デバイス管理の基本

次のトピックでは、Firepower システムでデバイスを管理する方法について説明します。

デバイス管理について

Firepower Management Center を使用してデバイスを管理します。

Firepower Management Center とデバイス管理について

Firepower Management Center がデバイスを管理するときは、デバイスとの間に、双方向の SSL 暗号化通信チャネルをセットアップします。Firepower Management Center はこのチャネルを使用して、そのデバイスへのネットワーク トラフィックの分析および管理の方法に関する情報をそのデバイスに送信します。そのデバイスはトラフィックを評価すると、イベントを生成し、同じチャネルを使用してそれらのイベントを Firepower Management Center に送信します。

Firepower Management Center を使用してデバイスを管理すると、以下の利点があります。

  • すべてのデバイスのポリシーを一箇所から設定できるため、設定の変更が容易になります。

  • さまざまなタイプのソフトウェア アップデートをデバイスにインストールできます。

  • 正常性ポリシーを管理対象デバイスに適用して、Firepower Management Center からデバイスのヘルス ステータスをモニターできます。

Firepower Management Center は、侵入イベント、ネットワーク検出情報、およびデバイスのパフォーマンス データを集約して相互に関連付けます。そのため、ユーザはデバイスが相互の関連でレポートする情報をモニタして、ネットワーク上で行われている全体的なアクティビティを評価することができます。

Firepower Management Center を使用することで、デバイス動作のほぼすべての側面を管理できます。


(注)  

Firepower Management Center は、http://www.cisco.com/c/en/us/support/security/defense-center/products-device-support-tables-list.html で使用可能な互換性マトリックスで指定されている特定の以前のリリースを実行しているデバイスを管理できますが、これらの以前のリリースのデバイスでは新しい機能は利用できません。

Firepower Management Center で管理できるデバイス

Firepower Management Center を Firepower システムの展開環境における中央の管理ポイントとして使用して、次の各デバイスを管理することができます。

  • ASA FirePOWER モジュール

  • NGIPSv デバイス

  • Firepower Threat Defense(物理ハードウェアと仮想)

デバイスを管理する際の情報は、SSL で暗号化されたセキュアな TCP トンネルを介して、Firepower Management Center とデバイスの間で送信されます。

次の図に、Firepower Management Center と管理対象デバイスの間で送信される情報をリストします。アプライアンス間で送信されるイベントとポリシーのタイプは、デバイス タイプに基づくことに注意してください。


Firepower Management Center とその管理対象デバイス間で渡される情報を示した図。ポリシーと設定の情報が、Firepower Management Center から管理対象デバイスに渡されます。イベント、ディスカバリ データ、およびデバイス統計が、管理対象デバイスから Firepower Management Center に渡されます。

ポリシーとイベント以外の機能

Firepower Management Center では、ポリシーをデバイスに展開したり、デバイスからイベントを受信するだけでなく、以下のデバイス関連のタスクも実行できます。

デバイスのバックアップ

NGIPSv デバイスや ASA FirePOWER モジュールのバックアップ ファイルを作成、復元することはできません

物理的な管理対象デバイス自体からそのバックアップを実行する場合は、デバイス設定のみをバックアップできます。設定データと統合ファイル(任意)をバックアップするには、管理 Firepower Management Center を使用してデバイスのバックアップを実行します。

イベント データをバックアップするには、管理 Firepower Management Center のバックアップを実行します。

デバイスの更新

シスコは適宜、Firepower システムの更新プログラムをリリースしています。これらのアップデートには以下が含まれます。

  • 侵入ルールの更新(新しいルールや更新された侵入ルールが含まれる場合があります)

  • 脆弱性データベース(VDB)の更新

  • 地理位置情報の更新

  • ソフトウェア パッチおよびアップデート

Firepower Management Center を使用して、管理対象デバイスに更新プログラムをインストールできます。

デバイス管理インターフェイスについて

各デバイスには FMC と通信するための専用の管理インターフェイスが 1 つ含まれています。

管理インターフェイスまたはコンソールポートで初期設定を実行できます。

管理インターフェイスは、スマート ライセンス サーバーとの通信、更新プログラムのダウンロード、その他の管理機能の実行にも使用します。

管理対象デバイスの管理インターフェイス

デバイスをセットアップするときに、接続先とする FMC の IP アドレスを指定します。初期登録時は、管理トラフィックとイベント トラフィックの両方がこのアドレスに送信されます。注:場合によっては、FMC が別の管理インターフェイスで初期接続を確立することがあります。その場合、以降の接続では指定した IP アドレスの管理インターフェイスを使用する必要があります。

FMC に別のイベント専用インターフェイスがある場合、ネットワークが許可する場合、管理対象デバイスは後続のイベントトラフィックを FMC イベント専用インターフェイスに送信します。さらに、一部の管理対象デバイスモデルには、イベント専用トラフィック用に構成できる追加の管理インターフェイスが含まれています。イベントネットワークがダウンすると、イベントトラフィックは、FMC および/または管理対象デバイスの通常の管理インターフェイスに戻ります。

デバイスモデルごとの管理インターフェイスのサポート

管理インターフェイスの場所については、ご使用のモデルのハードウェア インストレーションガイドを参照してください。


(注)  

Firepower 4100/9300 シャーシ の場合、MGMT インターフェイスは FTD の論理デバイスを管理するためではなく、シャーシを管理するために使用します。mgmt タイプ(または firepower-eventing タイプあるいはその両方)の別個の NIC インターフェイスを設定してから、そのインターフェイスを FTD 論理デバイスに割り当てる必要があります。


(注)  

シャーシ上の FTD の場合、物理管理インターフェイスは、診断論理インターフェイス(SNMP または syslog に利用できて、FMC でデータ インターフェイスと併せて設定されます)と、FMC 通信用の管理論理インターフェイスの間で共有されます。詳細については、管理/診断インターフェイスを参照してください。

管理対象デバイスの各モデルでサポートされる管理インターフェイスについては、以下の表を参照してください。

表 1. 管理対象デバイスでサポートされる管理インターフェイス

モデル

管理インターフェイス

オプションのイベント インターフェイス

NGIPSv

eth0

サポートなし

ASA5508-X、5516-X 上の ASA FirePOWER サービス モジュール

eth0

(注)   

eth0 は、管理 1/1 インターフェイスの内部名です。

サポートなし

ASA 5525-X ~ 5555-X 上の ASA FirePOWER サービスモジュール

eth0

(注)   

eth0 は、管理 0/0 インターフェイスの内部名です。

サポートなし

ISA 3000 上の ASA FirePOWER サービスモジュール

eth0

(注)   

eth0 は、管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower Threat Defense Firepower 1000 上

management0

(注)   

management0 は管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower 2100 上の Firepower Threat Defense

management0

(注)   

management0 は管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower 4100 および 9300 上の Firepower Threat Defense

management0

(注)   

management0 は、物理インターフェイス ID に関わらず、このインターフェイスの内部名です。

management1

(注)   

management1 は、物理インターフェイス ID に関わらず、このインターフェイスの内部名です。

ASA 、5508-X、5516-X 上の Firepower Threat Defense

br1

(注)   

br1 は、管理 1/1 インターフェイスの内部名です。

サポートなし

5525-X ~ 5555-X 上の Firepower Threat Defense

br1

(注)   

br1 は、管理 0/0 インターフェイスの内部名です。

サポートなし

ISA 3000 上の Firepower Threat Defense

br1

(注)   

br1 は、管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower Threat Defense Virtual

eth0

サポートなし

管理インターフェイス上のネットワークルート

管理インターフェイス(イベント専用インターフェイスを含む)は、リモート ネットワークに到達するためのスタティック ルートのみをサポートしています。管理対象デバイスをセットアップすると、セットアップ プロセスにより、指定したゲートウェイ IP アドレスへのデフォルトルートが作成されます。このルートを削除することはできません。また、このルートで変更できるのはゲートウェイ アドレスのみです。


(注)  

管理インターフェイスのルーティングは、データ インターフェイスに対して設定するルーティングとは完全に別のものです。

一部のプラットフォームでは、複数の管理インターフェイス(管理インターフェイスとイベント専用インターフェイス)を設定できます。デフォルト ルートには出力インターフェイスが含まれていないため、選択されるインターフェイスは、指定したゲートウェイ アドレスと、ゲートウェイが属するインターフェイスのネットワークによって異なります。デフォルト ネットワーク上に複数のインターフェイスがある場合、デバイスは出力インターフェイスとして番号の小さいインターフェイスを使用します。

