この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
以下のトピックでは、システム セキュリティ、インターネット アクセス、および通信ポートに関する情報を提供します。
Firepower Management Centerを保護するには、保護された内部ネットワークにそれをインストールしてください。FMCは必要なサービスとポートだけを使用するよう設定されますが、ファイアウォール外部からの攻撃がそこまで(または管理対象デバイスまで)決して到達できないようにする必要があります。
FMC とその管理対象デバイスが同じネットワーク上に存在する場合は、デバイス上の管理インターフェイスを、FMC と同じ保護された内部ネットワークに接続できます。これにより、FMCからデバイスを安全に制御することができます。また、他のネットワーク上のデバイスからのトラフィックを FMC で管理および分離できるように、複数の管理インターフェイスを設定することもできます。
アプライアンスの展開方法に関係なく、アプライアンス間通信は暗号化されます。それでも、分散型サービス拒否(DDoS)や中間者攻撃などの手段でアプライアンス間の通信が中断、ブロック、または改ざんされないよう何らかの対策を講じる必要があります。
FMC は次の機能でシスコ クラウドのリソースと通信します。
高度なマルウェア防御
パブリック クラウドはデフォルトで設定されています。変更を加えるには、AMP オプションの変更を参照してください。
URL フィルタリング
詳細については、次を参照してください。
SecureX および Cisco SecureX Threat Response との統合
詳細については、以下からリンクされている統合ドキュメントを参照してください。
プロアクティブなサポート機能
詳細については、Cisco Support Diagnosticsを参照してください。
Cisco Success Network
詳細については、Cisco Success Networkを参照してください。
デフォルトでは、Firepower アプライアンスはポート 443/tcp(HTTPS)および 80/tcp(HTTP)でインターネットに接続するように設定されています。アプライアンスがインターネットに直接アクセスしないようにするには、プロキシ サーバを設定できます。
ほとんどの場合、インターネットにアクセスするのは Firepower Management Center です。ただし、管理対象デバイスがインターネットにアクセスする場合もあります。たとえば、マルウェア保護設定が動的分析を使用する場合、管理対象デバイスはファイルを直接 Cisco Threat Grid クラウドに送信します。または、外部 NTPサーバーにデバイスを同期することができます。
さらに、Web 分析トラッキングを無効にした場合を除き、ブラウザは Google Web 分析サーバーに連絡し、個人を特定可能でない使用状況データを Cisco に送信することができます。
 ヒント |
ネットワーク向け AMP または AMP for Endpoints を使用中の場合、ロケーションによって FMC がアクセスする AMP クラウド リソースが決定されます。「AMP の適切な操作のために必要なサーバー アドレス」トラブルシューティング テクニカルノートには、Firepower アプライアンスだけでなく、コネクタやプライベート クラウド アプライアンスなどの Cisco AMP コンポーネントでも必要なインターネット リソース(静的 IP アドレスを含む)を一覧表示します。 |
高可用性ペアの FMC の両方にインターネット アクセスがある必要があります。機能に応じて、両方のピアがインターネットにアクセスすることも、アクティブ ピアのみがインターネットにアクセスすることもあります。
| 機能 | 理由 |
FMCハイ アベイラビリティ |
リソース |
|---|---|---|---|
|
ネットワーク向け AMP |
マルウェア クラウド ルックアップ。 |
両方のピアが検索を実行します。 |
この表の上に記載の重要なヒントを参照してください。 cloud-sa.amp.cisco.com cloud-sa.eu.amp.cisco.com cloud-sa.apjc.amp.cisco.com
cloud-sa-589592150.us-east-1. elb.amazonaws.com |
|
ファイル事前分類とローカルのマルウェア分析のシグニチャ更新をダウンロードします。 |
アクティブ ピアでダウンロードが実行され、スタンバイへ同期します。 |
updates.vrt.sourcefire.com amp.updates.vrt.sourcefire.com |
|
|
動的分析(管理対象デバイス)のファイルを送信します。 動的分析結果のクエリ(FMC)。 |
両方のピアが動的分析レポートのクエリを実行します。 |
fmc.api.threatgrid.com fmc.api.threatgrid.eu |
|
|
AMP for Endpoint の統合 |
エンドポイント向け AMP によって検出されたマルウェア イベントを AMP クラウドから受信します。 Firepower システムによって検出されたマルウェア イベントを AMP for Endpoints で表示します。 AMP クラウドからの性質をオーバーライドするには、AMP for Endpoints で作成された一元的なファイルブロックリストおよび許可リストを使用します。 |
