この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
の『Firepower Management Center Configuration Guide』のライセンスに関する章では、さまざまなライセンスタイプ、サービスサブスクリプション、ライセンス要件などに関する詳細情報が提供されています。この章では、スマートライセンスおよびクラシックライセンスの導入とエアギャップソリューションのライセンス適用に関する手順および要件も説明されています。
以下のトピックでは、Firepower のライセンスを適用する方法について説明します。
Firepower 製品(Firepower Management Center と管理対象デバイス)には基本的な操作のライセンスが含まれていますが、一部の機能については、この章で説明するように、個別のライセンスまたはサービス サブスクリプションが必要です。
「使用権」ライセンスに有効期限はありませんが、サービス サブスクリプションは定期的に更新する必要があります。
製品に必要なライセンスのタイプ(スマートまたはクラッシック)はそれを実行するハードウェアではなく、使用するソフトウェアによって異なります。
 (注) |
「NGFW」は人によって異なるため、このドキュメントではこの用語を使用していません。 |
すべて。ただし、この手順に示されているように、モデルごとに必要な特定のライセンスは異なります。
Global。明記されている場合を除きます。
管理者
Firepower Management Center 管理対象デバイスにライセンスを割り当ててシステムのライセンスを管理できます。
単一の Firepower Management Center でクラッシック ライセンスを必要とするデバイスと、スマート ライセンスを必要とするデバイスの両方を管理できます。
ハードウェアの Firepower Management Center では、デバイスを管理するために追加のライセンスやサービス サブスクリプションを購入する必要はありません。
Firepower Management Center Virtual の場合には追加のライセンス要件があります。Firepower Management Center Virtual ライセンスを参照してください。
通常、Firepower Management Center Virtual(FMCv)の場合は管理する FTD デバイスごとにライセンス エンタイトルメントが必要です。
FMCv では、クラシックデバイスを管理するためのスマートライセンス(Firepower MCv)は必要ありません。クラシックデバイスでは、PAK ライセンスを FMCv 経由でインストールする必要があります。ただし、FMCv25 を購入すると、スマートアカウントに 25 MCv の権限が付与されます。FMCv がクラシック(7K/8K/FP サービスとスマート FTD)の両方を管理し、デバイスの制限が 25 に達すると、FMC にエラーが表示されますが、スマートライセンスは追加の MCv 権限に準拠します。
FTDv 高可用性設定の場合、FTDv デバイスごとに 2 つの MCv ライセンスが必要です。
高可用性ペア内に設定されている Firepower Threat Defense デバイスを単一の FMCv で管理する場合にも、(ペアに 1 つではなく)デバイスごとに 1 つのエンタイトルメントが必要です。
複数インスタンスの展開では、セキュリティ モジュールごとに 1 つの付与資格が必要です。
標準的な接続されているスマート ライセンスでは、これらは永続ライセンスです。
特定ライセンス予約では、これらのライセンスは期間ベースです。
この付与資格は、異なる数の付与資格を持つ Firepower MCv デバイス ライセンスとして Cisco Smart Software Manager に表示されます。
評価ライセンスではすべての機能を使用できるわけではありません。評価ライセンスで使用できるのは機能の一部であり、評価ライセンスから標準ライセンスへの移行もシームレスに行われない場合があります。
たとえば、クラスタ内に Firepower Threat Defense のデバイスを設定している場合、評価ライセンスからスマート ライセンスに切り替えると変更を展開した時点でサービスが中断されます。
このライセンスに関する章と、各機能の展開に関連する章の情報にある評価ライセンスについての注意事項の情報を確認してください。
管理対象デバイスの場合、必要なライセンス(スマートまたはクラシック)は、デバイスで実行されるソフトウェアによって異なります。
いずれの FMC でも、スマートライセンスのデバイスと従来のライセンスのデバイスを同時に管理できます。各タイプのライセンスを個別に設定する必要があります。
|
ソフトウェア |
ライセンスのタイプ |
詳細情報 |
|---|---|---|
|
Firepower Management Center(ハードウェア) |
なし |
FMC ハードウェア モデル自体にはライセンスは必要ありません。 |
|
Firepower Management Center Virtual |
デバイスの権限 |
|
|
Firepower Threat Defense Firepower Threat Defense Virtual |
スマート |
Firepower Threat Defense デバイス(FTD)のライセンスのトピックを参照してください。 |
|
NGIPS ソフトウェア:
|
従来型 |
クラシックデバイスのライセンス(ASA FirePOWERおよび NGIPSv)を参照してください。 |
|
その他すべてのソフトウェア(Firepower ハードウェア上で実行するものを含む) |
ソフトウェア製品のライセンス情報を参照してください。 |
|
Firepower Threat Defense デバイスにはスマート ライセンスが必要です。
Cisco Smart Licensing によって、ライセンスを購入し、ライセンスのプールを一元管理することができます。製品認証キー(PAK)ライセンスとは異なり、スマート ライセンスは特定のシリアル番号またはライセンス キーに関連付けられません。Smart Licensing を利用すれば、ライセンスの使用状況やニーズをひと目で評価することもできます。
また、スマート ライセンスでは、まだ購入していない製品の機能を使用できます。Cisco Smart Software Manager に登録すると、すぐにライセンスの使用を開始できます。また、後でライセンスを購入することもできます。これによって、機能の展開および使用が可能になり、発注書の承認による遅延がなくなります。
(注) |
FMC の初期設定の最後に、スマートライセンスを迅速かつ簡単にセットアップできるポップアップが表示されます。このダイアログの使用は任意です。スマートライセンスについて十分な知識があり、FMC で FTD デバイスを管理する場合は、このダイアログを使用してください。それ以外の場合は、このダイアログを閉じて、この章の情報を使用してスマートライセンスをセットアップしてください。 |
Firepower Threat Defense デバイスにはスマート ライセンスが必要です。
ハードウェアまたは仮想 Firepower Management Center によって管理される FTD デバイスにライセンスを適用するには、この概要に示されている手順を実行してください。
FMC が従来型デバイス(ASA FirePOWER、NGIPSv)も管理している場合、FTD デバイスについてはこの手順を実行し、クラシックライセンスを使用するデバイスについてはクラシックデバイスのライセンス(ASA FirePOWERおよび NGIPSv)の手順を実行することができます。
| ステップ 1 |
スマート アカウントをまだ持っていない場合は、1 つ作成します。 ライセンスを購入する前にスマート アカウントを取得することをお勧めします。新しいスマート アカウントを作成するには、「ライセンスを保持するためのスマート アカウントの作成」を参照してください。
|
||
| ステップ 2 |
組織に必要なプラットフォーム ライセンスを把握します。
|
||
| ステップ 3 |
組織に必要な機能ライセンス(サービス サブスクリプションと呼ばれることもある)を把握します。 「FTD ライセンスのタイプと制約事項」およびサブトピックを参照してください。 |
||
| ステップ 4 |
組織に必要な機能ライセンスまたはサービス サブスクリプションの数を確認します。
|
||
| ステップ 5 |
変換または移動の必要がある既存のライセンスがある場合:
|
||
| ステップ 6 |
Firepower アプライアンスのインターネット アクセスが制限されている場合: 状況に最も適したソリューションを決定します。
|
||
| ステップ 7 |
複数の Firepower Management Center アプライアンスがあり、1 つのプロキシでシスコのライセンス認証局に接続する場合は、次の手順を実行します。 Smart Software Manager オンプレミス(以前の Smart Software Satellite Server)を展開します。詳細については、「Smart Software Manager オンプレミス の概要」を参照してください。 |
||
| ステップ 8 |
強力な暗号化を使用する機能を有効にしたいが、地理的な領域によって制限されている場合: 「輸出規制対象の機能のライセンス」を参照してください。 |
||
| ステップ 9 |
必要なライセンスを購入します。 シスコのセールス担当者または認定再販業者に問い合わせてください。 |
||
| ステップ 10 |
再販業者やシスコのセールス担当者によってスマート アカウントにライセンスが追加されたことを確認します。 CSSM で https://software.cisco.com/#SmartLicensing-Inventory を参照します。[インベントリ(Inventory)] をクリックした後、[ライセンス(Licenses)] タブをクリックします。必要に応じてリストをフィルタ リングします。ライセンスの名前を把握するために購入確認が必要な場合があります。 表示されると予想していたライセンスが表示されない場合は、正しい仮想アカウントを確認していることを確認します。この点についてサポートが必要な場合は、CSSM のリソース リンクを参照してください。 引き続きライセンスが表示されないか、またはライセンスが正しくない場合は、そのライセンスを購入した担当者に問い合わせてください。 |
||
| ステップ 11 |
仮想アカウント(スマート アカウント)に予想していたライセンスが表示されたら、Firepower Management Center を CSSM に登録します。 Web インターフェイスを使用して、Firepower Management Center にライセンスを設定する必要があります。
|
||
| ステップ 12 |
登録が正常に実行されたことを確認します。 Firepower Management Center Web インターフェイスで、[システム(System)] > [ライセンス(Licenses)] > [Smart Licenses(スマート ライセンス)] に移動します。[製品登録(Product Registration)] に緑のチェックマークが表示されている必要があります。 |
||
| ステップ 13 |
まだ実行していない場合は、デバイスを管理対象デバイスとして Firepower Management Center に追加します。 「FMC へのデバイスの追加」を参照してください。 |
||
| ステップ 14 |
管理対象 Firepower Threat Defense デバイスへのライセンスの割り当て: 「複数の管理対象デバイスへのライセンスの割り当て」を参照してください。 |
||
| ステップ 15 |
デバイスにライセンスが正常に追加されたことを確認します。 「FTD ライセンスとライセンスステータスの表示」を参照してください。 |
||
| ステップ 16 |
必要に応じて、高可用性とクラスタ化された展開のライセンスをセットアップします。
|
(任意)Firepower Management Center が従来型デバイス(ASA FirePOWER、NGIPSv)も管理する場合は、それらのデバイスのライセンスを設定します。
「クラシックデバイスのライセンス(ASA FirePOWERおよび NGIPSv)」を参照してください。
有効期間と期限を把握します。ライセンスの期限切れ を参照してください。
Firepower 機能のスマート ライセンスを複数購入する場合は、それらのライセンスを Cisco Smart Software Manager(http://www.cisco.com/web/ordering/smart-software-manager/index.html)で管理できます。Smart Software Manager では、組織のマスター アカウントを作成できます。
デフォルトでは、ライセンスはマスター アカウントの下のデフォルトの仮想アカウントに割り当てられます。アカウントの管理者として、たとえば、地域、部門、または子会社ごとに、追加の仮想アカウントを作成できます。複数の仮想アカウントを使用することで、多数のライセンスおよびアプライアンスの管理を行うことができます。
ライセンスとアプライアンスは、バーチャル アカウント別に管理します。バーチャル アカウントに割り当てられているライセンスを使用できるのは、そのバーチャル カウントのアプライアンスのみです。追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。また、仮想アカウント間でのアプライアンスの譲渡も可能です。
バーチャル アカウントごとに、製品インスタンス登録トークンを作成できます。各 Firepower Management Center を展開するか、または既存の FMC を登録する場合は、このトークン ID を入力します。既存のトークンの有効期限が切れている場合は、新しいトークンを作成できます。トークンの有効期限が切れても、そのトークンを使用して登録された FMC には影響しませんが、有効期限が切れたトークンを使用して FMC を登録することはできません。また、登録済み FMC は、使用するトークンに基づいてバーチャル アカウントに関連付けられます。
Cisco Smart Software Manager の詳細については、『Cisco Smart Software Manager User Guide』または https://www.cisco.com/c/en/us/buy/smart-accounts/software-manager.html を参照してください。あるいは https://www.cisco.com/web/fw/softwareworkspace/smartlicensing/SSMCompiledHelps/ からもアクセスできる CSSM 内のオンライン ヘルプを参照してください。
製品ライセンスの権限付与を維持するために、製品は Cisco ライセンス認証局と定期的に通信する必要があります。
Firepower Management Center の登録に製品インスタンス登録トークンを使用すると、このアプライアンスがシスコのライセンス認証局に登録されます。ライセンス認証局は、Firepower Management Center とライセンス認証局の間の通信用に ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 か月ごとに更新されます。ID 証明書の期限が切れた場合(通常は、9 ヵ月または 1 年間通信がない状態)、Firepower Management Center は登録解除状態に戻り、ライセンス機能の使用は中断されます。
Firepower Management Center は、定期的にライセンス認証局と通信します。Smart Software Manager で変更を加えた場合は、Firepower Management Center 上で認証を更新すると、その変更がすぐに適用されます。また、スケジュールどおりにアプライアンスが通信するのを待つこともできます。
Firepower Management Center は、Cisco Smart Software Manager を介してライセンス認証局に直接インターネットアクセスできるか、エアギャップ展開のライセンスのオプションで説明されているいずれかのオプションを使用する必要があります。非エアギャップ展開では、通常のライセンスに関する通信は 30 日ごとに行われますが、これには猶予期間があり、アプライアンスは Call Home を実行することなく最大で 90 日間は動作します。90 日が経過する前にライセンス認証局と連絡を取る必要があります。
一部の機能にはサービス サブスクリプションが必要です。
サービス サブスクリプションは、所定の時間内限定で、管理対象デバイス上の特定の Firepower 機能を有効にします。サービス サブスクリプションは、1 年、3 年、または 5 年単位で購入できます。サブスクリプションの期限が切れると、サブスクリプションの更新が必要であることが通知されます。Firepower Threat Defense デバイスのサブスクリプションの期限が切れた場合でも、関連する機能は引き続き使用できます。
|
購入するサブスクリプション |
Firepower システム内で割り当てるスマート ライセンス |
|---|---|
|
T |
脅威 |
|
TC |
脅威 + URL フィルタリング |
|
TM |
脅威 + マルウェア |
|
TMC |
脅威 + URL フィルタリング + マルウェア |
|
URL |
URL フィルタリング(脅威に追加するか、脅威なしで使用できます) |
|
AMP |
マルウェア(脅威ライセンスも必要) |
スマート ライセンスを使用する管理対象デバイスを購入すると、基本ライセンスが自動的に提供されます。このライセンスは無制限であり、システム アップデートを使用可能にします。Firepower Threat Defense デバイスでは、すべてのサービス サブスクリプションがオプションです。
ここでは、Firepower システムの導入環境で使用可能なスマート ライセンスのタイプについて説明します。Firepower Management Center では、Firepower Threat Defense のデバイスを管理するためスマート ライセンスが必要です。
次の表に、Firepower システムのスマート ライセンスの概要を示します。
|
Firepower システムで割り当てるライセンス |
購入するサブスクリプション |
期間 |
付与される機能 |
|---|---|---|---|
|
基本 (特定のライセンスの予約を除き、基本ライセンスがすべての Firepower Threat Defense デバイスに自動的に割り当てられます) |
サブスクリプションは不要(デバイスにライセンスが含まれています) |
永久 |
ユーザーおよびアプリケーション制御 スイッチングとルーティング NAT 詳細は、「基本ライセンス」を参照してください。 |
|
脅威 |
|
期間ベース |
侵入検知と防御 ファイル制御 セキュリティ インテリジェンス フィルタリング 詳細については、「脅威ライセンス」を参照してください。 |
|
マルウェア |
|
期間ベース |
ネットワーク向け AMP (ネットワーク ベースの高度なマルウェア防御) Cisco Threat Grid ファイル ストレージ 詳細については、「Firepower Threat Defense デバイスのマルウェア ライセンス」および「ファイルおよびマルウェア ポリシーのライセンス要件」を参照してください。 |
|
URL フィルタリング |
|
期間ベース |
カテゴリとレピュテーションに基づく URL フィルタリング 詳細は、「Firepower Threat Defense デバイスの URL フィルタリング ライセンス」を参照してください。 |
|
Firepower Management Center Virtual |
ライセンス タイプに基づいています。 |
ライセンス タイプに基づき期間ベースまたは永久 |
プラットフォーム ライセンスによって、仮想アプライアンスが管理できるデバイスの数が決まります。 詳細は、「Firepower Management Center Virtual ライセンス」を参照してください。 |
|
輸出管理機能 |
ライセンス タイプに基づいています。 |
ライセンス タイプに基づき期間ベースまたは永久 |
国家安全保障、外交政策、反テロリズムに関する法律や規制の対象となる機能。「輸出規制対象の機能のライセンス」を参照してください。 |
|
リモート アクセス VPN:
|
ライセンス タイプに基づいています。 |
ライセンス タイプに基づきタームベースまたは永久 |
リモート アクセス VPN の設定。リモート アクセス VPN を設定するには、基本ライセンスがエクスポート制御機能を許可する必要があります。デバイスの登録時に、輸出要件を満たしているかどうかを選択します。Firepower Threat Defense は有効な AnyConnect ライセンスを使用できます。使用できる機能はライセンス タイプによって異なります。 詳細については、「AnyConnect ライセンス」および「VPN ライセンス」を参照してください。 |
基本ライセンスは、Firepower Threat Defense または Firepower Threat Defense Virtual デバイスを購入するごとに自動的に提供されます。
基本ライセンスでは、次のことができます。
