クラシックデバイス管理の要件と前提条件
モデルのサポート
手順に示されているクラシックモデル。
サポートされるドメイン
リーフ(特に明記のない場合)。
ユーザの役割
-
管理者
-
ネットワーク管理者
クラシック デバイス管理の基本
次のトピックでは、Firepower システムで従来型デバイス(ASA with Firepower Services、NGIPSv)を管理する方法について説明します。
リモート管理の設定(従来型デバイス)
従来のライセンスを使用するデバイスのリモート管理設定の詳細については、デバイスのクイック スタート ガイドを参照してください。
管理ポートの変更
アプライアンスは、双方向の SSL 暗号化通信チャネルを使用して通信します。このチャネルは、デフォルトではポート 8305 に位置します。
設定をデフォルトのままにすることを強く奨励します。管理ポートがネットワークでの他の通信と競合する場合には、他のポートを選択できます。通常、管理ポートの変更はインストール時に行います。
 注意 |
管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを変更する必要があります。 |
このタスクはグローバルドメインで実行する必要があります。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[管理インターフェイス(Management Interfaces)] をクリックします。 |
| ステップ 3 |
[共有設定(Shared Settings)] セクションで、[リモート管理ポート(Remote Management Port)] フィールドに使用するポート番号を入力します。 |
| ステップ 4 |
[保存(Save)] をクリックします。 |
次のタスク
このアプライアンスと通信する必要がある、展開環境内のすべてのアプライアンスについて、この手順を繰り返します。
インターフェイス構成時の設定
アプライアンス エディタの [インターフェイス(Interfaces)] ページには、詳細なインターフェイス設定情報が表示されます。このページは、物理ハードウェア ビューとインターフェイス テーブル ビューで構成されており、構成の詳細情報にドリルダウンできます。このページからインターフェイスを追加したり編集したりできます。
[インターフェイス(Interfaces)] ページ
インターフェイスページには、デバイスにあるすべてのインターフェイスが一覧表示されます。テーブル内のナビゲーション ツリーを展開すると、設定されているすべてのインターフェイスを表示できます。インターフェイスの横にある矢印アイコンをクリックして、インターフェイスを縮小または展開することで、サブコンポーネントの非表示/表示を切り替えることができます。このインターフェイス テーブル ビューには、各インターフェイスに関する要約情報も表示されます。
| フィールド | 説明 |
|---|---|
|
名前 |
各インターフェイス タイプは、タイプとリンク ステート(該当する場合)を示す固有のアイコンによって表されます。名前またはアイコンの上にポインタを置くと、追加情報を含むツールチップが表示されます。インターフェイス アイコンについては、インターフェイス アイコンを参照してください。 アイコンでは、インターフェイスの現在のリンク状態を示す表示方法が使用されています。次の 3 つの状態のいずれかが表示されます。
ASA FirePOWER モジュールはリンク状態を表示しません。無効化されたインターフェイスは、半透明のアイコンで表されます。 アイコンの右側に表示されるインターフェイス名は自動生成されます。ただし、 ASA FirePOWERインターフェイスの名前はユーザーが定義します。ASA FirePOWER インターフェイスについては、名前が付けられており、リンクを持つ有効なインターフェイスのみが表示されることに注意してください。 ASA FirePOWER インターフェイスでは、複数のセキュリティ コンテキストがある場合は、セキュリティ コンテキストの名前とインターフェイスの名前が表示されます。セキュリティ コンテキストが 1 つしかない場合は、インターフェイスの名前のみが表示されます。 |
|
セキュリティ ゾーン(Security Zone) |
インターフェイスが割り当てられているセキュリティ ゾーン。セキュリティゾーンを追加または編集するには、をクリックします。 |
|
[Used by](NGIPSv のみ) |
インターフェイスが割り当てられているインラインセット。 |
|
MAC アドレス(MAC Address) |
NGIPSv デバイスの場合、表示された MAC アドレスにより、デバイス上に設定されたネットワーク アダプタと、[インターフェイス(Interfaces)] ページに表示されるインターフェイスを対応させることができます。 |
インターフェイス アイコン
|
アイコン |
インターフェイスタイプ |
説明 |
参照先 |
|---|---|---|---|
|
パッシブ |
パッシブ |
パッシブ展開でトラフィックを分析するように設定されているセンシングインターフェイス。 |
|
|
インライン |
インライン |
インライン展開でトラフィックを処理するように設定されているセンシングインターフェイス。 |
|
|
ASA FirePOWER |
ASA FirePOWER |
ASA FirePOWER モジュールがインストールされた ASA デバイスに設定されているインターフェイス。 |
センシング インターフェイスの設定
アプライアンス エディタの [インターフェイス(Interfaces)] ページで、Firepower の展開に応じて、管理対象デバイスのセンシング インターフェイスを設定できます。管理対象デバイスには、合計 1024 個のインターフェイスを設定できることに注意してください。
 (注) |
Firepower Management Center では、ASA FirePOWER が SPAN ポート モードで展開されている場合、ASA インターフェイスを表示しません。 |