両方のピアがイベントを受信します。 両方のピア(設定が同期されていない)でクラウド接続を設定する必要もあります。 |
https://www.cisco.com/c/en/us/support/docs/security/sourcefire-amp-appliances/118121-technote-sourcefire-00.html#anc5 の Firepower に関する情報を参照してください。 この表の上に記載の重要なヒントも参照してください。 |
|
セキュリティ インテリジェンス |
セキュリティ インテリジェンス フィードをダウンロードします。 |
アクティブ ピアでダウンロードが実行され、スタンバイへ同期します。 |
intelligence.sourcefire.com |
|
URL フィルタリング |
URL カテゴリおよびレピュテーション データをダウンロードします。 URL カテゴリおよびレピュテーション データを手動でクエリ(ルックアップ)します。 未分類 URL のクエリ。 |
アクティブ FMC でダウンロードが実行され、スタンバイへ同期します。 |
https://updates-talos.sco.cisco.com IPV4:
IPv6
|
|
Cisco Smart Licensing |
Cisco Smart Software Manager と通信します。 |
アクティブなピアが通信します。 |
tools.cisco.com:443 www.cisco.com |
|
Cisco Success Network |
使用状況情報および統計情報を送信します。 |
アクティブなピアが通信します。 |
api-sse.cisco.com:8989 https://dex.sse.itd.cisco.com https://dex.eu.sse.itd.cisco.com |
|
Cisco Support Diagnostics |
許可された要求を受け入れ、使用状況の情報と統計情報を送信します。 |
アクティブなピアが通信します。 |
api-sse.cisco.com:8989 |
|
システムの更新プログラム |
更新プログラムを Cisco から直接 FMC にダウンロードします。
|
侵入ルール、VDB、および GeoDB をアクティブなピアで更新し、アクティブなピアはその後スタンバイへ同期します。 各ピアで個別にシステム ソフトウェアをアップグレードします。Cisco Firepower Management Center Upgrade Guide, Version 6.0–7.0を参照してください。 |
cisco.com sourcefire.com |
|
Cisco Threat Response の統合 |
https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html から入手できる Firepower および Cisco Threat Response の統合ガイドを参照してください。 |
||
|
時刻の同期 |
展開内で時間を同期します。 プロキシ サーバではサポートされません。 |
外部 NTP サーバを使用するアプライアンスはインターネットにアクセスできる必要があります。 |
0.sourcefire.pool.ntp.org 1.sourcefire.pool.ntp.org 2.sourcefire.pool.ntp.org 3.sourcefire.pool.ntp.org |
|
RSS フィード |
ダッシュ ボードで Cisco 脅威調査ブログを表示します。 |
RSS フィードを表示するアプライアンスはインターネットにアクセスできる必要があります。 |
blogs.cisco.com/talos cloud.google.com |
|
[Whois] |
外部ホストの whois 情報を要求します。 プロキシ サーバではサポートされません。 |
whois 情報を要求するすべてのアプライアンスがインターネットにアクセスできる必要があります。 |
whois クライアントは、クエリ対象の適切なサーバの推測を試みます。推測できない場合、次を使用します。
|
Firepower アプライアンスはポート 8305/tcp 上の双方向 SSL 暗号化通信チャネルを使用して通信します。このポートは、基本的なプラットフォーム内通信のためにオープンの状態で保持する必要があります。
他のポートでは、特定の機能に必要な外部リソースへのアクセスとともにセキュアな管理をすることができます。一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままになります。開いたポートを閉じると展開にどのような影響が及ぶか理解するまでは、開いたポートを変更したり閉じたりしないでください。
| ポート | プロトコル/機能 | プラットフォーム | [方向(Direction)] | 詳細(Details) |
|---|---|---|---|---|
| 7/UDP | UDP/監査ロギング | FMC、クラシック | 発信 | 監査ロギングの設定時の syslog サーバーとの接続を確認します。 |
|
22/tcp |
SSH |
FMC あらゆるデバイス |
着信 |
アプライアンスへのリモート接続を保護します。 |
|
25/tcp |
SMTP |
FMC |
発信 |
電子メール通知とアラートを送信。 |
