Cisco Firepower 2100 スタートアップガイド

エンドツーエンドのタスク

Device Manager を使用して Threat Defense を展開するには、次のタスクを参照してください。


	事前設定	ファイアウォールをインストールします。ハードウェア設置ガイドを参照してください。
	事前設定	ネットワーク配置とデフォルト設定の確認
	事前設定	デバイスの配線。
	事前設定	デバイスの電源投入。
	CLI	（任意）ソフトウェアの確認と新しいバージョンのインストール
	CLI	（任意）CLI での管理ネットワーク設定の変更。
	Device Manager	Device Manager へのログイン。
	Device Manager	初期設定の完了。
	Cisco Commerce Workspace	（任意）機能ライセンスを取得します（ライセンスの設定）。
	Smart Software Manager	ライセンストークンを生成します（ライセンスの設定）。
	Device Manager	スマートライセンシングサーバーにデバイスを登録します（ライセンスの設定）。
	Device Manager	Device Manager でのファイアウォールの設定。

ネットワーク配置とデフォルト設定の確認

Management 1/1 インターフェイスか内部インターフェイスから Device Manager を使用して Threat Defense を管理できます。専用の管理インターフェイスは、独自のネットワーク設定を持つ特別なインターフェイスです。

次の図に、推奨されるネットワーク展開を示します。外部インターフェイスをケーブルモデムか DSL モデムに直接接続する場合は、Threat Defense が内部ネットワークのすべてのルーティングと NAT を実行するように、モデムをブリッジモードにすることをお勧めします。外部インターフェイスが ISP に接続できるように PPPoE を設定する必要がある場合は、Device Manager で初期セットアップを完了した後に行うことができます。

（注）

デフォルトの管理 IP アドレスを使用できない場合（管理ネットワークに DHCP サーバーが含まれていない場合など）、コンソールポートに接続して、CLI で初期セットアップ（管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定の指定など）を実行できます。

内部 IP アドレスを変更する必要がある場合は、Device Manager で初期セットアップを完了した後に変更できます。たとえば、次のような状況において、内部 IP アドレスの変更が必要になる場合があります。

（7.0 以降）内部 IP アドレスは 192.168.95.1 です。（6.7 以前）内部 IP アドレスは 192.168.1.1 です。外部インターフェイスが一般的なデフォルトネットワークである 192.168.1.0 ネットワーク上の IP アドレスの取得を試みる場合、DHCP リースが失敗し、外部インターフェイスが IP アドレスを取得しません。この問題は、Threat Defense が同じネットワーク上に 2 つのインターフェイスを持つことができないために発生します。この場合、内部 IP アドレスが新しいネットワーク上に存在するように変更する必要があります。
Threat Defense を既存の内部ネットワークに追加する場合は、内部 IP アドレスが既存のネットワーク上に存在するように変更する必要があります。

次の図に、Device Manager を使用した Threat Defense でのデフォルトのネットワーク展開を示します（デフォルト設定を使用）。

（注）

6.7 以前の場合、イーサネット 1/2 内部 IP アドレスは 192.168.1.1 です。

6.5 以前の場合、Management 1/1 のデフォルト IP アドレスは 192.168.45.45 です。

デフォルト設定

初期設定後のファイアウォールの設定には、以下が含まれます。

内部：Ethernet 1/2、IP アドレス（7.0 以降）192.168.95.1、（7.0 より前）192.168.1.1。
外部：イーサネット 1/1、IPv4 DHCP からの IP アドレス、および IPv6 自動設定
内部→外部トラフィックフロー

管理：Management 1/1（管理）

（6.6 以降）DHCP からの IP アドレス
（6.5 以前）IP アドレス 192.168.45.45

（注）

Management 1/1 インターフェイスは、管理、スマートライセンス、およびデータベースの更新に使用されるデータインターフェイスとは別の特別なインターフェイスです。物理インターフェイスは、診断インターフェイスである 2 番目の論理インターフェイスと共有されます。診断はデータインターフェイスですが、syslog や SNMP など、他のタイプの管理トラフィック（デバイスとデバイス間）に限定されます。診断インターフェイスは通常使用されません。詳細については、Cisco Secure Firewall Device Manager Configuration Guideを参照してください。

管理用の DNS サーバー：OpenDNS：（IPv4）208.67.222.222、208.67.220.220、（IPv6）2620:119:35::35、またはセットアップ時に指定したサーバー。DHCP から取得した DNS サーバーは使用されません。
NTP：Cisco NTP サーバー：0.sourcefire.pool.ntp.org、1.sourcefire.pool.ntp.org、2.sourcefire.pool.ntp.org、またはセットアップ時に指定したサーバー
デフォルトルート
- データインターフェイス：外部 DHCP から取得したもの、またはセットアップ時に指定したゲートウェイ IP アドレス
- 管理インターフェイス：（6.6 以降）管理 DHCP から取得されます。ゲートウェイを受信しない場合、デフォルトルートはバックプレーンを介してデータインターフェイスを経由します。（6.5 以前）バックプレーンを介してデータインターフェイスを経由します。
  
