ステップ 1

管理コンピュータを内部（Ethernet 1/2）インターフェイスに接続します。

ステップ 2

ファイアウォールの電源を入れます。

ステップ 3

Firewall Device Manager にログインします。

1. ブラウザに URL（https://192.168.95.1 ）を入力します。

2. ユーザー名 admin、デフォルト パスワード Admin123 を使用してログインします。

3. エンド ユーザー ライセンス契約書を読んで同意し、管理者パスワードを変更するように求められます。

ステップ 4

初期設定を完了するには、最初に Firewall Device Manager にログインしたときにセットアップウィザードを使用します。必要に応じて、ページの下部にある [デバイスの設定をスキップ（Skip device setup）] をクリックしてセットアップウィザードをスキップできます。

1. 外部インターフェイスおよび管理インターフェイスに対して次のオプションを設定し、[次へ（Next）] をクリックします。

   1. [外部インターフェイスアドレス（Outside Interface Address）] — このインターフェイスは通常インターネット ゲートウェイであり、マネージャ アクセス インターフェイスとして使用される場合があります。デバイスの初期設定時に別の外部インターフェイスを選択することはできません。最初のデータ インターフェイスがデフォルトの外部インターフェイスです。

      マネージャアクセスに外部（または内部）とは異なるインターフェイスを使用する場合は、セットアップウィザードの完了後に手動で設定する必要があります。

      [IPv4の設定（Configure IPv4）]：外部インターフェイス用の IPv4 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、サブネットマスク、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv4 アドレスを設定しないという選択肢もあります。 セットアップウィザードを使用して PPPoE を設定することはできません。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ウィザードの完了後に PPPoE を設定できます。

      [IPv6の設定（Configure IPv6）]：外部インターフェイス用の IPv6 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、プレフィックス、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv6 アドレスを設定しないようにすることもできます。

   2. [管理インターフェイス（Management Interface）]

      CLI で初期設定を実行した場合、管理インターフェイスの設定は表示されません。

      データインターフェイスでマネージャアクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。たとえば、データインターフェイスを介してバックプレーン経由でルーティングされる管理トラフィックは、データインターフェイス DNS サーバーではなく、管理インターフェイス DNS サーバーを使用して FQDN を解決します。

      [DNSサーバ（DNS Servers）]：システムの管理アドレス用の DNS サーバ。名前解決用に 1 つ以上の DNS サーバのアドレスを入力します。デフォルトは OpenDNS パブリック DNS サーバです。フィールドを編集し、デフォルトに戻したい場合は、[OpenDNSを使用（Use OpenDNS）] をクリックすると、フィールドに適切な IP アドレスがリロードされます。

      [ファイアウォールホスト名（Firewall Hostname）]：システムの管理アドレスのホスト名です。

2. [時刻設定（NTP）（Time Setting (NTP)）] を設定し、[次へ（Next）] をクリックします。

   1. [タイムゾーン（Time Zone）]：システムのタイムゾーンを選択します。

   2. [NTPタイムサーバ（NTP Time Server）]：デフォルトの NTP サーバを使用するか、使用している NTP サーバのアドレスを手動で入力するかを選択します。バックアップ用に複数のサーバを追加できます。

3. [登録せずに 90 日間の評価期間を開始（Start 90 day evaluation period without registration）] を選択します。

   Firewall Threat Defense を Smart Software Manager に登録しないでください。すべてのライセンスは Firewall Management Center で実行されます。

4. [終了（Finish）] をクリックします。

5. [クラウド管理（Cloud Management）]または [スタンドアロン（Standalone）] を選択するよう求められます。Firewall Management Center の管理については、[スタンドアロン（Standalone）] を選択してから、[Got It（了解）] を選択します。

ステップ 5

（必要に応じて）管理インターフェイスを設定します。[デバイス（Device）] > [インターフェイス（Interfaces）] の管理インターフェイスを参照してください。

ステップ 6

マネージャアクセスに使用する外部または内部以外のインターフェイスを含む追加のインターフェイスを設定する場合は、[デバイス（Device）] を選択し、[インターフェイス（Interface）] のサマリーのリンクをクリックします。

