Cisco ASA または Firepower Threat Defense デバイスの再イメージ化
Table of Contents
Cisco ASA または FirepowerThreat Defense デバイスの再イメージ化
ASA 5506-X、ASA 5508-X、および ASA 5516-X
ASA から Firepower Threat Defense への再イメージ化
Firepower Threat Defense から ASA への再イメージ化
ASA FirePOWER モジュール ソフトウェアのインストール
ソフトウェアのダウンロード
Firepower Threat Defense ソフトウェアまたは ASA、ASDM、および ASA FirePOWER モジュール ソフトウェアを入手します。このドキュメントの手順を実行するには、初期ダウンロード用の TFTP サーバにソフトウェアを配置する必要があります。他のイメージは、他のタイプ(HTTP、FTP など)のサーバからダウンロードできます。正確なソフトウェア パッケージとサーバ タイプについては、手順を参照してください。
(注
) Cisco.com のログインおよびシスコ サービス契約が必要です。
ASA 5506-X、ASA 5508-X、および ASA 5516-X
Firepower Threat Defense ソフトウェア
http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。
- ブート イメージ:使用している モデル > [Firepower Threat Defense ソフトウェア(Firepower Threat Defense Software)] > バージョン の順に選択します。ブート イメージのファイルには ftd-boot-9.6.2.0.lfbff のような名前が付いています。
- システム ソフトウェア インストール パッケージ:使用している モデル > [Firepower Threat Defense ソフトウェア(Firepower Threat Defense Software)] > バージョン の順に選択します。システム ソフトウェア インストール パッケージのファイルには ftd-6.1.0-330.pkg のような名前が付いています。
(注) ファイル名の最後が .sh のパッチ ファイルも表示されます。パッチ アップグレード プロセスについては、このドキュメントでは説明しません。
http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。
- ASA ソフトウェア:使用している モデル > [適応型セキュリティ アプライアンス(ASA)ソフトウェア(Adaptive Security Appliance (ASA) Software)] > バージョン の順に選択します。ASA ソフトウェアのファイルには asa962- lfbff-k8.SPA のような名前が付いています。
- ASDM ソフトウェア:使用している モデル > [適応型セキュリティ アプライアンス(ASA)デバイス マネージャ(Adaptive Security Appliance (ASA) Device Manager)] > バージョン の順に選択します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。
- ASA FirePOWER モジュール ソフトウェア:使用している モデル > [ASA 用 FirePOWER サービス ソフトウェア(FirePOWER Services Software for ASA)] > バージョン の順に選択します。
–ブート イメージ:ブート イメージのファイルには asasfr-5500x-boot-6.1.0-330.img のような名前が付いています。
–システム ソフトウェア インストール パッケージ:システム ソフトウェア インストール パッケージのファイルには asasfr-sys-6.1.0-330.pkg のような名前が付いています。
(注) ファイル名の最後が .sh のパッチ ファイルも表示されます。パッチ アップグレード プロセスについては、このドキュメントでは説明しません。
ASA 5512-X ~ ASA 5555-X
Firepower Threat Defense ソフトウェア
http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。
- ブート イメージ:使用している モデル > [Firepower Threat Defense ソフトウェア(Firepower Threat Defense Software)] > バージョン の順に選択します。ブート イメージのファイルには ftd-boot-9.6.2.0.cdisk のような名前が付いています。
- システム ソフトウェア インストール パッケージ:使用している モデル > [Firepower Threat Defense ソフトウェア(Firepower Threat Defense Software)] > バージョン の順に選択します。システム ソフトウェア インストール パッケージのファイルには ftd-6.1.0-330.pkg のような名前が付いています。
(注) ファイル名の最後が .sh のパッチ ファイルも表示されます。パッチ アップグレード プロセスについては、このドキュメントでは説明しません。
- ASA ソフトウェア: http://www.cisco.com/go/asa-software [英語] を参照してください。使用している モデル > [シャーシ上のソフトウェア(Software on Chassis)] > [適応型セキュリティ アプライアンス(ASA)ソフトウェア(Adaptive Security Appliance (ASA) Software)] > バージョン の順に選択します。ASA ソフトウェアのファイルには asa962- smp-k8.bin のような名前が付いています。