リモートネットワークにアクセスするには、管理インターフェイスごとに 1 つ以上のスタティックルートを使用することをお勧めします。他のデバイスから FTD へのルーティングの問題など、潜在的なルーティングの問題を回避するために、各インターフェイスを個別のネットワークに配置することをお勧めします。同じネットワーク上のインターフェイスで問題が発生していない場合は、必ずスタティックルートを正しく設定してください。たとえば、management0 と management1 は両方とも同じネットワーク上にありますが、FMC 管理インターフェイスとイベントインターフェイスが異なるネットワーク上にあるとします。ゲートウェイは 192.168.45.1 です。management1 を 10.6.6.1/24 の FMC のイベント専用インターフェイスに接続する場合は、同じゲートウェイ192.168.45.1 を使用して management1 を介した10.6.6.0/24 のスタティックルートを作成できます。10.6.6.0/24 へのトラフィックは、デフォルトルートの前にこのルートに到達するため、management1 が想定どおりに使用されます。

別の例には、FMC と管理対象デバイスの両方に個別の管理インターフェイスとイベント専用インターフェイスが含まれています。イベント専用インターフェイスは、管理インターフェイスとは別のネットワーク上にあります。この場合は、リモート イベント専用ネットワーク宛てのトラフィック用にイベント専用インターフェイスを介してスタティック ルートを追加します。その逆も同様です。

NAT 環境

ネットワーク アドレス変換(NAT)とは、ルータを介したネットワーク トラフィックの送受信方式であり、送信元または宛先 IP アドレスの再割り当てが行われます。NAT の最も一般的な用途は、プライベート ネットワークがインターネットと通信できるようにすることです。スタティック NAT は 1:1 変換を実行し、デバイスとの FMC 通信に支障はありませんが、ポート アドレス変換(PAT)がより一般的です。PAT では、単一のパブリック IP アドレスと一意のポートを使用してパブリック ネットワークにアクセスできます。これらのポートは必要に応じて動的に割り当てられるため、PAT ルータの背後にあるデバイスへの接続は開始できません。

通常は、ルーティングと認証の両方の目的で両方の IP アドレス(登録キー付き)が必要です。デバイスを追加するときに、FMC がデバイスの IP アドレスを指定し、デバイスが FMC の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合(ルーティング目的の最小要件)は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。FMC およびデバイスでは、初期登録の認証と承認を行うために、登録キーおよび NAT ID(IP アドレスではなく)を使用します。

たとえば、デバイスを FMC に追加したときにデバイスの IP アドレスがわからない場合(たとえばデバイスが PAT ルータの背後にある場合)は、NAT ID と登録キーのみを FMC に指定します。IP アドレスは空白のままにします。デバイス上で、FMC の IP アドレス、同じ NAT ID、および同じ登録キーを指定します。デバイスが FMC の IP アドレスに登録されます。この時点で、FMC は IP アドレスの代わりに NAT ID を使用してデバイスを認証します。

NAT 環境では NAT ID を使用するのが最も一般的ですが、NAT ID を使用することで、多数のデバイスを簡単に FMC に追加することができます。FMC で、追加するデバイスごとに IP アドレスは空白のままにして一意の NAT ID を指定し、次に各デバイスで、FMC の IP アドレスと NAT ID の両方を指定します。注:NAT ID はデバイスごとに一意でなければなりません。

次の例に、PAT IP アドレスの背後にある 3 台のデバイスを示します。この場合、FMC とデバイスの両方でデバイスごとに一意の NAT ID を指定し、デバイス上の FMC の IP アドレスを指定します。

図 1. PAT の背後にある管理対象デバイスの NAT ID
PAT の背後にある管理対象デバイスの NAT ID

次の例に、PAT IP アドレスの背後にある FMC を示します。この場合、FMC とデバイスの両方でデバイスごとに一意の NAT ID を指定し、FMC 上のデバイスの IP アドレスを指定します。

図 2. PAT の背後にある FMC の NAT ID
PAT の背後にある FMC の NAT ID

管理およびイベント トラフィック チャネルの例

以下に、Firepower Management Center と管理対象デバイスでデフォルト管理インターフェイスのみを使用する例を示します。

図 3. Firepower Management Center 上で単一の管理インターフェイスを使用する場合

以下に、Firepower Management Center でデバイスごとに別個の管理インターフェイスを使用する例を示します。この場合、各管理対象デバイスが 1 つの管理インターフェイスを使用します。

図 4. Firepower Management Center 上の複数の管理インターフェイスを使用する場合

以下に、個別のイベント インターフェイスを使用する Firepower Management Center と管理対象デバイスの例を示します。

図 5. Firepower Management Center上の個別のイベント インターフェイスと管理対象デバイスを使用する場合

以下に、Firepower Management Center 上で複数の管理インターフェイスと個別のイベント インターフェイスが混在し、個別のイベント インターフェイスを使用する管理対象デバイスと単一の管理インターフェイスを使用する管理対象デバイスが混在する例を示します。

図 6. 管理インターフェイスとイベント インターフェイスを混在させて使用する場合

デバイス管理の要件と前提条件

モデルのサポート

すべての管理対象デバイス(手順に記載されている場合を除く)。

サポートされるドメイン

デバイスが存在するドメイン。

ユーザの役割

  • 管理者

  • ネットワーク管理者

CLI を使用した FTD 初期設定の実行

FTD CLI に接続して初期設定を実行します。これには、セットアップウィザードを使用した管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定の指定などが含まれます。専用の管理インターフェイスは、独自のネットワーク設定を持つ特別なインターフェイスです。FMC アクセスに管理インターフェイスを使用しない場合は、代わりに CLI を使用してデータインターフェイスを設定できます。また、FMC 通信の設定を行います。管理インターフェイスの設定のみを指定できます。データインターフェイスの設定は FMC で指定する必要があります。

始める前に

この手順は、Firepower 4100/9300 を除くすべての FTD デバイスに適用されます。

手順

ステップ 1

コンソールポートから、または管理インターフェイスへの SSH を使用して、FTD CLI に接続します。デフォルトで DHCP サーバーから IP アドレスが取得されます。ネットワーク設定を変更する場合は、切断されないようにコンソールポートを使用することを推奨します。

(Firepower 1000/2100)コンソールポートは FXOS CLI に接続します。SSH セッションは FTD CLI に直接接続します。
ステップ 2

ユーザー名 admin およびパスワード Admin123 でログインします。

(Firepower 1000/2100)コンソールポートで FXOS CLI に接続します。初めて FXOS にログインしたときは、パスワードを変更するよう求められます。このパスワードは、SSH の FTD ログインにも使用されます。

(注)   

パスワードがすでに変更されていて、パスワードがわからない場合は、デバイスを再イメージ化してパスワードをデフォルトにリセットする必要があります。再イメージ化の手順については、『FXOS troubleshooting guide』を参照してください。

例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#
ステップ 3

(Firepower 1000/2100)コンソールポートで FXOS に接続した場合は、FTD CLI に接続します。

connect ftd

例:


firepower# connect ftd
>
ステップ 4

FTD に初めてログインすると、エンドユーザーライセンス契約書(EULA)に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、CLI セットアップスクリプトが表示されます。

(注)   

設定をクリア(たとえば、イメージを再作成することにより)しないかぎり、CLI セットアップウィザードを繰り返すことはできません。ただし、これらの設定すべては、後から CLI で configure network コマンドを使用して変更できます。FTD のコマンドリファレンスを参照してください。

デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。

次のガイドラインを参照してください。

  • [Enter the IPv4 default gateway for the management interface]:data-interfaces 設定は、Firepower Device Manager 管理にのみ適用されます。FMC を使用するときは、管理 1/1 にゲートウェイ IP アドレスを設定する必要があります。「ネットワークの導入」の項に示されているエッジ展開の例では、内部インターフェイスは管理ゲートウェイとして機能します。この場合、ゲートウェイ IP アドレスを目的の内部インターフェイス IP アドレスに設定する必要があります。後で FMC を使用して内部 IP アドレスを設定する必要があります。

