- Cisco ASA with FirePOWER Services ローカル管理設定ガ イ ド 6.0
- シスコ ASA FirePOWER モジュールの概要
- 再利用可能なオブジェクトの管理
- デバイス設定の管理
- アクセス コントロール ポリシーの開始
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- アクセス コントロール ルール:レルムと ユーザ
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシー クイック スタート ガイド
- SSL ルール クイック スタート ガイド
- SSL ルールを使用したトラフィック復号の 調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの開始
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- シブ展開における前処理の調整
- 侵入ポリシーを使用する前に
- ルールを使用した侵入ポリシーの調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの概要と作成
- アイデンティティ データの概要
- レルムとアイデンティティ ポリシー
- ユーザ アイデンティティ ソース
- DNS ポリシー
- マルウェアと禁止されたファイルのブロッ キング
- パッシブ展開における前処理の調整
- イベントの表示
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ASA FirePOWER ダッシュボードの使用
- ASA FirePOWER レポートの使用
- タスクのスケジュール
- システム ポリシーの管理
- ASA FirePOWER モジュールの設定
- ASA FirePOWER モジュールのライセンス
- ASA FirePOWER モジュール ソフトウェアの 更新
- システムのモニタリング
- バックアップと復元の使用
- トラブルシューティング ファイルの生成
- 設定のインポートおよびエクスポート
- 実行時間が長いタスクのステータスの表示
- セキュリティ、インターネット アクセス、お よび通信ポート
設定のインポートおよびエクスポート
インポート/エクスポート機能を使用して、ポリシーを含む複数のタイプの設定を、1 つのアプライアンスから同じタイプの別のアプライアンスにコピーにできます。設定のインポートやエクスポートはバックアップ ツールとして設計されてはいませんが、ASA FirePOWER モジュール に新しい追加するプロセスを簡易化するために使用できます。
エクスポートされた設定をインポートするには、両方の ASA FirePOWER モジュールで同じソフトウェア バージョンが稼動していなければなりません。エクスポートされた侵入ポリシーまたはアクセス コントロール ポリシーをインポートするには、両方のアプライアンスでルール更新のバージョンも一致している必要があります。
設定のエクスポート
単一の設定をエクスポートすることや、(同じタイプまたは異なるタイプの)一連の設定を同時にエクスポートすることができます。後に別のアプライアンスにパッケージをインポートするとき、パッケージ内のどの設定をインポートするかを選択できます。
設定をエクスポートするとき、アプライアンスは、その設定のリビジョン情報もエクスポートします。 ASA FirePOWER モジュールはその情報を使用して、別のアプライアンスにその設定をインポートできるかどうかを判別します。アプライアンスにすでに存在する設定リビジョンをインポートすることはできません。
また、設定をエクスポートするとき、その設定が依存するシステム設定も、アプライアンスによってエクスポートされます。

ヒント ASA FirePOWER モジュール の多くのリスト ページには、リスト項目の横にエクスポート アイコン(
)があります。このアイコンがある場合は、それを使用することにより、その後のエクスポート操作を簡単に代行させることができます。
- アラート応答 :アラート応答は、アラートの送信先とする予定の外部システムと ASA FirePOWER モジュールが対話できるようにするための一連の設定です。
- アクセス コントロール ポリシー :アクセス コントロール ポリシーには、システムがネットワーク トラフィックをどのように管理するかを指定するために設定できる、さまざまなコンポーネントが含まれます。これらのコンポーネントには、アクセス コントロール ルール、関連する侵入ポリシー、ファイル ポリシー、およびネットワーク分析ポリシー、および侵入の変数セットを含むルールとポリシーが使用するオブジェクトが含まれています。アクセス コントロール ポリシーをエクスポートすると、そのポリシーのすべての設定とコンポーネントもエクスポートされます。ただし、複数のアプライアンスで同等であり、ユーザが変更できない URL レピュテーションとカテゴリは(それらが存在しても)エクスポートされません。アクセス コントロール ポリシーをインポートするには、エクスポート元とインポート先の ASA FirePOWER モジュールでルール更新のバージョンが一致している必要があります。
エクスポートするアクセス コントロール ポリシーには、位置情報データを参照するルールが含まれている場合、インポート先のモジュールの位置情報データベース(GeoDB)の更新バージョンが使用されます。
- 侵入ポリシー :侵入ポリシーには、ネットワーク トラフィックを検査して侵入やポリシー違反を見つけるように設定できる、さまざまなコンポーネントが組み込まれています。これらのコンポーネントは、プロトコル ヘッダー値、ペイロード コンテンツ、および特定のパケット サイズの特性および他の詳細設定を検査する侵入ルールです。
侵入ポリシーをエクスポートすると、そのポリシーのすべての設定もエクスポートされます。たとえば、イベントを生成するルールを設定するように選択した場合、ルールの SNMP アラートを設定した場合、またはポリシーでセンシティブ データ プリプロセッサをオンにした場合は、エクスポートされるポリシー内にそれらの設定値が保持されます。カスタム ルール、カスタム ルールの分類、およびユーザ定義変数も、ポリシーとともにエクスポートされます。
レイヤを使用する侵入ポリシーをエクスポートする場合、そのレイヤが 2 番目の侵入ポリシーによって共有されているときは、エクスポートするポリシーにその共有レイヤがコピーされて、共有関係はなくなることに注意してください。侵入ポリシーを別のアプライアンスにインポートするときは、インポートするポリシーをニーズに合うように編集できます。レイヤの削除、追加、共有などができます。
1 つの ASA FirePOWER モジュールから別の Defense Center に侵入ポリシーをエクスポートする場合、2 つ目の ASA FirePOWER モジュールでデフォルト変数が別の設定になっている場合は、インポートされたポリシーの動作が異なる可能性があります。