ステップ 7

[デバイス（Device）] > [システム設定（System Settings）] > [集中管理（Central Management）]の順に選択し、[続行（Proceed）] をクリックして Firewall Management Center の管理を設定します。

ステップ 8

[Management Center/SCCCDOの詳細（Management Center/CDO Details）] を設定します。

1. [Management Center/SCCCDOのホスト名またはIPアドレスを知っていますか（Do you know the Management Center/CDO hostname or IP address?）] で、IP アドレスまたはホスト名を使用して Firewall Management Center に到達できる場合は [はい（Yes）] をクリックし、Firewall Management Center が NAT の背後にあるか、パブリック IP アドレスまたはホスト名がない場合は [いいえ（No）] をクリックします。

   双方向の TLS-1.3 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス（Firewall Management Center または Firewall Threat Defense デバイス）に到達可能な IP アドレスが必要です。

2. [はい（Yes）] を選択した場合は、[Management Center/SCCCDOのホスト名/IPアドレス（Management Center/CDO Hostname or IP Address）] を入力します。

3. [Management Center/SCCCDO登録キー（Management Center/CDO Registration Key）] を指定します。

   このキーは、Firewall Threat Defense デバイスを登録するときに Firewall Management Center でも指定する任意の 1 回限りの登録キーです。登録キーは 2 ～ 36 文字である必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、Firewall Management Center に登録する複数のデバイスに使用できます。

1. [NAT ID] を指定します。

   この ID は、Firewall Management Center でも指定する任意の 1 回限りの文字列です。NAT ID は 2 ～ 36 文字である必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、Firewall Management Center に登録する他のデバイスには使用できません。NAT ID は、正しいデバイスからの接続であることを確認するために IP アドレスと組み合わせて使用されます。 IP アドレス/NAT ID の認証後にのみ、登録キーがチェックされます。オプションである場合でも常に NAT ID を使用することを推奨しますが、次の場合は必須です。

   • Firewall Management Center IP アドレスを DONTRESOLVE に設定する。

   • Firewall Management Center でデバイスを追加するときに、到達可能なデバイスの IP アドレスまたはホスト名を指定していない。

   • 両側で IP アドレスを指定する場合でも、管理にデータインターフェイスを使用する。

   • Firewall Management Center が複数の管理インターフェイスを使用する。

ステップ 9

[接続の設定（Connectivity Configuration）] を設定します。

1. [FTDホスト名（FTD Hostname）] を指定します。

   この FQDN は、外部インターフェイス、または Management Center/Security Cloud Control アクセスインターフェイス向けに選択したインターフェイスに使用されます。

2. [DNSサーバーグループ（DNS Server Group）] を指定します。

   既存のグループを選択するか、新しいグループを作成します。デフォルトの DNS グループは CiscoUmbrellaDNSServerGroup と呼ばれ、OpenDNS サーバーが含まれます。

   この設定により、データインターフェイス DNS サーバーが設定されます。セットアップウィザードで設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS（設定されている場合）またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。管理トラフィックとデータトラフィックの両方が外部インターフェイス経由で DNS サーバーに到達するため、管理に使用したものと同じ DNS サーバーグループを選択する可能性があります。

   Firewall Management Center では、この Firewall Threat Defense に割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。Firewall Management Center に Firewall Threat Defense を追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む Firewall Threat Defense に後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。Firewall Management Center と Firewall Threat Defense を同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

   また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ Firewall Management Center で保持されます。

3. Management Center/Security Cloud Control アクセスインターフェイス については、[外部（outside）] を選択します。

   設定済みの任意のインターフェイスを選択できますが、このガイドでは外部を使用していることを前提としています。

ステップ 10

外部とは別のデータインターフェイスを選択した場合は、デフォルトルートを追加します。

ステップ 11

[ダイナミックDNS（DDNS）方式の追加（Add a Dynamic DNS (DDNS) method）] をクリックします。

ステップ 12

[接続（Connect）] をクリックします。[登録ステータス（Registration Status）] ダイアログボックスには、Firewall Management Center への切り替えに関する現在のステータスが表示されます。[Management Center/SCCCDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップの後、Firewall Management Center に移動してファイアウォールを追加します。