  • ネットワーク情報が変更された場合は再接続が必要:SSH で接続しているのに、初期セットアップでその IP アドレスを変更すると、接続が切断されます。新しい IP アドレスとパスワードで再接続してください。コンソール接続は影響を受けません。IP アドレスを変更すると管理上の DHCP サーバが無効になることにも注意してください。

  • [デバイスをローカルで管理しますか(Manage the device locally?)]:FMC を使用するには「no」を入力します。「yes」と答えると、代わりに Firepower Device Manager を使用することになります。また、Management 1/1 上の DHCP サーバーは、まだ無効になっていなかった場合は無効になることにも注意してください。

  • [ファイアウォールモードを設定しますか(Configure firewall mode?)]:初期設定でファイアウォールモードを設定することをお勧めします。初期設定後にファイアウォール モードを変更すると、実行コンフィギュレーションが消去されます。

例:


You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 

System initialization in progress.  Please stand by.
You must change the password for 'admin' to continue.
Enter new password: ********
Confirm new password: ********
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1
Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
DHCP Server Disabled
The DHCP server has been disabled. You may re-enable with configure network ipv4 dhcp-server-enable
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
DHCP Server Disabled
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ... 

Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>
ステップ 5

この FTD を管理する FMC を特定します。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]

  • {hostname | IPv4_address | IPv6_address | DONTRESOLVE}—Specifies either the FQDN or IP address of the FMC.FMC を直接アドレス指定できない場合は、DONTRESOLVE を使用します。また、nat_id も指定します。双方向の SSL 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス(FMC または FTD)に到達可能な IP アドレスが必要です。このコマンドで DONTRESOLVE を指定するには、FTD には到達可能な IP アドレスまたはホスト名が必要です。

  • reg_key:FTD を登録するときに FMC でも指定する任意のワンタイム登録キーを指定します。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。

  • nat_id:一方の側で到達可能な IP アドレスまたはホスト名が指定されていない場合は、FTD を登録するときに FMC にも指定する任意の一意のワンタイム文字列を指定します。FMC を DONTRESOLVE に設定した場合に必要です。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。この ID は、FMC に登録する他のデバイスには使用できません。

例:


> configure manager add MC.example.com 123456
Manager successfully configured.

FMC が NAT デバイスの背後にある場合は、次の例に示すように、一意の NAT ID とともに登録キーを入力し、ホスト名の代わりに DONTRESOLVE を指定します。

例:


> configure manager add DONTRESOLVE regk3y78 natid90
Manager successfully configured.

FTD が NAT デバイスの背後にある場合は、次の例に示すように、一意の NAT ID とともに FMC IP アドレスまたはホスト名を入力します。

例:


> configure manager add 10.70.45.5 regk3y78 natid56
Manager successfully configured.

次のタスク

デバイスを FMC に登録します。

FMC へのデバイスの追加

FMC に 1 つのデバイスを追加するには、ここに示す手順を実行します。冗長性やパフォーマンスのためにデバイスをリンクする場合、次の点を念頭に置いて、この手順を実行する必要があります。


(注)  

FMC ハイ アベイラビリティを確立したか、または確立する予定がある場合、デバイスをアクティブな(またはアクティブにする予定の)FMC にのみ追加します。ハイ アベイラビリティを確立すると、アクティブ FMC に登録されたデバイスが自動的にスタンバイに登録されます。

始める前に

  • デバイスを FMC の管理対象として設定します。次を参照してください。

  • FTD デバイスを追加する場合は、FMC をスマートライセンシングに登録する必要があります。有効な評価ライセンスで十分ですが、有効期限が切れると、正常に登録するまで新しいデバイスを追加できなくなります。

  • IPv4 を使用して登録した FMC とデバイスを IPv6 に変換する場合は、デバイスをいったん削除してから再登録する必要があります。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

[追加(Add)] ドロップダウンメニューから、[デバイス(Device)] を選択します。

ステップ 3

[ホスト(Host)] フィールドに、追加するデバイスの IP アドレスまたはホスト名を入力します。

デバイスのホスト名は、完全修飾ドメイン名またはローカル DNS で有効な IP アドレスに解決される名前です。ネットワークで IP アドレスの割り当てに DHCP を使用している場合は、IP アドレスではなく、ホスト名を使用します。

NAT 環境では、FMC の管理対象としてデバイスを設定するときに FMC の IP アドレスまたはホスト名をすでに指定した場合、デバイスの IP アドレスまたはホスト名を指定する必要がない場合があります。詳細については、NAT 環境を参照してください。

ステップ 4

[表示名(Display Name)] フィールドに、FMC でのデバイスの表示名を入力します。

ステップ 5

[登録キー(Registration Key)] フィールドに、FMC の管理対象としてデバイスを設定したときに使用したのと同じ登録キーを入力します。登録キーは、1 回限り使用可能な共有シークレットです。キーには、英数字とハイフン(-)を含めることができます。

ステップ 6

マルチドメイン展開では、現在のドメインに関係なく、デバイスをリーフ ドメインに割り当てます。

現在のドメインがリーフ ドメインである場合、デバイスは自動的に現在のドメインに追加されます。現在のドメインがリーフ ドメインでない場合、登録後、デバイスを設定するために、リーフ ドメインに切り替える必要があります。

ステップ 7

必要に応じて、デバイスをデバイス グループに追加します。

ステップ 8

登録後すぐに、デバイスに展開する最初の [アクセス コントロール ポリシー(Access Control Policy)] を選択するか、新しいポリシーを作成します。

デバイスが選択したポリシーに適合しない場合、展開は失敗します。この不適合には、複数の要因が考えられます。たとえば、ライセンスの不一致、モデルの制限、パッシブとインラインの問題、その他の構成ミスなどです。この障害の原因を解決した後、デバイスに手作業で設定を行います。

ステップ 9

デバイスに適用するライセンスを選択します。

スマートライセンスを使用するように FMC を登録した場合、このダイアログボックスには使用可能なスマートライセンスのみが表示されます。

スマート ライセンス

展開する機能に必要なスマートライセンスを割り当てます。

  • マルウェア(AMP マルウェアインスペクションを使用する予定の場合)

  • 脅威(侵入防御を使用する予定の場合)

  • URL(カテゴリベースの URL フィルタリングを実装する予定の場合)

(注)   

デバイスを追加した後、[システム(System)] > [ライセンス(Licenses)] > [スマートライセンス(Smart Licenses)] ページから AnyConnect リモートアクセス VPN のライセンスを適用できます。

従来のライセンス

スマートライセンスを使用するように FMC を登録した場合、このダイアログボックスには使用可能なスマートライセンスのみが表示されます。クラッシックライセンスの場合は、[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [ライセンス(License)] 領域に移動してライセンスを割り当てます。

  • コントロール、マルウェア、URL フィルタリングライセンスには、保護ライセンスが必要です。
ステップ 10

デバイスの設定時に NAT ID を使用した場合は、[詳細(Advanced)] セクションを展開し、[一意の NAT ID(Unique NAT ID)] フィールドに同じ NAT ID を入力します。NAT ID には、英数字とハイフン(-)を含めることができます。

ステップ 11

[パケットの転送(Transfer Packets)] チェックボックスをオンにし、デバイスで Firepower Management Center にパケットを転送することを許可します。

このオプションは、デフォルトで有効です。このオプションを有効にして IPS や Snort などのイベントがトリガーされた場合は、デバイスが検査用としてイベント メタデータ情報とパケット データを FMC に送信します。このオプションを無効にした場合は、イベント情報だけが FMC に送信され、パケット データは送信されません。

ステップ 12

[登録(Register)] をクリックします。

FMC がデバイスのハートビートを確認して通信を確立するまでに、最大 2 分かかる場合があります。登録が成功すると、デバイスがリストに追加されます。失敗した場合は、エラーメッセージが表示されます。デバイスの登録に失敗した場合は、次の項目を確認してください。

  • ping:デバイスの CLI にアクセスし、次のコマンドを使用して FMC の IP アドレスへの ping を実行します。

    ping system ip_address

    ping が成功しない場合は、show network コマンドを使用してネットワーク設定を確認します。デバイスの IP アドレスを変更する必要がある場合は、configure network {ipv4 | ipv6} manual コマンドを使用します。