スイッチングおよびルーティング(DHCP リレーおよび NAT を含む)を実行するように FTD デバイスを設定する
FTD デバイスをハイ アベイラビリティ ペアとして設定する
Firepower 9300 シャーシ内のクラスタとしてセキュリティ モジュールを設定する(シャーシ内クラスタリング)
Firepower Threat Defense を実行している Firepower 9300 または Firepower 4100 シリーズ デバイスをクラスタとして設定する(シャーシ間クラスタリング)
アクセス コントロール ルールにユーザーとアプリケーションの条件を追加することで、ユーザーとアプリケーションの制御を実装する
脅威とマルウェアの検出および URL のフィルタリング機能には追加のオプション ライセンスが必要です。
特定のライセンスの予約を使用する展開の場合を除き、基本ライセンスは登録した Firepower Threat Defense デバイスごとに Firepower Management Center に自動的に追加されます。
複数インスタンス展開については、「複数インスタンス展開のライセンス」を参照してください。
Firepower Threat Defense デバイス用のマルウェア ライセンスを使用すると、ネットワーク向け AMP および Cisco Threat Grid を使用して Cisco Advanced Malware Protection(AMP)を実行することができます。この機能では、Firepower Threat Defense デバイスを使用して、ネットワーク上で伝送されるファイルのマルウェアを検出してブロックできます。この機能ライセンスをサポートするために、スタンドアロン サブスクリプションとしてマルウェア(AMP)サービス サブスクリプションを購入できます。また、脅威(TM)や脅威および URL フィルタリング(TMC)サブスクリプションと組み合わせて購入することもできます。
(注) |
マルウェア ライセンスが有効になっている Firepower Threat Defense 管理対象デバイスは、動的分析を設定していない場合でも、定期的に AMP クラウドへの接続を試行します。このため、デバイスの [インターフェイス トラフィック(Interface Traffic)] ダッシュボード ウィジェットには、送信済みトラフィックが表示されます。これは正常な動作です。 |
ファイル ポリシーの一部として ネットワーク向け AMP を設定し、その後 1 つ以上のアクセス コントロール ルールを関連付けます。ファイル ポリシーでは、特定のアプリケーション プロトコルを介した特定のタイプのユーザーによるファイルのアップロードとダウンロードを検出できます。ネットワーク向け AMP では、ローカル マルウェア分析とファイルの事前分類を使用して、それらの限られた一連のファイルタイプを検査できます。特定のファイル タイプをダウンロードして Cisco Threat Grid クラウドにアップロードして、動的 Spero 分析でマルウェアが含まれているかどうかを判別することもできます。これらのファイルでは、ファイルがネットワーク内で経由する詳細なパスを示すネットワーク ファイル トラジェクトリを表示できます。マルウェア ライセンスでは、ファイル リストに特定のファイルを追加し、そのファイル リストをファイル ポリシー内で有効にすることもできます。これにより、検出時にこれらのファイルを自動的に許可またはブロックできます。
マルウェア ライセンスをすべて無効にすると、システムは AMP への問い合わせを停止し、AMP クラウドから送信される遡及的イベントの確認応答も停止します。既存のアクセス コントロール ポリシーに ネットワーク向け AMP 構成が含まれている場合は、それらのポリシーを再展開することができません。マルウェア ライセンスが無効にされた後、システムが既存のキャッシュ ファイルの性質を使用できるのは極めて短時間のみであることに注意してください。この時間枠の経過後、システムは
Unavailable という性質をこれらのファイルに割り当てます。
マルウェア ライセンスが必要なのは、ネットワーク向け AMP および Cisco Threat Grid を展開する場合のみであることに注意してください。マルウェア ライセンスがなければ、Firepower Management Center は AMP クラウドからエンドポイント向け AMP マルウェア イベントおよび侵害の兆候(IOC)を受信できます。
「ファイルおよびマルウェア ポリシーのライセンス要件」の重要な情報も参照してください。
脅威ライセンスでは、侵入の検出と防御、ファイル制御、およびセキュリティ インテリジェンスのフィルタリングを実行することができます。
侵入検知および防御により、侵入とエクスプロイトを検出するためネットワーク トラフィックを分析できます。またオプションで違反パケットをドロップできます。
ファイル制御により、特定のアプリケーション プロトコルを介した特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をユーザーからブロックできます。マルウェア ライセンスが必要な ネットワーク向け AMP では、マルウェアの性質に基づいて限られたファイル タイプを検査およびブロックすることもできます。
セキュリティ インテリジェンス フィルタリングにより、トラフィックをアクセスコントロールルールによる分析対象にする前に、特定の IP アドレス、URL、および DNS ドメイン名をブロック(その IP アドレスとの間のトラフィックを拒否)できます。ダイナミックフィードにより、最新の情報に基づいて接続をただちにブロックできます。オプションで、セキュリティ インテリジェンス フィルタリングに「モニターのみ」設定を使用できます。
脅威ライセンスは、スタンドアロン サブスクリプション(T)として、または URL フィルタリング(TC)、マルウェア(TM)、またはその両方(TMC)と組み合わせて購入することができます。
管理対象デバイスで脅威ライセンスを無効にすると、Firepower Management Center で、影響を受けたデバイスからの侵入イベントとファイル イベントの確認応答が停止されます。結果として、トリガー条件としてこれらのイベントを使用する相関ルールがトリガーしなくなります。また、Firepower Management Center はシスコ提供またはサード パーティのセキュリティ インテリジェンス情報を取得するためにインターネットに接続しなくなります。脅威ライセンスを再度有効にするまでは、既存の侵入ポリシーを適用し直すことができません。
URL フィルタリング ライセンスにより、モニタ対象ホストにより要求される URL に基づいて、ネットワーク内を移動できるトラフィックを判別するアクセス制御ルールを作成することができます。この機能ライセンスをサポートするために、スタンドアロン サブスクリプションとして URL フィルタリング(URL)サービス サブスクリプションを購入できます。また、脅威(TM)や脅威およびマルウェア(TMC)サブスクリプションと組み合わせて購入することもできます。
 ヒント |
URL フィルタリング ライセンスがない状態で、許可またはブロックする個別 URL または URL グループを指定できます。これにより、Web トラフィックをカスタムできめ細かく制御できますが、URL カテゴリおよびレピュテーション データをネットワーク トラフィックのフィルタリングに使用することはできません。 |
URL フィルタリング ライセンスがない状態でも、アクセス制御ルールにカテゴリ ベースの URL 条件およびレピュテーション ベースの URL 条件を追加できますが、Firepower Management Center は URL 情報をダウンロードしません。最初に URL フィルタリング ライセンスを Firepower Management Center に追加し、ポリシー適用対象デバイスで有効にするまでは、アクセス コントロール ポリシーを適用できません。
管理対象デバイスで URL フィルタリング ライセンスを無効にすると、URL フィルタリングへのアクセスが失われる可能性があります。ライセンスが期限切れになるか、ライセンスを無効にすると、URL 条件が含まれているアクセス制御ルールは URL フィルタリングを直ちに停止し、Firepower Management Center は URL データのアップデートをダウンロードできなくなります。既存のアクセス コントロール ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再展開することができません。
Firepower Threat Defense デバイスを使用して、Cisco AnyConnect セキュア モビリティ クライアント(AnyConnect)と標準規格に準拠した IPSec/IKEv2 を使用するリモート アクセス VPN を設定できます。
Firepower Threat Defense リモート アクセス VPN 機能を有効にするは、次のライセンスのいずれかを購入し、有効にしておく必要があります。[AnyConnect Plus]、[AnyConnect Apex]、または [AnyConnect VPN のみ(AnyConnect VPN Only)]。AnyConnect の任意のライセンス([Plus]、[Apex]、[VPN のみ(VPN Only)])を使用できます。両方のライセンスがあり、どちらも使用する場合は、[AnyConnect Plus] と [AnyConnect Apex] を選択できます。[Apex] または [Plus] と一緒に [AnyConnect VPN のみ(AnyConnect VPN Only)] ライセンスを使用することはできません。AnyConnect ライセンスは、スマート アカウントと共有する必要があります。手順については、http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdfを参照してください。
指定されたデバイスに指定された AnyConnect ライセンス タイプの権限が 1 つ以上ない場合、リモート アクセス VPN 設定を FTD デバイスに展開することはできません。登録されたライセンスがコンプライアンスに従っていない、または権限の有効期限が切れている場合は、システムにライセンス アラートとヘルス イベントが表示されます。
リモート アクセス VPN を使用する際は、スマート ライセンス アカウントでエクスポート制御機能(高度な暗号化)を有効にしておく必要があります。AnyConnect クライアントとのリモート アクセス VPN 接続を確立するために、FTD はより強力な暗号化を要求します(これは DES よりも高い暗号化です)。デバイスを登録する際に、エクスポート制御機能に対して有効化された Smart Software Manager アカウントによってエクスポートを制御する必要があります。エクスポート制御機能の詳細については、「FTD ライセンスのタイプと制約事項」を参照してください。
次の条件に当てはまる場合、リモート アクセス VPN を展開できません。
Firepower Management Center でスマート ライセンスが評価モードで実行されている。
スマート アカウントがエクスポート制御機能(高度な暗号化)を使用するように設定されていない。エクスポート制御機能を持つ基本ライセンスを適用した後に、FTD デバイスを再起動する必要があることに注意してください。
特定のソフトウェア機能は、国家安全保障、外交政策、反テロリズムに関する法律や規制の対象となります。これらの輸出規制対象の機能は次のとおりです。
セキュリティ認定コンプライアンス
Firepower Threat Defense リモート アクセス VPN
強力な暗号化によるサイト間 VPN
強力な暗号化による SSH プラットフォーム ポリシー
強力な暗号化による SSL ポリシー
強力な暗号化による SNMPv3 などの機能
輸出規制対象の機能がシステムに対して現在有効になっているかどうかを判断するには、[システム(System)] > [ライセンス(Licenses)] > [スマート ライセンス(Smart Licenses)] に移動し、[輸出規制対象の機能(Export-Controlled Features)] に [有効(Enabled)] と表示されているかどうかを確認します。
[輸出規制対象の機能(Export-Controlled Features)] に [無効(Disabled] と表示されており、強力な暗号化が必要な機能を使用する場合:
強力な暗号化機能を有効にする方法は 2 つあります。組織はどちらか一方を使用する(またはどちらも使用しない)ことができますが、両方を使用することはできません。
Cisco Smart Software Manager(CSSM)で新しい製品インスタンス登録トークンを生成したときに輸出規制対象の機能を有効にするオプションがない場合は、次のようになります。
代理店に問い合わせてください。
Firepower Management Center では、スマート アカウントが輸出規制対象の機能の付与資格がある場合は輸出規制対象の機能を使用することができます。シスコによって承認されると、輸出規制ライセンスが仮想アカウントに追加されるため、輸出規制対象の機能を使用できます。詳細については、「輸出規制機能の有効化(グローバル権限のないアカウントの場合)」を参照してください。
Cisco Smart Software Manager(CSSM)で新しい製品インスタンス登録トークンを生成したときに輸出規制対象の機能を使用するためのオプションが表示された場合:
これは永続的な付与資格であり、サブスクリプションは必要ありません。
輸出規制対象の機能を使用するには、Firepower Management Center にライセンスを取得する前にスマート アカウントがこの機能を使用できるように有効になっている必要があります。
Cisco Smart Software Manager(CSSM)のスマート アカウントに対して輸出規制対象の機能を有効にした後、新しい製品インスタンス登録トークンを使用して Firepower Management Center を再登録する必要があります。
新しい製品インスタンス登録トークンを作成する際に、[このトークンで登録された製品で輸出規制対象の機能を許可する(Allow export-controlled functionality on the products registered with this token)] オプションを選択する必要があります。この機能がスマート アカウントに許可されている場合には、このオプションがデフォルトで有効になっています。
輸出規制対象の機能を持つトークンを Firepower Management Center にインストールし、管理対象の Firepower Threat Defense デバイスに関連するライセンスを割り当てた後、次の手順を実行します。
各デバイスを再起動し、新たに有効にした機能を使用できるようにします。
高可用性展開では、アクティブ デバイスとスタンバイ デバイスを一緒に再起動してアクティブ/アクティブの状態を回避する必要があります。
輸出規制に関する一般情報については https://www.cisco.com/c/en/us/about/legal/global-export-trade.htmlを参照してください。
参照先:
高可用性ペア内の Firepower Management Center アプライアンスの場合:
高可用性ペア内の Firepower Threat Defense デバイスの場合:
また、「FTD ライセンスのタイプと制約事項」のトピックの特定のライセンス タイプについてのトピックも参照してください。
このライセンスの章での情報の他に次を参照してください。
すべてのライセンスがコンテナ インスタンスごとではなく、セキュリティ エンジン/シャーシ(Firepower 4100 の場合)またはセキュリティ モジュール(Firepower 9300 の場合)ごとに適用されます。
各セキュリティ エンジンまたはモジュールが 1 つの基本ライセンスを使用します。このライセンスは、特定のライセンスの予約を使用している場合を除き、すべての展開に自動的に割り当てられます。
Firepower Management Center の仮想アプライアンスが管理するセキュリティ エンジン/モジュールごとに 1 つの付与資格が必要です。
ライセンス(マルウェア、脅威、URL フィルタリング、AnyConnect Apex、AnyConnect Plus、および AnyConnect VPN 専用)を取得する各機能に、セキュリティ エンジン/モジュール単位で 1 つのライセンスが必要です。エンジン/モジュールのすべてのインスタンスで同じ機能ライセンスを共有できます。
インスタンスごとにライセンスを割り当てる必要があります。
高可用性ペア内のインスタンスは機能ライセンスを相互に共有することはできませんが、各インスタンスがそれぞれのエンジン/モジュール上の他のインスタンスと機能ライセンスを共有することはできます。
上記のライセンス要件の連動については、「コンテナ インスタンスのライセンス」を参照してください。
スマート アカウントはスマート ライセンスのために必要です。また、従来のライセンスを保持することもできます。
スマート ライセンスを購入する前に、スマート アカウントを設定する必要があります。
アカウント担当者または再販業者が、ユーザーのためにスマート アカウントを設定していることがあります。その場合は、この手順を使用するのではなく、その担当者からアカウントへのアクセスに必要な情報を取得してから、アカウントにアクセスできることを確認してください。
スマート アカウントに関する一般情報については http://www.cisco.com/go/smartaccountsを参照してください。
| ステップ 1 |
スマート アカウントのリクエスト: この説明については、https://community.cisco.com/t5/licensing-enterprise-agreements/request-a-smart-account-for-customers/ta-p/3636515?attachment-id=150577 を参照してください。 詳細については、https://communities.cisco.com/docs/DOC-57261を参照してください。 |
| ステップ 2 |
スマート アカウントの設定準備ができたことを知らせる電子メールが届くのを待ちます。電子メールが届いたら、指示に従って、メールに含まれているリンクをクリックします。 |
| ステップ 3 |
スマート アカウントの設定: https://software.cisco.com/software/company/smartaccounts/home?route=module/accountcreation を参照してください。 この説明については、https://community.cisco.com/t5/licensing-enterprise-agreements/complete-smart-account-setup-for-customers/ta-p/3636631?attachment-id=132604 を参照してください。 |
| ステップ 4 |
Cisco Smart Software Manager(CSSM)でアカウントにアクセスできることを確認します。 https://software.cisco.com/#module/SmartLicensing に移動してサインインします。 |
長いワークフローに従っている場合は、そのワークフローに戻ります。
展開が複雑な場合、または必要なライセンスについてご不明な点がある場合は、「Firepower Threat Defense デバイスのライセンス適用の方法」を参照してください。
| ステップ 1 |
Cisco Smart Software Manager ライセンス ポータルでトークンを取得します。 「スマート ライセンス用の製品ライセンス登録トークンの取得」を参照してください。 |
| ステップ 2 |
スマート ライセンス ポータルに Firepower Management Center を登録します。 「スマート ライセンスの登録」を参照してください。このトピックの前提条件が満たされていることを確認してください。 |
| ステップ 3 |
FMC がスマート ライセンス ポータルに正常に登録されたことを確認します。 Firepower Management Center Web インターフェイスで、[システム(System)] > [ライセンス(Licenses)] > [Smart Licenses(スマート ライセンス)] に移動します。 [製品登録(Product Registration)] に緑のチェックマークが表示されている必要があります。 |
| ステップ 4 |
FMC にまだデバイスを追加していない場合は、追加します。 「FMC へのデバイスの追加」を参照してください。 |
| ステップ 5 |
FMC によって管理されているデバイスにライセンスを割り当てます。 「複数の管理対象デバイスへのライセンスの割り当て」を参照してください。 |
| ステップ 6 |
ライセンスが正常にインストールされたことを確認します。 「FTD ライセンスとライセンスステータスの表示」を参照してください。 |
必要に応じて、高可用性展開およびクラスタ化展開のライセンスをセットアップします。
「Firepower Threat Defense デバイスのライセンス適用の方法」の最後の手順を参照してください。