Firewall Management Center への切り替えをキャンセルする場合は、[登録のキャンセル（Cancel Registration）] をクリックします。キャンセルしない場合は、[Management Center/SCCCDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップが完了するまで Firewall Device Manager のブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、Firewall Device Manager に再接続した場合のみ再開されます。

[Management Center/SCCCDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップの後に Firewall Device Manager に接続したままにする場合、その後 [Management CenterまたはSCCCDOとの正常接続（Successful Connection with Management Center/CDO）] ダイアログボックスが表示され、Firewall Device Manager から切断されます。

ステップ 1

ファイアウォールの電源を入れます。

ステップ 2

コンソールポートで Firewall Threat Defense CLI に接続します。

ステップ 3

ユーザー名 admin およびパスワード Admin123 でログインします。

firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower# 

ステップ 4

Firewall Threat Defense CLI に接続します。

firepower# connect ftd
>

ステップ 5

Firewall Threat Defense に初めてログインすると、エンドユーザーライセンス契約（EULA）に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、管理インターフェイスの設定用の CLI セットアップスクリプトが表示されます。

You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA:

System initialization in progress.  Please stand by.
You must configure the network to continue.
Configure at least one of IPv4 or IPv6 unless managing via data interfaces.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [y]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.61]: 10.89.5.17
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]:
Enter a fully qualified hostname for this system [firepower]: 1010-3
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220,2620:119:35::35]:
Enter a comma-separated list of search domains or 'none' []: cisco.com
If your networking information has changed, you will need to reconnect.
Disabling IPv6 configuration: management0
Setting DNS servers: 208.67.222.222,208.67.220.220,2620:119:35::35
Setting DNS domains:cisco.com
Setting hostname as 1010-3
Setting static IPv4: 10.89.5.17 netmask: 255.255.255.192 gateway: data on management0
Updating routing tables, please wait...
All configurations applied to the system. Took 3 Seconds.
Saving a copy of running network configuration to local disk.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
DHCP server is already disabled
DHCP Server Disabled
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ...


Device is in OffBox mode - disabling/removing port 443 from iptables.
Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

ステップ 6

マネージャアクセス用の外部インターフェイスを設定します。

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://dwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

> 

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

ステップ 7

（任意） 特定のネットワーク上の Firewall Management Center へのデータ インターフェイス アクセスを制限します。

ステップ 8

この Firewall Threat Defense を管理する Firewall Management Center を特定します。

> configure manager add fmc-1.example.com regk3y78 natid56
Manager successfully configured.

ステップ 9

デバイスをリモート支社に送信できるように Firewall Threat Defense をシャットダウンします。

1. shutdown コマンドを入力します。

2. 電源 LED とステータス LED を観察して、シャーシの電源が切断されていることを確認します（LED が消灯）。

3. シャーシの電源が正常に切断されたら、必要に応じて電源プラグを抜き、シャーシから物理的に電源を取り外すことができます。

ステップ 1

シリアル番号を使用してデバイスを初めて追加する場合は、Firewall Management Center と Cisco Security Cloud を統合します。

1. [統合（Integration）] > [Cisco Security Cloud]を選択します。

2. [Enable Cisco Security Cloud][] をクリックして別のブラウザタブを開き、Security Cloud Control アカウントにログインし、表示されたコードを確認します。

   このページがポップアップブロッカーによってブロックされていないことを確認してください。Cisco Security Cloud と Security Cloud Control アカウントを持っていない場合は、この手順を実行中に追加できます。

   この統合の詳細については、「」を参照してください。

   Firewall Management Center と Cisco Security Cloud を統合したら、Security Cloud Control はオンプレミス Firewall Management Center の導入準備ができます。Security Cloud Control を動作させるには、ゼロタッチプロビジョニング の一覧で Firewall Management Center が必要です。ただし、Security Cloud Control を直接使用する必要はありません。Security Cloud Control を使用する場合、その Firewall Management Center のサポートは、デバイスの導入準備、管理対象デバイスの表示、Firewall Management Center に関連付けられたオブジェクトの表示、および Firewall Management Center の相互起動に限定されています。

