクリックします。
ステップ 7	セクション 1 の [タイプ（Type）] で、[静的（Static）] を選択します。[続行（Continue）] をクリックします。
ステップ 8	セクション 2 の [インターフェイス（Interfaces）] で、送信元インターフェイスには [内部（inside）] を選択し、接続先インターフェイスには [外部（outside）] を選択します。[続行（Continue）] をクリックします。
ステップ 9	セクション 3 の [パケット（Packets）] で、次のアクションを実行します。 [元のアドレス（Original Address）] メニューを展開し、[選択（Choose）] をクリックして、servername_inside オブジェクトを選択します。 [変換済みアドレス（Translated Address）] メニューを展開し、[選択]（Choose）] をクリックして、servername_outside オブジェクトを選択します。
ステップ 10	セクション 4 の [詳細（Advanced）] はスキップしてください。
ステップ 11	FDM 管理対象デバイスの場合、セクション 5 の [名前（Name）] で、NAT ルールに名前を付けます。
ステップ 12	[保存（Save）] をクリックします。
ステップ 13	ASA の場合はネットワークポリシー規則を展開し、FDM による管理デバイスの場合はアクセスコントロールポリシー規則を展開して、servername_inside から servername_outside へのトラフィックフローを可能にします。
ステップ 14	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

内部ネットワーク上のユーザーが外部インターフェイスのパブリック IP アドレスを使用してインターネットにアクセスできるようにする

使用例

外部インターフェイスのパブリックアドレスを共有することにより、プライベートネットワーク内のユーザーとコンピューターがインターネットに接続できるようにします。

方法

プライベートネットワーク上のすべてのユーザーがデバイスの外部インターフェイスのパブリック IP アドレスを共有できるようにするポートアドレス変換（PAT）ルールを作成します。

プライベートアドレスがパブリックアドレスとポート番号にマッピングされると、デバイスはそのマッピングを記録します。そのパブリック IP アドレスとポート宛の着信トラフィックを受信すると、デバイスはトラフィックを要求したプライベート IP アドレスにトラフィックを送り返します。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	NAT ルールを作成するデバイスを選択します。
ステップ 5	右側の [管理（Management）] ペインで [NAT] をクリックします。
ステップ 6	[ネットワークオブジェクトNAT（Network Object NAT）] をクリックします。
ステップ 7	セクション 1 の [タイプ（Type）] で、[ダイナミック（Dynamic）] を選択します。[続行（Continue）] をクリックします。
ステップ 8	セクション 2 の [インターフェイス（Interfaces）] で、送信元インターフェイスには [任意（any）] を選択し、接続先インターフェイスには [外部（outside）] を選択します。[続行（Continue）] をクリックします。
ステップ 9	セクション 3 の [パケット（Packets）] で、次のアクションを実行します。 [元のアドレス（Original Address）] メニューを展開し、[選択（Choose）] をクリックして、ネットワーク構成に応じて [any-ipv4] オブジェクトまたは [any-ipv6] オブジェクトを選択します。 [変換済みアドレス（Translated Address）] メニューを展開し、利用可能なリストから [インターフェイス（interface）] を選択します。インターフェイスにより、外部インターフェイスのパブリックアドレスを使用することが示唆されています。
ステップ 10	FDM 管理対象デバイスの場合、セクション 5 の [名前（Name）] に NAT ルールの名前を入力します。
ステップ 11	[保存（Save）] をクリックします。
ステップ 12	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ASA の保存済み構成ファイルのエントリ

この手順を実行することで、ASA の保存済み構成ファイル内に次のエントリが作成および表示されます。

（注）

これは FDM による管理デバイスには適用されません。

この手順によって作成されるオブジェクト：

object network any_network
subnet 0.0.0.0 0.0.0.0

この手順によって作成される NAT ルール：

object network any_network
nat (any,outside) dynamic interface

内部ネットワーク上のサーバーをパブリック IP アドレスの特定のポートで使用できるようにする

使用例

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

前提条件

まず始めに、FTP、HTTP、および SMTP サーバーのネットワークオブジェクトを 1 つずつ、合計 3 つの個別のオブジェクトを作成します。この手順のために、これらのオブジェクトを ftp-server-object、http-server-object、および smtp-server-object と呼びます。手順については、「」「ネットワークオブジェクトの作成」を参照してください。

FTP サーバーへの NAT 着信 FTP トラフィック

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	NAT ルールを作成するデバイスを選択します。
ステップ 5	右側の [管理（Management）] ペインで [NAT] をクリックします。
ステップ 6	> [ネットワークオブジェクト NAT（Network Object NAT）] をクリックします。
ステップ 7	セクション 1 の [タイプ（Type）] で、[静的（Static）] を選択します。[続行（Continue）] をクリックします。
ステップ 8	セクション 2 の [インターフェイス（Interfaces）] で、送信元インターフェイスには [内部（inside）] を選択し、接続先インターフェイスには [外部（outside）] を選択します。[続行（Continue）] をクリックします。
ステップ 9	セクション 3 の [パケット（Packets）] で、次のアクションを実行します。 [元のアドレス（Original Address）] メニューを展開し、[選択（Choose）] をクリックして、ftp-server-object を選択します。 [変換済みアドレス（Translated Address）] メニューを展開し、[選択]（Choose）] をクリックして、[インターフェイス（Inerface）] を選択します。 [ポート変換の使用（Use Port Translation）] にチェックを付けます。 [tcp]、[ftp]、[ftp] を選択します。
ステップ 10	セクション 4 の [詳細（Advanced）] はスキップしてください。
ステップ 11	FDM 管理対象デバイスの場合、セクション 5 の [名前（Name）] で、NAT ルールに名前を付けます。
ステップ 12	[保存（Save）] をクリックします。NAT テーブルのセクション 2 に新しいルールが作成されます。
ステップ 13	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

HTTP サーバーへの NAT 着信 HTTP トラフィック

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

始める前に

まず始めに、HTTP サーバーのネットワークオブジェクトを作成します。この手順のために、オブジェクトを http-object と呼びます。手順については、「」「ネットワークオブジェクトの作成Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集」を参照してください。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	NAT ルールを作成するデバイスを選択します。
ステップ 5	右側の [管理（Management）] ペインで [NAT] をクリックします。
ステップ 6	> [ネットワークオブジェクト NAT（Network Object NAT）] をクリックします。
ステップ 7	セクション 1 の [タイプ（Type）] で、[静的（Static）] を選択します。[続行（Continue）] をクリックします。
ステップ 8	セクション 2 の [インターフェイス（Interfaces）] で、送信元インターフェイスには [内部（inside）] を選択し、接続先インターフェイスには [外部（outside）] を選択します。[続行（Continue）] をクリックします。
ステップ 9	セクション 3 の [パケット（Packets）] で、次のアクションを実行します。 [オリジナルアドレス（Original Address）] メニューを展開し、[選択]（Choose）] をクリックして、http オブジェクトを選択します。 [変換済みアドレス（Translated Address）] メニューを展開し、[選択]（Choose）] をクリックして、[インターフェイス（Inerface）] を選択します。 [ポート変換の使用（Use Port Translation）] にチェックを付けます。 tcp、http、http を選択します。
ステップ 10	セクション 4 の [詳細（Advanced）] はスキップしてください。
ステップ 11	FDM 管理対象デバイスの場合、セクション 5 の [名前（Name）] で、NAT ルールに名前を付けます。
ステップ 12	[保存（Save）] をクリックします。NAT テーブルのセクション 2 に新しいルールが作成されます。
ステップ 13	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

SMTP サーバーへの NAT 着信 SMTP トラフィック

パブリック IP アドレスが 1 つしかない場合、または数が非常に限られている場合は、静的 IP アドレスとポートにバインドされた受信トラフィックを内部アドレスに変換するネットワークオブジェクト NAT ルールを作成できます。特定のケースの手順を提供していますが、これらはサポートされている他のアプリケーションのモデルとして使用できます。

始める前に

まず始めに、smtp サーバーのネットワークオブジェクトを作成します。この手順の説明では、オブジェクトを smtp-object と呼びます。手順については、「」「ネットワークオブジェクトの作成Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集」を参照してください。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	NAT ルールを作成するデバイスを選択します。
ステップ 5	右側の [管理（Management）] ペインで [NAT] をクリックします。
ステップ 6	> [ネットワークオブジェクト NAT（Network Object NAT）] をクリックします。
ステップ 7	セクション 1 の [タイプ（Type）] で、[静的（Static）] を選択します。[続行（Continue）] をクリックします。
ステップ 8	セクション 2 の [インターフェイス（Interfaces）] で、送信元インターフェイスには [内部（inside）] を選択し、接続先インターフェイスには [外部（outside）] を選択します。[続行（Continue）] をクリックします。
ステップ 9	セクション 3 の [パケット（Packets）] で、次のアクションを実行します。 [元のアドレス（Original Address）] メニューを展開し、[選択（Choose）] をクリックして、smtp-server-object を選択します。 [変換済みアドレス（Translated Address）] メニューを展開し、[選択]（Choose）] をクリックして、[インターフェイス（Inerface）] を選択します。 [ポート変換の使用（Use Port Translation）] にチェックを付けます。 tcp、smtp、smtp を選択します。
ステップ 10	セクション 4 の [詳細（Advanced）] はスキップしてください。
ステップ 11	FDM 管理対象デバイスの場合、セクション 5 の [名前（Name）] で、NAT ルールに名前を付けます。
ステップ 12	[保存（Save）] をクリックします。NAT テーブルのセクション 2 に新しいルールが作成されます。
ステップ 13	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

プライベート IP アドレス範囲のパブリック IP アドレス範囲への変換

使用例

特定のデバイスタイプまたはユーザータイプのグループがあり、IP アドレスを特定の範囲に変換して、受信側デバイス（トランザクションの反対側のデバイス）がトラフィックを許可する必要がある場合は、このアプローチを使用します。

内部アドレスのプールを外部アドレスのプールに変換

始める前に

変換するプライベート IP アドレスプールのネットワークオブジェクトを作成し、それらのプライベート IP アドレスの変換先となるパブリックアドレスプールのネットワークオブジェクトも作成します。

（注）

ASA FTDの場合、「変換されたアドレス」のプールを定義するネットワークグループは、サブネットを定義するネットワークオブジェクトにすることはできません。

これらのアドレスプールを作成する場合は、と『Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集』を参照してください。

以下の手順のために、プライベートアドレスプールをinside_pool、パブリックアドレスプールをoutside_pool と名付けました。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	NAT ルールを作成するデバイスを選択します。
ステップ 5	右側の [管理（Management）] ペインで [NAT] をクリックします。
ステップ 6	> [ネットワークオブジェクト NAT（Network Object NAT）] をクリックします。
ステップ 7	セクション 1 の [タイプ（Type）] で [ダイナミック（Dynamic）] を選択し、[続行（Continue）] をクリックします。
ステップ 8	セクション 2 の [インターフェイス（Interfaces）] で、送信元インターフェイスを [内部（inside）] に設定し、接続先インターフェイスを [外部（outside）] に設定します。[続行（Continue）] をクリックします。
ステップ 9	セクション 3 の [パケット（Packets）] で、以下のタスクを実行します。 [元アドレス（Original Address）] で、[選択（Choose）] をクリックし、上記の前提条件セクションで作成した inside_pool ネットワークオブジェクト (またはネットワークグループ) を選択します。 [変換されたアドレス（Translated Address）] で、[選択（Choose）] をクリックし、上記の前提条件セクションで作成した outside_pool ネットワークオブジェクト (またはネットワークグループ) を選択します。
ステップ 10	セクション 4 の [詳細（Advanced）] はスキップしてください。
ステップ 11	FDM 管理対象デバイスの場合、セクション 5 の [名前（Name）] で、NAT ルールに名前を付けます。
ステップ 12	[保存（Save）] をクリックします。
ステップ 13	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

外部インターフェイスを通過する際に IP アドレスの範囲が変換されるのを防ぐ

使用例

この Twice NAT ユースケースを使用して、サイト間 VPN を有効にします。

方法

IP アドレスのプールをそれ自体に変換して、ネットワークのある場所の IP アドレスが変更されずに別の場所に届くようにします。

Twice NATルールの作成

始める前に

それ自体に変換する IP アドレスのプールを定義するネットワークオブジェクトまたはネットワークグループを作成します。ASA の場合、アドレスの範囲は、IP アドレス範囲を使用するネットワークオブジェクト、サブネットを定義するネットワークオブジェクト、または範囲内のすべてのアドレスを含むネットワークグループオブジェクトによって定義できます。FTD の場合、アドレスの範囲は、サブネットを定義するネットワークオブジェクト、または範囲内のすべてのアドレスを含むネットワークグループオブジェクトによって定義できます。

ネットワークオブジェクトやネットワークグループを作成する場合は、『』と『Firepower ネットワークオブジェクトまたはネットワークグループの作成または編集』を参照してください。

次の手順では、ネットワークオブジェクトまたはネットワークグループを Site-to-Site-PC-Pool と呼びます。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	NAT ルールを作成するデバイスを選択します。
ステップ 5	右側の [管理（Management）] ペインで [NAT] をクリックします。
ステップ 6	> [Twice NAT] をクリックします。.
ステップ 7	セクション 1 の [タイプ（Type）] で、[静的（Static）] を選択します。[続行（Continue）] をクリックします。
ステップ 8	セクション 2 の [インターフェイス（Interfaces）] で、送信元インターフェイスには [内部（inside）] を選択し、接続先インターフェイスには [外部（outside）] を選択します。[続行（Continue）] をクリックします。
ステップ 9	セクション 3 の [パケット（Packets）] で、次の変更を行います。 [元のアドレス（Original Address）] メニューを展開し、[選択（Choose）] をクリックして、前提条件セクションで作成した Site-to-Site-PC-Pool オブジェクトを選択します。 [変換済みアドレス（Translated Address）] メニューを展開し、[選択（Choose）] をクリックして、前提条件セクションで作成した Site-to-Site-PC-Pool オブジェクトを選択します。
ステップ 10	セクション 4 の [詳細（Advanced）] はスキップしてください。
ステップ 11	FDM 管理対象デバイスの場合、セクション 5 の [名前（Name）] で、NAT ルールに名前を付けます。
ステップ 12	[保存（Save）] をクリックします。
ステップ 13	ASA の場合、クリプトマップを作成します。クリプトマップの作成方法の詳細については、『CLI ブック 3：Cisco ASA シリーズ VPN CLI コンフィギュレーションガイド』の、「LAN-to-LAN IPsec VPN」の章を確認してください。
ステップ 14	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Security Cloud Control での仮想プライベートネットワーク管理の管理

バーチャルプライベートネットワーク（VPN）接続は、インターネットなどのパブリックネットワークを介してエンドポイント間の安全なトンネルを確立します。

この項の内容は、FDM 管理対象デバイスのリモートアクセスおよびサイト間 VPN に当てはまります。FTD でサイト間 VPN 接続を構築するためのインターネットプロトコルセキュリティ（IPsec）標準について説明しています。また、 FTD で VPN 接続を構築し、リモートでアクセスするために使用する SSL 標準についても説明します。

Security Cloud Control は以下のタイプの VPN 接続をサポートしています。

サイト間仮想プライベートネットワークの概要
リモートアクセスバーチャルプライベートネットワーク

バーチャルプライベートネットワークの詳細は、『Firepower Device Manager 向け Cisco Firepower Threat Defense 構成ガイド』を参照してください。

サイト間仮想プライベートネットワークの概要

サイト間 VPN トンネルは、地理的に異なる場所にあるネットワークを接続します。管理対象デバイス間、および管理対象デバイスと関連するすべての規格に準拠するその他のシスコまたはサードパーティのピアとの間で、サイト間 IPsec 接続を作成できます。これらのピアは、IPv4 アドレスと IPv6 アドレスの内部と外部の任意の組み合わせを持つことができます。サイト間トンネルは、Internet Protocol Security（IPsec）プロトコルスイートとインターネットキーエクスチェンジバージョン 2（IKEv2）を使用して構築されます。VPN 接続が確立されると、ローカルゲートウェイの背後にあるホストはセキュアな VPN トンネルを介して、リモートゲートウェイの背後にあるホストに接続することができます。

VPN トポロジ

新しいサイト間 VPN トポロジを作成するには、一意の名前を付け、トポロジタイプを指定し、IPsec IKEv1 または IKEv2 あるいはその両方に使用される IKE バージョンと認証方式を選択する必要があります。設定したら、FTD にトポロジを展開します。

IPsec および IKE プロトコル

Security Cloud Control では、サイト間 VPN は、VPN トポロジに割り当てられた IKE ポリシーおよび IPsec プロポーザルに基づいて設定されます。ポリシーとプロポーザルはパラメータのセットであり、これらのパラメータによって、IPsec トンネル内のトラフィックでセキュリティを確保するために使用されるセキュリティプロトコルやアルゴリズムなど、サイト間 VPN の特性が定義されます。VPN トポロジに割り当て可能な完全な設定イメージを定義するために、複数のポリシータイプが必要となる場合があります。

認証 VPN トンネル

VPN 接続の認証には、各デバイスのトポロジ内で事前共有キーを設定します。事前共有キーにより、IKE 認証フェーズで使用する秘密鍵を 2 つのピア間で共有できます。

バーチャルトンネルインターフェイス（VTI）

現在のところ、Security Cloud Control では FTD の仮想トンネルインターフェイス（VTI）のトンネルを管理、モニタリング、使用できません。VTI トンネルが設定されているデバイスを Security Cloud Control にオンボーディングすることは可能ですが、VTI インターフェイスは無視されます。セキュリティゾーンまたはスタティックルートが VTI を参照する場合、Security Cloud Control は VTI 参照を除いてセキュリティゾーンとスタティックルートを読み取ります。

エクストラネットデバイスについて

シスコ製以外のデバイスまたは管理対象外のシスコデバイスを、静的 IP アドレスまたは動的 IP アドレスのいずれかを使用して「エクストラネット」デバイスとして VPN トポロジに追加できます。

シスコ製以外のデバイス：Security Cloud Control を使用して、シスコ製以外のデバイスに対する設定を作成したり、展開したりすることはできません。
管理対象外のシスコデバイス：組織によって管理されないシスコデバイス。たとえば、社内の他の部門が管理するネットワーク内のスポークや、サービスプロバイダーまたはパートナーネットワークへの接続などです。

FDM による管理デバイスのサイト間 VPN の設定

Security Cloud Control は、FDM による管理デバイスの備えるサイト間 VPN 機能の次の側面をサポートしています。

IPsec IKEv1 および IKEv2 プロトコルの両方をサポート。
自動または手動の事前共有認証キー。
IPv4 および IPv6 内部、外部のすべての組み合わせをサポート。
IPsec IKEv2 サイト間 VPN トポロジにより、セキュリティ認定に準拠するための設定を提供。
スタティックインターフェイスおよびダイナミックインターフェイス。
エクストラネットデバイスのダイナミック IP アドレスをエンドポイントとしてサポート。

動的にアドレス指定されたピアによるサイト間 VPN 接続の設定

Security Cloud Control を使用すると、ピアのいずれかの VPN インターフェイス IP アドレスが不明な場合、またはインターフェイスが DHCP サーバーからアドレスを取得する場合に、ピア間にサイト間 VPN 接続を作成できます。事前共有キー、IKE 設定、および IPsec 設定が別のピアと一致するダイナミックピアは、サイト間 VPN 接続を確立できます。

A と B の 2 つのピアがあるとします。スタティックピアは、VPN インターフェイスの IP アドレスが固定されているデバイスであり、ダイナミックピアは、VPN インターフェイスの IP アドレスが不明であるか、一時的な IP アドレスを持つデバイスです。

次の使用例では、動的にアドレス指定されたピアとの安全なサイト間 VPN 接続を確立するためのさまざまなシナリオについて説明します。

A はスタティックピア、B はダイナミックピア、またはその逆です。
A はスタティックピア、B は DHCP サーバーから解決された IP アドレスを持つダイナミックピア、またはその逆です。[VPNを割り当てられたIPにバインドする（Bind VPN to the assigned IP）] を選択して、スタティックピアの IP アドレスと、ダイナミックピアの DHCP によって割り当てられた IP アドレスの間に VPN 接続を確立できます。
A と B はダイナミックピアであり、DHCP サーバーからの解決済み IP アドレスを使用します。このような場合、スタティックピアの IP アドレスと、ダイナミックピアの DHCP によって割り当てられた IP アドレスとの間に VPN 接続を確立するために、少なくとも 1 つのピアに対して [VPNを割り当てられたIPにバインドする（Bind VPN to the assigned IP）] を選択する必要があります。
A はダイナミックピアで、B はスタティックまたはダイナミック IP アドレスを持つエクストラネットデバイスです。
A は DHCP サーバーからの解決済み IP アドレスを持つダイナミックピアで、B はスタティックまたはダイナミック IP アドレスを持つエクストラネットデバイスです。[VPNを割り当てられたIPにバインドする（Bind VPN to the assigned IP）] を選択して、スタティックピアの IP アドレスと、ダイナミックピアの DHCP によって割り当てられた IP アドレスの間に VPN 接続を確立できます。

重要	[VPNを割り当てられたIPにバインドする（Bind VPN to the assigned IP）] を選択すると、VPN は DHCP によって割り当てられた IP アドレスに静的にバインドします。ただし、このダイナミックインターフェイスは、ピアの再起動後に多くの新しい IP アドレスを受信できます。VPN トンネルは新しい IP アドレスを更新しますが、もう一方のピアは新しい設定で更新されません。他のピアでのアウトオブバンドの変更については、サイト間設定を再度展開する必要があります。

（注）

Firewall Device Manager などのローカルマネージャを使用してインターフェイスの IP アドレスを変更すると、Security Cloud Control では、そのピアの [設定ステータス（Configuration Status）] に [競合検出（Conflict Detected）] と表示されます。このアウトオブバンドの変更を解決すると、他方のピアの [設定ステータス（Configuration Status）] が [未同期（Not Synced）] 状態に変わります。[未同期（Not Synced）] 状態のデバイスに Security Cloud Control 設定を展開する必要があります。

通常、ダイナミックピアの IP アドレスを他方のピアは把握していないため、ダイナミックピアから接続を開始する必要があります。リモートピアが接続を確立しようとすると、他方のピアは事前共有キー、IKE 設定、および IPsec 設定を使用して接続を検証します。

VPN 接続はリモートピアが接続を開始した後にのみ確立されるため、VPN トンネルのトラフィックを許可するアクセス制御ルールに一致するすべての発信トラフィックは、接続が確立されるまでドロップされます。これにより、適切な暗号化と VPN 保護のないデータがネットワークから流出しないようになります。

（注）

次のシナリオでは、サイト間 VPN 接続を設定できません。

両方のピアに DHCP によって割り当てられた IP アドレスがある場合。
- 回避策：どちらか一方のピアに DHCP サーバーからの解決済み IP アドレスがある場合は、サイト間 VPN を設定できます。このような場合、サイト間 VPN を設定するには [VPNを割り当てられたIPにバインドする（Bind VPN to the assigned IP）] を選択する必要があります。
1 台のデバイスに複数のダイナミックピア接続がある場合。
- 回避策：次の手順を実行して、サイト間 VPN を設定できます。
  - 3 台のデバイス A、B、C があるとします。
  - A（スタティックピア）と B（ダイナミックピア）間のサイト間 VPN 接続を設定します。
  - エクストラネットデバイスを作成して、A と C（ダイナミックピア）間のサイト間 VPN 接続を設定します。A のスタティック VPN インターフェイス IP アドレスをエクストラネットデバイスに割り当て、C との接続を確立します。

FDM による管理デバイスのサイト間 VPN ガイドラインと制約事項

Security Cloud Control は、S2S VPN の対象トラフィックを設計するための crypto-acl をサポートしていません。保護されたネットワークのみをサポートします。
Security Cloud Control は、現在、ASA デバイスまたは FDM による管理デバイス上の仮想トンネルインターフェイス（VTI）トンネルの管理、監視、使用をサポートしていません。VTI トンネルが設定されているデバイスを Security Cloud Control にオンボーディングすることは可能ですが、VTI インターフェイスは無視されます。セキュリティゾーンまたはスタティックルートが VTI を参照する場合、Security Cloud Control は VTI 参照を除いてセキュリティゾーンとスタティックルートを読み取ります。VTI トンネルに対する Security Cloud Control のサポートは近日中に提供されます。
IKE ポート 500/4500 が使用されている場合、またはアクティブな PAT 変換がある場合は、これらのポートでサービスを開始できないため、サイト間 VPN を同じポートに設定することはできません。
トンネルモードにのみ対応し、トランスポートモードには対応していません。IPsec トンネルモードは、新しい IP パケットのペイロードになる元の IP データグラム全体を暗号化します。トンネルモードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネルモードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール（またはその他のセキュリティゲートウェイ）間で通常の IPsec が実装される標準の方法です。
このリリースでは、1 つ以上の VPN トンネルを含む PTP トポロジのみがサポートされています。ポイントツーポイント（PTP）型の展開は、2 つのエンドポイント間で VPN トンネルを確立します。

VPN で使用される暗号化アルゴリズムとハッシュアルゴリズム

VPN トンネルは通常、インターネットなどのパブリックネットワークを経由するため、トラフィックを保護するために接続を暗号化する必要があります。IKE ポリシーと IPsec プロポーサルを使用して、暗号化とその他のセキュリティ技術を定義し、適用します。

デバイスライセンスによって強力な暗号化を適用できる場合は、広範な暗号化とハッシュアルゴリズム、および Diffie-Hellman グループがあり、その中から選択できます。ただし、一般に、トンネルに適用する暗号化が強力なほど、システムパフォーマンスは低下します。効率を損なうことなく十分な保護を提供するセキュリティとパフォーマンスのバランスを見出します。

シスコでは、どのオプションを選択するかについての特定のガイダンスは提供できません。比較的大規模な企業またはその他の組織内で運用している場合は、すでに、満たす必要がある標準が定義されている可能性があります。定義されていない場合は、時間を割いてオプションを調べてください。

以降のトピックでは、使用可能なオプションについて説明します。

使用する暗号化アルゴリズムの決定

IKE ポリシーまたは IPsec プロポーザルに対して使用する暗号化アルゴリズムを決定する場合は、VPN 内のデバイスによってサポートされるアルゴリズムに限定されます。

IKEv2 では、複数の暗号化アルゴリズムを設定できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、その順序を使用してピアとのネゴシエーションを行います。IKEv1 では、単一のオプションのみ選択できます。

IPsec プロポーザルでは、認証、暗号化、およびアンチリプレイサービスを提供するカプセル化セキュリティプロトコル（ESP）によってアルゴリズムが使用されます。ESP は、IP プロトコルタイプ 50 です。IKEv1 IPsec プロポーザルでは、アルゴリズム名の接頭辞が「ESP」となります。

デバイスライセンスが強力な暗号化を適用できる場合、次の暗号化アルゴリズムを選択できます。強力な暗号化の対象ではない場合、DES のみ選択できます。

AES-GCM：（IKEv2 のみ）ガロア/カウンタモードの Advanced Encryption Standard は、機密性とデータ発信元認証を提供するブロック暗号モードの操作であり、AES より優れたセキュリティを実現します。AES-GCM には、128 ビット、192 ビット、256 ビットの 3 種類のキー強度が用意されています。キーが長いほど安全になりますが、パフォーマンスは低下します。GCM は NSA Suite B をサポートするために必要となる AES モードです。NSA Suite B は、暗号化強度に関する連邦標準規格を満たすためにデバイスがサポートすべき一連の暗号化アルゴリズムです。
AES-GMAC：（IKEv2 IPsec プロポーザルのみ）Advanced Encryption Standard のガロアメッセージ認証コード（GMAC）は、データ発信元認証だけを行う操作のブロック暗号モードです。これは AES-GCM の一種であり、データを暗号化せずにデータ認証が行えます。AES-GMAC には、128 ビット、192 ビット、256 ビットの 3 種類のキー強度が用意されています。
AES（Advanced Encryption Standard）は DES よりも高度なセキュリティを提供する対称暗号化アルゴリズムであり、計算の効率は 3DES よりも高いです。AES には、128 ビット、192 ビット、256 ビットの 3 種類のキー強度が用意されています。キーが長いほど安全になりますが、パフォーマンスは低下します。
DES（Data Encryption Standard）は、56 ビットキーを使用して暗号化する対称秘密鍵ブロックアルゴリズムです。ライセンスアカウントが輸出規制の要件を満たしていない場合、これは唯一のオプションです。3DES よりも高速であり、使用するシステムリソースも少ないですが、安全性は劣ります。堅牢なデータ機密保持が必要ない場合、およびシステムリソースや速度が重要である場合には、DES を選択します。
3DES（トリプル DES）：56 ビットキーを使用して暗号化を 3 回行います。異なるキーを使用してデータの各ブロックを 3 回処理するため、DES よりも安全です。ただし、使用するシステムリソースが多くなり、DES よりも速度が遅くなります。
Null：ヌル暗号化アルゴリズムは暗号化なしで認証します。通常はテスト目的にのみ使用されます。

使用するハッシュアルゴリズムの決定

IKE ポリシーでは、ハッシュアルゴリズムがメッセージダイジェストを作成します。これは、メッセージの整合性を保証するために使用されます。IKEv2 では、ハッシュアルゴリズムは 2 つのオプションに分かれています。1 つは整合性アルゴリズムに使用され、もう 1 つは擬似乱数関数（PRF）に使用されます。

IPsec プロポーザルでは、ハッシュアルゴリズムはカプセル化セキュリティプロトコル（ESP）による認証のために使用されます。IKEv2 IPsec プロポーザルでは、これは整合性のハッシュと呼ばれます。IKEv1 IPsec プロポーザルでは、アルゴリズム名の接頭辞が「ESP-」となり、「-HMAC」（Hash Method Authentication Code）という接尾辞も使用されます。

IKEv2 では、複数のハッシュアルゴリズムを設定できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、その順序を使用してピアとのネゴシエーションを行います。IKEv1 では、単一のオプションのみ選択できます。

次のハッシュアルゴリズムから選択できます。

[SHA (Secure Hash Algorithm)]：標準の SHA（SHA-1）は、160 ビットのダイジェストを生成します。SHA には、総当たり攻撃に対して、MD5 よりも高い耐性が備えられています。ただし、MD5 よりも多くのリソースを消費します。最大レベルのセキュリティを必要とする実装には、SHA ハッシュアルゴリズムを使用してください。
IKEv2 の設定では、以下の SHA-2 オプションを指定して、より高度なセキュリティを実現できます。NSA Suite B 暗号化仕様を実装するには、次のいずれかを選択します。
- SHA256：256 ビットのダイジェストを生成するセキュアハッシュアルゴリズム SHA-2 を指定します。
- SHA384：384 ビットのダイジェストを生成するセキュアハッシュアルゴリズム SHA-2 を指定します。
- SHA512：512 ビットのダイジェストを生成するセキュアハッシュアルゴリズム SHA-2 を指定します。
MD5 (Message Digest 5)：128 ビットのダイジェストを生成します。MD5 は処理時間が短いため、全体的なパフォーマンスが SHA より高速ですが、SHA より強度は低いと考えられています。
NULL またはなし（NULL、ESP-NONE）：（IPsec プロポーザルのみ）NULL ハッシュアルゴリズム。通常はテスト目的のみに使用されます。しかし、暗号化オプションとしていずれかの AES-GCM/GMAC オプションを選択した場合は、NULL 整合性アルゴリズムを選択する必要があります。NULL 以外のオプションを選択した場合、これらの暗号化標準に対しては、整合性ハッシュは無視されます。

使用する Diffie-Hellman 係数グループの決定

次の Diffie-Hellman キー導出アルゴリズムを使用して、IPsec Security Association（SA：セキュリティアソシエーション）キーを生成することができます。各グループでは、異なるサイズの係数が使用されます。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。両方のピアに、一致する係数グループが存在する必要があります。

AES 暗号化を選択する場合は、AES で必要な大きいキーサイズをサポートするために、Diffie-Hellman（DH：デフィーヘルマン）グループ 5 以降を使用する必要があります。IKEv1 ポリシーは、以下に示すすべてのグループをサポートしているわけではありません。

NSA Suite-B の暗号化の仕様を実装するには、IKEv2 を使用して楕円曲線 Diffie-Hellman（ECDH）オプション：19、20、21 のいずれか 1 つを選択します。楕円曲線オプションと、2048 ビット係数を使用するグループは、Logjam のような攻撃にさらされる可能性が低くなります。

IKEv2 では、複数のグループを設定できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、その順序を使用してピアとのネゴシエーションを行います。IKEv1 では、単一のオプションのみ選択できます。

2：Diffie-Hellman グループ 2（1024 ビット Modular Exponential（MODP）グループ）。このオプションは十分な保護レベルとは見なされなくなりました。
5：Diffie-Hellman グループ 5（1536 ビット MODP グループ）。以前は 128 ビットキーの十分な保護レベルと見なされていましたが、このオプションは十分な保護レベルとは見なされなくなりました。
14：Diffie-Hellman グループ 14（2048 ビット Modular Exponential（MODP）グループ）。192 ビットのキーでは十分な保護レベルです。
19：Diffie-Hellman グループ 19（国立標準技術研究所（NIST）256 ビット楕円曲線モジュロプライム（ECP）グループ）。
20：Diffie-Hellman グループ 20（NIST 384 ビット ECP グループ）。
21：Diffie-Hellman グループ 21（NIST 521 ビット ECP グループ）。
24：Diffie-Hellman グループ 24（2048 ビット MODP グループと 256 ビット素数位数部分群）。このオプションは推奨されなくなりました。

使用する認証方式の決定

次の方法を使用して、サイト間 VPN 接続でピアを認証できます。

事前共有キー

事前共有キーは、接続内の各ピアで設定された秘密鍵文字列です。これらのキーは、IKE が認証フェーズで使用します。IKEv1 の場合は、各ピアで同じ事前共有キーを設定する必要があります。IKEv2 の場合は、各ピアに一意のキーを設定できます。

事前共有キーは、証明書に比べて拡張性がありません。多数のサイト間 VPN 接続を設定する必要がある場合は、事前共有キー方式ではなく証明書方式を使用します。

サイト間 VPN の作成

簡易設定か詳細設定のいずれかの方法で、サイト間 VPN を作成できます。簡易設定では、サイト間 VPN 接続の確立にデフォルト設定が使用されます。詳細モードの設定は変更できます。

各サイト間 VPN トポロジには、Security Cloud Control で管理しないエクストラネットデバイスが含まれる可能性があります。エクストラネットデバイスは、Security Cloud Control の管理対象ではない任意のデバイス（シスコまたはサードパーティ）である可能性があります。

このリリースでは、サイト間接続ごとに 1 つのトンネルを含む PTP トポロジのみがサポートされています。ポイントツーポイント（PTP）型の展開は、2 つのエンドポイント間で VPN トンネルを確立します。

シンプルな設定を使用したサイト間 VPN の作成

手順

ステップ 1

左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] を選択します。

ステップ 2

青いプラスボタンをクリックして、VPN トンネルを作成します。

（注）

または、[セキュリティデバイス（Security Devices）] ページからサイト間 VPN 接続を作成できます。

左側のペインでセキュリティデバイスをクリックします。
構成する 2 つの FDM による管理デバイスを選択します。エクストラネットデバイスを選択した場合は、エクストラネットデバイスの IP アドレスを指定します。
右側のページの [デバイスアクション（Device Actions）] で、[サイト間VPNの作成（Create Site-to-Site VPN）] をクリックします。

ステップ 3

一意のトポロジ [設定名（Configuration Name）] を入力します。トポロジには、FDM による管理デバイス VPN であることとトポロジタイプを示す名前を付けることをお勧めします。

ステップ 4

[デバイス（Devices）] から、この VPN 展開のエンドポイントデバイスを選択します。

ステップ 5

[ピア2（Peer 2）] でエクストラネットデバイスを選択する場合は、[静的（Static）] を選択して IP アドレスを指定するか、DHCP が割り当てられた IP を持つエクストラネットデバイスの場合は [動的（Dynamic）] を選択します。[IPアドレス（IP Address）] には、静的インターフェイスの IP アドレスまたは動的インターフェイスの [DHCP割り当て（DHCP Assigned）] が表示されます。

ステップ 6

エンドポイントデバイスの [VPNアクセスインターフェイス（VPN Access Interface）] を選択します。

（注）

1 つまたは両方のエンドポイントデバイスに動的 IP アドレスがある場合、追加の手順については、「動的にアドレス指定されたピアを使用したサイト間 VPN 接続の設定」を参照してください。

ステップ 7

青いプラスボタンをクリックして、参加デバイスの [保護されたネットワーク（Protected Networks）] を追加します。

ステップ 8

（任意）[NAT免除（NAT Exempt）] を選択して、VPN トラフィックをローカル VPN アクセスインターフェイス上の NAT ポリシーから除外します。個々のピアに対して手動で設定する必要があります。NAT ルールをローカルネットワークに適用しない場合、ローカルネットワークをホストするインターフェイスを選択します。このオプションは、ローカルネットワークが 1 つのルーテッドインターフェイス（ブリッジグループメンバーではない）の背後にある場合にのみ機能します。ローカルネットワークが複数のルーテッドインターフェイスまたは 1 つ以上のブリッジグループのメンバーの背後にある場合、NAT 免除ルールを手動で作成する必要があります。必要なルールを手動で作成する方法については、「NAT からのサイト間 VPN トラフィックの除外」を参照してください。

ステップ 9

[VPNの作成（Create VPN）] をクリックし、[終了（Finish）] をクリックします。

ステップ 10

追加の必須設定を実行します。「サイト間ピア間の保護されたトラフィックのネットワークの設定」を参照してください。

サイト間 VPN が設定されます。

高度な設定を使用したサイト間 VPN の作成

手順

ステップ 1

左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] を選択します。

ステップ 2

青いプラスボタンをクリックして、VPN トンネルを作成します。

ステップ 3

[ピアデバイス（Peer Devices）] セクションで、次のデバイス設定を指定します。

一意のトポロジ [設定名（Configuration Name）] を入力します。トポロジには、FDM による管理デバイス VPN であることとトポロジタイプを示す名前を付けることをお勧めします。
[デバイス（Devices）] から、この VPN 展開のエンドポイントデバイスを選択します。
エクストラネットデバイスを選択する場合は、[静的（Static）] を選択して IP アドレスを指定し、DHCP が割り当てられた IP を持つエクストラネットデバイスの場合は [動的（Dynamic）] を選択します。[IPアドレス（IP Address）] には、静的インターフェイスの IP アドレスまたは動的インターフェイスの [DHCP割り当て（DHCP Assigned）] が表示されます。
エンドポイントデバイスの [VPNアクセスインターフェイス（VPN Access Interface）] を選択します。

（注）

1 つまたは両方のエンドポイントデバイスに動的 IP アドレスがある場合、追加の手順については、「動的にアドレス指定されたピアを使用したサイト間 VPN 接続の設定」を参照してください。

ステップ 4

青いプラスボタンをクリックして、参加デバイスの [保護されたネットワーク（Protected Networks）] を追加します。

ステップ 5

[詳細設定（Advanced）] をクリックします。

ステップ 6

[IKE設定（IKE Settings）] セクションで、インターネットキーエクスチェンジ（IKE）ネゴシエーション中に使用する IKE バージョンを選択し、プライバシー設定を指定します。IKE ポリシーの詳細については、「グローバル IKE ポリシーについて」を参照してください。

（注）

IKE ポリシーはデバイスに対してグローバルであり、デバイスに関連付けられたすべての VPN トンネルに適用されます。したがって、ポリシーを追加または削除すると、このデバイスが参加しているすべての VPN トンネルに影響します。

必要に応じて、いずれかまたは両方のオプションを選択します。

（注）

デフォルトでは、[IKEVバージョン2（IKEV Version 2）] と [IKEV2ポリシー（IKEV2 POLICIES）] が有効になっています。

青いプラスボタンをクリックし、IKEv2 ポリシーを選択します。

[新しいIKEv2ポリシーの作成（Create New IKEv2 Policy）] をクリックして、新しい IKEv2 ポリシーを作成します。または、Security Cloud Control でオブジェクトをクリックし、 > [IKEv2ポリシー（IKEv2 Policy）]をクリックします。新しい IKEv2 ポリシーの作成の詳細については、「IKEv2 ポリシーの設定」を参照してください。既存の IKEv2 ポリシーを削除するには、選択したポリシーにカーソルを合わせ、[x] アイコンをクリックします。
[IKEバージョン1（IKE Version 1）] をクリックして有効にします。
青いプラスボタンをクリックし、IKEv1 ポリシーを選択します。[新しいIKEv1ポリシーの作成（Create New IKEv1 Policy）] をクリックして、新しい IKEv1 ポリシーを作成します。または、Security Cloud Control ナビゲーションバーに移動し、オブジェクトをクリックしてから、 > [IKEv1ポリシー（IKEv1 Policy）] をクリックします。新しい IKEv1 ポリシーの作成の詳細については、「IKEv1 ポリシーの設定」を参照してください。既存の IKEv1 ポリシーを削除するには、選択したポリシーにカーソルを合わせ、[x] アイコンをクリックします。

参加デバイスの [事前共有キー（Pre-Shared Key）] を入力します。事前共有キーは、接続内の各ピアで設定された秘密鍵文字列です。これらのキーは、IKE が認証フェーズで使用します。

（IKEv2）[ピア1事前共有キー（Peer 1 Pre-shared Key）]、[ピア2事前共有キー（Peer 2 Pre-shared Key）]：IKEv2 の場合、各ピアで固有のキーを設定できます。[事前共有キー（Pre-shared Key）] を入力します。[オーバーライドの表示（Show Override）] ボタンをクリックして、ピアに適切な事前共有キーを入力できます。このキーには 1 ～ 127 の英数字を指定できます。次の表で、両方のピアにおける事前共有キーの目的について説明します。


	ローカル事前共有キー	リモートピア事前共有キー
ピア 1	ピア 1 事前共有キー	ピア 2 事前共有キー
ピア 2	ピア 2 事前共有キー	ピア 1 事前共有キー

（IKEv1）[事前共有キー（Pre-shared Key）]：IKEv1 の場合は、各ピアで同じ事前共有キーを設定する必要があります。このキーには 1 ～ 127 の英数字を指定できます。このシナリオでは、ピア 1 とピア 2 は同じ事前共有キーを使用してデータを暗号化および復号します。

[次へ（Next）] をクリックします。

ステップ 7

[IPSec設定（IPSec Settings）] セクションで、IPSec 設定を指定します。[IPSec設定（IPSec Settings）] ステップでの選択に応じて、対応する IKEv プロポーザルを使用できます。

IPSec 設定の詳細については、「IPsec プロポーザルについて」を参照してください。

青いプラスボタンをクリックし、IKEv2 プロポーザルを選択します。既存の IKEv2 プロポーザルを削除するには、選択したプロポーザルにカーソルを合わせ、[x] アイコンをクリックします。

（注）

[新しいIKEv2プロポーザルの作成（Create New IKEv2 Proposal）] をクリックして、新しい IKEv2 プロポーザルを作成します。または、Security Cloud Control ナビゲーションバーに移動し、オブジェクトをクリックしてから、 > [IKEv2 IPsecプロポーザル（IKEv2 IPSec Proposal）] をクリックします。

新しい IKEv2 プロポーザルの作成の詳細については、「IKEv2 の IPsec プロポーザルの設定」を参照してください。

[Perfect Forward Secrecy対応のDiffie-Hellmanグループ（Diffie-Hellman Group for Perfect Forward Secrecy）] を選択します。詳細については、「使用する Diffie-Hellman 係数グループの決定」を参照してください。
[Create VPN] をクリックします。
設定を確認し、問題がなければ [完了（Finish）] をクリックします。
追加の必須設定を実行します。「サイト間ピア間の保護されたトラフィックのネットワークの設定」を参照してください。

サイト間ピア間の保護されたトラフィックのネットワークの設定

サイト間接続の設定が完了したら、VPN がすべての対象デバイスで機能するように、次の設定を実行してください。

手順

ステップ 1

AC ポリシーを設定します。

両方のピアの背後にある保護されたネットワーク間の双方向トラフィックを許可するための AC ポリシーを設定します。AC ポリシーは、パケットがドロップされることなく目的の宛先に到達するのに役立ちます。

（注）

両方のピアで着信トラフィックと発信トラフィックの AC ポリシーを作成する必要があります。

左側の Security Cloud Control ナビゲーションバーで [ポリシー（Policies）] をクリックし、必要なオプションを選択します。
両方のピアで着信トラフィックと発信トラフィックのポリシーを作成します。AC ポリシーの作成の詳細については、「FDM アクセスコントロールポリシーの設定」を参照してください。

次の例は、両方のピアで AC ポリシーを作成する手順を示しています。

それぞれ 2 つの保護されたネットワーク「boulder-network」および「sanjose-network」間のサイト間 VPN 接続を備えた 2 つの FDM による管理デバイス「FTD_BGL_972」および「FTD_BGL_973」について考えてみます。

着信トラフィックを許可する AC ポリシーの作成：

ポリシー「Permit_incoming_VPN_traffic_from_973」は、ピア「FTD_BGL_973」からの着信トラフィックを許可するために「FTD_BGL_972」デバイスで作成されます。
- 送信元ゾーン：ネットワークトラフィックの発信元であるピアデバイスのゾーンを設定します。この例では、トラフィックは FTD_BGL_973 から発信され、FTD_BGL_972 に到達します。
- 送信元ネットワーク：ネットワークトラフィックの発信元であるピアデバイスの保護されたネットワークを設定します。この例では、トラフィックはピアデバイス（FTD_BGL_973）の背後にある保護されたネットワークである「sanjose-network」から発信されています。
- 宛先ネットワーク：ネットワークトラフィックが到着するデバイスの保護されたネットワークを設定します。この例では、トラフィックはピアデバイス（FTD_BGL_972）の背後にある保護されたネットワークである「boulder-network」に到着しています。注：残りのフィールドは、デフォルト値（「Any」）にできます。
- ポリシーで侵入およびその他のインスペクション設定の対象となるトラフィックを許可するには、[アクション（Action）] を [許可（Allow）] に設定します。
発信トラフィックを許可する AC ポリシーの作成：

ポリシー「Permit_outgoing_VPN_traffic_to_973」は、ピア「FTD_BGL_973」への発信トラフィックを許可するために「FTD_BGL_972」デバイスで作成されます。
- 送信元ネットワーク：ネットワークトラフィックの発信元であるピアデバイスの保護されたネットワークを設定します。この例では、トラフィックはピアデバイス（FTD_BGL_972）の背後にある保護されたネットワークである「boulder-network」から発信されています。
- 宛先ゾーン：ネットワークトラフィックが到着するピアデバイスのゾーンを設定します。この例では、トラフィックは FTD_BGL_972 から着信し、FTD_BGL_973 に到達しています。
- 宛先ネットワーク：ネットワークトラフィックが到着するピアの保護されたネットワークを設定します。この例では、トラフィックはピアデバイス（FTD_BGL_972）の背後にある保護されたネットワークである「sanjose-network」に到着しています。注：残りのフィールドは、デフォルト値（「Any」）にできます。
- ポリシーで侵入およびその他のインスペクション設定の対象となるトラフィックを許可するには、[アクション（Action）] を [許可（Allow）] に設定します。

1 つのデバイスで AC ポリシーを作成したら、そのデバイスのピアで同様のポリシーを作成する必要があります。

ステップ 2

いずれかのピアデバイスで NAT が設定されている場合は、NAT 免除ルールを手動で設定する必要があります。「NAT からのサイト間 VPN トラフィックの除外」を参照してください。

ステップ 3

各ピアでリターン VPN トラフィックを受信するためのルーティングを設定します。詳細については、「ルーティングの設定」を参照してください。

[ゲートウェイ（Gateway）]：宛先ネットワークへのゲートウェイの IP アドレスを識別するネットワークオブジェクトを選択します。トラフィックはこのアドレスに送信されます。
[インターフェイス（Interface）]：トラフィックの送信経路となるインターフェイスを選択します。この例では、トラフィックは「外部」インターフェースを介して送信されます。
[宛先ネットワーク（Destination Networks）]：宛先ネットワークを識別する 1 つまたは複数のネットワークオブジェクトを選択します。この例では、宛先はピア（FTD_BGL_973）の背後にある「sanjose-network」です。

1 つのデバイスでルーティングの設定をしたら、そのデバイスのピアで同様の設定をする必要があります。

既存の Security Cloud Control サイト間 VPN の編集

高度な設定ウィザードは、デフォルトで既存のサイト間 VPN 設定を変更するために使用します。

手順

ステップ 1

左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] を選択します。

ステップ 2

編集するサイト間 VPN トンネルを選択します。

ステップ 3

[アクション（Actions）] ペインで、[編集（Edit）] をクリックします。

（注）

または、次を実行して設定を編集することもできます。

VPN ページを開き、[フィルタ（filter）] パネルの [グローバルビュー（Global View）] ボタンをクリックします。（詳細については、「グローバルビュー」を参照してください）。

すべてのデバイスで使用可能なすべてのサイト間 VPN トンネルの図が表示されます。

設定を編集するには、ピアの 1 つが FDM による管理デバイスである必要があります。
ボックスをクリックしてデバイスを選択します。
ピアを表示するには、[詳細の表示（View Details）] をクリックします。
ピアのデバイスをクリックして、トンネルの詳細を表示します。

トンネルの詳細、NAT 情報、およびデバイスに関するキー交換情報を表示できます。
[トンネルの詳細（Tunnel Details）] で [編集（Edit）] をクリックします。

ステップ 4

[ピアデバイス（Peer Devices）] セクションでは、次のデバイス設定を変更できます：設定名、VPN アクセスインターフェイス、および保護されたネットワーク。

（注）

参加デバイスを変更することはできません。

ステップ 5

[IKE 設定（IKE Settings）] セクションでは、次の IKEv2 ポリシー設定を変更できます。

それぞれのデバイスの青いプラスボタンをクリックし、新しい IKEv2 ポリシーを選択します。既存の IKEv2 ポリシーを削除するには、選択したポリシーにカーソルを合わせ、[x] アイコンをクリックします。
参加デバイスの事前共有キーを変更します。エンドポイントデバイスの事前共有キーが異なる場合は、青い設定ボタンをクリックして、デバイスの適切な事前共有キーを入力します。
[次へ（Next）] をクリックします。

ステップ 6

[IPSec設定（IPSec Settings）] セクションでは、次の IPSec 設定を変更できます。

青いプラスボタンをクリックして、新しい IKEv2 プロポーザルを選択します。既存の IKEv2 プロポーザルを削除するには、選択したプロポーザルにカーソルを合わせ、[x] アイコンをクリックします。
[Perfect Forward Secrecy対応のDiffie-Hellmanグループ（Diffie-Hellman Group for Perfect Forward Secrecy）] を選択します。
[VPN の編集（Edit VPN）] をクリックし、[完了（Finish）] をクリックします。

ポイントツーポイントの VPN が変更され、行ったすべての変更が反映されます。

Security Cloud Control サイト間 VPN トンネルの削除

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして [VPN] ページを開きます。
ステップ 2	削除するサイト間 VPN トンネルを選択します。
ステップ 3	右側の [アクション（Actions）] ペインで、[削除（Delete）] をクリックします。