まだ作成していない場合は、スマート アカウントを作成します。https://software.cisco.com/smartaccounts/setup#accountcreation-accountを参照してください。詳細については、https://www.cisco.com/c/en/us/buy/smart-accounts.htmlを参照してください。
必要なライセンスのタイプおよびライセンス数を購入したことを確認します。
必要ライセンスがスマート アカウントに表示されていることを確認します。
ライセンスがスマート アカウントに表示されない場合は、注文した担当者(シスコのセールス担当者または認定再販業者など)にそのライセンスをスマート アカウントに転送するように依頼します。
可能であれば、「スマート ライセンスの登録」の前提条件を確認して、登録プロセスがスムーズに進むようにします。
Cisco Smart Software Manager にサインインするためのクレデンシャルがあることを確認します。
| ステップ 1 | |||
| ステップ 2 |
([ライセンス(License)] セクションで)[スマート ソフトウェア ライセンシング(Smart Software Licensing)] をクリックします。 |
||
| ステップ 3 |
Cisco Smart Software Manager にサインインします。 |
||
| ステップ 4 |
[インベントリ(Inventory)] をクリックします。 |
||
| ステップ 5 |
[General] をクリックします。 |
||
| ステップ 6 |
[新規トークン(New Token)] をクリックします。 |
||
| ステップ 7 |
[説明(Description)] に、このトークンを使用する Firepower Management Center を一意かつ明確に特定する名前を入力します。 |
||
| ステップ 8 |
365 日以内の期限を入力します。 この期限により、トークンを Firepower Management Center に登録しておく必要がある期間が決まります(ライセンスの権限付与期間はこの設定とは関係ありませんが、トークンをまだ登録していない場合でも、カウント ダウンが開始されることがあります)。 |
||
| ステップ 9 |
エクスポート制御機能を有効にするオプションが表示されていて、強力な暗号化を必要とする機能を使用する予定の場合は、このオプションを選択します。
|
||
| ステップ 10 |
[トークンの作成(Create Token)] をクリックします。 |
||
| ステップ 11 |
リストで新しいトークンを見つけて、[アクション(Actions)] をクリックして、[コピー(Copy)] または [ダウンロード(Download)] を選択します。 |
||
| ステップ 12 |
必要に応じて、Firepower Management Center にトークンを入力する準備ができるまで、トークンを安全な場所に保存します。 |
「スマート ライセンスの登録」の手順に進みます。
Cisco Smart Software Manager で Firepower Management Center を登録します。
展開がエアーギャップである場合は、この手順を使用しないでください。代わりに、「Smart Software Manager オンプレミス への接続の設定」または「特定のライセンスの予約の実装方法」をそれぞれ参照してください。
Firepower Management Center が tools.cisco.com:443 で Cisco Smart Software Manager(CSSM)サーバーにアクセスできることを確認します。
Firepower Management Center で NTP デーモンが実行されていることを確認します。登録時に、NTP サーバーと Cisco Smart Software Manager の間でキー交換が実行されるため、適切な登録には時刻の同期が必要です。
Firepower 4100/9300 シャーシに FTD を展開する場合は、Firepower Management Center と同じ NTP サーバーをシャーシに使用して Firepower シャーシに NTP を設定する必要があります。
組織に複数の Firepower Management Center アプライアンスがある場合は、各 FMC に明確に識別できる一意の名前が付いており、同じバーチャル アカウントに登録されている可能性がある他の Firepower Management Center アプライアンスと区別できることを確認します。この名前は、スマート ライセンスの権限付与の管理にとって重要です。あいまいな名前だと後で問題が発生することがあります。
Cisco Smart Software Manager から必要な製品ライセンス登録トークンを生成します。「スマート ライセンス用の製品ライセンス登録トークンの取得」を参照してください(すべての前提条件を含む)。Firepower Management Center にアクセスするマシンからトークンにアクセスできることを確認します。
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[登録(Register)] をクリックします。 |
||
| ステップ 3 |
Cisco Smart Software Manager から生成されたトークンを [製品インスタンス登録トークン(Product Instance Registration Token)] フィールドに貼り付けます。 テキストの前後にスペースや空白の行がないことを確認します。 |
||
| ステップ 4 |
使用状況データをシスコに送信するかどうかを決定します。
|
||
| ステップ 5 |
[変更を適用(Apply Changes)] をクリックします。 |
Firepower Threat Defense デバイスを Firepower Management Center に追加します。「FMC へのデバイスの追加」を参照してください。
ライセンスを Firepower Threat Defense デバイスに割り当てます。「複数の管理対象デバイスへのライセンスの割り当て」を参照してください。
重要 |
この手順は、スマート アカウントに強力な暗号が承認されていない場合にのみ使用します。アカウントが承認されていない場合、またはわからない場合は「輸出規制対象の機能のライセンス」を参照してください。 |
展開でまだ輸出規制対象の機能がサポートされていないことを確認します。
(注) |
展開で輸出規制対象の機能がサポートされている場合、Cisco Smart Software Manager の [登録トークンの作成(Create Registration Token)] ページに輸出規制対象の機能を有効にできるオプションが表示されます。詳細については、https://www.cisco.com/c/en/us/buy/smart-accounts/software-manager.htmlを参照してください。 |
展開で評価ライセンスが使用されていないことを確認します。
Cisco Smart Software Manager の ページで、Firepower Management Center に対応するライセンスがあることを確認します。
|
輸出規制ライセンス |
Firepower Management Center モデル |
|---|---|
|
Cisco Virtual FMC シリーズの強力な暗号化(3DES/AES) |
すべての仮想 Firepower Management Center |
|
Cisco FMC 1K シリーズの強力な暗号化(3DES/AES) |
1000、 1600 |
|
Cisco FMC 2 K シリーズの強力な暗号化(3DES/AES) |
2000、 2500、2600 |
|
Cisco FMC 4K シリーズの強力な暗号化(3DES/AES) |
4000、 4500、4600 |
| ステップ 1 |
を選択します。
|
||
| ステップ 2 |
[エクスポート キーの要求(Request Export Key)] をクリックして、エクスポート キーを生成します。
|
これで、輸出規制対象の機能を使用する設定またはポリシーを展開できるようになります。
メモ |
これによって有効にされた新しい輸出規制対象のライセンスとすべての機能は、Firepower Threat Defense デバイスが再起動されるまでそのデバイスでは有効になりません。それまでは、前のライセンスでサポートされていた機能のみがアクティブになります。 高可用性展開では、アクティブ/アクティブの状態を避けるために両方の Firepower Threat Defense デバイスを再起動する必要があります。 |
「輸出規制機能の有効化(グローバル権限のないアカウントの場合)」で説明した機能を使用して輸出規制対象の機能を有効にした場合は、この手順を使用してこの機能を無効にできます。
| ステップ 1 |
を選択します。 これによって、このライセンスが開放されて仮想アカウント内の使用可能なライセンスのプールに戻り、再利用できるようになります。 |
| ステップ 2 |
[輸出キーの返却(Return Export Key)] をクリックして、輸出規制ライセンスを無効にします。 |
次の表に、インターネットにアクセスできない環境で使用可能なライセンスオプションを比較して示します。特定の状況については、販売担当者が他のアドバイスをできる場合があります。
|
Smart Software Manager オンプレミス |
特定のライセンスの予約 |
|---|---|
|
大量の製品に対する拡張性 |
少数のデバイスに最適 |
|
ライセンス管理、使用状況、および資産管理の可視性を自動化 |
使用状況および資産管理の可視性の制限 |
|
デバイスを追加するための運用コストの増加なし |
デバイスを追加するための経時的な運用コストが線形 |
|
柔軟性、使いやすさ、少ないオーバーヘッド |
移動、追加、および変更の際の管理および手動によるオーバーヘッドの多さ |
|
初期およびさまざまな期限切れ状態でコンプライアンス不適合ステータスが許可される |
コンプライアンス不適合ステータスはシステムの動作に影響を与える |
|
詳細については、「Smart Software Manager オンプレミス の概要」を参照してください。 |
詳細については、「特定のライセンス予約(SLR)」を参照してください。 |
「ライセンス認証局との定期通信」の説明に従って、ライセンス権限を維持するため、システムは Cisco と定期的に通信する必要があります。次の状況のいずれかの場合、ライセンス認証局と接続するためのプロキシとして Smart Software Manager オンプレミス(別称 SSM オンプレミス、以前の Smart Software Satellite Server)を使用できます。
Firepower Management Center がオフラインである、接続が制限されている、または接続がない(つまり、エアギャップ ネットワークに展開されている)場合。
(エアギャップネットワーク向けの代替ソリューションについては、エアギャップ展開のライセンスのオプションを参照してください。)
Firepower Management Center に固定接続があるが、ネットワークからの単一の接続によってスマート ライセンスを制御する場合。
Cisco Smart Software Manager オンプレミス を使用すると、同期スケジュールを設定、またはスマートライセンス認証を Smart Software Manager と手動で同期させることができます。
Smart Software Manager オンプレミス の詳細については、https://www.cisco.com/c/en/us/buy/smart-accounts/software-manager.html#~on-prem を参照してください。
エアギャップネットワークの場合は、展開のライセンス管理に最適なソリューションを決定してください。「エアギャップ展開のライセンスのオプション」を参照してください。
| ステップ 1 |
Smart Software Manager オンプレミスを展開して設定します。 Smart Software Manager オンプレミスのドキュメントを参照してください。https://www.cisco.com/c/en/us/buy/smart-accounts/software-manager.html#~on-prem から入手できます。 |
| ステップ 2 |
Firepower Management Center を Smart Software Manager オンプレミスに接続し、登録トークンを取得して、FMC を SSM オンプレミスに登録します。 「Smart Software Manager オンプレミス への接続の設定」を参照してください。 |
| ステップ 3 |
デバイスを管理対象に追加します。 「FMC へのデバイスの追加」を参照してください。 |
| ステップ 4 |
管理対象デバイスへのライセンスの割り当て 「複数の管理対象デバイスへのライセンスの割り当て」を参照してください。 |
| ステップ 5 |
Smart Software Manager オンプレミスを Cisco Smart Software Management Server(CSSM)に同期させます。 上記のSmart Software Manager オンプレミスのドキュメントを参照してください。 |
| ステップ 6 |
継続的な同期時刻をスケジュールします。 |
Smart Software Manager オンプレミス(SSM オンプレミス)を設定します。詳細については、展開方法 Smart Software Manager オンプレミスを参照してください。
SSM オンプレミスの TLS/SSL 証明書の CN をメモします。
FMCが SSM オンプレミスに到達できることを確認します。たとえば、SSM オンプレミスの call-home URL として設定された FQDN が内部 DNS サーバーによって解決できることを確認します。
http://www.cisco.com/security/pki/certs/clrca.cer に移動し、TLS/SSL 証明書の本文全体("-----BEGIN CERTIFICATE-----" から "-----END CERTIFICATE-----" まで)を、設定中にアクセスできる場所にコピーします。
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[スマート ソフトウェア サテライト(Smart Software Satellite)] をクリックします。 |
| ステップ 3 |
[Cisco Smart Software Satellite Serverに接続(Connect to Cisco Smart Software Satellite Server)] を選択します。 |
| ステップ 4 |
この手順の前提条件で収集した CN 値を使用して、Smart Software Manager オンプレミス の URL を次の形式で入力します。 https://FQDN_or_hostname_of_your_SSM_On-Prem/Transportgateway/services/DeviceRequestHandler FQDN またはホスト名は、SSM オンプレミスによって提示された証明書の CN 値と一致している必要があります。 |
| ステップ 5 |
新しい [SSL証明書(SSL Certificate)] を追加し、この手順の前提条件でコピーした証明書テキストを貼り付けます。 |
| ステップ 6 |
[適用(Apply)] をクリックします。 |
| ステップ 7 |
[システム(System)] > [ライセンス(Licenses)] > [スマートライセンス(Smart Licenses)] を選択し、[登録(Register)] をクリックします。 |
| ステップ 8 |
Smart Software Manager オンプレミスに新しいトークンを作成します。 |
| ステップ 9 |
トークンをコピーします。 |
| ステップ 10 |
トークンを管理センター ページのフォームに貼り付けます。 |
| ステップ 11 |
[変更を適用(Apply Changes)] をクリックします。 管理センターが Smart Software Manager オンプレミスに登録されました。 |
「展開方法 Smart Software Manager オンプレミス」の残りの手順を実行します。
特定のライセンスの予約機能を使用して、エアギャップ ネットワークにスマート ライセンスを展開できます。
(注) |
シスコでは、特定のライセンス予約に SLR、SPLR、PLR、永久ライセンス予約などのさまざまな名前を使用しています。シスコでは、これらの用語が、類似しているものの必ずしも同一ではないライセンスモデルを指すために使用される場合もあります。 |
特定のライセンスの予約が有効になっている場合、Firepower Management Center は、Cisco Smart Software Manager にアクセスせずに、または Smart Software Manager オンプレミス を使用せずに、仮想アカウントからライセンスを指定された期間予約します。
Firepower Management Center では、標準クラシック ライセンスを使用するデバイスを同時に管理することもできます。ただし、これらのデバイスは特定のライセンスの予約を使用しません。
インターネットへのアクセスが必要なパブリック Web サイトに対する URL ルックアップや状況に応じた相互起動などの機能は動作しません。
シスコは、特定のライセンスの予約を使用する展開に関する Web 分析やテレメトリのデータを収集しません。
関連トピック:
特定のライセンスの予約を正常に実装するには、このドキュメントを必ず読んでください。
試行が失敗した場合は TAC に連絡する必要が生じる可能性があります。
問題を避けるには、前提条件や確認手順を含めて、手順に慎重に従ってください。
特定のライセンスの予約の使用状況は、シスコによる承認と認証が必要です。
特定のライセンスの予約の前提条件も参照してください。
|
操作手順 |
詳細情報 |
|
|---|---|---|
| ステップ 1 | この機能の前提条件を満たします。 | |
| ステップ 2 |
スマート アカウントで特定のライセンスの付与資格を展開する準備が整っていることを確認します。 |
|
| ステップ 3 |
Firepower Management Center を使用して特定のライセンスの予約を有効にします。 |
[特定のライセンス(Specific Licenses)] メニュー オプションの有効化 |
| ステップ 4 | Firepower Management Center から予約要求コードを生成します。 | Firepower Management Center からの予約要求コードの生成 |
|
ステップ 5 |
予約要求コードを使用して、Cisco Smart Software Manager から予約承認コードを生成します。 |
|
|
ステップ 6 |
Firepower Management Center に予約承認コードを入力します。 |
|
|
ステップ 7 |
特定のライセンスを管理対象の Firepower Threat Defence デバイスに割り当てます。 |
|
|
ステップ 9 |
(Firepower Management Center 外)進行中のメンテナンス タスクのリマインダのスケジュールを設定します。 |
スマート アカウントをセットアップします。
「ライセンスを保持するためのスマート アカウントの作成」を参照してください。
Firepower Management Center で標準スマート ライセンスを現在使用している場合は、特定のライセンスの予約を実装する前に Firepower Management Center の登録を解除します。詳細については、「Cisco Smart Software Manager からの Firepower Management Center の登録解除」を参照してください。
Firepower Management Center に現在展開されているすべてのスマート ライセンスがアカウントで使用可能なライセンスのプールに戻され、特定のライセンスの予約を実装すると再利用できるようになります。
特定のライセンスの予約には、標準スマート ライセンスと同じ数およびタイプのライセンスが必要です。展開するデバイスと機能に必要な標準ライセンスとサービス サブスクリプションの数を特定します。必要に応じて、Firepower Management Center Virtual の付与資格を含めてください。
Firepower のライセンスとサービス サブスクリプションについては、「FTD ライセンスのタイプと制約事項」およびそのサブトピック(特に「Firepower Management Center Virtual ライセンス」)を参照してください。
必要なライセンスを購入します。
必要であり、組織にその付与資格がある場合は、輸出規制対象の強力な暗号化機能を手配します。アカウントでその機能が使用できること、または必要な Firepower Management Center の事前ライセンスが仮想アカウントに表示されていることを確認します。アカウント担当者がサポートします。
詳細については、「輸出規制対象の機能のライセンス」を参照してください。
Firepower 製品の特定ライセンス予約(SLR)の承認を得るため、アカウント担当者が協力いたします。
特定のライセンスの予約が使用できる状態になっており、スマート アカウントに反映されていることをアカウント担当者に確認してください。