3. [ゼロタッチプロビジョニングの有効化（Enable Zero-Touch Provisioning）] がオンになっていることを確認します。

4. [保存（Save）] をクリックします。

ステップ 2

デバイスのシリアル番号を取得します。

ステップ 3

LED をチェックして、ファイアウォールの登録準備ができていることを確認します。

ステップ 4

[デバイス（Devices）] > [デバイス管理（Device Management）]を選択します。

ステップ 5

[Add] ドロップダウンメニューから、[][Device (Wizard)] を選択します。

ステップ 6

[Serial Number] 、[Basic]、[Next] の順にクリックします。

ステップ 7

デバイスの詳細を設定して [Next] をクリックします。

• [Domain]：マルチドメイン環境で、リーフドメインを選択します。

• [Device group]：単一ドメイン環境で、デバイスを [Device group] に追加します。

• [Serial number]：追加するデバイスの IP アドレスまたはホスト名を入力します。デバイスの IP アドレスが不明な場合は（NAT の背後にある場合など）、このフィードを空欄のままにします。

• [Display name]：Firewall Management Center に表示するデバイスの名前を入力します。この名前は変更できません。

• [Device password]：このデバイスが未設定の場合、または新規インストールの場合は、[New Password] を設定する必要があります。

  すでにログインして、パスワードを変更済みの場合のみ、[I already changed the password on the device] をオンにします。そうしなければ、登録が失敗します。

ステップ 8

デバイスの初期設定を行います。

• [Access control policy]：登録時にデバイスに展開する最初のポリシーを選択するか、新しいポリシーを作成します。使用する必要があることがわかっているカスタマイズ済みのポリシーがすでにある場合を除き、[[追加（Add）] ()]、[Block all traffic] の順に選択します。後でこれを変更してトラフィックを許可することができます。

• [Smart licensing]：ライセンスを選択します。

  • [Is this device physical or virtual?]：[Physical device]

  • [License type]：デバイスに割り当てる各ライセンスのタイプを確認します。

  デバイスを追加したら。

• [Transfer packets]：このオプションを有効にすると、侵入イベントが発生するたびに、デバイスが検査のためにパケットを Firewall Management Center に転送します。

  侵入イベントごとに、デバイスは、イベント情報とイベントをトリガーしたパケットを検査のために Firewall Management Center に送信します。このオプションを無効にした場合は、イベント情報だけが Firewall Management Center に送信され、パケットは送信されません。

ステップ 9

[Add device] をクリックします。

ステップ 1

Firewall Management Center で、[デバイス（Devices）] > [デバイス管理（Device Management）] の順に選択します。

ステップ 2

[追加（Add）] ドロップダウン リストから、[デバイスの追加（Add Device）] を選択します。

ステップ 3

[登録（Register）] をクリックし、正常に登録されたことを確認します。

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] の順に選択し、ファイアウォールの [編集（Edit）]（） をクリックします。 >

ステップ 2

[インターフェイス（Interfaces）] をクリックします。

ステップ 3

内部に使用するインターフェイスの [編集（Edit）]（） をクリックします。

[全般（General）] タブが表示されます。

1. 48 文字までの [名前（Name）] を入力します。

   たとえば、インターフェイスに inside という名前を付けます。

2. [有効（Enabled）] チェックボックスをオンにします。

3. [モード（Mode）] は [なし（None）] に設定したままにします。

4. [セキュリティゾーン（Security Zone）] ドロップダウンリストから既存の内部セキュリティゾーンを選択するか、[新規（New）] をクリックして新しいセキュリティゾーンを追加します。

   たとえば、inside_zone という名前のゾーンを追加します。各インターフェイスは、セキュリティゾーンおよびインターフェイスグループに割り当てる必要があります。インターフェイスは、1 つのセキュリティゾーンにのみ属することも、複数のインターフェイスグループに属することもできます。ゾーンまたはグループに基づいてセキュリティポリシーを適用します。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。この場合、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。ほとんどのポリシーはセキュリティゾーンのみサポートしています。NAT ポリシー、プレフィルタ ポリシー、および QoS ポリシーで、ゾーンまたはインターフェイスグループを使用できます。