  管理インターフェイスでは、バックプレーンを介した場合でも個別のインターネットゲートウェイを使用する場合でも、ライセンス取得や更新のためにインターネットアクセスが必要であることに注意してください。管理インターフェイスから発信されたトラフィックのみがバックプレーンを通過できることに注意してください。それ以外の場合、ネットワークから管理インターフェイスに入るトラフィックの通過は許可されません。
DHCP サーバー：内部インターフェイスおよび（6.5 以前のみ）管理インターフェイスで有効になります。
Device Manager アクセス：すべてのホストが管理インターフェイスと内部インターフェイスで許可されます。
NAT：内部から外部へのすべてのトラフィック用のインターフェイス PAT

デバイスの配線

（注）

6.7 以前の場合、イーサネット 1/2 内部 IP アドレスは 192.168.1.1 です。

6.5 以前の場合、Management 1/1 のデフォルト IP アドレスは 192.168.45.45 です。

Management 1/1 または Ethernet 1/2 のいずれかで Firepower 2100 を管理します。デフォルト設定でも、Ethernet1/1 を外部として設定します。

手順

ステップ 1	シャーシを取り付けます。ハードウェア設置ガイドを参照してください。
ステップ 2	管理コンピュータを次のいずれかのインターフェイスに接続します。 Ethernet 1/2：初期設定のために管理コンピュータを Ethernet 1/2 に直接接続するか、Ethernet 1/2 を内部ネットワークに接続します。イーサネット 1/2 にはデフォルトの IP アドレス（192.168.95.1）があり、クライアント（管理コンピュータを含む）に IP アドレスを提供するために DHCP サーバーも実行されるため、これらの設定が既存の内部ネットワーク設定と競合しないようにしてください（デフォルト設定を参照）。 Management 1/1（ラベル MGMT）： Management 1/1 を管理ネットワークに接続し、管理コンピュータが管理ネットワーク上にあるか、またはアクセスできることを確認します。Management 1/1 は、管理ネットワーク上の DHCP サーバーから IP アドレスを取得します。このインターフェイスを使用する場合は、Threat Defense に割り当てられる IP アドレスを決定して、管理コンピュータから IP アドレスに接続できるようにする必要があります。 Management 1/1 IP アドレスをデフォルトから変更し、静的 IP アドレスを設定する必要がある場合は、管理コンピュータをコンソールポートにケーブル接続する必要もあります。「（任意）CLI での管理ネットワーク設定の変更」を参照してください。後で、他のインターフェイスから Device Manager 管理アクセスを設定できます。FDM コンフィギュレーションガイドを参照してください。
ステップ 3	外部ネットワークを Ethernet 1/1 インターフェイス（ラベル「WAN」）に接続します。デフォルトでは、IP アドレスは IPv4 DHCP および IPv6 自動設定を使用して取得しますが、初期設定時に静的アドレスを設定できます。
ステップ 4	残りのインターフェイスに他のネットワークを接続します。

デバイスの電源投入

電源スイッチは、シャーシの背面の電源モジュール 1 の左にあります。これはシステムへの電源を制御するトグルスイッチです。電源スイッチがスタンバイの位置にある場合は、3.3 V のスタンバイ電源ユニットのみが電源モジュールから有効化され、12 V の主電源はオフになります。スイッチがオンの位置にある場合は、12 V の主電源がオンになり、システムが起動します。

（注）

Threat Defense を初めて起動するときは、初期化に約 15 ～ 30 分かかります。

始める前に

デバイスに対して信頼性の高い電力を供給することが重要です（たとえば、無停電電源装置（UPS）を使用）。最初のシャットダウンを行わないで電力が失われると、重大なファイルシステムの損傷を引き起こす可能性があります。バックグラウンドでは常に多数のプロセスが実行されていて、電力が失われると、システムをグレースフルシャットダウンできません。

手順

ステップ 1

電源コードをデバイスに接続し、電源コンセントに接続します。

ステップ 2

デバイスの背面にある電源スイッチを押します。

ステップ 3

デバイスの前面にある PWR LED を確認します。緑色に点灯している場合は、デバイスの電源が入っています。

ステップ 4

デバイスの前面にある SYS LED を確認します。緑色に点灯している場合は、電源投入時診断に合格しています。

（注）

電源スイッチをオフの位置に動かす前に、システムがグレースフルシャットダウンを実行できるように shutdown コマンドを使用します。終了するまでに数分かかる場合があります。グレースフルシャットダウンが完了すると、コンソールにはすぐに電源オフすると安全ですと表示されます。前面パネルの青いロケータビーコン LED が点灯し、システムの電源をオフにする準備ができていることを示します。これで、スイッチをオフの位置に移動できるようになりました。前面パネルの PWR LED が瞬間的に点滅し、消灯します。PWR LED が完全にオフになるまで電源を抜かないでください。