管理対象デバイスを Firepower Management Center に追加します。この説明については、「FMC へのデバイスの追加」 を参照してください。(管理対象デバイスはいつでも追加できますが、今追加すると、このプロセスが簡単になります。)これを実行するには、評価ライセンスを有効にする必要があります([システム(System)] から [ライセンス(Licenses)] > [スマート ライセンス(Smart Licenses)])。評価ライセンスは、ライセンス認証局への接続を必要としません。
Firepower Management Center と管理対象デバイスで NTP が設定されていることを確認します。登録を成功させるには、時刻を同期させる必要があります。
Firepower 4100/9300 シャーシに FTD を展開する場合は、Firepower Management Center と同じ NTP サーバーをシャーシに使用して Firepower シャーシに NTP を設定する必要があります。
(推奨)高可用性構成で Firepower Management Center ペアを展開する場合は、ライセンスを割り当てる前にその設定をします(高可用性構成の FMC で必要なライセンスの数は、単一の FMC の場合と同じです)。すでにセカンダリ アプライアンスにライセンスを展開している場合は、そのアプライアンスからライセンスを登録解除します。
特定のライセンスの予約の展開時の問題を防ぐため、Firepower Management Center に変更を加える前にこの手順を実行します。
「特定のライセンスの予約の前提条件」で説明した要件を満たしていることを確認します。
Cisco Smart Software Manager のクレデンシャルがあることを確認します。
| ステップ 1 |
Cisco Smart Software Manager にサインインします。 |
||
| ステップ 2 |
該当する場合は、ページの右上隅から正しいアカウントを選択します。 |
||
| ステップ 3 |
必要に応じて、[インベントリ(Inventory)] をクリックします。 |
||
| ステップ 4 |
[ライセンス(Licenses)] をクリックします。 |
||
| ステップ 5 |
次のことを確認してください。
|
||
| ステップ 6 |
これらのアイテムがないか、または誤っている場合は、アカウント担当者に連絡して問題を解決します。
|
この手順では、Firepower Management Center の [スマート ライセンス(Smart Licenses)] メニュー オプションを [特定のライセンス(Specific Licenses)] に変更します。
| ステップ 1 |
USB キーボードと VGA モニターを使用して Firepower Management Center コンソールにアクセスするか、SSH を使用して管理インターフェイスにアクセスします。 |
| ステップ 2 |
CLI admin アカウントを使用して Firepower Management Center にログインします。これにより、Firepower Management Center CLI にアクセスできます。 |
| ステップ 3 |
expert コマンドを入力して Linux シェルにアクセスします。 |
| ステップ 4 |
特定のライセンスの予約のオプションにアクセスするには、次のコマンドを実行します。 sudo manage_slr.pl 例: |
| ステップ 5 |
オプション 2 を選択して、Specific License Reservation を有効にします。 |
| ステップ 6 |
オプション 0 を選択して manage_slr ユーティリティを終了します。 |
| ステップ 7 |
exit と入力し、Linux シェルを終了します。 |
| ステップ 8 |
入力 exit してコマンドライン インターフェイスを終了します。 |
| ステップ 9 |
Firepower Management Center の Web インターフェイスの [特定のライセンスの予約(Specific License Reservation)] ページにアクセスできることを確認します。
|
| ステップ 1 |
[特定のライセンスの予約(Specific License Reservation)] ページが表示されていない場合は、[システム(System)] > [ライセンス(Licenses)] > [特定のライセンス(Specific Licenses)]を選択します。 |
| ステップ 2 |
[生成(Generate)] をクリックします。 |
| ステップ 3 |
予約要求コードをメモします。 |
| ステップ 1 |
Cisco Smart Software Manager に移動します。 |
||
| ステップ 2 |
必要に応じて、ページの右上から正しいアカウントを選択します。 |
||
| ステップ 3 |
必要に応じて、[インベントリ(Inventory)] をクリックします。 (このページは自動的に表示されることがあります。) |
||
| ステップ 4 |
[ライセンス(Licenses)] をクリックします。 |
||
| ステップ 5 |
[ライセンスの予約(License Reservation)] をクリックします。 |
||
| ステップ 6 |
生成したコードを Firepower Management Center から [予約要求コード(Reservation Request Code)] ボックスに入力します。 |
||
| ステップ 7 |
[次へ(Next)] をクリックします。 |
||
| ステップ 8 |
[特定のライセンスの予約(Reserve a specific license)] を選択します。 |
||
| ステップ 9 |
下にスクロールしてライセンス グリッド全体を表示します。 |
||
| ステップ 10 |
[予約する数量(Quantity To Reserve)] に、展開に必要な各プラットフォームと機能の数を入力します。
|
||
| ステップ 11 |
[次へ(Next)] をクリックします。 |
||
| ステップ 12 |
[承認コードを生成(Generate Authorization Code)] をクリックします。 この時点で、ライセンスは、Smart Software Manager に従って使用中です。 |
||
| ステップ 13 |
Firepower Management Center に入力するための準備として承認コードをダウンロードします。 |
| ステップ 1 |
[特定のライセンスの予約(Specific License Reservation)] ページが表示されていない場合は、Firepower Management Center の Web インターフェイスで [システム(System)] > [ライセンス(Licenses)] > [特定のライセンス(Specific Licenses)]を選択します。 |
| ステップ 2 |
[参照(Browse)] をクリックして、CSSM から生成した承認コードを含むテキストファイルをアップロードします。 |
| ステップ 3 |
[Install(インストール)] をクリックします。 |
| ステップ 4 |
[特定のライセンスの予約(Specific License Reservation)] ページに [使用の承認(Usage Authorization)] ステータスが [承認済み(authorized)] と表示されていることを確認します。 |
| ステップ 5 |
[予約済みライセンス(Reserved Licenses)] タブをクリックして、[承認コード(Authorization Code)] の生成時に選択したライセンスを確認します。 必要なライセンスが表示されていない場合は、必要なライセンスを追加します。詳細については、「Firepower Management Center の特定のライセンスの更新」を参照してください。 |
この手順を使用して、複数の管理対象デバイスにライセンスを一度にすばやく割り当てます。
また、この手順を使用してライセンスを無効にするか、または 1 つの Firepower Threat Defense デバイスから別のデバイスに移動できます。デバイスのライセンスを無効にすると、ライセンスに関連付けられた機能をそのデバイスで使用できません。
| ステップ 1 |
[システム(System)] > [ライセンス(Licenses)] > [個別ライセンス(Specific Licenses)] を選択します。 |
| ステップ 2 |
[ライセンスの編集(Edit Licenses)] をクリックします。 |
| ステップ 3 |
各タブをクリックし、必要に応じてデバイスにライセンスを割り当てます。 |
| ステップ 4 |
[適用(Apply)] をクリックします。 |
| ステップ 5 |
[割り当て済みのライセンス(Assigned Licenses)] タブをクリックし、各デバイスでライセンスが正しくインストールされていることを確認します。 |
輸出規制対象の機能が有効になっている場合は、各デバイスを再起動します。高可用性ペアにデバイスが設定されている場合、両方のデバイスを同時に再起動してアクティブ/アクティブの状態を回避します。
設定変更を展開します。設定変更の展開を参照してください。
Firepower Management Center で特定のライセンスが正常に展開された後は、この手順を使用して付与資格をいつでも追加または削除できます。
| ステップ 1 |
Firepower Management Center で、このアプライアンスの一意の製品インスタンス識別子を取得します。 |
| ステップ 2 |
Cisco Smart Software Manager で、更新する Firepower Management Center のアプライアンスを識別します。 |
| ステップ 3 |
Cisco Smart Software Manager で適切な Firepower Management Center アプライアンスが見つかったら、予約したライセンスを更新し、新しい承認コードを生成します。 |
| ステップ 4 |
Firepower Management Center での特定のライセンスを更新するには、次の手順を実行します。 |
| ステップ 5 |
Cisco Smart Software Manager に承認コードを入力するには、次の手順を実行します。
|
| ステップ 6 |
Firepower Management Center で、ライセンスが予期したとおりに予約されていること、および各管理対象デバイスの各機能に チェックマーク([チェックマーク(check mark)] 詳細については「Specific License Reservation のステータス」を必要に応じて参照してください。 |
展開に輸出規制対象の機能が含まれている場合は各デバイスを再起動します。高可用性ペアにデバイスが設定されている場合、両方のデバイスを同時に再起動してアクティブ/アクティブの状態を回避します。
設定変更を展開します。設定変更の展開を参照してください。
展開を有効に保つ脅威に関するデータとソフトウェアを更新するには、「エアギャップ展開の維持」を参照してください。
すべての機能が中断せずに動作し続けるようにするには、ライセンスの有効期限を([予約済みライセンス(Reserved Licenses)] タブ)で監視します。
次に示すように、[システム(System)] > [Licenses(ライセンス)] > [特定のライセンス(Specific Licenses)] ページには Firepower Management Center でのライセンスの使用状況の概要が表示されます。
可能なステータス値は次のとおりです。
[承認済み(Authorized)]:Firepower Management Center は、アプライアンスのライセンスの付与資格を承認したライセンス認証局に準拠しており、正常に登録されています。
[コンプライアンス不適合(Out-of-compliance)]:ライセンスの期限が切れているか、または Firepower Management Center が予約していないにもかかわらずライセンスを過剰に使用している場合、[コンプライアンス不適合(Out-of-Compliance)] がステータスに表示されます。[特定のライセンスの予約(Specific License Reservation)] にライセンスの付与資格が適用されるため、アクションを実行する必要があります。
特定の登録ステータスと、Firepower Management Center で承認コードが最後にインストールされたか、または更新された日付を指定します。
Firepower Management Center の輸出規制対象機能を有効にしたかどうかを指定します。
輸出規制対象機能の詳細については、「輸出規制対象の機能のライセンス」を参照してください。
この Firepower Management Center のユニバーサル一意識別子 (UUID)。この値は Cisco Smart Software Manager でこのデバイスを識別します。
特定のライセンスを更新するか、または非アクティブ化して返却する場合に [確認コード(Confirmation Code)] が必要です。
各デバイスとそれぞれのステータスに割り当てられているライセンスを表示します。
割当に使用されているライセンスと使用可能なライセンスの数、およびライセンスの有効期限を表示します。
必要なライセンスが使用できないか、または期限が切れている場合、次のアクションは制限されています。
デバイス登録に使用
ポリシーの展開
特定のライセンスの予約の資格を更新するには、必要なライセンスを購入し、「特定のライセンスの予約の更新」の手順を実行します。
特定のライセンスの予約資格を更新する時期になったら、必要なライセンスを購入し、「特定のライセンスの予約の更新」の手順を実行します。
特定のライセンスが不要になった場合は、そのライセンスをスマート アカウントに戻す必要があります。
重要 |
この手順のすべてのステップを実行しないと、ライセンスは使用中の状態のままとなり、再利用できません。 |
この手順で、Firepower Management Center と関連付けられていたすべてのライセンスの付与資格が仮想アカウントに開放されます。登録を解除すると、ライセンスが付与された機能への更新や変更が許可されなくなります。
| ステップ 1 |
Firepower Management Center の Web インターフェイスで、[システム(System)]> [ライセンス(Licenses)]> [特定のライセンス(Specific License)]を選択します。 |
| ステップ 2 |
この Firepower Management Center の [製品インスタンス(Product Instance)] の識別子をメモします。 |
| ステップ 3 |
Firepower Management Center から返却コードを生成するには、次の手順を実行します。
|
| ステップ 4 |
Cisco Smart Software Manager で、登録を解除する Firepower Management Center のアプライアンスを識別します。 |
| ステップ 5 |
正しい Firepower Management Center が特定されたら、ライセンスをスマート アカウントに戻します。 |
| ステップ 6 |
Firepower Management Center の Linux シェルで、特定のライセンスを無効にします。 |
Cisco Smart Software Manager の [製品インスタンス(Product Instances)] ページで、テーブル内の列のいずれかの値に基づいて製品インスタンスが識別できない場合は、FP タイプの汎用製品インスタンスそれぞれの名前をクリックする必要があります。このページの UUID の値は 1 つの Firepower Management Center を一意に識別します。
Firepower Management Center の Web インターフェイスでは、Firepower Management Center の UUID は [システム(System)] > [ライセンス(Licenses)] > [特定のライセンス(Specific License)] ページに表示される [製品インスタンス(Product Instance)] の値です。
[ライセンス予約(License Reservation)] ボタンが表示されない場合、お使いのアカウントでは個別ライセンスの予約が承認されていません。Linux シェルで特定のライセンスの予約をすでに有効にし、要求コードを生成している場合は、次の手順を実行します。
Firepower Management Center の Web インターフェイスですでに要求コードを生成している場合は、その要求コードをキャンセルします。
「特定のライセンスの予約の非アクティブ化と返却」のセクションで説明しているように、Firepower Management Center の Linux シェルで特定のライセンスの予約を無効にします。
スマート トークンを使用して、通常モードで Firepower Management Center を Cisco Smart Software Manager に登録します。
Cisco TAC に連絡して、自分のスマート アカウントの個別ライセンスを有効にします。
承認コードは生成したが、Cisco Smart Software Manager からまだダウンロードしていない場合は、Cisco Smart Software Manager の [製品インスタンス(Product Instance)] ページに移動し、製品インスタンスをクリックした後、[予約承認コードのダウンロード(Download Reservation Authorization Code)] をクリックします。
登録するデバイスをカバーするのに十分な MCv の資格がスマート アカウントにあることを確認してから展開を更新し、必要な資格を追加します。
「特定のライセンスの予約の更新」を参照してください。
これは予期されている動作です。[特定のライセンス(Specific Licensing)] を有効にすると、スマート ライセンスは無効になります。[特定のライセンス(Specific License)] ページを使用してライセンスの操作を実行できます。
スマート ライセンスを使用する場合は、特定のライセンスを返却する必要があります。詳細については、「特定のライセンスの予約の非アクティブ化と返却」を参照してください。
[特定のライセンス(Specific License)] ページを表示するには、特定のライセンスを有効にする必要があります。詳細については、「[特定のライセンス(Specific Licenses)] メニュー オプションの有効化」を参照してください。
[戻りコード(Return Code)] は Firepower Management Center に保存されています。Linux シェルから特定のライセンスをもう一度有効にし(「[特定のライセンス(Specific Licenses)] メニュー オプションの有効化」を参照)、Firepower Management Center の Web インターフェイスを更新します。[戻りコード(Return Code)] が表示されます。
Firepower Management Center によって管理されるデバイスは、ライセンスを、Cisco Smart Software Manager から直接ではなく Firepower Management Center 経由で取得します。
複数の Firepower Threat Defense デバイスでライセンスを一度に有効にするには、次の手順を実行します。
(注) |
同じ セキュリティ モジュール/エンジン のコンテナ インスタンスの場合は、ライセンスを各インスタンスに適用します。ただし、セキュリティ モジュール/エンジン のすべてのインスタンスについては、セキュリティ モジュール/エンジン は機能ごとに 1 つのライセンスのみを使用します。 |
(注) |
FTD クラスタの場合は、クラスタ全体にライセンスを適用します。ただし、クラスタ内の各ユニットが機能ごとに個別のライセンスを使用します。 |
まだ割り当てていない場合、Firepower Management Center でデバイスを登録します。「FMC へのデバイスの追加」を参照してください。
管理対象デバイスに配布するためのライセンスを準備するには、次を参照してください: スマート ライセンスの登録
| ステップ 1 |
または [特定のライセンス(Specific Licenses)] を選択します。 |
| ステップ 2 |
[ライセンスの編集(Edit Licenses)] をクリックします。 |
| ステップ 3 |
デバイスに追加するライセンスのタイプごとに、次の手順を実行します。 |
ライセンスが正しくインストールされていることを確認します。「FTD ライセンスとライセンスステータスの表示」の手順に従います。
輸出規制対象の機能が新たに有効になった場合は、各デバイスを再起動します。高可用性ペアにデバイスが設定されている場合、両方のデバイスを同時に再起動してアクティブ/アクティブの状態を回避します。
設定変更を展開します。設定変更の展開を参照してください。
Firepower Management Center とその管理対象 Firepower Threat Defense デバイスのライセンスステータスを表示するには、FMC の [スマートライセンス(Smart Licenses)] ページを使用します。