5. [IPv4] タブ、[IPv6] タブ、または両方のタブをクリックします。

   • [IPv4]：ドロップダウンリストから [スタティックIPを使用する（Use Static IP）] を選択し、IP アドレスとサブネットマスクをスラッシュ表記で入力します。

     たとえば、192.168.1.1/24 などと入力します。

     

   • [IPv6]：ステートレス自動設定の場合は [自動設定（Autoconfiguration）] チェックボックスをオンにします。

     

6. [OK] をクリックします。

ステップ 4

「外部」に使用するインターフェイスの [編集（Edit）]（） をクリックします。

[全般（General）] タブが表示されます。

マネージャアクセス用にこのインターフェイスを事前に設定しているため、インターフェイスにはすでに名前が付けられており、有効化とアドレス指定が完了しています。これらの基本設定は変更しないでください。変更すると、Firewall Management Center の管理接続が中断されます。この画面でも、通過トラフィックポリシーのセキュリティゾーンを設定する必要があります。

1. [セキュリティゾーン（Security Zone）] ドロップダウンリストから既存の外部セキュリティゾーンを選択するか、[新規（New）] をクリックして新しいセキュリティゾーンを追加します。

   たとえば、「outside_zone」という名前のゾーンを追加します。

2. [OK] をクリックします。

ステップ 5

[保存（Save）] をクリックします。

ステップ 1

[デバイス（Devices）]、[デバイス管理（Device Management）] の順に選択し、デバイスの [編集（Edit）]（） をクリックします。 >

ステップ 2

[DHCP] > [DHCPサーバー（DHCP Server）] を選択します。

ステップ 3

[サーバー（Server）] ページで、[追加（Add）] をクリックして、次のオプションを設定します。

• [インターフェイス（Interface）]：ドロップダウンリストからインターフェイスを選択します。

• [アドレスプール（Address Pool）]：DHCP サーバーが使用する IP アドレスの最下位から最上位の間の範囲を設定します。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自身の IP アドレスを含めることはできません。

• [DHCPサーバーを有効にする（Enable DHCP Server）]：選択したインターフェイスの DHCP サーバーを有効にします。

ステップ 4

[OK] をクリックします。

ステップ 5

[保存（Save）] をクリックします。

ステップ 1

[デバイス（Devices）] > [NAT] をクリックし、[新しいポリシー（New Policy）] > [Threat Defense NAT] をクリックします。

ステップ 2

ポリシーに名前を付け、ポリシーを使用するデバイスを選択し、[保存（Save）] をクリックします。

ポリシーが Firewall Management Center に追加されます。引き続き、ポリシーにルールを追加する必要があります。

ステップ 3

[ルールの追加（Add Rule）] をクリックします。

ステップ 4

基本ルールのオプションを設定します。

• [NATルール（NAT Rule）]：[自動NATルール（Auto NAT Rule）] を選択します。

• [タイプ（Type）]：[ダイナミック（Dynamic）] を選択します。

ステップ 5

[インターフェイスオブジェクト（Interface objects）] ページで、[使用可能なインターフェイスオブジェクト（Available Interface Objects）] 領域から [宛先インターフェイスオブジェクト（Destination Interface Objects）] 領域に外部ゾーンを追加します。

ステップ 6

[変換（Translation）] ページで、次のオプションを設定します。

• [元の送信元（Original Source）]：[追加（Add）] () をクリックして、すべての IPv4 トラフィック（0.0.0.0/0）のネットワークオブジェクトを追加します。

  

  （注）	自動 NAT ルールはオブジェクト定義の一部として NAT を追加するため、システム定義の any-ipv4 オブジェクトを使用することはできません。また、システム定義のオブジェクトを編集することはできません。