選択したサイト間 VPN トンネルが削除されます。

NAT からのサイト間 VPN トラフィックの除外

インターフェイスでサイト間 VPN 接続が定義されていて、かつそのインターフェイス向けの NAT ルールを指定している場合、NAT ルールから VPN 上のトラフィックを任意で除外できます。この操作は、VPN 接続のリモートエンドが内部アドレスを処理できる場合に行うと便利です。

VPN 接続を作成するときに、[NATを除外（NAT Exempt）] オプションを選択すると、ルールが自動的に作成されます。ただし、これはローカルで保護されたネットワークが単一のルーテッドインターフェイス（ブリッジグループメンバーではない）を介して接続されている場合のみ動作します。その代わりに、接続内のローカルネットワークが複数のルーテッドインターフェイス、または 1 つ以上のブリッジグループメンバーの背後に存在する場合、NAT 免除ルールを手動で設定する必要があります。

NAT ルールから VPN トラフィックを除外するには、宛先がリモートネットワークのときにローカルトラフィックの手動アイデンティティ NAT ルールを作成します。次に、任意の宛先（インターネットなど）のトラフィックに NAT を適用します。ローカルネットワークに複数のインターフェイスがある場合、各インターフェイスにルールを作成します。次の点も考慮してください。

接続内に複数のローカルネットワークがある場合、ネットワークを定義するオブジェクトを保持するネットワークオブジェクトグループを作成します。
VPN に IPv4 ネットワークと IPv6 ネットワークの両方を含める場合、それぞれに個別のアイデンティティ NAT ルールを作成します。

次の例では、ボールダーとサンノゼのオフィスを接続するサイトツーサイトトンネルを示します。インターネットに渡すトラフィックについて（たとえばボールダーの 10.1.1.6 から www.example.com へ）、インターネットへのアクセスのために NAT によって提供されるパブリック IP アドレスが必要です。次の例では、インターフェイスポートアドレス変換（PAT）ルールを使用しています。ただし、VPN トンネルを経由するトラフィックについては（たとえば、ボールダーの 10.1.1.6 からサンノゼの 10.2.2.78 へ）、NAT を実行しません。そのため、アイデンティティ NAT ルールを作成して、そのトラフィックを除外する必要があります。アイデンティティ NAT は同じアドレスにアドレスを変換します。

次の例は、Firewall1（ボールダー）の設定を示します。例では、内部インターフェイスがブリッジグループであると仮定するため、各メンバーインターフェイスにルールを記述する必要があります。ルーティングされた内部インターフェイスが 1 つある場合も複数ある場合も、プロセスは同じです。

（注）

この例では、IPv4 のみと仮定します。VPN に IPv6 ネットワークも含まれる場合、IPv6 にはパラレルルールを作成します。IPv6 インターフェイス PAT は実装できないため、PAT を使用するには固有の IPv6 アドレスを持つホストオブジェクトを作成する必要があることに注意してください。

手順

ステップ 1	さまざまなネットワークを定義するには、オブジェクトを作成します。左側のペインで [オブジェクト（Objects）] をクリックします。青色のプラスボタンをクリックして、オブジェクトを作成します。 [FTD] > [ネットワーク（Network）] をクリックします。ネットワーク内でボールダーを特定します。オブジェクト名を入力します（例：boulder-network）。 [ネットワークオブジェクトの作成（Create a network object）] を選択します。 [値（Value）] セクションで、次の手順を実行します。 [eq] を選択して、単一の IP アドレスまたは CIDR 表記で表されるサブネットアドレスを入力します。 [範囲（range）] を選択し、IP アドレスの範囲を入力します。たとえば、ネットワークアドレスを 10.1.1.0/24 と入力します。 [追加（Add）] をクリックします。青色のプラスボタンをクリックして、オブジェクトを作成します。サンノゼの内部ネットワークを定義します。オブジェクト名を入力します（例：san-jose）。 [ネットワークオブジェクトの作成（Create a network object）] を選択します。 [値（Value）] セクションで、次の手順を実行します。 [eq] を選択して、単一の IP アドレスまたは CIDR 表記で表されるサブネットアドレスを入力します。 [範囲（range）] を選択し、IP アドレスの範囲を入力します。たとえば、ネットワークアドレスを 10.1.1.0/24 と入力します。 [追加（Add）] をクリックします。
ステップ 2	Firewall1（ボールダー）上で VPN 経由でサンノゼに向かう場合、ボールダーネットワークの手動アイデンティティ NAT を設定します。左側のペインで [セキュリティデバイス（Security Devices）] > [すべてのデバイス（All Devices）] の順にクリックします。フィルタを使用して、NAT ルールを作成するデバイスを見つけます。詳細パネルの [管理（Management）] 領域で、[NAT] をクリックします。 > [Twice NAT] をクリックします。セクション 1 で、[静的（Static）] を選択します。 [続行（Continue）] をクリックします。セクション 2 で、[送信元インターフェイス（Source Interface）] = [内部（inside）] および [宛先インターフェイス（Destination Interface）] = [外部（outside）] を選択します。[続行（Continue）] をクリックします。セクション 3 で、[送信元の元のアドレス（Source Original Address）] = 'boulder-network' および [送信元の変換後アドレス（Source Translated Address）] = 'boulder-network' を選択します。 [宛先を使用（Use Destination）] を選択します。 [宛先の元のアドレス（Destination Original Address）] = 'sanjose-network' および [送信元の変換後アドレス（Source Translated Address）] = 'sanjose-network' を選択します。注：宛先アドレスは変換しないため、元の宛先アドレスと変換された宛先アドレスに同じアドレスを指定することによって、アイデンティティ NAT を設定する必要があります。[ポート（Port）] フィールドはすべて空白のままにします。このルールは、送信元と宛先の両方のアイデンティティ NAT を設定します。 [着信パケットのプロキシ ARP の無効化（Disable proxy ARP for incoming packets）] を選択します。 [保存（Save）] をクリックします。他の内部インターフェイスごとに、同等のルールを作成するプロセスを繰り返します。
ステップ 3	Firewall1（ボールダー）上でボールダーの内部ネットワークのインターネットに入る場合、手動ダイナミックインターフェイス PAT を設定します。注：IPv4 トラフィックを対象とする内部インターフェイス用ダイナミックインターフェイス PAT ルールは、初期設定時にデフォルトで作成されるので、既に存在する可能性があります。ただし、この設定は説明を完結させるために示しています。この手順を完了する前に、内部インターフェイスとネットワークをカバーするルールがすでに存在していることを確認して、存在している場合はこの手順をスキップしてください。 > [Twice NAT] をクリックします。セクション 1 で、[ダイナミック（Dynamic）] を選択します。 [続行（Continue）] をクリックします。セクション 2 で、[送信元インターフェイス（Source Interface）] = [内部（inside）] および [宛先インターフェイス（Destination Interface）] = [外部（outside）] を選択します。[続行（Continue）] をクリックします。セクション 3 で、[送信元の元のアドレス（Source Original Address）] = 'boulder-network' および [送信元の変換後アドレス（Source Translated Address）] = 'インターフェイス（interface）' を選択します。 [保存（Save）] をクリックします。他の内部インターフェイスごとに、同等のルールを作成するプロセスを繰り返します。
ステップ 4	設定変更を Security Cloud Control に展開します。詳細については、「Cisco Security Cloud Control から FTD への設定変更の展開」を参照してください。
ステップ 5	Firewall2（サンノゼ）の管理を行っている場合、そのデバイスに同様のルールを設定できます。手動アイデンティティ NAT ルールは、宛先が boulder-network の場合は sanjose-network 向けになります。Firewall2 の内部および外部ネットワーク向けに新しいインターフェイスオブジェクトを作成します。手動ダイナミックインターフェイス PAT ルールは、宛先が「任意」の場合は sanjose-network 向けになります。

グローバル IKE ポリシーについて

Internet Key Exchange（IKE、インターネットキーエクスチェンジ）は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association（SA、セキュリティアソシエーション）の自動的な確立に使用されるキー管理プロトコルです。

IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティアソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKE プロポーザルは、2 つのピア間のネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通（共有）IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティパラメータを示します。

IKE ポリシーオブジェクトはこれらのネゴシエーションに対して IKE プロポーザルを定義します。有効にするオブジェクトは、ピアが VPN 接続をネゴシエートするときに使用するものであり、接続ごとに異なる IKE ポリシーを指定することはできません。各オブジェクトの相対的な優先順位は、これらの中でどのポリシーを最初に試行するかを決定します。数が小さいほど、優先順位が高くなります。ネゴシエーションで両方のピアがサポートできるポリシーを見つけられなければ、接続は確立されません。

IKE グローバルポリシーを定義するには、各 IKE バージョンを有効にするオブジェクトを選択します。事前定義されたオブジェクトが要件を満たさない場合、セキュリティポリシーを適用する新しいポリシーを作成します。

次に、オブジェクトページでグローバルポリシーを設定する方法について説明します。VPN 接続を編集しているときに IKE ポリシー設定の [編集（Edit）] をクリックすることで、ポリシーの有効化、無効化および作成が行えます。

次に、各バージョンの IKE ポリシーの設定方法を説明します。

IKEv1 ポリシーの設定
IKEv2 ポリシーの設定

IKEv1 ポリシーの管理

IKEv1 ポリシーについて

インターネットキーエクスチェンジ（IKE）バージョン 1 ポリシーオブジェクトには、VPN 接続を定義する際に必要な IKEv1 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティアソシエーション（SA）の自動確立に使用されます。

複数の事前定義された IKEv1 ポリシーが存在します。必要に適したポリシーがあれば、[状態（State）] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

IKEv1 ポリシーの作成

インターネットキーエクスチェンジ（IKE）バージョン 1 ポリシーオブジェクトには、VPN 接続を定義する際に必要な IKEv1 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティアソシエーション（SA）の自動確立に使用されます。

複数の事前定義された IKEv1 ポリシーが存在します。必要に適したポリシーがあれば、[状態（State）] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト（Objects）] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続での IKE 設定の編集時に、オブジェクトリストに表示される [新しいIKEv1 ポリシーの作成（Create New IKEv1 Policy）] リンクをクリックして、IKEv1 ポリシーを作成することもできます。

手順

ステップ 1	左側のペインで [オブジェクト（Objects）] をクリックします。
ステップ 2	次のいずれかの操作を実行します。青色のプラスボタンをクリックし、[FDM] > [IKEv1 ポリシー（IKEv1 Policy）] を選択して、新しい IKEv1 ポリシーを作成します。オブジェクトのページで、編集する IKEv1 ポリシーを選択し、右側の [操作（Actions）] ウィンドウで [編集（Edit）] をクリックします。
ステップ 3	[オブジェクト名（Object Name）] を 128 文字以内で入力します。
ステップ 4	IKEv1 プロパティを設定します。 [優先順位（Priority）]：IKE ポリシーの相対的優先順位（1 ～ 65,535）。このプライオリティによって、共通のセキュリティアソシエーション（SA）の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。 [暗号化（Encryption）] ：フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティアソシエーション（SA）の確立に使用される暗号化アルゴリズム。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。 [Diffie-Hellmanグループ（Diffie-Hellman Group）] ：2 つの IPsec ピア間の共有秘密を互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。オプションの説明については、「使用する Diffie-Hellman 係数グループの決定」を参照してください。 [ライフタイム（Lifetime）]：セキュリティアソシエーション（SA）のライフタイム（120 ～ 2147483647 までの秒数、または空白）。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティアソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません（フィールドを空白のままにします）。 [認証（Authentication）] ：2 つのピア間で使用される認証方式。詳細については、「使用する認証方式の決定」を参照してください。 [事前共有キー（Preshared Key）]：各デバイスで定義されている事前共有キーを使用します。事前共有キーを使用すると、秘密鍵を 2 つのピア間で共有し、認証フェーズ中に IKE で使用できます。ピアに同じ事前共有キーが設定されていない場合は、IKE SA を確立できません。 [証明書（Certificate）]：ピアのデバイス ID 証明書を使用して相互に識別します。認証局に各ピアを登録することによって、これらの証明書を取得する必要があります。また、各ピアでアイデンティティ証明書の署名に使用された、信頼できる CA ルート証明書および中間 CA 証明書もアップロードする必要があります。ピアは、同じ CA または別の CA に登録できます。どちらのピアにも自己署名証明書を使用することはできません。 [ハッシュ（Hash）] ：メッセージの整合性の確保に使用されるメッセージダイジェストを作成するためのハッシュアルゴリズム。オプションの説明については、「使用するハッシュアルゴリズムの決定」を参照してください。
ステップ 5	[追加（Add）] をクリックします。

IKEv2 ポリシーの管理

IKEv2 ポリシーについて

インターネットキーエクスチェンジ（IKE）バージョン 2 ポリシーオブジェクトには、VPN 接続を定義する際に必要な IKEv2 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティアソシエーション（SA）の自動確立に使用されます。

複数の事前定義された IKEv2 ポリシーがあります。必要に適したポリシーがあれば、[状態（State）] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

IKEv2 ポリシーの作成

インターネットキーエクスチェンジ（IKE）バージョン 2 ポリシーオブジェクトには、VPN 接続を定義する際に必要な IKEv2 ポリシーが含まれています。IKE は、IPsec ベースの通信の管理を簡易化するキー管理プロトコルです。IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec セキュリティアソシエーション（SA）の自動確立に使用されます。

複数の事前定義された IKEv2 ポリシーがあります。必要に適したポリシーがあれば、[状態（State）] トグルをクリックして有効にします。セキュリティ設定の他の組み合わせを実装する新しいポリシーも作成できます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト（Objects）] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続での IKE 設定の編集時に、オブジェクトリストに表示される [新しいIKEv2ポリシーの作成（Create New IKEv2 Policy）] リンクをクリックして、IKEv2 ポリシーを作成することもできます。

手順

ステップ 1	左側のペインで [オブジェクト（Objects）] をクリックします。
ステップ 2	次のいずれかの操作を実行します。青色のプラスボタンをクリックし、[FDM] > [IKEv2ポリシー（IKEv2 Policy）] を選択して、新しい IKEv2 ポリシーを作成します。オブジェクトページで、編集する IKEv2 ポリシーを選択し、右側の [アクション（Actions）] ペインで [編集（Edit）] をクリックします。
ステップ 3	[オブジェクト名（Object Name）] を 128 文字以内で入力します。
ステップ 4	IKEv2 プロパティを設定します。 [優先順位（Priority）]：IKE ポリシーの相対的優先順位（1 ～ 65,535）。このプライオリティによって、共通のセキュリティアソシエーション（SA）の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。リモート IPsec ピアが、最も高いプライオリティポリシーで選択されているパラメータをサポートしていない場合、次に低いプライオリティで定義されているパラメータの使用を試行します。値が小さいほど、プライオリティが高くなります。 [状態（State）]：IKE ポリシーが有効か無効かを示します。トグルをクリックして状態を変更します。IKE ネゴシエーション中には、有効なポリシーのみが使用されます。 [暗号化（Encryption）] ：フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 セキュリティアソシエーション（SA）の確立に使用される暗号化アルゴリズム。有効にするすべてのアルゴリズムを選択します。ただし、同じポリシーに混合モード（AES-GCM）と通常モードのオプションを含めることはできません（通常モードでは整合性ハッシュを選択する必要がありますが、混合モードでは個別の整合性ハッシュの選択は禁止されています）。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。 [Diffie-Hellmanグループ（Diffie-Hellman Group）] ：2 つの IPsec ピア間の共有秘密を互いに送信することなく取得するために使用する Diffie-Hellman グループ。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。許可するすべてのアルゴリズムを選択します。システムは、最も強いグループから始めて最も弱いグループに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用する Diffie-Hellman 係数グループの決定」を参照してください。 [整合性ハッシュ（Integrity Hash）] ：メッセージの整合性の確保に使用されるメッセージダイジェストを作成するためのハッシュアルゴリズムの整合性部分。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。整合性ハッシュは、AES-GCM 暗号化オプションでは使用されません。オプションの説明については、「使用するハッシュアルゴリズムの決定」を参照してください。 [擬似ランダム関数（PRF）ハッシュ（Pseudo-Random Function (PRF) Hash）]：ハッシュアルゴリズムの疑似ランダム関数（PRF）部分。このアルゴリズムは IKEv2 トンネル暗号化に必要なキー関連情報とハッシュ操作を取得するために使用されます。IKEv1 では、整合性と PRF アルゴリズムは別ですが、IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用するハッシュアルゴリズムの決定」を参照してください。 [ライフタイム（Lifetime）]：セキュリティアソシエーション（SA）のライフタイム（120 ～ 2147483647 までの秒数、または空白）。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティアソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。デフォルトは 86400 です。無期限のライフタイムを指定するには、値を入力しません（フィールドを空白のままにします）。
ステップ 5	[追加（Add）] をクリックします。

IPsec プロポーザルについて

IPsec は、VPN を設定する場合の最も安全な方法の 1 つです。IPsec では、IP パケットレベルでのデータ暗号化が提供され、標準規格に準拠した堅牢なセキュリティソリューションが提供されます。IPsec では、データはトンネルを介してパブリックネットワーク経由で送信されます。トンネルとは、2 つのピア間のセキュアで論理的な通信パスです。IPsec トンネルを通過するトラフィックは、トランスフォームセットと呼ばれるセキュリティプロトコルとアルゴリズムの組み合わせによって保護されます。IPsec Security Association（SA：セキュリティアソシエーション）のネゴシエーション中に、ピアでは、両方のピアに共通するトランスフォームセットが検索されます。

IKE バージョン（IKEv1 または IKEv2）に基づいて、別個の IPsec プロポーザルオブジェクトがあります。

IKEv1 IPsec プロポーザルを作成する場合、IPSec が動作するモードを選択し、必要な暗号化タイプおよび認証タイプを定義します。アルゴリズムには単一のオプションを選択できます。VPN で複数の組み合わせをサポートするには、複数の IKEv1 IPsec プロポーザルオブジェクトを作成して選択します。
IKEv2 IPsec プロポーザルを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュアルゴリズムを選択できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、マッチが見つかるまでピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

カプセル化セキュリティプロトコル（ESP）は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。これは認証、暗号化、およびアンチリプレイサービスを提供します。ESP は、IP プロトコルタイプ 50 です。

（注）

IPsec トンネルで暗号化と認証の両方を使用することを推奨します。

次に、各 IKE バージョンの IPsec プロポーザルの設定方法を説明します。

IKEv1 IPSec プロポーザルオブジェクトの作成および編集
IKEv2 IPSec プロポーザルオブジェクトの作成および編集

IPsec プロポーザルオブジェクトの管理

IPsec プロポーザルオブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティプロトコルとアルゴリズムの組み合わせを定義します。IKEv1 と IKEv2 に対して、異なるオブジェクトがあります。現在、Security Cloud Control は IKEv1 IPsec プロポーザルオブジェクトをサポートしています。

カプセル化セキュリティプロトコル（ESP）は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。このプロトコルにより、認証、暗号化、およびアンチリプレイサービスが実現します。ESP は、IP プロトコルタイプ 50 です。

（注）

IPsec トンネルで暗号化と認証の両方を使用することを推奨します。

IKEv1 IPsec プロポーザルオブジェクトの作成

IPsec プロポーザルオブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティプロトコルとアルゴリズムの組み合わせを定義します。IKEv1 と IKEv2 に対して、異なるオブジェクトがあります。現在、Security Cloud Control は IKEv1 IPsec プロポーザルオブジェクトをサポートしています。

カプセル化セキュリティプロトコル（ESP）は、IKEv1 と IKEv2 IPsec プロポーザルの両方に使用されます。このプロトコルにより、認証、暗号化、およびアンチリプレイサービスが実現します。ESP は、IP プロトコルタイプ 50 です。

（注）

IPsec トンネルで暗号化と認証の両方を使用することを推奨します。

定義済みの複数の IKEv1 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト（Objects）] ページから直接オブジェクトを作成および編集する方法について説明します。サイト間 VPN 接続の IKEv1 IPSec 設定を編集している間に、オブジェクトリストに表示される [新規IKEv1プロポーザルの作成（Create New IKEv1 Proposal）] リンクをクリックして、IKEv1 IPSec プロポーザルオブジェクトを作成することもできます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	次のいずれかの操作を実行します。青色のプラスボタンをクリックし、[FTD] > [IKEv1 IPSecプロポーザル（IKEv1 IPsec Proposal）] を選択して新しいオブジェクトを作成します。オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [アクション（Actions）] ペインで [編集（Edit）] をクリックします。
ステップ 3	新しいオブジェクトのオブジェクト名を入力します。
ステップ 4	IKEv1 IPSec プロポーザルオブジェクトが動作するモードを選択します。トンネルモードでは IP パケット全体がカプセル化されます。IPSec ヘッダーが、元の IP ヘッダーと新しい IP ヘッダーとの間に追加されます。これがデフォルトです。トンネルモードは、ファイアウォールの背後にあるホストとの間で送受信されるトラフィックをファイアウォールが保護する場合に使用します。トンネルモードは、インターネットなどの非信頼ネットワークを介して接続されている 2 つのファイアウォール（またはその他のセキュリティゲートウェイ）間で通常の IPSec が実装される標準の方法です。トランスポートモードでは IP パケットの上位層プロトコルだけがカプセル化されます。IPSec ヘッダーは、IP ヘッダーと上位層プロトコルヘッダー（TCP など）との間に挿入されます。トランスポートモードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポートモードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。一般的に、トランスポートモードは、レイヤ 2 またはレイヤ 3 のトンネリングプロトコル（GRE、L2TP、DLSW など）を保護する場合にだけ使用されます。
ステップ 5	このプロポーザルの [ESP暗号化（ESP Encryption）]（カプセル化セキュリティプロトコル暗号化）アルゴリズムを選択します。詳細については、「使用する暗号化アルゴリズムの決定」を参照してください。
ステップ 6	認証に使用する [ESPハッシュ（ESP Hash）] または整合性アルゴリズムを選択します。詳細については、「使用するハッシュアルゴリズムの決定」を参照してください。
ステップ 7	[追加（Add）] をクリックします。

IKEv2 IPsec プロポーザルオブジェクトの管理

IPsec プロポーザルオブジェクトは、IKE フェーズ 2 ネゴシエーション時に使用される IPsec プロポーザルを設定します。IPsec プロポーザルでは、IPsec トンネル内のトラフィックを保護するためのセキュリティプロトコルとアルゴリズムの組み合わせを定義します。

IKEv2 IPsec プロポーザルを作成する際に、VPN で許可するすべての暗号化アルゴリズムとハッシュアルゴリズムを選択できます。システムは、設定をセキュア度が最も高いものから最も低いものに並べ替え、マッチが見つかるまでピアとのネゴシエーションを行います。これによって、IKEv1 と同様に、許可される各組み合わせを個別に送信することなく、許可されるすべての組み合わせを伝送するために単一のプロポーザルを送信できます。

IKEv2 IPSec プロポーザルオブジェクトの作成または編集

定義済みの複数の IKEv2 IPsec プロポーザルがあります。その他のセキュリティ設定の組み合わせを実装する新しいプロポーザルを作成することもできます。システム定義オブジェクトは、編集または削除できません。

次の手順では、[オブジェクト（Objects）] ページから直接オブジェクトを作成および編集する方法について説明します。VPN 接続の IKEv2 IPsec 設定を編集している間に、オブジェクトリストに表示される [新規IPsecプロポーザルの作成（Create New IPsec Proposal）] リンクをクリックして、IKEv2 IPsec プロポーザルオブジェクトを作成することもできます。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	次のいずれかの操作を実行します。青色のプラスボタンをクリックし、[FTD] > [IKEv2 IPsecプロポーザル（IKEv2 IPsec Proposal）] を選択して新しいオブジェクトを作成します。オブジェクトページで、編集する IPSec プロポーザルを選択し、右側の [アクション（Actions）] ペインで [編集（Edit）] をクリックします。
ステップ 3	新しいオブジェクトのオブジェクト名を入力します。
ステップ 4	IKEv2 IPsec プロポーザルオブジェクトの設定： [暗号化（Encryption）]：このプロポーザルのカプセル化セキュリティプロトコル（ESP）暗号化アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用する暗号化アルゴリズムの決定」を参照してください。 [整合性ハッシュ（Integrity Hash）]：認証に使用するハッシュまたは整合性アルゴリズム。許可するすべてのアルゴリズムを選択します。システムは、最も強いアルゴリズムから始めて最も弱いアルゴリズムに至るまで、適合するものが確認できるまでピアとネゴシエートします。オプションの説明については、「使用するハッシュアルゴリズムの決定」を参照してください。
ステップ 5	[追加（Add）] をクリックします。

FDM による管理デバイスサイト間仮想プライベートネットワークのモニタリング

Security Cloud Control を使用すると、オンボード FDM による管理デバイスで既存または新たに作成されたサイト間 VPN 設定を監視、変更、および削除できます。

サイト間 VPN トンネルの接続の確認

[接続の確認（Check Connectivity） ] ボタンを使用して、トンネルに対するリアルタイムの接続確認をトリガーし、トンネルの現在の状態（アクティブまたはアイドル）を確認します。サイト間 VPN トンネルを検索してフィルタ処理する[オンデマンド接続確認（on-demand connectivity check）] ボタンをクリックしていない場合、オンボーディングされているすべてのデバイスで利用可能なすべてトンネルに対する確認が 1 時間に一度実行されます。

（注）

Security Cloud Control は、トンネルがアクティブかアイドルかを判断するために、FTD で次の接続確認コマンドを実行します。
```
show vpn-sessiondb l2l sort ipaddress
```
ASA モデルデバイストンネルは常に [アイドル（Idle）] と表示されます。

[VPN] ページからトンネル接続を確認するには、次の手順を実行します。

手順

ステップ 1	左側のペインで、 [VPN] > [Cisco ASA/FDMサイト間VPN（ASA/FDM Site-to-Site VPN）] の順にクリックします。[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）]
ステップ 2	サイト間 VPN トンネルのトンネルのリストを検索およびフィルタリングして、選択します。
ステップ 3	右側の [アクション（Actions）] ペインで、[接続の確認（Check Connectivity）] をクリックします。

[サイト間VPN（Site-to-Site VPN）] ダッシュボード

Security Cloud Control では、テナントで作成されたサイト間 VPN 接続に関する統合情報が表示されます。

左側のペインで、 [セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] の順にクリックします。[サイト間VPN（Site-to-Site VPN）] には、次のウィジェットの情報が表示されます。

[セッションとインサイト（Sessions & Insights）]：アクティブな VPN トンネルとアイドル状態の VPN トンネルをそれぞれ適切な色で表す棒グラフが表示されます。
[問題（Issues）]：問題が検出されたトンネルの合計数が表示されます。
[保留中の展開（Pending Deploy）]：展開が保留中のトンネルの合計数が表示されます。

円グラフの値またはウィジェット内のリンクをクリックすると、選択した値に基づき、フィルタを含むサイト間 VPN のリストページが表示されます。たとえば、[VPNトンネルステータス（VPN Tunnel Status）] ウィジェットで [アクティブなVPNトンネル（Active VPN Tunnels）] をクリックすると、[アクティブ（Active）] ステータスフィルタが適用されたサイト間 VPN のリストページが表示され、アクティブトンネルのみが表示されます。

VPN の問題の特定

Security Cloud Control は、FTD の VPN の問題を特定できます（この機能は、AWS VPC サイト間 VPN トンネルではまだ利用できません）。この記事では次のことを説明します。

ピアが欠落している VPN トンネルを見つける
暗号化キーの問題がある VPN ピアを見つける
トンネルに対して定義された不完全な、または誤った構成のアクセスリストを見つける
トンネル構成の問題を見つける

トンネル設定の問題の解決

ピアが欠落している VPN トンネルを見つける

「Missing IP Peer」状態は、FDM による管理デバイスよりも Cisco ASA デバイスで発生する可能性が高くなります。

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして VPN ページを開きます。
ステップ 2	[テーブルビュー（Table View）] を選択します。
ステップ 3	フィルタアイコンをクリックして、フィルタパネルを開きます。
ステップ 4	検出された問題を確認します。
ステップ 5	問題を報告している各デバイスを選択し、右側の [ピア（Peers）] ペインを確認します。1 つのピア名がリストされます。Security Cloud Control は、他のピア名を「Missing peer IP」として報告します。

暗号化キーの問題がある VPN ピアを見つける

このアプローチを使用して、以下のような暗号化キーの問題がある VPN ピアを見つけます。

IKEv1 または IKEv2 キーが無効、欠落しているか、一致しない
トンネルが古くなっているか、暗号化レベルが低い

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして VPN ページを開きます。
ステップ 2	[テーブルビュー（Table View）] を選択します。
ステップ 3	フィルタアイコンをクリックして、フィルタパネルを開きます。
ステップ 4	問題を報告している各デバイスを選択し、右側の [ピア（Peers）] ペインを確認します。ピア情報には、両方のピアが表示されます。
ステップ 5	いずれかのデバイスの [ピアの表示（View Peers）] をクリックします。
ステップ 6	ダイアグラムビューで、問題を報告しているデバイスをダブルクリックします。
ステップ 7	下部の [トンネルの詳細（Tunnel Details）] パネルで [Key Exchange（キー交換）] をクリックします。両方のデバイスを表示して、そこでキーの問題を診断できます。

トンネルに対して定義された不完全な、または誤った設定のアクセスリストを見つける

「アクセスリストが不完全または正しく設定されていない」状態は、ASA デバイスでのみ発生する可能性があります。

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして VPN ページを開きます。
ステップ 2	[テーブルビュー（Table View）] を選択します。
ステップ 3	フィルタアイコンをクリックして、フィルタパネルを開きます。
ステップ 4	問題を報告している各デバイスを選択し、右側の [ピア（Peers）] ペインを確認します。ピア情報には、両方のピアが表示されています。
ステップ 5	いずれかのデバイスの [ピアの表示（View Peers）] をクリックします。
ステップ 6	ダイアグラムビューで、問題を報告しているデバイスをダブルクリックします。
ステップ 7	下部の [トンネルの詳細（Tunnel Details）] パネルで [トンネルの詳細（Tunnel Details）] をクリックします。「ネットワークポリシー：不完全（Network Policy: Incomplete）」というメッセージが表示されます。

トンネル設定の問題を見つける

トンネル設定のエラーは、次のシナリオで発生する可能性があります。

サイト間 VPN インターフェイスの IP アドレスが変更れたときの、「ピア IP アドレス値が変更されました（Peer IP Address Value has changed）」。
VPN トンネルの IKE 値が他の VPN トンネルと一致しない場合、「IKE 値が一致しません（IKE value Mismatch）」というメッセージが表示されます。

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして VPN ページを開きます。
ステップ 2	[テーブルビュー（Table View）] を選択します。
ステップ 3	フィルタアイコンをクリックして、フィルタパネルを開きます。
ステップ 4	[トンネルの問題（Tunnel Issues）] で、[検出された問題（Detected Issues）] をクリックして、エラーを報告している VPN 設定を表示します。問題を報告している（）設定を表示できます。
ステップ 5	問題を報告している VPN 設定を選択します。
ステップ 6	右側の [ピア（Peers）] ペインに、問題のあるピアにアイコンが表示されます。アイコンにカーソルを合わせると、問題と解決策が表示されます。次のステップ：トンネル設定の問題の解決。

トンネル設定の問題の解決

この手順では、次のトンネル設定の問題を解決を試みます。

サイト間 VPN インターフェイスの IP アドレスが変更れたときの、「ピア IP アドレス値が変更されました（Peer IP Address Value has changed）」。
VPN トンネルの IKE 値が他の VPN トンネルと一致しない場合、「IKE 値が一致しません（IKE value Mismatch）」というメッセージが表示されます。

詳細については、「トンネル設定の問題を見つける」を参照してください。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックし、問題を報告している VPN 設定に関連付けられているデバイスを選択します。
ステップ 4	デバイスの変更を受け入れます。
ステップ 5	左側のペインで、[VPN] > [ASA/FDMサイト間VPN（ASA/FDM Site-to-Site VPN）] をクリックして VPN ページを開きます。
ステップ 6	この問題を報告している VPN 設定を選択します。
ステップ 7	[アクション（Actions）] ペインで、[編集（Edit）] アイコンをクリックします。
ステップ 8	各手順で [次へ（Next）] をクリックして、最後に手順 4 で [完了（Fnish）] ボタンをクリックします。
ステップ 9	すべてのデバイスの設定変更のプレビューと展開。

サイト間 VPN トンネルを検索してフィルタ処理する

フィルタサイドバーを検索フィールドと組み合わせて使用して、VPN トンネル図に示されている VPN トンネルの検索を絞り込みます。

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして VPN ページを開きます。
ステップ 2	フィルタアイコンをクリックしてフィルタペインを開きます。
ステップ 3	これらのフィルタを使用して検索を絞り込みます。 [デバイスによるフィルタ（Filter by Device）] - [デバイスによるフィルタ（Filter by Device）] をクリックし、[デバイスタイプ（Device Type）] タブを選択し、フィルタ処理で検索するデバイスをチェックします。 [トンネルの問題（Tunnel Issues）] - トンネルの各サイドで問題が検出されたかどうかでフィルタ処理します。問題のあるデバイスの例には、関連するインターフェイス、ピア IP アドレス、アクセスリストが欠落している、IKEv1 プロポーザルが一致しないなどがありますが、これらに限定されません（トンネルの問題の検出は、AWS VPC VPN トンネルではまだ使用できません）。 [デバイス/サービス（Devices/Services）] - デバイスのタイプでフィルタ処理します。 [ステータス（Status）] – トンネルのステータスには、アクティブとアイドルがあります。 [アクティブ（Active）] - セッションが開かれ、ネットワークパケットが VPN トンネルを通過している、または正常なセッションが確立され、タイムアウトになっていない場合。アクティブのステータスは、トンネルが有効で関連していることを示します。 [アイドル（Idle）] - Security Cloud Control はこのトンネルのオープンセッションを検出できません。トンネルが使用されていないか、このトンネルに問題がある可能性があります。 [オンボーディング済み（Onboarded）] - デバイスは、Security Cloud Control によって管理される場合と、Security Cloud Control によって管理されない場合（管理対象外）があります。 [管理対象（Managed）] - Security Cloud Control が管理するデバイスでフィルタ処理します。 [管理対象外（Unmanaged）] - Security Cloud Control が管理しないデバイスでフィルタ処理します。 [デバイスタイプ（Device Types）] - トンネルの各サイドがライブデバイス（接続されたデバイス）かモデルデバイスかでフィルタ処理します。
ステップ 4	検索バーにデバイス名または IP アドレスを入力して、フィルタ処理された結果を検索することもできます。検索では大文字と小文字は区別されません。

管理対象外サイト間 VPN ピアのオンボーディング

ピアの 1 つがオンボードされると、Security Cloud Control がサイト間 VPN トンネルを検出します。2 番目のピアが Security Cloud Control の管理対象外の場合は、VPN トンネルのリストをフィルタ処理して、管理対象外デバイスを見つけてオンボードできます。

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして VPN ページを開きます。
ステップ 2	[テーブルビュー（Table View）] を選択します。
ステップ 3	をクリックしてフィルタパネルを開きます。
ステップ 4	[管理対象外（Unmanaged）] にチェックを入れます。
ステップ 5	結果の表からトンネルを選択します。
ステップ 6	右側の [ピア（Peers）] ペインで、[デバイスのオンボード（Onboard Device）] をクリックし、画面の指示に従います。

サイト間 VPN トンネルの IKE オブジェクトの詳細の表示

選択したトンネルのピア/デバイスで設定されている IKE オブジェクトの詳細を表示できます。それらの詳細は、IKE ポリシーオブジェクトの優先順位に基づいた階層のツリー構造に表示されます。

（注）

エクストラネットデバイスには、IKE オブジェクトの詳細が表示されません。

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして VPN ページを開きます。
ステップ 2	[VPNトンネル（VPN Tunnels）] ページで、ピアを接続する VPN トンネルの名前をクリックします。
ステップ 3	右側の [関係（Relationships）] で、詳細を表示するオブジェクトを展開します。

サイト間 VPN トンネルが最後に正常に確立された日を表示する

手順

ステップ 1	IPSec サイト間仮想プライベートネットワークトンネル情報を表示します。
ステップ 2	[トンネルの詳細（Tunnel Details）] ペインをクリックします。
ステップ 3	[最終アクティブ確認日（Last Seen Active）] フィールドを表示します。

サイト間 VPN トンネル情報の表示

サイト間 VPN テーブルビューは、Security Cloud Control にオンボーディングされたすべてのデバイスで使用可能なすべてのサイト間 VPN トンネルの完全なリストです。トンネルは、このリストに 1 つだけ存在します。表にリストされているトンネルをクリックすると、右側のサイドバーにオプションが表示され、トンネルのピアに直接移動して詳細に調査できます。

Security Cloud Control がトンネルの両側を管理していない場合は、[オンボードデバイス（Onboard Device）] をクリックして、管理対象外のピアをオンボードするメインの [オンボーディング（Onboarding）] ページを開くことができます。管理対象外サイト間 VPN ピアのオンボーディングSecurity Cloud Control がトンネルの両側を管理する場合、[ピア2（Peer 2）] 列には管理対象デバイスの名前が含まれています。ただし、AWS VPC の場合、[ピア2（Peer 2）] 列には VPN ゲートウェイの IP アドレスが含まれています。

テーブルビューでサイト間 VPN 接続を表示するには、次の手順を実行します。

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして VPN ページを開きます。
ステップ 2	[テーブルビュー（Table View）] ボタンをクリックします。
ステップ 3	「サイト間 VPN トンネルの検索とフィルタ処理」を使用して特定のトンネルを見つけるか、グローバルビューのグラフィックを拡大して、探している VPN ゲートウェイとそのピアを見つけます。

サイト間 VPN のグローバル表示

これは、グローバルビューの例です。この図では、「FTD_BGL_972」に FTD_BGL_973 デバイスと FTD_BGL_974 デバイスのサイト間接続があります。

手順

ステップ 1	左側のペインで [セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックします。
ステップ 2	[グローバルビュー（Global view）] ボタンをクリックします。
ステップ 3	「サイト間 VPN トンネルの検索とフィルタ処理」を使用して特定のトンネルを見つけるか、グローバルビューのグラフィックを拡大して、探している VPN ゲートウェイとそのピアを見つけます。
ステップ 4	グローバルビューに表示されているピアのいずれかを選択します。
ステップ 5	[詳細の表示（View Details）] をクリックします。
ステップ 6	VPN トンネルのもう一方の端をクリックすると、その接続のトンネルの詳細、NAT 情報、およびキー交換情報が Security Cloud Control に表示されます。 [トンネルの詳細（Tunnel Details）]：トンネルの名前と接続情報が表示されます。[更新（Refresh）] アイコンをクリックすると、トンネルの接続情報が更新されます。 [AWS接続固有のトンネルの詳細（Tunnel Details specific to AWS connections）]：AWS サイト間接続のトンネルの詳細は、他の接続の場合と若干異なります。AWS VPC から VPN ゲートウェイへの接続ごとに、AWS は 2 つの VPN トンネルを作成します。これは、高可用性を実現するためです。トンネルの名前は、VPN ゲートウェイが接続されている VPC の名前を表します。トンネルの名前に含まれている IP アドレスは、VPN ゲートウェイが VPC として認識している IP アドレスです。 Security Cloud Control の接続ステータスが [アクティブ（Active）] の場合、AWS トンネルの状態は [アップ（Up）] です。Security Cloud Control の接続ステータスが [非アクティブ（Inactive）] の場合、AWS トンネルの状態は [ダウン（Down）] です。 [NAT情報（NAT Information）]：使用されている NAT ルールのタイプ、元のパケットの情報、および変換されたパケットの情報が表示され、そのトンネルの NAT ルールを確認できる NAT テーブルへのリンクが提供されます（AWS VPC サイト間 VPN ではまだ利用できません）。 [キー交換（Key Exchange）]：トンネルで使用されている暗号キーと、キー交換の問題が表示されます（AWS VPC サイト間 VPN ではまだ利用できません）。

[サイト間VPNトンネル（Site-to-Site VPN Tunnels）] ペイン

[トンネル（Tunnels）] ペインには、特定の VPN ゲートウェイに関連付けられているすべてのトンネルのリストが表示されます。VPN ゲートウェイと AWS VPC のサイト間 VPN 接続の場合、[トンネル（Tunnels）] ペインには、VPN ゲートウェイから VPC へのすべてのトンネルが表示されます。VPN ゲートウェイと AWS VPC のサイト間 VPN 接続にはそれぞれ 2 つのトンネルがあるため、他のデバイスで通常表示される 2 倍の数のトンネルが表示されます。

VPN ゲートウェイの詳細

VPN ゲートウェイに接続されているピア数と、VPN ゲートウェイの IP アドレスが表示されます。これは、[VPNトンネル（VPN Tunnels）] ページにのみ表示されます。

ピアの表示

サイト間 VPN ピアのペアを選択すると、ペアリングされた 2 つのデバイスのリストが [ピア（Peers）] ペインに表示され、いずれかのデバイスの [ピアの表示（View Peer）] をクリックできます。[ピアの表示（View Peer] をクリックすると、そのデバイスが関連付けられている他のサイト間ピアが表示されます。これは、テーブルビューとグローバルビューに表示されます。

Security Cloud Control サイト間 VPN トンネルの削除

手順

ステップ 1	左側のペインで、[セキュアな接続（Secure Connections）] > [サイト間VPN（Site to Site VPN）] > [ASAとFDM（ASA & FDM）] をクリックして [VPN] ページを開きます。
ステップ 2	削除するサイト間 VPN トンネルを選択します。
ステップ 3	右側の [アクション（Actions）] ペインで、[削除（Delete）] をクリックします。

選択したサイト間 VPN トンネルが削除されます。

リモートアクセス仮想プライベートネットワークの概要

リモートアクセス仮想プライベートネットワーク（RA VPN）機能を使用すると、ユーザーはオフィス外の場所からネットワークに接続できます。これは、インターネットに接続されていて、ネットワークリソースに安全にアクセスできるコンピュータやサポートされている iOS/Android デバイスを使用できることを意味します。この機能は、データの安全性と保護を確保しながら、ホームネットワークまたはパブリック Wi-Fi ネットワークから接続する必要があるモバイルワーカーに特に役立ちます。

リモートアクセス仮想プライベートネットワークの概要

リモートアクセス仮想プライベートネットワーク（RA VPN）機能を使用すると、ユーザーはオフィス外の場所からネットワークに接続できます。これは、インターネットに接続されていて、ネットワークリソースに安全にアクセスできるコンピュータやサポートされている iOS/Android デバイスを使用できることを意味します。この機能は、データの安全性と保護を確保しながら、ホームネットワークまたはパブリック Wi-Fi ネットワークから接続する必要があるモバイルワーカーに特に役立ちます。

FDM 管理対象デバイスのリモートアクセス VPN の設定

Security Cloud Control は、新しいリモートアクセス仮想プライベートネットワーク（RA VPN）を設定するための直感的なユーザーインターフェイスを提供します。また、Security Cloud Control に搭載されている複数の FDM による管理デバイスの RA VPN 接続を迅速かつ簡単に設定できます。AnyConnect はエンドポイントデバイスでサポートされている唯一のクライアントで、FDM による管理デバイスへの RA VPN 接続が可能です。

AnyConnect クライアントが FDM による管理デバイスと SSL VPN 接続をネゴシエートする際、Transport Layer Security（TLS）または Datagram Transport Layer Security（DTLS）を使用して接続します。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイムアプリケーションのパフォーマンスが向上します。クライアントおよび FDM による管理デバイスは、使用する TLS/DTLS バージョンをネゴシエートします。DTLS はクライアントがサポートする場合に使用されます。

Security Cloud Control は、FDM による管理デバイスでの RA VPN 機能の次の側面をサポートします。

SSL クライアントベースのリモートアクセス
IPv4 および IPv6 のアドレッシング
複数の FDM による管理デバイス間での共有 RA VPN 設定

重要

オンボード FDM による管理デバイス（ソフトウェアバージョン 6.7 以降で稼働）に SAML サーバーを認証ソースとして使用する RA VPN 設定が含まれている場合、Security Cloud Control は現在のリリースの SAML サーバーオブジェクトを管理しないため、接続プロファイルに AAA の詳細を入力しません。したがって、Security Cloud Control からはそのような RA VPN 設定を管理できません。ただし、Security Cloud Control は RA VPN 接続プロファイル、関連する信頼できる CA 証明書と SAML サーバーオブジェクトを読み取ります。

RA VPN ユーザー用のスプリットトンネリング（ヘアピニング）

この記事では、RA VPN でのスプリットトンネリングについて説明します。

通常、リモートアクセス VPN では、VPN ユーザーに自社のデバイスを介してインターネットにアクセスさせます。ただし、RA VPN に接続している VPN ユーザーに、外部ネットワークへのアクセスを許可することができます。この技術は、スプリットトンネリングまたはヘアピニングと呼ばれます。スプリットトンネルでは、セキュアトンネル経由のリモートネットワークへの VPN 接続が可能ですが、VPN トンネル外のネットワークにも接続できます。スプリットトンネリングは、FDM 管理対象デバイスのネットワーク負荷を軽減し、外部インターフェイスの帯域幅を拡大します。

スプリットトンネルリストを設定するには、標準アクセスリストまたは拡張アクセスリストを作成する必要があります。実行中のデバイスバージョンの『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Virtual Private Networks (VPN)」の章にある「How to Provide Internet Access on the Outside Interface for Remote Access VPN Users (Hair Pinning)」セクションで説明されている手順に従ってください。

RADIUS およびグループポリシーを使用したユーザーの権限および属性の制御

ここでは、外部 RADIUS サーバーまたはグループポリシーから RA VPN 接続に属性を適用する方法について説明します。

外部 RADIUS サーバーまたは FDM 管理対象デバイスで定義されているグループポリシーから、RA VPN 接続にユーザーの認可属性（ユーザーの権利または権限とも呼ばれる）を適用できます。FDM 管理対象デバイスがグループポリシーに設定されている属性と競合する外部 AAA サーバーから属性を受信した場合は、AAA サーバーからの属性が常に優先されます。

FDM 管理対象デバイスでは次の順序で属性が適用されます。

手順

ステップ 1	AAA サーバー上で定義されたユーザー属性：ユーザー認証や認可が成功すると、サーバーからこの属性が返されます。
ステップ 2	FDM 管理対象デバイス上で設定されているグループポリシー：RADIUS サーバーからユーザーの RADIUS CLASS 属性 IETF-Class-25（OU=group-policy）の値が返された場合は、FDM 管理対象デバイスはそのユーザーを同じ名前のグループポリシーに含め、そのグループポリシーの属性のうち、サーバーから返されない属性を適用します。
ステップ 3	接続プロファイルによって割り当てられたグループポリシー：接続プロファイルには、接続の事前設定が含まれているほか、認証前にユーザーに適用されるデフォルトのグループポリシーが含まれています。FDM 管理対象デバイスに接続するユーザーすべて、最初はこのグループに所属します。このグループには、AAA サーバーから返されるユーザー属性、またはユーザーに割り当てられたグループポリシーにはない属性があります。

FDM 管理対象デバイスは、ベンダー ID 3076 の RADIUS 属性をサポートします。使用する RADIUS サーバーにこれらの属性が定義されていない場合は、手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベンダーコード（3076）を使用します。

次のトピックでは、サポートされている属性値について、値が RADIUS サーバーで定義されるかどうか、または RADIUS サーバーにシステムが送信する値であるかどうかに基づいて説明します。

RADIUS サーバーに送信された属性

RADIUS 属性 146 および 150 は、認証および許可の要求のために FDM による管理デバイスから RADIUS サーバーに送信されます。次の属性はすべて、アカウンティング開始、中間アップデート、および終了の要求の場合に FDM による管理デバイスから RADIUS サーバーに送信されます。

表 7. Cisco Secure Firewall Threat Defense から RADIUS に送信される属性
属性（Attribute）	属性（Attribute）	構文、タイプ	シングルまたはマルチ値	説明または値
クライアントタイプ（Client Type）	150	整数	シングル	VPN に接続しているクライアントのタイプは次のとおりです。 2 = AnyConnect クライアント SSL VPN
セッションタイプ	151	整数	シングル	接続の種類： 1 = AnyConnect クライアント SSL VPN
Tunnel Group Name	146	文字列	シングル	FDM による管理デバイスで定義されているセッションの確立に使用された接続プロファイルの名前。名前には 1 ～ 253 文字を使用できます。

RADIUS サーバーから受信した属性

次のユーザー認可属性が RADIUS サーバーから FDM による管理デバイスに送信されます。


属性	Attribute Number	構文、タイプ	シングルまたはマルチ値	説明または値
Access-List-Inbound	86	文字列	シングル	両方の Access-List 属性で、FDM による管理デバイスで設定されている ACL の名前が使用されます。Smart CLI 拡張アクセスリストのオブジェクトタイプを使用して、それらの ACL を Firewall Device Manager で作成します（Firewall Device Manager にログインし、[デバイス（Device）] > [詳細設定（Advanced Configuration）] > [Smart CLI] > [オブジェクト（Objects）] を選択します）。これらの ACL は、着信（FDM による管理デバイスに入るトラフィック）または発信（FDM による管理デバイスから出るトラフィック）方向のトラフィックフローを制御します。
Access-List-Outbound	87	文字列	シングル
Address-Pools	217	文字列	シングル	FDM による管理デバイスで定義されたネットワークオブジェクトの名前。RA VPN へのクライアント接続のアドレスプールとして使用されるサブネットを識別します。[オブジェクト（Objects）] ページでネットワークオブジェクトを定義します。
Banner1	15	文字列	シングル	ユーザーがログインしたときに表示されるバナー。
Banner2	36	文字列	シングル	ユーザーがログインするときに表示されるバナーの 2 番目の部分。Banner2 は Banner1 に付加されます。
Group-Policy	25	文字列	シングル	接続に使用されるグループポリシー。RA VPN の [グループポリシー（Group Policy）] ページでグループポリシーを作成する必要があります。次の形式のいずれかを使用できます。グループポリシー名 OU=グループポリシー名 OU=グループポリシー名;
Simultaneous-Logins	2	整数	シングル	ユーザーが確立できる個別の同時接続数。0 ～ 2147483647。
VLAN	140	整数	シングル	ユーザーの接続を制限する VLAN。0 ～ 4094。FDM による管理デバイスのサブインターフェイスでも、この VLAN を設定する必要があります。

二要素認証

RA VPNの二要素認証を設定できます。二要素認証を使用する場合、ユーザーはユーザー名と静的パスワードに加えて、Duo パスコードなどの追加項目を指定する必要があります。二要素認証が 2 番目の認証ソースを使用することと異なるのは、1 つの認証ソースで 2 つの要素が設定され、Duo サーバーとの関係がプライマリ認証ソースに関連付けられている点です。Duo LDAPは例外で、Duo LDAP サーバーをセカンダリ認証ソースとして設定します。