このページには、展開におけるライセンスのタイプごとに、使用されているライセンスの総数、そのライセンスのコンプライアンスの適合または不適合の状態、デバイス タイプ、およびデバイスが展開されているドメインとグループが表示されます。また、Firepower Management Center のスマート ライセンス ステータスを表示できます。同じ セキュリティ モジュール/エンジン 上の コンテナ インスタンスは セキュリティ モジュール/エンジン ごとに 1 つのライセンスを使用します。したがって、ライセンス タイプごとに各コンテナ ライセンスが個別に FMC に表示されても、機能ライセンス タイプに使用されているライセンスの数は 1 つのみです。
[スマート ライセンス(Smart Licenses)] ページ以外にも、ライセンスを表示できる方法がいくつかあります。
[製品ライセンス(Product Licensing)] ダッシュボード ウィジェットはライセンスの概要を示します。
「ダッシュボードへのウィジェットの追加」、「ユーザー ロール別のダッシュボード ウィジェットの可用性」、および「[製品ライセンス(Product Licensing)] ウィジェット」を参照してください。
[デバイス管理(Device Management)] ページ()は、各管理対象デバイスに適用されているライセンスをリストします。
ヘルス ポリシーで使用される際に、スマート ライセンス モニタのヘルス モジュールはライセンス ステータスを伝達します。
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[スマート ライセンス(Smart Licenses)] テーブルで、各 [ライセンス タイプ(License Type)] フォルダの左側にある矢印をクリックしてそのフォルダを展開します。 |
||
| ステップ 3 |
各フォルダで、各デバイスの [ライセンスステータス(License Status)] 列に チェックマーク([チェックマーク(check mark)]
すべてのデバイスに チェックマーク([チェックマーク(check mark)] チェックマーク([チェックマーク(check mark)] |
チェックマーク([チェックマーク(check mark)]
アイコン [チェックマーク(check mark)] アイコン) 付きの緑の円が表示されているデバイスがない場合は、追加ライセンスの購入が必要な可能性があります。
Specific License Reservation のステータスを参照してください
[システム(System)] > [ライセンス(Licenses)] > [スマート ライセンス(Smart Licenses)] ページの [スマート ライセンスのステータス(Smart License Status)] セクションでは、次に示すとおり、Firepower Management Center でのライセンスの使用状況の概要が提供されます。
可能なステータス値は次のとおりです。
コンプライアンス適合(![[コンプライアンス適合(in-compliance)] アイコン](/c/dam/en/us/td/i/400001-500000/420001-430000/428001-429000/428582.jpg){kind=small}
):管理対象デバイスに割り当てられているすべてのライセンスが要求を満たしており、Firepower Management Center がシスコのライセンス認証局と正常に通信しています。
ライセンスは要求を満たしているが、ライセンス認証局との通信に失敗した:デバイスのライセンスは要求を満たしていますが、Firepower Management Center がシスコのライセンス認証局と通信できません。
コンプライアンス不適合のアイコンまたはライセンス認証局と通信できない:1 つ以上の管理対象デバイスがコンプライアンス不適合のライセンスを使用しているか、Firepower Management Center がシスコのライセンス認証局と通信していない期間が 90 日を超えています。
Firepower Management Center がライセンス認証局に連絡し登録された最終日を指定します。
製品インスタンス登録トークンの生成に使用したスマート アカウントの下の仮想アカウントを指定し、Firepower Management Center を登録します。この展開がスマート アカウント内の特定の仮想アカウントに関連付けられていない場合は、この情報は表示されません。
このオプションが有効になっている場合、制限機能を展開できます。詳細は、「輸出規制対象の機能のライセンス」を参照してください。
Firepower Management Centerの Cisco Success Network を有効にしたかどうかを指定します。このオプションを有効にすると、テクニカル サポートを提供するために不可欠な使用状況に関する情報と統計がシスコに提供されます。また、この情報により、シスコは製品を向上させ、未使用の使用可能な機能を認識させるため、ネットワーク内にある製品の価値を最大限に生かすことができます。詳細については、Cisco Success Networkを参照してください。
Firepower Management Center によって管理されている Firepower Threat Defense デバイスのライセンスを管理するには、この手順を使用します。
たとえば、一つの FTD デバイスから、同じ FMC に登録されている別の FTD デバイスにライセンスを移動したり、デバイスからライセンスを削除することができます。
デバイスのライセンスを削除(無効化)すると、そのライセンスに関連付けられた機能をそのデバイスで使用できなくなります。
重要 |
別の Firepower Management Center で管理されているデバイスにライセンスを移動する必要がある場合は、「FTD ライセンスの次への移転:他の Firepower Management Center」を参照してください。 |
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[ライセンスの編集(Edit Licenses)] をクリックします。 |
| ステップ 3 |
[マルウェア(Malware)]、[脅威(Threat)]、[URL フィルタリング(URL Filtering)]、[AnyConnect Plus]、[AnyConnect Apex]、または [AnyConnect VPN のみ(AnyConnect VPN Only)] のいずれかをクリックします。 |
| ステップ 4 |
ライセンスを付与するデバイスを選択して [追加(Add)] をクリックするか、ライセンスを削除する各デバイス形式をクリックして をクリックします。 |
| ステップ 5 |
[適用(Apply)] をクリックします。 |
変更内容を管理対象デバイスに展開します。
スマート ライセンスを Firepower Management Center に登録すると、バーチャル アカウントでそのライセンスが FMC に割り当てられます。スマート ライセンスを他の Firepower Management Center に移転する必要がある場合は、現在ライセンスが適用されている FMC の登録を解除する必要があります。これにより、バーチャル アカウントからスマート ライセンスが削除され、既存のライセンスが解放されるので、そのライセンスを新しい FMC に登録できるようになります。登録を解除しないと、これらのライセンスを再利用できず、バーチャル アカウントで使用可能なライセンスの数が足りなくなるために、コンプライアンス不適合通知を受け取る場合があります。この説明については、「Cisco Smart Software Manager からの Firepower Management Center の登録解除」を参照してください。
その後、目的の Firepower Management Center にライセンスを登録できます。
[スマート ライセンス(Smart Licenses)] ページ()の [使用の承認(Usage Authorization)] ステータスが [コンプライアンス不適合(Out of Compliance)] の場合はアクションを実行する必要があります。
| ステップ 1 |
このページの下部にある [スマート ライセンス(Smart Licenses)] セクションを確認し、必要なライセンスを判断します。 |
| ステップ 2 |
必要なライセンスを通常のチャネルを通じて購入します。 |
| ステップ 3 |
Cisco Smart Software Manager (https://software.cisco.com/#SmartLicensing-Inventory)で、仮想アカウントにライセンスが表示されていることを確認します。 必要なライセンスがない場合は「FTD ライセンスのトラブルシューティング」を参照してください。 |
| ステップ 4 |
Firepower Management Center で、 を選択します。 |
| ステップ 5 |
[再承認(Re-authorize)] をクリックします。 |
アプライアンスを再インストール(再イメージ化)する前か、または何らかの理由ですべてのライセンスの付与資格を開放してスマート アカウントに戻す必要がある場合は、Cisco Smart Software Manager から Firepower Management Center の登録を解除(未登録に)します。
登録を解除すると、仮想アカウントから FMC が削除されます。Firepower Management Center リリースに関連付けられているライセンス権限はすべて、ご使用のバーチャル アカウントに戻ります。登録解除後、Firepower Management Center は適用モードになり、ライセンスが適用される機能に対する更新および変更が許可されなくなります。
管理対象の Firepower Threat Defense の一部のデバイスからライセンスを削除する必要がある場合は、「複数の管理対象デバイスへのライセンスの割り当て」または「[デバイス管理(Device Management)] ページで管理対象デバイスにライセンスを割り当てる」を参照してください。
| ステップ 1 |
を選択します。 |
| ステップ 2 |
登録解除([登録解除(deregister)] |
Cisco Smart Software Manager に変更を加えた場合は、すぐに変更が有効になるように Firepower Management Center 上で認証を更新できます。
| ステップ 1 |
を選択します。 |
| ステップ 2 |
更新( |
表示されると思っていたライセンスがスマート アカウントにない場合は、次を試してください。
他の仮想アカウントにないことを確認します。この問題について、組織のライセンス管理者によるサポートが必要な場合があります。
ライセンスを販売した担当者と、アカウントへの譲渡が完了していることを確認します。
最初に、明らかな原因を確認します。たとえば、Firepower システムに外部接続があることを確認します。インターネット アクセス要件を参照してください。
デバイスが別の FMC にすでに登録されている場合は、新しい FMC にデバイスのライセンスを付与する前に元の FMC の登録を解除する必要があります。「Cisco Smart Software Manager からの Firepower Management Center の登録解除」を参照してください。
同期を試行します。「Cisco Smart Software Manager と Firepower Management Center の同期」を参照してください。
その他の一般的な問題の解決方法については、https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/215838-fmc-and-ftd-smart-license-registration-a.html を参照してください
NGIPSv デバイス、および ASA FirePOWER モジュールには従来のライセンスが必要です。このドキュメントでは、これらのデバイスは多くの場合、クラッシク デバイスと呼ばれています。
重要 |
Firepower ハードウェアを稼働しているが Firepower ソフトウェアは実行していない場合は、使用しているソフトウェア製品のライセンス情報を参照してください。このドキュメントでは扱っていません。 |
クラシック ライセンスは、製品認証キー(PAK)をアクティブにする必要があり、デバイスごとに必要です。クラシック ライセンスは、「従来のライセンス」と呼ばれることもあります。
Firepower 機能のクラシック ライセンスを 1 つ以上購入する場合は、それらのライセンスを Cisco Product License Registration ポータルで管理します。
このポータルの使用方法の詳細については、次を参照してください。
https://slexui.cloudapps.cisco.com/SWIFT/LicensingUI/Quickstart
これらのリンクにアクセスするには、アカウントのクレデンシャルが必要です。
一部の機能にはサービス サブスクリプションが必要です。
サービス サブスクリプションは、所定の時間内限定で、管理対象デバイス上の特定の Firepower 機能を有効にします。サービス サブスクリプションは、1 年、3 年、または 5 年単位で購入できます。サブスクリプションの期限が切れると、サブスクリプションの更新が必要であることが通知されます。クラシック デバイスのサブスクリプションの期限が切れた場合、機能のタイプによっては、関連機能を使用できなくなることがあります。
|
購入するサブスクリプション |
Firepower システム内で割り当てるクラシック ライセンス |
|---|---|
|
TA |
制御 + 保護(別名「脅威 & アプリ」、システム更新に必要) |
|
TAC |
制御 + 保護 + URL フィルタリング |
|
TAM |
制御 + 保護 + マルウェア |
|
TAMC |
制御 + 保護 + URL フィルタリング + マルウェア |
|
URL |
URL フィルタリング(TA が既に存在する場合はアドオン) |
|
AMP |
マルウェア(TA が既に存在する場合はアドオン) |
クラシック ライセンスを使用する管理対象デバイスを購入すると、制御および保護のライセンスが自動的に提供されます。これらのライセンスは無期限ですが、システムの更新を有効にするには、TA サービス サブスクリプションを購入する必要があります。追加機能のサービス サブスクリプションはオプションです。
ここでは、Firepower システム展開環境で使用可能な従来のライセンスのタイプについて説明します。デバイスで有効にできるライセンスは、デバイスのモデル、バージョン、および他の有効なライセンスによって異なります。
NGIPSv デバイス、および ASA FirePOWER モジュールの場合、ライセンスはモデル固有です。ライセンスがデバイスのモデルと完全に一致しない限り、管理対象デバイスでライセンスを有効にすることはできません。
Firepower システムでライセンス付き機能にアクセスできなくなる状況がいくつかあります。
Firepower Management Center から従来のライセンスを削除することができますが、そのようにすると、すべての管理対象デバイスに影響します。
特定の管理対象デバイスでライセンス付き機能を無効にすることができます。
いくつかの例外がありますが、期限切れライセンスまたは削除済みライセンスに関連付けられている機能は使用できません。
次の表に、Firepower システムにおける従来のライセンスの概要を示します。
|
Firepower システムで割り当てるライセンス |
購入するサービス サブスクリプション |
プラットフォーム |
付与される機能 |
併せて必要なライセンス |
有効期限設定の可/不可 |
|---|---|---|---|---|---|
|
任意 |
TA、TAC、TAM、または TAMC |
ASA FirePOWER NGIPSv |
ホスト、アプリケーション、ユーザー検出 SSL 暗号化トラフィックと TLS 暗号化トラフィックの復号および検査 |
なし |
ライセンスによって異なる |
|
プロテクション |
TA(デバイスに付属) |
ASA FirePOWER NGIPSv |
侵入検知と防御 ファイル制御 セキュリティ インテリジェンス フィルタリング |
なし |
不可 |
|
制御 |
なし(デバイスに付属) |
ASA FirePOWER NGIPSv |
ユーザおよびアプリケーション制御 |
プロテクション |
不可 |
|
マルウェア |
TAM、TAMC、または AMP |
ASA FirePOWER NGIPSv |
ネットワーク向け AMP (ネットワーク ベースの高度なマルウェア防御) ファイル ストレージ |
プロテクション |
可 |
|
URL フィルタリング |
TAC、TAMC、または URL |
ASA FirePOWER NGIPSv |
カテゴリとレピュテーションに基づく URL フィルタリング |
プロテクション |
可 |
プロテクション ライセンスでは、侵入検知および防御、ファイル制御、およびセキュリティ インテリジェンス フィルタリングを実行できます。
侵入検知および防御により、侵入とエクスプロイトを検出するためネットワーク トラフィックを分析できます。またオプションで違反パケットをドロップできます。
ファイル制御により、特定のアプリケーション プロトコルを介した特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をユーザーからブロックできます。マルウェア ライセンスが必要な ネットワーク向け AMP では、マルウェアの性質に基づいて限られたファイル タイプを検査およびブロックすることもできます。
セキュリティ インテリジェンス フィルタリングにより、トラフィックをアクセスコントロールルールによる分析対象にする前に、特定の IP アドレス、URL、および DNS ドメイン名をブロック(その IP アドレスとの間のトラフィックを拒否)できます。ダイナミックフィードにより、最新の情報に基づいて接続をただちにブロックできます。オプションで、セキュリティ インテリジェンス フィルタリングに「モニターのみ」設定を使用できます。
プロテクション ライセンス(制御ライセンスと共に)は、クラシック管理対象デバイスの購入時に自動的に組み込まれます。このライセンスは無期限ですが、システムの更新を有効にするには、TA サブスクリプションも購入する必要があります。
ライセンスがない状態でプロテクション関連の検査を実行するようにアクセス制御ポリシーを設定できますが、プロテクション ライセンスを Firepower Management Center に追加し、ポリシー展開対象デバイス上でこのライセンスを有効にするまではポリシーを展開できません。
プロテクション ライセンスを Firepower Management Center から削除するか、または管理対象デバイスでプロテクションを無効にすると、Firepower Management Center は対象デバイスからの侵入イベントとファイル イベントを認識しなくなります。結果として、トリガー条件としてこれらのイベントを使用する相関ルールがトリガーしなくなります。また、Firepower Management Center はシスコ提供またはサード パーティのセキュリティ インテリジェンス情報を取得するためにインターネットに接続しなくなります。プロテクションを再度有効にするまでは、既存のポリシーを再度展開することはできません。
プロテクション ライセンスは URL フィルタリング、マルウェア、および制御ライセンスに必要であるため、プロテクション ライセンスを削除または無効にすると、URL フィルタリング、マルウェア、または制御ライセンスを削除または無効にすることと同じ効果があります。
制御ライセンスでは、アクセス コントロール ルールにユーザーとアプリケーションの条件を追加することで、ユーザーとアプリケーションの制御を実装できます。管理対象デバイスの制御ライセンスを有効にするには、保護ライセンスも有効にする必要があります。制御ライセンスは(保護ライセンスとともに)、従来の管理対象デバイスの購入時に自動的に付属します。このライセンスは無期限ですが、システムの更新を有効にするには、TA サブスクリプションも購入する必要があります。
従来の管理対象デバイスの制御ライセンスを有効にしない場合は、アクセス コントロール ポリシーのルールにユーザーおよびアプリケーションの条件を追加できますが、デバイスにポリシーを展開することはできません。
Firepower Management Center から制御ライセンスを削除するか、個々のデバイスで制御を無効にする場合:
既存の設定の編集や削除を続けることはできますが、影響を受けるデバイスに対する変更を展開することはできません。
既存のアクセス コントロール ポリシーに、ユーザー条件またはアプリケーション条件を含むルールが含まれている場合は、それらのポリシーを再展開することができません。
URL フィルタリングにより、モニタ対象ホストにより要求される URL に基づいて、ネットワーク内を移動できるトラフィックを判別するアクセス制御ルールを作成することができます。URL フィルタリング ライセンスを有効にする場合は、保護ライセンスも有効にする必要があります。従来のデバイスの URL フィルタリング ライセンスは、脅威 & アプリ(TAC)または脅威 & アプリおよびマルウェア(TAMC)サブスクリプションと組み合わせてサービス サブスクリプションとして購入できます。また、脅威 & アプリ(TA)が既に有効になっているシステムの場合は、アドオン サブスクリプションとして購入できます。