  • 登録キー、NAT ID、および FMC の IP アドレス:両方のデバイスで同じ登録キーを使用していることを確認し、使用している場合は NAT ID を使用していることを確認します。configure manager add コマンドを使用して、デバイスで登録キーと NAT ID を設定することができます。

トラブルシューティングの詳細については、https://cisco.com/go/fmc-reg-error を参照してください。

FMC からのデバイスの削除

デバイスを管理する必要がなくなった場合、FMC からそのデバイスを削除できます。デバイスを削除すると、以下のようになります。

  • FMC とそのデバイスとの間のすべての通信が切断されます。

  • [デバイス管理(Device Management)] ページからデバイスが削除されます。

  • プラットフォーム設定ポリシーで、NTP を使用して FMC から時間を受信するようにデバイスが設定されている場合は、デバイスがローカル時間管理に戻されます。

FMCからデバイスを削除した後:

  • FMC から削除した後も、FTD はトラフィックを処理し続けます。

    • NAT や VPN などのポリシー、ACL、およびインターフェイス構成は維持されます。

  • 同じまたは別の FMCFTD を再度登録すると、FTD の構成が FTD から削除されます。

    • 登録時に選択された ACL は以前の ACL に置き換わり、インターフェイス構成は維持されます。

  • デバイスを後者で管理するには、デバイスを FMC に再度追加します。


(注)  
デバイスを削除し、再び追加すると、FMC Web インターフェイスによって、アクセス コントロール ポリシーを再適用するよう求められます。ただし、登録時に NAT と VPN ポリシーを再適用するオプションはありません。以前に適用された NAT または VPN 設定はすべて登録時に削除されるため、登録が完了した後に再適用する必要があります。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

削除するデバイスの横にある をクリックします。

ステップ 3

デバイスを削除することを確認します。

デバイス グループの追加

Firepower Management Center でデバイスをグループ化すると、複数のデバイスへのポリシーの展開やアップデートのインストールを簡単に行えます。グループに属するデバイスのリストは、展開または縮小表示できます。

マルチドメイン展開では、リーフ ドメイン内でのみデバイス グループを作成できます。Firepower Management Center をマルチテナンシー向けに設定すると既存のデバイス グループは削除されます。デバイス グループはリーフ ドメイン レベルで再度追加できます。

ハイ アベイラビリティ ペア内のプライマリ デバイスをグループに追加すると、両方のデバイスがグループに追加されます。ハイ アベイラビリティ ペアを分解しても、これらのデバイスは両方ともグループに属したままになります。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

[追加(Add)] ドロップダウン メニューから、[グループの追加(Add Group)] を選択します。

既存のグループを編集するには、編集するグループのをクリックします。

ステップ 3

名前を入力します。

ステップ 4

[使用可能なデバイス(Available Devices)] から、デバイス グループに追加するデバイスを 1 つ以上選択します。複数のデバイスを選択する場合は、Ctrl または Shift キーを押しながらクリックします。

ステップ 5

[追加(Add)] をクリックして、選択したデバイスをデバイス グループに追加します。

ステップ 6

必要に応じて、デバイスグループからデバイスを削除するには、削除するデバイスの横にあるをクリックします。

ステップ 7

[OK] をクリックして、デバイス グループを追加します。

デバイス設定の構成

デバイスを追加したら、デバイスの [デバイス(Device)] ページでいくつかの設定を構成できます。

システム シャットダウンの管理

スマートライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス

任意

任意

すべて(ASA FirePOWER を除く)

リーフのみ

Admin/Network Admin


(注)  

Firepower システムのユーザ インターフェイスでは、ASA FirePOWER のシャットダウンまたは再起動はできません。それぞれのデバイスをシャット ダウンする方法の詳細については、ASA の資料を参照してください。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

再起動するデバイスの横にある をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[デバイス(Device)] をクリックします。

ステップ 4

デバイスをシャットダウンするには、[システム(System)] セクションで デバイスのシャットダウン([デバイスのシャットダウン(shut down device)] アイコン [デバイスのシャットダウン(shut down device)] アイコン) をクリックします。

ステップ 5

プロンプトが表示されたら、デバイスのシャットダウンを確認します。

ステップ 6

デバイスを再起動するには、デバイスの再起動[デバイスの再起動(restart device)] アイコン をクリックします。

ステップ 7

プロンプトが表示されたら、デバイスを再起動することを確認します。

管理設定の編集

[管理(Management)] エリアで管理設定を編集できます。

FMC でのホスト名または IP アドレスの更新

(デバイスの CLI を使用するなどして)デバイスを FMC に追加した後にそのデバイスのホスト名または IP アドレスを編集する場合は、次の手順を使用して管理側の FMC のホスト名または IP アドレスを手動で更新する必要があります。

デバイスのデバイス管理 IP アドレスを変更するには、デバイス管理インターフェイスの CLI での変更を参照してください。

手順
ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

管理オプションを変更するデバイスの横にある をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[Device] をクリックし、[Management] 領域を表示します。

ステップ 4

スライダ [無効なスライダ(slider disabled)] をクリックして管理を一時的に無効化します。

管理の無効化を続行するように求められます。 [Yes] をクリックします。

管理を無効化すると、Firepower Management Center とデバイス間の接続がブロックされますが、Firepower Management Center からデバイスは削除されません
ステップ 5

をクリックして [Host] の IP アドレスまたはホスト名を編集します。

ステップ 6

[管理(Management)] ダイアログボックスで、[ホスト(Host)] フィールドの名前または IP アドレスを変更し、[保存(Save)] をクリックします。

ステップ 7

スライダをクリックして管理を再度有効 [有効なスライダ(slider enabled)] にします。

デバイス管理インターフェイスの CLI での変更

CLI を使用して、管理対象デバイスの管理インターフェイスの設定を変更します。これらの設定の多くは、初期セットアップ時に設定されたものです。この手順に従うことで、それらの設定を変更でき、さらに設定を追加できます(例:モデルでサポートされる場合にイベント インターフェイスを有効化する、スタティック ルートを追加する)。

FTD CLI の詳細については、FTD のコマンドリファレンスを参照してください。

クラシック デバイス CLI の詳細については、このガイドの従来型デバイスのコマンド ライン リファレンスを参照してください。

FTD およびクラシック デバイスは、管理インターフェイス設定に同じコマンドを使用します。その他のコマンドは、プラットフォーム間で異なる可能性があります。


(注)  

SSH を使用する際は、慎重に管理インターフェイスに変更を加えてください。構成エラーで再接続できなくなると、デバイスのコンソール ポートへのアクセスが必要になります。

(注)  

デバイス管理 IP アドレスを変更する場合は、configure manager add コマンド(新しい FMC の識別を参照)を使用してデバイスの初期設定時に FMC を特定した方法に応じて、FMC 接続に関する次のタスクを参照してください。

  • IP アドレスアクションなし。到達可能な IP アドレスを使用して FMC を特定した場合、管理接続は数分後に自動的に再確立されます。情報の同期を維持するために、FMC に表示されるデバイス IP アドレスも変更することを推奨します。FMC でのホスト名または IP アドレスの更新を参照してください。このアクションは、接続の再確立を高速化するのに役立ちます。:到達不能な FMC IP アドレスを指定した場合は、以下の NAT ID の手順を参照してください。

  • NAT IDのみ接続を手動で再確立。NAT ID のみを使用して FMC を識別した場合、接続は自動的に再確立されません。この場合、FMC でのホスト名または IP アドレスの更新に従って FMC のデバイス管理 IP アドレスを変更します。


(注)  

ハイアベイラビリティ構成では、登録された Firepower デバイスの管理 IP アドレスをデバイスの CLI または FMC から変更した場合、HA 同期後も、セカンダリ FMC には変更が反映されません。セカンダリ FMC も更新されるようにするには、2 つの FMC の間でロールを切り替えて、セカンダリ FMC をアクティブユニットにします。現在アクティブな FMC のデバイス管理のページで、登録されている Firepower デバイスの管理 IP アドレスを変更します。

始める前に

  • Firepower Threat Defense デバイスでは、 configure user add コマンドを使用して CLI にログイン可能なユーザー アカウントを作成できます。次を参照してください:CLI での内部ユーザーの追加SSH の外部認証の設定に従って AAA ユーザーを設定することもできます。