これらの shutdown コマンドの使用の詳細については、『FXOS コンフィグレーションガイド』を参照してください。

（任意）ソフトウェアの確認と新しいバージョンのインストール

ソフトウェアのバージョンを確認し、必要に応じて別のバージョンをインストールするには、次の手順を実行します。ファイアウォールを設定する前に対象バージョンをインストールすることをお勧めします。別の方法として、稼働後にアップグレードを実行することもできますが、設定を保持するアップグレードでは、この手順を使用するよりも時間がかかる場合があります。

実行するバージョン

ソフトウェアダウンロードページのリリース番号の横にある、金色の星が付いている Gold Star リリースを実行することをお勧めします。https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html に記載されているリリース戦略も参照してください。たとえば、この速報では、（最新機能を含む）短期的なリリース番号、長期的なリリース番号（より長期間のメンテナンスリリースとパッチ）、または非常に長期的なリリース番号（政府認定を受けるための最長期間のメンテナンスリリースとパッチ）について説明しています。

手順

ステップ 1

CLI に接続します。詳細については、Threat Defense および FXOS CLI へのアクセスを参照してください。この手順ではコンソールポートを使用していますが、代わりに SSH を使用することもできます。

admin ユーザとデフォルトパスワードの Admin123 を使用してログインします。

FXOS CLI に接続します。初めてログインしたとき、パスワードを変更するよう求められます。このパスワードは、SSH の Threat Defense ログインにも使用されます。

（注）

パスワードがすでに変更されていて、パスワードがわからない場合は、初期設定へのリセットを実行して、パスワードをデフォルトにリセットする必要があります。初期設定へのリセット手順については、『FXOS troubleshooting guide 』を参照してください。

例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

ステップ 2

FXOS CLI で、実行中のバージョンを表示します。

scope ssa

show app-instance

例:


Firepower# scope ssa
Firepower /ssa # show app-instance

Application Name     Slot ID    Admin State     Operational State    Running Version Startup Version Cluster Oper State
-------------------- ---------- --------------- -------------------- --------------- --------------- ------------------
ftd                  1          Enabled         Online               7.6.0.65        7.6.0.65        Not Applicable

ステップ 3

新しいバージョンをインストールする場合は、次の手順を実行します。

管理インターフェイスに静的 IP アドレスを設定する必要がある場合は、「（任意）CLI での管理ネットワーク設定の変更」を参照してください。デフォルトでは、管理インターフェイスは DHCP を使用します。

管理インターフェイスからアクセスできるサーバーから新しいイメージをダウンロードする必要があります。
FXOS のトラブルシューティングガイドに記載されている再イメージ化の手順を実行します。

ファイアウォールが再起動したら、FXOS CLI に再度接続します。
FXOS CLI で、管理者パスワードを再度設定するように求められます。

（任意）CLI での管理ネットワーク設定の変更

デフォルトの IP アドレスを使用できない場合（たとえば、デバイスを既存のネットワークに追加する場合）、コンソールポートに接続して、CLI で初期セットアップ（管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定の指定など）を実行できます。管理インターフェイスのみを設定できます。内部インターフェイスや外部インターフェイスは設定できません。これらは後で GUI を使用して設定できます。

（注）

設定をクリア（たとえば、イメージを再作成することにより）しないかぎり、CLI セットアップスクリプトを繰り返すことはできません。ただし、これらの設定すべては、後から CLI で configure network コマンドを使用して変更できます。Cisco Secure Firewall Threat Defense コマンドリファレンスを参照してください。

手順

ステップ 1

Threat Defense コンソールポートに接続します。詳細については、Threat Defense および FXOS CLI へのアクセスを参照してください。

admin ユーザーとデフォルトパスワードの Admin123 を使用してログインします。

FXOS CLI に接続します。初めてログインしたとき、パスワードを変更するよう求められます。このパスワードは、SSH の Threat Defense ログインにも使用されます。

（注）

パスワードがすでに変更されていて、パスワードがわからない場合は、デバイスを再イメージ化してパスワードをデフォルトにリセットする必要があります。再イメージ化の手順については、『FXOS troubleshooting guide』を参照してください。

例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

ステップ 2

Threat Defense CLI に接続します。

connect ftd

例:


firepower# connect ftd
>

ステップ 3

Threat Defense に初めてログインすると、エンドユーザーライセンス契約（EULA）に同意するように求められます。その後、CLI セットアップスクリプトが表示されます。

デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。

次のガイドラインを参照してください。

[管理インターフェイスの IPv4 デフォルトゲートウェイを入力します（Enter the IPv4 default gateway for the management interface）]：手動 IP アドレスを設定した場合は、「data-interfaces」またはゲートウェイルータの IP アドレスのいずれかを入力します。data-interfaces を設定すると、アウトバウンド管理トラフィックがバックプレーン経由で送信され、データインターフェイスが終了します。この設定は、インターネットにアクセスできる個別の管理ネットワークがない場合に役立ちます。管理インターフェイスから発信されるトラフィックには、インターネットアクセスを必要とするライセンス登録とデータベースの更新が含まれます。data-interfaces を使用する場合、管理ネットワークに直接接続していれば管理インターフェイスで Device Manager （または SSH）を引き続き使用できますが、特定のネットワークまたはホストのリモート管理の場合は、configure network static-routes コマンドを使用して静的ルートを追加する必要があります。データインターフェイスでの Device Manager の管理は、この設定の影響を受けないことに注意してください。DHCP を使用する場合、システムは DHCP によって提供されるゲートウェイを使用します。DHCP がゲートウェイを提供しない場合は、フォールバックメソッドとして data-interfaces を使用します。
[ネットワーク情報が変更された場合は再接続が必要になります（If your networking information has changed, you will need to reconnect）]：SSH でデフォルトの IP アドレスに接続しているのに、初期セットアップでその IP アドレスを変更すると、接続が切断されます。新しい IP アドレスとパスワードで再接続してください。コンソール接続は影響を受けません。
[デバイスをローカルで管理しますか（Manage the device locally?）]：または Device Manager を使用するには [はい（yes）] を入力します。[いいえ（no）] と応えると、Management Center デバイスの管理にはオンプレミスまたはクラウド配信を使用することになります。

例:


You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 

System initialization in progress.  Please stand by.
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1
Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: yes

>

ステップ 4

新しい管理 IP アドレスで Device Manager にログインしてください。

Device Manager へのログイン

Device Manager にログインして脅威に対する防御を設定します。

手順

ステップ 1

ブラウザに次の URL を入力します。

（7.0 以降）内部（イーサネット 1/2）：https://192.168.95.1 。
（6.7 以降）内部（イーサネット 1/2）：https://192.168.1.1 。
（6.6 以降）管理：https://management_ip 。管理インターフェイスは DHCP クライアントであるため、IP アドレスは DHCP サーバーによって異なります。CLI セットアップで管理 IP アドレスを変更した場合は、そのアドレスを入力します。
（6.5 以前）管理：https://192.168.45.45 。CLI セットアップで管理 IP アドレスを変更した場合は、そのアドレスを入力します。

ステップ 2

ユーザー名 admin、デフォルトパスワード Admin123 を使用してログインします。

次のタスク

Device Manager セットアップウィザードを実行します。初期設定の完了を参照してください。

初期設定の完了

初期設定を完了するには、最初に Device Manager にログインしたときにセットアップウィザードを使用します。セットアップウィザードの完了後、いくつかの基本ポリシーが適切に設定された機能しているデバイスが必要です。

外部（Ethernet1/1）および内部インターフェイス（Ethernet1/2）。
内部インターフェイスと外部インターフェイスのセキュリティゾーン。
内部から外部へのすべてのトラフィックを信頼するアクセスルール。
内部から外部へのすべてのトラフィックを外部インターフェイスの IP アドレスの固有のポートへ変換するインターフェイス NAT ルール。
内部インターフェイスで実行されている DHCP サーバー。

（注）

すべての初期設定を CLI で実行した場合は、これらのタスクの一部、具体的には管理者パスワードの変更や、外部インターフェイスと管理インターフェイスの設定がすでに完了しているはずです。

手順

ステップ 1

エンドユーザーライセンス契約書を読んで同意し、管理者パスワードを変更するように求められます。

続行するには、これらの手順を完了する必要があります。

ステップ 2

外部インターフェイスおよび管理インターフェイスに対して次のオプションを設定し、[次へ（Next）] をクリックします。

（注）

[次へ（Next）] をクリックすると、設定がデバイスに展開されます。インターフェイスの名前は「外部」となり、「outside_zone」セキュリティゾーンに追加されます。設定値が正しいことを確認します。

[外部インターフェイス（Outside Interface）]：これは、ゲートウェイルータに接続するためのデータポートです。デバイスの初期設定時に別の外部インターフェイスを選択することはできません。最初のデータインターフェイスがデフォルトの外部インターフェイスです。

[IPv4の設定（Configure IPv4）]：外部インターフェイス用の IPv4 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、サブネットマスク、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv4 アドレスを設定しないという選択肢もあります。セットアップウィザードを使用して PPPoE を設定することはできません。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ウィザードの完了後に PPPoE を設定できます。

[IPv6の設定（Configure IPv6）]：外部インターフェイス用の IPv6 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、プレフィックス、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv6 アドレスを設定しないという選択肢もあります。
[管理インターフェイス（Management Interface）]