ヒント |
URL フィルタリング ライセンスがない状態で、許可またはブロックする個別 URL または URL グループを指定できます。これにより、Web トラフィックをカスタムできめ細かく制御できますが、URL カテゴリおよびレピュテーション データをネットワーク トラフィックのフィルタリングに使用することはできません。 |
URL フィルタリング ライセンスがない状態でも、アクセス制御ルールにカテゴリ ベースの URL 条件およびレピュテーション ベースの URL 条件を追加できますが、Firepower Management Center は URL 情報をダウンロードしません。最初に URL フィルタリング ライセンスを Firepower Management Center に追加し、ポリシー適用対象デバイスで有効にするまでは、アクセス コントロール ポリシーを適用できません。
Firepower Management Center からライセンスを削除するか、または管理対象デバイスで URL フィルタリングを無効にすると、URL フィルタリングにアクセスできなくなることがあります。また、URL フィルタリング ライセンスの有効期限が切れることもあります。ライセンスが期限切れになるか、ライセンスを削除または無効化すると、URL 条件が含まれているアクセス制御ルールは URL フィルタリングを直ちに停止し、Firepower Management Center は URL データのアップデートをダウンロードできなくなります。既存のアクセス コントロール ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再展開することができません。
マルウェア ライセンスを使用すると、ネットワーク向け AMP および Cisco Threat Grid を使用して Cisco Advanced Malware Protection(AMP)を実行することができます。管理対象デバイスを使用して、ネットワーク上で伝送されるファイルのマルウェアを検出してブロックできます。マルウェア ライセンスを有効にするには、保護も有効にする必要があります。マルウェア ライセンスは、脅威 & アプリ(TAM)と組み合わせたサブスクリプションまたは脅威 & アプリおよび URL フィルタリング(TAMC)サブスクリプションとして購入できます。また、脅威 & アプリ(TA)が既に有効になっているシステムの場合は、アドオン サブスクリプションとして購入できます。
ファイル ポリシーの一部として ネットワーク向け AMP を設定し、その後 1 つ以上のアクセス コントロール ルールを関連付けます。ファイル ポリシーでは、特定のアプリケーション プロトコルを介した特定のタイプのユーザーによるファイルのアップロードとダウンロードを検出できます。ネットワーク向け AMP では、ローカル マルウェア分析とファイルの事前分類を使用して、それらの限られた一連のファイルタイプを検査できます。特定のファイル タイプをダウンロードして Cisco Threat Grid クラウドにアップロードして、動的 Spero 分析でマルウェアが含まれているかどうかを判別することもできます。これらのファイルでは、ファイルがネットワーク内で経由する詳細なパスを示すネットワーク ファイル トラジェクトリを表示できます。マルウェア ライセンスでは、ファイル リストに特定のファイルを追加し、そのファイル リストをファイル ポリシー内で有効にすることもできます。これにより、検出時にこれらのファイルを自動的に許可またはブロックできます。
ネットワーク向け AMP 構成を含むアクセス コントロール ポリシーを展開する前に、マルウェア ライセンスを追加してから、そのポリシー展開対象デバイスで有効にする必要があります。デバイスでライセンスを後で無効にする場合、既存のアクセス コントロール ポリシーをそれらのデバイスに再度展開することはできません。
マルウェア ライセンスをすべて削除するか、それらがすべて期限切れになると、システムは AMP への問い合わせを停止し、AMP クラウドから送信される遡及的イベントの確認応答も停止します。既存のアクセス コントロール ポリシーに ネットワーク向け AMP 構成が含まれている場合は、それらのポリシーを再展開することができません。マルウェア ライセンスが失効したか削除された後、システムが既存のキャッシュ ファイルの性質を使用できるのは極めて短時間のみであることに注意してください。この時間枠の経過後、システムは
Unavailable という性質をこれらのファイルに割り当てます。
マルウェア ライセンスが必要なのは ネットワーク向け AMP および Cisco Threat Grid を展開する場合のみです。マルウェア ライセンスがなければ、Firepower Management Center は AMP クラウドからエンドポイント向け AMP マルウェア イベントおよび侵害の兆候(IOC)を受信できます。
「ファイルおよびマルウェア ポリシーのライセンス要件」の重要な情報も参照してください。
|
必要に応じて、次のいずれかを実行します。
|
ライセンス キーによって、Firepower Management Center はシスコ ライセンス登録ポータルで一意に識別されます。これは、Firepower Management Center の製品コード(66 など)と管理ポート(eth0)の MAC アドレスで構成されます(66:00:00:77:FF:CC:88 など)。
シスコ ライセンス登録ポータルでは、ライセンス キーを使用して、Firepower Management Center にライセンスを追加する際に必要になるライセンス テキストを取得します。
| ステップ 1 |
を選択します。 |
| ステップ 2 |
[新規ライセンスの追加(Add New License)] をクリックします。 |
| ステップ 3 |
[機能ライセンスの追加(Add Feature License)] ダイアログの上部にある [ライセンス キー(License Key)] フィールドの値をメモします。 |
ライセンスを Firepower Management Center に追加します。「クラシック ライセンスの生成と Firepower Management Center への追加」を参照してください。
この手順には、ライセンス キーを使用して実際のライセンス テキストを生成するプロセスが含まれています。
(注) |
バックアップが完了した後にライセンスを追加した場合は、このバックアップを復元するときに、それらのライセンスが削除されたり上書きされたりすることはありません。復元の際の競合を防止するためにも、バックアップを復元する前に、これらのライセンスを(それらが使用されている場所をメモした上で)削除し、バックアップを復元した後で、追加して再設定してください。競合が発生した場合は、サポートに連絡してください。 |
ヒント |
サポート サイトにログインした後で、[ライセンス(Licenses)] タブでライセンスを要求することもできます。 |
ライセンス購入時に Cisco が提供したソフトウェア権利証明書にある製品アクティベーション キー(PAK)をお手元にご用意ください。レガシーの、以前のシスコのライセンスの場合は、サポートに問い合わせてください。
Firepower Management Center のライセンス キーの種類を確認します。「ライセンス キーの特定」を参照してください。
この手順を実行するには、ご使用のアカウントのクレデンシャルが必要になります。
| ステップ 1 |
を選択します。 |
||
| ステップ 2 |
[新規ライセンスの追加(Add New License)] をクリックします。 |
||
| ステップ 3 |
必要に応じ、続いて以下を行います。
|
||
| ステップ 4 |
[ライセンス取得(Get License)] をクリックして、Cisco ライセンス登録ポータルを開きます。
|
||
| ステップ 5 |
ライセンス登録ポータルで、PAK からライセンスを生成します。 この手順には、購入時に入手した PAK と、Firepower Management Center のライセンスキーが必要です。 詳細については、製品ライセンス登録ポータル を参照してください。 |
||
| ステップ 6 |
ライセンス登録ポータルの表示から、ないしはライセンス登録ポータルより送られてくるメールからライセンス テキストをコピーします。
|
||
| ステップ 7 |
Firepower Management Center の web インターフェイスの [機能ライセンスの追加(Add Feature License)] ページに戻ります。 |
||
| ステップ 8 |
[ライセンス(License)] フィールドにライセンス テキストを貼り付けます。 |
||
| ステップ 9 |
[ライセンスの検証(Verify License)] をクリックします。 ライセンスが無効となる場合は、ライセンス テキストが正しくコピーされているか確認します。 |
||
| ステップ 10 |
[ライセンスの提出(Submit License)] をクリックします。 |
管理対象デバイスにライセンスを割り当てます。「[デバイス管理(Device Management)] ページで管理対象デバイスにライセンスを割り当てる」を参照してください。管理対象デバイスのライセンス取得済み機能を使用するには、これらのデバイスにライセンスを割り当てる必要があります。
ライセンス登録ポータル (LRP) または、Cisco Smart Software Manager (CSSM) のいずれかを使用してライセンスを変換し、未使用の製品認証キー(PAK)またはデバイスにすでに割り当てられているクラシック ライセンスに変換することができます。
重要 |
このプロセスは元に戻すことはできません。そのライセンスが元々はクラッシク ライセンスであっても、スマート ライセンスをクラッシク ライセンスに変換することはできません。 |
Cosco.com のドキュメントでは、クラッシック ライセンスは「従来型の」ライセンスとも呼ばれています。
製品インスタンスにまだ割り当てられていない未使用の PAK がある場合、従来のライセンスからスマート ライセンスへの変換は最も簡単です。
ハードウェアで Firepower Threat Defense を実行できる必要があります。詳細については、https://www.cisco.com/c/en/us/support/security/defense-center/products-device-support-tables-list.htmlで 『Cisco Firepower Compatibility Guide』を参照してください。
スマート アカウントが必要です。ない場合は作成します。「ライセンスを保持するためのスマート アカウントの作成」を参照してください。
変換する PAK またはライセンスは、スマート アカウントに表示されている必要があります。
Cisco Smart Software Manager ではなくライセンス登録ポータルを使用して変換する場合に変換プロセスを開始するには、スマート アカウント クレデンシャルを保有している必要があります。
| ステップ 1 |
実行する変換プロセスは、そのライセンスが使用されたことがあるかどうかによって異なります。
|
| ステップ 2 |
次のドキュメントで変換のタイプ(PAK またはインストール済みのクラシック ライセンス)の手順を参照してください。
|
| ステップ 3 |
ハードウェアに Firepower Threat Defense を新たにインストールします。 https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html のハードウェアに関する手順を参照してください。 |
| ステップ 4 |
Firepower Device Manager を使用してこのデバイスをスタンドアロン デバイスとして管理するには、次の手順を実行します。 https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html の『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』のデバイスへのライセンス付与に関する情報を参照してください。 この手順の残りは省略してください。 |
| ステップ 5 |
Firepower Management Center でスマート ライセンスをすでに展開している場合は、次の手順を実行します。 |
| ステップ 6 |
Firepower Management Center でスマート ライセンスをまだ展開していない場合は、次の手順を実行します。 Firepower Threat Defense デバイスのライセンス適用の方法 を参照してください。(該当しないか、またはすでに完了しているステップはスキップします。) |
一部の例外はありますが、管理対象デバイスでライセンスを無効にすると、そのライセンスに関連づけられている機能は使用できなくなります。
(注) |
同じ セキュリティ モジュール/エンジン のコンテナ インスタンスの場合は、ライセンスを各インスタンスに適用します。ただし、セキュリティ モジュール/エンジン のすべてのインスタンスについては、セキュリティ モジュール/エンジン は機能ごとに 1 つのライセンスのみを使用します。 |
(注) |
FTD クラスタの場合は、クラスタ全体にライセンスを適用します。ただし、クラスタ内の各ユニットが機能ごとに個別のライセンスを使用します。 |
デバイスを Firepower Management Center に追加します。FMC へのデバイスの追加を参照してください。
このタスクを実行するには、管理者権限またはネットワーク管理者権限が必要です。複数のドメインを操作する場合は、このタスクをリーフドメインで実行する必要があります。
スマート ライセンスを割り当てる場合、次の手順に従います。
スマート ライセンスを同時に多くのデバイスに適用する必要がある場合、次の手順ではなく、[スマート ライセンス(Smart Licenses)] ページを使用します。複数の管理対象デバイスへのライセンスの割り当てを参照してください
管理対象デバイスに配布するためのスマート ライセンスを準備するには、次を参照してください。 スマート ライセンスの登録
| ステップ 1 |
を選択します。 |
| ステップ 2 |
ライセンスを割り当てまたは無効にするデバイスの横にある をクリックします。 マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。 |
| ステップ 3 |
[デバイス(Device)] をクリックします。 |
| ステップ 4 |
[ライセンス(License)] セクションの横にある をクリックします。 |
| ステップ 5 |
適切なチェックボックスをオンまたはオフにして、デバイスのライセンスを割り当て、または無効にします。 |
| ステップ 6 |
[保存(Save)] をクリックします。 |
スマート ライセンスを割り当てられている場合、ライセンスのステータスを確認します。
に移動し、[スマートライセンス(Smart Licenses)] テーブル上部のフィルタにホスト名またはデバイスの IP アドレスを入力し、各デバイスおよび各ライセンス に、チェックマーク([チェックマーク(check mark)] アイコン [チェックマーク(check mark)] アイコン) のある緑色の円のみが表示されることを確認します。その他のアイコンが表示される場合は、アイコンにマウスオーバーすると詳細を確認できます。
設定変更を展開します。設定変更の展開を参照してください。
Firepower Threat Defense デバイスのライセンスを供与し、エクスポート制御機能が有効になっている基本ライセンスを適用した場合は、各デバイスを再起動します。高可用性ペアに設定されているデバイスの場合、両方のデバイスを同時に再起動してアクティブ/アクティブの状態を回避します。
|
Q. |
機能ライセンスは期限切れになりますか。 |
|
A. |
厳密に言えば、機能ライセンスは期限切れになりません。代わりに、このライセンスをサポートするサービス サブスクリプションが期限切れになります。サービスのサブスクリプションに関する詳細については、https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html から入手できる『Firepower Management Center コンフィギュレーション ガイド』の「Firepower 機能のサービス サブスクリプション」を参照してください。 |
|
Q. |
製品インスタンス登録トークンが期限切れになることはありますか。 |
|
A. |
特定の有効期間内に製品を登録するために使用されないと、トークンは期限切れになります。Cisco Smart Software Manager でトークンを作成するときに、トークンが有効な日数を設定します。トークンを使用して FMC を登録する前にトークンが期限切れになった場合は、新しいトークンを作成する必要があります。 トークンを使用して FMC を登録した後は、トークン有効期限は関係がなくなります。トークンの有効期限が経過しても、トークンを使用して登録した FMC に影響はありません。 トークンの有効期限の日付は、サブスクリプションの有効期限には影響しません。 |
|
Q. |
スマート ライセンス/サービス サブスクリプションが期限切れになっているかどうかや、期限切れが近づいていることを確認するにはどうすればよいですか。 |
|
A. |
サービス サブスクリプションがいつ期限切れになるか(またはいつ期限切れになったか)を判断するには、Cisco Smart Software Manager でエンタイトルメントを確認します。 FMC では、システム( FDM で、[スマートライセンス(Smart License)] ページを使用して、システムの現在のライセンス ステータスを表示します。[デバイス(Device)] をクリックしてから、スマート ライセンス サマリーの [設定の表示(View Configuration)] をクリックします。 さらに、Cisco Smart Software Manager はライセンスが期限切れとなる 3 ヵ月前に通知を送信します。 |
|
Q. |
スマート ライセンス/サブスクリプションが期限切れになるとどうなりますか。 |
|
A. |
購入したサービス サブスクリプションの期限が切れた場合、FMC、およびご自分のスマート アカウントに、アカウントが不適合であることが表示されます。Cisco はサブスクリプションの更新が必要なことを通知します。サブスクリプションの更新を参照してください。他の影響はありません。 |
|
Q. |
特定のライセンスの予約の期限が切れた場合はどうなりますか。 |
|
A. |
SLR ライセンスは期間ベースです。 必要なライセンスが使用できないか、または期限が切れている場合、次のアクションは制限されています。
|
|
Q. |
クラシック ライセンス/サービス サブスクリプションが期限切れになっているかどうかや、期限切れが近づいていることを確認するにはどうすればよいですか。 | |||||||||||||||
|
A. |
FMC で、システム( このページでは、この FMC に追加したクラシック ライセンスが表にまとめられています。 [ステータス(Status)] フィールドに基づいて、ライセンスのサービス サブスクリプションが現在履行されているかどうかを判断できます。 [有効期限(Expires)] フィールドの日付により、サービス サブスクリプションがいつ期限切れになるか(またはいつ期限切れになったか)を判断できます。 この情報は、シスコ製品ライセンス登録ポータルでライセンス情報を確認することで得ることもできます。 |
|||||||||||||||
|
Q. |
「IPSにはIPSの期間サブスクリプションも必要です(IPS Term Subscription is still required for IPS)」とは、どのような意味ですか。 | |||||||||||||||
|
A. |
このメッセージは、保護および制御の機能には、(期限切れにならない)使用権ライセンスだけでなく、定期的に更新する必要がある 1 つ以上の関連付けられたサービス サブスクリプションも必要であることを伝えているだけです。使用するサービス サブスクリプションが現在のもので、すぐに期限切れにならない場合は、何もする必要はありません。 | |||||||||||||||
|
Q. |
クラシック ライセンス/サブスクリプションが期限切れになるとどうなりますか。 | |||||||||||||||
|
A. |
クラシック ライセンスをサポートするサービス サブスクリプションの期限が切れると、シスコによってサブスクリプションの更新が必要であることが通知されます。「サブスクリプションの更新」を参照してください。 機能のタイプによっては、関連機能を使用できなくなることがあります。
|
|
Q. |
期限切れ間近のクラシック ライセンスを更新する方法を教えてください。 |
|
A. |
期限切れ間近のクラシック ライセンスを更新するには、新しい PAK キーを購入し、新しいサブスクリプションを実装する場合と同じプロセスを実行するだけです。 |
|
Q. |
FMC からサービスサブスクリプションを更新できますか。 |
|
A. |
いいえ。サービスサブスクリプション(従来またはスマート)を更新するには、Cisco Commerce Workspace または Cisco Service Contract Center を使用して、新しいサブスクリプションを購入してください。 |
|
対象 |
参照先 |
|---|---|
|
