• Ethernet 1/2：初期設定のために管理コンピュータを Ethernet 1/2 に直接接続するか、Ethernet 1/2 を内部ネットワークに接続します。イーサネット 1/2 にはデフォルトの IP アドレス（192.168.95.1）があり、クライアント（管理コンピュータを含む）に IP アドレスを提供するために DHCP サーバーも実行されるため、これらの設定が既存の内部ネットワーク設定と競合しないようにしてください（デフォルト設定を参照）。

• Management 1/1（ラベル MGMT）： Management 1/1 を管理ネットワークに接続し、管理コンピュータが管理ネットワーク上にあるか、またはアクセスできることを確認します。Management 1/1 は、管理ネットワーク上の DHCP サーバーから IP アドレスを取得します。このインターフェイスを使用する場合は、Firewall Threat Defense に割り当てられる IP アドレスを決定して、管理コンピュータから IP アドレスに接続できるようにする必要があります。

  Management 1/1 IP アドレスをデフォルトから変更し、静的 IP アドレスを設定する必要がある場合は、管理コンピュータをコンソールポートにケーブル接続する必要もあります。「（任意）CLI での管理ネットワーク設定の変更」を参照してください。

後で、他のインターフェイスから Firewall Device Manager 管理アクセスを設定できます。FDM コンフィギュレーション ガイドを参照してください。

デフォルトでは、IP アドレスは IPv4 DHCP および IPv6 自動設定を使用して取得しますが、初期設定時に静的アドレスを設定できます。

admin ユーザとデフォルトパスワードの Admin123 を使用してログインします。

FXOS CLI に接続します。初めてログインしたとき、パスワードを変更するよう求められます。このパスワードは、SSH の Firewall Threat Defense ログインにも使用されます。

scope ssa

show app-instance

admin ユーザーとデフォルトパスワードの Admin123 を使用してログインします。

FXOS CLI に接続します。初めてログインしたとき、パスワードを変更するよう求められます。このパスワードは、SSH の Firewall Threat Defense ログインにも使用されます。

connect ftd

デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。

次のガイドラインを参照してください。

• [管理インターフェイスの IPv4 デフォルトゲートウェイを入力します（Enter the IPv4 default gateway for the management interface）]：手動 IP アドレスを設定した場合は、「data-interfaces」またはゲートウェイルータの IP アドレスのいずれかを入力します。data-interfaces を設定すると、アウトバウンド管理トラフィックがバックプレーン経由で送信され、データインターフェイスが終了します。この設定は、インターネットにアクセスできる個別の管理ネットワークがない場合に役立ちます。管理インターフェイスから発信されるトラフィックには、インターネットアクセスを必要とするライセンス登録とデータベースの更新が含まれます。data-interfaces を使用する場合、管理ネットワークに直接接続していれば管理インターフェイスで Firewall Device Manager（または SSH）を引き続き使用できますが、特定のネットワークまたはホストのリモート管理の場合は、configure network static-routes コマンドを使用して静的ルートを追加する必要があります。データインターフェイスでの Firewall Device Manager の管理は、この設定の影響を受けないことに注意してください。DHCP を使用する場合、システムは DHCP によって提供されるゲートウェイを使用し、DHCP がゲートウェイを提供しない場合はフォールバックメソッドとして data-interfaces を使用します。

• [ネットワーク情報が変更された場合は再接続が必要になります（If your networking information has changed, you will need to reconnect）]：SSH でデフォルトの IP アドレスに接続しているのに、初期セットアップでその IP アドレスを変更すると、接続が切断されます。新しい IP アドレスとパスワードで再接続してください。コンソール接続は影響を受けません。

• [デバイスをローカルで管理しますか（Manage the device locally?）]： または Firewall Device Manager を使用するには [はい（yes）] を入力します。[いいえ（no）] と応えると、Firewall Management Center デバイスの管理にはオンプレミスまたはクラウド配信を使用することになります。

• （7.0 以降）内部（イーサネット 1/2）：https://192.168.95.1 。

• （6.7 以降）内部（イーサネット 1/2）：https://192.168.1.1 。

• （6.6 以降）管理：https://management_ip 。管理インターフェイスは DHCP クライアントであるため、IP アドレスは DHCP サーバーによって異なります。CLI セットアップで管理 IP アドレスを変更した場合は、そのアドレスを入力します。

• （6.5 以前）管理：https://192.168.45.45 。CLI セットアップで管理 IP アドレスを変更した場合は、そのアドレスを入力します。

続行するには、これらの手順を完了する必要があります。

Firewall Threat Defense デバイスを購入すると、自動的に基本ライセンスが付いてきます。すべての追加ライセンスはオプションです。

スマートライセンスのアカウントを取得し、システムが必要とするライセンスを適用する必要があります。最初は 90 日間の評価ライセンスを使用し、後でスマートライセンスを設定できます。