(注) インポート/エクスポート機能を使用して、脆弱性調査チーム(VRT)が作成したルールを更新することはできません。代わりに、最新バージョンのルール更新をダウンロードして適用します。ルールの更新とローカル ルール ファイルのインポートを参照してください。
- システム ポリシー :システム ポリシーは、時間設定、SNMP 設定など、展開内の他の ASA FirePOWER モジュールに類似する可能性のあるASA FirePOWER モジュールの側面を制御します。

(注) エクスポートされる設定の数や、それらのオブジェクトが参照する設定の数によっては、エクスポート プロセスに数分かかる場合があります。
ステップ 1 設定のエクスポート元の ASA FirePOWER モジュールと設定のインポート先の ASA FirePOWER モジュールで、同じバージョンが稼働していることを確認します。侵入ポリシーまたはアクセス コントロール ポリシーをエクスポートする場合は、ルール更新のバージョンが一致することを確認します。
ASA FirePOWER モジュールのバージョン(および該当する場合はルール更新のバージョン)が一致しない場合、インポートは失敗します。
ステップ 2 [設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ツール(Tools)] > [インポート エクスポート(Import Export)] の順に選択します。
[インポート/エクスポート(Import/Export)] ページが表示され、ASA FirePOWER モジュール上の設定のリストが示されます。エクスポートする設定がない設定カテゴリは、このリストに表示されないことに注意してください。

ヒント 設定のリストは、設定タイプの横にある折りたたみアイコン(
)をクリックして折りたたむことができます。設定を確認するには、設定タイプの横にあるフォルダ展開アイコン(
)をクリックします。
ステップ 3 エクスポートする設定の横にあるチェック ボックスを選択して、[エクスポート(Export)] をクリックします。
ステップ 4 プロンプトに従って、エクスポートされたパッケージをコンピュータに保存します。
設定のインポート
アプライアンスから設定をエクスポートした後に、その設定が別のアプライアンスでもサポートされていれば、そのアプライアンスにインポートできます。
インポートしている設定のタイプに応じて、以下の点に注意する必要があります。
- 設定をインポートする ASA FirePOWER モジュールが、設定のエクスポートに使用した ASA FirePOWER モジュールと同じバージョンで実行していることを確認します。侵入ポリシーまたはアクセス コントロール ポリシーをインポートする場合は、両方のアプライアンスでルール更新のバージョンも一致している必要があります。バージョンが一致しない場合、インポートは失敗します。
- ゾーンに基づいてトラフィックを評価するアクセス コントロール ポリシーをインポートする場合は、インポートされたポリシー内のゾーンを、インポート先の ASA FirePOWER モジュールのゾーンにマッピングする必要があります。ゾーンをマッピングするときは、それらのタイプが一致している必要があります。したがって、インポートを開始する前に、インポート先の ASA FirePOWER モジュールで必要となるゾーン タイプを作成する必要があります。セキュリティ ゾーンの詳細については、セキュリティ ゾーンの操作を参照してください。
- 既存のオブジェクトやグループと同一の名前を持つオブジェクトやオブジェクト グループを含むアクセス コントロール ポリシーをインポートする場合は、オブジェクトやグループの名前を変更する必要があります。
- アクセス コントロール ポリシーや侵入ポリシーをインポートする場合、インポート プロセスによって、デフォルト変数セットに含まれる既存のデフォルト変数が、インポートされたデフォルト変数に置換されます。既存のデフォルト変数セットに、インポートされたカスタム変数セットに存在しないカスタム変数が含まれる場合、一意的な変数が保持されます。
- 侵入ポリシーをインポートするとき、その侵入ポリシーが 2 番目の侵入ポリシーの共有レイヤを使用していた場合は、エクスポート プロセスによって共有関係が切断されて、それまで共有されていたレイヤがパッケージにコピーされます。つまり、インポートされた侵入ポリシーに共有レイヤは含まれません。