スマート ライセンス認証局との FMC 通信用のインターフェイスに関する情報 |
デバイス管理インターフェイスについて およびサブトピック |
|
ライセンスに関するファイアウォールの要件 |
|
|
このドキュメントの各手順の最初にある表内のライセンス情報の説明。 |
|
|
バックアップからの復元時のライセンスに関する重要な考慮事項 |
|
|
ルールとポリシーの適用時のライセンスの効果とそれらのトリガー方法。 |
ポリシーとルールに関する情報等: |
|
展開とライセンスに関連する展開とポリシーまたはルールの管理エラー |
このガイド全体のポリシーとルールに関する情報等: |
|
SSL のライセンス要件 |
Firepower Threat Defense に関する SSL 設定 での前提条件 |
|
SSL プリプロセッサ機能のライセンス要件 |
|
|
AMP for Endpoints 統合のライセンス |
|
|
クライアントまたはサーバー サービスでのライセンスとストリーム リアセンブル |
|
|
ライセンスと Threat Intelligence Director |
|
|
接続イベントへのライセンスの影響 |
|
|
ライセンスとその他のダッシュボード ウィジェットに関する情報 |
|
|
ライセンスのヘルス モニターに関する情報 |
スマート ライセンス モニターとクラッシク ライセンスモニターに関する情報 |
ライセンスに関するよくある質問の解決に役立つその他の情報については、次のドキュメントを参照してください。
次の『Frequently Asked Questions (FAQ) about Firepower Licensing』のドキュメント
https://www.cisco.com/c/en/us/td/docs/security/firepower/licensing/faq/firepower-license-FAQ.html
次の『Cisco Firepower System Feature Licenses 』のドキュメント
https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-licenseroadmap.html
Cisco Success Network はユーザ対応のクラウドサービスです。Cisco Success Network を有効にすると、Firepower Management Center と Cisco Cloud 間にセキュアな接続が確立され、使用状況に関する情報と統計情報がストリーミングされます。テレメトリをストリーミングすることによって、Firepower システムからの対象のデータを選択してそれを構造化形式でリモートの管理ステーションに送信するメカニズムが提供されるため、次のメリットが得られます。
ネットワーク内の製品の有効性を向上させるために、利用可能な未使用の機能について通知します。
製品に利用可能な、追加のテクニカル サポート サービスとモニターリングについて通知します。
(SecureX と統合する場合)アプライアンスとデバイスのステータスを SecureX タイルで要約します。要約することで、すべてのデバイスが最適なソフトウェアバージョンを実行しているかどうかなどを一目で確認できます。
SecureX の詳細については、シスコ SecureX との統合を参照してください。
シスコ製品の改善に役立ちます。
Firepower Management Center は、Cisco Support Diagnostics または Cisco Success Network のいずれかを有効にすると、常に Firepower Management Center と Cisco Cloud 間のセキュアな接続を確立して維持します。この接続は、Cisco Success Network および Cisco Support Diagnostics の両方を無効にすることで、いつでもオフにできます。これにより、Firepower Management Centerが Cisco Cloud から接続解除されます。ただし、Cisco Support Diagnostics が有効になっている場合、Firepower Management Center と Cisco Cloud 間に加えて、Firepower Threat Defense と Cisco Cloud 間でセキュアな接続が確立され、維持されます。したがって、Cisco Support Diagnostics を無効にすると、これらのセキュアな接続は両方ともオフになります。
Cisco Smart Software Manager に Firepower Management Center を登録するときは、Cisco Success Network を有効にします。スマート ライセンスの登録を参照してください。
ページで、現在の Cisco Success Network の登録ステータスを表示できます。また、登録ステータスを変更することもできます。Cisco Success Network の登録の変更を参照してください。
(注) |
Firepower Management Center に有効な Smart Software Manager オンプレミス(以前の Smart Software Satellite Server)設定がある場合、または、Specific License Reservationを使用している場合、Cisco Success Network 機能は無効になっています。 |
Cisco Success Network では、登録済みの Firepower Management Center はリアルタイムの設定と動作状態に関する情報を Cisco Success Network Cloud に継続的にストリーミングすることができます。収集およびモニター対象のデータには、次の情報が含まれます。
[登録済みデバイス情報(Enrolled device information)]:これには、Firepower Management Center のデバイス名、モデル、シリアル番号、UUID、システム稼働時間、およびスマート ライセンス情報が含まれます。登録済みデバイス データを参照してください。
[ソフトウェア情報(Software information)]:これには、バージョン番号、ルールの更新バージョン、地理的位置情報データベースのバージョン、脆弱性データベース(VDB)のバージョン情報など、登録済みの Firepower Management Center に関するソフトウェア情報が含まれます。ソフトウェア バージョン データを参照してください。
[管理対象デバイス情報(Managed device information)]:これには、デバイス名、デバイスのモデル、シリアル番号、ソフトウェアのバージョン、およびデバイスごとに使用されているライセンスなど、登録済みの Firepower Management Center に関連付けられているすべての管理対象デバイスに関する情報が含まれます。管理対象デバイス データを参照してください。
[展開情報(Deployment information)]: これには、ポリシーの展開に関する情報が含まれます。展開を設定した後、およびその設定を変更したときは、影響を受けるデバイスにその変更を展開する必要があります。導入情報を参照してください。
[機能の使用状況(Feature usage)]:これには、機能に固有のポリシーおよびライセンスに関する情報が含まれます。
[URL フィルタリング(URL filtering)]:これには、デバイスに対して設定され展開されている URL フィルタリング ライセンスの数と、URL フィルタリング機能を使用するポリシーを展開しているデバイスの数が含まれます。
[侵入防御(Intrusion prevention)]:これには、侵入防御を設定されている管理対象デバイスの数と、Threat Intelligence Director(TID)に対してデバイスが有効になっているかどうかが含まれます。
[マルウェアの検出(Malware detection)]:これには、デバイスに対して設定および展開されているマルウェア ライセンスの数と、マルウェア検出機能を使用するポリシーを展開しているデバイスの数が含まれます
Cisco Success Network で Firepower Management Center を登録したら、登録済みの Firepower Management Center のデバイスに関するテレメトリ データがシスコ クラウドにストリーミングされることを選択します。次の表に、登録済みのデバイスに関して収集し、監視しているデータを示します。これには、侵入ポリシー(システムが提供するポリシーとカスタム ポリシーの両方)および登録済みの Firepower Management Center のマルウェア検出に関する機能に固有の情報が含まれます。
| データ ポイント | 値の例 |
|---|---|
|
デバイス名(Device Name) |
Management Center East |
|
デバイス UUID |
24fd0ccf-1464- 491f-a503- d241317bb327 |
|
HA ピア UUID |
24fe0ccd-1564- 491h-b802- d321317cc827 |
|
デバイス モデル |
Cisco Firepower Management Center 4000 Cisco Firepower Management Center for VMWare |
|
シリアル番号(Serial Number) |
9AMDESQP6UN |
|
システム稼動時間(System Uptime) |
99700000 |
|
製品 ID(Product Identifier) |
FMC4000-K9 FS-VMW-SW-K9 |
|
スマート ライセンス PIID |
24fd0ccf-1464- 491f-a503- d241317bb327 |
|
仮想アカウント識別子 |
CiscoSVStemp |
Cisco Success Network は、ソフトウェアのバージョン、ルールの更新バージョン、地理的位置情報データベースのバージョン、脆弱性データベースのバージョン情報など、登録済みの Firepower Management Center デバイスに関連するソフトウェアの情報を収集します。次の表に、登録済みのデバイスに関して収集し、監視しているソフトウェア情報を示します。
| データ ポイント | 値の例 |
|---|---|
|
Firepower Management Center のソフトウェア バージョン |
{ type: "SOFTWARE", version: "6.2.3-10517" } |
|
ルールの更新バージョン |
{ type: "SNORT_RULES_DB", version: "2016-11-29-001-vrt", lastUpdated: 1468606837000 } |
|
脆弱性データベース(VDB)のバージョン |
{ type: "VULNERABILITY_DB", version: "271", lastUpdated: 1468606837000 } |
|
地理的位置情報データベースのバージョン |
{ type: "GEOLOCATION_DB", version: "850" } |
Cisco Success Network は、登録済みの Firepower Management Center に関連付けられているすべての管理対象デバイスに関する情報を収集します。次の表に、管理対象デバイスに関して収集し、監視している情報を示します。これには、管理対象デバイスの URL フィルタリング、侵略防御、およびマルウェア 検出など、機能に固有のポリシーおよびライセンス情報が含まれます。
| データ ポイント | 値の例 |
|---|---|
|
管理対象デバイス名 |
firepower |
|
管理対象デバイスのバージョン |
6.2.3-10616 |
|
管理対象デバイス マネージャ |
FMC |
|
管理対象デバイス モデル |
Cisco Firepower 2130 NGFW アプライアンス Cisco Firepower Threat Defense VMware |
|
管理対象デバイスのシリアル番号 |
9AMDESQP6UN |
|
管理対象デバイスの PID |
FPR2130-NGFW-K9 NGFWv |
|
デバイスに URL フィルタリング ライセンスを使用しているか |
True |
|
URL デバイスごとに URL フィルタリングを使用した AC ルール |
10 |
|
URL フィルタリングライセンスを使用する URL フィルタリングでの AC ルールの数 |
3 |
|
脅威ライセンスを使用する URL フィルタリングでの AC ルールの数 |
3 |
|
デバイスに脅威ライセンスを使用しているか |
True |
|
AC ポリシーに侵略ルールを追加しているか |
True |
|
侵略ポリシーを使用する AC ルールの数 |
10 |
|
デバイスにマルウェア ライセンスを使用しているか |
True |
|
マルウェア ポリシーを使用する AC ルールの数 |
10 |
|
マルウェアライセンスを使用するマルウェアポリシーでの AC ルールの数 |
5 |
|
デバイスに Threat Intelligence Director (TID) を使用しているか |
True |
展開を設定した後、およびその設定を変更したときは、影響を受けるデバイスにその変更を展開する必要があります。次の表に、影響を受けるデバイスの数と成功か失敗かの情報を含む展開のステータスなど、設定の展開に関して収集し、モニターするデータを示します。
| データ ポイント | 値の例 |
|---|---|
|
ジョブ ID(Job ID) |
8589936079 |
|
展開用に選択したデバイスの数 |
3 |
|
展開に失敗したデバイスの数 |
1 |
|
展開に成功したデバイスの数 |
2 |
|
終了時間(End Time) |
1523993913001 |
|
Start Time |
1523993840445 |
|
Status |
SUCCEEDED |
|
ターゲット デバイスの UUID |
4f14f644-41e0 -11e8-9354- cf32315d7095 |
|
展開したポリシー タイプ |
NetworkDiscovery NGFWPolicy DeviceConfiguration |
|
現在の実行で収集した最後の展開ジョブの ID |
8589936079 |
|
コンテナ タイプ(スタンドアロンまたは HA ペア) |
STANDALONE HAPAIR |
|
コンテナの UUID |
5e006633-30fe-11e9-8a70-cd88086eeac0 |
|
デバイス モデル |
Cisco Firepower Threat Defense for VMWare |
|
デバイスバージョン |
6.4.0 |
|
ポリシー バンドルのサイズ |
3588153 |
Firepower システムは、デフォルトではセキュア ソケット レイヤ(SSL)プロトコルまたはその後継である Transport Layer Security(TLS)プロトコルで暗号化されたトラフィックを検査できません。TLS/SSL インスペクションを使用すると、暗号化トラフィックをインスペクションを実行せずにブロックしたり、暗号化または復号されたトラフィックをアクセス コントロールを使用して検査したりできます。次の各表では、暗号化されたトラフィックについて Cisco Success Network と共有する統計情報について説明します。
システムで TCP 接続での TLS/SSL ハンドシェイクが検出された場合、その検出されたトラフィックを復号できるかどうかが判定されます。システムは、暗号化されたセッションを処理する際にトラフィックに関する詳細をログに記録します。
| データ ポイント | 値の例 |
|---|---|
|
システムは、トラフィックが復号できず次の状態となった場合、適用されたアクションを報告します。
|
0 以上の整数値 |
|
システムは、トラフィックが次の方法で復号できた場合、適用されたアクションを報告します。
|
0 以上の整数値 |
TLS/SSL ハンドシェイクが完了すると、管理対象デバイスは暗号化セッション データをキャッシュに保存し、それによりフル ハンドシェイクを必要とせずにセッションを再開できます。管理対象デバイスもサーバー証明書データをキャッシュに保存し、それにより後続のセッションでのより速いハンドシェイクの処理が可能になります。
| データ ポイント | 値の例 |
|---|---|
|
システムは暗号化されたセッション データおよびサーバ証明書データをキャッシュし、キャッシュについて SSL 接続ごとにレポートします。具体的な内容は次のとおりです。
|
0 以上の整数値 |
システムは暗号化されたトラフィックを評価し、暗号化サーバーの証明書のステータスを報告します。
| データ ポイント | 値の例 |
|---|---|
|
システムは、暗号化サーバーの証明書のステータスに基づいて暗号化されたトラフィックを評価し、SSL 証明書が次の状態である接続の数を報告します。
|
0 以上の整数値 |
システムは暗号化されたトラフィックを評価し、システムがトラフィックの復号化に失敗している場合は失敗の理由を報告します。
| データ ポイント | 値の例 |
|---|---|
|
システムは暗号化されたトラフィックを評価し、システムが次の理由のためにトラフィックの復号化に失敗している場合は失敗の理由を報告します。
|
0 以上の整数値 |
システムは暗号化されたトラフィックを評価し、ネゴシエートされた TLS/SSL バージョンを接続ごとに報告します。
| データ ポイント | 値の例 |
|---|---|
|
システムは暗号化されたトラフィックを評価し、次のようなネゴシエートされたバージョンを SSL 接続ごとに報告します。
|
0 以上の整数値 |
管理対象デバイス上の Snort プロセスと呼ばれるトラフィック インスペクション エンジンが再起動すると、プロセスが再開されるまでインスペクションが中断されます。ユーザー定義のアプリケーションの作成/削除を行うか、システムまたはカスタム アプリケーション ディテクタを有効化/無効化すると、展開プロセスを経由することなく、ただちに Snort プロセスが再起動します。Snort プロセスの再起動が続行されていることが警告され、キャンセルが可能になります。再起動は、現在のドメインまたはそのいずれかの子ドメイン内の任意の管理対象デバイスで発生します。
| データ ポイント | 値の例 |
|---|---|
|
カスタム アプリケーション ディテクタを有効または無効にした場合の Snort 再起動の数 |
0 以上の整数値 |
|
カスタム アプリケーション ディテクタを作成または変更した場合の Snort 再起動の数 |
0 以上の整数値 |
コンテキスト クロス起動機能を使用すると、Firepower Management Center の外部の Web ベースのリソースにおける潜在的な脅威に関するさらなる情報をすばやく検索できます。FMC のイベント ビューアまたはダッシュボードのイベントから、外部リソースの関連情報を直接クリックできます。これにより、その IP アドレス、ポート、プロトコル、ドメイン、または SHA 256 ハッシュに基づいて、特定のイベントに関連するコンテキストを迅速に収集できます。
| データ ポイント | 値の例 |
|---|---|
|
FMC 上に設定されているコンテキスト クロス起動リソースの数 |
0 以上の整数値 |
|
FMC 上で有効になっているコンテキスト クロス起動リソースの数 |
0 以上の整数値 |
|
ドメイン変数を含むコンテキスト クロス起動インスタンスの数 |
0 以上の整数値 |
|
IP 変数を含むコンテキスト クロス起動インスタンスの数 |
0 以上の整数値 |
|
SHA 256 変数を含むコンテキスト クロス起動インスタンスの数 |
0 以上の整数値 |
次に、Firepower Management Center とその管理対象デバイスに関してポリシーと展開情報をストリーミングするための Cisco Success Network テレメトリ ファイルの例を示します。
アイコン [登録解除(deregister)] アイコン)![[更新(refresh)] アイコン](/c/dam/en/us/td/i/300001-400000/370001-380000/372001-373000/372097.tif/_jcr_content/renditions/372097.jpg)
)![[システム歯車(system gear}] アイコン](/c/dam/en/us/td/i/400001-500000/450001-460000/451001-452000/451292.jpg)
)
{
"recordType" : "CST_FMC",
"recordVersion" : "6.4.0",
"recordedAt" : 1550467152050,
"fmc" : {
"deviceInfo" : {
"deviceModel" : "Cisco Firepower Management Center for VMWare",
"deviceName" : "firepower",
"deviceUuid" : "18842483-30cf-11e9-a090-503c97636361",
"serialNumber" : "None",
"smartLicenseProductInstanceIdentifier" : "cbs246a5-6d51-4eb7-9gc2-118b177dc4de",
"smartLicenseVirtualAccountName" : "FTD-ENG-BLR",