手順
ステップ 1

コンソール ポートから、または SSH を使用して、デバイス CLI に接続します。

FTD デバイスのコマンドライン インターフェイスへのログインまたは ASA FirePOWERおよび NGIPSv デバイスの CLI へのログインを参照してください。
ステップ 2

管理者のユーザー名とパスワードでログインします。
ステップ 3

(Firepower 4100/9300 のみ)イベント専用インターフェイスを有効にします。

configure network management-interface enable management1

configure network management-interface disable-management-channel management1

例:

> configure network management-interface enable management1
Configuration updated successfully

> configure network management-interface disable-management-channel management1
Configuration updated successfully

>

Firepower Management Center イベント専用インターフェイスは管理チャネルのトラフィックを受け入れることができないので、デバイス イベント インターフェイスで管理チャネルを単に無効にしてください。

必要に応じて、configure network management-interface disable-events-channel コマンドを使用して管理インターフェイスのイベントを無効にできます。いずれの場合も、デバイスは、イベントのみのインターフェイス上でイベントを送信しようとします。そのインターフェイスがダウンしていた場合は、イベント チャネルが無効になっていても、管理インターフェイス上でイベントを送信します。

インターフェイス上でイベント チャネルと管理チャンネルの両方を無効にすることはできません。
ステップ 4

管理インターフェイスまたはイベント インターフェイスのネットワーク設定をします。

management_interface 引数を指定しない場合は、デフォルトの管理インターフェイスのネットワーク設定を変更します。イベント インターフェイスを設定する際は、必ず management_interface 引数を指定してください。イベント インターフェイスは、管理インターフェイスの個別のネットワーク、または同じネットワークに配置できます。自分で設定するインターフェイスに接続すると、切断されます。新しい IP アドレスに再接続できます。

  1. IPv4 アドレスを設定します。

    • 手動設定

      configure network ipv4 manual ip_address netmask gateway_ip [management_interface]

      このコマンド内の gateway_ip は、デバイスのデフォルトルートを作成するために使用されることに注意してください。イベント専用インターフェイスを設定する場合は、コマンドの一部として gateway_ip を入力する必要があります。ただし、このエントリは、指定した値にデフォルトルートを設定するだけで、イベントインターフェイスの個別のスタティックルートは作成しません。管理インターフェイスと別のネットワークでイベント専用インターフェイスを使用している場合は、管理インターフェイスと共に使用するように gateway_ip を設定し、configure network static-routes コマンドを使用してイベント専用インターフェイス用に個別にスタティックルートを作成することを推奨します。

      例:

      
> configure network ipv4 manual 10.10.10.45 255.255.255.0 10.10.10.1 management1
Setting IPv4 network configuration.
Network settings changed.

>

    • DHCP(デフォルト管理インターフェイスのみでサポート)。

      configure network ipv4 dhcp

  2. IPv6 アドレスを設定します。

    • ステートレス自動設定

      configure network ipv6 router [management_interface]

      例:

      
> configure network ipv6 router management0
Setting IPv6 network configuration.
Network settings changed.

>

    • 手動設定

      configure network ipv6 manual ip6_address ip6_prefix_length [ip6_gateway_ip] [management_interface]

      このコマンド内の ipv6_gateway_ip は、デバイスのデフォルトルートを作成するために使用されることに注意してください。イベント専用インターフェイスを設定する場合は、コマンドの一部として ipv6_gateway_ip を入力する必要があります。ただし、このエントリは、指定した値にデフォルトルートを設定するだけで、イベントインターフェイスの個別のスタティックルートは作成しません。管理インターフェイスと別のネットワークでイベント専用インターフェイスを使用している場合は、管理インターフェイスと共に使用するように ipv6_gateway_ip を設定し、configure network static-routes コマンドを使用してイベント専用インターフェイス用に個別にスタティックルートを作成することを推奨します。

      例:

      
> configure network ipv6 manual 2001:0DB8:BA98::3210 64 management1
Setting IPv6 network configuration.
Network settings changed.

>

    • DHCPv6(デフォルト管理インターフェイスのみでサポート)。

      configure network ipv6 dhcp

ステップ 5

IPv6 の場合、ICMPv6 エコー応答と宛先到達不能メッセージを有効または無効にします。デフォルトでは、これらのメッセージは有効になっています。

configure network ipv6 destination-unreachable {enable | disable}

configure network ipv6 echo-reply {enable | disable}

これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。

例:

> configure network ipv6 destination-unreachable disable
> configure network ipv6 echo-reply disable
ステップ 6

FTD のみ)デフォルト管理インターフェイスの DHCP サーバーが、接続されているホストに IP アドレスを提供することを可能にします。

configure network ipv4 dhcp-server-enable start_ip_address end_ip_address

例:

> configure network ipv4 dhcp-server-enable 10.10.10.200 10.10.10.254
DHCP Server Enabled

>

管理インターフェイスの IP アドレスを手動で設定するときにのみ、DHCP サーバーを設定できます。このコマンドは、Firepower Threat Defense Virtual ではサポートされません。DHCP サーバーのステータスを表示するには、show network-dhcp-server を入力します。 


> show network-dhcp-server
DHCP Server Enabled
10.10.10.200-10.10.10.254
ステップ 7

Firepower Management Center がリモート ネットワーク上にある場合は、イベント専用インターフェイスのスタティック ルートを追加します。追加しないと、すべてのトラフィックが管理インターフェイスを通じてデフォルト ルートと一致します。

configure network static-routes {ipv4 | ipv6}add management_interface destination_ip netmask_or_prefix gateway_ip

デフォルト ルートの場合は、このコマンドを使用しないでください。デフォルト ルート ゲートウェイの IP アドレスの変更は、configure network ipv4 コマンドまたは ipv6 コマンドを使用した場合のみ可能です(ステップ 4 を参照)。

ルーティングの詳細については、管理インターフェイス上のネットワークルートを参照してください。

例:

> configure network static-routes ipv4 add management1 192.168.6.0 255.255.255.0 10.10.10.1
Configuration updated successfully

> configure network static-routes ipv6 add management1 2001:0DB8:AA89::5110 64 2001:0DB8:BA98::3211
Configuration updated successfully

>

スタティック ルートを表示するには、show network-static-routes を入力します(デフォルト ルートは表示されません)。 


> show network-static-routes
---------------[ IPv4 Static Routes ]---------------
Interface                 : management1
Destination               : 192.168.6.0
Gateway                   : 10.10.10.1
Netmask                   : 255.255.255.0
[…]
ステップ 8

ホスト名の設定

configure network hostname name

例:

> configure network hostname farscape1.cisco.com

Syslog メッセージは、再起動するまで新しいホスト名を反映しません。
ステップ 9

検索ドメインを設定します。

configure network dns searchdomains domain_list

例:

> configure network dns searchdomains example.com,cisco.com

カンマで区切ったデバイスの検索ドメインを設定します。これらのドメインは、コマンド(ping system など)に完全修飾ドメイン名を指定しない場合にホスト名に追加されます。ドメインは、管理インターフェイスまたは管理インターフェイスを経由するコマンドでのみ、使用されます。

ステップ 10

カンマで区切った 3 つの DNS サーバーを設定します。

configure network dns servers dns_ip_list

例:

> configure network dns servers 10.10.6.5,10.20.89.2,10.80.54.3
ステップ 11

FMC で通信のリモート管理ポートを設定します。

configure network management-interface tcpport number

例:

> configure network management-interface tcpport 8555

FMC および管理対象デバイスは、双方向の SSL 暗号化通信チャネル(デフォルトではポート 8305)を使用して通信します。

(注)   

シスコは、リモート管理ポートをデフォルト設定のままにしておくことを強く推奨していますが、管理ポートがネットワーク上の他の通信と競合する場合は、別のポートを選択できます。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのデバイスの管理ポートを変更する必要があります。

ステップ 12

HTTP プロキシを設定します。デバイスは、ポート TCP/443(HTTPS)および TCP/80(HTTP)でインターネットに直接接続するように設定されています。HTTP ダイジェスト経由で認証できるプロキシ サーバを使用できます。コマンド発行後に、HTTP プロキシのアドレスとポート、プロキシの認証が必要かどうかをユーザーは尋ねられます。認証が必要な場合はプロキシのユーザー名、プロキシのパスワード、およびプロキシのパスワードの確認を入力するよう要求されます。