[DNSサーバ（DNS Servers）]：システムの管理アドレス用の DNS サーバ。名前解決用に 1 つ以上の DNS サーバのアドレスを入力します。デフォルトは OpenDNS パブリック DNS サーバです。フィールドを編集し、デフォルトに戻したい場合は、[OpenDNSを使用（Use OpenDNS）] をクリックすると、フィールドに適切な IP アドレスがリロードされます。

[ファイアウォールホスト名（Firewall Hostname）]：システムの管理アドレスのホスト名です。

ステップ 3

システム時刻を設定し、[次へ（Next）] をクリックします。

[タイムゾーン（Time Zone）]：システムのタイムゾーンを選択します。
[NTPタイムサーバ（NTP Time Server）]：デフォルトの NTP サーバを使用するか、使用している NTP サーバのアドレスを手動で入力するかを選択します。バックアップ用に複数のサーバを追加できます。

ステップ 4

（任意）システムのスマートライセンスを設定します。

Threat Defense デバイスを購入すると、自動的に基本ライセンスが付いてきます。すべての追加ライセンスはオプションです。

スマートライセンスのアカウントを取得し、システムが必要とするライセンスを適用する必要があります。最初は 90 日間の評価ライセンスを使用し、後でスマートライセンスを設定できます。

デバイスを今すぐ登録するには、リンクをクリックして Smart Software Manager のアカウントにログインします。ライセンスの設定を参照してください。

評価ライセンスを使用するには、[登録せずに90日間の評価期間を開始する（Start 90 day evaluation period without registration）] を選択します。

ステップ 5

[終了（Finish）] をクリックします。

次のタスク

評価ライセンスを引き続き使用することもできますが、デバイスを登録し、ライセンスを取得することをお勧めします。を参照してくださいライセンスの設定。
Device Manager を使用してデバイスを設定することもできます。「Device Manager でのファイアウォールの設定」を参照してください。

ライセンスの設定

Threat Defense は、ライセンスの購入およびライセンスプールの一元管理が可能なスマートソフトウェアライセンシングを使用します。

シャーシを登録すると、Smart Software Manager はシャーシと Smart Software Manager 間の通信用の ID 証明書を発行します。また、適切な仮想アカウントにシャーシが割り当てられます。

シスコライセンスの概要については詳しくは、cisco.com/go/licensingguide を参照してください。

Essentials ライセンスは自動的に含まれます。スマートライセンスでは、まだ購入していない製品の機能を使用できます。Smart Software Manager に登録すると、すぐにライセンスの使用を開始できます。また、後でライセンスを購入することもできます。これによって、機能の展開および使用が可能になり、発注書の承認による遅延がなくなります。次のライセンスを確認してください。

Essentials （必須）Essentials ライセンス。
IPS：セキュリティインテリジェンスと次世代 IPS
マルウェア防御：マルウェア防御
URL フィルタリング：URL フィルタリング
Cisco Secure Client：Secure Client Advantage、Secure Client Premier、または Secure Client VPN のみ

始める前に

Smart Software Manager のアカウントが必要です。

まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のアカウントを作成できます。
（輸出コンプライアンスフラグを使用して有効化される）機能を使用するには、ご使用のスマートソフトウェアライセンシングアカウントで強力な暗号化（3DES/AES）ライセンスを使用できる必要があります。

手順

ステップ 1

お使いのスマートライセンシングアカウントに、必要なライセンスが含まれていることを確認してください。

ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマートソフトウェアライセンシングアカウントにリンクされています。ただし、自身でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [すべて検索（Search All）] フィールドを使用します。

結果から、[製品とサービス（Products and Services）] を選択します。

次のライセンス PID を検索します。

（注）

PID が見つからない場合は、注文に手動で PID を追加できます。

IPS、マルウェア防御、および URL ライセンスの組み合わせ：
- L-FPR2110T-TMC=
- L-FPR2120T-TMC=
- L-FPR2130T-TMC=
- L-FPR2140T-TMC=
上記の PID のいずれかを注文に追加すると、次のいずれかの PID に対応する期間ベースのサブスクリプションを選択できます。
- L-FPR2110T-TMC-1Y
- L-FPR2110T-TMC-3Y
- L-FPR2110T-TMC-5Y
- L-FPR2120T-TMC-1Y
- L-FPR2120T-TMC-3Y
- L-FPR2120T-TMC-5Y
- L-FPR2130T-TMC-1Y
- L-FPR2130T-TMC-3Y
- L-FPR2130T-TMC-5Y
- L-FPR2140T-TMC-1Y
- L-FPR2140T-TMC-3Y
- L-FPR2140T-TMC-5Y
Cisco Secure Client：『Cisco Secure Client 発注ガイド』を参照してください。