"systemUptime" : 262007000,
"udiProductIdentifier" : "FS-VMW-SW-K9"
},
"versions" : {
"items" : [ {
"lastUpdated" : 0,
"type" : "SOFTWARE",
"version" : "6.4.0-1335"
}, {
"lastUpdated" : 0,
"type" : "SNORT_RULES_DB",
"version" : "2018-10-10-001-vrt"
}, {
"lastUpdated" : 1550200610000,
"type" : "VULNERABILITY_DB",
"version" : "309"
}, {
"lastUpdated" : 0,
"type" : "GEOLOCATION_DB",
"version" : "None"
} ]
}
},
"managedDevices" : {
"items" : [ {
"deviceInfo" : {
"deviceManager" : "FMC",
"deviceModel" : "Cisco Firepower Threat Defense for VMWare",
"deviceName" : "10.10.17.220",
"deviceVersion" : "6.4.0-1335",
"serialNumber" : "9AUVT5GTRPA"
},
"malware" : {
"malwareLicenseUsed" : false,
"numberOfACRulesNeedMalwareLicense" : 10,
"numberOfACRulesWithMalware" : 20
},
"sslUsage" : {
"isSSLEnabled" : false
},
"threat" : {
"acPolicyHasIntrusion" : true,
"acRulesWithIntrusion" : 20,
"isTIDEnabled" : true,
"threatLicenseUsed" : true
},
"urlFiltering" : {
"acRulesWithURLFiltering" : 10,
"numberOfACRulesNeedThreatLicense" : 3,
"numberOfACRulesNeedURLLicense" : 3,
"urlFilteringLicenseUsed" : true
}
}, {
"deviceInfo" : {
"deviceManager" : "FMC",
"deviceModel" : "Cisco Firepower Threat Defense for VMWare",
"deviceName" : "10.10.17.221",
"deviceVersion" : "6.4.0-1335",
"serialNumber" : "9A0NMB3VAL7"
},
"malware" : {
"malwareLicenseUsed" : false,
"numberOfACRulesNeedMalwareLicense" : 0,
"numberOfACRulesWithMalware" : 0
},
"sslUsage" : {
"isSSLEnabled" : false
},
"threat" : {
"acPolicyHasIntrusion" : false,
"acRulesWithIntrusion" : 0,
"isTIDEnabled" : false,
"threatLicenseUsed" : false
},
"urlFiltering" : {
"acRulesWithURLFiltering" : 0,
"urlFilteringLicenseUsed" : false
}
}, {
"deviceInfo" : {
"deviceManager" : "FMC",
"deviceModel" : "Cisco Firepower Threat Defense for VMWare",
"deviceName" : "10.10.17.222",
"deviceVersion" : "6.4.0-1335",
"serialNumber" : "9ATSKTCFNXA"
},
"malware" : {
"malwareLicenseUsed" : true,
"numberOfACRulesNeedMalwareLicense" : 0,
"numberOfACRulesWithMalware" : 0
},
"sslUsage" : {
"isSSLEnabled" : false
},
"threat" : {
"acPolicyHasIntrusion" : false,
"acRulesWithIntrusion" : 0,
"isTIDEnabled" : false,
"threatLicenseUsed" : true
},
"urlFiltering" : {
"acRulesWithURLFiltering" : 0,
"urlFilteringLicenseUsed" : true
}
}, {
"deviceInfo" : {
"deviceManager" : "FMC",
"deviceModel" : "Cisco Firepower Threat Defense for VMWare",
"deviceName" : "10.10.17.223",
"deviceVersion" : "6.4.0-1335",
"serialNumber" : "9AP4B2J9BC1"
},
"malware" : {
"malwareLicenseUsed" : true,
"numberOfACRulesNeedMalwareLicense" : 0,
"numberOfACRulesWithMalware" : 0
},
"sslUsage" : {
"isSSLEnabled" : false
},
"threat" : {
"acPolicyHasIntrusion" : false,
"acRulesWithIntrusion" : 0,
"isTIDEnabled" : false,
"threatLicenseUsed" : true
},
"urlFiltering" : {
"acRulesWithURLFiltering" : 0,
"urlFilteringLicenseUsed" : true
}
} ]
},
"deploymentData" : {
"deployJobInfoList" : [ {
"jobDeviceList" : [ {
"containerType" : "STANDALONE",
"deployEndTime" : "1550466953538",
"deployStartTime" : "1550466890057",
"deployStatus" : "SUCCEEDED",
"deviceModel" : "Cisco Firepower Threat Defense for VMWare",
"deviceOSVersion" : "6.4.0",
"deviceUuid" : "8918db92-30de-11e9-a576-92cc6a3b249d",
"pgTypes" : "[PG.FIREWALL.NGFWAccessControlPolicy]",
"policyBundleSize" : 3588153
}, {
"containerType" : "STANDALONE",
"deployEndTime" : "1550466953634",
"deployStartTime" : "1550466890057",
"deployStatus" : "SUCCEEDED",
"deviceModel" : "Cisco Firepower Threat Defense for VMWare",
"deviceOSVersion" : "6.4.0",
"deviceUuid" : "87cf54e6-30de-11e9-8fdb-ce9d0fc91a42",
"pgTypes" : "[PG.FIREWALL.NGFWAccessControlPolicy]",
"policyBundleSize" : 3588172
}, {
"containerID" : "5f009744-30fe-11e9-8a70-cd88086eeac0",
"containerType" : "HAPAIR",
"deployEndTime" : "1550467052791",
"deployStartTime" : "1550466890057",
"deployStatus" : "SUCCEEDED",
"deviceModel" : "Cisco Firepower Threat Defense for VMWare",
"deviceOSVersion" : "6.4.0",
"deviceUuid" : "c8df3b96-30ce-11e9-b5e5-d6beeb6498f5",
"pgTypes" : "[PG.FIREWALL.NGFWAccessControlPolicy]",
"policyBundleSize" : 3588212
} ],
"jobId" : "12884903350",
"numberOfDevices" : 3,
"numberOfFailedDevices" : 0,
"numberOfSuccessDevices" : 3
} ],
"lastJobId" : "12884903350"
},
"cspa" : {
"cspaCount" : 0,
"queryCount" : 0,
"queryGroupCount" : 0
},
"analysis" : {
"crossLaunchInfo" : {
"count" : 28,
"enabledCount" : 28,
"iocInfo" : [ {
"domain" : 10,
"ip" : 9,
"sha256" : 9
} ]
}
},
"SSLStats" : {
"action" : {
"block" : 10,
"block_with_reset" : 4,
"decrypt_resign_self_signed" : 0,
"decrypt_resign_self_signed_replace_key_only" : 0,
"decrypt_resign_signed_cert" : 227,
"decrypt_with_known_key" : 0,
"do_not_decrypt" : 9094
},
"cache_status" : {
"cached_session" : 18693,
"cert_validation_cache_hit" : 0,
"cert_validation_cache_miss" : 10883,
"orig_cert_cache_hit" : 15720,
"orig_cert_cache_miss" : 0,
"resigned_cert_cache_hit" : 14,
"resigned_cert_cache_miss" : 4,
"session_cache_hit" : 4398,
"session_cache_miss" : 1922
},
"cert_status" : {
"cert_expired" : 155,
"cert_invalid_issuer" : 866,
"cert_invalid_signature" : 0,
"cert_not_checked" : 1594,
"cert_not_yet_valid" : 0,
"cert_revoked" : 0,
"cert_self_signed" : 362,
"cert_unknown" : 0,
"cert_valid" : 9659
},
"failure_reason" : {
"decryption_error" : 0,
"handshake_error_before_verdict" : 254,
"handshake_error_during_verdict" : 17,
"ssl_compression" : 0,
"uncached_session" : 984,
"undecryptable_in_passive_mode" : 0,
"unknown_cipher_suite" : 56,
"unsupported_cipher_suite" : 125
},
"version" : {
"ssl_v20" : 0,
"ssl_v30" : 0,
"ssl_version_unknown" : 10,
"tls_v10" : 32,
"tls_v11" : 8,
"tls_v12" : 11355,
"tls_v13" : 922
}
},
"snortRestart" : {
"appDetectorSnortRestartCnt" : 3,
"appSnortRestartCnt" : 1
}
}
Cisco Smart Software Manager に Firepower Management Center を登録するときは、Cisco Success Network を有効にします。その後、次の手順を使用して、登録ステータスを表示または変更します。
(注) |
Cisco Success Network は評価モードでは機能しません。 |
| ステップ 1 |
をクリックします。 |
| ステップ 2 |
スマートライセンスのステータスの下で、Cisco Success Network の横にある、Cisco Success Network 機能の [有効/無効(Enabled/Disabled)] コントロールをクリックして、必要に応じて設定を変更します。 |
| ステップ 3 |
シスコから提供された情報を読み、[Cisco Success Networkの有効化(Enable Cisco Success Network)] を行うかどうかを選択して、[変更内容を適用(Apply Changes)] をクリックします。 |
(任意)(オプション)Web 分析トラッキングのオプトアウトを参照してください。
Cisco Support Diagnostics は、ユーザーによって有効化されるクラウドベースの TAC サポートサービスです。有効にすると、Firepower Management Center(FMC)と一方の Firepower Threat Defense(FTD)およびもう一方の Cisco Cloud の間にセキュアな接続が確立され、システム ヘルスに関する情報がストリーミングされます。
Cisco Support Diagnostics は、Cisco TAC が TAC ケースの対応中にデバイスから重要なデータを安全に収集できるようにすることで、トラブルシューティングの際によりよいユーザーエクスペリエンスを提供します。さらに、稼働状況のデータがシスコの自動問題検出システムによって定期的に収集および処理され、問題がプロアクティブに通知されます。TAC ケース対応時のデータ収集サービスはサポート契約を持つすべてのユーザーが利用できますが、プロアクティブな通知サービスは、特定のサービス契約を持つユーザーのみが使用できます。
Firepower Management Center は、Cisco Support Diagnostics または Cisco Success Network のいずれかを有効にすると、常に Firepower Management Center と Cisco Cloud 間のセキュアな接続を確立して維持します。この接続は、Cisco Success Network および Cisco Support Diagnostics の両方を無効にすることで、いつでもオフにできます。これにより、これらの機能は Cisco Cloud から接続解除されます。ただし、Cisco Support Diagnostics が有効になっている場合、FMC と Cisco Cloud 間に加えて、FTD と Cisco Cloud 間でセキュアな接続が確立され、維持されます。したがって、Cisco Support Diagnostics を無効にすると、これらのセキュアな接続は両方ともオフになります。
(注) |
Cisco Support Diagnostics は、FMC、FTD を搭載した Firepower 4100/9300、および Azure 向け FTDv でサポートされています。FMC によって管理される展開内の他のプラットフォームに FTD が導入されている場合、Cisco Support Diagnostics はこうした FTD ではサポートされません。プラットフォームが異なる展開では、サポートされている FTD データのみが Cisco Cloud に共有されます。 |
管理者は、特定のシステム機能に関するトラブルシューティング ファイルの生成の手順に従ってトラブルシューティング ファイルを生成し、そのファイルを開いて表示することにより、FMC から収集されたサンプル データ セットを確認できます。
FMC は、[System] > [Integration] > [cloud Services] ページで指定された地域クラウドに収集したデータを送信します。この設定は、Cisco Success Networkで説明されているシスコサポートネットワーク、およびによるイベントの分析 Cisco SecureX Threat Responseで説明されている Cisco Threat Response の統合にも使用されることに注意してください。
Firepower Management Center を Cisco Smart Software Manager に登録する場合は、Cisco Support Diagnostics を有効にします。スマート ライセンスの登録を参照してください。
ページで、現在の Cisco Support Diagnostics の登録ステータスを表示できます。また、登録ステータスを変更することもできます。Cisco Support Diagnostics の登録の変更を参照してください。
Firepower Management Center を Cisco Smart Software Manager に登録する場合は、Cisco Support Diagnostics を有効にします。その後、次の手順を使用して、登録ステータスを表示または変更します。
| ステップ 1 |
をクリックします。 |
||
| ステップ 2 |
[スマートライセンスのステータス(Smart License Status)] で、Cisco Success Network の横にある [有効/無効(Enabled/Disabled)] コントロールをクリックして、必要に応じて設定を変更します。
|
||
| ステップ 3 |
[Apply Changes] をクリックします。 |
Cisco Support Diagnostics を有効にしている場合は、 で地域クラウド設定を確認し、システムデータの送信先を確立します。
本製品の使用について規定するシスコ エンドユーザー ライセンス契約書(EULA)および適用される補足契約書(SEULA)は、http://www.cisco.com/go/softwareterms から入手できます。
|
機能 |
バージョン |
詳細(Details) |
|---|---|---|
|
Cisco Support Diagnostics |
6.5 |
Cisco Support Diagnostics(「シスコのプロアクティブサポート」とも呼ばれる)は、設定および運用上の健全性データをシスコに送信し、自動化された問題検出システムを通じてそのデータを処理して問題をプロアクティブに通知できるようにします。また、この機能により、Cisco TAC は TAC ケースの過程でデバイスから必要な情報を収集することもできます。 アップグレードおよび再イメージ化中に、登録するか尋ねられます。登録はいつでも変更できます。詳細については、Cisco Support Diagnosticsを参照してください。 バージョン 6.5.0 では、Cisco Support Diagnostics のサポートは一部のプラットフォームに限定されています。 新規/変更された画面: サポートされるプラットフォーム:FMC、Firepower 4100/9300、および Azure 向け FTDv |
|
Cisco Success Network の有効化による、SecureX でのアプライアンスとデバイスのステータス情報の表示 |
6.4 |
SecureX 統合に関する一般的な情報については、シスコ SecureX との統合およびそのトピックからリンクされている情報を参照してください。 |
|
Firepower 4100/9300 の FTD に対する複数インスタンス機能のライセンス |
6.3 |
Firepower 4100/9300 に複数の FTD コンテナ インスタンスを展開できるようになりました。セキュリティ モジュール/エンジンの機能ごとに必要なライセンスは 1 つのみです。基本ライセンスは、各インスタンスに自動的に割り当てられます。 新規/変更された画面: サポート対象プラットフォーム:Firepower 4100/9300 の FTD |
|
エアギャップ展開に対する特定のライセンスの予約 |
6.3 |
展開でインターネットに接続してシスコのライセンス認証局と通信できない顧客は特定のライセンスの予約を使用できます。詳細については、特定のライセンス予約(SLR) を参照してください。 新規/変更された画面:(このオプションはデフォルトでは使用できません。) サポートされるプラットフォーム:FMC、FTD |
|
制限付きの顧客の輸出規制対象機能 |
6.3 |
スマート アカウントで制限付き機能を使用する資格を持たない特定の顧客は、期間ベースのライセンスを承認を受けて購入することができます。詳細については、輸出規制機能の有効化(グローバル権限のないアカウントの場合) を参照してください。 サポートされるプラットフォーム:FMC、FTD |
フィードバック