RADIUS を使用した Duo 二要素認証
LDAP を使用した Duo 二要素認証

RADIUS を使用した Duo 二要素認証

Duo RADIUS サーバーはプライマリ認証ソースとして設定できます。このアプローチでは、Duo RADIUS 認証プロキシを使用します。

Duo の設定手順の詳細については、https://duo.com/docs/cisco-firepower を参照してください。

その後、最初の認証要素として別の RADIUS サーバーまたは Microsoft Active Directory（AD）サーバーを使用し、2 番目の要素として Duo クラウドサービスを使用するため、プロキシサーバー宛の認証要求を転送するように Duo を設定します。

このアプローチを使用する場合、ユーザーは、Duo 認証プロキシおよび関連する RADIUS/AD サーバーの両方で設定されているユーザー名と、RADIUS/AD サーバーで設定されたユーザー名のパスワード（その後に次のいずれかの Duo コードが続く）を使用して認証する必要があります。

Duo-passcode。my-password,12345 など

push。たとえば、my-password,push など。push は、ユーザーによるインストールと登録が完了している Duo モバイルアプリに認証をプッシュ送信するように Duo に指示する場合に使用します。

sms。たとえば、my-password,sms など。sms は、ユーザーのモバイルデバイスにパスコードの新しいバッチと SMS メッセージを送信するように Duo に指示する場合に使用します。sms を使用すると、ユーザーの認証試行は失敗します。ユーザーは再認証し、2 番目の要素として新しいパスコードを入力する必要があります。

phone。my-password,phone など。phone は、電話コールバック認証を実行するように Duo に指示する場合に使用します。

ユーザー名とパスワードが認証されると、Duo 認証プロキシは Duo クラウドサービスに接続し、Duo クラウドサービスは、その要求が設定されている有効なプロキシデバイスからのものであることを検証してから、指示に従ってユーザーのモバイルデバイスに一時的なパスコードをプッシュ送信します。ユーザーがこのパスコードを受け入れると、セッションは Duo で認証済みとマークされ、RA VPN が確立されます。

詳細な説明については、Duo RADIUS を使用した二要素認証の設定方法を参照してください。

Duo RADIUS を使用した二要素認証の設定方法

Duo RADIUS サーバーはプライマリ認証ソースとして設定できます。このアプローチでは、Duo RADIUS 認証プロキシを使用します。

その後、最初の認証要素として別の RADIUS サーバー（または AD サーバー）を使用し、2 番目の要素として Duo クラウドサービスを使用するため、プロキシサーバー宛の認証要求を転送するように Duo を設定します。

以降のトピックでは設定についてさらに詳しく説明します。

Duo RADIUS セカンダリ認証のシステムフロー
Security Cloud Control を使用した Duo RADIUS のデバイスの設定

Duo RADIUS セカンダリ認証のシステムフロー

次に、システムフローについて説明します。

ユーザーは FDM による管理デバイスへのリモートアクセス VPN 接続を確立し、RADIUS/AD サーバーに関連付けられたユーザー名、RADIUS/AD サーバーで設定されたユーザー名のパスワード、いずれかの DUO コード（Duo パスワード、プッシュ、SMS、または電話番号）を指定します。詳細については、RADIUS を使用した Duo 二要素認証
FDM による管理デバイスは、認証要求を Duo Authentication Proxy に送信します。
Duo Authentication Proxy は、プライマリ認証サーバー（Active Directory や RADIUS など）でプライマリ認証の試行を認証します。
ログイン情報が認証されると、Duo Security への Duo Authentication Proxy 接続が TCP ポート 443 経由で確立されます。
要求を受けた Duo は、プッシュ通知、パスコード付きのテキストメッセージ、または電話コールによって、ユーザーを個別に認証します。ユーザーはこの認証を正常に完了する必要があります。
Duo Authentication Proxy が認証応答を受信します。
セカンダリ認証が成功すると、FDM による管理デバイスは、ユーザーの AnyConnect クライアントとのリモートアクセス VPN 接続を確立します。

Duo RADIUS セカンダリ認証の設定

Duo Authentication Proxy は、プライマリ認証サーバー（Active Directory や RADIUS など）でプライマリ認証の試行を認証します。

Duo アカウントの作成

Duo アカウントを作成し、統合鍵、秘密鍵、および API ホスト名を取得します。

次に、プロセスの概要を示します。詳細については、Duo の Web サイトを参照してください。

手順

ステップ 1	Duo アカウントにサインアップします。
ステップ 2	Duo Admin Panel にログインし、[アプリケーション（Applications）] に移動します。
ステップ 3	[アプリケーションの保護（Protect an Application）] をクリックし、アプリケーションリストで Cisco Firepower Threat Defense VPN を探します。
ステップ 4	[アプリケーションの保護（Protect this Application）] をクリックし、統合鍵、秘密鍵、および API ホスト名を取得します。この情報は、プロキシを設定するときに必要になります。詳細については、Duo Getting Started ガイド（https://duo.com/docs/getting-started）を参照してください。
ステップ 5	Duo Authentication Proxy をインストールして設定します。手順については、https://duo.com/docs/cisco-firepower の「Install the Duo Authentication Proxy」を参照してください。
ステップ 6	認証プロキシを開始します。手順については、https://duo.com/docs/cisco-firepower の「Start the Proxy」を参照してください。 Duo に新しいユーザーを登録する手順については、https://duo.com/docs/enrolling-users を参照してください。

Security Cloud Control を使用した Duo RADIUS のデバイスの設定

手順

ステップ 1

FTD RADIUS サーバーオブジェクトを設定します。

左側のペインでオブジェクトをクリックします。
> [RA VPNオブジェクト（Cisco ASAおよびFTD）（RA VPN Objects (ASA & FTD)）] > [アイデンティティソース（Identity Source）] をクリックします。
名前を指定し、[デバイスタイプ（Device Type）] を [FTD] に設定します。
[RADIUSサーバーグループ（Radius Server Group）] を選択し、[続行（Continue）] をクリックします。詳細については、RADIUS サーバーグループの作成のステップ 6 を参照してください。
[RADIUSサーバー（Radius Server）] セクションで、[追加（Add）] ボタンをクリックし、[新しいRADIUSサーバーの作成（Create New Radius Server）] をクリックします。RADIUS サーバーオブジェクトの作成を参照してください

[サーバー名またはIPアドレス（Server Name or IP Address）] フィールドに Duo Authentication Proxy サーバーの完全修飾ホスト名か IP アドレスを入力します。
Duo RADIUS サーバーをグループに追加したら、[追加（Add）] をクリックして新しい Duo RADIUS サーバーグループを作成します。

ステップ 2

[リモートアクセスVPN認証方式（Remote Access VPN Authentication Method）] を [Duo RADIUS] に変更します。

左側のペインで [セキュアな接続（Secure Connections）] > [リモートアクセスVPN（Remote Access VPN）] > [ASAとFDM（ASA & FDM）] をクリックします。
VPN の設定を展開し、Duo を追加する接続プロファイルをクリックします。
右側の [アクション（Actions）] ペインで、[編集（Edit）] をクリックします。
[認証タイプ（Authentication Type）]（[AAA] または [AAAとクライアント証明書（AAA and Client Certificate）]）のいずれかを選択します。
[ユーザー認証用のプライマリIDソース（Primary Identity Source for User Authentication）] リストで、以前作成したサーバーグループを選択します。
通常は [承認サーバー（Authorization Server）] や [アカウンティングサーバー（Accounting Server）] を選択する必要はありません。
[続行（Continue）] をクリックします。
[概要と手順（Summary and Instructions）] のステップで、[完了（Done）] をクリックして設定を保存します。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

LDAP を使用した Duo 二要素認証

プライマリソースとしての Microsoft Active Directory（AD）または RADIUS サーバとともに、セカンダリ認証ソースとして Duo LDAP サーバを使用できます。Duo LDAP を使用すると、セカンダリ認証により、プライマリ認証が Duo パスコード、プッシュ通知、または電話コールで検証されます。

（注）

Duo の二要素認証機能は、Firepower Threat バージョン 6.5 以降を実行しているデバイスに対して Security Cloud Control で使用できます。

FDM による管理デバイスは、ポート TCP/636 経由で LDAPS を使用して、Duo LDAP と通信します。

このアプローチを使用する場合は、AD/RADIUS サーバと Duo LDAP サーバの両方で設定されているユーザ名を使用して認証する必要があります。AnyConnect によってログインするように求められた場合は、プライマリ [パスワード（Password）] フィールドに AD/RADIUS のパスワードを入力します。[セカンダリパスワード（Secondary Password）]では、次のいずれかを使用して Duo で認証します。詳細については、https://guide.duo.com/anyconnect の「要素選択用の 2 つ目のパスワード」セクションを参照してください。

[Duoパスコード（Duo passcode）]：Duo Mobile で生成され、SMS を介して送信され、ハードウェアトークンによって生成されるパスコード、または管理者によって提供されるパスコードを使用して、認証します。1234567 などです。
[プッシュ（push）]：Duo Mobile アプリをインストールしてアクティブにしている場合は、ログイン要求を電話機にプッシュします。要求を確認し、[承認（Approve）] をタップしてログインします。
[電話（phone）]：電話機のコールバックを使用して認証します。
[sms]：Duo パスコードをテキストメッセージで要求します。ログイン試行は失敗します。新しいパスコードを使用して再度ログインします。

詳細な説明については、Duo LDAP を使用した二要素認証の設定方法を参照してください。

Duo LDAP を使用した二要素認証の設定方法

プライマリソースとしての Microsoft Active Directory（AD）または RADIUS サーバとともに、セカンダリ認証ソースとして Duo LDAP サーバを使用できます。Duo LDAP を使用すると、セカンダリ認証により、プライマリ認証が Duo パスコード、プッシュ通知、または電話コールで検証されます。

以降のトピックでは設定についてさらに詳しく説明します。

Duo LDAP セカンダリ認証のシステムフロー
Duo LDAP セカンダリ認証の設定

Duo LDAP セカンダリ認証のシステムフロー

次の図は、LDAP を使用した二要素認証を実現するために、脅威に対する防御と Duo がどのように連携するかを示しています。

次に、システムフローについて説明します。

ユーザーは、FDM による管理デバイスへのリモートアクセス VPN 接続を確立し、ユーザー名とパスワードを提供します。
FDM による管理デバイスは、プライマリ認証サーバー（Active Directory や RADIUS など）でプライマリ認証の試行を認証します。
プライマリ認証が機能する場合、FDM による管理デバイスは Duo LDAP サーバーにセカンダリ認証の要求を送信します。
要求を受けた Duo は、プッシュ構成、パスコード付きのテキストメッセージ、または電話コールによって、ユーザーを個別に認証します。ユーザーはこの認証を正常に完了する必要があります。
Duo は FDM による管理デバイスに応答して、ユーザーが正常に認証されたかどうかを示します。
セカンダリ認証が成功すると、FDM による管理デバイスは、ユーザーの AnyConnect クライアントとのリモートアクセス VPN 接続を確立します。

Duo LDAP セカンダリ認証の設定

次の手順では、セカンダリ認証ソースとして Duo LDAP を使用して、リモートアクセス VPN の二要素認証を設定するエンドツーエンドのプロセスについて説明します。この設定を完了するには、Duo のアカウントを取得し、Duo から情報を取得する必要があります。

Duo アカウントの作成

Duo アカウントを作成し、統合鍵、秘密鍵、および API ホスト名を取得します。

次に、プロセスの概要を示します。詳細については、Duo の Web サイトを参照してください。

手順

ステップ 1	Duo アカウントにサインアップします。
ステップ 2	Duo Admin Panel にログインし、[アプリケーション（Applications）] に移動します。
ステップ 3	[アプリケーションの保護（Protect an Application）] をクリックし、アプリケーションリストで Cisco Firepower Threat Defense VPN を探します。
ステップ 4	[アプリケーションの保護（Protect this Application）] をクリックして、統合鍵、秘密鍵、および API ホスト名を取得します。詳細については、Duo Getting Started（https://duo.com/docs/getting-started）を参照してください。 Duo に新しいユーザーを登録する手順については、https://duo.com/docs/enrolling-users を参照してください。

FDM による管理デバイスへの信頼できる CA 証明書のアップロード

FDM による管理デバイスには、Duo LDAP サーバーへの接続を検証するために必要な、信頼できる CA 証明書が必要です。https://www.digicert.com/digicert-root-certificates.htm に直接アクセスし、DigiCertSHA2HighAssuranceServerCA または DigiCert High Assurance EV Root CA をダウンロードし、Firewall Device Manager（FDM）を使用してアップロードできます。

手順

ステップ 1	FDM による管理デバイスの Firewall Device Manager ページにアクセスし、[オブジェクト（Objects）] > [証明書（Certificates）] の順に選択します。
ステップ 2	[+] > [信頼できる CA の証明書の追加（Add Trusted CA Certificate）] をクリックします。
ステップ 3	証明書の名前を入力します（例：DigiCert_High_Assurance_EV_Root_CA）(スペースは使用できません)。
ステップ 4	[証明書のアップロード（Upload Certificate）] をクリックし、ダウンロードしたファイルを選択します。
ステップ 5	[OK] をクリックします。
ステップ 6	デバイスをまだオンボードしていない場合は、Security Cloud Control にオンボードします。
ステップ 7	FTD から Security Cloud Control への設定変更を読み取ります。

Security Cloud Control での Duo LDAP 用 FTD の設定

手順

ステップ 1

Duo LDAP サーバーの Duo LDAP アイデンティティソースオブジェクトを作成します。

左側の Security Cloud Control ナビゲーションバーで、オブジェクトをクリックします。
> [RA VPNオブジェクト（ASAおよびFTD）（RA VPN Objects (ASA & FTD)）] > [アイデンティティソース（Identity Source）] をクリックしてオブジェクトを作成します。
オブジェクトの名前（Duo-LDAP-server など）を入力します。
[デバイスタイプ（Device Type）] として [FTD] を選択します。
[Duo LDAPアイデンティティソース（Duo LDAP Identity Source）] をクリックして、[続行（Continue）] をクリックします。
[アイデンティティソースの編集（Edit Identity Source）] 領域で、次の詳細を指定します。
- [APIホスト名（API Hostname）] には、Duo アカウントから取得した API ホスト名を入力します。ホスト名は API-XXXXXXXX.DUOSECURITY.COM のような形式になります。X を一意の値に置き換えます。大文字は必須ではありません。
- [ポートPort] には、LDAPS に使用する TCP ポートを入力します。Duo から別のポートを使用するように指示されていない限り、この値は 636 になります。アクセス制御リストで、必ずこのポートを介した Duo LDAP サーバーへのトラフィックを許可してください。
- [タイムアウト（Timeout）]：Duo サーバーに接続する際のタイムアウトを秒単位で入力します。値は 1 〜 300 秒です。デフォルトは 120 です。デフォルトを使用するには、120 を入力するか、属性行を削除します。
- [統合鍵（Integration Key）]：Duo アカウントから取得した統合鍵を入力します。
- [秘密鍵（Secret Key）]：Duo アカウントから取得した秘密鍵を入力します。この鍵はその後マスクされます。
- [Duoサーバーへの接続に使用するインターフェイス（Interface used to connect to Duo Server）]：Duo サーバーへの接続に使用するインターフェイスを選択します。
  - [ルートルックアップ経由で解決する（Resolve via Route Lookup）]：ルーティングテーブルを使用して正しいパスを見つけるには、このオプションを選択します。ルーティングテーブルの作成については、「ルーティング」を参照してください。
  - [インターフェイスを手動で選択する（Manually Choose Interface）]：このオプションを選択し、リストからいずれかのインターフェイスを選択します。デフォルトのインターフェイスは診断インターフェイスですが、これはインターフェイスで IP アドレスを設定する場合にのみ動作します。注：選択したインターフェイスが、Duo サーバーに接続するデバイスに存在することを確認してください。
  - [追加（Add）] をクリックします。

ステップ 2

（オプション）AnyConnect プロファイルエディタを使用して、 60 秒以上の認証タイムアウトを指定するプロファイルを作成します。

ユーザーが Duo のパスコードを取得し、セカンダリ認証を完了できるように、指定する時間に余裕を持たせる必要があります。60 秒以上を推奨します。次の手順では、認証タイムアウトのみを設定してから、FDM による管理デバイスにプロファイルをアップロードする方法について説明します。他の設定を変更する場合は、ここで行ってください。

AnyConnect プロファイルエディタパッケージをダウンロードしてインストールします（まだ行っていない場合）。このパッケージは、Cisco Software Center（software.cisco.com）の使用している AnyConnect バージョンのフォルダにあります。このマニュアルの執筆時点におけるベースパスは、[ダウンロードホーム（Downloads Home）] > [セキュリティ（Security）] > [VPNおよびエンドポイントセキュリティクライアント（VPN and Endpoint Security Clients）] > [Cisco VPNクライアント（Cisco VPN Clients）] > [AnyConnectセキュアモビリティクライアント（AnyConnect Secure Mobility Client）] です。
[AnyConnect VPNプロファイルエディタ（AnyConnect VPN Profile Editor）] を開きます。
目次の [設定（パート2）（Preferences (Part 2)）] を選択し、ページの最後までスクロールして、[認証タイムアウト（Authentication Timeout）] を 60 以上に変更します。次の図は AnyConnect 4.7 VPN プロファイルエディタからの引用です。それより前のバージョンや後のバージョンでは、内容が異なる場合があります。
[ファイル（File）] > [保存（Save）] を選択し、プロファイル XML ファイルに適切な名前（duo-ldap-profile.xml など）を付けてワークステーションに保存します。
これで、VPN プロファイルエディタ アプリケーションを閉じることができます。
Security Cloud Control で「RA VPN AnyConnect クライアントプロファイルのアップロード」を実行します。

ステップ 3

グループポリシーを作成し、ポリシーで AnyConnect プロファイルを選択します。

ユーザーに割り当てるグループポリシーは、接続のさまざまな側面を制御します。次の手順では、プロファイル XML ファイルをグループに割り当てる方法について説明します。詳細については、「新しい FTD RA VPN グループポリシーの作成」を参照してください。

左側の Security Cloud Control ナビゲーションバーで、オブジェクトをクリックします。
既存のグループポリシーを編集するには、[RA VPNグループポリシー（RA VPN Group Policy）] フィルタを使用して既存のグループポリシーのみを表示し、必要なポリシーを変更して保存します。
新しいグループポリシーを作成するには、[RA VPNオブジェクト（ASAおよびFTD）（RA VPN Objects (ASA & FTD)）] > [RA VPNグループポリシー（RA VPN Group Policy）] をクリックします。
[全般（General）] ページで、次のプロパティを設定します。
- [名前（Name）]：新しいプロファイルの場合は、名前を入力します。たとえば、Duo-LDAP-group と入力します。
- [AnyConnectクライアントプロファイル（AnyConnect Client Profiles）]：作成した AnyConnect クライアントプロファイルを選択します。
[追加（Add）] をクリックして、オブジェクトを保存します。
[セキュアな接続（Secure Connections）] > [リモートアクセスVPN（Remote Access VPN）] > [ASAとFDM（ASA & FDM）] をクリックします。
更新するリモートアクセス VPN の設定をクリックします。
右側の [操作（Actions）] ウィンドウで、[グループポリシー（Group Policies）] をクリックします。
[+] をクリックして、VPN 設定に関連付けるグループポリシーを選択します。
[保存（Save）] をクリックして、グループポリシーを保存します。

ステップ 4

Duo LDAP セカンダリ認証に使用するリモートアクセス VPN 接続プロファイルを作成または編集します。

次の手順では、Duo LDAP をセカンダリ認証ソースとして有効にし、AnyConnect クライアントプロファイルを適用するための主な変更について説明します。新しい接続プロファイルの場合は、残りの必須フィールドも設定する必要があります。この手順では、既存の接続プロファイルを編集しており、これら 2 つの設定のみを変更する必要があると仮定しています。

Security Cloud Control ナビゲーションページで、[VPN] > [リモートアクセスVPNの設定（Remote Access VPN Configuration）] をクリックします。
リモートアクセス VPN の設定を展開し、更新する接続プロファイルをクリックします。
右側の [操作（Actions）] ウィンドウで、[編集（Edit）] をクリックします。

[プライマリアイデンティティソース（Primary Identity Source）] で、次を設定します。

[認証タイプ（Authentication Type）]：[AAAのみ（AAA Only）] または [AAAとクライアント証明書（AAA and Client Certificate）] のいずれかを選択します。AAA を使用していない場合、二要素認証を設定できません。
[ユーザー認証のプライマリアイデンティティソース（Primary Identity Source for User Authentication）]：プライマリ Active Directory または RADIUS サーバーを選択します。プライマリソースとして Duo-LDAP アイデンティティソースを選択できることに注意してください。ただし、Duo-LDAP は認証サービスのみを提供し、アイデンティティサービスは提供しないため、プライマリ認証ソースとして Duo-LDAP を使用する場合、どのダッシュボードにも RA VPN 接続に関連付けられているユーザー名は表示されず、これらのユーザーに対してアクセス制御ルールを作成することはできません（必要に応じて、ローカルアイデンティティソースへのフォールバックを設定できます）。

[セカンダリアイデンティティソース（Secondary Identity Source）]：Duo-LDAP のアイデンティティソースを選択します。

（注）

[プライマリアイデンティティソース（Primary Identity Source）] と [セカンダリアイデンティティソース（Secondary Identity Source）] のユーザー名が同じ場合は、接続プロファイルの [詳細（Advanced）] オプションで、[セカンダリログインにプライマリユーザー名を使用（Use Primary Username for Secondary Login）] を有効にすることをお勧めします。このように設定すると、エンドユーザーは、プライマリとセカンダリの両方のアイデンティティソースに単一のユーザー名を使用できます。

[続行（Continue）] をクリックします。
[グループポリシー（Group Policy）] ページで、作成または編集したグループポリシーを選択します。
[続行（Continue）] をクリックします。
[完了（Done）] をクリックして、接続プロファイルへの変更を保存します。

ステップ 5

すべてのデバイスの設定変更のプレビューと展開。

FDM による管理デバイス用のエンドツーエンドのリモートアクセス VPN 設定プロセス

ここでは、Security Cloud Control にオンボードされた FDM による管理デバイスでリモートアクセス仮想プライベートネットワーク（RA VPN）を設定するためのエンドツーエンドの手順について説明します。

クライアントのリモートアクセス VPN を有効化するには、いくつかの異なる項目を設定する必要があります。次の手順では、エンドツーエンドのプロセスについて説明します。

手順

ステップ 1

2 つのライセンスを有効にします。

デバイスを登録する際に、エクスポート制御機能に対して有効化された Smart Software Manager アカウントによってエクスポートを制御する必要があります。リモートアクセス VPN を設定するには、ライセンスが輸出規制要件を満たしている必要があります。また、評価ライセンスを使用して機能を設定することはできません。FDM による管理デバイスを購入すると、ライセンスが自動的に含まれます。ライセンスは、オプションライセンスではカバーされないすべての機能をカバーしています。これは永久ライセンスです。デバイスは Secure Firewall Device Managerに登録されている必要があります。デバイスで実行しているバージョンの Cisco Secure Firewall Threat Defense コンフィギュレーションガイド [英語] の「Licensing the System」の章にある「Registering the Device」を参照してください。https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html
ライセンス。詳細については、「リモートアクセス VPN のライセンス要件」を参照してください。
- ライセンスを有効にするには、デバイスで実行しているバージョンの Cisco Secure Firewall Threat Defense コンフィギュレーションガイド[英語] の「Licensing the System 」の章にある「Enabling or Disabling Optional Licenses」を参照してください。https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html

ステップ 2

証明書を設定します。

証明書は、クライアントとデバイスの間の SSL 接続を認証するために必要です。VPN 用の事前定義された DefaultInternalCertificate を使用できます。または、独自に作成できます。

認証に使われるディレクトリレルムに暗号化接続を使用する場合は、信頼される CA 証明書をアップロードする必要があります。証明書、および証明書のアップロード方法の詳細については、「証明書の設定」を参照してください。

ステップ 3

リモートユーザを認証する目的で使用されるアイデンティティソースを設定します。

次のソースを使用して、RA VPN を使用してネットワークに接続しようとするユーザーを認証できます。さらに、クライアント証明書を単独で、またはアイデンティティソースと連携させて、認証に使用できます。

Active Directory アイデンティティレルム：プライマリ認証ソースとして使用できます。ユーザアカウントは Active Directory（AD）サーバで定義されます。「AD アイデンティティレルムの設定」を参照してください。「Active Directory レルムオブジェクトの作成または編集」を参照してください。
RADIUS サーバーグループ：プライマリまたはセカンダリ認証ソースとして使用でき、認可およびアカウンティングに使用できます。「RADIUS サーバーオブジェクトまたはグループの作成または編集」を参照してください。

ローカル ID ソース（ローカルユーザーデータベース）：プライマリソースまたはフォールバックソースとして使用できます。デバイスで直接ユーザを定義できます。外部サーバを使用することはできません。フォールバックソースとしてローカルデータベースを使用する場合は、必ず外部サーバーで定義したものと同じユーザー名/パスワードを定義します。

（注）

Secure Firewall Device Manager からのみ FDM による管理デバイスに直接ユーザーアカウントを作成できます。「ローカルユーザーの設定」を参照してください。

ステップ 4

（オプション）新しい RA VPN グループポリシーを作成します。

グループポリシーは、ユーザーに関連する属性を定義します。グループメンバーシップに基づいて、リソースへの差分アクセスを提供するためにグループポリシーを設定することができます。または、すべての接続でデフォルトポリシーを使用します。

ステップ 5

RA VPN 設定を作成します。

ステップ 6

RA VPN 接続プロファイルを設定します。

ステップ 7

設定の変更を確認して、デバイスに展開します。

ステップ 8

リモートアクセス VPN によるトラフィックを許可します。

ステップ 9

（オプション）アイデンティティポリシーを有効にして、パッシブ認証のルールを設定します。パッシブユーザ認証を有効にすると、リモートアクセス VPN 経由でログインするユーザがダッシュボードに表示され、ポリシー内のトラフィック一致基準としても使用できます。パッシブ認証を有効にしない場合、RA VPN ユーザはアクティブ認証ポリシーに一致する場合にのみ使用できます。ダッシュボードのユーザー情報またはトラフィック照合用のユーザー情報を取得するには、アイデンティティポリシーを有効にする必要があります。「ID ポリシーの設定」を参照してください。

重要	Secure Firewall Device Manager などのローカルマネージャーを使用してリモートアクセス VPN の設定を変更すると、Security Cloud Control では、そのデバイスの [設定ステータス（Configuration Status）] に [競合検出（Conflict Detected）] と表示されます。「FDM による管理デバイスでのアウトオブバンド変更」を参照してください。この FDM による管理デバイスで設定の競合を解決できます。

次のタスク

RA VPN 設定が FDM による管理デバイスにダウンロードされると、ユーザーは、インターネットに接続されているコンピュータやその他のサポートされている iOS または Android デバイスを使用して、リモートの場所からネットワークに接続できます。テナント内のすべてのオンボード RA VPN ヘッドエンドから、ライブ AnyConnect リモートアクセス仮想プライベートネットワーク（RA VPN）セッションを監視できます。「リモートアクセス仮想プライベートネットワークの監視」を参照してください。

AnyConnect クライアントソフトウェアパッケージのダウンロード

リモートアクセス VPN を設定する前に、https://software.cisco.com/download/home/283000185 から AnyConnect ソフトウェアパッケージをワークステーションにダウンロードする必要があります。必要なオペレーティングシステム用の「AnyConnect ヘッドエンド展開パッケージ」をダウンロードしていることを確認してください。後で、VPN を定義するときに、それらのパッケージを FDM 管理対象デバイスにアップロードできます。

最新の機能、バグ修正、セキュリティパッチを確保するには、常に最新の AnyConnect バージョンをダウンロードする必要があります。デバイスのパッケージは定期的に更新してください。

（注）

オペレーティングシステム（OS）（Windows、Mac、Linux）ごとに 1 つの AnyConnect をアップロードできます。1 つの OS タイプに対して複数のバージョンをアップロードすることはできません。

バージョン 6.4.0 を実行している FDM による管理デバイスへの AnyConnect ソフトウェアパッケージのアップロード

Firewall Device Manager API エクスプローラを使用して、バージョン 6.4.0 を実行している FDM による管理デバイスに AnyConnect ソフトウェアパッケージをアップロードできます。RA VPN 接続を作成するには、デバイスに少なくとも 1 つの AnyConnect ソフトウェアパッケージが存在する必要があります。

重要	この手順は、Firewall Device Manager バージョン 6.4 にのみ当てはまります。Firewall Device Manager バージョン 6.5 以降を使用している場合は、Security Cloud Control インターフェイスを使用して AnyConnect パッケージをアップロードします。

次の手順を使用して、AnyConnect パッケージを Firewall Device Manager バージョン 6.4.0 にアップロードします。

手順

ステップ 1	https://software.cisco.com/download/home/283000185 から AnyConnect パッケージをダウンロードします。 EULA に同意し、K9（暗号化されたイメージ）の権限を持っていることを確認してください。使用しているオペレーティングシステム用の「AnyConnect ヘッドエンド展開パッケージ」を選択します。パッケージ名は「anyconnect-win-4.7.04056-webdeploy-k9.pkg」のようになります。Windows、macOS、Linux それぞれに向けたヘッドエンド Web 展開パッケージがあります。
ステップ 2	ブラウザを使用して、システムのホームページを開きます。例：https://ftd.example.com。
ステップ 3	Firewall Device Manager にログインします。
ステップ 4	/#/Api-explorer を指すように URL を編集します（たとえば、https://ftd.example.com/#/api-explorer）。
ステップ 5	下にスクロールして、[アップロード（Upload）] > [/action/uploaddiskfile] をクリックします。
ステップ 6	[fileToUpload] フィールドで [ファイルの選択（Choose File）] をクリックして、必要な AnyConnect パッケージを選択します。複数のパッケージを一度にアップロードできます。
ステップ 7	[開く（Open）] をクリックします。
ステップ 8	下にスクロールして、[試す（TRY IT OUT!）] をクリックします。パッケージが完全にアップロードされるまで待ちます。[応答本文（Response Body）] には、API 応答が次の形式で表示されます。 { "version": null, "name": "691f47e1-90c7-11e9-a361-79e2452f0c57.pkg", "fileName": "691f47e1-90c7-11e9-a361-79e2452f0c57.pkg", "id": "691f47e1-90c7-11e9-a361-79e2452f0c57.pkg", "type": "fileuploadstatus", "links": { "self": https://ftd.example.com:972/api/fdm/...90d111e9-a361- cf32937ce0df.pkg } } 応答からパッケージの fileName を記録します。POST 操作を実行するときに、この文字列を入力する必要があります。この例では、fileName は 691f47e1-90c7-11e9-a361-79e2452f0c57.pkg です。
ステップ 9	脅威防御 REST API ページの上部近くまでスクロールして、[AnyConnectPackageFile] > [POST /object/anyconnectpackagefiles] をクリックします。API に対して POST 操作を実行し、パッケージファイルの一時的にステージングされた diskFilename と OS タイプをペイロードで指定します。このアクションにより、AnyConnect パッケージファイルが作成されます。
ステップ 10	body フィールドに、パッケージの詳細を次の形式でのみ入力します。 { "platformType": "WINDOWS", "diskFileName": "691f47e1-90c7-11e9-a361-79e2452f0c57.pkg", "type": "anyconnectpackagefile", "name": "AnyConnectWindowsBGL" } platformType フィールドに、OS プラットフォームを WINDOWS、MACOS、または LINUX として入力します。 diskFileName フィールドに、ディスクファイルのアップロード後に記録した fileName を入力します。 name フィールドに、パッケージに設定する名前を入力します。 [試す（TRY IT OUT!）] をクリックします。 [応答本文（Response Body）] フィールドには、POST が正常に動作した後に API 応答が次の形式で表示されます。 { "version": "ni7xeneslft3p", "name": "AnyConnectWindowsBGL" } "description": null, "diskFileName": "41d592e3-90ca-11e9-a361-6d05320a165d.pkg", "md5Checksum": "9bbe53dcf92e515d3ce5423048212488", "platformType": "WINDOWS", "id": "c9c9dfe3-9cd8-11e9-a361-23534f081c43", "type": "anyconnectpackagefile", "links": { "self": "https:/>/ftd.example.com:972...1-cf32937ce0df" } } AnyConnect パッケージが Firewall Device Manager に作成されます。
ステップ 11	[AnyConnectPackageFile] > [GET /object/anyconnectpackagefiles] > [試す（TRY IT OUT!）] をクリックします。 [応答本文（Response Body）] に、すべての AnyConnect パッケージファイルが表示されます。応答の例を次に示します。 { "items": [ { "version": "la4nwceqk2sg4", "name": "AnyConnectWindowsBGL" } "description": null, "diskFileName": "82f1e362-9cd8-11e9-a361-9758ba07962d.pkg", "md5Checksum": "9bbe53dcf92e515d3ce5423048212488", "platformType": "WINDOWS", "id": "c9c9dfe3-9cd8-11e9-a361-23534f081c43", "type": "anyconnectpackagefile", "links": { "self": "https://ftd.example.com:972...1-23534f081c43" } } ],
ステップ 12	OS タイプごとに他の AnyConnect パッケージをアップロードします。手順 4 から 10 を繰り返します。
ステップ 13	Web ページをポイントするように URL を編集します（例：https://ftd.example.com）。 https://ftd.example.com/#/api-explorer
ステップ 14	Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。このアイコンは、展開されていない変更がある場合にドットマークで強調表示されます。
ステップ 15	変更内容に問題がない場合は、[今すぐ展開（Deploy Now）] をクリックして、ジョブをすぐに開始できます。ウィンドウに展開が進行中であることが示されます。ウィンドウを閉じるか、または展開が完了するまで待機できます。

（注）

FDM による管理デバイスからパッケージを削除するには、[AnyConnectPackageFile] > [削除（Delete）] をクリックします。[objID] フィールドにパッケージ ID を入力し、[試す（TRY IT OUT!）] をクリックします。

VPN 接続を完了するには、ユーザーは AnyConnect クライアントソフトウェアをワークステーションにインストールする必要があります。詳細については、ユーザーが AnyConnect クライアントソフトウェアを FDM による管理デバイスにインストールする方法を参照してください。

バージョン 6.5 以降が実行されている FDM による管理デバイスへの AnyConnect ソフトウェアパッケージのアップロード

RA VPN を設定するために、バージョン 6.5 以降を実行している FDM による管理デバイスを使用している場合は、Security Cloud Control の RA VPN ウィザードを使用して AnyConnect ソフトウェアパッケージをデバイスにアップロードできます。RA VPN ウィザードでは、AnyConnect パッケージがプリロードされているリモート HTTP または HTTPS サーバの URL を指定する必要があります。

（注）

FDM API 手順を使用して AnyConnect パッケージをアップロードすることもできます。

Security Cloud Control リポジトリから AnyConnect パッケージをアップロードする

リモートアクセス VPN 構成ウィザードには、オペレーティングシステムごとの AnyConnect パッケージが Security Cloud Control リポジトリから表示されるため、パッケージを選択してデバイスにアップロードできます。デバイスがインターネットにアクセスでき、DNS が適切に設定されていることを確認してください。

（注）

目的のパッケージが表示されたリストにない場合、またはデバイスがインターネットにアクセスできない場合は、AnyConnect パッケージがプリロードされているサーバーを使用してパッケージをアップロードできます。

手順

ステップ 1	オペレーティングシステムに対応するフィールドをクリックし、AnyConnect パッケージを選択します。
ステップ 2	をクリックして、パッケージをアップロードします。チェックサムが一致しない場合、AnyConnect パッケージのアップロードは失敗します。失敗の詳細については、デバイスの [ワークフロー（workflow）] タブで確認できます。

はじめる前に

必要なオペレーティングシステム用の「AnyConnect ヘッドエンド展開パッケージ」をダウンロードしていることを確認してください。最新の機能、バグ修正、セキュリティパッチを確保するには、常に最新の AnyConnect バージョンをダウンロードする必要があります。デバイスのパッケージは定期的に更新してください。

（注）

オペレーティングシステム（OS）（Windows、Mac、Linux）ごとに 1 つの AnyConnect をアップロードできます。1 つの OS タイプに対して複数のバージョンをアップロードすることはできません。

手順

ステップ 1

https://software.cisco.com/download/home/283000185 から AnyConnect パッケージをダウンロードします。

EULA に同意し、K9（暗号化されたイメージ）の権限を持っていることを確認してください。
使用しているオペレーティングシステム用の「AnyConnect ヘッドエンド展開パッケージ」を選択します。パッケージ名は「anyconnect-win-4.7.04056-webdeploy-k9.pkg」のようになります。Windows、macOS、Linux それぞれに向けたヘッドエンドパッケージがあります。

ステップ 2

AnyConnect パッケージをリモート HTTP または HTTPS サーバーにアップロードします。FDM による管理デバイスから HTTP または HTTPS サーバーへのネットワークルートがあることを確認します。

（注）

AnyConnect パッケージを HTTPS サーバーにアップロードする場合は、以下の手順を実行してください。

サーバーの信頼できる CA 証明書を Firewall Device Manager から FDM による管理デバイスにアップロードします。証明書のアップロードについては、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version X.Y』の「Certificates」の章にある「Uploading Trusted CA Certificates」セクションを参照してください。
信頼できる CA 証明書を HTTPS サーバーにインストールします。

ステップ 3

リモートサーバーの URL は、認証を求めない直接リンクである必要があります。URL が事前認証されている場合は、RA VPN ウィザードの URL を指定してファイルをダウンロードできます。

ステップ 4

リモートサーバーの IP アドレスが NAT 処理されている場合は、リモートサーバーのロケーションの NAT 処理済みパブリック IP アドレスを指定する必要があります。

新規 AnyConnect パッケージのアップロード

次の手順を使用して、バージョン 6.5.0 を実行している FDM による管理デバイスに新しい AnyConnect パッケージをアップロードします。

手順

ステップ 1	手順 1 ～ 4 で、RA VPN 設定を作成します。
ステップ 2	[検出されたAnyConnectパッケージ（AnyConnect Packages Detected）] で、Windows、Mac、Linux のエンドポイントに対して別々のパッケージをアップロードできます。
ステップ 3	対応するプラットフォームフィールドで、Windows、Mac、および Linux と互換性のある AnyConnect パッケージが事前にアップロードされているサーバーのパスを指定します。サーバーパスの例： 'http://<ip_address>:port_number/<folder_name>/anyconnect-win-4.8.01090-webdeploy-k9.pkg', 'https://<ip_address>:port_number/<folder_name>/anyconnect-linux64-4.7.03052-webdeploy-k9.pkg'.
ステップ 4	をクリックして、パッケージをアップロードします。Security Cloud Control は、パスが到達可能であり、指定されたファイル名が有効なパッケージであるか検証します。検証が成功すると、AnyConnect パッケージの名前が表示されます。RA VPN 設定に FDM による管理デバイスを追加して、AnyConnect パッケージを追加したデバイスにアップロードできます。
ステップ 5	[OK] をクリックします。AnyConnect パッケージが RA VPN 設定に追加されます。
ステップ 6	ここから「RA VPN 設定の作成」の手順の実行に進みます。

次のタスク

VPN 接続を完了するには、ユーザーは AnyConnect クライアントソフトウェアをワークステーションにインストールする必要があります。詳細については、「ユーザーが FTD に AnyConnect クライアントソフトウェアをインストールする方法」を参照してください。

既存の AnyConnect パッケージの置換

AnyConnect パッケージがデバイスにすでに存在している場合、これらは RA VPN ウィザードに表示されます。オペレーティングシステムで利用可能なすべての AnyConnect パッケージが、ドロップダウンリストに表示されます。既存のパッケージをリストから選択して、新しいパッケージと置き換えることができます。ただし、新しいパッケージをリストに追加することはできません。

（注）

既存のパッケージを新しいパッケージに置き換える場合は、新しい AnyConnect パッケージが、FDM による管理デバイスが到達できるネットワーク上のサーバーにすでにアップロードされていることを確認してください。

手順

ステップ 1	左側のペインで [セキュアな接続（Secure Connections）] > [リモートアクセスVPN（Remote Access VPN）] > [ASAとFDM（ASA & FDM）] をクリックします。
ステップ 2	変更する RA VPN 設定を選択し、[アクション（Actions）] で [編集（Edit）] をクリックします。
ステップ 3	[検出された AnyConnect パッケージ（AnyConnect Packages Detected）] で、既存の AnyConnect パッケージの横に表示されるアイコンをクリックします。オペレーティングシステムに複数のバージョンの AnyConnect パッケージがある場合は、置き換えるパッケージをリストから選択して [編集（Edit）] をクリックします。既存のパッケージが対応するフィールドから消去されます。
ステップ 4	新しい AnyConnect パッケージがプリロードされているサーバーのパスを指定し、をクリックしてパッケージをアップロードします。
ステップ 5	[OK] をクリックします。新しい AnyConnect パッケージが RA VPN 設定に追加されます。
ステップ 6	ステップ 6 から、「RA VPN 設定の作成」に進みます。

AnyConnect パッケージの削除

手順

ステップ 1

左側のペインで [セキュアな接続（Secure Connections）] > [リモートアクセスVPN（Remote Access VPN）] > [ASAとFDM（ASA & FDM）] をクリックします。

ステップ 2

変更する RA VPN 設定を選択し、[アクション（Actions）] で [編集（Edit）] をクリックします。

ステップ 3

[検出されたAnyConnectパッケージ（AnyConnect Packages Detected）] で、削除する AnyConnect パッケージの横に表示されるアイコンをクリックします。オペレーティングシステムに複数のバージョンの AnyConnect パッケージがある場合は、リストから削除するパッケージを選択します。既存のパッケージが対応するフィールドから消去されます。

（注）

[キャンセル（Cancel）] をクリックすると削除操作が停止し、既存のパッケージが保持されます。

ステップ 4

[OK] をクリックします。デバイスの [設定ステータス（Configuration Status）] は [未同期（Not Synced）] となります。

（注）

この段階で削除アクションを取り消す場合は、セキュリティデバイスページに移動し、[変更の破棄（Discard Changes）] をクリックして、既存の AnyConnect パッケージを保持します。

ステップ 5

設定の変更を確認して、デバイスに展開します。

FDM による管理デバイスのアイデンティティソースの設定

Microsoft AD レルムや RADIUS サーバーなどのアイデンティティソースは、組織内のユーザーのユーザーアカウントを定義する AAA サーバーおよびデータベースです。この情報は、IP アドレスに関連付けられているユーザー ID の提供や、Security Cloud Control へのリモートアクセス VPN 接続またはアクセスを認証するなど、さまざまな方法で利用できます。

オブジェクトをクリックしたあとをクリックし、[> RA VPNオブジェクト（ASA＆FTD）（> RA VPN Objects（ASA & FTD））] > [IDソース（Identity Source）]を選択してソースを作成します。アイデンティティソースを必要とするサービスを設定するときに、次のオブジェクトを使用します。適切なフィルタを適用して既存のソースを検索し、それらを管理できます。

Active Directory レルム

Active Directory は、ユーザーアカウントおよび認証情報を提供します。AD レルムを含む設定を FDM による管理デバイスに展開すると、Security Cloud Control は AD サーバーからユーザーとグループを取得します。

このソースは、以下の目的で使用できます。

リモートアクセス VPN（プライマリアイデンティティソースとして）。AD は RADIUS サーバーと組み合わせて使用可能。
アイデンティティポリシー（アクティブ認証用、およびパッシブ認証で使用されるユーザーアイデンティティソースとして）。
ユーザーのアクティブ認証に向けたアイデンティティルール。

ユーザーアイデンティティを使用してアクセスコントロールルールを作成可能。詳細は、「アイデンティティポリシーの導入方法」を参照してください。

Security Cloud Control は、24 時間ごとに最新のユーザーグループのリストを要求します。1 つのルールに最大 50 のユーザーまたはグループを追加できるため、通常は、グループを選択する方が個々のユーザーを選択するより有意義です。たとえば、エンジニアリンググループに開発ネットワークへのアクセスを許可するルールを作成し、それに続くルールとして、そのネットワークへの他のすべてのアクセスを拒否するルールを作成できます。その後、ルールを新しいエンジニアに適用するには、エンジニアをディレクトリサーバーのエンジニアリンググループに追加するだけです。

Security Cloud Control の Active Directory レルム

AD アイデンティティオブジェクトを作成するときに、AD レルムを構成します。アイデンティティソースオブジェクトウィザードは、AD サーバーへの接続方法と、AD サーバーがネットワーク内のどこに配置されているかを判断するために役立ちます。

（注）

Security Cloud Control で AD レルムを作成すると、アフィリエイトアイデンティティソースオブジェクトを作成するとき、およびそれらのオブジェクトをアイデンティティルールに追加するときに、Security Cloud Control は AD パスワードを記憶します。

FDM の Active Directory レルム

Security Cloud Control オブジェクトウィザードから、FDM で作成された AD レルムオブジェクトを指定できます。Security Cloud Control は、FDM で作成された AD レルムオブジェクトの AD パスワードを読み取らないことに注意してください。Security Cloud Control に正しい AD パスワードを手動で入力する必要があります。

Firewall Device Manager で AD レルムを設定するには、デバイスが実行しているバージョンの『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』で、「Reusable Objects」の章の「Configuring AD Identity Realms」を参照してください。

サポートされるディレクトリサーバー

Windows サーバー 2008 および 2012 で AD を使用できます。

サーバーの設定に関して次の点に注意してください。

ユーザーグループまたはグループ内のユーザーに対してユーザー制御を実行する場合、ディレクトリサーバーでユーザーグループを設定する必要があります。サーバーが基本的なオブジェクト階層でユーザーを整理している場合、システムはユーザーグループ制御を実行できません。
ディレクトリサーバーは、次の表に示すフィールド名を使用して、システムがそのフィールドのサーバーからユーザーメタデータを取得できるようにする必要があります。


メタデータ（Metadata）	Active Directory フィールド
LDAP ユーザ名	samaccountname
名（First name）	givename
姓	sn
メールアドレス	メールアドレス userprincipalname（mail に値が設定されていない場合）
部署名（Department）	部署 distinguishedname（department に値が設定されていない場合）
電話番号	telephonenumber

ディレクトリベースの DN の決定

ディレクトリの各プロパティを設定する際、ユーザおよびグループに共通のベース識別名（DN）を指定する必要があります。ベースはディレクトリサーバー内で定義され、ネットワークごとに異なります。アイデンティティポリシーが正しく機能するには、適切なベースを入力する必要があります。ベースが誤っていると、ユーザ名またはグループ名が特定されず、アイデンティティに基づくポリシーが機能しなくなります。

（注）

正しいベースを取得するには、ディレクトリサーバを担当する管理者に確認してください。

Active Directory の場合、ドメイン管理者として AD サーバにログインし、コマンドプロンプトで dsquery のコマンドを次のように使用することで、正しいベースを判別できます。

ユーザ検索ベース

dsquery user コマンドを入力し、ベース識別名を調べたい既知のユーザー名（一部または全体）を指定します。たとえば、次のコマンドでは、「John*」という部分名を使用して、「John」から始まるすべてのユーザーの情報を返します。

C:\Users\Administrator>dsquery user -name "John*"

"CN=John Doe,CN=Users,DC=csc-lab,DC=example,DC=com"

ベース DN は「DC=csc-lab,DC=example,DC=com」となります。

グループ検索ベース

既知のグループ名を使用して、dsquery group コマンドを入力し、ベース DN を判断します。たとえば次のコマンドでは、グループ名「Employees」を使用して識別名を返します。

C:\>dsquery group -name "Employees"

"CN=Employees,CN=Users,DC=csc-lab,DC=example,DC=com"

グループのベース DN は、「DC=csc-lab,DC=example,DC=com」となります。

ADSI Edit プログラムを使用して、AD 構造を参照することもできます（[スタート] > [ファイル名を指定して実行] > [adsiedit.msc]）。ADSI Edit で、組織単位（OU）、グループ、ユーザなど任意のオブジェクトを右クリックし、[プロパティ（Properties）] を選択すると、識別名が表示されます。DC 値の文字列を、ベースとしてコピーします。

正しいベースであることを確認するには、次の手順を実行します。

手順

ステップ 1	ディレクトリプロパティの [テスト接続（Test Connection）] ボタンをクリックし、接続を確認します。問題があった場合には修正して、ディレクトリプロパティを保存します。
ステップ 2	変更をデバイスに適用します。
ステップ 3	アクセスルールを作成して、[ユーザ（Users）] タブを選択し、ディレクトリから既知のユーザおよびグループ名の追加を試みます。ディレクトリを含むレルム内の一致ユーザ名およびグループ名を入力すると、入力中にオートコンプリートによる候補が表示されます。ドロップダウンリストに候補が表示される場合は、システムがディレクトリに適切に照会できたことを意味します。入力した文字列がユーザ名またはグループ名として表示されることが確かであるにもかかわらず、候補が表示されない場合は、対応する検索ベースを修正する必要があります。

次のタスク

詳細は「Firepower Threat Defense Active Directory レルムオブジェクトの作成と編集」を参照してください。

RADIUS サーバおよびグループ

RADIUS サーバーを使用して、管理ユーザーを認証および認可できます。

RADIUS サーバを使用するように機能を設定する場合は、個別のサーバではなく RADIUS グループを選択します。RADIUS グループは、相互にコピーである RADIUS サーバの集合です。グループに複数のサーバがある場合は、それらは、1 つのサーバが使用できなくなった場合に冗長性を提供する一連のバックアップサーバを形成します。ただし、サーバが 1 つしかない場合でも、機能の RADIUS サポートを設定するには、メンバーが 1 つのグループを作成する必要があります。

このソースは、以下の目的で使用できます。

認証、および許可、アカウンティングのアイデンティティソースとしてのリモートアクセス VPN。AD は RADIUS サーバーと組み合わせて使用できます。
アイデンティティポリシー（リモートアクセス VPN ログインからユーザーアイデンティティを収集するためのパッシブアイデンティティソースとして）。

詳細については、「Firepower Threat Defense RADIUS サーバーオブジェクトまたはグループの作成と編集」を参照してください。

アクティブディレクトリレルムオブジェクトの作成または編集

Active Directory レルムオブジェクトについて

AD レルムオブジェクトなどの ID ソースオブジェクトを作成または編集すると、Security Cloud Control は SDC を介して FDM による管理デバイスに設定要求を送信します。次に FDM による管理デバイスは、設定された AD レルムと通信します。

Security Cloud Control は、Firewall Device Manager コンソールを介して設定された AD レルムのディレクトリパスワードを読み取らないことに注意してください。元々 Firewall Device Manager で作成された AD レルムオブジェクトを使用する場合は、ディレクトリパスワードを手動で入力する必要があります。

FTD アクティブディレクトリレルムオブジェクトの作成

次の手順を使用して、オブジェクトを作成します。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

をクリックしてから、[RA VPNオブジェクト（ASAおよびFTD）（RA VPN Objects (ASA & FTD)）] > [アイデンティティソース（Identity Source）]をクリックします。