- ASDM ソフトウェア: http://www.cisco.com/go/asa-software [英語] を参照してください。使用している モデル > [シャーシ上のソフトウェア(Software on Chassis)] > [適応型セキュリティ アプライアンス(ASA)デバイス マネージャ(Adaptive Security Appliance (ASA) Device Manager)] > バージョン の順に選択します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。
- ASA FirePOWER モジュール ソフトウェア: http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。使用している モデル > [ASA 用 FirePOWER サービス ソフトウェア(FirePOWER Services Software for ASA)] > バージョン の順に選択します。
–ブート イメージ:ブート イメージのファイルには asasfr-5500x-boot-6.1.0-330.img のような名前が付いています。
–システム ソフトウェア インストール パッケージ:システム ソフトウェア インストール パッケージのファイルには asasfr-sys-6.1.0-330.pkg のような名前が付いています。
(注) ファイル名の最後が .sh のパッチ ファイルも表示されます。パッチ アップグレード プロセスについては、このドキュメントでは説明しません。
必要なコンソール ポート アクセス
再イメージ化を実行するには、PC をコンソール ポートに接続する必要があります。
ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X では、サードパーティ製のシリアル USB 変換ケーブルを使用して接続する必要がある場合があります。他のモデルには、ミニ USB タイプ B コンソール ポートが搭載されているため、ミニ USB ケーブルを使用できます。Windows では、software.cisco.com から USB シリアル ドライバをインストールする必要がある場合があります。コンソール ポート オプションおよびドライバ要件の詳細については、ハードウェア ガイドを参照してください。 http://www.cisco.com/go/asa5500x-install [英語]
9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを使用します。
ROMMON イメージの確認とアップグレード
ASA 5506-X シリーズ、ASA 5508-X、および ASA 5516-X モデルの場合にのみ、システム上の ROMMON バージョンを 1.1.8 以降にして、Firepower Threat Defense ソフトウェアに再イメージ化する必要があります。次の手順に従って、ROMMON バージョンを確認し、必要に応じて ROMMON イメージをアップグレードします。新バージョンへのアップグレードのみ可能です。ダウングレードはできません。
現在のバージョンを確認するには、 show module コマンドを入力して、MAC アドレス範囲テーブルの Mod 1 の出力で Fw バージョンを調べます。
1. Cisco.com から新しい ROMMON イメージを取得して、サーバ上に置いて ASA にコピーします。ASA は多数のタイプのサーバをサポートします。詳細については、 copy コマンドを参照してください。 http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c4.html#pgfId-2171368 [英語]
https://software.cisco.com/download/type.html?mdfid=286283326&flowid=77251 [英語]
2. ROMMON イメージを ASA フラッシュ メモリにコピーします。この手順では FTP コピーを示します。
ASA から Firepower Threat Defense への再イメージ化
ASA を Firepower Threat Defense ソフトウェアに再イメージ化するには、ROMMON プロンプトにアクセスする必要があります。ROMMON では、管理インターフェイスで TFTP を使用して Firepower Threat Defense ブート イメージをダウンロードする必要があります。サポートされるのは、TFTP のみです。その後、ブート イメージは、HTTP または FTP を使用して Firepower Threat Defense システム ソフトウェアのインストール パッケージをダウンロードできます。TFTP のダウンロードには時間がかかることがあります。パケットの損失を防ぐために、ASA と TFTP サーバの間の接続が安定していることを確認してください。
再イメージ化して ASA に戻すプロセスを容易にするために、次の手順を実行します:
1. backup コマンドを使用して完全なシステム バックアップを実行します。
詳細および他のバックアップ方法については、次の設定ガイドを参照してください。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/admin-swconfig.html#ID-2152-000009af [英語]
2. 現在のアクティベーション キーをコピーして保存します。これにより、 show activation-key コマンドを使用してライセンスを再インストールできるようになります。
1. 管理インターフェイスの ASA からアクセス可能な TFTP サーバに Firepower Threat Defense ブート イメージ(ソフトウェアのダウンロードを参照)をダウンロードします。