ステップ 2

Smart Software Manager で、このデバイスを追加する仮想アカウントの登録トークンを要求してコピーします。

[Inventory] をクリックします。
[General] タブで、[New Token] をクリックします。
[登録トークンを作成（Create Registration Token）] ダイアログボックスで、以下の設定値を入力してから [トークンを作成（Create Token）] をクリックします。
- [説明（Description）]
- [有効期限（Expire After）]：推奨値は 30 日です。
- 最大使用回数（Max. Number of Uses）
- [このトークンに登録された製品で輸出管理機能を許可する（Allow export-controlled functionality on the products registered with this token）]：高度暗号化が許可されている国の場合は輸出コンプライアンスフラグを有効にします。この機能を使用する予定の場合、このオプションをここで選択する必要があります。後でこの機能を有効にする場合は、デバイスを新しいプロダクトキーで再登録し、デバイスをリロードする必要があります。このオプションが表示されない場合、アカウントは輸出規制機能をサポートしていません。
トークンはインベントリに追加されます。
トークンの右側にある矢印アイコンをクリックして [トークン（Token）] ダイアログボックスを開き、トークン ID をクリップボードにコピーできるようにします。Threat Defense の登録が必要なときに後の手順で使用するために、このトークンを準備しておきます。

図 4. トークンの表示

図 5. トークンのコピー

ステップ 3

Device Manager で、[デバイス（Device）] をクリックし、[スマートライセンス（Smart License）] のサマリーで [設定の表示（View Configuration）] をクリックします。

[スマートライセンス（Smart License）] ページが表示されます。

ステップ 4

[デバイスの登録（Register Device）] をクリックします。

次に、[スマートライセンスの登録（Smart License Registration）] ダイアログボックスの指示に従って、トークンに貼り付けます。

ステップ 5

[デバイスの登録（Register Device）] をクリックします。

[スマートライセンス（Smart License）] ページに戻ります。デバイス登録中は次のメッセージが表示されます。

デバイスが正常に登録され、ページが更新されると、次のように表示されます。

ステップ 6

必要に応じて、それぞれのオプションライセンスの [有効化/無効化（Enable/Disable）] コントロールをクリックします。

[有効化（Enable）]：Cisco Smart Software Manager アカウントにライセンスを登録し、制御された機能が有効になります。ライセンスによって制御されるポリシーを設定し、展開できます。
[無効化（Disable）]：Cisco Smart Software Manager アカウントのライセンスを登録解除し、制御された機能が無効になります。新しいポリシーの機能の設定も、その機能を使用するポリシーの展開もできません。
[Cisco Secure Client] [RA VPN] ライセンスを有効にした場合は、使用するライセンスのタイプ（[Advantage]、[Plus]、[Premier]、[Apex]、[VPN専用（VPN Only）、または [PremierとAdvantage（Premier and Advantage）] [Apex and Plus（Apex and Plus）] を選択します。

機能を有効にすると、アカウントにライセンスがない場合はページを更新した後に次の非準拠メッセージが表示されます。

ステップ 7

歯車ドロップダウンリストから [接続の再同期（Resync Connection）] を選択して、Cisco Smart Software Manager とライセンス情報を同期させます。

Device Manager でのファイアウォールの設定

次の手順では、追加機能の設定の概要を説明します。各手順について詳細な情報を表示するには、ページのヘルプボタン（?）をクリックしてください。

手順

ステップ 1

他のインターフェイスに有線接続する場合は、[デバイス（Device）] を選択して [インターフェイス（Interfaces）] の概要のリンクをクリックします。

各インターフェイスの編集アイコン（）をクリックしてモードを設定し、IP アドレスなどの設定を定義します。

次の例では、Web サーバーなどのパブリックアクセス可能な資産を配置する「緩衝地帯」（DMZ）として使用するためのインターフェイスを構成します。完了したら [保存（Save）] をクリックします。

ステップ 2

新しいインターフェイスを構成する場合は、[オブジェクト（Objects）] を選択し、目次から[セキュリティゾーン（Security Zones）] を選択します。

編集または必要に応じて新しいゾーンを作成します。インターフェイスではなく、セキュリティゾーンに基づいてポリシーを構成するため、各インターフェイスはゾーンに属している必要があります。インターフェイスを構成する場合、ゾーンにインターフェイスを置くことはできません。このため、新しいインターフェイスを作成した後、または既存のインターフェイスの目的を変更した後には常にゾーンオブジェクトを編集する必要があります。

次の例では、DMZ インターフェイスのために新しい DMZ ゾーンを作成する方法を示します。

ステップ 3

内部クライアントで DHCP を使用してデバイスから IP アドレスを取得する場合は、[デバイス（Device）] > [システム設定（System Settings）] > [DHCPサーバー（DHCP Server）] を選択してから、[DHCPサーバー（DHCP Servers）] タブを選択します。

すでに内部インターフェイス用に構成されている DHCP サーバーがありますが、アドレスプールを編集したり、それを削除したりすることができます。他の内部インターフェイスを構成した場合は、それらのインターフェイス上に DHCP サーバーをセットアップするのがごく一般的です。[+] をクリックして各内部インターフェイスのサーバーとアドレスプールを構成します。