デバイスを今すぐ登録するには、リンクをクリックして Smart Software Manager のアカウントにログインします。ライセンスの設定を参照してください。

評価ライセンスを使用するには、[登録せずに90日間の評価期間を開始する（Start 90 day evaluation period without registration）] を選択します。

ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマート ソフトウェア ライセンシング アカウントにリンクされています。ただし、自身でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [すべて検索（Search All）] フィールドを使用します。

結果から、[製品とサービス（Products & Services）] を選択します。

次のライセンス PID を検索します。

• Essentials：

• IPS、マルウェア防御、および URL ライセンスの組み合わせ：

  • L-FPR2110T-TMC=

  • L-FPR2120T-TMC=

  • L-FPR2130T-TMC=

  • L-FPR2140T-TMC=

  上記の PID のいずれかを注文に追加すると、次のいずれかの PID に対応する期間ベースのサブスクリプションを選択できます。

  • L-FPR2110T-TMC-1Y

  • L-FPR2110T-TMC-3Y

  • L-FPR2110T-TMC-5Y

  • L-FPR2120T-TMC-1Y

  • L-FPR2120T-TMC-3Y

  • L-FPR2120T-TMC-5Y

  • L-FPR2130T-TMC-1Y

  • L-FPR2130T-TMC-3Y

  • L-FPR2130T-TMC-5Y

  • L-FPR2140T-TMC-1Y

  • L-FPR2140T-TMC-3Y

  • L-FPR2140T-TMC-5Y

• Cisco Secure Client：『Cisco Secure Client 発注ガイド』を参照してください。

[スマート ライセンス（Smart License）] ページが表示されます。

次に、[スマートライセンスの登録（Smart License Registration）] ダイアログボックスの指示に従って、トークンに貼り付けます。

[スマート ライセンス（Smart License）] ページに戻ります。デバイス登録中は次のメッセージが表示されます。

デバイスが正常に登録され、ページが更新されると、次のように表示されます。

• [有効化（Enable）]：Cisco Smart Software Manager アカウントにライセンスを登録し、制御された機能が有効になります。ライセンスによって制御されるポリシーを設定し、展開できます。

• [無効化（Disable）]：Cisco Smart Software Manager アカウントのライセンスを登録解除し、制御された機能が無効になります。新しいポリシーの機能の設定も、その機能を使用するポリシーの展開もできません。

• [Cisco Secure Client] [RA VPN] ライセンスを有効にした場合は、使用するライセンスのタイプ（[Advantage]、[Plus]、[Premier]、[Apex]、[VPN専用（VPN Only）、または [PremierとAdvantage（Premier and Advantage）] [Apex and Plus（Apex and Plus）] を選択します。

  

機能を有効にすると、アカウントにライセンスがない場合はページを更新した後に次の非準拠メッセージが表示されます。

各インターフェイスの編集アイコン（）をクリックしてモードを設定し、IP アドレスなどの設定を定義します。

次の例では、Web サーバーなどのパブリックアクセス可能な資産を配置する「緩衝地帯」（DMZ）として使用するためのインターフェイスを構成します。完了したら [保存（Save）] をクリックします。

編集または必要に応じて新しいゾーンを作成します。インターフェイスではなく、セキュリティ ゾーンに基づいてポリシーを構成するため、各インターフェイスはゾーンに属している必要があります。インターフェイスを構成する場合、ゾーンにインターフェイスを置くことはできません。このため、新しいインターフェイスを作成した後、または既存のインターフェイスの目的を変更した後には常にゾーン オブジェクトを編集する必要があります。

次の例では、DMZ インターフェイスのために新しい DMZ ゾーンを作成する方法を示します。

すでに内部インターフェイス用に構成されている DHCP サーバーがありますが、アドレス プールを編集したり、それを削除したりすることができます。他の内部インターフェイスを構成した場合は、それらのインターフェイス上に DHCP サーバーをセットアップするのがごく一般的です。[+] をクリックして各内部インターフェイスのサーバーとアドレスプールを構成します。

[構成（Configuration）] タブでクライアントに提供される WINS および DNS のリストを微調整することもできます。次の例では、アドレス プールの 192.168.4.50 ～ 192.168.4.240 で inside2 インターフェイス上の DHCP サーバーを設定する方法を示しています。

デフォルト ルートは通常、外部インターフェイス以外に存在するアップストリームまたは ISP ルータを指しています。デフォルトの IPv4 ルートは任意の ipv4（0.0.0.0/0）、デフォルトの IPv6 ルートは任意の ipv6（::0/0）です。使用する IP バージョンごとにルートを作成します。外部インターフェイスのアドレスの取得に DHCP を使用する場合、必要なデフォルト ルートをすでに持っていることがあります。