(注)   
Cisco Firepower Threat Defense のプロキシ パスワードの場合は、使用できる文字は A ~ Z、a ~ z、および 0 ~ 9 のみです。

configure network http-proxy

例:

> configure network http-proxy
Manual proxy configuration
Enter HTTP Proxy address: 10.100.10.10
Enter HTTP Proxy Port: 80
Use Proxy Authentication? (y/n) [n]: Y
Enter Proxy Username: proxyuser
Enter Proxy Password: proxypassword
Confirm Proxy Password: proxypassword
ステップ 13

デバイス管理 IP アドレスを変更する場合は、configure manager add コマンド(新しい FMC の識別を参照)を使用してデバイスの初期設定時に FMC を特定した方法に応じて、FMC 接続に関する次のタスクを参照してください。

  • IP アドレスアクションなし。到達可能な IP アドレスを使用して FMC を特定した場合、管理接続は数分後に自動的に再確立されます。情報の同期を維持するために、FMC に表示されるデバイス IP アドレスも変更することを推奨します。FMC でのホスト名または IP アドレスの更新を参照してください。このアクションは、接続の再確立を高速化するのに役立ちます。:到達不能な FMC IP アドレスを指定した場合は、FMC でのホスト名または IP アドレスの更新 を使用して手動で接続を再確立する必要があります。

  • NAT IDのみ接続を手動で再確立。NAT ID のみを使用して FMC を識別した場合、接続は自動的に再確立されません。この場合、FMC でのホスト名または IP アドレスの更新に従って FMC のデバイス管理 IP アドレスを変更します。

全般設定の編集

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。 

ステップ 2

変更するデバイスの横にある をクリックします。 

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[Device] をクリックします。 

ステップ 4

[General] セクションで、 をクリックします。 

ステップ 5

[Name] に、管理対象デバイスの名前を入力します。 

ステップ 6

[Transfer Packets] 設定を変更します。

  • パケット データをイベントと一緒に Firepower Management Center に保存できるようにするには、[Transfer Packets] チェックボックスをオンにします。 
  • 管理対象デバイスがイベントと一緒にパケット データを送信できないようにするには、このチェック ボックスをオフにします。 
ステップ 7

[Force Deploy] をクリックし、デバイスに現在のポリシーとデバイス設定の展開を強制します。 

(注)   

強制展開は、FTD に展開されるポリシールールの完全な生成をともなうため、通常の展開よりも時間がかかります。
ステップ 8

[Deploy] をクリックします。 

次のタスク

別のデバイスへの構成のコピー

新しいデバイスをネットワークに展開する場合、新しいデバイスを手動で再設定する代わりに、事前設定されているデバイスの設定とポリシーを簡単にコピーすることができます。
始める前に

次の項目を確認します。

  • 送信元と宛先の Firepower Threat Defense デバイスが同じモデルであり、同じバージョンの Firepower ソフトウェアを実行している。

  • 送信元がスタンドアロン Firepower Threat Defense デバイスまたは Firepower Threat Defense 高可用性ペアである。

  • 宛先のデバイスがスタンドアロン Firepower Threat Defense デバイスである。

  • 送信元と宛先の Firepower Threat Defense デバイスに同じ数の物理インターフェイスがある。

  • 送信元と宛先の Firepower Threat Defense デバイスが同じファイアウォール モード(ルーテッドまたはトランスペアレント)になっている。

  • 送信元と宛先の Firepower Threat Defense デバイスが同じセキュリティ認定コンプライアンス モードになっている。

  • 送信元と宛先の Firepower Threat Defense デバイスが同じドメインにある。

  • 送信元または宛先 Firepower Threat Defense デバイスのいずれでも設定の展開が進行中ではない。

モデルのサポートFTD

手順
ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

変更するデバイスの横にある をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[デバイス(Device)] をクリックします。

ステップ 4

[全般(General)] セクションで、次のいずれかの操作を実行します。

  • デバイス設定の取得[デバイス設定の取得(get device configuration)] アイコン をクリックして、別のデバイスのデバイス設定を新しいデバイスにコピーします。[デバイス設定の取得(Get Device Configuration)] ページの [デバイスの選択(Select Device)] ドロップダウン リストで、送信元デバイスを選択します。
  • デバイス設定のプッシュ[デバイス設定のプッシュ(push device configuration)] アイコン をクリックして、現在のデバイスのデバイス設定を新しいデバイスにコピーします。[デバイス設定のプッシュ(Push Device Configuration)] ページの [ターゲット デバイス(Target Device)] ドロップダウン リストで、設定をコピーする宛先を選択します。
ステップ 5

(オプション)[共有ポリシーの設定を含める(Include shared policies configuration)] チェックボックスをオンにして、ポリシーをコピーします。

AC ポリシー、NAT、プラットフォーム設定、および FlexConfig ポリシーなどの共有ポリシーは、複数のデバイス間で共有できます。

ステップ 6

[OK] をクリックします。

デバイス設定のコピータスクのステータスは、メッセージセンターの [タスク(Tasks)] でモニターできます。

デバイス設定のコピー タスクが開始されると、ターゲット デバイスの設定が削除され、送信元デバイスの設定が宛先のデバイスにコピーされます。

警告
デバイス設定のコピー タスクの完了後に、ターゲット デバイスを元の設定に戻すことはできません。

ライセンス設定の編集

Firepower Management Center で使用可能なライセンスがある場合、デバイスでそのライセンスを有効にすることができます。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

ライセンスを有効または無効にするデバイスの横にあるをクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[デバイス(Device)] をクリックします。

ステップ 4

[ライセンス(License)] セクションで、をクリックします。

ステップ 5

管理対象デバイスに対して有効または無効にするライセンスの横にあるチェックボックスをオンまたはオフにします。

ステップ 6

[保存(Save)] をクリックします。

次のタスク

詳細設定の編集

次のトピックでは、デバイスの詳細設定を編集する方法について説明します。


(注)  

[パケットの転送(Transfer Packets)] 設定については、全般設定の編集を参照してください。

自動アプリケーションバイパスの設定

自動アプリケーションバイパス(AAB)を使用すると、Snort がダウンしている場合やパケットの処理に時間がかかりすぎる場合に、パケットが検出をバイパスできます。AAB により、Snort は障害から 10 分以内に再起動ます。また、Snort 障害の原因を調査するために分析できるトラブルシューティング データが生成されます。


注意    

AAB のアクティブ化は、いくつかのパケットのインスペクションを一時的に中断する Snort プロセスを部分的に再起動します。 この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。詳細はSnort® の再起動によるトラフィックの動作を参照してください。

AAB は、インターフェイスを介してパケットを処理するために許可される時間を制限します。パケット処理の遅延は、ネットワークで許容できるパケット レイテンシとバランスを取って調整します。

この機能は任意の展開で使用できますが、インライン展開ではとりわけ価値があります。

一般に、遅延しきい値を超えた後は、高速パス パケットに対して侵入ポリシーの [ルール遅延しきい値(Rule Latency Thresholding)] を使用します。[ルール遅延しきい値(Rule Latency Thresholding)] により、エンジンがシャットダウンされたり、トラブルシューティング データが生成されることはありません。

検出がバイパスされると、デバイスがヘルス モニタリング アラートを生成します。

AAB はデフォルトで無効になっています。AAB を有効にするには、次の手順を実行します。

手順
ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

詳細設定を編集するデバイスの横にある をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[デバイス(Devices)] をクリックし、[詳細(Advanced)] セクションの をクリックします。

ステップ 4

[自動アプリケーション バイパス(Automatic Application Bypass)] をオンにします。
ステップ 5

[バイパスしきい値(Bypass Threshold)] に 250 ~ 60,000 ミリ秒を入力します。デフォルト設定は 3000 ミリ秒(ms)です。

ステップ 6

[保存(Save)] をクリックします。

次のタスク

デバイスのマネージャを変更する

以下の状況では、デバイスのマネージャを変更する必要がある場合があります。

FMC IP アドレスを変更した場合の管理接続の再確立

FMC の IP アドレスを変更する場合、FMC の IP アドレスを新しいアドレスに変更するコマンドがデバイスにありません。管理接続の再確立は、デバイスを FMC に追加した方法によって異なります。

