バージョン 6.2.3.xに関するガイドラインと警告
このチェックリストには、バージョン 6.2.3.x パッチに適用される重要なアップグレード ガイドラインと警告が含まれています。また、一般的なガイドラインと警告 も確認してください。
✓ | ガイドライン | プラットフォーム | アップグレード元 | 直接アップグレード先 |
---|---|---|---|---|
FMC |
6.2.3-88 |
6.2.3.1 ~ 6.2.3.3 |
||
FDM を使用した FTD |
6.2.3 ~ 6.2.3.1 |
6.2.3.2 ~ 6.2.3.5 |
||
FMC を使用した FTD |
6.2.3 ~ 6.2.3.2 |
6.2.3.3 |
||
FTD |
6.2.3 ~ 6.2.3.9 |
6.2.3.10 のみ |
||
FMC/FMCv Firepower 7000/8000 シリーズ ASA FirePOWER NGIPSv |
6.2.3.x |
以降のパッチ |
||
任意(Any) |
6.2.3.x |
以降のパッチ |
バージョン 6.2.3 ~ 88 FMC をアップグレードする前のホットフィックス
展開:FMC
アップグレード元:バージョン 6.2.3 ~ 88
直接アップグレード先:バージョン 6.2.3.1、バージョン 6.2.3.2、またはバージョン 6.2.3.3
シスコは、Firepower のアップグレード パッケージの更新版ビルドを適宜リリースしています。バージョン 6.2.3 ~ 88 は、それ以降のビルドに置き換えられています。バージョン 6.2.3 ~ 88 を実行している FMC をバージョン 6.2.3.1、バージョン 6.2.3.2、またはバージョン 6.2.3.3 にアップグレードすると、SSE クラウド接続が継続的にドロップし、エラーが生成されます。パッチをアンインストールしても、この問題は解決しません。
バージョン 6.2.3 ~ 88 を実行している場合は、アップグレードの前にホットフィックス T をインストールします。
アップグレードにより CSSM から FTD/FDM を登録解除することが可能
展開:FDM を使用した FTD
アップグレード元:バージョン 6.2.3 または 6.2.3.1
直接アップグレード先:6.2.3.2 ~ 6.2.3.5
Firepower Device Manager によって管理されている Firepower Threat Defense デバイスをアップグレードすると、そのデバイスが Cisco Smart Software Manager から登録解除される場合があります。アップグレードが完了したら、ライセンスのステータスを確認します。
手順
ステップ 1 |
[デバイス(Device)] をクリックし、[スマートライセンス概要(Smart License summary)] の [設定の表示(View Configuration)] をクリックします。 |
ステップ 2 |
デバイスが登録されていない場合は、[Register Device] をクリックします。 |
バージョン 6.2.3.3 FTD デバイスをローカル管理に切り替えることは不可
展開:FMC を使用した FTD
アップグレード元:バージョン 6.2.3 ~ 6.2.3.2
直接アップグレード先:バージョン 6.2.3.3 のみ
バージョン 6.2.3.3 では、Firepower Threat Defense デバイスの管理を FMC から FDM に切り替えることはできません。この問題は、バージョン 6.2.3.3 パッチをアンインストールしても発生します。この時点でローカル管理に切り替える場合は、バージョン 6.2.3 を新しくインストールするか、Cisco TAC にお問い合わせください。
この問題を回避するには、6.2.3.3 のバージョンにアップグレードする前に管理を切り替えます。または、最新パッチにアップグレードします。管理を切り替えると、デバイス構成は失われます。
バージョン 6.2.3.3 では、FDM から FMC への管理の切り替えが可能であることに注意してください。
CC モードが有効になっているバージョン 6.2.3.10 FTD にアップグレードすると FSIC 障害が発生
展開: Firepower Threat Defense
アップグレード元:バージョン 6.2.3 ~ 6.2.3.9
直接アップグレード先:バージョン 6.2.3.10 のみ
既知の問題:CSCvo39052
CC モードを有効にして FTD デバイスをバージョン6.2.3.10 にアップグレードすると、デバイスの再起動時に FSIC(ファイル システム整合性チェック)が失敗します。
![]() 注意 |