次の例に、IPv4 のデフォルト ルートを示します。この例では、isp ゲートウェイは ISP ゲートウェイの IP アドレスを識別するネットワーク オブジェクトです（アドレスは ISP から取得する必要があります）。[ゲートウェイ（Gateway）] の下部の [新しいネットワークを作成する（Create New Network）] ドロップダウン リストをクリックしてこのオブジェクトを作成することができます。

デバイス セットアップ ウィザードは、内部ゾーンと外部ゾーンの間のトラフィック フローを有効にします。また、外部インターフェイスを使用する場合に、全インターフェイスに対するインターフェイス NAT も有効にします。新しいインターフェイスを構成した場合でも、内部ゾーン オブジェクトに追加する場合はそれらにアクセス制御ルールが自動的に適用されます。

ただし、複数の内部インターフェイスがある場合は、内部ゾーンから内部ゾーンへのトラフィックフローを許可するアクセス制御ルールが必要です。他のセキュリティ ゾーンを追加する場合は、それらのゾーンとのトラフィックを許可するルールが必要です。これらは最低限の変更になります。

さらに、組織が必要とする結果を得るために、その他のポリシーを設定して、追加サービスの提供や、NAT およびアクセス ルールを微調整できます。次のポリシーを設定できます。

• [SSL復号（SSL Decryption）]：侵入、マルウェアなどについて暗号化された接続（HTTPS など）を検査する場合は、接続を復号化する必要があります。どの接続を復号する必要があるかを判断するには SSL 復号ポリシーを使用します。システムは、検査後に接続を再暗号化します。

• [アイデンティティ（Identity）]：個々のユーザーにネットワーク アクティビティを関連付ける、またはユーザーまたはユーザー グループのメンバーシップに基づいてネットワーク アクセスを制御する場合は、特定のソース IP アドレスに関連付けられているユーザーを判定するためにアイデンティティ ポリシーを使用します。

• [セキュリティインテリジェンス（Security Intelligence）]：ブラックリスト登録済みの IP アドレスまたは URL の接続をただちにドロップするには、セキュリティ インテリジェンス ポリシーを使用します。既知の不正なサイトをブラックリストに登録すれば、アクセス コントロール ポリシーでそれらを考慮する必要がなくなります。Cisco では、セキュリティ インテリジェンスのブラックリストが動的に更新されるように、既知の不正なアドレスや URL の定期更新フィードを提供しています。フィードを使用すると、ブラックリストの項目を追加または削除するためにポリシーを編集する必要がありません。

• [NAT]（ネットワークアドレス変換）：内部 IP アドレスを外部のルーティング可能なアドレスに変換するために NAT ポリシーを使用します。

• [アクセス制御（Access Control）]：ネットワーク上で許可する接続の決定にアクセス コントロール ポリシーを使用します。セキュリティ ゾーン、IP アドレス、プロトコル、ポート、アプリケーション、URL、ユーザーまたはユーザー グループによってフィルタ処理できます。また、アクセス制御ルールを使用して侵入やファイル（マルウェア）ポリシーを適用します。このポリシーを使用して URL フィルタリングを実装します。

• [侵入（Intrusion）]：侵入ポリシーを使用して、既知の脅威を検査します。アクセス制御ルールを使用して侵入ポリシーを適用しますが、侵入ポリシーを編集して特定の侵入ルールを選択的に有効または無効にできます。

次の例では、アクセス制御ポリシーで内部ゾーンと DMZ ゾーンの間のトラフィックを許可する方法を示します。この例では、[接続の最後で（At End of Connection）] が選択されている場合、[ロギング（Logging）] を除いて他のいずれのタブでもオプションは設定されません。

侵入ポリシーを使用している場合は、ルールと VDB のデータベースを定期的な更新を設定します。セキュリティ情報フィードを使用する場合は、それらの更新スケジュールを設定します。一致基準としてセキュリティポリシーで地理位置情報を使用する場合は、そのデータベースの更新スケジュールを設定します。

変更は、それらを展開するまでデバイスで有効になりません。

• 9600 ボー

• 8 データ ビット

• パリティなし

• 1 ストップ ビット

FXOS CLI に接続します。ユーザー名 admin と、初期セットアップ時に設定したパスワードを使用して CLI にログインします（デフォルトは Admin123）。

connect ftd

ログイン後に、CLI で使用可能なコマンドの情報を確認するには、help または ? を入力します。使用方法については、『Cisco Secure Firewall Threat Defense コマンドリファレンス』を参照してください。

このコマンドにより、FXOS CLI プロンプトに戻ります。FXOS CLI で使用可能なコマンドについては、? を入力してください。

System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N]

コンソールから接続していない場合は、約 3 分間待ってシステムがシャットダウンしたことを確認します。