[構成（Configuration）] タブでクライアントに提供される WINS および DNS のリストを微調整することもできます。次の例では、アドレスプールの 192.168.4.50 ～ 192.168.4.240 で inside2 インターフェイス上の DHCP サーバーを設定する方法を示しています。

ステップ 4

[デバイス（Device）] を選択してから、[ルーティング（Routing）] グループで [設定の表示（View Configuration）]（または [最初のスタティックルートを作成（Create First Static Route）]）をクリックし、デフォルトルートを構成します。

デフォルトルートは通常、外部インターフェイス以外に存在するアップストリームまたは ISP ルータを指しています。デフォルトの IPv4 ルートは任意の ipv4（0.0.0.0/0）、デフォルトの IPv6 ルートは任意の ipv6（::0/0）です。使用する IP バージョンごとにルートを作成します。外部インターフェイスのアドレスの取得に DHCP を使用する場合、必要なデフォルトルートをすでに持っていることがあります。

（注）

このページで定義したルートは、データインターフェイス用のみです。管理インターフェイスには影響しません。[デバイス（Device）] > [システム設定（System Settings）] > [管理インターフェイス（Management Interface）] で管理ゲートウェイを設定します。

次の例に、IPv4 のデフォルトルートを示します。この例では、isp ゲートウェイは ISP ゲートウェイの IP アドレスを識別するネットワークオブジェクトです（アドレスは ISP から取得する必要があります）。[ゲートウェイ（Gateway）] の下部の [新しいネットワークを作成する（Create New Network）] ドロップダウンリストをクリックしてこのオブジェクトを作成することができます。

ステップ 5

[ポリシー（Policies）] を選択してネットワークのセキュリティポリシーを構成します。

デバイスセットアップウィザードは、内部ゾーンと外部ゾーンの間のトラフィックフローを有効にします。また、外部インターフェイスを使用する場合に、全インターフェイスに対するインターフェイス NAT も有効にします。新しいインターフェイスを構成した場合でも、内部ゾーンオブジェクトに追加する場合はそれらにアクセス制御ルールが自動的に適用されます。

ただし、複数の内部インターフェイスがある場合は、内部ゾーンから内部ゾーンへのトラフィックフローを許可するアクセス制御ルールが必要です。他のセキュリティゾーンを追加する場合は、それらのゾーンとのトラフィックを許可するルールが必要です。これらは最低限の変更になります。

さらに、組織が必要とする結果を得るために、その他のポリシーを設定して、追加サービスの提供や、NAT およびアクセスルールを微調整できます。次のポリシーを設定できます。

[SSL復号（SSL Decryption）]：侵入、マルウェアなどについて暗号化された接続（HTTPS など）を検査する場合は、接続を復号化する必要があります。どの接続を復号する必要があるかを判断するには SSL 復号ポリシーを使用します。システムは、検査後に接続を再暗号化します。
[アイデンティティ（Identity）]：個々のユーザーにネットワークアクティビティを関連付ける、またはユーザーまたはユーザーグループのメンバーシップに基づいてネットワークアクセスを制御する場合は、特定のソース IP アドレスに関連付けられているユーザーを判定するためにアイデンティティポリシーを使用します。
[セキュリティインテリジェンス（Security Intelligence）]：ブラックリスト登録済みの IP アドレスまたは URL の接続をただちにドロップするには、セキュリティインテリジェンスポリシーを使用します。既知の不正なサイトをブラックリストに登録すれば、アクセスコントロールポリシーでそれらを考慮する必要がなくなります。Cisco では、セキュリティインテリジェンスのブラックリストが動的に更新されるように、既知の不正なアドレスや URL の定期更新フィードを提供しています。フィードを使用すると、ブラックリストの項目を追加または削除するためにポリシーを編集する必要がありません。
[NAT]（ネットワークアドレス変換）：内部 IP アドレスを外部のルーティング可能なアドレスに変換するために NAT ポリシーを使用します。
[アクセス制御（Access Control）]：ネットワーク上で許可する接続の決定にアクセスコントロールポリシーを使用します。セキュリティゾーン、IP アドレス、プロトコル、ポート、アプリケーション、URL、ユーザーまたはユーザーグループによってフィルタ処理できます。また、アクセス制御ルールを使用して侵入やファイル（マルウェア）ポリシーを適用します。このポリシーを使用して URL フィルタリングを実装します。
[侵入（Intrusion）]：侵入ポリシーを使用して、既知の脅威を検査します。アクセス制御ルールを使用して侵入ポリシーを適用しますが、侵入ポリシーを編集して特定の侵入ルールを選択的に有効または無効にできます。

次の例では、アクセス制御ポリシーで内部ゾーンと DMZ ゾーンの間のトラフィックを許可する方法を示します。この例では、[接続の最後で（At End of Connection）] が選択されている場合、[ロギング（Logging）] を除いて他のいずれのタブでもオプションは設定されません。