|
53/tcp 53/udp |
DNS |
FMC あらゆるデバイス |
発信 |
DNS |
|
67/udp 68/udp |
DHCP |
FMC あらゆるデバイス |
発信 |
DHCP |
|
80/tcp |
HTTP |
FMC |
発信 |
RSS フィードをダッシュ ボードに表示します。 |
|
80/tcp |
HTTP |
FMC |
発信 |
URL カテゴリおよびレピュテーション データをダウンロードまたはクエリします(さらにポート 443 も必要)。 |
|
80/tcp |
HTTP |
FMC |
発信 |
HTTP 経由でカスタム セキュリティ インテリジェンス フィードをダウンロードします。 |
|
123/udp |
NTP |
FMC あらゆるデバイス |
発信 |
時刻を同期します。 |
|
161/udp |
SNMP |
FMC あらゆるデバイス |
着信 |
SNMP ポーリング経由で MIB にアクセスできるようにします。 |
|
162/udp |
SNMP |
FMC あらゆるデバイス |
発信 |
リモート トラップ サーバーに SNMP アラートを送信します。 |
|
389/tcp 636/tcp |
LDAP |
FMC FTD |
発信 |
外部認証用に LDAP サーバーと通信します。 検出された LDAP ユーザーに関するメタデータを取得します(FMC のみ)。 設定可能。 |
|
443/tcp |
HTTPS |
FMC |
着信 |
Web インターフェイスにアクセスします。 |
|
443/tcp |
リモート アクセス VPN(SSL/IPSec) |
FTD |
着信 |
リモート ユーザーからネットワークへのセキュアな VPN 接続を許可します。 |
|
500/udp 4500/udp |
リモート アクセス VPN(IKEv2) |
FTD |
着信 |
リモート ユーザーからネットワークへのセキュアな VPN 接続を許可します。 |
|
443/tcp |
HTTPS |
FMC FTD |
着信 |
Cisco Terminal Services(TS)エージェントを含め、Firepower REST API を使用して、統合製品やサードパーティ製品と通信します。 |
|
443/tcp |
HTTPS |
FMC あらゆるデバイス |
発信 |
インターネットからデータを送受信します。詳細は、インターネット アクセス要件を参照してください。 |
|
443 |
HTTPS |
FMC |
発信 |
AMP クラウドとの通信(パブリックまたはプライベート) ポート 32137 の情報も参照してください。 |
|
443 |
HTTPS |
FMC |
着信および発信 |
AMP for Endpoints との統合 |
|
514/udp |
Syslog(アラート) |
FMC あらゆるデバイス |
発信 |
リモート syslog サーバーにアラートを送信します。 |
|
623/udp |
SOL/LOM |
FMC |
着信 |
Serial Over LAN(SOL)接続を使用した Lights-Out Management(LOM)。 |
|
885/tcp |
キャプティブ ポータル |
あらゆるデバイス |
着信 |
キャプティブ ポータルのアイデンティティ ソースと通信します。 |
|
1500/tcp 2000/tcp |
データベース アクセス |
FMC |
着信 |
サードパーティ クライアントによるイベント データベースへの読み取り専用アクセスを可能にします。 |
|
1812/udp 1813/udp |
RADIUS |
FMC FTD |
発信 |
外部認証とアカウンティングのために RADIUS サーバーと通信します。 設定可能。 |
|
3306/tcp |
ユーザー エージェント |
FMC |
着信 |
ユーザー エージェントと通信します。 |
|
5222/tcp |
ISE |
FMC |
発信 |
ISE アイデンティティ ソースと通信します。 |
|
6514/tcp |
Syslog(監査イベント) |
FMC NGIPSv ASA FirePOWER |
発信 |
TLS の設定時にリモート syslog サーバーに監査ログを送信します。 |
|
8302/tcp |
eStreamer |
FMC |
着信 |
eStreamer クライアントと通信します。 |
|
8305/tcp |
アプライアンス通信 |
FMC あらゆるデバイス |
両方 |
展開におけるアプライアンス間で安全に通信します。 設定可能。このポートを変更する場合は、展開内のすべてのアプライアンスについて変更する必要があります。デフォルトを維持することをお勧めします。 |
|
8307/tcp |
ホスト入力クライアント |
FMC |
着信 |
ホスト入力クライアントと通信します。 |
|
8989/tcp |
Cisco Success Network |
FMC |
発信 |
使用状況情報および統計情報を送信します。 |
|
8989/tcp |
Cisco Support Diagnostics |
FMC FTD |
両方 |
許可された要求を受け入れ、使用状況の情報と統計情報を送信します。 |
|
32137/tcp |
ネットワーク向け AMP |
FMC |
発信 |
Cisco AMP クラウドと通信します。 これはレガシー設定です。デフォルト(443)を使用することをお勧めします。 |
フィードバック