管理アクセスの設定
管理アクセスとは、設定およびモニタ目的で脅威に対する防御 デバイスにログインする機能のことです。次の項目を設定できます。
-
ユーザ アクセス認証に使用するアイデンティティ ソースを特定するための AAA。ローカル ユーザ データベースまたは外部 AAA サーバを使用することができます。管理ユーザの管理の詳細については、Device Manager および Threat Defense ユーザーアクセスの管理を参照してください。
-
管理インターフェイスおよびデータ インターフェイスへのアクセス制御。これらのインターフェイスには個別のアクセス リストがあります。どの IP アドレスが HTTPS(Device Manager で使用)および SSH(CLI で使用)で許可されるかを決定できます。管理アクセス リストの設定を参照してください。
-
Device Manager に接続するためにユーザーが受け入れる必要がある管理 Web サーバー証明書。Web ブラウザで信頼される証明書をアップロードすることにより、ユーザが不明な証明書を信頼するよう求められるのを避けることができます。「Threat Defense Web サーバー証明書の設定」を参照してください。
管理アクセス リストの設定
デフォルトでは、任意の IP アドレスから、デバイスの管理アドレス上の Device Manager Web または CLI インターフェイスにアクセスできます。システム アクセスは、ユーザ名/パスワードによってのみ保護されます。ただし、特定の IP アドレスまたはサブネットのみからの接続を許可するようアクセス リストを設定し、さらにレベルの高い保護を提供できます。
また、データインターフェイスを開いて、Device Manager または SSH から CLI への接続を許可することもできます。これにより、管理アドレスを使用せずにデバイスを管理できます。たとえば、外部インターフェイスに対する管理アクセスを許可することで、デバイスをリモートから設定できます。ユーザ名/パスワードによって、不正な接続が阻止されます。デフォルトでは、データインターフェイスへの HTTPS 管理アクセスは内部インターフェイスで有効になっていますが、外部インターフェイスでは無効になっています。デフォルトの「内部」ブリッジグループが設定されている Firepower 1010 または Cisco Secure Firewall 1210/1220 の場合、この設定は、ブリッジグループに含まれる任意のデータインターフェイスを使用して Device Manager をブリッジグループ IP アドレス(デフォルトは 192.168.95.1)に接続できることを意味します。管理接続は、デバイスに入るインターフェイス上でのみ開くことができます。
![]() 注意 |
アクセスを特定のアドレスに制限すると、容易にシステムから締め出されてしまう可能性があります。たとえば、現在使用している IP アドレスに関連するアクセスを削除し、「any」アドレスのエントリが 1 つもないポリシーを導入するとシステムにアクセスできなくなります。アクセス リストを設定する場合は、特に注意してください。 |
始める前に
同じ TCP ポートの同じインターフェイスでは、Device Manager アクセス(HTTPS アクセス)とリモートアクセス SSL VPN の両方を設定できません。たとえば、外部インターフェイスにリモート アクセス SSL VPN を設定する場合、ポート 443 で HTTPS 接続用の外部インターフェイスも開くことはできません。同じインターフェイスで両方の機能を設定する場合は、競合を回避するために、必ず、これらのサービスの少なくとも 1 つの HTTPS ポートを変更してください。
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、 の順にリンクをクリックします。 [システム設定(System Settings)] ページがすでに表示されている場合は、目次で [管理アクセスリスト(Management Access List)][管理アクセス(Management Access)] をクリックします。 このページで AAA を設定して、外部 AAA サーバで定義されたユーザの管理アクセスを許可することもできます。詳細は、Device Manager および Threat Defense ユーザーアクセスの管理を参照してください。 |
ステップ 2 |
管理アドレスのルールを作成するには、以下の手順に従います。 |
ステップ 3 |
データ インターフェイスに対するルールを作成するには、以下の手順に従います。 |
データインターフェイスでの管理アクセス用の HTTPS ポートの設定
デフォルトでは、Device Manager または Threat Defense API のいずれかで管理のためにデバイスにアクセスする場合、ポート TCP/443 を経由します。データインターフェイスの管理アクセスポートは変更できます。
ポートを変更すると、ユーザは、システムにアクセスするための URL にカスタムポートを含める必要があります。たとえば、データインターフェイスが ftd.example.com であり、ポートを 4443 に変更した場合、ユーザは URL を https://ftd.example.com:4443 に変更する必要があります。
すべてのデータインターフェイスで同じポートが使用されます。インターフェイスごとに異なるポートを設定することはできません。
![]() (注) |
管理インターフェイスの管理アクセスポートは変更できません。管理インターフェイスでは常にポート 443 が使用されます。 |
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、 リンクの順にクリックします。 [システム設定(System Settings)] ページがすでに表示されている場合は、目次で [管理アクセス(Management Access)] をクリックします。 |
ステップ 2 |
[データインターフェイス(Data Interfaces)] タブをクリックします。 |
ステップ 3 |
[HTTPSデータポート(HTTPS Data Port)] 番号をクリックします。 |
ステップ 4 |
[データインターフェイス設定(Data Interfaces Setting)] ダイアログボックスで [HTTPSデータポート(HTTPS Data Port)] を、使用するポートに変更します。 次の番号は指定できません。
|
ステップ 5 |
[OK] をクリックします。 |
Threat Defense Web サーバー証明書の設定
Web インターフェイスにログインするときに、システムはデジタル証明書を使用して HTTPS で通信を保護します。デフォルトの証明書はブラウザで信頼されていないため、Untrusted Authority という警告が表示され、証明書を信頼するかどうかを確認されます。ユーザは証明書を Trusted Root Certificate ストアに保存することもできますが、その代わりに信頼するようにブラウザがすでに設定されている新しい証明書をアップロードすることもできます。
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、 リンクの順にクリックします。 [System Settings] ページがすでに表示されている場合は、目次で [Management Access] をクリックします。 |
ステップ 2 |
[管理Webサーバ(Management Web Server)] タブをクリックします。 |
ステップ 3 |
[Webサーバ証明書(Web Server Certificate)] で、Device Manager への HTTPS 接続をセキュリティ保護するために使用する内部証明書を選択します。 証明書をアップロードまたは作成していない場合、リストの下部にある [内部証明書の新規作成(Create New Internal Certificate)] リンクをクリックして作成します。 デフォルトは、事前に定義された DefaultWebserverCertificate オブジェクトです。 |
ステップ 4 |
証明書が自己署名されていない場合は、完全な信頼チェーン内のすべての中間証明書とルート証明書を信頼チェーンリストに追加します。 チェーンには最大 10 個の証明書を追加できます。各中間証明書を追加するには、[+] をクリックし、最後にルート証明書を追加します。[保存(Save)] をクリックし(Web サーバの再起動を警告するダイアログで [続行(Proceed)] をクリックすると)、証明書がない場合は、欠落しているチェーン内の次の証明書の共通名を含むエラーメッセージが表示されます。チェーンに含まれていない証明書を追加した場合も、エラーが表示されます。これらのメッセージを慎重に調べて、追加または削除する必要がある証明書を特定してください。 ここから証明書をアップロードするには、[+] をクリックした後に、[新規信頼CA証明書の作成(Create New Trusted CA Certificate)] をクリックします。 |
ステップ 5 |
[保存(Save)] をクリックします。 変更はすぐに適用され、システムは Web サーバを再起動します。設定を展開する必要はありません。 数分待って再起動が完了してから、ブラウザを更新します。 |