• [変換済みの送信元（Translated Source）]：[宛先インターフェイスIP（Destination Interface IP）] を選択します。

ステップ 7

[保存（Save）] をクリックしてルールを追加します。

ステップ 8

NAT ページで [保存（Save）] をクリックして変更を保存します。

ステップ 1

[ポリシー（Policy）]、[アクセスポリシー（Access Policy）]、[アクセスポリシー（Access Policy）] の順に選択し、Firewall Threat Defense に割り当てられているアクセス コントロール ポリシーの [編集（Edit）]（） をクリックします。 > >

ステップ 2

[ルールを追加（Add Rule）] をクリックし、次のパラメータを設定します。

• [名前（Name）]：このルールに名前を付けます（たとえば、inside-to-outside）。

• [選択した送信元（Selected Sources）]：[ゾーン（Zones）] から内部ゾーンを選択し、[送信元ゾーンを追加（Add Source Zone）] をクリックします。

• [選択した宛先とアプリケーション（Selected Destinations and Applications）]：[ゾーン（Zones）] から外部ゾーンを選択し、[宛先ゾーンを追加（Add Destination Zone）] をクリックします。

他の設定はそのままにしておきます。

ステップ 3

[Apply] をクリックします。

ステップ 4

[保存（Save）] をクリックします。

ステップ 1

[[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）]] を選択して、Firewall Threat Defense ポリシーを作成するか編集します。

ステップ 2

[SSHアクセス（SSH Access）] を選択します。

ステップ 3

SSH 接続を許可するインターフェイスと IP アドレスを指定します。

1. [追加（Add）] をクリックして新しいルールを追加するか、[編集（Edit）] をクリックして既存のルールを編集します。

2. ルールのプロパティを設定します。

   • [IP Address]：SSH 接続を許可するホストまたはネットワークを特定するネットワークオブジェクトまたはグループ。オブジェクトをドロップダウンメニューから選択するか、または [+] をクリックして新しいネットワークオブジェクトを追加します。

   • [使用可能なゾーン/インターフェイス（Available Zones/Interfaces）]：SSH 接続を許可するインターフェイスを含むゾーンを追加します。ゾーンにないインターフェイスでは、[選択したゾーン/インターフェイス（Selected Zones/Interfaces）] リストの下のフィールドにインターフェイス名を入力し、[追加（Add）] をクリックします。 ループバック インターフェイスおよび仮想ルータ認識インターフェイスを追加することもできます。 選択されているインターフェイスまたはゾーンがデバイスに含まれているときにのみ、これらのルールがデバイスに適用されます。

3. [OK] をクリックします。

ステップ 4

[Save（保存）] をクリックします。

ステップ 1

右上の [展開（Deploy）] をクリックします。

ステップ 2

迅速な展開の場合は、特定のデバイスのチェックボックスをオンにして [展開（Deploy）] をクリックするか、[すべて展開（Deploy All）] をクリックしてすべてのデバイスを展開します。それ以外の場合は、追加の展開オプションを設定するために、[高度な展開（Advanced Deploy）] をクリックします。

ステップ 3

展開が成功したことを確認します。展開のステータスを表示するには、メニューバーの [展開（Deploy）] ボタンの右側にあるアイコンをクリックします。

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）]を選択します。

ステップ 2

再起動するデバイスの横にある [編集（Edit）]（） をクリックします。

ステップ 3

[デバイス（Device）] タブをクリックします。

ステップ 4

[システム（System）] セクションで [デバイスのシャットダウン（Shut Down Device）] （） をクリックします。

ステップ 5

プロンプトが表示されたら、デバイスのシャットダウンを確認します。

ステップ 6

コンソールからファイアウォールに接続している場合は、ファイアウォールがシャットダウンするときにシステムプロンプトをモニターします。次のプロンプトが表示されます。

System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N]

ステップ 7

必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。

ステップ 1

FXOS CLI で local-mgmt に接続します。

ステップ 2

shutdown コマンドを発行します。

firepower(local-mgmt)# shutdown 
This command will shutdown the system.  Continue?
Please enter 'YES' or 'NO': yes
INIT: Stopping Cisco Threat Defense......ok

ステップ 3

ファイアウォールのシャットダウン時にシステムプロンプトをモニターします。次のプロンプトが表示されます。

System is stopped.
It is safe to power off now.
Do you want to reboot instead? [y/N]

ステップ 4

必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。