ステップ 3

オブジェクトの [オブジェクト名（Object Name）] を入力します。

ステップ 4

[デバイスタイプ（Device Type）] として [FTD] を選択します。

ステップ 5

ウィザードの最初の部分で、[IDソースタイプ（Identity Source Type）]として [Active Directoryレルム（Active Directory Realm）] を選択します。[続行（Continue）] をクリックします。

ステップ 6

基本レルムのプロパティを設定します。

[ディレクトリユーザー名（Directory Username）]、[ディレクトリパスワード（Directory Password）]：取得するユーザー情報に対して適切な権限を持つユーザーの識別用ユーザー名とパスワード。AD では、昇格されたユーザー特権は必要ありません。ドメイン内の任意のユーザを指定できます。ユーザー名は Administrator@example.com などの完全修飾名である必要があります（Administrator だけでなく）。

（注）

この情報から ldap-login-dn と ldap-login-password が生成されます。たとえば、Administrator@example.com は cn=administrator,cn=users,dc=example,dc=com に変換されます。cn=users は常にこの変換の一部であるため、ここで指定するユーザーは、共通名の「users」フォルダの下で設定する必要があります。

[ベース識別名（Base Distinguished Name）]：ユーザーおよびグループ情報、つまり、ユーザーとグループの共通の親を検索またはクエリするためのディレクトリツリー。例、cn=users,dc=example,dc=com。
[ADプライマリドメイン（AD Primary Domain）]：デバイスが参加する必要がある完全修飾 AD ドメイン名。例、example.com。

ステップ 7

ディレクトリサーバのプロパティを設定します。

[ホスト名またはIPアドレス（Hostname/IP Address）]：ディレクトリサーバーのホスト名または IP アドレス。サーバに対して暗号化された接続を使用する場合、IP アドレスではなく、完全修飾ドメイン名を入力する必要があります。
[ポート（Port）]：サーバーとの通信に使用するポート番号。デフォルトは 389 です。暗号化方式として LDAPS を選択する場合は、ポート 636 を使用します。
[暗号化（Encryption）]：ユーザーおよびグループの情報のダウンロードに暗号化された接続を使用するには、希望の方法（[STARTTLS] または [LDAPS]）を選択します。デフォルトでは [なし（None）] になっており、ユーザおよびグループの情報がクリアテキストでダウンロードされます。
- [STARTTLS] では、暗号化方式をネゴシエートし、ディレクトリサーバーでサポートされる最も強力な方式を使用します。ポート 389 を使用します。このオプションは、リモートアクセス VPN にレルムを使用する場合はサポートされません。
- [LDAPS] では、LDAP over SSL が必要です。ポート 636 を使用します。
[信頼できるCA証明書（Trusted CA Certificate）]：暗号化方式を選択する場合、認証局（CA）の証明書をアップロードして、システムとディレクトリサーバーの間で信頼できる接続を有効化します。認証に証明書を使用する場合、証明書のサーバ名は、サーバの [ホスト名/IPアドレス（Hostname/IP Address）] と一致する必要があります。たとえば、IP アドレスとして 10.10.10.250 を使用しているのに、証明書で ad.example.com を使用すると接続が失敗します。

ステップ 8

（オプション）[テスト（Test）] ボタンを使用して、構成を検証します。

ステップ 9

（オプション）[別の構成を追加（Add another configuration）] をクリックして、複数の AD サーバーを AD レルムに追加します。AD サーバーは互いの複製である必要があり、同じ AD ドメインをサポートする必要があります。したがって、ディレクトリ名、ディレクトリパスワード、ベース識別名などの基本的なレルムプロパティは、その AD レルムに関連付けられたすべての AD サーバーで同じである必要があります。

ステップ 10

[追加（Add）] をクリックします。

ステップ 11

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

FTD アクティブディレクトリレルムオブジェクトの編集

アイデンティティソースオブジェクトの編集時にアイデンティティソースタイプを変更できないことに注意してください。正しいタイプの新しいオブジェクトを作成する必要があります。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと検索フィールドを使用して、編集するオブジェクトを見つけます。
ステップ 3	編集するオブジェクトを選択します。
ステップ 4	詳細パネルの [アクション（Actions）] ペインにある編集アイコンをクリックします。
ステップ 5	ダイアログボックスの値を、上記の手順で作成したときと同じ方法で編集します。下に表示される設定バーを展開し、ホスト名/IP アドレスや暗号化情報を編集またはテストします。
ステップ 6	[保存（Save）] をクリックします。
ステップ 7	Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。
ステップ 8	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

RADIUS サーバーオブジェクトまたはグループの作成または編集

RADIUS サーバーオブジェクトまたはグループについて

RADIUS サーバーオブジェクトや RADIUS サーバーオブジェクトのグループなどの ID ソースオブジェクトを作成または編集すると、Security Cloud Control は SDC を介して設定要求を FDM による管理デバイスに送信します。次に FDM による管理デバイスは、設定された AD レルムと通信します。

RADIUS サーバーオブジェクトの作成

RADIUS サーバーは、AAA（認証、認可、アカウンティング）サービスを提供します。

次の手順を使用して、オブジェクトを作成します。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	をクリックしてから、[RA VPNオブジェクト（ASAおよびFTD）（RA VPN Objects (ASA & FTD)）] > [アイデンティティソース（Identity Source）]をクリックします。
ステップ 3	オブジェクトの [オブジェクト名（Object name）] を入力します。
ステップ 4	[デバイスタイプ（Device Type）] として [FTD] を選択します。
ステップ 5	[アイデンティティソース（Identity Source）] タイプとして [RADIUSサーバー（RADIUS Server）] を選択します。[続行（Continue）] をクリックします。
ステップ 6	次のプロパティを使用して ID ソース設定を編集します。 [サーバー名または IP アドレス（Server Name or IP Address）]：サーバーの完全修飾ホスト名（FQDN）または IP アドレス。 [認証ポート（Authentication Port）]（オプション）：RADIUS 認証および承認が行われるポートです。デフォルトは 1812 です。 [タイムアウト（Timeout）]：次のサーバーに要求を送信する前にサーバーからの応答を待機する時間の長さ（1 ～ 300 秒）。デフォルトは 10 秒です。 [サーバー秘密キー（Server Secret Key）] の入力（オプション）：Firepower Threat Defense デバイスと RADIUS サーバー間でデータを暗号化するために使用される共有秘密。キーは、大文字と小文字が区別される最大 64 文字の英数字文字列です。スペースは使用できません。キーは、英数字または下線で開始する必要があります。特殊文字 $ & - _ . + @ を使用できます。文字列は、RADIUS サーバーで設定された文字列と一致している必要があります。秘密キーを設定していない場合、接続は暗号化されません。
ステップ 7	ネットワークで Cisco Identity Services Engine（ISE）をすでに設定してて、リモートアクセス VPN の認可変更設定のためにサーバーを使用している場合は、[RA VPNのみ（RA VPN Only）] リンクをクリックし、次の項目を設定します。 [ACLのリダイレクト（Redirect ACL）]：RA VPN リダイレクト ACL を使用する拡張アクセス制御リスト（ACL）を選択します。拡張 ACL がない場合は、FDM による管理デバイスコンソールの Smart CLI テンプレートから必要な拡張 ACL オブジェクトを作成する必要があります。デバイスが実行しているバージョンについては、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Advanced Configuration」の章の「Configuring Smart CLI Objects」セクションを参照してください。リダイレクト ACL の目的は、クライアントポスチャを評価するために、初期トラフィックを ISE に送信することです。ACL は、ISE に HTTPS トラフィックを送信しますが、ISE 宛てのトラフィックや、名前解決のために DNS サーバーに送信されるトラフィックは送信しません。デバイスが実行しているバージョンについては、『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Virtual Private Networks (VPN)」の章の「Configure Change of Authorization」セクションを参照してください。 [診断インターフェース（Diagnostic Interface）]：このオプションを有効にすると、システムは常に「診断」インターフェースを使用してサーバーと通信できるようになります。このオプションを無効のままにすると、Security Cloud Control はデフォルトでルーティングテーブルを使用して、使用するインターフェイスを決定します。
ステップ 8	[追加（Add）] をクリックします。
ステップ 9	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

RADIUS サーバーグループの作成

RADIUS サーバーグループには、1 つまたは複数の RADIUS サーバーオブジェクトが含まれています。グループ内のサーバーは、相互にコピーされる必要があります。グループ内のサーバーでバックアップサーバーのチェーンが形成されるため、最初のサーバーが利用できなった場合、システムはリスト上の次のサーバーを試すことができます。

次の手順を使用して、オブジェクトグループを作成します。

手順

ステップ 1

左側のペインでオブジェクトをクリックします。

ステップ 2

をクリックしてから、[FTD] > [アイデンティティソース（Identity Source）]をクリックします。

ステップ 3

オブジェクトの [オブジェクト名（Object name）] を入力します。

ステップ 4

[デバイスタイプ（Device Type）] として [FTD] を選択します。

ステップ 5

[IDソースタイプ（Identity Source Type）] として [RADIUSサーバーグループ（RADIUS Server Group）] を選択します。[続行（Continue）] をクリックします。

ステップ 6

次のプロパティを使用して ID ソース設定を編集します。

[デッドタイム（Dead Time）]：失敗したサーバーは、すべてのサーバーが失敗した後にのみ再アクティブ化されます。デッドタイムは、最後のサーバーが失敗した後にすべてのサーバーを再アクティブ化するまで待機する時間の長さです。
[最大失敗試行回数（Maximum Failed Attempts）]：次のサーバーを試行する前に、グループ内の RADIUS サーバーに送信されて失敗した要求の数（応答がなかった要求の数）。最大失敗試行回数を超えると、システムはそのサーバーを故障としてマークします。特定の機能について、ローカルデータベースを使用するフォールバック方式を設定していて、グループ内のすべてのサーバーが応答に失敗した場合、そのグループは非応答と見なされ、フォールバック方式が試行されます。サーバーグループはデッドタイムの間、非応答とマークされたままになるため、その期間内に追加の AAA 要求でサーバーグループへの接続は試行されず、フォールバック方式がすぐに使用されます。
（任意）[ダイナミック認証/ポート（Dynamic Authorization/Port）]：RADIUS サーバーグループ向けの RADIUS ダイナミック認証または認可変更（CoA）サービスを有効にすると、そのグループは CoA 通知用に登録され、Cisco Identity Services Engine（ISE）からの CoA ポリシー更新を指定したポートでリッスンします。このサーバーグループを ISE と併せてリモートアクセス VPN で使用する場合にのみ動的認可をイネーブルにします。

ステップ 7

ドロップダウンメニューから、RADIUS サーバーをサポートする AD レルムを選択します。AD レルムをまだ作成していない場合は、ドロップダウンメニューの [作成（Create）] をクリックします。

ステップ 8

[追加（Add）] ボタンをクリックして、既存の RADIUS サーバーオブジェクトを追加します。必要に応じて、このウィンドウから新しい RADIUS サーバーオブジェクトを作成できます。

（注）

リストの最初のサーバーは応答しなくなるまで使用されるため、作成したサーバーオブジェクトを優先して追加します。その後、FDM による管理デバイスはデフォルトでリスト内の次のサーバーに設定されます。

ステップ 9

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

RADIUS サーバーオブジェクトまたはグループの編集

RADIUS サーバーオブジェクトまたは RADIUS サーバーグループを編集するには、次の手順を使用します。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	オブジェクトフィルタと検索フィールドを使用して、編集するオブジェクトを見つけます。
ステップ 3	編集するオブジェクトを選択します。
ステップ 4	詳細パネルの [アクション（Actions）] ペインにある編集アイコンをクリックします。
ステップ 5	前述の手順で作成したのと同じ方法で、ダイアログボックスの値を編集します。ホスト名/IP アドレスまたは暗号化情報を編集またはテストするには、設定バーを展開します。
ステップ 6	[保存（Save）] をクリックします。
ステップ 7	Security Cloud Control は、変更の影響を受けるポリシーを表示します。[確認（Confirm）] をクリックして、オブジェクトとその影響を受けるポリシーへの変更を確定します。
ステップ 8	行った変更を今すぐレビューして展開するか、待機してから複数の変更を同時に展開します。

新しい RA VPN グループポリシーの作成

グループポリシーは、リモートアクセス VPN ユーザーの一連のユーザー指向属性値ペアです。接続プロファイルでは、トンネル確立後、ユーザー接続の条件を設定するグループポリシーが使用されます。グループポリシーを使用すると、ユーザーまたはユーザーのグループに属性セット全体を適用できるので、ユーザーごとに各属性を個別に指定する必要がありません。

システムには、「DfltGrpPolicy」という名前のデフォルトグループポリシーがあります。必要なサービスを提供するために追加のグループポリシーを作成することができます。

（注）

不整合のあるグループポリシーオブジェクトを RA VPN 設定に追加することはできません。グループポリシーを RA VPN 設定に追加する前に、すべての不整合を解決してください。

手順

ステップ 1	左側のペインでオブジェクトをクリックします。
ステップ 2	> [RA VPNオブジェクト（Cisco ASAおよびFTD）（RA VPN Objects (ASA & FTD)）] > [RA VPNグループポリシー（RA VPN Group Policy）] の順にクリックします。
ステップ 3	グループポリシーの名前を入力します。名前には最大 64 文字の長さを使用でき、スペースも使用できます。
ステップ 4	[デバイスタイプ] ドロップダウンで、[FTD] を選択します。
ステップ 5	次のいずれかを実行します。必要なタブをクリックし、そのページで属性を設定します。一般属性 AnyConnect クライアントプロファイルセッション設定属性アドレス割り当て属性スプリットトンネリング属性 AnyConnect 属性トラフィックフィルタ属性 Windows ブラウザプロキシ属性
ステップ 6	[保存（Save）] をクリックしてグループポリシーを作成します。

RA VPN グループポリシー属性

グループポリシーの全般的な属性では、グループの名前およびその他の基本設定を定義します。名前属性は唯一の必須属性です。

[DNSサーバー（DNS Server）]：VPN に接続する際、クライアントがドメイン名の解決に使用する DNS サーバークライアントを定義する DNS サーバーグループを選択します。必要なグループがまだ定義されていない場合は、[DNSグループの作成（Create DNS Group）] をクリックしてすぐに作成します。
Banner：ユーザーのログイン時に表示するバナーテキストまたはウェルカムメッセージです。デフォルトでは、バナーは表示されません。最大文字数は 496 文字です。AnyConnect クライアントは、部分的な HTML をサポートしています。リモートユーザーへバナーが適切に表示されることを確認するには、<BR> タグを使用して改行を示します。
[デフォルトドメイン（Default Domain）]：RA VPN 内のユーザーのデフォルトドメインの名前。例、example.com。このドメインは、完全修飾されていないホスト名（たとえば、serverA.example.com ではなく serverA）に追加されます。
[AnyConnectクライアントプロファイル（AnyConnect Client Profiles）]：[+] をクリックし、このグループに使用する AnyConnect クライアントプロファイルを選択します。「AnyConnect クライアントプロファイルの設定とアップロード」を参照してください。外部インターフェイスの完全修飾ドメイン名を設定すると（接続プロファイルで）、デフォルトプロファイルが自動的に作成されます。代わりに、自分用のクライアントプロファイルをアップロードすることもできます。スタンドアロン AnyConnect プロファイルエディタを使用してこれらのプロファイルを作成します。スタンドアロン AnyConnect プロファイルエディタは、software.cisco.com からダウンロードしてインストールできます。クライアントプロファイルを選択しない場合、AnyConnect クライアントはすべてのオプションにデフォルト値を使用します。このリストの項目は、プロファイル自体ではなく AnyConnect クライアントプロファイルオブジェクトです。新しいプロファイルを作成（およびアップロード）するには、ドロップダウンリストで [新規 AnyConnectクライアントプロファイルの作成（Create New AnyConnect Client Profile）] をクリックします。

AnyConnect クライアントプロファイル

この機能は、ソフトウェアバージョン 6.7 以降のバージョンを実行している Firewall Device Manager でサポートされています。

Cisco AnyConnect VPN クライアントは、さまざまな組み込みモジュールによって、強化されたセキュリティを提供します。これらのモジュールは、Web セキュリティ、エンドポイントフローに対するネットワークの可視性、オフネットワークローミング保護などのサービスを提供します。各クライアントモジュールには、要件に応じたカスタム設定のグループを含むクライアントプロファイルが含まれています。

VPN ユーザーが VPN AnyConnect クライアントソフトウェアをダウンロードするときに、クライアントにダウンロードする AnyConnect VPN プロファイルオブジェクトと AnyConnect モジュールを選択できます。

AnyConnect VPN プロファイルオブジェクトを選択または作成します。「RA VPN AnyConnect クライアントプロファイルのアップロード」を参照してください。DART および Start Before Login モジュールを除き、AnyConnect VPN プロファイルオブジェクトを選択する必要があります。
[AnyConnectクライアントモジュールの追加（Add Any Connect Client Module）] をクリックします。

次の AnyConnect モジュールはオプションであり、VPN AnyConnect クライアントソフトウェアとともに各モジュールがダウンロードされるように設定できます。
- AMP イネーブラ：エンドポイント向けの高度なマルウェア防御（AMP）を導入します。
- DART：システムログのスナップショットおよびその他の診断情報がキャプチャされて、.zip ファイルがデスクトップに作成されるため、トラブルシューティング情報を簡単に Cisco TAC に送信できます。
- フィードバック：お客様が有効にして使用している機能とモジュールに関する情報を提供します。
- ISE ポスチャ：OPSWAT ライブラリを使用してポスチャチェックを実行し、エンドポイントの適合性を評価します。
- Network Access Manager：有線とワイヤレスの両方のネットワークにアクセスするための 802.1X（レイヤ 2）とデバイス認証を備えています。
- Network Visibility：キャパシティとサービスの計画、監査、コンプライアンス、およびセキュリティ分析に関して、企業内管理者の実行能力を向上させます。
- Start Before Login：Windows のログインダイアログボックスが表示される前に AnyConnect を開始することにより、Windows にログインする前のユーザーを VPN 接続を介して企業インフラストラクチャに強制的に接続させます。
- Cisco Umbrella Roaming Security：アクティブな VPN がないときに DNS レイヤセキュリティを提供します。
- Web セキュリティ：定義されているセキュリティポリシーに基づいて、Web ページの要素を分析し、許容可能なコンテンツを許可し、悪意のあるコンテンツまたは許容できないコンテンツをブロックします。
[クライアントモジュール（Client Module）] リストで [AnyConnect] モジュールを選択します。
[プロファイル（Profile）] リストで、AnyConnect クライアントプロファイルを含むプロファイルオブジェクトを選択または作成します。
[モジュールのダウンロードを有効化（Enable Module Download）] をオンにすると、エンドポイントでプロファイルとともにクライアントモジュールをダウンロードできます。オフの場合、エンドポイントはクライアントプロファイルだけをダウンロードできます。

セッション設定属性

グループポリシーのセッションの設定は、VPN を通じて接続できる時間と、接続を確立できる個別の接続数を制御します。

[最大接続時間（Maximum Connection Time）]：ユーザーがログアウト、再接続せずに VPN に接続したままにできる最大時間（分）で、1 ～ 4473924 または空白で指定します。デフォルトは無制限（空白）ですが、その場合でもアイドルタイムアウトは適用されます。
[接続時間のアラート間隔（Connection Time Alert Interval）]：最大接続時間を指定した場合、アラート間隔は、次回の自動切断についてユーザーに警告を表示する最大時間に達するまでの時間を定義します。ユーザーは、接続を終了し、再接続してタイマーを再起動することを選択できます。デフォルトは 1 分です。1 ～ 30 分を指定できます。
[アイドルタイム（Idle Time）]：VPN 接続が自動的に閉じられる前にアイドル状態になる時間（分）で、1 ～ 35791394 で指定します。指定した時間、接続で通信アクティビティがない場合、システムは接続を停止します。デフォルトは 30 分です。
[アイドル時間のアラート間隔（Idle Time Alert Interval）]：アイドルセッションが原因の次回の自動切断について、ユーザーに警告を表示するアイドル時間に達するまでの時間。アクティビティがあるとタイマーがリセットされます。デフォルトは 1 分です。1 ～ 30 分を指定できます。
[ユーザーあたりの同時ログイン数（Simultaneous Login Per User）]：ユーザーに許可する同時接続の最大数。デフォルトは 3 です。1 ～ 2147483647 個の接続を指定できます。多数の同時接続を許可するとセキュリティの低下を招き、パフォーマンスに影響を及ぼす可能性があります。

アドレス割り当て属性

グループポリシーのアドレスの割り当て属性は、グループの IP アドレスプールを定義します。ここで定義されているプールで、このグループを使用するすべての接続プロファイルで定義済みのプールがオーバーライドされます。接続プロファイルで定義済みのプールを使用する場合は、これらの設定を空白のままにします。

[IPv4アドレスプール（IPv4 Address Pool）]、[IPv6アドレスプール（IPv6 Address Pool）]：これらのオプションは、リモートエンドポイントのアドレスプールを定義します。クライアントには、VPN 接続のために使用する IP バージョンに基づき、これらのプールからアドレスが割り当てられます。サポートする IP タイプごとにサブネットを定義するネットワークオブジェクトを選択します。当該 IP バージョンをサポートしない場合は、リストを空のままにします。たとえば、IPv4 プールを「10.100.10.0/24」と定義できます。アドレスプールは、外部インターフェイスの IP アドレスと同じサブネット上に存在することはできません。ローカルアドレスの割り当てに使用する最大 6 個のアドレスプールのリストを指定できます。プールの指定順序は重要です。システムでは、プールの表示順に従いプールからアドレスが割り当てられます。
[DHCPスコープ（DHCP Scope）]：接続プロファイルのアドレスプールに DHCP サーバーを設定した場合、DHCP スコープはこのグループのプールに使用するサブネットを識別します。DHCP サーバーには、そのスコープによって識別される同じプール内のアドレスも設定されている必要があります。スコープを使用すると、この特定のグループに使用する DHCP サーバーで定義されているアドレスプールのサブセットを選択できます。ネットワークスコープを定義しない場合、DHCP サーバーはアドレスプールの設定順にプール内を探して IP アドレスを割り当てます。未割り当てのアドレスが見つかるまで、プールが順に検索されます。スコープを指定するには、ネットワーク番号のホストアドレスを含むネットワークオブジェクトを選択します。オブジェクトがまだ存在しない場合は、[新しいネットワークの作成（Create New Network）] をクリックします。たとえば、192.168.5.0/24 サブネットプールのアドレスを使用するように DHCP サーバーに指示するには、ホストアドレスとして 192.168.5.0 を指定するネットワークオブジェクトを選択します。DHCP は IPv4 アドレス指定にのみ使用することができます。

スプリットトンネリング属性

グループポリシーのスプリットトンネリング属性は、システムが内部ネットワーク用のトラフィックと外部方向トラフィックを処理する方法を定義します。スプリットトンネリングは、VPN トンネル（暗号化）と VPN トンネル外の残りのネットワークトラフィック（非暗号化、つまりクリアテキスト）を介して一部のネットワークトラフィックを誘導します。

[IPv4スプリットトンネリング（IPv4 Split Tunneling）]、[IPv6スプリットトンネリング（IPv6 Split Tunneling）]：トラフィックが IPv4 または IPv6 アドレスを使用するかどうかに基づいて、さまざまなオプションを指定できますが、それぞれのオプションは同じです。スプリットトンネリングを有効にする場合は、ネットワークオブジェクトを選択する必要があるいずれかのオプションを指定します。
- [トンネル経由のトラフィックをすべて許可する（Allow all traffic over tunnel）]：スプリットトンネリングを行いません。ユーザーが RA VPN 接続を行うと、そのユーザーのトラフィックはすべて保護されたトンネルを通過します。これがデフォルトです。最も安全なオプションであるとも考えられます。
- [トンネル経由で指定されたトラフィックを許可する（Allow specified traffic over the tunnel）]：宛先ネットワークとホストアドレスを定義するネットワークオブジェクトを選択します。これらの宛先へのトラフィックすべては、保護されたトンネルを通過します。その他すべての宛先へのトラフィックは、クライアントによって、トンネル外の接続（ローカル Wi-Fi やネットワーク接続など）にルーティングされます。
- [以下に指定したネットワークを除外する（Exclude networks specified below）]：宛先ネットワークまたはホストアドレスを定義するネットワークオブジェクトを選択します。クライアントは、指定された宛先へのトラフィックをトンネル外の接続にルーティングします。他の宛先へのトラフィックはトンネルを通過します。
[スプリットDNS（Split DNS）]：クライアントが、そのクライアントで設定されている DNS サーバーに他の DNS 要求を送信することを許可しながら、セキュアな接続を介して一部の DNS 要求を送信するようにシステムを設定できます。次の DNS 動作を設定できます。
- [スプリットトンネルポリシーに従ってDNS要求を送信する（Send DNS Request as per split tunnel policy）]：このオプションを選択すると、スプリットトンネルオプションが定義されているのと同じ方法で DNS 要求が処理されます。スプリットトンネリングを有効にすると、DNS 要求は宛先アドレスに基づいて送信されます。スプリットトンネリングを有効にしていない場合、DNS 要求はすべて保護された接続を介します。
- [常にトンネル経由でDNS要求を送信する（Always send DNS requests over tunnel）]：スプリットトンネリングを有効にするが、すべての DNS 要求を保護された接続を介して、グループで定義された DNS サーバーに送信する場合は、このオプションを選択します。
- [指定したドメインのみをトンネル経由で送信（Send only specified domains over tunnel）]：保護された DNS サーバーが特定のドメインのアドレスだけを解決するようする場合は、このオプションを選択します。次に、ドメインを指定します。ドメイン名はコンマで区切ります。例：example.com, example1.com。内部 DNS サーバーが内部ドメインの名前を解決し、外部 DNS サーバーが他のすべてのインターネットトラフィックを処理するようにする場合は、このオプションを使用します。

AnyConnect 属性

グループポリシーの AnyConnect 属性は、AnyConnect クライアントでリモートアクセス VPN 接続に使用されるいくつかの SSL および接続設定を定義します。

SSL 設定
- [Datagram Transport Layer Security（DTLS）の有効化（Enable Datagram Transport Layer Security (DTLS)）]：AnyConnect クライアントが SSL トンネルと DTLS トンネルの 2 つのトンネルを同時に使用することを許可するかどうかを指定します。DTLS によって、一部の SSL 接続に関連する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイムアプリケーションのパフォーマンスが向上します。DTLS をイネーブルにしない場合、SSL VPN 接続を確立している AnyConnect クライアントユーザーは SSL トンネルのみで接続します。
- [DTLS圧縮（DTLS Compression）]：LZS を使用してこのグループの Datagram Transport Layer Security（DTLS）接続を圧縮するかどうかを指定します。[DTLS圧縮（DTLS Compression）] はデフォルトで無効になっています。
- [SSL圧縮（SSL Compression）]：データ圧縮を有効にするかどうかを指定します。有効にする場合、使用するデータ圧縮の方法は（[圧縮（Deflate）] または [LZS]）です。[SSL圧縮（SSL Compression）] はデフォルトで無効になっています。データ圧縮により、伝送速度は上がりますが、各ユーザーセッションのメモリ要件と CPU 使用率も高くなるため、SSL 圧縮はデバイスの全体的なスループットを低下させます。
- [SSLキーの再生成方法（SSL Rekey Method）]、[SSLキーの再生成間隔（SSL Rekey Interval）]：クライアントは、暗号キーと初期化ベクトルを再ネゴシエーションしながら VPN 接続キーを再生成して、接続のセキュリティを強化します。[なし（None）] を選択して、キーの再生成を無効にします。キーの再生成を有効にするには、新しいトンネルを作成するたびに [新しいトンネル（New Tunnel）] を選択します（[既存のトンネル（Existing Tunnel）] オプションは、[新しいトンネル（New Tunnel）] と同じアクションになります）。キーの再生成を有効にする場合は、キーの再生成間隔も設定します。デフォルトは 4 分です。間隔は、4 ～ 10080 分（1 週間）の範囲で設定できます。
接続の設定
- [DF（Don't Fragment）ビットを無視する（Ignore the DF (Don't Fragment) bit）]：フラグメント化が必要なパケットの Don't Fragment（DF）ビットを無視するかどうかを指定します。DF ビットが設定されているパケットの強制フラグメンテーションを許可し、それらのパケットがトンネルを通過できるようにするには、このオプションを選択します。
- [クライアントバイパスプロトコル（Client Bypass Protocol）]：セキュアゲートウェイによる（IPv6 トラフィックだけを予期しているときの）IPv4 トラフィックの管理方法や、（IPv4 トラフィックだけを予期しているときの）IPv6 トラフィックの管理方法を設定することができます。
  
  AnyConnect クライアントがヘッドエンドに VPN 接続するときに、ヘッドエンドは IPv4 と IPv6 の一方または両方のアドレスを割り当てます。ヘッドエンドが AnyConnect 接続に IPv4 アドレスのみ、または IPv6 アドレスのみを割り当てた場合、ヘッドエンドが IP アドレスを割り当てなかったネットワークトラフィックについて、Client Bypass Protocol によってそのトラフィックをドロップさせるか（デフォルト、無効、オフ）、またはヘッドエンドをバイパスしてクライアントからの暗号化なし、つまり「クリアテキスト」としての送信を許可するか（有効、オン）を設定できます。
  
  たとえば、セキュアゲートウェイが AnyConnect 接続に IPv4 アドレスだけを割り当て、エンドポイントがデュアルスタックされていると想定してください。このエンドポイントが IPv6 アドレスへの到達を試みたときに、クライアントバイパスプロトコルが無効の場合は、IPv6 トラフィックがドロップされますが、クライアントバイパスプロトコルが有効の場合は、IPv6 トラフィックはクライアントからクリアテキストとして送信されます。
- [MTU]：Cisco AnyConnect VPN Client によって確立された SSL VPN 接続の最大伝送ユニット（MTU）サイズ。デフォルトは 1406 バイトで、範囲は 576 〜 1462 バイトです。
  - [AnyConnectとVPNゲートウェイ間のキープアライブメッセージ（Keepalive Messages Between AnyConnect and VPN Gateway）]：トンネルでのデータの送受信にピアを使用できることを示すために、ピア間でキープアライブメッセージを交換するかどうかを指定します。キープアライブメッセージは、設定された間隔で送信されます。デフォルトの間隔は 20 秒、有効な範囲は 15 ～ 600 秒です。
  - [ゲートウェイ側の間隔でのDPD（DPD on Gateway Side Interval）]、[クライアント側の間隔でのDPD（DPD on Client Side Interval）]：ピアが応答しなくなったときに VPN ゲートウェイまたは VPN クライアントによる迅速な検出を確実に実行するには、Dead Peer Detection（DPD; デッドピア検出）を有効にします。ゲートウェイまたはクライアント DPD を個別に有効にすることができます。DPD メッセージのデフォルトの送信間隔は 30 秒です。間隔は、5～3600 秒にすることができます。

トラフィックフィルタ属性

グループポリシーのトラフィックフィルタ属性は、グループに割り当てられているユーザーに適用する制限を定義します。アクセスコントロールポリシールールを作成する代わりにこれらの属性を使用することで、ホストまたはサブネットアドレスとプロトコル、または VLAN に基づいて、RA VPN ユーザーのアクセスを特定のリソースに制限できます。デフォルトでは、RA VPN ユーザーは、保護されたネットワーク上の宛先へのアクセスがグループポリシーによって制限されることはありません。

[アクセスリストフィルタ（Access List Filter）]：拡張アクセス制御リスト（ACL）を使用してアクセスを制限します。Smart CLI 拡張 ACL オブジェクトを選択します。拡張 ACL では、送信元アドレス、宛先アドレス、およびプロトコル（IP や TCP など）に基づいてフィルタリングできます。ACL はトップダウン方式で最初に一致したものから評価されるため、具体的なルールはより一般的なルールの前に配置してください。ACL の末尾には、暗黙的な「deny any」があるため、いくつかのサブネットへのアクセスを拒否しながら、他のすべてのアクセスを許可する場合は、ACL の最後に「permit any」ルールを含めてください。拡張 ACL スマート CLI オブジェクトを編集しながらネットワークオブジェクトを作成することはできないため、グループポリシーを編集する前に、ACL を作成する必要があります。そうしないと、単純にオブジェクトを作成し、後でもう一度ネットワークオブジェクトを作成し、その後で必要なすべてのアクセス制御エントリを作成する必要があります。ACL を作成するには、Firewall Device Manager にログインして、[デバイス（Device）] > [詳細設定（Advanced Configuration）] > [スマートCLI（Smart CLI）] > [オブジェクト（Objects）] に移動し、オブジェクトを作成して、オブジェクトタイプとして [拡張アクセスリスト（Extended Access List）] を選択します。
[VPNをVLANに制限（Restrict Access to VLAN）]：「VLAN マッピング」とも呼ばれるこの属性で、このグループポリシーが適用されるセッションの出力 VLAN インターフェイスを指定します。システムは、このグループからのトラフィックすべてを、選択した VLAN に転送します。この属性を使用して VLAN をグループポリシーに割り当て、アクセスコントロールを簡素化します。この属性に値を割り当てる方法は、ACL を使用してセッションのトラフィックをフィルタリングする方法の代替方法です。デバイスのサブインターフェイスで定義されている VLAN 番号を指定していることを確認します。値の範囲は 1 ～ 4094 です。

Windows ブラウザプロキシ属性

グループポリシーの Windows ブラウザプロキシ属性は、ユーザーのブラウザで定義されたプロキシが動作しているかどうか、およびその動作方法を判断します。

[VPNセッション中のブラウザプロキシ（Browser Proxy During VPN Session）] に対して次のいずれかの値を選択できます。

[エンドポイント設定のまま（No change in endpoint settings）]：HTTP のブラウザプロキシを設定するかどうかをユーザーが決定できます。設定されている場合、そのプロキシが使用されます。
[ブラウザプロキシの無効化（Disable browser proxy）]：ブラウザに定義されているプロキシ（ある場合）を使用しません。どのブラウザ接続もプロキシを経由しません。
[自動検出設定（Auto detect settings）]：クライアントデバイスのブラウザでの自動プロキシサーバー検出の使用を有効にします。
[カスタム設定を使用（Use custom settings）]：HTTP トラフィックに対してすべてのクライアントデバイスで使用する必要があるプロキシを定義します。次を設定します。
- [プロキシサーバーのIPまたはホスト名（Proxy Server IP or Hostname）]、[ポート（Port）]：プロキシサーバーの IP アドレスまたはホスト名、およびプロキシサーバーが使用するプロキシ接続のポート。ホストとポートを組み合わせた文字数が 100 文字を超えることはできません。
- [ブラウザプロキシ免除リスト（Browser Proxy Exemption List）]：免除リストにあるホスト/ポートへの接続はプロキシを経由しません。プロキシを使用すべきでない宛先のすべてのホスト/ポート値を追加します。例：www.example.com ポート 80。[プロキシ例外の追加（Add proxy exception）] をクリックしてリストに項目を追加します。項目を削除するには、ごみ箱アイコンをクリックします。すべてのアドレスとポートを合わせたプロキシ例外リスト全体で、255 文字を超えることはできません。

RA VPN 設定の作成

Security Cloud Control を使用すると、1 つ以上の FDM による管理デバイスを RA VPN 構成ウィザードに追加し、デバイスに関連付けられた VPN インターフェイス、アクセス制御、および NAT 免除設定を設定できます。したがって、各 RA VPN 設定には、RA VPN 設定に関連付けられた複数の FDM による管理デバイス間で共有される接続プロファイルとグループポリシーを含めることができます。さらに、接続プロファイルとグループポリシーを作成して、設定を拡張できます。

RA VPN 設定がすでに設定されている FDM による管理デバイス、または RA VPN 設定がない新しいデバイスをオンボードできます。RA VPN 設定がすでにある FDM による管理デバイスをオンボードすると、Security Cloud Control は自動的に「デフォルトの RA VPN 設定」を作成し、FDM による管理デバイスをこの設定に関連付けます。このデフォルト設定には、デバイスで定義されているすべての接続プロファイルオブジェクトを含めることができます。

重要	同じリモートアクセス VPN 設定には、Cisco ASA と FDM による管理デバイスを追加できません。 FDM による管理デバイスに、1 つ以上の RA VPN 設定は設定できません。

前提条件

FDM による管理デバイスを RA VPN 設定に追加する前に、次の前提条件が満たされている必要があります。

FDM による管理デバイスに以下が含まれていることを確認します。
- 有効なライセンス。詳細については、「リモートアクセス VPN のライセンス要件」を参照してください。
- FDM バージョン 6.4.0 の場合、少なくとも 1 つの AnyConnect ソフトウェアパッケージがデバイスに事前にアップロードされていることを確認してください。詳細については、「AnyConnect ソフトウェアパッケージの Firepower Threat Defense デバイスバージョン 6.4.0 へのアップロード」を参照してください。
- FDM バージョン 6.5.0 以降では、Security Cloud Control を使用して AnyConnect パッケージをアップロードできます。詳細については、「AnyConnect ソフトウェアパッケージの Firepower Threat Defense デバイスバージョン 6.5.0 へのアップロード」を参照してください。
- 保留中の設定展開がない。
FDM の変更は Security Cloud Control に同期されます。
1. 左側のペインで、セキュリティデバイスをクリックし、同期する 1 つ以上の FDM による管理デバイスを検索します。
2. 1 つ以上のデバイスを選択し、[変更の確認（Check for Changes）] をクリックします。Security Cloud Control は 1 つ以上の FDM による管理デバイスと通信して変更を同期します。
RA VPN 設定グループポリシーのオブジェクトは一貫しています。
- 一貫性のないすべてのグループポリシーのオブジェクトは RA VPN 設定に追加できないため、それらが解決されていることを確認します。問題に対処するか、一貫性のないグループポリシーのオブジェクトを [オブジェクト（Objects）] ページから削除します。詳細については、「重複オブジェクト問題の解決」および「一貫性のないオブジェクト問題の解決」を参照してください。
FDM による管理デバイスの RA VPN グループポリシーは、RA VPN 設定グループポリシーと一致しています。

手順

ステップ 1

左側のペインで [セキュアな接続（Secure Connections）] > [リモートアクセスVPN（Remote Access VPN）] > [ASAとFDM（ASA & FDM）] をクリックします。

ステップ 2

青色のプラスボタンをクリックして、新しい RA VPN 設定を作成します。

ステップ 3

リモートアクセス VPN の設定の名前を入力します。

ステップ 4

青色のプラスボタンをクリックして、FDM による管理デバイスを設定に追加します。デバイスの詳細を追加し、デバイスに関連付けられたネットワークトラフィック関連の権限を設定できます。

次のデバイスの詳細を提供します。

[デバイス（Device）]：追加する FDM による管理デバイスを選択し、[選択（Select）] をクリックします。

重要	同じリモートアクセス VPN 設定には、Cisco ASA と FDM による管理デバイスを追加できません。

[デバイスアイデンティティ証明書（Certificate of Device Identity）]：デバイスのアイデンティティを確立するために使用する内部証明書を選択します。内部証明書は、AnyConnect クライアントがデバイスへの接続を行うときにデバイスのアイデンティティを確立します。安全な VPN 接続を完了するには、クライアントがこの証明書を承認する必要があります。まだ証明書がない場合、ドロップダウンリストの [新規内部証明書の作成（Create New Internal Certificate）] をクリックします。「自己署名内部および内部 CA 証明書の生成」を参照してください。
[外部インターフェイス（Outside Interface）]：リモートアクセス VPN 接続を確立するときにユーザーが接続するインターフェイス。これは、通常外部（インターネットに接続された）インターフェイスですが、デバイスとこの接続プロファイルがサポートしているエンドユーザー間のいずれかのインターフェイスを選択します。新しいサブインターフェイスを作成するには、「Firepower VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。
[外部インターフェイスの完全修飾ドメイン名またはIP（Fully-qualified Domain Name or IP for the Outside Interface）]：インターフェイスの名前（例、ravpn.example.com）または IP アドレスを指定する必要があります。名前を指定すると、クライアントプロファイルが作成されます。注：ユーザーは、クライアントによって VPN で使用される DNS サーバーが、この名前から外部インターフェイスの IP アドレスを解決できるようにする必要があります。関連する DNS サーバーに FQDN を追加します。

[続行（Continue）] をクリックして、トラフィックの権限を設定します。
- [復号されたトラフィック（sysopt permit-vpn）に対するバイパスアクセスコントロールポリシー（Bypass Access Control policy for decrypted traffic (sysopt permit-vpn)）]：デフォルトでは、復号されたトラフィックは、アクセスコントロールポリシーの検査の対象になります。このオプション [複合されたトラフィックのバイパス（bypasses the decrypted traffic）] オプションを有効にすると、アクセスコントロールポリシーの検査がバイパスされますが、AAA サーバーからダウンロードされた VPN フィルタ ACL と認証 ACL は、VPN トラフィックに引き続き適用されます。このオプションを選択すると、システムによりグローバル設定である sysopt connection permit-vpn コマンドが設定されることに注意してください。これは、サイト間 VPN 接続の動作にも影響を及ぼします。このオプションを選択しない場合、外部ユーザーがリモートアクセス VPN アドレスプール内の IP アドレスをスプーフィングし、ネットワークにアクセスするおそれがあります。この理由は、アドレスプールに内部リソースへのアクセスを許可するアクセスコントロールルールを作成する必要があるためです。アクセスコントロールルールを使用する場合は、送信元 IP アドレスだけではなく、ユーザーの仕様を使用してアクセスを制御することを検討してください。このオプションを選択することの欠点は、VPN トラフィックが検査されないことです。つまり、侵入およびファイル保護、URL フィルタリング、またはその他の高度な機能がトラフィックに適用されません。つまり、このトラフィックに対する接続イベントは生成されず、VPN 接続は統計ダッシュボードには反映されません。
- [NAT免除（NAT Exempt）]：リモートアクセス VPN エンドポイントとの入出力トラフィックに対する NAT 変換を免除するには、NAT 免除を有効にします。VPN トラフィックを NAT 免除にしない場合は、外部および内部インターフェイスに対する既存の NAT ルールが RA VPN アドレスプールに適用されないことを確認してください。NAT 免除ルールは特定の送信元/宛先インターフェイスとネットワークの組み合わせに対する手動スタティックアイデンティティ NAT ルールですが、NAT ポリシーには反映されず、非表示になります。NAT 免除を有効にした場合、以下も設定する必要があります。
  - [内部インターフェイス（Inside Interfaces）]：リモートユーザーがアクセスする内部ネットワークのインターフェイスを選択します。これらのインターフェイスには NAT ルールが作成されます。
  - [内部ネットワーク（Inside Networks）]：リモートユーザーがアクセスする内部ネットワークを表すネットワークオブジェクトを選択します。ネットワークリストには、サポートしているアドレスプールと同じ IP タイプを含める必要があります。

ステップ 5

[OK] をクリックします。

Firewall Device Manager バージョン 6.4.0 デバイスをオンボードしている場合、[検出されたAnyConnectパッケージ（AnyConnect Packages Detected）] には、デバイスで使用可能な AnyConnect パッケージが表示されます。
Firewall Device Manager バージョン 6.5.0 以降のデバイスをオンボードしている場合は、AnyConnect パッケージが事前にアップロードされているサーバーから AnyConnect パッケージを追加する必要があります。手順については、「FDM 管理対象バージョン 6.5.0 への AnyConnect ソフトウェアパッケージのアップロード」を参照してください。

ステップ 6

[OK] をクリックします。デバイスが設定に追加されます。

次のタスク

（注）

設定を選択し、[アクション（Actions）] で適切なアクションをクリックします。

[グループポリシー（Group Policies）]：グループポリシーを追加または削除します。
- [+] をクリックして、必要なグループポリシーを選択します。新しい RA VPN グループポリシーを作成するには、「新しい FTD RA VPN グループポリシーの作成」を参照してください。
[削除（Remove）]：選択した RA VPN 設定を削除します。

RA VPN 設定の変更

既存の RA VPN 設定の名前とデバイスの詳細を変更できます。

手順

変更する設定を選択し、[アクション（Actions）] の下で [編集（Edit）] をクリックします。

必要に応じて名前を変更します。
青色のプラスボタンをクリックして、新しいデバイスを追加します。
をクリックして、FDM による管理デバイスで次の手順を実行します。
- [編集（Edit）] をクリックして、既存の RA VPN 設定を変更します。
- [削除（Remove）] をクリックして、RA VPN 設定から FDM による管理デバイスを削除します。グループポリシーを除き、そのデバイスに関連付けられているすべての接続プロファイルと RA VPN 設定が削除されます。グループポリシーは、オブジェクトページから明示的に削除できます。注：設定を使用している唯一のデバイスが FDM による管理デバイスの場合は削除できません。代わりに、RA VPN 設定を削除できます。

設定またはデバイスの名前を入力して、リモートアクセス VPN 設定を検索することもできます。

RA VPN 接続プロファイルの設定

RA VPN 接続プロファイルの定義する接続特性では、外部ユーザーが AnyConnect クライアントを使用してシステムに VPN 接続することを許可します。各プロファイルは、ユーザーの認証に使用される AAA サーバーと証明書、ユーザーの IP アドレスを割り当てるためのアドレスプール、およびさまざまなユーザー関連の属性を定義するグループポリシーを定義します。

異なるユーザーグループに異なるサービスを提供する必要がある場合、または異なる認証ソースがある場合は、RA VPN 設定内に複数のプロファイルを作成できます。たとえば、自分の組織が異なる認証サーバーを使用する別の組織とマージする場合、別の組織の認証サーバーを使用する新しいグループのプロファイルを作成できます。

RA VPN 接続プロファイルを作成すると、ユーザーは、ホームネットワークなどの外部ネットワークから内部ネットワークに接続できるようになります。異なる認証方式に対応するために、個別のプロファイルを作成します。

はじめる前に

リモートアクセス（RA）VPN 接続を設定する前に、以下のことを行います。

リモートアクセス VPN 接続を終了する外部インターフェイスは、HTTPS 接続を許可する管理アクセスリストを持つこともできません。RA VPN を設定する前に、外部インターフェイスから HTTPS ルールを削除します。『Firepower Device Manager 向け Cisco Firepower Threat Defense 構成ガイド（バージョン X.Y）』内の「システム管理」の章の「管理アクセスリストの構成」を参照してください。
RA VPN 構成を作成します。『RA VPN 構成の作成』を参照してください。

手順

ステップ 1

左側のペインで [セキュアな接続（Secure Connections）] > [リモートアクセスVPN（Remote Access VPN）] > [ASAとFDM（ASA & FDM）] をクリックします。VPN 設定をクリックして、現在設定されている接続プロファイルおよびグループポリシーの数に関する概要情報を表示できます。

ステップ 2

接続プロファイルをクリックし、右側のサイドバーの [アクション（Actions）] で [接続プロファイルの追加（Add Connection Profile）] をクリックします。

ステップ 3

基本接続の属性を設定します。

[接続プロファイル名（Connection Profile Name）]：スペースを含めずに最大 50 文字で、この接続の名前を指定します。例、MainOffice。

（注）

ここで入力する名前が、AnyConnect クライアントの接続リストに表示されます。ユーザーにとって意味のある名前を選択します。

[グループエイリアス（Group Alias）]、[グループURL（Group URL）]：エイリアスには特定の接続プロファイルの代替名または URL が含まれます。VPN ユーザーは、FDM による管理デバイスへの接続時に、AnyConnect クライアントの接続リストでエイリアス名を選択できます。接続プロファイル名はグループのエイリアスとして自動的に追加されます。グループ URL のリストも設定できます。このリストは、リモートアクセス VPN 接続を開始するときにエンドポイントが選択できるリストです。ユーザーがグループ URL を使用して接続すると、システムはその URL に一致する接続プロファイルを自動的に使用します。この URL は、AnyConnect クライアントをまだインストールしていないクライアントによって使用されます。グループエイリアスと URL を必要な数だけ追加します。これらのエイリアスと URL は、デバイスで定義されているすべての接続プロファイルで一意である必要があります。グループ URL は https:// で始まる必要があります。
たとえば、エイリアスは Contractor、グループ URL は https://ravpn.example.com/contractor のように指定できます。AnyConnect クライアントをインストールすると、ユーザーは単純に AnyConnect VPN の接続ドロップダウンリストでグループエイリアスを選択します。

ステップ 4

プライマリアイデンティティソース、および必要に応じてセカンダリソースを設定します。これらのオプションにより、リモートアクセス VPN 接続を有効にするための、デバイスへのユーザー認証方法が決定されます。最も簡単なアプローチは、AAA のみを使用し、AD レルムを選択するか、または LocalIdentitySource を使用する方法です。[認証タイプ（Authentication Type）] として次のアプローチを使用できます。

[AAAのみ（AAA Only）]：ユーザー名とパスワードに基づいてユーザーを認証および認可します。詳細については、「接続プロファイルのための AAA の設定」を参照してください。
[クライアント証明書のみ（Client Certificate Only）]：クライアントデバイスアイデンティティ証明書に基づいてユーザーを認証します。詳細については、「接続プロファイルの証明書認証の設定」を参照してください。
[AAAおよびクライアント認証（AAA and Client Certificate）]：ユーザー名/パスワードと、クライアントデバイスアイデンティティ証明書の両方を使用します。

ステップ 5

クライアントのアドレスプールを設定します。アドレスプールは、リモートクライアントが VPN 接続を確立するときに、システムがリモートクライアントに割り当てることができる IP アドレスを定義します。詳細については、「クライアントアドレスプール割り当ての設定」を参照してください。

ステップ 6

[続行（Continue）] をクリックします。

ステップ 7

リストからこのプロファイルに対して使用する [グループポリシー（Group Policy）] を選択し、[選択（Select）] をクリックします。グループポリシーは、トンネル確立後のユーザー接続の期間を設定します。システムには、DfltGrpPolicy という名前のデフォルトグループポリシーがあります。必要なサービスを提供するために追加のグループポリシーを作成することができます。

（注）

必要なグループポリシーがまだ存在しない場合は、[オブジェクト（Objects）] ページでグループポリシーを作成し、そのポリシーを RA VPN 設定に関連付けます。グループポリシーの詳細については、「新規 RA VPN グループポリシーの作成」を参照してください。

ステップ 8

[続行（Continue）] をクリックします。

ステップ 9

サマリーを確認します。最初に、サマリーが正しいことを確認します。AnyConnect ソフトウェアをインストールし、VPN 接続を完了できることをテストするために、エンドユーザーが最初に行う必要がある内容を確認できます。をクリックしてこれらの手順をクリップボードにコピーし、ユーザーに配布します。

ステップ 10

[完了（Done）] をクリックします。

次のタスク

「リモートアクセス VPN によるトラフィックの許可」で説明したように、トラフィックが VPN トンネルで許可されていることを確認します。

接続プロファイルのための AAA の設定

認証、許可、およびアカウンティング（AAA）サーバーは、ユーザー名とパスワードを使用して、ユーザーのリモートアクセス VPN へのアクセスを許可するかどうかを判断します。RADIUS サーバを使用する場合は、認証されたユーザー間で許可レベルを区別して、保護されたリソースへの差別化されたアクセスを提供できます。使用状況を追跡するために RADIUS アカウンティングサービスを使用することもできます。