始める前に

モデルのサポートFTD

手順

デバイスを FMC に追加した方法に応じて、次のタスクを参照してください。

  • IP アドレスアクションなし。到達可能なデバイス IP アドレスを使用してデバイスを FMC に追加した場合、FTD で識別された IP アドレスが古い IP アドレスであっても、管理接続は数分後に自動的に再確立されます。:到達不能なデバイスの IP アドレスを指定した場合は、Cisco TAC に問い合わせる必要があります。Cisco TAC は、デバイスの接続を復元する方法をアドバイスできます。

  • NAT ID のみCisco TAC にお問い合わせください。NAT ID のみを使用してデバイスを追加した場合、接続は再確立されません。この場合は、Cisco TAC に問い合わせる必要があります。Cisco TAC は、デバイスの接続を復元する方法をアドバイスできます。

新しい FMC の識別

この手順は、管理対象デバイスの新しい FMC を識別する方法を示します。新しい FMC が古い FMC の IP アドレスを使用している場合でも、次の手順を実行する必要があります。

手順

ステップ 1

古い FMC に管理対象デバイスが存在する場合はこれを削除します。FMC からのデバイスの削除を参照してください。

FMC とのアクティブな接続がある場合は、FMC IPアドレスを変更できません。

ステップ 2

SSH などを使用して、デバイスの CLI に接続します。

ステップ 3

新しい FMC を設定します。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE } regkey [nat_id]

  • {hostname | IPv4_address | IPv6_address}: FMC のホスト名、IPv4 アドレス、または IPv6 アドレスを設定します。

  • DONTRESOLVE FMC を直接アドレス指定できない場合は、ホスト名または IP アドレスの代わりに DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。このデバイスを FMC に追加する場合は、デバイスの IP アドレスと nat_id の両方を必ず指定してください。接続の片側で IP アドレスを指定し、両側で同じ一意の NAT ID を指定する必要があります。

  • regkey :登録時に FMC とデバイス間で共有する登録キーを作成します。このキーには、1 ~ 37 文字の任意のテキスト文字列を選択できます。FTD を追加するときに、 FMC に同じキーを入力します。

  • nat_id :一方が IP アドレスを指定しない場合に、FMC とデバイス間の登録プロセス中のみに使用する 1 ~ 37文字の英数字文字列を作成します。この NAT ID は、登録時にのみ使用されるワンタイムパスワードです。NAT ID が一意であり、登録を待機している他のデバイスによって使用されていないことを確認します。FTD を追加するときに、FMC で同じ NAT ID を指定します。

例:


> configure manager add DONTRESOLVE abc123 efg456
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

>
ステップ 4

デバイスを FMC に追加します。FMC へのデバイスの追加を参照してください。

Firepower Device Manager から FMC への切り替え

この手順では、マネージャをローカルデバイスマネージャである Firepower Device Manager(FDM)から FMC に変更する方法について説明します。ソフトウェアを再インストールすることなく、FDM と FMC を切り替えることができます。同じデバイスに対して、FDM と FMC の両方を同時に使用することはできません。FDM から FMC に変更すると、FTD 設定が消去され、最初からやり直す必要があります。


注意    

マネージャを変更すると、FTD 設定が工場出荷時のデフォルトにリセットされます。ただし、管理ブートストラップ設定は維持されます。

始める前に

モデルのサポートFTD

手順

ステップ 1

FDM で、高可用性について、高可用性設定を解除します。アクティブなユニットから HA を中断することをお勧めします
ステップ 2

FDM で、スマートライセンスサーバーからデバイスを登録解除します。
ステップ 3

SSH などを使用して、デバイスの CLI に接続します。
ステップ 4

現在の管理設定を削除します。

configure manager delete

注意     

ローカルマネージャを削除すると、FTD 設定が工場出荷時のデフォルトにリセットされます。ただし、管理ブートストラップ設定は維持されます。

例:


> configure manager delete

If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before deleting the local manager.
Otherwise, those licenses remain assigned to the device in 
Cisco Smart Software Manager.
Do you want to continue[yes/no]:yes

DHCP Server Disabled
>
ステップ 5

新しい FMC を設定します。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE } regkey [nat_id]

  • {hostname | IPv4_address | IPv6_address}: FMC のホスト名、IPv4 アドレス、または IPv6 アドレスを設定します。

  • DONTRESOLVE FMC を直接アドレス指定できない場合は、ホスト名または IP アドレスの代わりに DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。このデバイスを FMC に追加する場合は、デバイスの IP アドレスと nat_id の両方を必ず指定してください。接続の片側で IP アドレスを指定し、両側で同じ一意の NAT ID を指定する必要があります。

  • regkey :登録時に FMC とデバイス間で共有する登録キーを作成します。このキーには、1 ~ 37 文字の任意のテキスト文字列を選択できます。FTD を追加するときに、 FMC に同じキーを入力します。

  • nat_id :一方が IP アドレスを指定しない場合に、FMC とデバイス間の登録プロセス中のみに使用する 1 ~ 37文字の英数字文字列を作成します。この NAT ID は、登録時にのみ使用されるワンタイムパスワードです。NAT ID が一意であり、登録を待機している他のデバイスによって使用されていないことを確認します。FTD を追加するときに、FMC で同じ NAT ID を指定します。

例:


> configure manager add DONTRESOLVE abc123 efg456
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

>
ステップ 6

デバイスを FMC に追加します。 FMC へのデバイスの追加を参照してください。

FMC から Firepower Device Manager への切り替え

この手順では、マネージャを FMC からローカルデバイスマネージャである Firepower Device Manager(FDM)に変更する方法について説明します。ソフトウェアを再インストールすることなく、FDM と FMC を切り替えることができます。同じデバイスに対して、FDM と FMC の両方を同時に使用することはできません。FMC から FDM に変更すると、FTD 設定が消去され、最初からやり直す必要があります。


注意    

マネージャを変更すると、FTD 設定が工場出荷時のデフォルトにリセットされます。ただし、管理ブートストラップ設定は維持されます。

始める前に

モデルのサポートFTD

手順

ステップ 1

FMC で、高可用性について、高可用性設定を解除します。アクティブなユニットから HA を中断することをお勧めします ハイ アベイラビリティ ペアにおけるユニットの分離を参照してください。
ステップ 2

FMC で、管理対象デバイスを削除します。FMC からのデバイスの削除を参照してください。

FMC とのアクティブな接続がある場合は、マネージャを変更できません。

ステップ 3

SSH などを使用して、デバイスの CLI に接続します。
ステップ 4

現在の管理設定を削除します。

configure manager delete

注意     

ローカルマネージャを削除すると、FTD 設定が工場出荷時のデフォルトにリセットされます。ただし、管理ブートストラップ設定は維持されます。

例:


> configure manager delete

If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before deleting the local manager.
Otherwise, those licenses remain assigned to the device in 
Cisco Smart Software Manager.
Do you want to continue[yes/no]:yes

DHCP Server Disabled
>
ステップ 5

新しい FMC を設定します。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE } regkey [nat_id]

  • {hostname | IPv4_address | IPv6_address}: FMC のホスト名、IPv4 アドレス、または IPv6 アドレスを設定します。

  • DONTRESOLVE FMC を直接アドレス指定できない場合は、ホスト名または IP アドレスの代わりに DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。このデバイスを FMC に追加する場合は、デバイスの IP アドレスと nat_id の両方を必ず指定してください。接続の片側で IP アドレスを指定し、両側で同じ一意の NAT ID を指定する必要があります。

  • regkey :登録時に FMC とデバイス間で共有する登録キーを作成します。このキーには、1 ~ 37 文字の任意のテキスト文字列を選択できます。FTD を追加するときに、 FMC に同じキーを入力します。

  • nat_id :一方が IP アドレスを指定しない場合に、FMC とデバイス間の登録プロセス中のみに使用する 1 ~ 37文字の英数字文字列を作成します。この NAT ID は、登録時にのみ使用されるワンタイムパスワードです。NAT ID が一意であり、登録を待機している他のデバイスによって使用されていないことを確認します。FTD を追加するときに、FMC で同じ NAT ID を指定します。