FSIC が失敗したため、Firepower ソフトウェアは起動せず、リモート SSH アクセスが無効になり、ローカル コンソールを介してのみアプライアンスにアクセスできます。この問題が発生した場合は、Cisco TACにお問い合わせください。 |
FTD の展開にセキュリティ認定コンプライアンス(CC モード)が必要な場合は、バージョン 6.2.3.13 以降に直接アップグレードすることをお勧めします。Firepower 4100/9300 デバイスの場合は、FXOS 2.3.1.130+ にアップグレードすることも推奨します。
セキュリティ認定コンプライアンスが有効な状態でアンインストールすると FSIC 障害が発生
セキュリティ認定コンプライアンスが有効な状態(CC/UCAPL モード)でパッチを適用した場合、パッチをアンインストールすると、アプライアンスの再起動時に FSIC(ファイル システム整合性チェック)が失敗することがあります。
![]() 注意 |
FSIC が失敗したため、Firepower ソフトウェアは起動せず、リモート SSH アクセスが無効になり、ローカル コンソールを介してのみアプライアンスにアクセスできます。この問題が発生した場合は、Cisco TACにお問い合わせください。 |
以前のパッチに戻す場合は、メジャー バージョンを新規インストールしてから、必要なパッチにアップグレードする必要があります。アップグレードする前に外部の場所にバックアップすることをお勧めしていますが(このバックアップをサポートしているアプライアンスの場合)、これらのケースではバックアップは特に重要です。
プラットフォーム | アンインストール元 | アップグレード元が次の場合 |
---|---|---|
FMC/FMCv Firepower 7000/8000 シリーズ ASA FirePOWER NGIPSv |
6.2.3.7+ |
6.2.3 ~ 6.2.3.6 |
FMC/FMCv Firepower 7000/8000 シリーズ ASA FirePOWER NGIPSv |
6.2.3.11+ |
6.2.3 ~ 6.2.3.10 |
動的分析 CA 証明書のパッチ/ホットフィックス
展開:動的分析のためにファイルを送信する AMP for Networks(マルウェア検出)展開
影響を受けるバージョン:バージョン 6.0+
解決:CSCvj07038
2018 年 6 月 15 日、一部の Firepower 展開では、動的分析のためにファイルを送信できなくなりました。これは、AMP Threat Grid クラウドとの通信に必要だった CA 証明書が期限切れになったために発生しました。バージョン 6.3.0 は、新しい証明書を使用する最初のメジャー バージョンです。
![]() (注) |
バージョン 6.3.0+ にアップグレードしない場合は、新しい証明書を取得して動的分析を再度有効にするために、パッチまたはホットフィックスを適用する必要があります。ただし、その後、パッチまたはホットフィックスが適用された展開をバージョン 6.2.0 またはバージョン 6.2.3 にアップグレードすると、古い証明書に戻るため、パッチまたはホットフィックスを再度適用する必要があります。 |
パッチまたはホットフィックスを初めてインストールする場合は、ファイアウォールで、FMC とその管理対象デバイスの両方から fmc.api.threatgrid.com
(panacea.threatgrid.com
を置き換える)へのアウトバウンド接続が許可されていることを確認してください。管理対象デバイスは、動的分析のためにファイルをクラウドに送信します。FMC は結果を照会します。
次の表に、メジャー バージョン シーケンスとプラットフォームごとに、古い証明書を使用するバージョンと、新しい証明書を使用するパッチおよびホットフィックスを示します。パッチおよびホットフィックスは、Cisco サポートおよびダウンロード サイトで入手できます。リリース ノートについては、『Firepower Release Notes』を参照してください。
古い証明書を使用するバージョン | 新しい証明書を使用する最初のパッチ | 新しい証明書を使用するホットフィックス | |
---|---|---|---|
6.2.3 ~ 6.2.3.3 |
6.2.3.4 |
FTD デバイス |
|
FMC、NGIPS デバイス |
|||
6.2.2 ~ 6.2.2.3 |
6.2.2.4 |
すべてのプラットフォーム |
|
6.2.1 |
なし。アップグレードが必要です。 |
なし。アップグレードが必要です。 |
|
6.2.0 ~ 6.2.0.5 |
6.2.0.6 |
FTD デバイス |
|
FMC、NGIPS デバイス |
|||
6.1.0 ~ 6.1.0.6 |
6.1.0.7 |
すべてのプラットフォーム |
|
6.0.x |
なし。アップグレードが必要です。 |
なし。アップグレードが必要です。 |