AAA を設定する場合は、プライマリアイデンティティソースを設定する必要があります。セカンダリソースとフォールバックソースはオプションです。RSA トークンや DUO などを使用する二重認証を実装する場合は、セカンダリソースを使用します。

プライマリアイデンティティソースのオプション

[ユーザー認証用のプライマリアイデンティティソース（Primary Identity Source for User Authentication）]：リモートユーザーの認証に使用されるプライマリアイデンティティソース。VPN 接続を完了するには、エンドユーザがこのソースか任意のフォールバックソースで定義されている必要があります。次のいずれかを選択します。
- Active Directory（AD）のアイデンティレルム。必要なレルムがまだ存在していない場合は、[新しいアイデンティティレルムの作成（Create New Identity Realm）] をクリックします。
- RADIUS サーバーグループ。
- LocalIdentitySource（ローカルユーザーデータベース）：デバイスで直接ユーザーを定義できます。外部サーバーを使用することはできません。
[フォールバックローカルアイデンティティソース（Fallback Local Identity Source）]：プライマリソースが外部サーバーの場合、プライマリサーバーが使用できない場合のフォールバックとして LocalIdentitySource を選択できます。フォールバックソースとしてローカルデータベースを使用する場合は、必ず外部サーバで定義したものと同じローカルユーザ名/パスワードを定義します。
[削除オプション（Strip options）]：レルムとは管理ドメインのことです。次のオプションを有効にすると、ユーザー名だけに基づいて認証できます。これらのオプションを任意に組み合わせて有効にできます。ただし、サーバーが区切り文字を解析できない場合は、両方のチェックボックスをオンにする必要があります。
- [ユーザー名からアイデンティティソースサーバーを削除（Strip Identity Source Server from Username）]：ユーザー名を AAA サーバーに渡す前に、ユーザー名からアイデンティティソース名を削除するかどうか。たとえば、このオプションを選択してユーザーがユーザー名として domain\username を入力すると、ドメインがユーザー名から取り除かれ、認証用に AAA サーバーに送信されます。デフォルトでは、このオプションはオフになります。
- [ユーザー名からグループを削除（Strip Group from username）]：ユーザー名を AAA サーバーに渡す前に、ユーザー名からグループを削除するかどうか。このオプションは、username@domain 形式で指定された名前に適用されます。選択すると、domain と @ 記号が削除されます。デフォルトでは、このオプションはオフになります。

セカンダリアイデンティティソース

[ユーザー認証用のセカンダリアイデンティティソース（Secondary Identity Source for User Authentication）]：オプションの 2 番目のアイデンティティソースです。ユーザーがプライマリソースで正常に認証されると、セカンダリソースでの認証が求められます。AD レルム、RADIUS サーバーグループ、またはローカルアイデンティティソースを選択することができます。
[詳細オプション（Advanced options）]：[詳細（Advanced）] リンクをクリックし、次のオプションを設定します。
- [セカンダリ用フォールバックローカルアイデンティティソース（Fallback Local Identity Source for Secondary）]：セカンダリソースが外部サーバーの場合、セカンダリサーバーが使用できない場合のフォールバックとして LocalIdentitySource を選択できます。フォールバックソースとしてローカルデータベースを使用する場合は、必ずセカンダリ外部サーバーで定義したものと同じローカルユーザー名/パスワードを定義します。
- [セカンダリログインにプライマリユーザー名を使用（Use Primary Username for Secondary Login）]：デフォルトでは、セカンダリアイデンティティソースを使用する場合、セカンダリソースに対してユーザー名とパスワードの両方が求められます。このオプションを選択すると、システムはセカンダリパスワードの入力のみを求め、プライマリアイデンティティソースに対して認証されたものと同じユーザー名をセカンダリソースに対して使用します。プライマリとセカンダリの両方のアイデンティティソースで同じユーザー名を設定する場合は、このオプションを選択します。
  - [セッションサーバーのユーザー名（Username for Session Server）]：認証に成功すると、ユーザー名はイベントと統計ダッシュボードに表示されます。ユーザー名はユーザーベースまたはグループベースの SSL 復号およびアクセス制御ルールに一致するものを判断するために使用され、アカウンティングに使用されます。2 つの認証ソースを使用しているため、ユーザーアイデンティティとして、プライマリまたはセカンダリのどちらのユーザー名を使用するのかシステムに通知する必要があります。デフォルトでは、プライマリ名が使用されます。
  - [パスワードタイプ（Password Type）]：セカンダリサーバーのパスワードを取得する方法。デフォルトは [プロンプト（Prompt）] で、ユーザーはパスワードの入力が求められることを意味します。プライマリサーバーへのユーザー認証時に入力したパスワードを自動的に使用するには、[プライマリアイデンティティソースのパスワード（Primary Identity Source Password）] を選択します。すべてのユーザーに同じパスワードを使用するには [共通パスワード（Common Password）] を選択し、[共通パスワード（Common Password）] フィールドにそのパスワードを入力します。
- [認証サーバー（Authorization Server）]：リモートアクセス VPN ユーザーを認証するように設定された RADIUS サーバーグループです。認証の完了後、認可によって、認証済みの各ユーザーが使用できるサービスおよびコマンドが制御されます。認可は、ユーザーが実行を認可されていることを示す属性のセット、実際の機能、および制限事項をアセンブルすることによって機能します。認可を使用しない場合は、認証が単独で、認証済みのすべてのユーザーに対して同じアクセス権を提供します。認証のために RADIUS を構成する方法については、『RADIUS およびグループポリシーを使用したユーザーの権限および属性の制御』システムがグループポリシーで定義されているものと重複する認可属性を RADIUS サーバーから取得した場合、RADIUS 属性は、グループポリシー属性をオーバーライドすることに注意してください。
- [アカウンティングサーバー（Accounting Server）]：（オプション）リモートアクセス VPN セッションへのアカウンティングに使用する RADIUS サーバーグループ。アカウンティングは、ユーザーがアクセスしているサービスや、ユーザーが消費しているネットワークリソースの数を追跡します。FDM 管理対象デバイスは、RADIUS サーバーにユーザーアクティビティを報告します。アカウンティング情報には、セッションの開始時刻と停止時刻、ユーザー名、セッションごとのデバイスを通過したバイト数、使用されたサービス、および各セッションの時間が含まれています。これらのデータは、ネットワーク管理、クライアントへの課金、または監査のために後で分析できます。アカウンティングは、単独で使用するか、認証および認可とともに使用することができます。

接続プロファイルのための証明書認証の設定

（注）

このセクションは、認証タイプが AAA のみの場合には適用されません。

リモートアクセス VPN 接続を認証するために、クライアントデバイスにインストールされた証明書を使用することができます。

クライアント証明書を使用していても、セカンダリアイデンティティソース、フォールバックソース、および認証およびアカウンティングサーバーを引き続き設定できます。これらは AAA オプションです。詳細については、『RA VPN 接続プロファイルの構成』を参照してください。

以下に、証明書固有の属性を示します。これらの属性は、プライマリアイデンティティソースとセカンダリアイデンティティソースに対して個別に設定できます。セカンダリソースの設定はオプションです。

[証明書のユーザー名（Username from Certificate）]：次のいずれかを選択します。
- [マップ固有フィールド（Map Specific Field）]：証明書の要素を [プライマリフィールド（Primary Field）] および [セカンダリフィールド（Secondary Field）] の順番で使用します。デフォルトは CN（共通名）と OU（組織単位）です。組織に適したオプションを選択します。これらのフィールドを組み合わせてユーザー名が提供され、このユーザー名がイベント、ダッシュボード、さらに SSL 復号とアクセス制御ルールでのマッチング目的に使用されます。
- [DN（識別名）全体をユーザー名として使用（Use entire DN (distinguished name) as username）]：システムが自動的に DN フィールドからユーザー名を導出します。•
[詳細オプション（Advanced options）]：（[認証タイプ（Authentication Type）] が [クライアント証明書のみ（Client Certificate Only）] の場合には適用されません）：[詳細（Advanced）] リンクをクリックし、次のオプションを設定します。
- [ユーザーログインウィンドウの証明書からユーザー名を事前入力（Prefill username from certificate on user login window）]：ユーザーに認証を要求するときに、取得したユーザー名をユーザー名フィールドに入力するかどうか。
- [ログインウィンドウでユーザー名を非表示にする（Hide username in login window）]：[事前入力（Prefill）] オプションを選択すると、ユーザー名を非表示にできます。これは、ユーザーがパスワードプロンプトでユーザー名を編集できないことを意味します。

クライアントアドレスプール割り当ての設定

リモートアクセス VPN に接続するエンドポイントにシステムが IP アドレスを提供するための方法が必要です。AAA サーバーは、これらのアドレス、DHCP サーバー、グループポリシーで設定されている IP アドレスプール、または接続プロファイルで設定された IP アドレスプールを提供できます。システムは、この順序でこれらのリソースを試行し、使用可能なアドレスを取得すると停止し、次にアドレスをクライアントに割り当てます。このように、同時接続数が異常な場合のフェールセーフを作成するために複数のオプションを設定できます。

接続プロファイルのアドレスプールを設定するには、次の方法の 1 つ以上を使用します。

[IPv4アドレスプール（IPv4 Address Pool）] および [IPv4アドレスプール（IPv4 Address Pool）]：まず、サブネットを指定する最大 6 つのネットワークオブジェクトを作成します。IPv4 と IPv6 に別々のプールを設定できます。次に、グループポリシーまたは接続プロファイルの [IPv4アドレスプール（IPv4 Address Pool）] および [IPv6アドレスプール（IPv6 Address Pool）] オプションで、これらのオブジェクトを選択します。IPv4 と IPv6 の両方を設定する必要はありません。サポートするアドレス方式を設定してください。また、グループポリシーと接続プロファイルの両方でプールを設定する必要もありません。グループポリシーは接続プロファイル設定をオーバーライドします。そのため、グループポリシーでプールを設定する場合は、接続プロファイルのオプションを空白のままにしてください。プールはリストの順序で使用されることに注意してください。
[DHCPサーバー（DHCP Servers）]：まず、1 つ以上の IPv4 アドレス範囲を持つ RA VPN の DHCP サーバーを設定します（DHCP を使用して IPv6 プールを設定することはできません）。次に、DHCP サーバーの IP アドレスを使用してホストネットワークオブジェクトを作成します。その後、このオブジェクトは接続プロファイルの [DHCPサーバー（DHCP Servers）] 属性で選択できます。複数の DHCP サーバーを設定することができます。DHCP サーバーに複数のアドレスプールがある場合、[DHCPスコープ（DHCP Scope）] 属性を接続プロファイルにアタッチするグループポリシーで使用して、使用するプールを選択することができます。プールのネットワークアドレスを使用して、ホストネットワークオブジェクトを作成します。たとえば、DHCP プールに 192.168.15.0/24 および 192.168.16.0/24 が含まれている場合、DHCP スコープを 192.168.16.0 に設定すると、192.168.16.0/24 サブネットからのアドレスが必ず選択されるようになります。

リモートアクセス VPN によるトラフィックの許可

リモートアクセス VPN トンネル内のトラフィックフローを有効にするには、次の方法のいずれかを使用します。

sysopt connection permit-vpn コマンドを設定すると、VPN 接続と一致するトラフィックがアクセスコントロールポリシーから除外されます。このコマンドのデフォルトは no sysopt connection permit-vpn で、VPN トラフィックをアクセスコントロールポリシーでも許可する必要があることを意味します。これは、外部ユーザーがリモートアクセス VPN アドレスプール内の IP アドレスをスプーフィングできないため、VPN でトラフィックを許可するよりも安全な方法です。欠点は VPN トラフィックが検査されないことです。つまり、侵入とファイルの保護、URL フィルタリング、その他の高度な機能がトラフィックに適用されません。つまり、このトラフィックに対する接続イベントは生成されず、VPN 接続は統計ダッシュボードには反映されません。このコマンドを設定するには、RA VPN 設定で [復号されたトラフィックに対するバイパスアクセスコントロールポリシー（Bypass Access Control policy for decrypted traffic）] オプションを選択します。「RA VPN 設定の作成」を参照してください。
リモートアクセス VPN アドレスプールからの接続を許可するアクセス制御ルールを作成します。この方法では、VPN トラフィックが確実に検査され、アドバンスドサービスを接続に適用できます。欠点は、外部のユーザーが IP アドレスをスプーフィングして、内部ネットワークにアクセスしやすくなることです。「Firepower Threat Defense アクセスコントロールポリシーの設定」を参照してください。

バージョン 6.4.0 を実行している FDM による管理デバイスの AnyConnect パッケージのアップグレード

Security Cloud Control を使用して、FDM による管理デバイスで使用可能な AnyConnect パッケージをアップグレードし、RA VPN ユーザーに配布できます。

AnyConnect パッケージのアップグレードに関連した主な手順は次のとおりです。

手順

ステップ 1	Firewall Device Manager を使用して AnyConnect パッケージを削除し、パッケージの新しいバージョンをアップロードします。このタスクを実行するには、次のいずれかの方法を使用します。古いパッケージを削除し、Firewall Device Manager UI から新しいパッケージをアップロードします。古いパッケージを削除し、Firewall Device Manager API エクスプローラから新しいパッケージをアップロードします。
ステップ 2	Firewall Device Manager の変更をデバイスに展開します。
ステップ 3	新しい設定情報を Security Cloud Control に読み込みます。
ステップ 4	RA VPN 接続プロファイルで新しいパッケージを確認します。

前提条件

接続プロファイルがある少なくとも 1 つの RA VPN 設定が、すでに FDM による管理デバイスに展開されています。
https://software.cisco.com/download/home/283000185 から必要な AnyConnect パッケージをダウンロードします。シスコでは、入手可能な最新のパッケージにアップグレードすることを推奨しています。

Firewall Device Manager を使用した必要な AnyConnect パッケージの Cisco Secure Firewall Threat Defense へのアップロード

手順

ステップ 1

ブラウザを使用して、システムのホームページを開きます。例：https://ftd.example.com

ステップ 2

Firewall Device Manager にログインします。

ステップ 3

[デバイス（Device）] > [リモートアクセスVPN（Remote Access VPN）] グループで [設定の表示（View Configuration）] をクリックします。グループには、現在設定されている接続プロファイルおよびグループポリシーの数に関する概要情報が表示されます。

ステップ 4

表示ボタン（設定表示ボタン）をクリックして、接続プロファイルの概要と接続手順を開きます。

（注）

いずれかの接続プロファイルを編集して、AnyConnect パッケージを FDM による管理デバイスにアップロードできます。

ステップ 5

[編集（Edit）] ボタンをクリックして変更を加えます。

ステップ 6

[グローバル設定（Global Settings）] 画面が表示されるまで [次へ] をクリックします。[AnyConnectパッケージ（AnyConnect Package）] には、FDM による管理デバイスで使用可能な AnyConnect パッケージが表示されます。

ステップ 7

[X] ボタンをクリックして、置き換える AnyConnect パッケージを削除します。

ステップ 8

[パッケージのアップロード（Upload Package）] をクリックし、互換性のあるパッケージのアップロードに使用する OS をクリックします。

ステップ 9

パッケージを選択したら、[開く（Open）] をクリックします。アップロードされているパッケージは Firewall Device Manager の UI で確認できます。

ステップ 10

[終了（Finish）] をクリックします。設定が保存されます。

（注）

または、Firewall Device Manager API エクスプローラを使用して、AnyConnect パッケージを削除して新しいパッケージをアップロードできます。

/#/Api-explorer を指すように URL を編集します（たとえば、https://ftd.example.com/#/api-explorer）。
FDM による管理デバイスからパッケージを削除します。[AnyConnectPackageFile] > [削除（Delete）] をクリックします。[objID] フィールドにパッケージ ID を入力し、[試す（TRY IT OUT!）] をクリックします。
AnyConnect ソフトウェアパッケージの Firepower Threat Defense デバイスへのアップロードに関するセクションで説明されている手順を実行して、新しいパッケージをアップロードします。

ステップ 11

Web ページの右上にある [変更の展開（Deploy Changes）] アイコンをクリックします。このアイコンは、展開されていない変更がある場合にドットマークで強調表示されます。

ステップ 12

変更内容に問題がない場合は、[今すぐ展開（Deploy Now）] をクリックして、ジョブをすぐに開始できます。ウィンドウに展開が進行中であることが示されます。ウィンドウを閉じるか、または展開が完了するまで待機できます。

RA VPN 接続プロファイルで新しいパッケージが参照されていることを確認する

手順

ステップ 1	左側のペインで [セキュアな接続（Secure Connections）] > [リモートアクセスVPN（Remote Access VPN）] > [ASAとFDM（ASA & FDM）] をクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	[FTD] タブをクリックして、アップグレードされた AnyConnect パッケージがある FDM による管理デバイスを選択します。このデバイスは競合を報告します。
ステップ 4	アウトオブバンド変更を承認して、Security Cloud Control に保存されている設定と保留中の変更を、デバイスの実行コンフィギュレーションで上書きします。詳細については、「「競合検出」ステータスの解決」を参照してください。
ステップ 5	次の手順を実行して、新しい AnyConnect パッケージを表示します。 [VPN] > [リモートアクセスVPN（Remote Access VPN）] をクリックします。この FDM による管理デバイスに関連付けられている RA VPN 設定をクリックします。 [アクション（Actions）] の [編集（Edit）] をクリックします。新しいパッケージが [デバイス（Devices）] に表示されます。

RA VPN AnyConnect クライアントプロファイルのアップロード

リモートアクセス VPN AnyConnect クライアントプロファイルは、ファイルに保存されている設定パラメータのグループです。AnyConnect クライアントプロファイルにはさまざまな種類があり、コアクライアント VPN 機能とオプションクライアントモジュールであるネットワークアクセスマネージャ、AMP イネーブラ、ISE ポスチャ、ネットワークの可視性、カスタマーフィードバックエクスペリエンスプロファイル、Umbrella ローミングセキュリティ、Web セキュリティの構成設定が含まれています。

Security Cloud Control では、後でグループポリシーで使用できるオブジェクトとしてこれらのプロファイルをアップロードできます。

[AnyConnect VPNプロファイル（AnyConnect VPN Profile）]：AnyConnect クライアントプロファイルは、VPN AnyConnect クライアントソフトウェアとともにクライアントにダウンロードされます。これらのプロファイルでは、多くのクライアント関連オプション（スタートアップ時の自動接続、自動再接続など）や、エンドユーザーが AnyConnect クライアントの設定および詳細設定からオプションを変更できるかどうかを定義します。Security Cloud Control は XML ファイル形式をサポートします。
[AMPイネーブラサービスプロファイル（AMP Enabler Service Profile）]：このプロファイルは AnyConnect AMP イネーブラに使用されます。リモートアクセス VPN ユーザーが VPN に接続すると、AMP イネーブラがこのプロファイルとともに FDM による管理デバイスからエンドポイントにプッシュされます。Security Cloud Control は XML および ASP ファイル形式をサポートします。
[フィードバックプロファイル（Feedback Profile）]：カスタマーエクスペリエンスフィードバックプロファイルを追加し、このタイプを選択すると、顧客が有効にして使用している機能およびモジュールに関する情報を受信できます。Security Cloud Control は FSP ファイル形式をサポートします。
[ISEポスチャプロファイル（ISE Posture Profile）]：AnyConnect ISE ポスチャモジュールのプロファイルファイルを追加する場合は、このオプションを選択します。Security Cloud Control は XML および ISP ファイル形式をサポートします。
[ネットワークアクセスマネージャサービスプロファイル（Network Access Manager Service Profile）]：ネットワークアクセスマネージャのプロファイルエディタを使用して、NAM プロファイルファイルを設定および追加します。Security Cloud Control は XML および NSP ファイル形式をサポートします。
[ネットワーク可視性サービスプロファイル（Network Visibility Service Profile）]：AnyConnect Network Visibility Module のプロファイルファイル。NVM プロファイルエディタを使用してプロファイルを作成できます。Security Cloud Control は XML および NVMSP ファイル形式をサポートします。
[Umbrellaローミングセキュリティプロファイル（Umbrella Roaming Security Profile）]：Umbrella ローミングセキュリティモジュールを展開する場合は、このファイルタイプを選択する必要があります。Security Cloud Control は XML および JSON ファイル形式をサポートします。
[Webセキュリティサービスプロファイル（Web Security Service Profile）]：Web セキュリティモジュールのプロファイルファイルを追加するときに、このファイルタイプを選択します。Security Cloud Control XML、WSO、および WSP ファイル形式をサポートします。

始める前に

適切な GUI ベースの AnyConnect プロファイルエディタを使用して、必要なプロファイルを作成します。AnyConnect セキュアモビリティクライアントカテゴリの Cisco Software Download Center からプロファイルエディタをダウンロードし、AnyConnect の「プロファイルエディタ - Windows / スタンドアロンインストーラ（MSI）」をインストールできます。プロファイルエディタのインストーラには、スタンドアロンバージョンのプロファイルエディタが含まれています。このインストールファイルは Windows 専用で、ファイル名は anyconnect-profileeditor-win-<version>-k9.msi です。ここで、<version> は AnyConnect のバージョンです。たとえば、anyconnect-profileeditor-win-4.3.04027-k9.msi のような名前になります。プロファイルエディタをインストールする前に、Java JRE（1.6 以降）もインストールする必要があります。

このパッケージには、Umbrella ローミングセキュリティプロファイルエディタを除き、モジュールの作成に必要なすべてのプロファイルエディタが含まれています。詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』の該当するリリースの「AnyConnect プロファイルエディタ」の章を参照してください。Umbrella ダッシュボードから Umbrella ローミングセキュリティプロファイルを個別にダウンロードします。詳細については、『Cisco Umbrella User Guide』の「Umbrella ローミングセキュリティ」章の「Umbrella ダッシュボードから AnyConnect ローミングセキュリティプロファイルをダウンロードする」セクションを参照してください。

手順

ステップ 1	左側のペインで、オブジェクトを選択します。
ステップ 2	青色のプラスボタンをクリックします。
ステップ 3	[RA VPNオブジェクト（ASA & FDM）（RA VPN Objects (ASA & FDM)）] > [AnyConnectクライアントプロファイル（AnyConnect Client Profile）]をクリックします。
ステップ 4	[オブジェクト名（Object Name）] フィールドに、AnyConnect クライアントプロファイルの名前を入力します。
ステップ 5	[参照（Browse）] をクリックし、プロファイルエディタを使って作成したファイルを選択します。
ステップ 6	[開く（Open）] をクリックしてプロファイルをアップロードします。
ステップ 7	[追加（Add）] をクリックしてオブジェクトを追加します。

FDM による管理デバイスのリモートアクセス VPN のガイドラインと制限事項

RA VPN を設定する際は、次のガイドラインと制限事項に留意してください。

AnyConnect パッケージは、Firewall Device Manager を使用してバージョン 6.4.0 を実行している FDM による管理デバイスに事前にロードしておく必要があります。

（注）

Cisco Security Cloud Control のリモートアクセス VPN 構成ウィザードを使用して、バージョン 6.5.0 を実行している FDM による管理デバイスに AnyConnect パッケージを個別にアップロードします。

Security Cloud Control から RA VPN を設定する前に、以下の手順を実行します。
- Firewall Device Manager から FDM による管理デバイスのライセンスを登録します。
- エクスポート制御機能を使用して Firewall Device Manager からライセンスを有効にします。
Security Cloud Control は、拡張アクセスリストオブジェクトをサポートしていません。Firewall Device Manager で Smart CLI を使用してオブジェクトを設定し、VPN フィルタおよび認可変更（CoA）リダイレクト ACL で使用します。
FDM による管理デバイスから作成するテンプレートには、RA VPN 設定は含まれません。
IP プールオブジェクトと RADIUS アイデンティティソースには、デバイス固有のオーバーライドが必要です。
同じ TCP ポートの同じインターフェイスに、Firewall Device Manager アクセス（管理アクセスリストの HTTPS アクセス）と AnyConnect リモートアクセス SSL VPN の両方は設定できません。たとえば、外部インターフェイスにリモートアクセス SSL VPN を設定する場合、ポート 443 で HTTPS 接続用の外部インターフェイスも開くことはできません。Firewall Device Manager ではこれらの機能に使用されるポートを設定できないため、同じインターフェイスに両方の機能を設定できません。
RADIUS トークンと RSA トークンを使用して二要素認証を設定すると、ほとんどの場合、デフォルトの 12 秒の認証タイムアウトでは短すぎて正常な認証が行われません。RA VPN AnyConnect クライアントプロファイルのアップロードの説明に従って、カスタム AnyConnect クライアントプロファイルを作成し、RA VPN 接続プロファイルに適用して、認証タイムアウト値を増やします。認証タイムアウトを 60 秒以上にすることをお勧めします。これにより、ユーザーの認証および RSA トークンの貼り付けと、トークンのラウンドトリップ検証のための十分な時間が得られます。

ユーザーが AnyConnect クライアントソフトウェアを FDM による管理デバイスにインストールする方法

Firewall Device Manager API を使用して AnyConnect クライアントソフトウェアパッケージを FDM による管理デバイスにアップロードし、ユーザーに配布します。「AnyConnect ソフトウェアパッケージの Firepower Threat Defense デバイスへのアップロード」を参照してください。

VPN 接続を完了するには、ユーザは AnyConnect クライアントソフトウェアをインストールする必要があります。既存のソフトウェア配布方式を使用して、ソフトウェアを直接インストールできます。または、ユーザーが FDM による管理デバイスから AnyConnect クライアントを直接インストールできます。

（注）

ソフトウェアをインストールするには、ユーザにワークステーションでの管理者権限が必要です。

ソフトウェアの最初のインストールを FDM による管理デバイスからユーザーに実行させる場合、以下の手順を実行するようにユーザーに指示します。

（注）

Android および iOS のユーザは、適切な App Store から AnyConnect をダウンロードする必要があります。

手順

ステップ 1

Web ブラウザを使用して、https://ravpn-address を開きます。ravpn-address は、VPN 接続を許可する外部インターフェイスの IP アドレスまたはホスト名です。このインターフェイスは、リモートアクセス VPN を設定する際に指定します。ログインを指示するメッセージがユーザに示されます。

ステップ 2

サイトにログインします。ユーザは、リモートアクセス VPN 用に設定されたディレクトリサーバを使用して認証されます。続行するには、ログインが正常に行われる必要があります。ログインが成功すると、システムは、必要となる AnyConnect クライアントのバージョンがインストールされているかを確認します。AnyConnect クライアントがユーザーのコンピュータにないか、下位のバージョンである場合、システムは自動的に AnyConnect ソフトウェアのインストールを開始します。インストールが終了すると、AnyConnect がリモートアクセス VPN 接続を完了します。

AnyConnect クライアントソフトウェアバージョンの配信

AnyConnect クライアントソフトウェアの新しいバージョンをユーザーに配信するには、旧バージョンを削除せずに新しいバージョンを FDM による管理デバイスにアップロードします。AnyConnect クライアントが正常にアップロードされたら、旧バージョンを削除できます。

ユーザーが次回 VPN 接続を確立すると、AnyConnect クライアントは新しいバージョンを検出します。更新されたクライアントソフトウェアのダウンロードとインストールを指示するメッセージが自動的に表示されます。この自動化により、ソフトウェアの配布が容易になります。

次の図は、Windows OS 用の 2 つのバージョンの AnyConnect クライアントソフトウェア（AnyConnectWindows_3.2_BGL と AnyConnectWindows_4.2_BGL）を備えた FDM による管理デバイスの例を示しています。

RA VPN AnyConnect クライアントプロファイルのアップロード

リモートアクセス VPN AnyConnect クライアントプロファイルは、ファイルに保存されている設定パラメータのグループです。AnyConnect クライアントプロファイルにはさまざまな種類があり、コアクライアント VPN 機能とオプションクライアントモジュールであるネットワークアクセスマネージャ、AMP イネーブラ、ISE ポスチャ、ネットワークの可視性、カスタマーフィードバックエクスペリエンスプロファイル、Umbrella ローミングセキュリティ、Web セキュリティの構成設定が含まれています。

Security Cloud Control では、後でグループポリシーで使用できるオブジェクトとしてこれらのプロファイルをアップロードできます。

[AnyConnect VPNプロファイル（AnyConnect VPN Profile）]：AnyConnect クライアントプロファイルは、VPN AnyConnect クライアントソフトウェアとともにクライアントにダウンロードされます。これらのプロファイルでは、多くのクライアント関連オプション（スタートアップ時の自動接続、自動再接続など）や、エンドユーザーが AnyConnect クライアントの設定および詳細設定からオプションを変更できるかどうかを定義します。Security Cloud Control は XML ファイル形式をサポートします。
[AMPイネーブラサービスプロファイル（AMP Enabler Service Profile）]：このプロファイルは AnyConnect AMP イネーブラに使用されます。リモートアクセス VPN ユーザーが VPN に接続すると、AMP イネーブラがこのプロファイルとともに FDM による管理デバイスからエンドポイントにプッシュされます。Security Cloud Control は XML および ASP ファイル形式をサポートします。
[フィードバックプロファイル（Feedback Profile）]：カスタマーエクスペリエンスフィードバックプロファイルを追加し、このタイプを選択すると、顧客が有効にして使用している機能およびモジュールに関する情報を受信できます。Security Cloud Control は FSP ファイル形式をサポートします。
[ISEポスチャプロファイル（ISE Posture Profile）]：AnyConnect ISE ポスチャモジュールのプロファイルファイルを追加する場合は、このオプションを選択します。Security Cloud Control は XML および ISP ファイル形式をサポートします。
[ネットワークアクセスマネージャサービスプロファイル（Network Access Manager Service Profile）]：ネットワークアクセスマネージャのプロファイルエディタを使用して、NAM プロファイルファイルを設定および追加します。Security Cloud Control は XML および NSP ファイル形式をサポートします。
[ネットワーク可視性サービスプロファイル（Network Visibility Service Profile）]：AnyConnect Network Visibility Module のプロファイルファイル。NVM プロファイルエディタを使用してプロファイルを作成できます。Security Cloud Control は XML および NVMSP ファイル形式をサポートします。
[Umbrellaローミングセキュリティプロファイル（Umbrella Roaming Security Profile）]：Umbrella ローミングセキュリティモジュールを展開する場合は、このファイルタイプを選択する必要があります。Security Cloud Control は XML および JSON ファイル形式をサポートします。
[Webセキュリティサービスプロファイル（Web Security Service Profile）]：Web セキュリティモジュールのプロファイルファイルを追加するときに、このファイルタイプを選択します。Security Cloud Control XML、WSO、および WSP ファイル形式をサポートします。

始める前に

適切な GUI ベースの AnyConnect プロファイルエディタを使用して、必要なプロファイルを作成します。AnyConnect セキュアモビリティクライアントカテゴリの Cisco Software Download Center からプロファイルエディタをダウンロードし、AnyConnect の「プロファイルエディタ - Windows / スタンドアロンインストーラ（MSI）」をインストールできます。プロファイルエディタのインストーラには、スタンドアロンバージョンのプロファイルエディタが含まれています。このインストールファイルは Windows 専用で、ファイル名は anyconnect-profileeditor-win-<version>-k9.msi です。ここで、<version> は AnyConnect のバージョンです。たとえば、anyconnect-profileeditor-win-4.3.04027-k9.msi のような名前になります。プロファイルエディタをインストールする前に、Java JRE（1.6 以降）もインストールする必要があります。

このパッケージには、Umbrella ローミングセキュリティプロファイルエディタを除き、モジュールの作成に必要なすべてのプロファイルエディタが含まれています。詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』の該当するリリースの「AnyConnect プロファイルエディタ」の章を参照してください。Umbrella ダッシュボードから Umbrella ローミングセキュリティプロファイルを個別にダウンロードします。詳細については、『Cisco Umbrella User Guide』の「Umbrella ローミングセキュリティ」章の「Umbrella ダッシュボードから AnyConnect ローミングセキュリティプロファイルをダウンロードする」セクションを参照してください。

手順

ステップ 1	左側のペインで、オブジェクトを選択します。
ステップ 2	青色のプラスボタンをクリックします。
ステップ 3	[RA VPNオブジェクト（ASA & FDM）（RA VPN Objects (ASA & FDM)）] > [AnyConnectクライアントプロファイル（AnyConnect Client Profile）]をクリックします。
ステップ 4	[オブジェクト名（Object Name）] フィールドに、AnyConnect クライアントプロファイルの名前を入力します。
ステップ 5	[参照（Browse）] をクリックし、プロファイルエディタを使って作成したファイルを選択します。
ステップ 6	[開く（Open）] をクリックしてプロファイルをアップロードします。
ステップ 7	[追加（Add）] をクリックしてオブジェクトを追加します。

リモートアクセス VPN のライセンス要件

Firewall Device Manager から FDM による管理デバイスのライセンスを有効化（登録）して、RA VPN 接続を設定します。デバイスを登録する際に、エクスポート制御機能に対して有効化された Smart Software Manager（SSM）アカウントに登録する必要があります。また、評価ライセンスを使用して機能を設定することはできません。

また、ライセンスを購入して有効にする必要があります。ライセンスは、のいずれかです。これらのライセンスは、Cisco ASA ソフトウェアベースのヘッドエンドで使用される場合、さまざまな機能セットを許可するように設計されていますが、FDM による管理デバイスでは同様に扱われます。

Firewall Device Manager からのライセンスの有効化の詳細については、デバイスで実行されているバージョンの Cisco Firepower Threat Defense コンフィギュレーションガイド（Firepower Device Manager 用）[英語] の「Remote Access VPN」の章にある「Licensing Requirements for Remote Access VPN」を参照してください。https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html#anchor531

詳細については、Cisco AnyConnect 発注ガイド [英語] を参照してください。http://www.cisco.com/c/en/us/product...t-listing.html には、他のデータシートもあります。

ライセンスステータスを表示するには、次の手順を実行します。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックします。
ステップ 3	[FTD] タブをクリックして、必要なデバイスを選択します。
ステップ 4	右側の [デバイスアクション（Device Actions）] ペインで、[ライセンスの管理（Manage Licenses）] をクリックします。ライセンスが有効な場合、[ステータス（Status ）] には [有効（Enabled）] と表示されます。

デバイスモデル別の同時 VPN セッションの最大数

デバイスモデルに基づいて、1 台のデバイスで許可される同時リモートアクセス VPN セッション数に上限が設けられます。この制限は、システムパフォーマンスが許容できないレベルまで低下しないように設計されています。これらの制限は、キャパシティプランニングに使用します。


デバイスモデル	最大同時リモートアクセス VPN セッション数
Firepower 2110	1,500
Firepower 2120	3,500
Firepower 2130	7,500
Firepower 2140	10,000
Firepower Threat Defense Virtual	250

RADIUS 許可の変更

RADIUS 認可変更（CoA）機能は、認証、許可、アカウンティング（AAA）セッションの属性を、セッション認証後に変更するためのメカニズムを提供します。RA VPN の重要な課題は、侵害されたエンドポイントに対して内部ネットワークを保護し、ウイルスやマルウェアの影響を受けたときに、エンドポイントへの攻撃を修復することによって、エンドポイント自体を保護することです。エンドポイントと内部ネットワークは、RA VPN セッションの前、最中、および後のすべてのフェーズで保護する必要があります。RADIUS CoA 機能は、この目標を達成するのに役に立ちます。

Cisco Identity Services Engine（ISE）RADIUS サーバーを使用する場合は、認可変更ポリシーの適用を設定できます。AAA のユーザーまたはユーザーグループのポリシーが変更されると、ISE は CoA メッセージを FDM 管理対象デバイスに送信して認証を再初期化し、新しいポリシーを適用します。Inline Posture Enforcement Point（IPEP）では、FDM 管理対象デバイスによって確立された各 VPN セッションにアクセス制御リスト（ACL）を適用する必要はありません。

FDM 管理対象デバイスでの認可変更の設定

認可変更ポリシーのほとんどは、ISE サーバーで設定されます。ただし、FDM 管理対象デバイスは ISE に正しく接続するように設定する必要があります。

はじめる前に

いずれかのオブジェクトでホスト名を使用する場合は、デバイスが実行しているバージョンに向けた『Firepower Device Manager 向け Cisco Firepower Threat Defense 構成ガイド』の「システム設定」章の「データおよび管理インターフェイス用の DNS 設定」セクションで説明されているようにデータインターフェイスで使用する DNS サーバーを構成してください。通常、システムを完全に機能させるには、いずれにしても DNS を構成する必要があります。

手順

ステップ 1

FDM による管理デバイスの Firewall Device Manager にログインします。

ステップ 2

ISE への初期接続をリダイレクトするように、拡張アクセスコントロールリスト（ACL）を設定します。リダイレクト ACL の目的は、ISE がクライアントポスチャを評価できるように、初期トラフィックを ISE に送信することです。ACL は、ISE に HTTPS トラフィックを送信しますが、ISE 宛てのトラフィックや、名前解決のために DNS サーバーに送信されるトラフィックは送信しません。リダイレクト ACL の例を次に示します。

access-list redirect extended deny ip any host <ISE server IP>

access-list redirect extended deny ip any host <DNS server IP>

access-list redirect extended deny icmp any any

access-list redirect extended permit tcp any any eq www

ただし、ACL には、最後のアクセス制御エントリ（ACE）として暗黙の「deny any any」が含まれることに注意してください。この例では、TCP ポート www（つまりポート 80）に一致する最後の ACE は、最初の 3 つの ACE に一致するすべてのトラフィックと一致しないため、これらは冗長となります。単純に最後の ACE を使用して ACL を作成し、同じ結果を得ることもできます。リダイレクト ACL では、permit および deny アクションによって、ACL に一致するトラフィックが特定されることに注意してください（permit は一致、deny は不一致）。トラフィックは実際にはドロップされず、拒否されたトラフィックは ISE にリダイレクトされません。リダイレクト ACL を作成するには、Smart CLI オブジェクトを設定する必要があります。

[デバイス（Device）] > [詳細設定（Advanced Configuration）] > [Smart CLI] > [オブジェクト（Objects）] を選択します。
[+] をクリックして新しいオブジェクトを作成します。
ACL の名前を入力します。たとえば、redirect などと入力します。
[CLIテンプレート（CLI Template）] の場合は、[拡張アクセスリスト（Extended Access List）] を選択します。
[テンプレート（Template）] 本文で次のように設定します。
- configure access-list-entry action = permit
- source-network = any-ipv4
- destination-network = any-ipv4
- configure permit port = any-source
- destination-port = HTTP
- configure logging = disabled
  
  ACE は次のようになります。

[OK] をクリックします。

この ACL は、次に変更を展開するときに設定されます。別のポリシーでオブジェクトを使用して強制的に展開する必要はありません。

（注）

この ACL は IPv4 にのみ適用されます。IPv6 のサポートも追加する場合は、属性がすべて同じ 2 つ目の ACE を追加します。ただし、送信元ネットワークと宛先ネットワークには any-ipv6 を選択します。ISE または DNS サーバーへのトラフィックはリダイレクトされないようにするために、他の ACE を追加することもできます。最初に、それらのサーバーの IP アドレスを保持するホストネットワークオブジェクトを作成する必要があります。

ステップ 3

RADIUS サーバーグループをダイナミック認証用に設定します。

「Firepower Threat Defense RADIUS サーバーオブジェクトまたはグループの作成または編集」セクションの説明に従って、以下の手順を実行します。

RADIUS サーバーオブジェクトの作成
RADIUS サーバーグループの作成

ステップ 4

この RADIUS サーバーグループを使用する接続プロファイルを作成します。「RA VPN 接続プロファイルの設定」を参照してください。[AAA認証（AAA Authentication）] を使用し（単独または証明書と一緒に）、[ユーザー認証用のプライマリアイデンティティソース（Primary Identity Source for User Authentication）]、[認可（Authorization）]、および [アカウンティング（Accounting）] オプションでサーバーグループを選択します。

FDM による管理デバイスのリモートアクセス VPN 設定の確認

リモートアクセス VPN を設定し、設定をデバイスに展開した後で、リモート接続できることを確認します。

手順

ステップ 1	外部ネットワークから、AnyConnect クライアントを使用して VPN 接続を確立します。Web ブラウザを使用して、https://ravpn-address を開きます。ravpn-address は、VPN 接続を許可する外部インターフェイスの IP アドレスまたはホスト名です。必要に応じて、クライアントソフトウェアをインストールし、接続を完了します。「AnyConnect クライアントソフトウェアを FTD にインストールする方法」を参照してください。グループ URL を設定した場合は、それらの URL も試みてください。
ステップ 2	[セキュリティデバイス（Security Devices）] ページで、確認するデバイスを選択し、[デバイスアクション（Device Actions）] の下にある [コマンドラインインターフェイス（Command Line Interface）] をクリックします。
ステップ 3	show vpn-sessiondb コマンドを使用して、現在の VPN セッションに関する概要情報を表示します。
ステップ 4	統計情報では、アクティブな AnyConnect クライアントセッション、および累積セッション数、ピーク同時セッション数、非アクティブセッション数の情報が示されます。次は、コマンドからの出力例です。
ステップ 5	show vpn-sessiondb anyconnect コマンドを使用して、現在の AnyConnect VPN セッションに関する詳細情報を表示します。詳細情報には、使用されている暗号化、送信バイト数と受信バイト数などの統計情報が含まれます。VPN 接続を使用する場合、このコマンドを再発行すると送信バイト数と受信バイト数が変わるのがわかります。

FDM による管理デバイスのリモートアクセス VPN 設定の詳細表示

手順

ステップ 1

左側のペインで、[VPN] > [リモートアクセスVPN設定（Remote Access VPN Configuration）] をクリックします。

ステップ 2

表示された VPN 設定オブジェクトをクリックします。

グループには、現在設定されている接続プロファイルおよびグループポリシーの数に関する概要情報が表示されます。

RA VPN 設定を展開して、それらに関連付けられているすべての接続プロファイルを表示します。
- 追加 + ボタンをクリックして新しい接続プロファイルを追加します。
- 表示ボタン（）をクリックして、接続プロファイルの概要と接続手順を開きます。[アクション（Actions）] で、[編集（Edit）] をクリックして変更を変更できます。
[アクション（Actions）] で次のオプションのいずれかをクリックすると、追加のタスクを実行できます。
- グループポリシーを割り当て/追加するには、[グループポリシー（Group Policies）] をクリックします。
- 不要になった設定オブジェクトまたは接続プロファイルをクリックし、[削除（Remove）] をクリックして削除します。

リモートアクセス仮想プライベートネットワークセッションのモニタリング

リモートアクセス仮想プライベートネットワークは、モバイルユーザーや在宅勤務者などのリモートユーザーにセキュアな接続を提供します。これらの接続をモニタリングすると、接続とユーザーセッションのパフォーマンスの重要なインジケータが一目でわかります。Security Cloud Control リモートアクセス VPN モニタリング機能を使用すると、リモートアクセス VPN の問題が存在するかどうか、およびその場所を迅速に判断できます。この情報を利用し、ネットワーク管理ツールを使用して、ネットワークおよびユーザの問題を軽減したり、なくしたりすることが可能です。また、必要に応じてリモートアクセス VPN セッションを切断できます。

[リモートアクセス仮想プライベートモニタリング（Remote Access Virtual Private Monitoring）] ページには、次の情報が表示されます。

最大 1 年間のアクティブなセッションと履歴セッションのリスト。
Security Cloud Control が管理するすべてのアクティブな VPN ヘッドエンドから一目でわかるビューを提供する直感的なグラフィカルビジュアルを表示します。
ライブセッション画面には、Security Cloud Control テナントで最も使用されているオペレーティングシステムと VPN 接続プロファイルが表示されます。また、平均セッション時間とアップロードおよびダウンロードされたデータも表示されます。
デバイスタイプ、デバイス名、セッションの長さ、送受信されたデータ量などの基準に基づいて検索を絞り込むフィルタ処理機能。

AnyConnect リモートアクセス VPN ライブセッションのモニタリング

デバイス上のアクティブな AnyConnect リモートアクセス VPN セッションからのリアルタイムデータを監視できます。このデータは 10 分ごとに自動で更新されます。任意の時点でセッションの最新リストを取得するには、画面の右隅に表示されるリロードアイコンをクリックします。

始める前に

リモートアクセス VPN ヘッドエンドの Security Cloud Control への導入準備をします。
ライブデータを監視するデバイスの接続ステータスが、[セキュリティデバイス（Security Devices）] ページで「オンライン」になっていることを確認します。

手順

ステップ 1

左側のウィンドウで、[インサイトとレポート（Insights & Reports）] > [リモートアクセスのモニタリング（Remote Access Monitoring）] をクリックします。

ステップ 2

[RA VPN] をクリックします。

ステップ 3

[ライブ（Live）] をクリックします。

RA VPN セッションを検索およびフィルタリングすると、デバイスタイプ、セッションの長さ、アップロードおよびダウンロードのデータ範囲などの基準に基づいて検索を絞り込めます。

（注）

[Data TX] および [Data RX] 情報は、FTD には使用できません。

リモートアクセス VPN のライブデータの表示

ライブデータは、ダッシュボードと表形式の両方で表示されます。

[ダッシュボード（Dashboard）] ビュー

ダッシュボードを表示するには、画面の右上隅に表示される [チャートビューの表示（Show Charts View）] アイコンをクリックする必要があります。

ダッシュボードには、Security Cloud Control によって管理されるすべてのアクティブな VPN ヘッドエンドからの概要ビューが表示されます。

[内訳（すべてのデバイス）（Breakdown (All Devices)）]：ライブセッションの合計数が表示されます。また、4 つの弧の長さに分割された円グラフも表示されます。これは、セッション数が最も多い上位 3 つのデバイスの VPN セッションの割合を示しています。残りの弧の長さは、他のデバイスの総計を表します。
Security Cloud Control テナントで最も使用されているオペレーティングシステムと接続プロファイルが表示されます。
平均セッション時間とアップロードおよびダウンロードされたデータが表示されます。
[国別のアクティブセッション（Active Sessions by Country）]：RA VPN ヘッドエンドに接続されているユーザーの場所のインタラクティブなヒートマップが表示されます。
- 接続したユーザーの国には、その国から確立されたセッションの相対的な割合に応じて、徐々に濃い青色の陰影が付けられます。青色が濃いほど、その国から確立されたセッションが多いことを意味します。
- マップの下部にある凡例は、国のセッション数とその国の色に使用される青の色合いとの相関関係を示すスケールが表示されます。
- 地図上にマウスポインタを合わせると、国名と、その国から確立されたアクティブなユーザーセッションの総数が表示されます。
- テーブルにマウスポインタを合わせると、その国の場所とアクティブなユーザーセッションの総数が地図上に表示されます。

表形式のビュー

データを表形式で表示するには、画面の右上隅にある [表形式のビューを表示（Show Tabular View）] アイコンをクリックします。

表形式のビューには、現在接続している VPN ユーザーの完全なリストが表示されます。

[場所（Location）] 列には、パブリック IP アドレスを地理的に配置することにより、VPN ヘッドエンドに接続されているすべてのユーザーの場所が表示されます。行をクリックして、ユーザーの詳細を表示します。左ペインのロケーションリンクをクリックすると、ユーザーの場所が Google マップ上に表示されます。

重要	Security Cloud Control は、ライブデータに標準フィルタを適用し、ダッシュボードにデータを表示します。ビジュアルダッシュボードビューではカスタムフィルタがサポートされていないため、表形式のデータが表示されている場合にのみ、新しいフィルタを適用できます。適用されたすべてのフィルタを削除するには、[クリア（Clear）] をクリックします。標準フィルタは削除できません。

[RA VPNセッションの検索およびフィルタリング（Search and Filter RA VPN Sessions）] 機能を使用して、デバイスタイプ、セッションの長さ、アップロードおよびダウンロードのデータ範囲などの基準に基づいて検索を絞り込むことができます。リモートアクセス VPN セッションの検索とフィルタ処理一度に表示できる結果は最大 10,000 件です。

ステータス列の「アクティブ（Active）」ラベルの付いた緑色の点は、アクティブな VPN ユーザーのセッションを示します。

AnyConnect リモートアクセス VPN セッション履歴のモニターリング

過去 3 ヵ月間に記録された AnyConnect リモートアクセス VPN セッションの履歴データをモニターリングできます。

始める前に

RA VPN ヘッドエンドを Security Cloud Control にオンボーディングします。

手順

ステップ 1

左側のウィンドウで、[インサイトとレポート（Insights & Reports）] > [リモートアクセスのモニタリング（Remote Access Monitoring）] をクリックします。

ステップ 2

[RA VPN] をクリックします。

ステップ 3

[履歴（Historical）] をクリックします。

リモートアクセス VPN セッションデータは 1 年間保存され、クエリに使用できます。
[RA VPNセッションの検索およびフィルタリング（Search and Filter RA VPN Sessions）] 機能を使用して、デバイスタイプ、セッションの長さ、アップロードおよびダウンロードのデータ範囲などの基準に基づいて検索を絞り込むことができます。リモートアクセス VPN セッションの検索とフィルタ処理
[データ送信（Data TX）] および [データ受信（Data RX）] 情報は、Cisco Secure Firewall Threat Defense には使用できません。

リモートアクセス VPN の履歴データの表示

履歴データは、ダッシュボードと表形式の両方で表示されます。

[ダッシュボード（Dashboard）] ビュー

ダッシュボードを表示するには、画面の右上隅に表示される [チャートビューの表示（Show Charts View）] アイコンをクリックする必要があります。表形式のビューとともに、ダッシュボードビューが表示されます。

ダッシュボードには、Security Cloud Control によって管理されるすべてのアクティブな VPN ヘッドエンドからの概要ビューが表示されます。過去 24 時間、7 日間、および 30 日間にすべてのデバイスで記録された VPN セッションを示す棒グラフが表示されます。ドロップダウンから期間を選択できます。個々のバーにカーソルを合わせると、日付とその日の合計セッション数が表示されます。

表形式のビュー

表形式のビューのみを表示するには、画面の右上隅に表示される [表形式のビューを表示（Show Tabular View）] アイコンをクリックする必要があります。表形式には、過去 1 年間に接続した VPN ユーザーの完全なリストが表示されます。

[場所（Location）] 列には、パブリック IP アドレスを地理的に配置することにより、VPN ヘッドエンドに接続されているすべてのユーザーの場所が表示されます。行をクリックして、ユーザーの詳細を表示します。左ペインのロケーションリンクをクリックすると、ユーザーの場所が Google マップ上に表示されます。

重要	Security Cloud Control は、履歴データに標準フィルタを適用し、ダッシュボードに表示します。ダッシュボードではカスタムフィルタはサポートされていないため、表形式のデータが表示されている場合にのみ、新しいフィルタを適用できます。新たに適用されたフィルタをクリアすると、ダッシュボードが再起動します（画面で [クリア（Clear）] をクリックして、適用されたフィルタを手動で削除します）。標準フィルタは削除できません。

[RA VPNセッションの検索およびフィルタリング（Search and Filter RA VPN Sessions）]リモートアクセス VPN セッションの検索とフィルタ処理機能を使用して、セッションの日と時間の範囲、セッションの長さ、アップロードおよびダウンロードのデータ範囲などの条件に基づいて検索を絞り込むことができます。一度に表示できる結果は最大 10,000 件です。