(注) インポート/エクスポート機能を使用して、脆弱性調査チーム(VRT)が作成したルールを更新することはできません。代わりに、最新バージョンのルール更新をダウンロードして適用します。ルールの更新とローカル ルール ファイルのインポートを参照してください。
ASA FirePOWER モジュール1 つのパッケージで複数の設定をエクスポートできるため、パッケージのインポート時に、パッケージ内のどの設定をインポートするかを選択する必要があります。
設定をインポートしようとすると、ASA FirePOWER モジュールは、その設定がアプライアンスにすでに存在しているかどうかを判別します。競合がある場合は、以下の操作が可能です。
設定をインポートした後に、宛先システムで設定を変更してその設定を再インポートすると、保持する設定のバージョンを選択する必要があります。
インポートされる設定の数や、それらのオブジェクトが参照する設定の数によっては、インポート プロセスに数分かかる場合があります。
ステップ 1 設定のエクスポート元の ASA FirePOWER モジュールと設定のインポート先のモジュールで、同じバージョンが稼働していることを確認します。侵入ポリシーまたはアクセス コントロール ポリシーをインポートする場合は、ルール更新のバージョンが一致することも確認する必要があります。
ASA FirePOWER モジュールのバージョン(および該当する場合はルール更新のバージョン)が一致しない場合、インポートは失敗します。
ステップ 2 インポートする設定をエクスポートします。設定のエクスポートを参照してください。
ステップ 3 設定をインポートするアプライアンスで、[設定(Configuration)] > [ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [ツール(Tools)] > [インポート エクスポート(Import Export)] を選択します。
[インポート エクスポート(Import Export)] ページが表示されます。

ヒント 設定のリストを折りたたむには、設定タイプの横にある折りたたみアイコン(
)をクリックします。設定を確認するには、設定タイプの横にあるフォルダ展開アイコン(
)をクリックします。
ステップ 4 [パッケージのアップロード(Upload Package)] をクリックします。
[パッケージのアップロード(Upload Package)] ページが表示されます。
ステップ 6 [アップロード(Upload)] をクリックします。
- パッケージ内の設定が、アプライアンスにすでに存在するバージョンと正確に一致する場合、そのバージョンが存在することを示すメッセージが表示されます。アプライアンスに最新の設定が存在するので、それらをインポートする必要はありません。
- 使用するアプライアンスとパッケージのエクスポート元のアプライアンスとの間に、ASA FirePOWER モジュールまたは(該当する場合)ルール更新のバージョンの不一致がある場合、パッケージをインポートできないことを示すメッセージが表示されます。ASA FirePOWER モジュールまたはルール更新のバージョンを更新して、プロセスを再試行します。
- アプライアンスに存在しない設定やルールのバージョンがパッケージに含まれている場合、[パッケージのインポート(Package Import)] ページが表示されます。次の手順に進みます。
ステップ 7 インポートする設定を選択して、[インポート(Import)] をクリックします。
インポート プロセスが解決されて、以下のような結果になります。
- ASA FirePOWER モジュールに、インポートする設定の以前のリビジョンが存在しない場合、インポートは自動的に完了し、成功メッセージが表示されます。残りの手順は省略します。
- セキュリティ ゾーンを含むアクセス コントロール ポリシーをインポートする場合、[アクセス コントロール インポートの解決(Access Control Import Resolution)] ページが表示されます。ステップ 8 に進みます。
- インポートする設定に対してアプライアンスに以前のリビジョンが存在する場合、[インポートの解決(Import Resolution)] ページが表示されます。ステップ 9 に進みます。
ステップ 8 取り込まれる各セキュリティ ゾーンの横で、同じタイプの既存のローカル セキュリティ ゾーンをマップ先として選択し、[インポート(Import)] をクリックします。
ステップ 9 各設定を展開して、以下の該当するオプションを選択します。
クリーン リストまたはカスタム検出リストが有効になっているファイル ポリシーを含むアクセス コントロール ポリシーをインポートする場合、[新規としてインポート(Import as new)] オプションは使用できません。
ステップ 10 [インポート(Import)] をクリックします。