例:


> configure manager add DONTRESOLVE abc123 efg456
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

>
ステップ 6

デバイスを FMC に追加します。 FMC へのデバイスの追加を参照してください。

デバイス情報の表示

マルチドメイン展開では、先祖ドメインは、子孫ドメイン内のすべてのデバイスに関する情報を表示できます。デバイスを編集するリーフ ドメインに位置している必要があります。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

表示するデバイスの横にあるをクリックします。

マルチドメイン展開では、先祖ドメインに位置している場合、表示[表示(view)] ボタンをクリックすると、読み取り専用モードで子孫ドメインのデバイスを表示できます。

ステップ 3

[デバイス(Device)] をクリックします。

ステップ 4

次の情報が表示されます。

  • [全般(General)]:デバイスの一般設定を表示します(一般情報を参照)。
  • [ライセンス(License)]:デバイスのライセンス情報を表示します(ライセンス情報を参照)。
  • [システム(System)]:デバイスのシステム情報を表示します(システム情報を参照)。
  • [ヘルス(Health)]:デバイスの現在のヘルス ステータスに関する情報を表示します(正常性情報を参照)。
  • [管理(Management)]:Firepower Management Center とデバイスの間の通信チャネルに関する情報を表示します(管理情報を参照)。
  • [詳細(Advanced)]:高度な機能設定に関する情報を表示します(詳細設定を参照)。

デバイス管理ページの情報

[デバイス管理(Device Management)] ページには、Firepower デバイスを管理するためのさまざまな情報とオプションが用意されています。

  • [表示方法(View By)]:このオプションを使用して、グループ、ライセンス、モデル、またはアクセス コントロール ポリシーに基づいてデバイスを表示します。

  • [デバイスの状態(Device State)]:状態に基づいてデバイスを表示することもできます。状態アイコンをクリックして、その状態に属するデバイスを表示できます。状態に属するデバイスの数は、括弧内に示されます。

  • [検索(Search)]:デバイス名、ホスト名、または IP アドレスを指定して、設定済みのデバイスを検索できます。

  • 追加オプション:追加オプションを使用して、デバイス、高可用性、FTD クラスタ、スタック、およびグループを設定できます。

  • 編集およびその他のアクション:設定された各デバイスに対して、[編集(Edit)]([編集(Edit)] アイコン アイコンを使用してデバイスのパラメータと属性を編集します。その他[その他(More)] アイコン アイコンをクリックして、他のアクションを実行します。

    • [アクセスコントロールポリシー(Access Control Policy)]:デバイスに展開されているポリシーを表示するには、[アクセスコントロールポリシー(Access Control Policy)] 列のリンクをクリックします。

    • [削除(Delete)]:デバイスを削除します。

    • [パケットトレーサ(Packet Tracer)]:モデルパケットをシステムに挿入することにより、デバイスのポリシー設定を調べるためのパケットトレーサページに移動します。

    • [パケットキャプチャ(Packet Capture)]:パケットキャプチャページに移動します。このページでは、パケットの処理中にシステムが実行する判定とアクションを表示できます。

    • [アップグレードを元に戻す(Revert Upgrade)]:最後のアップグレード後に行われたアップグレードと構成の変更を元に戻します。この操作により、デバイスがアップグレード前のバージョンに復元されます。

    • Firepower 4100/9300 シリーズ デバイスの場合は、Firepower Chassis Manager Web インターフェイスへのリンク。

デバイスをクリックすると、いくつかのタブがあるデバイスのプロパティページが表示されます。タブを使用してデバイス情報を表示し、ルーティング、インターフェイス、インラインセット、および DHCP を設定できます。

一般情報

[デバイス(Device)] タブの [全般(General)] セクションには、以下の表に記載された設定を表示します。

表 2. [全般(General)] セクション テーブルのフィールド

フィールド

説明

名前

Firepower Management Center でのデバイスの表示名。

パケット転送(Transfer Packets)

管理対象デバイスがイベントを含むパケット データを Firepower Management Center に送信するかどうかを表示します。

[モード(Mode)]

デバイスの管理インターフェイスのモード([ルーテッド(routed)] または [トランスペアレント(transparent)])を表示します。

(注)   
Firepower Threat Defense デバイスのみに [モード(Mode)] フィールドが表示されます 。

コンプライアンス モード

デバイスのセキュリティ認定準拠が表示されます。有効な値は、CC、UCAPL および None です。

ライセンス情報

[デバイス(Device)] ページの [ライセンス(License)] セクションでは、そのデバイスに対して有効になっているライセンスが表示されます。

システム情報

[デバイス(Device)] ページの [システム(System)] セクションには、次の表に示すように、システム情報の読み取り専用テーブルが表示されます。

表 3. [システム(System)] セクション テーブルのフィールド

フィールド

説明

モデル

管理対象デバイスのモデル名と番号。

シリアル(Serial)

管理対象デバイスのシャーシのシリアル番号。

Time

デバイスの現在のシステム時刻。これは常に UTC です。

Version

管理対象デバイスに現在インストールされているソフトウェアのバージョン。

ポリシー

管理対象デバイスに現在展開されているプラットフォーム設定ポリシーへのリンク。

インベントリ

関連付けられているデバイスのインベントリ詳細情報へのリンク。このフィールドは、たとえば Firepower 2100 または Firepower 4100/9300 のコンテナ インターフェイスなど、一部のプラットフォームの場合にのみ表示されます。コンテナ インターフェイスの情報を更新するには、[更新(Update)] をクリックします。たとえば、リソース プロファイルを変更した場合は、インベントリの更新を適用することで高可用性ペアの不一致の問題を回避します。それ以外の場合、この情報はポリシーの変更を展開すると更新されます

デバイスをシャットダウンまたは再起動することもできます。

正常性情報

[デバイス(Device)] ページの [正常性(Health)] セクションには、以下の表に記載された情報を表示します。

表 4. [ヘルス(Health)] セクション テーブルのフィールド

フィールド

説明

ステータス(Status)

デバイスの現在のヘルス ステータスを表すアイコン。アイコンをクリックすると、アプライアンスのヘルス モニタが表示されます。

ポリシー

現在デバイスで展開されている、読み取り専用バージョンの正常性ポリシーへのリンク。

ブラックリスト

[ヘルス ブラックリスト(Health Blacklist)] ページへのリンク。このページでは、ヘルス ブラックリスト モジュールを有効または無効に設定できます。

管理情報

[デバイス(Device)] ページの [管理(Management)] セクションには、以下の表に記載されたフィールドを表示します。

表 5. [管理(Management)] セクション テーブルのフィールド

フィールド

説明

ホスト(Host)

デバイスの IP アドレスまたはホスト名。デバイスのホスト名または IP アドレスを変更するには、管理設定の編集を参照してください。

ステータス

Firepower Management Center と管理対象デバイス間の通信チャネルのステータスを示すアイコン。ステータス アイコンにポインタを置くと、Firepower Management Center が最後にデバイスにアクセスした時間を表示することができます。

詳細設定

[デバイス(Device)] ページの [詳細設定(Advanced)] セクションには、以下で説明する詳細設定のテーブルが表示されます。これらの設定はいずれも編集できます。

表 6. [詳細設定(Advanced)] セクションのテーブルのフィールド

フィールド

説明

サポートされるデバイス

アプリケーション バイパス(Application Bypass)

デバイスでの自動アプリケーション バイパスの状態。

NGIPSv

ASA FirePOWER

Firepower Threat Defense

バイパスしきい値(Bypass Threshold)

自動アプリケーション バイパスのしきい値(ミリ秒)。

デバイス管理の基本の履歴

機能

 バージョン 詳細

Firepower Chassis Manager へのワンクリックアクセス。

6.4.0

Firepower 4100/9300 シリーズ デバイスの場合は、[デバイス管理(Device Management)] ページに、Firepower Chassis Manager Web インターフェイスへのリンクが表示されます。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)]

正常性と展開のステータスでデバイスをフィルタする。バージョン情報を表示する。

6.2.3

 [デバイス管理(Device Management)] ページに管理対象デバイスのバージョン情報が表示されるようになり、正常性および展開のステータスでデバイスをフィルタする機能が追加されました。

新規/変更された画面:[デバイス(Devices)] > [デバイス管理(Device Management)]