ステータス列の「アクティブ（Active）」ラベルの付いた緑色の点は、アクティブな VPN ユーザーのセッションを示します。

リモートアクセス VPN セッションの検索とフィルタ処理

検索（Search）

検索バー機能を使用して、リモートアクセス VPN セッションを検索します。検索バーにデバイス名、IP アドレス、またはシリアル番号を入力し始めると、検索条件に一致するリモートアクセス VPN セッションが表示されます。検索では大文字と小文字が区別されません。

Filter

フィルタサイドバーを使用して、セッション時間の範囲、セッションの長さ、アップロードおよびダウンロードのデータ範囲などの条件に基づいてリモートアクセス VPN セッションを特定できます。フィルタ機能は、ライブビューと履歴ビューの両方で使用できます。

[デバイスによるフィルタ（Filter by Devices）]：1 つまたはすべてのデバイスを [すべてのタイプ（All Types）] から選択して、選択したデバイスからのセッションを表示します。このウィンドウでは、デバイスがタイプに基づいて分類され、対応するタブの下に表示されます。
[セッションの時間範囲（Sessions Time Range）]（履歴データにのみ適用）：指定した日時範囲のセッションの履歴を表示します。表示できるのは、過去 3 ヵ月間に記録されたデータのみです。
[セッションの長さ（Sessions Length）]：指定されたセッションの継続時間に基づいてセッションを表示します。時間の単位（時間、分、または秒）を設定し、スライダを動かして、継続時間の最小長と最大長を指定します。表示されたフィールドで長さを指定することもできます。
[アップロード（TX）（Upload (TX)）]：セキュリティで保護されたネットワークにアップロードまたは転送されたデータの指定量に基づいてセッションを表示します。単位（GB、MB、または KB）を設定し、スライダを適宜動かして範囲を選択します。表示されるフィールドに値を指定することもできます。
[ダウンロード（RX）（Download (RX)）]：セキュリティで保護されたネットワークからダウンロードまたは受信したデータの指定量に基づいてセッションを表示します。単位（GB、MB、または KB）を設定し、スライダを適宜動かして範囲を選択します。表示されるフィールドに値を指定することもできます。

リモートアクセス VPN モニタリングビューのカスタマイズ

ライブモードと履歴モードの両方のリモートアクセス VPN モニタリングビューを変更して、必要なビューに適用される列ヘッダーのみを含めることができます。列の右側にある列フィルタアイコンをクリックし、必要な列を選択または選択解除します。

Security Cloud Control に次回サインインしたとき、選択した内容が Security Cloud Control に記憶されています。

RA VPN セッションの CSV ファイルへのエクスポート

1 つ以上のデバイスのリモートアクセス VPN セッションをコンマ区切り値（.csv）ファイルにエクスポートできます。Microsoft Excel などのスプレッドシートアプリケーションで .csv ファイルを開いて、リストの項目を並べ替えたり、フィルタ処理したりできます。この情報は、リモートアクセス VPN セッションの分析に役立ちます。セッションをエクスポートするたびに、Security Cloud Control は new.csv ファイルを作成します。作成されるファイルの名前には日付と時刻が含まれます。

Security Cloud Control は、最大 100,000 のアクティブセッションを CSV ファイルにエクスポートできます。すべてのデバイスからのセッションの合計数が上限を超えている場合は、[デバイス別表示（View By Device）] フィルタを使用して、個々のデバイスのレポートを生成できます。

手順

ステップ 1	左側のウィンドウで、[インサイトとレポート（Insights & Reports）] > [リモートアクセスのモニタリング（Remote Access Monitoring）] をクリックします。
ステップ 2	[デバイス別表示（View By Devices）] 領域で、次のいずれかを選択します。 [すべてのデバイス（All Devices）] は、その下に一覧表示されているすべてのデバイスからアクティブセッションをエクスポートします。セッションをエクスポートするデバイスをクリックします。
ステップ 3	右上隅にあるアイコンをクリックします。Security Cloud Control は、画面に表示されているルールを .csv ファイルにエクスポートします。
ステップ 4	スプレッドシートアプリケーションで .csv ファイルを開いて、結果を並べ替えたりフィルタリングしたりすることができます。

リモートアクセス VPN ダッシュボード

Security Cloud Control は、Cisco ASA、クラウド提供型 Firewall Management Center 管理対象脅威に対する防御、および FDM による管理デバイスからのリモートアクセス VPN 接続に関する統合情報を提供します。

左側のペインで、[セキュアな接続（Secure Connections）] > [リモートアクセスVPN（Remote Access VPN）] の順にクリックします。

FDM による管理デバイスでのリモートアクセス VPN セッションの切断

現在は、Security Cloud Control インターフェイスを使用しても FDM による管理デバイスでリモートアクセス VPN セッションを終了できません。代わりに、SSH を使用して脅威防御 CLI に接続し、目的のユーザーを切断することができます。このタスクは、Security Cloud Control にオンボーディングされたオンライン FDM による管理デバイスで実行できます。

手順

ステップ 1	デバイスが実行しているバージョンの『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の、「Getting Started」の章の「Logging Into the Command Line Interface (CLI)」セクションの説明に従い、Firewall Device Manager にログオンしてデバイス CLI を使用します。
ステップ 2	`vpn-sessionsdb logoff {name}` コマンドを実行します（name はユーザー名に置き換えます）。このコマンドは、指定したユーザー名のすべてのセッションを終了します。

テンプレート

テンプレートは、汎用のデバイス構成ファイルの開発手法を提供します。

テンプレートは、既存の基本構成ファイルから作成されます。
IP アドレスやポート番号など、予想される値を簡単にカスタマイズできる値パラメータをサポートしています。
また、複数のデバイス間で使用するために、パラメータ置換を使用してエクスポートできます。

FDM による管理デバイステンプレート

FDM による管理デバイステンプレートの概要

Security Cloud Control では、オンボーディングされた FDM による管理デバイス設定の FDM による管理デバイステンプレートを作成できます。テンプレートを作成するときに、FDM による管理デバイステンプレートに含めるパーツ（オブジェクト、ポリシー、設定、インターフェイス、および NAT）を選択します。その後、そのテンプレートを変更し、それを使用して管理対象の他の FDM による管理デバイスを設定できます。FDM による管理デバイステンプレートを使用すると、FDM による管理デバイス間でポリシーの一貫性が高まります。

FDM による管理デバイステンプレートを作成する際、完全なテンプレートまたはカスタムテンプレートの作成を選択できます。

完全なテンプレートには、FDM による管理デバイス設定のすべてのパーツが含まれており、すべてを他の FDM による管理デバイスに適用します。
カスタムテンプレートには、選択した FDM による管理デバイス設定の 1 つ以上のパーツのみが含まれ、そのパーツと他の FDM による管理デバイスに関連付けられたエンティティのみが適用されます。

重要	FDM による管理デバイステンプレートには、証明書、Radius、AD、および RA VPN オブジェクトは含まれません。

FDM による管理デバイステンプレートの使用方法

FDM による管理デバイステンプレートの使用方法をいくつか示します。

別の FDM による管理デバイスの構成テンプレートを適用して、1 つの FDM による管理デバイスを構成します。適用するテンプレートは、すべての FDM による管理デバイスで使用する「ベストプラクティス」設定を表す場合があります。
テンプレートをメソッドとして使用して、デバイス設定の変更を行い、それらの変更をライブ FDM による管理デバイスに適用する前に、ラボ環境でシミュレートして機能をテストします。
テンプレートを作成するときに、インターフェイスとサブインターフェイスの属性をパラメーター化します。テンプレートの適用時に、インターフェイスおよびサブインターフェイスのパラメータ化された値を変更できます。

変更ログに表示される内容

テンプレートをデバイスに適用すると、そのデバイスの設定全体が上書きされます。Security Cloud Control 変更ログには、結果として加えられたすべての変更が記録されます。そのため、テンプレートをデバイスに適用した後の変更ログエントリは非常に長くなります。

FDM テンプレートの設定

前提条件

FDM による管理デバイステンプレートを作成する前に、テンプレートを作成する FDM による管理デバイスを Security Cloud Control にオンボーディングします。オンボーディング済みの FDM による管理デバイスからのみ FDM による管理デバイステンプレートを作成できます。

環境に追加される新しい FDM による管理デバイスを設定するときに、テンプレートを使用することを強く推奨します。

（注）

FDM による管理デバイスからテンプレートを作成すると、RA VPN オブジェクトはテンプレートに含められません。

FDM テンプレートの作成

テンプレートを作成する際にすべてのパーツを選択すると、テンプレートにはそのデバイス構成のすべての側面が組み込まれます。管理 IP アドレス、インターフェース構成、ポリシー情報などです。

一部のパーツを選択すると、カスタムテンプレートには次のエンティティが組み込まれます。


テンプレートパーツ	カスタムテンプレートに含まれるパーツ
アクセルルール	アクセス制御ルールと、そのルールに関連するエンティティが組み込まれます。たとえば、オブジェクトとインターフェイス（サブインターフェイスを含む）です。
NAT ルール	NAT ルールと、その NAT ルールに必要な関連エンティティが組み込まれます。たとえば、オブジェクトとインターフェイス（サブインターフェイスを含む）です。
設定	システム設定と、その設定に必要な関連エンティティが組み込まれます。たとえば、オブジェクトとインターフェイス（サブインターフェイスを含む）です。
インターフェイス	インターフェイスとサブインターフェイスが組み込まれます。
オブジェクト	オブジェクトと、そのオブジェクトに必要な関連エンティティが組み込まれます。たとえば、インターフェイスとサブインターフェイスです。

次の手順を使用して、FDM による管理デバイステンプレートを作成します。

手順

ステップ 1

左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

[FTD] タブをクリックして、該当するデバイスをリストから選択します。

ステップ 4

フィルタや検索フィールドを使用して、テンプレートを作成する FDM による管理デバイスを見つけます。

ステップ 5

右側の [デバイスアクション（Device Actions）] ペインで、 [テンプレートの作成（Create Template）] をクリックします。[名前テンプレート（Name Template）] には、デバイス上の各パーツの数が表示されます。サブインターフェースがある場合は、その数も表示されます。

ステップ 6

テンプレートに含めるパーツを選択します。

ステップ 7

テンプレートに付ける名前を入力します。

ステップ 8

[テンプレートの作成（Create Template）] をクリックします。

ステップ 9

[テンプレートのパラメータ化（Parameterize Template）] 領域では、次のことを実行できます。

インターフェイスをパラメータ化するには、そのインターフェイスに対応するセルにカーソルを合わせて（中括弧が表示されるまで）クリックします。
サブインターフェースをパラメータ化するには、サブインターフェースがあるインターフェースを展開し、そのサブインターフェースに対応するセルにカーソルを合わせて（中括弧が表示されるまで）クリックします。

次の属性をパラメータ化すると、デバイスごとにカスタマイズできます。

論理名（Logical Name）
状態
IP Address/Netmask

（注）

これらの属性は、パラメータごとに 1 つの値のみをサポートします。

ステップ 10

[続行（Continue）] をクリックします。

ステップ 11

テンプレートとパラメーター化した値を確認します。[完了（Done）] をクリックしてテンプレートを作成します。

[セキュリティデバイス（Security Devices）] ページに、作成した FDM による管理デバイステンプレートが表示されます。

（注）

テンプレートの作成後、Security Cloud Control の [セキュリティデバイス（Security Devices）] ページに対応するテンプレートパーツアイコンが表示され、テンプレートに含まれるパーツが示されます。デバイスをクリックするか、アイコンにマウスポインタを合わせると、[デバイスの詳細（Device Details）] ペインにもこの情報が表示されます。

次の図は、テンプレートに「アクセスルール」、「NAT ルール」、「オブジェクト」が含まれていることを示すパーツアイコンの例を示しています。

FDM による管理デバイステンプレートの編集

次の手順でテンプレートパラメータを編集します。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[テンプレート（Templates）] タブをクリックします。
ステップ 3	[FTD] タブをクリックします。
ステップ 4	モデルまたはテンプレートフィルタを使用して、変更するテンプレートを見つけます。
ステップ 5	右側の [デバイスアクション（Device Actions）] ペインで、[パラメータの編集（Edit Parameters）] をクリックします。
ステップ 6	（任意）テキストボックスを直接編集して、パラメータを変更します。
ステップ 7	[保存（Save）] をクリックします。ライブ FDM による管理デバイスを設定する場合と同様に、FDM による管理デバイステンプレートの残りの部分を編集できます。FDM による管理デバイステンプレートは次の設定で編集できます。 FDM 管理対象デバイスの設定 FTD の仮想プライベートネットワークの管理 RA VPN 設定の作成 FDM ポリシー設定ポリシーと構成の一貫性を促進する

FDM テンプレートの削除

FDM による管理デバイステンプレートを削除するには、FDM による管理デバイスを Security Cloud Control から削除します。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[テンプレート（Templates）] タブをクリックします。
ステップ 3	[FTD] タブをクリックします。
ステップ 4	フィルタと検索フィールドを使用して、削除する FDM による管理デバイステンプレートを検索します。
ステップ 5	[デバイスアクション（Device Actions）] ペインで、[削除（Remove）] をクリックします。
ステップ 6	警告メッセージの内容を確認し、[OK] をクリックします。

FDM テンプレートの適用

テンプレートを適用する前に、[セキュリティデバイス（Security Devices）] ページに移動して格納ファイルを確認し、[モデル/テンプレート（Model/Template）] に対してフィルタ処理できます。Security Cloud Control には、対応するテンプレートパーツアイコンが表示され、そのテンプレートに含まれるパーツが示されます。デバイスをクリックするか、アイコンにマウスポインタを合わせると、[デバイスの詳細（Device Details）] ペインにもこの情報が表示されます。

次の属性をパラメータ化して、デバイスごとのカスタマイズを有効にすることができます。つまり、テンプレートの適用時にデバイス固有の値を適用できます。

FDM による管理デバイステンプレートを作成して適用する際に、インターフェイスおよびサブインターフェイスのパラメータ化された値を変更できます。

完成したテンプレートの適用

完成した FDM による管理デバイステンプレートを適用して新しい FDM による管理デバイスを作成すると、FDM による管理デバイスの既存の設定がすべて上書きされます。Security Cloud Control からデバイスへの展開が完了していないステージング中の変更も含まれます。デバイス上でテンプレートに含まれていないものはすべて失われます。

カスタムテンプレートの適用

カスタム FDM による管理デバイステンプレートを他の FDM による管理デバイスに適用すると、テンプレートパーツに基づいて既存の設定が保持または削除されます。次の表に、他の FDM による管理デバイスにカスタムテンプレートを適用した後に発生する変更を示します。


テンプレートパーツ	カスタムテンプレートの適用後
アクセルルール	カスタムテンプレート内の新しいアクセス制御ルールは、デバイス上の既存のアクセス制御ルールを上書きします。カスタムテンプレート内に新しいオブジェクトやインターフェイス（サブインターフェイスを含む）がある場合は、既存のオブジェクトやインターフェイスを削除せずにデバイスに適用されます。
NAT ルール	デバイス上の既存の NATルールは、カスタムテンプレート内の新しい NAT ルールを上書きします。カスタムテンプレート内に新しいオブジェクトやインターフェイス（サブインターフェイスを含む）がある場合は、既存のオブジェクトやインターフェイスを削除せずにデバイスに適用されます。
設定	カスタムテンプレートの新しいシステム設定は、既存のシステム設定を削除せずにデバイスに適用されます。カスタムテンプレート内に新しいオブジェクトやインターフェイス（サブインターフェイスを含む）がある場合は、既存のオブジェクトやインターフェイスを削除せずにデバイスに適用されます。
インターフェイス	カスタムテンプレートの新しいインターフェイスとサブインターフェイスは、既存のインターフェイスとサブインターフェイスを削除せずにデバイスに適用されます。 Security Cloud Control では、デバイス上のインターフェイスよりも多くのインターフェイスが定義されているテンプレートは、そのデバイスに適用できません。
オブジェクト	カスタムテンプレートの新しいオブジェクトは、既存のオブジェクトを削除せずにデバイスに適用されます。カスタムテンプレー内に新しいインターフェイスやサブインターフェイスがある場合は、既存のインターフェイスとサブインターフェイスを削除せずにデバイスに適用されます。

前提条件

テンプレートを適用する前に、次の条件を満たす必要があります。

テンプレートを使用する際、テンプレートに加えた変更がすべてコミットされていること、およびテンプレートが [セキュリティデバイス（Security Devices）] ページで [同期（Synced）] 状態になっていることを確認してください。
FDM による管理デバイスをテンプレートとして使用する場合は、デバイスへの展開対象となる Security Cloud Control の変更が展開されていること、および展開されていない Firewall Device Manager コンソールから変更されていないことを確認してください。デバイスは、[セキュリティデバイス（Security Devices）] ページで [同期（Synced）] 状態である必要があります。

テンプレートをデバイスに適用するには、3 段階のプロセスがあります。

テンプレートをデバイスに適用する
デバイスとネットワークの設定を確認する
変更をデバイスに展開する

FDM による管理デバイスへのテンプレートの適用

重要	変更をデバイスに展開する前に、次の手順に進みます。

デバイスとネットワーキングの設定の確認

テンプレートを適用する前に、変更リクエストのトラッキング機能を使用して、変更にトラッキングラベルを適用できます。次の手順を使用して、FDM による管理デバイステンプレートを適用します。

手順

ステップ 1

（任意）始める前に、FDM による管理デバイスのテンプレートを作成してから、別のテンプレートをそのテンプレートに適用します。これにより、デバイスやネットワーク設定の再適用が必要になったときに、参照可能な設定のバックアップが提供されます。

ステップ 2

左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。

ステップ 3

[テンプレート（Templates）] タブをクリックします。

ステップ 4

[FTD] タブをクリックします。

ステップ 5

フィルタと検索フィールドを使用して、テンプレートを適用する FDM による管理デバイスまたはテンプレートを検索します。

（注）

この時点でテンプレート名を変更すると、完全なデバイス設定またはテンプレートを DeviceName に適用することになります。この変更を DeviceName に展開すると、そのデバイスで実行されている設定全体が上書きされます。

ステップ 6

右側の [デバイスアクション（Device Actions）] ペインで、[テンプレートの適用（Apply Template）] をクリックします。

ステップ 7

[テンプレートの選択（Select Template）] をクリックし、目的のテンプレートを選択して [続行（Continue）] をクリックします。

ステップ 8

以下の設定を行い、各画面に表示される [続行（Continue）] をクリックします。

[マップインターフェイス（Map Interface）]：テンプレートとデバイス間のインターフェースのマッピングを確認または変更します。 1 つのデバイスインターフェイスに複数のテンプレートインターフェイスをマッピングできないことに注意してください。インターフェイス設定がサポートされていない場合、続行してテンプレートを適用できません。

（注）

Security Cloud Control では、デバイス上のインターフェイスよりも多くのインターフェイスが定義されているテンプレートは、そのデバイスに適用できません。

[パラメーターの入力（Fill Parameters）]：テンプレートを適用するデバイスのインターフェースまたはサブインターフェースのパラメータ値をカスタマイズします。
[レビュー（Review）]：テンプレートの設定を確認し、既存のデバイス設定をテンプレートの設定で上書きする準備ができたら、[テンプレートの適用（Apply Template）] をクリックします。

ステップ 9

行った変更を今すぐレビューして展開するか、後から複数の変更を一度に展開します。

デバイスとネットワークの設定を確認する

FDM による管理デバイステンプレートを作成する際、Security Cloud Control はデバイス構成全体をテンプレートにコピーします。そのため、元のデバイスの管理 IP アドレスなどがテンプレートに含まれています。テンプレートをデバイスに適用する前に、デバイスとネットワークの設定を確認してください。

手順

ステップ 1	以下の FDM による管理デバイス設定を確認して、それらが新しい FDM による管理デバイスの正確な情報を反映していることを確認します。管理アクセス [管理インターフェイス（Management Interface）] ホスト名
ステップ 2	Firepower アクセスコントロールポリシーを確認して、ルールが必要に応じて新しい FDM による管理デバイスの IP アドレスを参照していることを確認します。
ステップ 3	inside_zone および outside_zone のセキュリティオブジェクトを確認して、それらが新しい FDM による管理デバイスの正確な IP アドレスを参照していることを確認します。
ステップ 4	NAT ポリシーを確認して、それらが新しい FDM による管理デバイスの正確な IP アドレスを参照していることを確認します。
ステップ 5	インターフェイスの構成を確認して、それらが新しい FDM による管理デバイスの正確な構成を反映していることを確認します。

変更のデバイスへの展開

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

FDM による管理デバイステンプレートへの ASA 設定の移行

注目	Secure Firewall Device Manager （FDM）のサポートと機能は、要求があった場合にのみ利用できます。テナントで Firewall Device Manager サポートがまだ有効になっていない場合は、FDM による管理デバイスを管理したり、デバイスに展開したりすることはできません。サポートチームにリクエストを送信して、このプラットフォームを有効にします。

Security Cloud Control を使用すると、ASA を FDM による管理デバイスに移行できます。Security Cloud Control には、ASA の実行構成の次の要素を FDM による管理デバイステンプレートに移行するためのウィザードが用意されています。

アクセス制御ルール（ACL）
インターフェイス
ネットワークアドレス変換（NAT）ルール
ネットワークオブジェクトとネットワークグループオブジェクト
ルート
サービスオブジェクトとサービスグループオブジェクト
サイト間 VPN

ASA 実行構成のこれらの要素を FDM による管理デバイステンプレートに移行したら、その FDM テンプレートを、Security Cloud Control によって管理される新しい FDM による管理デバイスに適用できます。FDM による管理デバイスはテンプレートで定義された構成を採用するため、FDM による管理デバイスは ASA の実行構成のいくつかの側面を使用して構成されるようになりました。

ASA 実行コンフィギュレーションの他の要素は、このプロセスを使用して移行されません。これらの他の要素は、FDM による管理デバイステンプレートでは空の値で表されます。テンプレートが FDM による管理デバイスに適用されると、移行された値が新しい FDM による管理デバイスに適用され、空の値は無視されます。新しい FDM による管理デバイスの他のデフォルト値は、すべて保持されます。移行されなかった ASA 実行コンフィギュレーションのその他の要素は、移行プロセス以外で FDM による管理デバイスで再作成する必要があります。

Security Cloud Control を使用して ASA を FDM による管理デバイスに移行するプロセスの詳細については、『Migrating an ASA to an FDM-Managed Device Using Cisco Security Cloud Control』を参照してください。

FDM による管理の高可用性

ハイアベイラビリティについて

高可用性（HA）やフェールオーバー設定では、プライマリデバイスの障害時にセカンダリデバイスで引き継ぐことができるように、2 つのデバイスをプライマリ/セカンダリ設定に結び付けます。フェールオーバーとも呼ばれるハイアベイラビリティを設定するには、専用フェールオーバーリンク（および任意でステートリンク）を介して相互に接続された 2 つの同じ FDM による管理デバイスが必要です。アクティブ装置（ハードウェア、インターフェイス、ソフトウェアおよび環境ステータス）の状態は、特定のフェールオーバー条件に一致しているかどうかを確認するためにモニターされます。所定の条件に一致すると、フェールオーバーが行われます。これにより、デバイスに障害が発生した場合や、デバイスがアップグレードされているメンテナンス期間中に、ネットワークの運用を維持できます。詳しくは下の関連記事をご覧ください。

この装置はアクティブ/スタンバイペアを形成します。プライマリ装置がアクティブな装置となり、トラフィックを送信します。セカンダリ（スタンバイ）装置はアクティブにトラフィックを送信しませんが、アクティブ装置の設定やその他のステータス情報を同期します。2 台の装置はフェールオーバーリンク経由で通信して、各装置の動作ステータスを確認しています。

（注）

FDM による管理 HA ペアからの変更を受け入れるか HA ペアに変更を展開することを選択すると、HA ペアのアクティブデバイスと通信することになります。これは、設定とバックアップがアクティブデバイスからのみ取得されることを意味します。

高可用性ペアの証明書

FDM による管理 HA ペアに証明書を適用すると、Security Cloud Control ではアクティブデバイスにのみ証明書が適用されます。つまり、アクティブデバイスの展開時にのみ、設定と証明書がスタンバイデバイスと同期されます。FDM による管理を介してアクティブデバイスに新しい証明書を適用すると、アクティブデバイスとスタンバイデバイスに、異なる 2 つの証明書が存在することがあります。これにより、フェイルオーバーやフェイルオーバー履歴などで問題が発生する可能性があります。2 つのデバイスが正常に機能するには、同じ証明書が必要です。FDM による管理を介して証明書を変更する必要がある場合は、変更を展開して HA ペア内で証明書を同期する必要があります。

FDM による管理ハイアベイラビリティペアの要件

ハイアベイラビリティ要件

ハイアベイラビリティ（HA）ペアを作成する前に、確立する必要があるいくつかの要件があります。

HA の物理デバイスおよび仮想デバイスの要件

次のハードウェア要件を満たしている必要があります。

デバイスは、同じハードウェアモデルである必要があります。
デバイスには同じモジュールが取り付けられている必要があります。たとえば、一方にオプションのネットワークモジュールがある場合は、もう一方のデバイスにも同じネットワークモジュールを取り付ける必要があります。
デバイスは、同じタイプの同じ数のインターフェイスを備えている必要があります。

Security Cloud Control で HA ペアを作成するには、両方のデバイスで管理インターフェイスが設定されている必要があります。デバイスにデータインターフェイスが設定されている場合は、FDM による管理 UI を使用して HA ペアを作成してから、そのペアを Security Cloud Control にオンボーディングする必要があります。

（注）

HA ペアで FDM による管理テンプレートを使用することはできません。

HA のソフトウェア要件

物理および仮想 FDM による管理デバイスの両方で、次のソフトウェア要件を満たす必要があります。

Security Cloud Control には 2 つのスタンドアロン FDM による管理デバイスがオンボードされています。

デバイスは、まったく同じバージョンのソフトウェア（つまり、1 番目のメジャー番号、2 番目のマイナー番号、および 3 番目のメンテナンス番号が同じ）を実行する必要があります。バージョンは、[セキュリティデバイス（Security Devices）] ページの [デバイスの詳細（Device Details）] ウィンドウで確認できます。また、CLI で show version コマンドを使用して確認できます。

（注）

異なるバージョンを実行するデバイスでも参加できますが、設定がスタンバイ装置にインポートされず、装置を同じソフトウェアバージョンにアップグレードしないとフェールオーバーは機能しません。

両方のデバイスがローカルマネージャモードになっている必要があります。つまり、FDM を使用して設定されている必要があります。両方のデバイスで FDM にログインできる場合は、それらがローカルマネージャモードになっています。CLI で show managers コマンドを使用して確認することもできます。
Security Cloud Control にオンボーディングする前に、各デバイスの初期セットアップウィザードを完了する必要があります。
各デバイスに固有の管理 IP アドレスが必要です。管理インターフェイスの設定は、デバイス間で同期されません。
デバイスの NTP 設定が同じである必要があります。
DHCP を使用してアドレスを取得するようにインターフェイスを設定することはできません。つまり、すべてのインターフェイスに静的 IP アドレスが必要です。
注：インターフェイスの設定を変更する場合は、HA を確立する前に、その変更をデバイスに展開する必要があります。

両方のデバイスを同期させる必要があります。保留中の変更または競合が検出された場合は、詳細について、「設定の競合の解決」と「設定の競合の解決」を参照してください。

（注）

FDM による管理 HA ペアからの変更を受け入れるか HA ペアに変更を展開することを選択すると、HA ペアのアクティブデバイスと通信することになります。これは、設定とバックアップがアクティブデバイスからのみ取得されることを意味します。

HA のスマートライセンス要件

物理および仮想 FDM による管理デバイスの両方で、次のライセンス要件を満たす必要があります。

HA ペアの両方のデバイスに、登録済みライセンスまたは評価ライセンスが必要です。デバイスが登録されている場合は、それらを異なる Cisco Smart Software Manager アカウントに登録できますが、それらのアカウントは、エクスポート制御機能設定が同じ状態（両方有効または両方無効）である必要があります。ただし、デバイスごとに異なるオプションライセンスを有効にすることは可能です。
HA ペア内の両方のデバイスは、動作中に同じライセンスを持っている必要があります。ライセンスが不足している場合は、一方のデバイスでコンプライアンスが適用されているもののもう一方のデバイスでコンプライアンス適用外になる可能性があります。スマートライセンスアカウントに購入済みの十分な権限付与が含まれていない場合は、正しい数のライセンスが購入されるまで、アカウントがコンプライアンス適用外（一方のデバイスにコンプライアンスが適用されていても）になります。

なお、デバイスが評価モードの場合は、デバイスでの Security Cloud Control の登録ステータスが同じであることを確認する必要があります。また、Cisco Success Network への参加の選択が同じであることも確認する必要があります。登録されたデバイスについては、装置ごとに異なる設定が可能ですが、プライマリ（アクティブ）デバイスで設定すると、セカンダリデバイスが登録または登録解除されます。プライマリデバイスでの Cisco Success Network への参加の同意は、セカンダリデバイスでの同意を意味します。

輸出規制対象の機能の設定が異なるアカウントにデバイスを登録した場合、または 1 つの装置が登録済みで、もう 1 つが評価モードにある HA ペアを作成しようすると、HA の参加が失敗する可能性があります。輸出規制機能に関する設定が不整合な状態で IPsec 暗号化鍵を設定すると、HA を有効化した後に両方のデバイスがアクティブになります。これはサポートされているネットワークセグメント上のルーティングに影響を与え、回復させるにはセカンダリ装置で HA を手動で中断する必要があります。

HA のクラウドサービス設定

HA ペア内の両方のデバイスで、[Cisco Cloud にイベントを送信（Send Events to the Cisco Cloud）] が有効になっている必要があります。この機能は、FDM UI で使用できます。この機能を有効にするには、[システム設定（System Settings）] に移動し、[クラウドサービス（Cloud Services）] をクリックします。このオプションを有効にしないと、Security Cloud Control で HA ペアを形成できず、イベント説明エラーが発生します。詳細については、実行しているバージョンの Firepower Device Manager 設定ガイド [英語] の「Configuring Cloud Services」の章を参照してください。

FDM による管理ハイアベイラビリティペアの作成

Security Cloud Control で FDM による管理 HA ペアを作成する前に、「FDM による管理ハイアベイラビリティペアの要件」で説明されている要件を満たす 2 つのスタンドアロン FDM による管理デバイスを最初にオンボーディングする必要があります。

（注）

Security Cloud Control で HA ペアを作成するには、両方のデバイスで管理インターフェイスが設定されている必要があります。デバイスにデータインターフェイスが設定されている場合は、FDM コンソールを使用して HA ペアを作成してから、そのペアを Security Cloud Control にオンボーディングする必要があります。

FDM による管理 HA ペアを作成すると、デフォルトでプライマリデバイスがアクティブになり、セカンダリデバイスがスタンバイになります。すべての設定変更または展開はプライマリデバイスを介して行われ、セカンダリデバイスは、プライマリユニットが使用できなくなるまでスタンバイモードが維持されます。

設定変更の FDM による管理 HA ペアからの受け入れ、または HA ペアへの展開を選択すると、HA ペアのアクティブデバイスと通信することなります。プライマリデバイスに加えられた変更は、プライマリデバイスとセカンダリデバイス間のリンクを介して転送されます。Security Cloud Control は、プライマリデバイスのみ対象にして変更を展開して受け入れるため、[セキュリティデバイス（Security Devices）] ページには、ペアの単一のエントリが表示されます。展開が行われると、プライマリデバイスは設定変更をセカンダリデバイスに同期します。

FDM による管理 HA ペアのバックアップをスケジュールまたは選択する場合も、同様に Security Cloud Control がアクティブデバイスのみと通信するため、アクティブデバイスのみがバックアップの対象となります。

（注）

作成プロセス中に HA デバイスで問題が発生した場合、または HA ペアが正常なステータスにならない場合は、ペアを再度作成する前に、HA 構成を手動で解除する必要があります。

手順

次の手順を実行して、2 つのスタンドアロン FDM による管理デバイスから HA ペアを作成します。

手順

ステップ 1

左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックして、プライマリデバイスとして設定するデバイスを選択します。

（注）

Security Cloud Control では、DHCP で設定されたデバイスとは HA ペアを作成できません。

ステップ 4

[管理（Management）] ペインで、[高可用性（High Availability）] をクリックします。

ステップ 5

セカンダリデバイスの領域で [デバイスの選択（Select Device）] をクリックし、デバイス候補リストからデバイスを選択します。

ステップ 6

フェールオーバーリンクを設定します。

[物理インターフェイス（Physical Interface）] をクリックし、ドロップダウンメニューからインターフェイスを選択します。
該当する IP タイプを選択します。
プライマリ IP アドレスを入力します。
セカンダリ IP アドレスを入力します。
ネットマスクを入力します。デフォルト値は 24 です。
該当する場合は、有効な IPSec 暗号化キーを入力します。

ステップ 7

ステートフルリンクを設定します。フェールオーバーリンクと同じ設定を使用する場合は、[フェールオーバーリンクと同じ（The same as Failover Link）] チェックボックスをオンにします。別の設定を使用する場合は、次の手順を実行します。

[物理インターフェイス（Physical Interface）] をクリックし、ドロップダウンメニューからインターフェイスを選択します。プライマリデバイスとセカンダリデバイスの両方で、同じ数の物理インターフェイスが必要でです。
該当する IP タイプを選択します。
プライマリ IP アドレスを入力します。
セカンダリ IP アドレスを入力します。
ネットマスクを入力します。デフォルト値は 24 です。

ステップ 8

画面の右上隅にある [作成（Create）] をクリックして、ウィザードを終了すると、Security Cloud Control によってすぐに [高可用性ステータス（High Availability Status）] ページにリダイレクトされます。このページから、HA 作成のステータスをモニターリングできます。HA ペアが作成されると、[セキュリティデバイス（Security Devices）] ページにはペアが 1 行で表示されます。

ステップ 9

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

[高可用性（High Availability）] ページの FDM による管理デバイス

FDM による管理の高可用性（HA）の管理ページは、FDM による管理デバイス用の多目的ページです。このページは、HA ペアとして設定済みのデバイスでのみ使用できます。FDM による管理 HA ペアをオンボードするか、2 つのスタンドアロン FDM による管理デバイスで FDM による管理 HA ペアを作成できます。

[セキュリティデバイス（Security Devices）] ページでスタンドアロン FDM による管理デバイスを選択した場合、このページは HA ペアを作成するためのウィザードとして機能します。現時点では、ペアを作成するには、2 つの FDM による管理デバイスを Security Cloud Control にオンボードする必要があります。Security Cloud Control で FDM による管理 HA ペアを作成する方法については、「FDM による管理高可用性ペアの作成」を参照してください。

[セキュリティデバイス（Security Devices）] ページで FDM による管理 HA ペアを選択した場合、このページは概要ページとして機能します。このページでは、HA 構成とフェールオーバー履歴に加えて、フェールオーバーの強制実行、フェイルオーバー基準の編集、HA リンクの削除などの実行可能な操作を表示できます。

高可用性の管理ページ

[高可用性（High Availability）] ページを表示するには、次の手順を実行します。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、スタンドアロン FDM による管理デバイスまたは FDM による管理 HA ペアのアクティブ FDM による管理デバイスを選択します。
ステップ 4	[管理（Management）] ペインで、[高可用性（High Availability）] をクリックします。

ハイアベイラビリティフェールオーバー基準の編集

FDM による管理 HA ペアの作成後にフェールオーバー条件を編集できます。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、FDM による管理 HA ペアのアクティブデバイスを選択します。
ステップ 4	[管理（Management）] ペインで、[高可用性（High Availability）] をクリックします。
ステップ 5	[フェールオーバー基準（Failover Criteria）] ウィンドウで、[編集（Edit）] をクリックします。
ステップ 6	必要な変更を行って、[保存（Save）] をクリックします。
ステップ 7	行った変更を今すぐレビューして展開するか、複数の変更を後から一度に展開します。

FDM による管理高可用性ペアリングの解除

HA を解除すると、スタンバイデバイスで設定されたインターフェイスが自動的に無効になります。このプロセス中に、デバイスのトラフィックが中断する場合があります。HA ペアが正常に削除されると、ステータスページから [高可用性（High Availability）] ページにリダイレクトされ、同じプライマリデバイスで別の HA ペアを作成するオプションが表示されます。

（注）

HA ペアが正常に削除されるまで、いずれのデバイスにも展開できません。

管理インターフェイスを使用した HA の解除

管理インターフェイスを使用して設定されているペアの HA を解除すると、解除完了まで 10 分以上かかる場合があり、両方のデバイスはこのプロセス中オフラインになります。HA 設定が正常に削除されると、Security Cloud Control は両方のユニットをスタンドアロンデバイスとして [サービスとデバイス（Services & Devices）] ページに表示します。

データインターフェイスを使用した HA の解除

データインターフェイスを使用して設定されているペアの HA を解除すると、解除完了まで 20 分以上かかる場合があり、両方のデバイスがオフラインになります。 HA 設定を削除後、アクティブデバイスを手動で再接続する必要があります。

ただし、スタンバイデバイスでは HA 設定が保持され、アクティブデバイスと同じ設定であるため、到達不能になります。Security Cloud Control の外部で IP インターフェイスを手動で再設定してから、デバイスをスタンドアロンとして再度オンボードする必要があります。

高可用性の解除

次の手順を使用して、2 つの FDM による管理デバイスの HA ペアリングを削除します。

手順

ステップ 1	ナビゲーションバーでセキュリティデバイスをクリックし、FDM による管理 HA ペアのアクティブデバイスを選択します。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックします。
ステップ 4	[管理（Management）] ペインで、[高可用性（High Availability）] をクリックします。
ステップ 5	[ハイアベイラビリティを無効にする（Break High Availability）] をクリックします。
ステップ 6	Security Cloud Control で HA の設定が削除され、両方のデバイスが [セキュリティデバイス（Security Devices）] ページにスタンドアロンデバイスとして表示されます。
ステップ 7	Cisco Security Cloud Control から FDM による管理デバイスに設定変更を展開して、両方のデバイスに新しい設定を展開します。
ステップ 8	行った変更を今すぐレビューして展開するか、複数の変更を後から一度に展開します。

アウトオブバンド高可用性の解除

FDM インターフェイスを使用して FDM による管理の HA ペアを解除すると、Security Cloud Control で HA ペアの設定ステータスが [競合検出（Conflict Detected）] に変わります。 HA を解除した後、FDM による管理を介してプライマリデバイスに変更を展開してから、Security Cloud Control で [競合検出（Conflict Detected）] の状態を解決する必要があります。

デバイスが [同期（Synced）] 状態に戻ったら、Security Cloud Control で行った設定変更をデバイスに展開できます。

FDM による管理インターフェイスを使用して HA を解除した後、Security Cloud Control で行った変更を元に戻すことは推奨できません。

FDM による管理高可用性ペアでフェールオーバーを強制する

フェールオーバーを強制することで、FDM による管理 HA ペア内のアクティブデバイスとスタンバイデバイスを切り替えます。最近新しい証明書をアクティブデバイスに適用し、変更を展開していない場合、スタンバイデバイスは元の証明書を保持し、フェールオーバーは失敗することに注意してください。アクティブデバイスとスタンバイデバイスには、同じ証明書が適用されている必要があります。次の手順を使用して、フェールオーバーを手動で強制します。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックします。
ステップ 4	FDM による管理 HA ペアのアクティブデバイスを選択します。
ステップ 5	[管理（Management）] ペインで、[高可用性（High Availability）] をクリックします。
ステップ 6	[オプション（options）] アイコンをクリックします。
ステップ 7	[モードの切り替え（Switch Mode）] をクリックします。アクティブデバイスがスタンバイになり、スタンバイデバイスがアクティブになります。

FDM による管理の高可用性フェールオーバーの履歴

手順

ステップ 1

左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

FDM による管理 HA ペアのアクティブデバイスを選択します。

ステップ 5

[管理（Management）] ペインで、[高可用性（High Availability）] をクリックします。

ステップ 6

[フェールオーバー履歴（Failover History）] をクリックします。Security Cloud Control は、HA ペアが形成されてからのプライマリデバイスとセカンダリデバイス両方のフェールオーバー履歴に関する詳細を示すウィンドウを生成します。

（注）

フェールオーバー履歴は、[セキュリティデバイス（Security Devices）] ページから確認できるペアの変更ログにも表示されます。

FDM による管理高可用性ステータスの更新

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、FDM による管理デバイスまたは FDM による管理 HA ペアを選択します。
ステップ 4	[管理（Management）] ペインで、[高可用性（High Availability）] をクリックします。
ステップ 5	[オプション（options）] アイコンをクリックします。
ステップ 6	[最新のステータスを取得（Get Latest Status）] をクリックします。Security Cloud Control は、プライマリデバイスに正常性ステータスを要求します。

FDM による管理高可用性のフェールオーバーとステートフルリンク

フェールオーバーリンクと（任意の）ステートフルリンク

フェールオーバーリンクは 2 つの装置の間の専用接続です。ステートフルフェールオーバーリンクも専用接続ですが、1 つのフェールオーバーリンクをフェールオーバーリンクとステートリンクが組み合わされたものとして使用することも、個別の専用ステートリンクを作成することもできます。フェールオーバーリンクだけを使用する場合は、ステートフルな情報もそのリンクを経由し、ステートフルフェールオーバー機能は失われません。デフォルトでは、フェールオーバーリンクおよびステートフルフェールオーバーリンク上の通信はプレーンテキスト（暗号化されない）です。IPsec 暗号キーを設定することにより、通信を暗号化してセキュリティを強化できます。

未使用のデータ物理インターフェイスは、フェールオーバーリンクやオプションの専用ステートリンクとして使用できます。ただし、現在名前が設定されているインターフェイスやサブインターフェイスを持つインターフェイスは選択できません。フェールオーバーおよびステートフルフェールオーバーリンクインターフェイスは、通常のネットワーキングインターフェイスとして設定されません。フェールオーバー通信用にのみ存在し、通過トラフィックや管理アクセスには使用できません。設定がデバイス間で同期されるため、リンクの両端に同じポート番号を選択する必要があります。たとえば、フェールオーバーリンクの場合は両方のデバイスで GigabitEthernet 1/3 を使用します。

（注）

FDM による管理デバイスは、ユーザーデータとフェールオーバーリンク間でのインターフェイスの共有をサポートしていません。

フェールオーバーリンク

フェールオーバーペアの 2 台の装置は、フェールオーバーリンク経由で常に通信して、各装置の動作ステータスを確認し、設定の変更を同期します。次の情報がリンク上で共有されます。

装置の状態（アクティブまたはスタンバイ）
hello メッセージ（キープアライブ）
ネットワークリンクの状態
MAC アドレス交換
コンフィギュレーションの複製および同期

使用されていないデータインターフェイス（物理、冗長、または EtherChannel）はどれでも、フェールオーバーリンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。サブインターフェイスをフェールオーバーリンクとして使用しないでください。

フェールオーバーリンクインターフェイスは、通常のネットワークインターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバーリンク用にのみ使用できます（ステートリンク用としても使用できます）。

ステートフルリンク

アクティブ装置は、ステートリンクを使用して接続状態の情報をスタンバイデバイスに渡します。これは、スタンバイ装置がユーザーに影響を与えずに特定のタイプの接続を維持できることを意味します。この情報は、フェールオーバーが発生したときにスタンバイ装置が既存の接続を維持するために役立ちます。

ステートリンク専用のデータインターフェイス（物理、冗長、または EtherChannel）を使用できます。ステートリンクとして使用される EtherChannel の場合は、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。

フェールオーバーリンクとステートフルフェールオーバーリンクの両方に単一のリンクを使用することは、インターフェイスを節約する最善の方法です。ただし、設定が大規模でトラフィックが膨大なネットワークを使用している場合は、ステートリンクとフェールオーバーリンク専用のインターフェイスを検討する必要があります。ステートフルフェールオーバーリンクの帯域幅は、デバイス上のデータインターフェイスの最大帯域幅と一致させることを推奨します。

FDM による管理デバイス設定

FDM による管理デバイスのシステム設定

単一の FDM による管理デバイスで設定を行うには、次の手順を使用します。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックし、設定を行う FDM による管理デバイスを選択します。検索結果を絞り込み、FDM による管理デバイスを簡単に見つけるには、フィルタボタンを使用できます。
ステップ 4	右側の [管理（Management）] ペインで、[設定（Settings）] をクリックします。
ステップ 5	[システム設定（System Settings）] タブをクリックします。
ステップ 6	次のデバイス設定のいずれかを編集します。管理アクセス Logging DHCP サーバ DNS サーバホスト名 NTP サーバ URL フィルタリングクラウドサービス（Cloud Services） Web 分析

管理アクセスの設定

デフォルトでは、任意の IP アドレスから、デバイスの管理アドレスにアクセスできます。システムアクセスは、ユーザー名とパスワードのみによって保護されます。ただし、特定の IP アドレスまたはサブネットのみからの接続を許可するようアクセスリストを設定し、さらにレベルの高い保護を提供できます。

また、データインターフェイスを開いて、FDM による管理デバイスまたは SSH による CLI 接続を許可することもできます。これにより、管理アドレスを使用せずにデバイスを管理できます。たとえば、外部インターフェイスへの管理アクセスを許可し、デバイスをリモートで設定できます。ユーザー名とパスワードは、望ましくない接続を阻止します。デフォルトでは、データインターフェイスへの HTTPS 管理アクセスは内部インターフェイスで有効になっていますが、外部インターフェイスでは無効になっています。デフォルトの「内部」ブリッジグループを持つデバイスモデルの場合、ブリッジグループ内の任意のデータインターフェイスを介して、ブリッジグループ IP アドレス（デフォルトは 192.168.1.1）への FDM による管理デバイス接続が可能になります。管理接続は、デバイスに入るインターフェイス上でのみ開くことができます。

注意	特定のアドレスへのアクセスを制限すると、システムから簡単にロックアウトできます。現在使用している IP アドレスのアクセスを削除し、「任意」のアドレスのエントリが存在しない場合、ポリシーを展開した時点でシステムへのアクセスは失われます。アクセスリストを設定するときは、このことに注意してください。

管理インターフェイスのルールの作成

管理インターフェースのルールを作成するには、次の手順を実行します。

手順

ステップ 1

[管理インターフェイス（Management Interface）] セクションで [新規アクセス（New Access）] をクリックします。

[Protocol]：ルールが HTTPS（ポート 443）または SSH（ポート 22）用かを選択します。
[許可ネットワーク（Allowed Networks）]：システムにアクセスできる IPv4 ネットワーク、IPv6 ネットワーク、またはホストを定義するネットワークオブジェクトを選択します。「任意」のアドレスを指定するには、[any-ipv4] （0.0.0.0/0）および [any-ipv6]（::/0）を選択します。

ステップ 2

[保存（Save）] をクリックします。

データインターフェイスのルールの作成

データインターフェイスのルールを作成するには、次の手順を実行します。

手順

ステップ 1

[データインターフェイス（Data Interface）] セクションで [新規アクセス（New Access）] をクリックします。

[インターフェイス（Interface）]。管理アクセスを許可するインターフェイスを選択します。
[Protocol]：ルールが HTTPS（ポート 443）または SSH（ポート 22）、またはその両方用かを選択します。外部インターフェイスがリモートアクセス VPN 接続プロファイルで使用されている場合、その外部インターフェイスに HTTPS ルールを設定することはできません。
[許可ネットワーク（Allowed Networks）]：システムにアクセスできる IPv4 ネットワーク、IPv6 ネットワーク、またはホストを定義するネットワークオブジェクトを選択します。「任意」のアドレスを指定するには、[any-ipv4] (0.0.0.0/0) および [any-ipv6] (::/0) を選択します。

ステップ 2

[保存（Save）] をクリックします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ロギング設定の設定

この手順では、診断（データ）メッセージ、ファイルイベントとマルウェアイベント、侵入イベント、およびコンソールイベントのログを有効にする方法について説明します。接続イベントは、これらの設定の結果としてはログに記録されません。アクセスルール、セキュリティインテリジェンスポリシー、または SSL 復号ルールで接続ログが構成されている場合、接続イベントがログに記録されます。

手順

ステップ 1

FDM による管理デバイスの設定を開きます。

ステップ 2

[システム設定（System Settings）] ページで、設定メニューの [ロギング（Logging）] をクリックします。

ステップ 3

[データロギング（Data logging）] [データロギング（Data logging）] スライダを「オン」にスライドして、診断ログの syslog メッセージをキャプチャします。プラスボタンをクリックして、イベントの送信先となる syslog サーバーを表す syslog サーバーオブジェクトを指定します（この時点で、syslog サーバーオブジェクトの作成も可能です）。さらに、ログに記録するイベント重大度の最小レベルを選択します。

これにより、任意のタイプの syslog メッセージのデータロギングイベントが、選択した最小の重大度レベルで syslog サーバーに送信されます。

（注）

Security Cloud Control は現在、データロギング用のカスタムログフィルタの作成をサポートしていません。syslog サーバーに送信するメッセージをより細かく制御するには、この設定を FDM による管理デバイスで定義することをお勧めします。これを行うには、FDM による管理デバイスにログオンし、[システム設定（System Settings）] > [ロギングの設定（Logging Settings）] に移動します。

ヒント

Cisco Security Analytics and Logging のユーザーは、データロギングを有効にする際は、必ずデータロギングイベントを Secure Event Connector 以外の syslog サーバーに転送してください。データイベント（診断イベント）はトラフィックイベントではありません。データイベントを別の syslog サーバーに送信すると、SEC がそれらを分析してフィルタリングする負担がなくなります。

ステップ 4

[ファイル/マルウェアのログ設定（File/Malware Log Settings）]。このスライダを「オン」にスライドして、ファイルとマルウェアイベントをキャプチャします。イベントの送信先となる syslog サーバーを表す syslog サーバーオブジェクトを指定します。Syslog サーバーオブジェクトをまだ作成していない場合は、この時点で作成することもできます。

ファイルイベントとマルウェアイベントは、同じ重大度レベルで生成されます。選択したイベント重大度の最小レベルは、すべてのファイルイベントおよびマルウェアイベントに割り当てられます。

ファイルイベントとマルウェアイベントは、アクセスコントロールルールのファイルポリシーまたはマルウェアポリシーがトリガーされたときに報告されます。これは接続イベントとは異なります。ファイルイベントおよびマルウェアイベントの syslog 設定は、ライセンスと Malware ライセンスを必要とするファイルまたはマルウェアのポリシーを適用する場合にのみ該当します。

シスコのセキュリティ分析とロギングに登録している場合：

Secure Event Connector（SEC）を介して Cisco Cloud にイベントを送信する場合は、syslog サーバーとして SEC を指定します。これらのイベントは、ファイルポリシーとマルウェアポリシーの接続イベントとともに表示されます。
SEC を使用せずに Cisco Cloud に直接イベントを送信する場合は、この設定を有効にする必要はありません。アクセスコントロールルールで接続イベントを送信するように設定されている場合、ファイルイベントとマルウェアイベントが送信されます。