ステップ 6

[デバイス（Device）] を選択してから、[更新（Updates）] グループで [設定の表示（View Configuration）] をクリックし、システムデータベースの更新スケジュールを設定します。

侵入ポリシーを使用している場合は、ルールと VDB のデータベースを定期的な更新を設定します。セキュリティ情報フィードを使用する場合は、それらの更新スケジュールを設定します。一致基準としてセキュリティポリシーで地理位置情報を使用する場合は、そのデータベースの更新スケジュールを設定します。

ステップ 7

メニューの [展開（Deploy）] ボタンをクリックし、[今すぐ展開する（Deploy Now）] ボタン（）をクリックして、変更内容をデバイスに展開します。

変更は、それらを展開するまでデバイスで有効になりません。

Threat Defense および FXOS CLI へのアクセス

コマンドラインインターフェイス（CLI）を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。CLI セッションからポリシーを設定することはできません。CLI には、コンソールポートに接続してアクセスできます。

トラブルシューティングのためにも FXOS CLI にアクセスできます。

（注）

または、Threat Defense デバイスの管理インターフェイスに SSH で接続できます。コンソールセッションとは異なり、SSH セッションはデフォルトで Threat Defense CLI になり、connect fxos コマンドを使用して FXOS CLI に接続できます。SSH 接続用のインターフェイスを開いている場合、後でデータインターフェイス上のアドレスに接続できます。データインターフェイスへの SSH アクセスはデフォルトで無効になっています。この手順では、デフォルトで FXOS CLI となるコンソールポートアクセスについて説明します。

手順

ステップ 1

CLI にログインするには、管理コンピュータをコンソールポートに接続します。Firepower 2100 には DB-9 to RJ-45 シリアルケーブルが付属しているため、接続するにはサードパーティの DB-9-to-USB シリアルケーブルが必要になる場合があります。ご使用のオペレーティングシステムに必要な USB シリアルドライバを必ずインストールしてください。コンソールポートはデフォルトで FXOS CLI になります。次のシリアル設定を使用します。

9600 ボー
8 データビット
パリティなし
1 ストップビット

FXOS CLI に接続します。ユーザー名 admin と、初期セットアップ時に設定したパスワードを使用して CLI にログインします（デフォルトは Admin123）。

例:


firepower login: admin
Password:
Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0
Successful login attempts for user 'admin' : 1

firepower#

ステップ 2

Threat Defense CLI にアクセスします。

connect ftd

例:


firepower# connect ftd
>

ログイン後に、CLI で使用可能なコマンドの情報を確認するには、help または ? を入力します。使用方法については、『Cisco Secure Firewall Threat Defense コマンドリファレンス』を参照してください。

ステップ 3

Threat Defense CLI を終了するには、exit または logout コマンドを入力します。

このコマンドにより、FXOS CLI プロンプトに戻ります。FXOS CLI で使用可能なコマンドについては、? を入力してください。

例:


> exit
firepower#

Device Manager を使用したファイアウォールの電源の切断

Device Manager を使用してシステムを適切にシャットダウンします。

手順

ステップ 1

Device Manager を使用してファイアウォールをシャットダウンします。

（注）

6.4 以前の場合は、Device Manager CLI で shutdown コマンドを入力します。

[デバイス（Device）] をクリックしてから、[システム設定（System Settings）] > [再起動/シャットダウン（Reboot/Shutdown）] リンクをクリックします。
[シャットダウン（Shut Down）] をクリックします。

ステップ 2

コンソールからファイアウォールに接続している場合は、ファイアウォールがシャットダウンするときにシステムプロンプトをモニターします。次のプロンプトが表示されます。


System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N]

コンソールから接続していない場合は、約 3 分間待ってシステムがシャットダウンしたことを確認します。

ステップ 3

必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。

次のステップ

Threat Defense の設定を続行するには、「Cisco Firepower ドキュメント一覧」にあるお使いのソフトウェアバージョンのマニュアルを参照してください。

Device Manager の使用に関する情報については、「『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』」を参照してください。

偏向のない言語

翻訳について

検索結果

章のタイトル： Device Manager での Threat Defense の展開

Device Manager での Threat Defense の展開

エンドツーエンドのタスク

ネットワーク配置とデフォルト設定の確認

デフォルト設定

デバイスの配線

手順

デバイスの電源投入

始める前に

手順

（任意）ソフトウェアの確認と新しいバージョンのインストール

手順

例:

例:

（任意）CLI での管理ネットワーク設定の変更

手順

例:

例:

例:

Device Manager へのログイン

手順

次のタスク

初期設定の完了

手順

次のタスク

ライセンスの設定

始める前に

手順

Device Manager でのファイアウォールの設定

手順

Threat Defense および FXOS CLI へのアクセス

手順

例:

例:

例:

Device Manager を使用したファイアウォールの電源の切断

手順

次のステップ

このドキュメントは役に立ちましたか?

シスコに問い合わせ