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
インターフェイスを設定するデバイスの横にあるをクリックします。 マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。 |
| ステップ 3 |
設定するインターフェイスの横にある をクリックします。 |
| ステップ 4 |
インターフェイス エディタを使用して、センシング インターフェイスを設定します。
|
| ステップ 5 |
[保存(Save)] をクリックします。 |
次のタスク
設定変更を展開します。設定変更の展開を参照してください。
インターフェイスの無効化
インターフェイス タイプを [なし(None)] に設定することで、インターフェイスを無効にすることができます。無効にされたインターフェイスは、インターフェイス リストでグレー表示されます。
この手順は NGIPSvに適用されます。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
インターフェイスを無効にするデバイスの横にあるをクリックします。 マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。 |
| ステップ 3 |
無効にするインターフェイスの横にあるをクリックします。 |
| ステップ 4 |
[なし(None)] をクリックします。 |
| ステップ 5 |
[保存(Save)] をクリックします。 |
次のタスク
-
設定変更を展開します。設定変更の展開を参照してください。
Cisco ASA FirePOWER インターフェイスの管理
ASA FirePOWER インターフェイスを編集する際に、Firepower Management Center から設定できるのは、インターフェイスのセキュリティ ゾーンのみです。
ASA FirePOWER インターフェイスを完全に設定するには、ASA 専用ソフトウェアおよび CLI を使用します。ASA FirePOWER およびスイッチを編集して、マルチ コンテキスト モードからシングル コンテキスト モード(またはその逆)に切り替えると、ASA FirePOWER はそのインターフェイスの名前をすべて変更します。ASA FirePOWER の更新されたインターフェイス名を使用するように、すべての Firepower System セキュリティ ゾーン、相関ルール、関連する設定を再設定する必要があります。ASA FirePOWER インターフェイスの設定の詳細については、ASA のマニュアルを参照してください。
(注) |
ASA FirePOWER インターフェイスのタイプは変更できません。また、Firepower Management Center からインターフェイスを無効にすることもできません。 |
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
インターフェイスを編集するデバイスの横にあるをクリックします。 マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。 |
| ステップ 3 |
インターフェイスが表示されていない場合は、[インターフェイス(Interfaces)] をクリックします。 |
| ステップ 4 |
編集するインターフェイスの横にあるをクリックします。 |
| ステップ 5 |
[セキュリティ ゾーン(Security Zone)] ドロップダウンリストから既存のセキュリティ ゾーンを選択するか、[新規(New)] を選択して新しいセキュリティ ゾーンを追加します。 |
| ステップ 6 |
[保存(Save)] をクリックして、セキュリティ ゾーンを設定します。 |
次のタスク
-
設定変更を展開します。設定変更の展開を参照してください。
NGIPSv の MTU 範囲
デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。
(注) |
システムは、設定された MTU 値から 18 バイトを切り捨てます。594 より小さい IPv4 MTU または 1298 より小さい IPv6 MTU を設定しないでください。 |
|
プラットフォーム |
MTU 範囲 |
|---|---|
|
NGIPSv |
576 ~ 9018(すべてのインターフェイス、インライン セット) |
セキュリティ ゾーン オブジェクトのリビジョンの同期
セキュリティ ゾーン オブジェクトを更新すると、システムはそのオブジェクトの新しいリビジョンを保存します。その結果、同じセキュリティゾーン内の管理対象デバイスに、インターフェイスで設定されたセキュリティオブジェクトの異なるリビジョンがある場合、接続が重複しているようなログが記録される可能性があります。
接続の重複が報告されていることに気づいた場合、同じリビジョンのオブジェクトを使用するよう、すべての管理対象デバイスを更新できます。
この手順は NGIPSvに適用されます。
手順
| ステップ 1 |
を選択します。 |
| ステップ 2 |
セキュリティゾーンの選択を更新するデバイスの横にある をクリックします。 マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。 |
| ステップ 3 |
重複する接続のイベントを記録しているインターフェイスのそれぞれについて、[セキュリティゾーン(Security Zone)] を別のゾーンに変更して [保存(Save)] をクリックした後、目的のゾーンに再び設定し、もう一度 [保存(Save)] をクリックします。 |
| ステップ 4 |
重複イベントを記録しているデバイスごとに、ステップ 2 から 3 を繰り返します。続行する前に、すべてのデバイスを編集する必要があります。 |
次のタスク
-
設定変更を展開します。設定変更の展開を参照してください。
注意 |
同期させるすべてのデバイスでインターフェイスのゾーン設定を編集するまでは、デバイスに設定変更を展開しないでください。すべての管理対象デバイスに同時に展開する必要があります。 |
フィードバック