ステップ 5

[侵入ロギング（Intrusion Logging）]。イベントの送信先となる syslog サーバーを表す syslog サーバーオブジェクトを指定して、侵入イベントを syslog サーバーに送信します。Syslog サーバーオブジェクトをまだ作成していない場合は、この時点で作成することもできます。

侵入イベントは、アクセスコントロールルールの侵入ポリシーがトリガーされたときに報告されます。これは接続イベントとは異なります。侵入イベントの syslog 設定は、ライセンスを必要とする侵入ポリシーを適用する場合にのみ該当します。

シスコのセキュリティ分析とロギングに登録している場合：

Secure Event Connector（SEC）を介して Cisco Cloud にイベントを送信する場合は、syslog サーバーとして SEC を指定します。これらのイベントは、ファイルポリシーとマルウェアポリシーの接続イベントとともに表示されます。
SEC を使用せずに Cisco Cloud に直接イベントを送信する場合は、この設定を有効にする必要はありません。アクセスコントロールルールで接続イベントを送信するように設定されている場合、侵入イベントが Cisco Cloud に送信されます。

ステップ 6

[コンソールフィルタ（Console Filter）]。このスライダを「オン」にスライドして、データロギング（診断ロギング）イベントを syslog サーバーではなくコンソールに送信します。さらに、ログに記録するイベント重大度の最小レベルを選択します。これにより、任意のタイプの syslog メッセージのデータロギングイベントが、選択した最小の重大度レベルで送信されます。

これらのメッセージは、FDM による管理デバイスのコンソールポート上の CLI にログインしたときに表示されます。これらのログは、show console-output コマンドを使用して、その他の FDM による管理デバイスインターフェイス（管理インターフェイスを含む）への SSH セッションでも確認できます。さらに、メイン CLI から system support diagnostic-cli と入力すると、診断 CLI でリアルタイムでこれらのメッセージを表示できます。

ステップ 7

[保存（Save）] をクリックします。

ステップ 8

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

メッセージの重大度

次の表に、syslog メッセージの重大度の一覧を示します。

レベル番号

重大度

説明

[0]

emergencies

システムが使用不可能な状態です。

1

alert

すぐに措置する必要があります。

2

critical

深刻な状況です。

3

error

エラー状態です。

4

warning

警告状態です。

5

notification

正常ですが、注意を必要とする状況です。

6

informational

情報メッセージです。

7

debugging

デバッグメッセージです。

（注）

FDM による管理デバイスは、シビラティ（重大度）0（緊急）の syslog メッセージを生成しません。

DHCP サーバーの設定

Dynamic Host Configuration Protocol（DHCP）サーバは、IP アドレスなどのネットワーク設定パラメータを DHCP クライアントに提供します。接続されたネットワークで DHCP クライアントに構成パラメータを提供するように、インターフェイスで DHCP サーバを設定できます。

IPv4 DHCP クライアントは、サーバに到達するために、マルチキャストアドレスよりもブロードキャストを使用します。DHCP クライアントは、UDP ポート 68 でメッセージをリッスンします。DHCP サーバーは、UDP ポート 67 でメッセージをリッスンします。DHCP サーバは、BOOTP 要求をサポートしていません。

DHCP クライアントは、サーバが有効になっているインターフェイスと同じネットワークに属している必要があります。スイッチがあるとしても、サーバーとクライアントの間にルータを介在させることはできません。

注意	すでに DHCP サーバが動作しているネットワークで DHCP サーバを設定しないでください。2 つのサーバーがお互いに競合するため、結果は予測不可能になります。

手順

ステップ 1	このセクションには 2 つのエリアがあります。最初は、[構成（Configuration）] セクションにグローバルパラメータが表示されます。[DHCPサーバ（DHCP Servers）] エリアには、サーバーを設定したインターフェイスと、サーバーが有効にされているかどうか、そしてサーバーのアドレスプールが表示されます。
ステップ 2	[構成（Configuration）] セクションで、自動設定とグローバル設定を構成します。 DHCP 自動設定では、指定したインターフェイスで動作している DHCP クライアントから取得した DNS サーバー、ドメイン名、および WINS サーバーの情報が、DHCP サーバーから DHCP クライアントに提供されます。通常、外部インターフェイスで DHCP を使用してアドレスを取得する場合には自動設定を使用しますが、DHCP を介してアドレスを取得するインターフェイスを選択することもできます。自動設定を使用できない場合には、必要なオプションを手動で定義できます。自動設定を利用する場合、[自動設定を有効にする（Enable Auto Configuration）] をクリックして [オン（On）] にしてから、DHCP を介してアドレスを取得するインターフェイスを [次のインターフェイスから取得（From Interface）] プルダウンで選択します。自動設定を有効にしない場合、または自動設定された設定を上書きするには、次のグローバルオプションを設定します。これらの設定は、DHCP サーバーをホストするすべてのインターフェイスで DHCP クライアントに送信されます。プライマリ WINS IP アドレス、セカンダリ WINS IP アドレス。クライアントが NetBIOS の名前解決に使用する Windows インターネットネームサービス（WINS）サーバーのアドレス。プライマリ DNS IP アドレス、セカンダリ DNS IP アドレス。クライアントがドメイン名の解決に使用するドメインネームシステム（DNS）サーバーのアドレス。DNS IP アドレスフィールドに Cisco Umbrella DNS サーバーを入力する場合は、[Umbrella 設定を適用（Apply Umbrella Settings）] をクリックします。ボタンをクリックすると、適切な IP アドレスがフィールドにロードされます。 [保存（Save）] をクリックします。
ステップ 3	[DHCPサーバー（DHCP Servers）] セクションで、既存のサーバーを編集するか、[新しいDHCPサーバー（New DHCP サーバー）] をクリックして新しいサーバーを追加および構成します。サーバプロパティを設定します。 [DHCPサーバーの有効化（Enable DHCP Server）] サーバーを有効にするかどうかを決定します。サーバを設定できますが、使用する準備が整うまでサーバは無効にしておきます。 [インターフェイス（Interface）]。クライアントに DHCP アドレスを提供するインターフェイスを選択します。インターフェイスは静的 IP アドレスを持っている必要があります。インターフェイスで DHCP サーバを実行する場合、インターフェイスアドレスの取得に DHCP を使用することはできません。ブリッジグループの場合、メンバーインターフェイスではなく、ブリッジ仮想インターフェイス（BVI）で DHCP サーバを設定します。そうすると、サーバはすべてのメンバーインターフェイスで有効になります。診断インターフェイスで DHCP サーバを設定することはできません。[デバイス（Device）] > [システム設定（System Settings）] > [管理インターフェイス（Management Interface）] ページの管理インターフェイスで設定します。 [アドレスプール（Address Pool）]。DHCP サーバーの単一の IP アドレスまたは IP アドレス範囲を追加します。アドレスを要求するクライアントにサーバが提供できる IP アドレスの最小から最大までの範囲です。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自体の IP アドレス、ブロードキャストアドレス、またはサブネットネットワークアドレスを含めることはできません。プールの開始アドレスと終了アドレスをハイフンで区切って指定します。たとえば、 10.100.10.12-10.100.10.250 のように指定します。 [OK] をクリックします。
ステップ 4	[保存（Save）] をクリックします。
ステップ 5	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

DNS サーバの設定

ドメインネームシステム（DNS）サーバーは、IP アドレスのホスト名の解決に使用されます。DNS サーバーは、管理インターフェイスによって使用されます。

手順

ステップ 1	[プライマリ、セカンダリ、ターシャリ DNS IP アドレス（Primary, Secondary, Tertiary DNS IP Address）] に、DNS サーバーの IP アドレスを優先順位に従って 3 つまで入力します。使用していたプライマリ DNS サーバーからの応答がなくなると、セカンダリが使用され、最後にターシャリが使用されます。DNS IP アドレスフィールドに Cisco Umbrella DNS サーバーを入力する場合は、[Umbrella 設定を適用（Apply Umbrella Settings）] をクリックします。ボタンをクリックすると、適切な IP アドレスがフィールドにロードされます。
ステップ 2	[ドメイン検索名（Domain Search Name）] に、ネットワークのドメイン名（example.com など）を入力します。このドメインは、完全修飾されていないホスト名に付加されます（たとえば、serverA は serverA.example.com になります）。
ステップ 3	[保存（Save）] をクリックします。
ステップ 4	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

管理インターフェイス

管理インターフェイスは物理的な管理ポートに接続されている仮想インターフェイスです。物理ポートは診断インターフェイスと呼ばれ、他の物理ポートとともにインターフェイスページで設定できます。仮想 FDM による管理デバイスではどちらのインターフェイスも仮想ですが、この二重性は保持されます。

管理インターフェイスには 2 つの使い方があります。

IP アドレスへの Web および SSH 接続を開き、インターフェイスからデバイスを設定できます。
システムはこの IP アドレスを使用してスマートライセンスおよびデータベースの更新情報を取得します。

CLI セットアップウィザードを使用すると、システムの初期設定時にデバイスの管理アドレスとゲートウェイを設定します。FDM による管理のセットアップウィザードを使用すると、管理アドレスとゲートウェイはデフォルトのまま変更されません。

必要に応じて、FDM による管理デバイスを通じてこれらのアドレスを変更できます。また、CLI で configure network ipv4 manual および configure network ipv6 manual コマンドを使用することで、管理アドレスとゲートウェイアドレスを変更することもできます。

管理ネットワーク上の他のデバイスが DHCP サーバーとして機能している場合、スタティックアドレスを定義するか、または DHCP を介してアドレスを取得できます。デフォルトでは、管理アドレスは静的で、DHCP サーバーはポートで動作します（DHCP サーバーのない仮想 FDM による管理デバイスを除く）。そのため、デバイスを管理ポートに直接接続し、ワークステーションの DHCP アドレスを取得できます。これにより、デバイスの接続と設定が容易になります。

注意	現在接続されているアドレスを変更した場合は、その変更がすぐに適用されるため、変更の保存と同時に FDM による管理デバイス（または CLI）にアクセスできなくなります。デバイスに接続し直す必要があります。新しいアドレスが管理ネットワークで使用できることを確認します。

手順

ステップ 1	管理 IP アドレス、ネットワークマスクまたは IPv6 プレフィックス、および IPv4、IPv6、またはその両方のゲートウェイ（必要に応じて）を設定します。少なくとも 1 組のプロパティを設定する必要があります。1 組は空白にし、そのアドレッシング方式を無効にします。
ステップ 2	[タイプ（Type）] > [DHCP] を選択し、DHCP または IPv6 自動設定によってアドレスおよびゲートウェイを取得します。ただし、ゲートウェイとしてデータインターフェイスを使用している場合、DHCP を使用することはできません。この場合はスタティックアドレスを使用する必要があります。
ステップ 3	[保存（Save）] をクリックします。
ステップ 4	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

ホストネーム

デバイスホスト名を変更できます。

手順

ステップ 1	[ファイアウォールホスト名（Firewall Hostname）] フィールドに、デバイスの新しいホスト名を入力します。
ステップ 2	[保存（Save）] をクリックします。
ステップ 3	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

NTP サーバの設定

システムの時刻を設定するには、Network Time Protocol（NTP）サーバーを設定する必要があります。

手順

ステップ 1

独自のタイムサーバー（手動）を使用するか、シスコのタイムサーバーを使用するかを選択します。

[新規 NTP サーバー（New NTP Server）]。使用する NTP サーバの完全修飾名または IP アドレスを入力します。例、ntp1.example.com または 10.100.10.10。
[デフォルトを使用（Use Default）]。

ステップ 2

[保存（Save）] をクリックします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

URL フィルタリングの設定

システムは、Cisco Collective Security Intelligence（CSI）から URL カテゴリとレピュテーションデータベースを取得します。これらの設定により、データベースの更新とシステムが不明なカテゴリまたはレピュテーションの URL を処理する方法が制御されます。これらの設定を行うには、URL フィルタリングライセンスを有効にする必要があります。

注意	URL スマートライセンスがなくても [URL フィルタリングの設定（URL Filtering Preferences）] を設定することはできますが、展開するにはスマートライセンスが必要です。URL スマートライセンスを追加するまでは、展開がブロックされます。

手順

ステップ 1

該当するオプションを有効にします。

カテゴリとレピュテーションを含む更新された URL データが自動的にチェックされ、ダウンロードされるようにするには、[自動更新の有効化（Enable Automatic Updates）] スライダをクリックしてオンにします。展開後、FDM による管理デバイスは、30 分ごとに更新をチェックします。
ローカル URL フィルタリングデータベースのカテゴリおよびレピュテーションのデータを含まない URL に関する更新情報について Cisco CSI をチェックするには、[不明な URL に対する Cisco CSI のクエリ（Query Cisco CSI for Unknown URLs）] スライダをクリックしてオンにします。
[URL 存続可能時間（URL Time to Live）] は、[不明な URL に対する Cisco CSI のクエリ（Query Cisco CSI for Unknown URLs）] オプションを有効にしている場合にのみ有効になります。これにより、指定された URL のカテゴリおよびレピュテーションルックアップ値を保持する時間が決まります。存続可能時間が経過すると、次に試行される URL のアクセスが新規のカテゴリ/レピュテーションルックアップになります。時間が短いほど URL フィルタリングが正確になり、時間が長いほど未知の URL に対するパフォーマンスが向上します。デフォルトでは [なし（Never）] が選択されています。

ステップ 2

[保存（Save）] をクリックします。

ステップ 3

行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

クラウドサービス（Cloud Services）

[クラウドサービス（Cloud Services）] ページを使用して、クラウドベースのサービスを管理できます。

（注）

Cisco Success Network への接続と、Cisco Cloud に送信されるイベントの設定は、ソフトウェアバージョン 6.6 以降を実行している FDM 管理対象デバイスで設定できる機能です。

Cisco Success Network への接続

Cisco Success Network を有効にすると、テクニカルサポートを提供するために不可欠な使用状況の情報と統計情報がシスコに提供されます。またこの情報により、シスコは製品を向上させ、未使用の使用可能な機能を認識させるため、ネットワーク内にある製品の価値を最大限に生かすことができます。

接続を有効にすると、デバイスが Cisco Cloud へのセキュアな接続を確立し、シスコから提供されているテクニカルサポートサービス、クラウド管理および監視サービスなどの追加サービスに参加できるようになります。お使いのデバイスは、いつでもこのセキュアな接続を確立して維持できます。

はじめる前に

Cisco Success Network を有効にするには、FDM による管理デバイスを使用してデバイスをクラウドに登録する必要があります。デバイスを登録するには、[スマートライセンス（Smart Licensing）] ページで Cisco Smart Software Manager にデバイスを登録するか、または登録キーを入力して Security Cloud Control に登録します。

注目	高可用性グループのアクティブ装置で Cisco Success Network を有効にする場合、スタンバイ装置での接続も有効にします。

手順

ステップ 1	[クラウドサービス（Cloud Services）] タブをクリックします。
ステップ 2	必要に応じて Cisco Success Network 機能の [有効化（Enable）] スライダをクリックして設定を変更します。
ステップ 3	[保存（Save）] をクリックします。
ステップ 4	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Cisco Cloud へのイベントの送信

Cisco Cloud サーバーにイベントを送信できます。このサーバーから、各種のシスコクラウドサービスがイベントにアクセスできます。次に、Cisco Threat Response などのクラウドアプリケーションを使用して、イベントを分析したり、デバイスが遭遇した可能性のある脅威を評価したりできます。

はじめる前に

このサービスを有効にするには、事前に Cisco Smart Software Manager にデバイスを登録する必要があります。

米国地域では https://visibility.amp.cisco.com/ で、EU 地域では https://visibility.amp.cisco.com/ で、Cisco Threat Response に接続できます。アプリケーションの使い方と利点についての動画は、YouTube でご視聴いただけます（http://cs.co/CTRvideos）。FTD での Cisco Threat Response の使い方の詳細については、『Firepower And CTR Integration Guide』[英語] を参照してください（https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html）。

手順

ステップ 1	[クラウドサービス（Cloud Services）] タブをクリックします。
ステップ 2	必要に応じて [Cisco Cloudにイベントを送信（Send Events to the Cisco Cloud）] オプションの [有効化（Enable）] スライダをクリックして設定を変更します。
ステップ 3	サービスを有効にすると、クラウドに送信するイベントを選択するように求められます。 [ファイル/マルウェア（File/Malware）]：任意のアクセス制御ルールで適用した任意のファイルポリシー用。 [侵入（Intrusion）]：任意のアクセス制御ルールで適用した任意の侵入ポリシー用。 [接続（Connection）]：ロギングを有効にしたアクセス制御ルール用。このオプションを選択すると、すべての接続イベントを送信するか、優先度の高い接続イベントのみを送信するかを選択することも可能です。優先度の高い接続イベントとは、侵入、ファイル、またはマルウェアイベントをトリガーする接続、またはセキュリティインテリジェンスブロッキングポリシーに一致する接続に関連するイベントです。
ステップ 4	[保存（Save）] をクリックします。
ステップ 5	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Web 分析の有効化と無効化

Web 分析を有効にすると、ページのヒット数に基づいて匿名の製品使用情報をシスコに提供できます。情報には、表示したページ、ページで費やした時間、ブラウザのバージョン、製品バージョン、デバイスのホスト名などが含まれます。この情報は、シスコが機能の使用状況パターンを確認し、製品を改善するのに使用されます。すべての使用状況データは匿名で、センシティブデータは送信されません。Security Cloud Control を使用して、FDM による管理デバイスのすべてのバージョンでこの機能を設定できます。

Web 分析はデフォルトで有効になっています。

手順

ステップ 1	[Web 分析（Web Analytics）] タブをクリックします。
ステップ 2	必要に応じて [Web 分析（Web Analytics）] 機能の [有効化（Enable）] スライダをクリックして設定を変更します。
ステップ 3	[保存（Save）] をクリックします。
ステップ 4	行った変更を今すぐレビューして展開するか、待機してから複数の変更を一度に展開します。

Security Cloud Control コマンドラインインターフェイス

Security Cloud Control は、、FDM による管理脅威に対する防御デバイスを管理するためのコマンドラインインターフェイス（CLI）をユーザーに提供します。コマンドは、単一のデバイスに送信することも、複数のデバイスに同時に送信することも可能です。

コマンドラインインターフェイスの使用

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

コマンドラインインターフェイス（CLI）を使用して管理するデバイスを見つけるには、デバイスタブとフィルタボタンを使用します。

ステップ 4

デバイスを選択します。

ステップ 5

[デバイスアクション（Device Actions）] ペインで、[>_コマンドラインインターフェイス（>_ Command Line Interface）] をクリックします。

ステップ 6

[コマンドラインインターフェイス（Command Line Interface）] タブをクリックします。

ステップ 7

コマンドペインにコマンドを入力して、[送信（Send）] をクリックします。コマンドに対するデバイスの応答は、「応答ペイン」の下に表示されます。

（注）

実行できるコマンドに制限がある場合、それらの制限はコマンドペインの上に一覧表示されます。

コマンドラインインターフェイスでのコマンドの入力

1 つのコマンドを 1 行に入力することも、複数のコマンドを複数の行に連続して入力することもできます。Security Cloud Control では、入力順にコマンドが実行されます。次の ASA の例では、3 つのネットワークオブジェクトと、それらのネットワークオブジェクトを含むネットワークオブジェクトグループを作成するコマンドのバッチを送信します。

[FDM による管理デバイスコマンドの入力（Entering FDM device Commands）]：CLI コンソールは基本脅威防御 CLI を使用します。CLI コンソールを使用して、診断 CLI、エキスパートモード、および FXOS CLI（FXOS を使用するモデル）に入ることはできません。このような他の CLI モードに入る必要がある場合は、SSH を使用します。

コマンド履歴での動作

CLI コマンドを送信すると、Security Cloud Control はそのコマンドを [コマンドラインインターフェイス（Command Line Interface）] ページの [履歴（History）] ペインに記録します。履歴ペインに保存されたコマンドは、再実行することも、コマンドをテンプレートとして使用することもできます。

手順

ステップ 1

左側のペインで、セキュリティデバイスページをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

[>_コマンドラインインターフェイス（>_Command Line Interface）] をクリックします。

ステップ 5

履歴ペインがまだ展開されていない場合は、時計アイコンをクリックして展開します。

ステップ 6

[履歴（History）] ペインで変更または再送信するコマンドを選択します。

ステップ 7

コマンドをそのまま再利用するか、コマンドペインでコマンドを編集し、[送信（Send）] をクリックします。Security Cloud Control の応答ペインにコマンドの結果が表示されます。

（注）

次の 2 つの状況で「完了しました（Done!）」というメッセージが Security Cloud Control の応答ペインに表示されます。

コマンドが正常に実行された後。
コマンドの返すべき結果が何もなかった場合。たとえば、設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました（Done!）」を返します。

一括コマンドラインインターフェイス

Security Cloud Control では、コマンドラインインターフェイス（CLI）を使用してSecure Firewall ASA、FDM による管理、脅威防御、SSH、および Cisco IOS デバイスを管理できます。コマンドは、単一のデバイスに送信することも、同じ種類の複数のデバイスに同時に送信することも可能です。このセクションでは、CLI コマンドを複数のデバイスに一度に送信する方法について説明します。

一括 CLI インターフェイス

（注）

次の 2 つの状況で「完了しました（Done!）」というメッセージが Security Cloud Control に表示されます。

コマンドがエラーなしで正常に実行された後。
コマンドの返すべき結果が何もなかった場合。たとえば、特定の設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました（Done!）」を返します。

ケース

説明

1

コマンド履歴ペインを展開したり折りたたんだりするには、時計アイコンをクリックします。

2

コマンド履歴。コマンドを送信すると、Security Cloud Control はこの [履歴（History）] ペインにコマンドを記録するため、コマンドをもう一度選択して再度実行できます。

3

コマンドペイン。このペインのプロンプトにコマンドを入力します。

4

応答ペイン。Security Cloud Control は、コマンドに対するデバイスの応答と Security Cloud Control メッセージを表示します。複数のデバイスの応答が同じだった場合、応答ペインに「X デバイスの応答を表示しています（Showing Responses for X devices）」というメッセージが表示されます。[Xデバイス（X Devices）] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。

（注）

次の 2 つの状況で「完了しました（Done!）」というメッセージが Security Cloud Control に表示されます。

コマンドがエラーなしで正常に実行された後。
コマンドの返すべき結果が何もなかった場合。たとえば、特定の設定エントリを検索する正規表現を含む show コマンドを発行したとします。正規表現の条件に一致する設定エントリがなかった場合、Security Cloud Control は「完了しました（Done!）」を返します。

5

[マイリスト（My List）] タブには、セキュリティデバイステーブルから選択したデバイスが表示されます。このタブで、コマンドの送信先デバイスを含めたり、除外したりできます。

[6]

上の図で強調表示されている [実行（Execution）] タブには、履歴ペインで選択されているコマンドの対象デバイスが表示されます。この例では、履歴ペインで show run | grep user コマンドが選択され、[実行（Execution）] タブに、10.82.109.160、10.82.109.181、および 10.82.10.9.187 に送信されたことが表示されます。

7

[応答別（By Response）] タブをクリックすると、コマンドによって生成された応答のリストが表示されます。同一の応答は 1 行にグループ化されます。[応答別（By Response）] タブで行を選択すると、Security Cloud Control はそのコマンドへの応答を応答ペインに表示します。

8

[デバイス別（By Device）] タブをクリックすると、各デバイスからの個別の応答が表示されます。リスト内のいずれかのデバイスをクリックすると、特定のデバイスからのコマンドへの応答を表示できます。

コマンドの一括送信

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	コマンドラインインターフェイスを使用して設定するデバイスを見つけるには、適切なデバイスタブを選択し、フィルタボタンを使用します。
ステップ 4	デバイスを選択します。
ステップ 5	[デバイスアクション（Device Actions）] ペインで、[>_コマンドラインインターフェイス（>_ Command Line Interface）] をクリックします。
ステップ 6	[マイリスト（My List）] フィールドで、コマンドを送信するデバイスをオンまたはオフにすることができます。
ステップ 7	コマンドペインにコマンドを入力して、[送信（Send）] をクリックします。コマンド出力が応答ペインに表示されます。コマンドは変更ログに記録され、Security Cloud Control コマンドによって [一括CLI（Bulk CLI）] ウィンドウの [履歴（History）] ペインにコマンドが記録されます。

一括コマンド履歴での動作

一括 CLI コマンドを送信すると、Security Cloud Control がそのコマンドを [一括CLI（Bulk CLI）] ページの履歴ページに記録します。一括 CLI インターフェイス履歴ペインに保存されたコマンドは、再実行することも、コマンドをテンプレートとして使用することもできます。履歴ペインのコマンドは、それらが実行された元のデバイスに関連付けられています。

手順

ステップ 1	ナビゲーションウィンドウで、セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックし、フィルタアイコンをクリックして、設定するデバイスを見つけます。
ステップ 4	デバイスを選択します。
ステップ 5	[コマンドラインインターフェイス（Command Line Interface）] をクリックします。
ステップ 6	[履歴（History）] ペインで変更または再送信するコマンドを選択します。選択したコマンドは特定のデバイスに関連付けられており、最初のステップで選択したものとは限らないことに注意してください。
ステップ 7	[マイリスト（My List）] タブを見て、送信しようとしているコマンドが対象のデバイスに送信されることを確認します。
ステップ 8	コマンドペインでコマンドを編集し、[送信（Send）] をクリックします。Security Cloud Control の応答ペインにコマンドの結果が表示されます。

一括コマンドフィルタでの動作

一括 CLI コマンドを実行後、[応答別（By Response）] フィルタと [デバイス別（By Device）] フィルタを使用して、デバイスの設定を続行できます。

応答別フィルタ

一括コマンドを実行すると、コマンドを送信したデバイスから返された応答のリストが Security Cloud Control の [応答別（By Response）] タブに入力されます。同じ応答のデバイスは 1 行にまとめられます。[応答別（By Response）] タブの行をクリックすると、応答ペインにデバイスからの応答が表示されます。応答ペインに複数のデバイスの応答が表示される場合、「X デバイスの応答を表示しています（Showing Responses for X devices）」というメッセージが表示されます。[Xデバイス（X devices）] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。

コマンド応答に関連付けられたデバイスのリストにコマンドを送信するには、次の手順に従います。

手順

ステップ 1	[応答別（By Response）] タブの行にあるコマンドシンボルをクリックします。
ステップ 2	コマンドペインでコマンドを確認し、[送信（Send）] をクリックしてコマンドを再送信するか、[クリア（Clear）] をクリックしてコマンドペインをクリアし、新しいコマンドを入力してデバイスに送信してから、[送信（Send）] をクリックします。
ステップ 3	コマンドから受け取った応答を確認します。
ステップ 4	選択したデバイスの実行コンフィギュレーションファイルに変更が反映されていることが確実な場合は、コマンドペインに `write memory` と入力し、[送信（Send）] をクリックします。この操作により、実行コンフィギュレーションがスタートアップコンフィギュレーションに保存されます。

デバイス別フィルタ

一括コマンドの実行後、Security Cloud Control は [実行（Execution）] タブと [デバイス別（By Device）] タブに、コマンドを送信したデバイスのリストを入力します。[デバイス別（By Device）] タブの行をクリックすると、各デバイスの応答が表示されます。

同じデバイスリストでコマンドを実行するには、次の手順に従います。

手順

ステップ 1	[デバイス別（By Device）] タブをクリックします。
ステップ 2	[>_これらのデバイスでコマンドを実行（>_Execute a command on these devices）] をクリックします。
ステップ 3	[クリア（Clear）] をクリックしてコマンドペインをクリアし、新しいコマンドを入力します。
ステップ 4	[マイリスト（My List）] ペインで、リスト内の個々のデバイスを選択または選択解除して、コマンドを送信するデバイスのリストを指定します。
ステップ 5	[送信（Send）] をクリックします。コマンドへの応答が応答ペインに表示されます。応答ペインに複数のデバイスの応答が表示される場合、「X デバイスの応答を表示しています（Showing Responses for X devices）」というメッセージが表示されます。[Xデバイス（X Devices）] をクリックすると、コマンドに対して同じ応答を返したすべてのデバイスが Security Cloud Control に表示されます。
ステップ 6	選択したデバイスの実行コンフィギュレーションファイルに変更が反映されていることが確実な場合は、コマンドペインに `write memory` と入力し、[送信（Send）] をクリックします。

コマンドラインインターフェイスマクロ

CLI マクロは、すぐに使用できる完全な形式の CLI コマンド、または実行前に変更できる CLI コマンドのテンプレートです。すべてのマクロは、1 つ以上の FTD デバイスで同時に実行できます。

テンプレートに似た CLI マクロを使用して、複数のデバイスで同じコマンドを同時に実行します。CLI マクロは、デバイスの設定と管理の一貫性を促進します。完全な形式の CLI マクロを使用して、デバイスに関する情報を取得します。FTD デバイスですぐに使用できるさまざまな CLI マクロがあります。

頻繁に実行するタスクを監視するための CLI マクロを作成できます。詳細については、「CLI マクロの作成」を参照してください。

CLI マクロは、システム定義またはユーザー定義です。システム定義マクロは Security Cloud Control によって提供され、編集も削除もできません。ユーザー定義マクロはユーザーが作成し、編集または削除できます。

（注）

デバイスが Security Cloud Control にオンボードされた後にのみ、デバイスのマクロを作成できます。

例として ASA を使用すると、いずれかの ASA で特定のユーザーを検索する場合は、次のコマンドを実行できます。

show running-config | grep username

このコマンドを実行すると、検索しているユーザーのユーザー名が username に置き換わります。このコマンドからマクロを作成するには、同じコマンドを使用して、username を中括弧で囲みます。

パラメータには任意の名前を付けることができ、そのパラメータ名で同じマクロを作成することもできます。

パラメータ名は説明的な名前にでき、英数字と下線を使用する必要があります。この場合、コマンドシンタックスは次のようになります。

show running-config | grep

コマンドの一部として、コマンドの送信先のデバイスに適した CLI シンタックスを使用する必要があります。

新規コマンドからの CLI マクロの作成

手順

ステップ 1

CLI マクロを作成する前に Security Cloud Control のコマンドラインインターフェイスでコマンドをテストして、コマンドの構文が正しく、信頼できる結果が返されることを確認します。

（注）

FDM による管理デバイスの場合、Security Cloud Control は FDM の CLI コンソールで実行できるコマンド（show、ping、traceroute、packet-tracer、failover、reboot、shutdown）のみをサポートします。これらのコマンドの構文の完全な説明については、『Cisco Firepower Threat Defense コマンドリファレンス』を参照してください。

ステップ 2

左側のペインでセキュリティデバイスをクリックします。

ステップ 3

[デバイス（Devices）] タブをクリックしてデバイスを見つけます。

ステップ 4

適切なデバイスタイプのタブをクリックし、オンラインかつ同期されているデバイスを選択します。

ステップ 5

[>_コマンドラインインターフェイス（>_Command Line Interface）] をクリックします。

ステップ 6

CLI マクロのお気に入りのスターをクリックして、すでに存在するマクロを確認します。

ステップ 7

プラスボタンをクリックします。

ステップ 8

マクロに一意の名前を指定します。必要に応じて、CLI マクロの説明とメモを入力します。

ステップ 9

[コマンド（Command）] フィールドにコマンドを入力します。

ステップ 10

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 11

[作成（Create）] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドを実行するには、『デバイスでの CLI マクロの実行』を参照してください。

CLI 履歴または既存の CLI マクロからの CLI マクロの作成

この手順では、すでに実行したコマンド、別のユーザー定義マクロ、またはシステム定義マクロからユーザー定義マクロを作成します。

手順

ステップ 1

左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。

（注）

CLI 履歴からユーザー定義マクロを作成する場合は、コマンドを実行したデバイスを選択します。CLI マクロは、同じアカウントのデバイス間で共有されますが、CLI 履歴は共有されません。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックし、オンラインかつ同期されているデバイスを選択します。

ステップ 4

[>_コマンドラインインターフェイス（>_Command Line Interface）] をクリックします。

ステップ 5

CLI マクロを作成するコマンドを見つけて選択します。次のいずれかの方法を使用してください。

クロックをクリックして、そのデバイスで実行したコマンドを表示します。マクロに変換するコマンドを選択すると、コマンドペインにそのコマンドが表示されます。
CLI マクロのお気に入りのスターをクリックして、すでに存在するマクロを確認します。変更するユーザー定義またはシステム定義の CLI マクロを選択します。コマンドがコマンドペインに表示されます。

ステップ 6

コマンドがコマンドペインに表示された状態で、CLI マクロの金色の星をクリックします。このコマンドが、新しい CLI マクロの基礎になります。

ステップ 7

マクロに一意の名前を指定します。必要に応じて、CLI マクロの説明とメモを入力します。

ステップ 8

[コマンド（Command）] フィールドのコマンドを確認し、必要な変更を加えます。

ステップ 9

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 10

[作成（Create）] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドを実行するには、CLI マクロの実行を参照してください。

CLI マクロの実行

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックし、1 つ以上のデバイスを選択します。
ステップ 4	[>_コマンドラインインターフェイス（>_Command Line Interface）] をクリックします。
ステップ 5	コマンドパネルで、スターをクリックします。
ステップ 6	コマンドパネルから CLI マクロを選択します。
ステップ 7	次のいずれかの方法でマクロを実行します。定義するパラメータがマクロに含まれていない場合は、[送信（Send）] をクリックします。コマンドへの応答が応答ペインに表示されます。これで完了です。マクロにパラメータが含まれている場合（下の Configure DNS マクロなど）、[>_ パラメータの表示（>_ View Parameters）] をクリックします。
ステップ 8	[パラメータ（Parameters）] ペインで、パラメータの値を [パラメータ（Parameters）] の各フィールドに入力します。
ステップ 9	[送信（Send）] をクリックします。Security Cloud Control が正常にコマンドを送信し、デバイスの構成を更新すると、「完了（Done!）」というメッセージが表示されます。 FTD の場合は、デバイスのアクティブな構成が更新されます。
ステップ 10	コマンドを送信した後で、「一部のコマンドが実行コンフィギュレーションに変更を加えた可能性があります」というメッセージが 2 つのリンクとともに表示されることがあります。 [ディスクへの書き込み（Write to Disk）] をクリックすると、このコマンドによって加えられた変更と、実行コンフィギュレーションのその他の変更がデバイスのスタートアップ構成に保存されます。 [取り消す（Dismiss）] をクリックすると、メッセージが取り消されます。

CLI マクロの編集

ユーザー定義の CLI マクロは編集できますが、システム定義のマクロは編集できません。CLI マクロを編集すると、すべての FTD デバイスでマクロが変更されます。マクロは特定のデバイス固有のものではありません。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	デバイスを選択します。
ステップ 5	[コマンドラインインターフェイス（Command Line Interface）] をクリックします。
ステップ 6	編集するユーザー定義マクロを選択します。
ステップ 7	マクロラベルの編集アイコンをクリックします。
ステップ 8	[マクロの編集（Edit Macro）] ダイアログボックスで CLI マクロを編集します。
ステップ 9	[保存（Save）] をクリックします。 CLI マクロの実行方法については、「CLI マクロの実行」を参照してください。

CLI マクロの削除

ユーザー定義の CLI マクロは削除できますが、システム定義のマクロは削除できません。CLI マクロを削除すると、すべてのデバイスでマクロが削除されます。マクロは特定のデバイス固有のものではありません。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	デバイスを選択します。
ステップ 5	[コマンドラインインターフェイス（Command Line Interface）] をクリックします。
ステップ 6	削除するユーザー定義 CLI マクロを選択します。
ステップ 7	CLI マクロラベルのゴミ箱アイコンをクリックします。
ステップ 8	CLI マクロを削除することを確認します。

コマンドラインインターフェイスのドキュメント

Security Cloud Control は、FDM による管理デバイスのコマンドラインインターフェイスの一部をサポートしています。ユーザーが単一のデバイスおよび複数のデバイスにコマンドアンドレスポンス形式で同時にコマンドを送信できるように、Security Cloud Control ではターミナル型のインターフェイスを提供しています。Security Cloud Control でサポートされていないコマンドについては PuTTy や SSH クライアントなどのデバイス GUI ターミナルを使用してデバイスにアクセスし、CLI ドキュメントでさらに多くのコマンドを参照してください。

Security Cloud Control CLI コマンドの結果のエクスポート

スタンドアロンデバイスまたは複数のデバイスに発行された CLI コマンドの結果をコンマ区切り値（.csv）ファイルにエクスポートして、必要に応じて情報をフィルタリングおよび並べ替えることができます。単一のデバイスまたは多数のデバイスの CLI 結果を一度にエクスポートできます。エクスポートされた情報には、次のものが含まれます。

デバイス
日付
ユーザー
コマンド
出力

CLI コマンドの結果のエクスポート

コマンドウィンドウで実行したコマンドの結果を .csv ファイルにエクスポートできます。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	1 つまたは複数のデバイスを選択してハイライトします。
ステップ 5	デバイスの [デバイスアクション（Device Actions）] ペインで、>_ [コマンドラインインターフェイス（Command Line Interface）] をクリックします。
ステップ 6	[コマンドラインインターフェイス（Command Line Interface）] ペインでコマンドを入力し、[送信（Send）] をクリックしてデバイスに送ります。
ステップ 7	入力されたコマンドのウィンドウの右側で、エクスポートアイコンをクリックします。
ステップ 8	.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。

CLI マクロの結果のエクスポート

コマンドウィンドウで実行されたマクロの結果をエクスポートできます。次の手順で、1 つまたは複数のデバイスで実行された CLI マクロの結果を .csv ファイルにエクスポートします。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	1 つまたは複数のデバイスを選択してハイライトします。
ステップ 5	デバイスの [デバイスアクション（Device Actions）] ペインで、>_ [コマンドラインインターフェイス（Command Line Interface）] をクリックします。
ステップ 6	CLI ウィンドウの左側のペインで、CLI マクロのお気に入りを示す星を選択します。
ステップ 7	エクスポートするマクロコマンドをクリックします。適切なパラメータを入力し、[送信（Send）] をクリックします。
ステップ 8	入力されたコマンドのウィンドウの右側で、エクスポートアイコンをクリックします。
ステップ 9	.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。

CLI コマンド履歴のエクスポート

次の手順を使用して、1 つまたは複数のデバイスの CLI 履歴を .csv ファイルにエクスポートします。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	1 つまたは複数のデバイスを選択してハイライトします。
ステップ 5	デバイスの [デバイスアクション（Device Actions）] ペインで、[>_コマンドラインインターフェイス（>_Command Line Interface）] をクリックします。
ステップ 6	履歴ペインがまだ展開されていない場合は、[時計（Clock）] アイコンをクリックして展開します。
ステップ 7	入力されたコマンドのウィンドウの右側で、エクスポートアイコンをクリックします。
ステップ 8	.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。.csv ファイル上のコマンド出力を読み取る場合、すべてのセルを展開して、コマンドのすべての結果を表示します。

CLI マクロのリストをエクスポートする

コマンドウィンドウで実行されたマクロのみをエクスポートできます。次の手順で、1 つまたは複数のデバイスの CLI マクロを .csv ファイルにエクスポートします。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	1 つまたは複数のデバイスを選択してハイライトします。
ステップ 5	デバイスの [デバイスアクション] ペインで、[>_コマンドラインインターフェイス（>_Command Line Interface）] をクリックします。
ステップ 6	CLI ウィンドウの左側のペインで、CLI マクロのお気に入りを示す星を選択します。
ステップ 7	エクスポートするマクロコマンドをクリックします。適切なパラメータを入力し、[送信（Send）] をクリックします。
ステップ 8	入力されたコマンドのウィンドウの右側で、エクスポートアイコンをクリックします。
ステップ 9	.csv ファイルにわかりやすい名前を付け、ファイルをローカルファイルシステムに保存します。

Security Cloud Control パブリック API

Security Cloud Control はパブリック API を公開しており、ドキュメント、例、実験用のプレイグラウンドを提供しています。パブリック API の目的は、通常は Security Cloud Control UI で実行できる多くの操作をコードで実行するためのシンプルで効果的な方法を提供することです。

この API を使用するには、GraphQL の知識が必要です。詳細でありながら読みやすい公式ガイド（https://graphql.org/learn/）が提供されています。

完全なスキーマドキュメントを見つけるには、GraphQL Playground に移動し、ページの右側にある [ドキュメント（docs）] タブをクリックしてください。

Security Cloud Control パブリック API は、ユーザーメニューから選択して起動できます。

REST API マクロを作成する

API ツールを使用する

Security Cloud Control は、FDM による管理デバイスで高度なアクションを実行するための FDM による管理デバイス Representational State Transfer（REST）アプリケーションプログラミング（API）要求を実行するための API ツールインターフェイスを提供します。REST API は、JavaScript Object Notation（JSON）形式を使用してオブジェクトを表します。

インターフェイスは、システム定義またはユーザー定義の API マクロを提供します。システム定義マクロは Security Cloud Control によって提供され、編集も削除もできません。ユーザー定義マクロはユーザーが作成し、編集または削除できます。Secure Firewall Device Manager API Explorer でサポートされているすべてのリソースグループを使用できます。

（注）

Security Cloud Control は、JSON を返す API エンドポイントのみをサポートしています。

前提

プログラミングの一般的な知識と、REST API および JSON の一定の理解があることを想定しています。これらのテクノロジーになじみがない場合は、最初に REST API の一般的なガイドをお読みください。

サポートドキュメント

詳細については、『Cisco Firepower Threat Defense REST API ガイド』を参照してください。
Cisco DevNet サイトでは、参照情報と例をオンラインで検索することもできます。

サポートされる HTTP メソッド

次の HTTP メソッドのみを使用できます。

重要	読み取り専用ロールを持つユーザーは、GET 操作のみを実行できます。


属性	説明
GET	デバイスからデータを読み取ります。
POST	あるリソースタイプの新しいオブジェクトを作成します。たとえば、POST を使用して新しいネットワークオブジェクトを作成します。
PUT	既存のリソースの属性を変更します。PUT を使用する場合は、JSON オブジェクト全体を含める必要があります。オブジェクト内の個々の属性を選択的に更新することはできません。たとえば、PUT を使用して、既存のネットワークオブジェクトに含まれているアドレスを変更します。
DELETE	自分または他のユーザーが作成したリソースを削除します。たとえば、不要になったネットワークオブジェクトを削除するには、DELETE を使用します。

Cisco Secure Firewall Threat Defense REST API リクエストの入力方法

FDM による管理デバイスを選択して単一のコマンドを指定するか、追加のパラメータが必要なコマンドを実行できます。

REST API リクエストのシンタックスを確認する場合は、デバイスの [API Explorer] ページ（https://ftd.example.com/#/api-explorer など）にログオンし、必要なリソースグループをクリックして、実行するコマンドのシンタックスを確認します。例：https://10.10.5.84/#/api-explorer。

次の図は、Security Cloud Control での単一の REST API リクエストの例を示しています。

次の図は、追加のパラメータが必要な REST API リクエストの例を示しています。[リクエストの本文（Request Body）] でデータを手動で指定する必要があります。コマンドのシンタックスを確認するには、デバイスの [API Explorer] ページにログオンします。

（注）

POST リクエストを実行するには、デバイスが同期状態である必要があります。

手順

ステップ 1

左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

REST API を使用して管理する FDM による管理デバイスを選択し、右側の [デバイスアクション（Device Actions）] で、[APIツール（API Tool）] をクリックします。

ステップ 5

ドロップダウンからリクエスト方式を選択し、/api/fdm/latest/ に続けて実行するコマンドを入力します。POST または PUT コマンドを実行している場合は、リクエストの本文を入力します。

ステップ 6

[送信（Send）] をクリックします。[リクエストの本文（Response Body）] には、実行されたコマンドの応答が表示されます。

重要	POST リクエストは、通常、デバイスのステージングされた設定に変更を加えます。[FDMの変更をコミット（Commit Changes in FDM）] をクリックして、変更を FDM による管理デバイスに送信します。

FTD REST API マクロについて

REST API マクロは、すぐに使用できる完全な形式の REST API コマンド、または実行前に変更できる REST API コマンドのテンプレートです。すべての REST API マクロは、1 つ以上の FDM による管理デバイスで同時に実行できます。

テンプレートに似た REST API マクロを使用して、同じコマンドを複数のデバイスで同時に実行します。REST API マクロは、デバイスの設定と管理の一貫性を促進します。完全な形式の REST API マクロを使用して、デバイスに関する情報を取得します。FDM による管理デバイスですぐに使用できるさまざまな REST API マクロがあります。

頻繁に実行するタスク用に REST API マクロを作成できます。詳細については、「REST API マクロの作成」を参照してください。

REST API マクロは、システム定義またはユーザー定義です。システム定義マクロは Security Cloud Control によって提供され、編集も削除もできません。ユーザー定義マクロはユーザーが作成し、編集または削除できます。

（注）

デバイスが Security Cloud Control にオンボードされた後にのみ、デバイスのマクロを作成できます。

REST API マクロを作成する

新コマンドを使用した REST API マクロの作成

手順

ステップ 1

REST API マクロを作成する前に Security Cloud Control の REST API インターフェイスでコマンドをテストして、コマンドシンタックスが正しく、信頼できる結果が返されることを確認します。

（注）

デバイスが Security Cloud Control にオンボードされた後にのみ、デバイスのマクロを作成できます。

ステップ 2

REST API を使用して管理する FDM による管理デバイスを選択し、右側の [デバイスアクション（Device Actions）] で、[APIツール（API Tool）] をクリックします。

ステップ 3

REST API マクロのお気に入りのスターをクリックして、すでに存在するマクロを確認します。

ステップ 4

プラスボタンをクリックします。

ステップ 5

マクロに一意の名前を指定します。必要に応じて、REST API マクロの説明と注意点を入力します。

ステップ 6

[要求メソッド（Request Method）] を選択し、[要求エンドポイント（Request Endpoint）] フィールドにエンドポイント URL を入力します。詳細については、『Cisco Firepower Threat Defense REST API ガイド』を参照してください。

ステップ 7

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 8

[OK] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドの実行については、「REST API マクロの実行」を参照してください。

履歴または既存の REST API マクロを使用した REST API マクロの作成

この手順では、すでに実行したコマンド、別のユーザー定義マクロ、またはシステム定義マクロからユーザー定義 REST API マクロを作成します。

手順

ステップ 1

REST API を使用して管理する FDM による管理デバイスを選択し、右側の [デバイスアクション（Device Actions）] で、[APIツール（API Tool）] をクリックします。

（注）

REST API 履歴からユーザー定義マクロを作成する場合は、コマンドを実行したデバイスを選択します。REST API マクロは、同じアカウントのデバイス間で共有されますが、REST API 履歴は共有されません。

ステップ 2

API マクロを作成するコマンドを見つけて選択します。次のいずれかの方法を使用してください。

クロックをクリックして、そのデバイスで実行したコマンドを表示します。マクロに変換するコマンドをダブルクリックして選択すると、コマンドペインにそのコマンドが表示されます。
API マクロのお気に入りのスターをクリックして、すでに存在するマクロを確認します。変更するユーザー定義またはシステム定義の API マクロを選択します。コマンドがコマンドペインに表示されます。

ステップ 3

コマンドがコマンドペインに表示された状態で、API マクロの金色のスターをクリックします。このコマンドが、新しい API マクロの基礎になります。

ステップ 4

マクロに一意の名前を指定します。必要に応じて、API マクロの説明と注意点を入力します。

ステップ 5

[コマンド（Command）] フィールドのコマンドを確認し、必要な変更を加えます。

ステップ 6

コマンドの実行時に変更したいコマンドの部分を、中括弧で囲まれたパラメータ名に置き換えます。

ステップ 7

[作成（Create）] をクリックします。作成したマクロは、最初に指定したデバイスだけでなく、そのタイプのすべてのデバイスで使用できます。

コマンドの実行については、「REST API マクロの実行」を参照してください。

REST API マクロの実行

手順

ステップ 1

左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

右側の [デバイスアクション（Device Actions）] ペインで、[API ツール（API Tool）] をクリックします。

ステップ 5

コマンドパネルで、スターをクリックして REST API マクロを表示します。

ステップ 6

コマンドパネルから REST API マクロを選択します。

ステップ 7

次のいずれかの方法でマクロを実行します。

定義するパラメータがマクロに含まれていない場合は、[送信（Send）] をクリックします。コマンドへの応答が応答ペインに表示されます。これで完了です。
マクロにパラメータが含まれている場合（下の Create Network Object マクロなど）、[パラメーターの表示（View Parameters）] をクリックします。

ステップ 8

[パラメータ（Parameters）] ペインで、パラメータの値を [パラメータ（Parameters）] の各フィールドに入力します。

ステップ 9

[送信（Send）] をクリックします。

（注）

FDM による管理デバイスのアクティブな設定が更新されます。

REST API マクロの編集

ユーザー定義の REST API マクロは編集できますが、システム定義のマクロは編集できません。REST API マクロを編集すると、すべての FDM による管理デバイスでマクロが変更されます。マクロは特定のデバイス固有のものではありません。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックします。
ステップ 4	REST API を使用して管理する FDM による管理デバイスを選択し、右側の [デバイスアクション（Device Actions）] で、[APIツール（API Tool）] をクリックします。
ステップ 5	編集するユーザー定義マクロを選択します。
ステップ 6	マクロラベルの編集アイコンをクリックします。
ステップ 7	[マクロの編集（Edit Macro）] ダイアログボックスで REST API マクロを編集します。
ステップ 8	[保存（Save）] をクリックします。 REST API マクロの実行方法については、「REST API マクロの実行」を参照してください。

REST API マクロの削除

ユーザー定義の REST API マクロは削除できますが、システム定義のマクロは削除できません。REST API マクロを削除すると、すべてのデバイスでマクロが削除されます。マクロは特定のデバイス固有のものではありません。

手順

ステップ 1	左側のペインで [インベントリ（Inventory）]セキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックします。
ステップ 4	デバイスを選択して、右側の [デバイスアクション（Device Actions）] で、[API ツール（API Tool）] をクリックします。
ステップ 5	削除するユーザー定義 REST API マクロを選択します。
ステップ 6	REST API マクロラベルのゴミ箱アイコンをクリックします。
ステップ 7	REST API マクロを削除することを確認します。

デバイス設定変更について

デバイスを管理するために、Security Cloud Control は、デバイスの設定のコピーを独自のデータベースに保存する必要があります。Security Cloud Control は、管理対象デバイスから設定を「読み取る」とき、デバイス設定のコピーを作成し、それを保存します。Security Cloud Control が最初にデバイスの設定のコピーを読み取って保存するのは、デバイスが導入準備されたときです。以下の選択肢のように、さまざまな目的に応じて設定を読み取ります。

[変更の破棄（Discard Changes）]：このアクションは、デバイスの設定ステータスが「未同期」の場合に使用できます。未同期の状態では、デバイスの設定に対する変更が Security Cloud Control で保留中になっています。このオプションを使用すると、保留中のすべての変更を取り消すことができます。保留中の変更は削除され、Security Cloud Control は設定のコピーをデバイスに保存されている設定のコピーで上書きします。
[変更の確認（Check for Changes）]：このアクションは、デバイスの設定ステータスが同期済みの場合に使用できます。[変更の確認（Checking for Changes）] をクリックすると、Security Cloud Control は、デバイスの設定のコピーを、デバイスに保存されている設定のコピーと比較するように指示します。違いがある場合、Security Cloud Control はデバイスに保存されているコピーでそのデバイスの設定のコピーをすぐに上書きします。
[競合の確認（Review Conflict）] と [レビューなしで承認（Accept Without Review）]：デバイスで [競合検出（Conflict Detection）] を有効にすると、Security Cloud Control はデバイスに加えられた設定の変更を 10 分ごとにチェックします。https://docs.defenseorchestrator.com/Welcome_to_Cisco_Defense_Orchestrator/Basics_of_Cisco_Defense_Orchestrator/Synchronizing_Configurations_Between_Defense_Orchestrator_and_Device/0010_Conflict_Detectionデバイスに保存されている設定のコピーが変更された場合、Security Cloud Control は「競合が検出されました」という設定ステータスを表示して通知します。
- [競合の確認（Review Conflict）]：[競合の確認（Review Conflict）] をクリックすると、デバイスで直接行われた変更を確認し、それらを受け入れるか拒否するかを選択できます。
- [レビューなしで承認（Accept Without Review）]：このアクションにより、Security Cloud Control がもつ、デバイスの構成のコピーが、デバイスに保存されている構成の最新のコピーで上書きされます。Security Cloud Control では、上書きアクションを実行する前に、構成の 2 つのコピーの違いを確認するよう求められません。

[すべて読み取り（Read All）] ：これは一括操作です。任意の状態にある複数のデバイスを選択し、[すべて読み取り（Read All）] をクリックして、Security Cloud Control に保存されているすべてのデバイスの設定を、デバイスに保存されている設定で上書きできます。

[変更の展開（Deploy Changes）]：デバイスの設定に変更を加えると、Security Cloud Control では、加えた変更が独自のコピーに保存されます。これらの変更は、デバイスに展開されるまで Security Cloud Control で「保留」されています。デバイスの設定に変更があり、それがデバイスに展開されていない場合、デバイスは未同期構成状態になります。

保留中の設定変更は、デバイスを通過するネットワークトラフィックには影響しません。変更は、Security Cloud Control がデバイスに展開した後にのみ影響を及ぼします。Security Cloud Control がデバイスの設定に変更を展開すると、変更された設定の要素のみが上書きされます。デバイスに保存されている構成ファイル全体を上書きすることはありません。展開は、1 つのデバイスに対して開始することも、複数のデバイスに対して同時に開始することもできます。
[すべて破棄（Discard All）] は、[プレビューして展開...（Preview and Deploy..）] をクリックした後にのみ使用できるオプションです。。[プレビューして展開（Preview and Deploy）] をクリックすると、Security Cloud Control で保留中の変更のプレビューが Security Cloud Control に表示されます。[すべて破棄（Discard All）] をクリックすると、保留中のすべての変更が Security Cloud Control から削除され、選択したデバイスには何も展開されません。上述の [変更の破棄（Discard Changes）] とは異なり、保留中の変更を削除すると操作が終了します。

（注）

展開や繰り返しの展開をスケジュールできます。詳細については、自動展開のスケジュールを参照してください。

すべてのデバイス設定の読み取り

Security Cloud Control の外部にあるデバイスの設定が変更された場合、Security Cloud Control に保存されているデバイスの設定と、当該デバイスの設定のローカルコピーは同じではなくなります。多くの場合、Security Cloud Control にあるデバイスの設定のコピーをデバイスに保存されている設定で上書きして、設定を再び同じにしたいと考えます。[すべて読み取り（Read All）] リンクを使用して、多くのデバイスでこのタスクを同時に実行できます。

Security Cloud Control によるデバイス設定の 2 つのコピーの管理方法の詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

[すべて読み取り（Read All）] をクリックした場合に、Security Cloud Control にあるデバイスの設定のコピーがデバイスの設定のコピーで上書きされる 3 つの設定ステータスを次に示します。

[競合検出（Conflict Detected）]：競合検出が有効になっている場合、Security Cloud Control は、設定に加えられた変更について、管理するデバイスを 10 分ごとにポーリングします。Security Cloud Control がデバイスの設定が変更されたことを検出した場合、Security Cloud Control はデバイスの [競合検出（Conflict Detected）] 設定ステータスを表示します。
[同期（Synced）]：デバイスが [同期（Synced）] 状態の場合に、[すべて読み取り（Read All）] をクリックすると、Security Cloud Control はすぐにデバイスをチェックして、設定に直接変更が加えられているかどうかを判断します。[すべて読み取り（Read All）] をクリックすると、Security Cloud Control はデバイスの設定のコピーを上書きすることを確認し、その後 Security Cloud Control が上書きを実行します。
[未同期（Not Synced）]：デバイスが [未同期（Not Synced）] 状態の場合に、[すべて読み取り（Read All）] をクリックすると、Security Cloud Control は、Security Cloud Control を使用したデバイスの設定に対する保留中の変更があること、および [すべて読み取り（Read All）] 操作を続行すると保留中の変更が削除されてから、Security Cloud Control にある設定のコピーがデバイス上の設定で上書きされることを警告します。この [すべて読み取り（Read All）] は、[変更の破棄（Discard Changes）] と同様に機能します。設定変更の破棄

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	（任意）変更ログでこの一括アクションの結果を簡単に識別できるように、変更リクエストラベルを作成します。
ステップ 5	Security Cloud Control を保存する設定のデバイスを選択します。Security Cloud Control では、選択したすべてのデバイスに適用できるアクションのコマンドボタンのみ提供されることに注意してください。
ステップ 6	[すべて読み取り（Read All）] をクリックします。
ステップ 7	選択したデバイスのいずれかについて、Security Cloud Control で設定変更がステージングされている場合、Security Cloud Control は警告を表示し、設定の一括読み取りアクションを続行するかどうかを尋ねられます。[すべて読み取り（Read All）] をクリックして続行します。
ステップ 8	設定の [すべて読み取り（Read All）] 操作の進行状況については、[通知（notifications）] タブで確認します。一括操作の個々のアクションの成功または失敗に関する詳細を確認する場合は、青色の [レビュー（Review）] リンクをクリックすると、[ジョブ（Jobs）] ページに移動します。 Security Cloud Control でのジョブのモニタリング
ステップ 9	変更リクエストラベルを作成してアクティブ化した場合は、他の設定変更を誤ってこのイベントに関連付けないように、忘れずにラベルをクリアしてください。

FDM による管理デバイスから Security Cloud Control への設定変更の読み取り

Security Cloud Control が FDM による管理デバイスの設定を読み取る理由

FDM による管理デバイスを管理するため、Security Cloud Control は FDM による管理デバイスの設定のコピーを独自に保存しておく必要があります。Security Cloud Control は、FDM による管理デバイスから設定を読み取るときに FDM による管理デバイスの展開された設定のコピーを取得し、それを独自のデータベースに保存します。Security Cloud Control が最初にデバイスの構成ファイルのコピーを読み取って保存するのは、デバイスがオンボードされたときです。詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。

保留中および展開済みの変更

Firepower Device Manager（FDM）またはその CLI を介して直接 FDM による管理デバイスに加えられた設定変更は、それらが展開されるまで、FDM による管理デバイスでの段階的な変更と呼ばれます。段階的な変更または保留中の変更は、FDM による管理デバイスを通過するトラフィックに影響を与えることなく編集または削除できます。ただし、保留中の変更が展開されると、それらの変更は FDM による管理デバイスによって適用され、デバイスを通過するトラフィックに影響を与えます。

競合が検出されました

デバイスで [競合検出（Conflict Detection）]競合検出を有効にすると、Security Cloud Control は 10 分ごとに設定の変更をチェックします。デバイスに保存されている設定のコピーが変更された場合、Security Cloud Control は「競合が検出されました」という設定ステータスを表示して通知します。競合検出を有効にしていない場合、または 10 分間の自動ポーリング間隔以内にデバイスの設定に変更が加えられた場合、[変更の確認（Check for Changes）] をクリックすると、Security Cloud Control はデバイス上の設定のコピーと Security Cloud Control に保存された設定のコピーを即時に比較します。[競合の確認（Review Conflict）] を選択してデバイス設定と Security Cloud Control に保存された設定との違いを調べ、その後 [変更の破棄（Discard Changes）] を選択して段階的な変更を削除し、保存された設定に戻すか、変更を確定することができます。[レビューなしで受け入れる（Accept without Review）] を選択することもできます。このオプションを選択すると、設定が取得され、現在 Security Cloud Control に保存されている設定が上書きされます。

変更の破棄手順

FDM による管理デバイスからの設定変更を破棄するには、次の手順に従います。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

構成が [競合が検出されました（Conflict Detected）] に設定されているデバイスを選択すると、[保留中の変更を元に戻す（Revert Pending Changes）] リンクが表示されます。メッセージで、リンクをクリックすると保留中の変更を元に戻すことができること、またはローカルマネージャ FDM を使用してデバイスにログオンし、最初に変更を展開できることが説明されます。フィルタを使用して、競合状態にあるデバイスを見つけることができます。

注意	[保留中の変更を元に戻す（Revert Pending Changes）] リンクをクリックすると、FDM による管理デバイスの保留中の変更がすぐに削除されます。最初に変更を確認する機会はありません。

ステップ 5

[保留中の変更を元に戻す（Revert Pending Changes）] をクリックする前に、FDM で変更を確認するには、次の手順を実行します。

ブラウザウィンドウを開き、https://< IP_address_of_the_FTD > と入力します。
FDM で展開アイコンを探します。コンソールにはオレンジ色の円が表示されており、展開する準備が整った変更があることを示しています。
アイコンをクリックして、保留中の変更を確認します。

変更を削除しても構わない場合は、Security Cloud Control に戻り、[保留中の変更を元に戻す（Revert Pending Changes）] をクリックします。この時点で、FDM による管理デバイスの構成と Security Cloud Control の構成のコピーは同じである必要があります。これで追加されました。
変更をデバイスに展開する場合は、[今すぐ展開（Deploy Now）] をクリックします。これで、FDM による管理デバイスに展開された構成と Security Cloud Control に保存された構成が同じではなくなりました。Security Cloud Control に戻り、デバイスの変更をポーリングできます。Security Cloud Control が FDM による管理デバイスに変更があったことを識別し、該当する競合を確認できます。その状態を解決するには、「競合検出 - 競合の確認」を参照してください。

保留中の変更を元に戻すことに失敗した場合

システムデータベースとセキュリティフィードへの変更は、Security Cloud Control によって元に戻すことはできません。Security Cloud Control は保留中の変更があることを認識し、それらを元に戻そうとしますが失敗します。元に戻せなかった原因が、保留中のデータベースの更新やセキュリティフィードの更新なのかどうかを判断するには、デバイスの FDM コンソールにログインします。コンソールにはオレンジ色の円が表示されており、展開する準備が整った変更があることを示しています。[展開（Deploy）] ボタンをクリックして保留中の変更を確認し、必要に応じて展開または破棄します。

競合の確認手順

FDM による管理からの設定変更を確認するには、次の手順に従います。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

設定が [競合検出（Conflict Detected）] とマークされているデバイスを選択すると、右側の [競合検出（Conflict Detected）] ペインに [競合の確認（Review Conflict）] へのリンクが表示されます。

ステップ 5

[競合の確認（Review Conflict）] をクリックします。

ステップ 6

提示された 2 つの設定を比較します。

ステップ 7

次のいずれかの操作を行います。

[承認（Accept）] をクリックして、Security Cloud Control で最後に認識された設定をデバイスで検出された設定で上書きします。注：Security Cloud Control に保存されている設定全体が、デバイスで検出された設定によって完全に上書きされます。
[拒否（Reject）] をクリックして、デバイスに加えられた変更を拒否し、Security Cloud Control で最後に認識された設定に置き換えます。
削除を中止するには、[キャンセル（Cancel）] をクリックします。

（注）

デバイスが同期状態のときに [変更の確認（Check for Changes）]設定変更の確認をクリックすると、アウトオブバンドの変更についてデバイスをすぐに確認するように Security Cloud Control に指示できます。

レビューなしで承認する手順

FDM による管理デバイスからの設定変更を確認せずに受け入れるには、次の手順に従います。

手順

ステップ 1	左側のペインでセキュリティデバイスタブをクリックします。
ステップ 2	適切なデバイスタイプのタブをクリックします。
ステップ 3	設定が [競合検出（Conflict Detected）] とマークされているデバイスを選択すると、右側の [競合検出（Conflict Detected）] ペインに [レビューなしで承認（Accept Without Review）] へのリンクが表示されます。
ステップ 4	[レビューなしで承認（Accept Without Review）] をクリックします。Security Cloud Control は、現在の設定を受け入れて上書きします。

すべてのデバイスの設定変更のプレビューと展開

テナント上のデバイスに構成変更を加えたものの、その変更をまだ展開していない場合に、Security Cloud Control は展開アイコンにオレンジ色のドットを表示して通知します。これらの変更の影響を受けるデバイスには、[デバイスとサービス（Devices and Services）] ページに「未同期（Not Synced）」のステータスが表示されます。[展開（Deploy）] をクリックすると、保留中の変更があるデバイスを確認し、それらのデバイスに変更を展開できます。

（注）

作成および変更を行う新しい FDM または FTD ネットワークオブジェクトまたはグループごとに、Security Cloud Control は、Security Cloud Control によって管理されるすべてのオンプレミス Management Centerに対してこのページにエントリを作成します。

この展開方法は、サポートされているすべてのデバイスで使用できます。

この展開方法を使用して、単一の構成変更を展開することも、待機して複数の変更を一度に展開することもできます。

手順

ステップ 1	画面の右上で [デプロイ（Deploy）] アイコンをクリックします。
ステップ 2	展開する変更があるデバイスを選択します。デバイスに黄色の三角の注意マークが付いている場合、そのデバイスに変更を展開することはできません。黄色の三角の注意マークにマウスを合わせると、そのデバイスに変更を展開できない理由を確認できます。
ステップ 3	（オプション）保留中の変更に関する詳細情報を表示する場合は、[詳細な変更ログを表示（View Detailed Changelog）] リンクをクリックして、その変更に関連付けられた変更ログを開きます。[展開（Deploy）] アイコンをクリックして、[保留中の変更があるデバイス（Devices with Pending Changes）] ページに戻ります。
ステップ 4	（オプション）[保留中の変更があるデバイス（Devices with Pending Changes）] ページを離れずに、変更を追跡する変更リクエストを作成します。
ステップ 5	[今すぐ展開（Deploy Now）] をクリックして、選択したデバイスに今すぐ変更を展開します。[ジョブ（Jobs）] トレイの [アクティブなジョブ（Active jobs）] インジケータに進行状況が表示されます。
ステップ 6	（オプション）展開が完了したら、Security Cloud Control ナビゲーションバーの [ジョブ（Jobs）] をクリックします。展開の結果を示す最近の「変更の展開（Deploy Changes）」ジョブが表示されます。
ステップ 7	変更リクエストラベルを作成し、それに関連付ける構成変更がない場合は、それをクリアします。

次のタスク

自動展開のスケジュール
Security Cloud Control から FDM による管理デバイスへの設定変更の展開
FDM による管理デバイスへの展開後のログエントリの変更

Security Cloud Control から FDM による管理デバイスへの設定変更の展開

Security Cloud Control が FDM による管理デバイスに変更を展開する理由

Security Cloud Control を使用してデバイスの設定を管理および変更すると、Security Cloud Control により構成ファイルの独自のコピーに加えた変更が保存されます。それらの変更は、デバイスに展開されるまで Security Cloud Control でステージングされたと見なされます。ステージングされた設定変更は、デバイスを通過するネットワークトラフィックには影響しません。変更は、Security Cloud Control がデバイスに展開した後にのみ、デバイスを通過するトラフィックに影響を及ぼします。Security Cloud Control がデバイスの設定に変更を展開すると、変更された設定の要素のみが上書きされます。デバイスに保存されている構成ファイル全体が上書きされることはありません。

Security Cloud Control と同様に、FDM による管理デバイスには保留中の変更と展開された変更の概念があります。FDM による管理デバイスの保留中の変更は、Security Cloud Control のステージングされた変更に相当します。保留中の変更は、FDM による管理デバイスを通過するトラフィックに影響を与えることなく編集または削除できます。ただし、保留中の変更が展開されると、それらの変更は FDM による管理デバイスによって適用され、デバイスを通過するトラフィックに影響を与えます。

FDM 管理対象デバイスの構成ファイルは編集プロセスが 2 段階であるため、Security Cloud Control は、管理する他のデバイスへの展開とは若干異なる方法で FDM による管理デバイスへの変更を展開します。Security Cloud Control は最初に FDM による管理デバイスに変更を展開し、変更は保留状態になります。次に、Security Cloud Control が変更をデバイスに展開すると、変更が有効になります。変更は展開されると適用されるため、FDM による管理デバイスを通過するトラフィックに影響を与えます。これは、スタンドアロンデバイスと高可用性（HA）デバイスの両方に適用されます。

展開は、1 つのデバイスに対して開始することも、複数のデバイスに対して同時に開始することもできます。単一のデバイスに対して、個別の展開や繰り返しの展開をスケジュールできます。

Security Cloud Control が FDM による管理デバイスに変更を展開できない 2 つの要因は次のとおりです。

FDM による管理デバイスに段階的な変更がある場合。この状態を解決する方法の詳細については、「競合検出」を参照してください。
FDM による管理デバイスに展開されるプロセスに変更がある場合、Security Cloud Control は変更を展開しません。

自動展開のスケジュール

自動展開をスケジュールする保留中の変更を使用して、単一のデバイスへの展開をスケジュールするようにテナントを設定することもできます。

デバイスへの変更の展開

手順

ステップ 1	Security Cloud Control を使用してデバイスの設定を変更して保存すると、その変更はデバイスの設定の Security Cloud Control インスタンスに保存されます。
ステップ 2	ナビゲーションバーでセキュリティデバイスをクリックします。
ステップ 3	[デバイス] タブをクリックします。
ステップ 4	適切なデバイスタイプのタブをクリックします。変更を加えたデバイスの設定ステータスが [未同期（Not Synced）] と表示されます。
ステップ 5	次のいずれかの方法を使用して、変更を展開します。デバイスを選択し、右側の [未同期（Not Synced）] ペインで [プレビューして展開（Preview and Deploy）]をクリックします。 [保留中の変更（Pending Changes）] 画面で、変更を確認します。保留中のバージョンに問題がなければ、[今すぐ展開（Deploy Now）] をクリックします。変更が正常に展開されたら、変更ログを表示して、展開の結果を確認できます。画面右上の [展開（Deploy）] アイコンをクリックします。詳細については、すべてのデバイスの設定変更のプレビューと展開を参照してください。

変更をキャンセルする

Security Cloud Control からデバイスに変更を展開するときに [キャンセル（Cancel）] をクリックすると、行った変更はデバイスに展開されません。プロセスはキャンセルされます。行った変更はまだ Security Cloud Control で保留中であり、最終的に FDM による管理デバイスに展開する前に編集を加えることができます。

変更の破棄

変更をプレビューしているときに [すべて破棄（Discard all）] をクリックすると、自分が行った変更と、他のユーザーが行ったもののデバイスに展開しなかったその他の変更が削除されます。Security Cloud Control は、保留中の構成を、変更が行われる前の最後の読み取りまたは展開された構成に戻します。

デバイス設定の一括展開

共有オブジェクトを編集するなどして複数のデバイスに変更を加えた場合、影響を受けるすべてのデバイスにそれらの変更を一度に適用できます。

手順

ステップ 1

左側のペインでセキュリティデバイスをクリックします。

ステップ 2

[デバイス] タブをクリックします。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

Security Cloud Control で設定を変更した、すべてのデバイスを選択します。これらのデバイスは、「未同期」ステータスが表示されているはずです。

ステップ 5

次のいずれかの方法を使用して、変更を展開します。

画面の右上にあるボタンをクリックして、[保留中の変更があるデバイス（Devices with Pending Changes）] ウィンドウを表示します。これにより、選択したデバイス上の保留中の変更を展開する前に確認することができます。変更を展開するには、[今すぐ展開（Deploy Now）] をクリックします。

（注）

[保留中の変更があるデバイス（Devices with Pending Changes）] 画面でデバイスの横に黄色の警告三角形が表示されている場合、そのデバイスに変更を展開することはできません。そのデバイスに変更を展開できない理由を確認するには、警告三角形の上にマウスカーソルを置きます。

詳細ペインで [すべて展開（Deploy All）] をクリックします。すべての警告を確認し、[OK] をクリックします。一括展開は、変更を確認せずにすぐに開始します。

ステップ 6

（任意）ナビゲーションバーの [ジョブ（Jobs）] アイコンをクリックして、一括展開の結果を表示します。

スケジュールされた自動展開について

Security Cloud Control を使用すると、CDO が管理する 1 つ以上のデバイスの構成を変更し、都合のよいタイミングでそれらのデバイスに変更を展開するようにスケジュールできます。

[設定（Settings）] ページの [テナント設定（Tenant Settings）] タブで自動展開をスケジュールするオプションを有効にするをした場合のみ、展開をスケジュールできます。このオプションを有効にすると、展開スケジュールを作成、編集、削除できます。展開スケジュールによって、Security Cloud Control に保存されたすべてのステージング済みの変更が、設定した日時に展開されます。[ジョブ] ページから、展開スケジュールを表示および削除することもできます。

Security Cloud Control に読み取られていないデバイスに直接変更が加えられた場合、その競合が解決されるまで、展開スケジュールはスキップされます。[ジョブ（Jobs）] ページには、スケジュールされた展開が失敗したインスタンスが一覧表示されます。[自動展開をスケジュールするオプションを有効にする（Enable the Option to Schedule Automatic Deployments）] をオフにすると、スケジュールされたすべての展開が削除されます。

注意	複数のデバイスの新しい展開をスケジュールし、それらのデバイスの一部に展開が既にスケジュールされている場合、既存の展開スケジュールが新しい展開スケジュールで上書きされます。

（注）

展開スケジュールを作成すると、スケジュールはデバイスのタイムゾーンではなく現地時間で作成されます。展開スケジュールは、サマータイムに合わせて自動的に調整されません。

自動展開のスケジュール

展開スケジュールは、単一のイベントまたは繰り返し行われるイベントにすることができます。繰り返し行われる自動展開は、繰り返し行われる展開をメンテナンス期間に合わせるための便利な方法です。次の手順に従って、単一のデバイスに対して 1 回限りまたは繰り返し行われる展開をスケジュールします。

（注）

既存の展開がスケジュールされているデバイスへの展開をスケジュールすると、新しくスケジュールされた展開によって既存の展開が上書きされます。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	1 つ以上のデバイスを選択します。
ステップ 5	[デバイスの詳細（Device Details）] ペインで、[スケジュールされた展開（ Scheduled Deployments）] タブを見つけて、[スケジュール（Schedule）] をクリックします。
ステップ 6	展開をいつ実行するかを選択します。 1 回限りの展開の場合は、[1回限り（Once on）] オプションをクリックして、カレンダーから日付と時刻を選択します。繰り返し展開する場合は、[定期（Every）] オプションをクリックします。日に 1 回と週に 1 回のいずれかの展開を選択できます。展開を実行する [曜日（Day）] と [時刻（Time）] を選択します。
ステップ 7	[保存（Save）] をクリックします。

スケジュールされた展開の編集

スケジュールされた展開を編集するには、次の手順に従います。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	1 つ以上のデバイスを選択します。
ステップ 5	[デバイスの詳細（Device Details）] ペインで、[スケジュールされた展開（ Scheduled Deployments）] タブを見つけて、[編集（Edit）] をクリックします。
ステップ 6	スケジュールされた展開の繰り返し回数、日付、または時刻を編集します。
ステップ 7	[保存（Save）] をクリックします。

スケジュールされた展開の削除

スケジュールされた展開を削除するには、次の手順に従います。

（注）

複数のデバイスの展開をスケジュールしてから、一部のデバイスのスケジュールを変更または削除した場合は、残りのデバイスの元のスケジュールされた展開が保持されます。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	1 つ以上のデバイスを選択します。
ステップ 5	[デバイスの詳細（Device Details）] ペインで、[スケジュールされた展開（ Scheduled Deployments）] タブを見つけて、[削除（Delete）] をクリックします。

次のタスク

設定変更の読み取り、破棄、チェック、および展開
すべてのデバイス設定の読み取り
Security Cloud Control から FDM による管理デバイスへの設定変更の展開
すべてのデバイスの設定変更のプレビューと展開

設定変更の確認

[変更の確認（Check for Changes）] をクリックして、デバイスの設定がデバイス上で直接変更されているか、Security Cloud Control に保存されている設定のコピーと異なっているかどうかを確認します。このオプションは、デバイスが [同期（Synced）] 状態のときに表示されます。

変更を確認するには、次の手順を実行します。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	設定がデバイス上で直接変更された可能性があるデバイスを選択します。
ステップ 5	右側の [同期（Synced）] ペインで [変更の確認（Check for Changes）] をクリックします。
ステップ 6	次の動作は、デバイスによって若干異なります。 FTD デバイスの場合、デバイスの設定に変更があった場合、次のメッセージが表示されます。 `Reading the policy from the device. If there are active deployments on the device, reading will start after they are finished.` [OK] をクリックして、先へ進みます。デバイスの設定で、Security Cloud Control に保存されている設定が上書きされます。操作をキャンセルするには、[キャンセル（Cancel）] をクリックします。デバイスの場合：提示された 2 つの設定を比較します。[続行（Continue）] をクリックします。最後に認識されたデバイス設定（Last Known Device Configuration）というラベルの付いた設定は、Security Cloud Control に保存されている設定です。[デバイスで検出（Found on Device）] というラベルの付いた設定は、ASA に保存されている設定です。次のいずれかを選択します。 [拒否（Reject）]：アウトオブバンド変更を拒否して、「最後に認識されたデバイス設定（Last Known Device Configuration）」を維持します。 [承認（Accept）]：アウトオブバンド変更を承認して、Security Cloud Control に保存されているデバイスの設定を、デバイスで見つかった設定で上書きします。 [続行（Continue）] をクリックします。

設定変更の破棄

Security Cloud Control を使用してデバイスの構成に加えた、展開されていない構成変更のすべてを「元に戻す」場合は、[変更の破棄（Discard Changes）] をクリックします。[変更の破棄（Discard Changes）] をクリックすると、Security Cloud Control は、デバイスに保存されている構成でデバイスの構成のローカルコピーを完全に上書きします。

[変更の破棄（Discard Changes）] をクリックすると、デバイスの構成ステータスは [未同期（Not Synced）] 状態になります。変更を破棄すると、Security Cloud Control 上の構成のコピーは、デバイス上の構成のコピーと同じになり、Security Cloud Control の構成ステータスは [同期済み（Synced）] に戻ります。

デバイスの展開されていない構成変更のすべてを破棄する（つまり「元に戻す」）には、次の手順を実行します。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	構成変更を実行中のデバイスを選択します。
ステップ 5	右側の [未同期（Not Synced）] ペインで [変更の破棄（Discard Changes）] をクリックします。 FDM による管理デバイスの場合は、Security Cloud Control で「Security Cloud Control 上の保留中の変更は破棄され、このデバイスに関する Security Cloud Control 構成は、デバイス上の現在実行中の構成に置き換えられます（Pending changes on CDO will be discarded and the CDO configuration for this device will be replaced with the configuration currently running on the device）」という警告メッセージが表示されます。[続行（Continue）] をクリックして変更を破棄します。 Meraki デバイスの場合は、Security Cloud Control で変更がすぐに削除されます。 AWS デバイスの場合は、Security Cloud Control で削除しようとしているものが表示されます。[同意する（Accept）] または [キャンセル（Cancel）] をクリックします。

デバイスのアウトオブバンド変更

アウトオブバンド変更とは、Security Cloud Control を使用せずにデバイス上で直接行われた変更を指します。アウトオブバンド変更は、SSH 接続を介してデバイスのコマンドラインインターフェイスを使用して、または、ASA の場合は Adaptive Security Device Manager（ASDM）、FDM による管理デバイスの場合は FDM、オンプレミス Firewall Management Center ユーザーインターフェイス上のオンプレミス Firewall Management Center などのローカルマネージャを使用して行うことができます。アウトオブバンド変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

デバイスでのアウトオブバンド変更の検出

ASA、FDM による管理デバイス、Cisco IOS デバイス、またはオンプレミス Firewall Management Center に対して競合検出が有効になっている場合、Security Cloud Control は 10 分ごとにデバイスをチェックし、Security Cloud Control の外部でデバイスの設定に直接加えられた新たな変更を検索します。

Security Cloud Control は、Security Cloud Control に保存されていないデバイスの設定に対する変更を検出した場合、そのデバイスの [設定ステータス（Configuration Status）] を [競合検出（Conflict Detected）] 状態に変更します。

Security Cloud Control が競合を検出した場合、次の 2 つの状態が考えられます。

Security Cloud Control のデータベースに保存されていない設定変更が、デバイスに直接加えられています。
FDM による管理デバイスの場合、FDM による管理デバイスに展開されていない「保留中」の設定変更がある可能性があります。
オンプレミス Firewall Management Center の場合、たとえば、Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更や、オンプレミス Firewall Management Center への展開が保留されている Security Cloud Control で行われた変更がある可能性があります。

Security Cloud Control とデバイス間の設定を同期する

設定の競合について

[セキュリティデバイス（Security Devices）] ページで、デバイスまたはサービスのステータスが [同期済み（Synced）]、[未同期（Not Synced）]、または [競合検出（Conflict Detected）] になっていることがあります。Security Cloud Control を使用して管理するオンプレミス Firewall Management Center のステータスを確認するには、[ツールとサービス（Tools & Services）] > [Firewall Management Center] に移動します。

デバイスが [同期済み（Synced）] の場合、Security Cloud Control の設定と、デバイスにローカルに保存されている設定は同じです。
デバイスが [未同期（Not Synced）] の場合、Security Cloud Control に保存された設定が変更され、デバイスにローカルに保存されている設定とは異なっています。Security Cloud Control からデバイスに変更を展開すると、Security Cloud Control のバージョンに一致するようにデバイスの設定が変更されます。
Security Cloud Control の外部でデバイスに加えられた変更は、アウトオブバンドの変更と呼ばれます。デバイスの競合検出が有効になっている場合、アウトオブバンドの変更が行われると、デバイスのステータスが [競合が検出されました（Conflict Detected）] に変わります。アウトオブバンドの変更を受け入れると、Security Cloud Control の設定がデバイスの設定と一致するように変更されます。

競合検出

競合検出が有効になっている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの構成が変更されたかどうかを判断します。変更が行われたことを検出すると、Security Cloud Control はデバイスの構成ステータスを [競合検出（Conflict Detected）] に変更します。Security Cloud Control の外部でデバイスに加えられた変更は、「アウトオブバンドの」変更と呼ばれます。

Security Cloud Control によって管理されているオンプレミス Firewall Management Center で、ステージングされた変更があり、デバイスが [未同期（Not Synced）] 状態の場合、Security Cloud Control はデバイスのポーリングを停止して変更を確認します。Security Cloud Control との同期が保留されている Security Cloud Control の外部で行われた変更と、オンプレミス Management Center への展開が保留されている Security Cloud Control で行われた変更がある場合、Security Cloud Control はオンプレミス Management Centerが [競合検出（Conflict Detected）] 状態であることを宣言します。

このオプションを有効にすると、デバイスごとに競合または OOB 変更を検出する頻度を設定できます。詳細については、デバイス変更のポーリングのスケジュールを参照してください。

競合検出の有効化

競合検出を有効にすると、Security Cloud Control の外部でデバイスに変更が加えられた場合に警告が表示されます。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス] タブをクリックします。
ステップ 3	適切なデバイスタイプのタブを選択します。
ステップ 4	競合検出を有効にする 1 台または複数のデバイスを選択します。
ステップ 5	デバイステーブルの右側にある [競合検出（Conflict Detection）] ボックスで、リストから [有効（Enabled）] を選択します。

デバイスからのアウトオブバンド変更の自動的な受け入れ

変更の自動的な受け入れを有効にすることで、管理対象デバイスに直接加えられた変更を自動的に受け入れるように Security Cloud Control を設定できます。Security Cloud Control を使用せずにデバイスに直接加えられた変更は、アウトオブバンド変更と呼ばれます。アウトオブバンドの変更により、Security Cloud Control に保存されているデバイスの設定とデバイス自体に保存されている設定との間で競合が発生します。

変更の自動受け入れ機能は、競合検出のための強化機能です。デバイスで変更の自動受け入れを有効にしている場合、Security Cloud Control は 10 分ごとに変更をチェックして、デバイスの設定に対してアウトオブバンドの変更が行われたかどうかを確認します。設定が変更されていた場合、Security Cloud Control は、プロンプトを表示することなく、デバイスの設定のローカルバージョンを自動的に更新します。

Security Cloud Control で行われたいずれかの設定変更がデバイスにまだ展開されていない場合、Security Cloud Control は設定変更を自動的に受け入れません。画面上のプロンプトに従って、次のアクションを決定します。

変更の自動承認を使用するには、最初に、テナントが [セキュリティデバイス（Security Devices）] ページの [競合検出（Conflict Detection）] メニューで自動承認オプションを表示できるようにします。次に、個々のデバイスでの変更の自動承認を有効にします。

Security Cloud Control でアウトオブバンドの変更を検出するものの、変更を手動で受け入れたり拒否したりするオプションを選択する場合は、代わりに競合検出を有効にします。

自動承認変更の設定

手順

ステップ 1	管理者またはネットワーク管理者権限を持つアカウントを使用して Security Cloud Control にログインします。
ステップ 2	左側のペインで [管理（Administration）] > [一般設定（General Settings）] をクリックします。
ステップ 3	[テナント設定（Tenant Settings）] エリアで、[デバイスの変更を自動承認するオプションの有効化（Enable the Option to Auto-accept Device Changes）] のトグルをクリックします。[セキュリティデバイス（Security Devices）] ページの [競合検出（Conflict Detection）] メニューに [変更の自動承認（Auto-Accept Changes）] メニューオプションが表示されます。
ステップ 4	左側のペインでセキュリティデバイスをクリックして、アウトオブバンドの変更を自動承認するデバイスを選択します。
ステップ 5	[競合の検出（Devices & Services）] メニューで、ドロップダウンメニューから [変更の自動承認（Auto-Accept Changes）] を選択します。

テナント上のすべてのデバイスの自動承認変更の無効化

手順

ステップ 1

[管理者（Admin）] または [ネットワーク管理者（Super Admin）] 権限を持つアカウントを使用して Security Cloud Control にログインします。

ステップ 2

左側のペインで [管理（Administration）] > [一般設定（General Settings）] をクリックします。

ステップ 3

[テナント設定（Tenant Settings）] 領域で、トグルを左にスライドして灰色の X を表示し、[デバイスの変更を自動承認するオプションを有効にする（Enable the option to auto-accept device changes）] を無効にします。これにより、競合検出メニューの [変更の自動承認（Auto-Accept Changes）] オプションが無効になり、テナント上のすべてのデバイスでこの機能が無効になります。

（注）

[自動承認（Auto-Accept）] を無効にした場合、Security Cloud Control で承認する前に、各デバイスの競合を確認する必要があります。これまで変更の自動承認が設定されていたデバイスも対象になります。

設定の競合の解決

このセクションでは、デバイスで発生する設定の競合の解決に関する情報を提供します。

未同期ステータスの解決

次の手順を使用して、「未同期」の設定ステータスのデバイスを解決します。

手順

ステップ 1

ナビゲーションバーでセキュリティデバイスをクリックします。

（注）

オンプレミス Firewall Management Center の場合は、[管理（Administration）] > [Firewall Management Center] をクリックして、[未同期（Not Synced）] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス（Devices）] タブをクリックしてデバイスを見つけるか、[テンプレート（Templates）] タブをクリックしてモデルデバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

未同期と報告されたデバイスを選択します。

ステップ 5

右側の [未同期（Not synced）] パネルで、次のいずれかを選択します。

[プレビューして展開...（Preview and Deploy..）] ：設定の変更を Security Cloud Control からデバイスにプッシュする場合は、今行った変更をプレビューして展開するか、待ってから一度に複数の変更を展開します。
[変更の破棄（Discard Changes）]：設定の変更を Security Cloud Control からデバイスにプッシュしない場合、または Security Cloud Control で開始した設定の変更を「元に戻す」場合。このオプションは、Security Cloud Control に保存されている設定を、デバイスに保存されている実行構成で上書きします。

競合検出ステータスの解決

Security Cloud Control を使用すると、ライブデバイスごとに競合検出を有効化または無効化できます。競合検出が有効になっていて、Security Cloud Control を使用せずにデバイスの設定に変更が加えられた場合、デバイスの設定ステータスには [競合検出（Conflict Detected）] と表示されます。

[競合検出（Conflict Detected）] ステータスを解決するには、次の手順に従います。

手順

ステップ 1

ナビゲーションバーでセキュリティデバイスをクリックします。

（注）

オンプレミス Firewall Management Center の場合は、[管理（Administration）] > [Firewall Management Center] をクリックして、[未同期（Not Synced）] 状態の FMC を選択し、ステップ 5 から続行します。

ステップ 2

[デバイス（Devices）] タブをクリックして、デバイスを見つけます。

ステップ 3

適切なデバイスタイプのタブをクリックします。

ステップ 4

競合を報告しているデバイスを選択し、右側の詳細ペインで [競合の確認（Review Conflict）] をクリックします。

ステップ 5

[デバイスの同期（Device Sync）] ページで、強調表示されている相違点を確認して、2 つの設定を比較します。

「最後に認識されたデバイス設定（Last Known Device Configuration）」というラベルの付いたパネルは、Security Cloud Control に保存されているデバイス設定です。
[デバイスで検出（Found on Device）] というラベルの付いたパネルは、ASA の実行コンフィギュレーションに保存されている設定です。

ステップ 6

次のいずれかを選択して、競合を解決します。

[デバイスの変更を承認（Accept Device changes）]：設定と、Security Cloud Control に保存されている保留中の変更がデバイスの実行コンフィギュレーションで上書きされます。

（注）

Security Cloud Control はコマンドラインインターフェイス以外での Cisco IOS デバイスへの変更の展開をサポートしていないため、競合を解決する際の Cisco IOS デバイスの唯一の選択肢は [レビューなしで承認（Accept Without Review）] です。

[デバイスの変更を拒否（Reject Device Changes）]：デバイスに保存されている設定を Security Cloud Control に保存されている設定で上書きします。

（注）

拒否または承認されたすべての設定変更は、変更ログに記録されます。

デバイス変更のポーリングのスケジュール

競合検出を有効にしている場合、または [設定（Settings）] ページで [デバイスの変更を自動承認するオプションの有効化（Enable the Option to Auto-accept Device Changes）] オプションを有効にしている場合、Security Cloud Control はデフォルトの間隔でデバイスをポーリングして、Security Cloud Control の外部でデバイスの設定に変更が加えられたかどうかを判断します。Security Cloud Control による変更のポーリング間隔は、デバイスごとにカスタマイズできます。ポーリング間隔の変更は、複数のデバイスに適用できます。

デバイスでこの間隔が選択されていない場合は、間隔は「テナントのデフォルト」に自動的に設定されます。

（注）

[セキュリティデバイス（Security Devices）] ページでデバイスごとの間隔をカスタマイズすると、[一般設定（General Settings）] ページの [デフォルトの競合検出間隔（Default Conflict Detection Interval）] で選択したポーリング間隔がオーバーライドされます。デフォルトの競合検出間隔

[セキュリティデバイス（Security Devices）] ページで [競合検出（Conflict Detection）] を有効にするか、[設定（Settings）] ページで [デバイスの変更を自動承認するオプションの有効化（Enable the Option to Auto-accept Device Changes）] オプションを有効にしたら、次の手順に従い Security Cloud Control によるデバイスのポーリング間隔をスケジュールします。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	適切なデバイスタイプのタブをクリックします。
ステップ 4	競合検出を有効にする 1 台または複数のデバイスを選択します。
ステップ 5	[競合検出（Conflict Detection）] と同じ領域で、[チェック間隔（Check every）] のドロップダウンメニューをクリックし、目的のポーリング間隔を選択します。

セキュリティデータベース更新のスケジュール設定

このセクションでは、デバイスでのセキュリティデータベースの更新スケジュール設定に関する情報を提供します。

セキュリティデータベースの更新スケジュールの作成

次の手順を使用して、FDM による管理デバイスのセキュリティデータベースを確認および更新するスケジュールされたタスクを作成します。

手順

ステップ 1

ナビゲーションバーでセキュリティデバイスをクリックします。

ステップ 2

[デバイス（Devices）] タブをクリックして、デバイスを見つけます。

ステップ 3

[FTD] タブをクリックします。

ステップ 4

デバイスを選択します。

ステップ 5

[アクション（Actions）] ペインで、[セキュリティデータベースの更新（Security Database Updates）] セクションを見つけて、追加ボタン [+] をクリックします。

（注）

選択したデバイスに既存のスケジュールされたタスクがある場合は、編集アイコンをクリックして新しいタスクを作成します。新しいタスクを作成すると、既存のタスクが上書きされます。

ステップ 6

スケジュールされたタスクを次のように設定します。

[頻度（Frequency）]。日次、週次、または月次から更新の頻度を選択します。
[時刻（Time）]。時刻を選択します。時刻は UTC で表示されることに注意してください。
[曜日の選択（Select Days）]。更新を実行する曜日を選択します。

ステップ 7

[保存（Save）] をクリックします。

デバイスの [設定ステータス（Configuration Status）] が [データベースの更新中（Updating Databases）] に変わります。

セキュリティデータベースの更新スケジュールの編集

次の手順を使用して、FDM 管理対象デバイスのセキュリティデータベースの検証および更新を実行する既存のスケジュール済みタスクを編集します。

手順

ステップ 1	左側のペインでセキュリティデバイスをクリックします。
ステップ 2	[デバイス（Devices）] タブをクリックして、デバイスを見つけます。
ステップ 3	[FTD] タブをクリックします。
ステップ 4	デバイスを選択します。
ステップ 5	[アクション（Actions）] ペインで、[セキュリティデータベースの更新（Security Database Updates）] セクションを見つけて、編集アイコンをクリックします。
ステップ 6	次の項目を使用して、スケジュールされたタスクを編集します。 [頻度（Frequency）]。日次、週次、または月次から更新の頻度を選択します。 [時刻（Time）]。時刻を選択します。時刻は UTC で表示されることに注意してください。 [曜日の選択（Select Days）]。更新を実行する曜日を選択します。
ステップ 7	[保存（Save）] をクリックします。
ステップ 8	デバイスの [設定ステータス（Configuration Status）] が [データベースの更新中（Updating Databases）] に変わります。

FDM による管理デバイスのセキュリティデータベースの更新

FDM による管理デバイスのセキュリティデータベースを更新することにより、SRU（侵入ルール）、セキュリティインテリジェンス（SI）、脆弱性データベース（VDB）、地理位置情報データベースが更新されます。Security Cloud Control UI を使用してセキュリティデータベースを更新することを選択した場合、言及されているすべてのデータベースが更新されることに注意してください。更新するデータベースを選択することはできません。

セキュリティデータベースの更新は元に戻せないことに注意してください。

（注）

セキュリティデータベースを更新すると、一部のパケットがドロップされるか、検査されずに通過する場合があります。メンテナンス期間中に、セキュリティデータベースの更新をスケジュールすることをお勧めします。

導入準備中に FDM による管理デバイスのセキュリティデータベースを更新する

FDM による管理デバイスを Security Cloud Control にオンボーディングする場合、オンボーディングプロセスの一部を使用して、[データベースのスケジュール済みの定期更新の有効化（Enable scheduled recurring updates for databases）] を実行できます。このオプションは、デフォルトでオンです。有効にすると、Security Cloud Control はすぐにセキュリティの更新を確認して適用し、追加の更新を確認するようにデバイスを自動的にスケジュールします。また、デバイスがオンボードされた後は、スケジュール済みのタスクの日時を変更することもできます。

オンボーディングプロセス中に自動スケジューラを有効にして、セキュリティデータベースの更新を定期的に確認して適用することをお勧めします。この方法により、デバイスが常に最新の状態になります。FDM による管理デバイスの導入準備中にセキュリティデータベースを更新するには、「Onboard an FDM-Managed Device with a Registration Key（登録キーを使用した FDM 管理対象デバイスの導入準備）」を参照してください。

（注）

登録キー方式でデバイスをオンボーディングする場合、デバイスをスマートライセンスに登録することはできません。ライセンスを登録するようお勧めします。別の方法として、デバイスのユーザー名、パスワード、および IP アドレスを使用してデバイスをオンボーディングすることができます。

導入準備後に FDM による管理デバイスのセキュリティデータベースを更新する

FDM による管理デバイスが Security Cloud Control にオンボーディングされた後、更新をスケジュールすることにより、セキュリティデータベースの更新を確認するようにデバイスを設定できます。更新がスケジュールされているデバイスを選択して、スケジュールされたタスクをいつでも変更できます。詳細については、「FTD セキュリティデータベースの更新」を参照してください。

ワークフロー

デバイスライセンス

ライセンスがない場合、Cisco Security Cloud Control はセキュリティデータベースを更新できません。FDM による管理デバイスに少なくともライセンスがあることをお勧めします。

ライセンスのないデバイスをオンボーディングしている場合、Security Cloud Control がこのデバイスをオンボーディングすることは禁止されません。代わりに、デバイスには「ライセンスが不足しています（Insufficient Licenses）」という接続ステータスが表示されます。この問題を解決するには、FDM による管理デバイスの UI を使用して正しいライセンスを適用する必要があります。

（注）

FDM による管理デバイスをオンボーディングして、今後のセキュリティデータベースの更新をスケジュールすることを選択し、デバイスにライセンスが登録されていない場合でも、Security Cloud Control はスケジュールされたタスクを作成しますが、適切なライセンスが適用されてデバイスが正常に同期されるまで、タスクをトリガーしません。

セキュリティデータベースの更新が FDM で保留中

FDM による管理デバイスの UI を使用してセキュリティデータベースを更新し、デバイスで競合検出を有効にしている場合、Security Cloud Control は保留中の更新を競合として検出します。

（注）

FDM による管理デバイスをオンボーディングし、更新をスケジュールすることを選択した場合、Security Cloud Control は、次回の展開中に、保存された設定に対するその他の保留中の変更と同様に、セキュリティデータベースを自動的に更新します。設定の展開である必要はありません

セキュリティデータベースの更新中に、デバイスに OOB 変更またはステージングされた変更がある

アウトオブバンド（OOB）の変更がある、または展開されていないステージング済みの変更がある FDM による管理デバイスのセキュリティデータベースの更新をスケジュールした場合、Security Cloud Control はセキュリティデータベースのチェックと更新のみを行います。Security Cloud Control は、OOB またはステージングされた変更をデプロイしません。

セキュリティデータベースを更新するためのスケジュールされたタスクがデバイスに既に存在する

各デバイスは、スケジュールされたタスクを 1 つだけ持つことができます。セキュリティデータベースを更新するためのスケジュールされたタスクがデバイスに既に存在する場合、新しいタスクを作成すると既存のタスクが上書きされます。これは、Security Cloud Control および FDM による管理デバイスで作成されたタスクの両方に適用されます。

セキュリティデータベースの更新が存在しない

更新が存在しない場合、Security Cloud Control はデバイスに何も展開しません。

FDM による管理高可用性（HA）ペアのセキュリティデータベースの更新

セキュリティデータベースの更新は、HA ペアのプライマリデバイスにのみ適用されます。

偏向のない言語

翻訳について

検索結果

章のタイトル： FDM 管理対象デバイスの設定

FDM 管理対象デバイスの設定

インターフェイス

Firepower インターフェイス設定に関する注意事項と制約事項

Firewall

パッシブ

IPS 専用モード

EtherChannel

ブリッジ グループ

Point-to-Point Protocol over Ethernet

VLAN

ネットワーク モジュール カード

仮想 FDM による管理 デバイスのインターフェース

デバイスモデルによる VLAN メンバーの最大数

Firepower データインターフェイス

ルーテッド インターフェイス

ブリッジグループとブリッジ仮想インターフェイス

パッシブ インターフェイス

管理/診断インターフェイス

インターフェイスの設定

Firepower インターフェイスの設定におけるセキュリティゾーンの使用

FDM による管理 デバイスインターフェイスのセキュリティゾーンへの割り当て

はじめる前に

Firepower インターフェイスをセキュリティゾーンに割り当てる

手順

Firepower インターフェイス設定での Auto-MDI/MDX の使用

Firepower インターフェイス設定での MAC アドレスの使用

デフォルトの MAC アドレス

Firepower インターフェイス設定での MTU 設定の使用

MTU について

『Path MTU Discovery』

MTU およびフラグメンテーション

MTU とジャンボ フレーム

Firepower インターフェイスの IPv6 アドレッシング

Firepower インターフェイスの設定

物理 Firepower インターフェイスの設定

手順

手順

物理インターフェイスの IPv4 アドレス指定

手順

物理インターフェイスの IPv6 アドレス指定の設定

手順

物理インターフェイスの有効化

手順

Firepower VLAN サブインターフェイスと 802.1Q トランキングの設定

はじめる前に

手順

手順

サブインターフェイスの IPv4 アドレスの設定

手順

サブインターフェイスの IPv6 アドレスの設定

手順

物理インターフェイスの有効化

手順

高度な Firepower インターフェイスオプションの設定

手順

ブリッジグループの設定

はじめる前に

ブリッジ グループ インターフェイス名の設定とブリッジグループメンバーの選択

手順

BVI の IPv4 アドレスの設定

手順

BVI の IPv6 アドレスの設定

手順

高度なインターフェイス オプションの設定

手順

次のタスク

FDM による管理 設定におけるブリッジグループの互換性

ブリッジグループの削除

手順

FDM による管理 デバイスの EtherChannel インターフェイスの追加

EtherChannel インターフェイスの制限事項

インターフェイスの一般的な制限事項

デバイス固有の制限事項

EtherChannel インターフェイスの追加

手順

ブリッジグループ

ネットワークモジュールカード

仮想 FDM による管理デバイスのインターフェース

ルーテッドインターフェイス

パッシブインターフェイス

FDM による管理デバイスインターフェイスのセキュリティゾーンへの割り当て

MTU とジャンボフレーム

ブリッジグループインターフェイス名の設定とブリッジグループメンバーの選択

高度なインターフェイスオプションの設定

FDM による管理設定におけるブリッジグループの互換性

FDM による管理デバイスの EtherChannel インターフェイスの追加

FDM による管理デバイスの EtherChannel インターフェイスの編集または削除

仮想 FDM による管理デバイスへのインターフェイスの追加

FDM による管理デバイスのスイッチポートモードインターフェイス

ハイアベイラビリティおよびスイッチポートモードインターフェイス

FDM による管理デバイス VLAN の設定

スイッチポートモード用 FDM による管理デバイス VLAN の設定

スタティックルート

ルーティングテーブルとルート選択

ルーティングテーブルへの入力方法

FDM による管理デバイスのスタティックルートとデフォルトルートの設定

オブジェクトタイプ