ASA 5506-X、5508-X、および 5516-X では、管理 1/1 ポートを使用してイメージをダウンロードする必要があります。他のモデルでは、任意のインターフェイスを使用できます。
2. 管理インターフェイスの ASA からアクセス可能な HTTP または FTP サーバに Firepower Threat Defense システム ソフトウェアのインストール パッケージ(ソフトウェアのダウンロードを参照)をダウンロードします。
4. ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。
次のメッセージが表示された場合は、時間がかかりすぎです。起動の終了後、再度 ASA をリロードする必要があります。
5. 次の ROMMON コマンドを使用してネットワーク設定を指定し、ブート イメージをロードします。
a. interface :(ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X のみ)管理インターフェイス ID。他のモデルは常に管理 1/1 インターフェイスを使用します。
b. address :管理インターフェイスの IP アドレス。
d. gateway :ゲートウェイ IP アドレス。同一ネットワーク上にある場合、このアドレスをサーバ IP アドレスと同じに設定します。
f. set :(オプション)ネットワーク設定を表示します。 ping コマンドを使用してサーバへの接続を確認することもできます。
g. sync :(オプション)ネットワーク設定を保存します。
Firepower Threat Defense ブート イメージがダウンロードされ、ブート CLI にブートアップされます。
6. setup と入力して、管理インターフェイスのネットワーク設定を行い、システム ソフトウェア パッケージをダウンロードしてインストールできるように HTTP または FTP サーバへの一時的な接続を確立します。次に例を示します。
7. Firepower Threat Defense システム ソフトウェアのインストール パッケージをダウンロードします。この手順では、HTTP のインストールを示します。
確認メッセージに応答したくない場合は、 noconfirm オプションを指定します。
8. インストールが完了して、デバイスの再起動オプションが表示されたら [はい(Yes)] を選択します。
再起動には約 30 分かかりますが、より長時間かかる可能性があります。再起動時に、Firepower Threat Defense CLI が表示されます。
9. デフォルトのユーザ名: admin 、パスワード: Admin123 を使用してログインします。
10. EULA を受け入れて、パスワードを変更し、管理用のネットワーク設定を再入力します。
11. Firepower Management Center の識別、Management Center へのデバイスの追加、ライセンスの適用を含め、設定を完了するには、クイック スタート ガイド: http://www.cisco.com/go/ftd-asa-quick [英語] を参照してください。
Firepower Threat Defense から ASA への再イメージ化
Firepower Threat Defense を ASA ソフトウェアに再イメージ化するには、ROMMON プロンプトにアクセスする必要があります。ROMMON では、ディスクを消去し、管理インターフェイスで TFTP を使用して ASA イメージをダウンロードする必要があります。サポートされるのは、TFTP のみです。ASA をリロードしたら、基本設定を指定し、FirePOWER モジュール ソフトウェアをロードできます。
2. ネットワークの設定
4. ASA FirePOWER モジュール ソフトウェアのインストール
5. 高度暗号化ライセンス、その他のライセンスのインストール
6. 次のステップ
TFTP を介した ASA イメージの起動
パケットの損失を防ぐために、ASA と TFTP サーバの間の接続が安定していることを確認してください。
1. Firepower Threat Defense デバイスを Firepower Management Center から削除します。
2. 管理インターフェイスの Firepower Threat Defense デバイスからアクセス可能な TFTP サーバに ASA イメージ(ソフトウェアのダウンロードを参照)をダウンロードします。
ASA 5506-X、5508-X、および 5516-X では、管理 1/1 ポートを使用してイメージをダウンロードする必要があります。他のモデルでは、任意のインターフェイスを使用できます。
3. コンソール ポートで、Firepower Threat Defense デバイスを再起動します。
4. ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。
次のメッセージが表示された場合は、時間がかかりすぎです。起動の終了後、再度 Firepower Threat Defense デバイスを再起動する必要があります。
5. Firepower Threat Defense デバイス上のすべてのディスクを消去します。内部フラッシュは disk0 と呼ばれます。外部 USB ドライブがある場合、そのドライブは disk1 です。
この手順では、ASA が誤った設定ファイルのロードを試みることで多数のエラーが発生しないように、Firepower Threat Defense ファイルを消去します。
6. 次の ROMMON コマンドを使用してネットワーク設定を指定し、ASA イメージをロードします。
a. interface :(ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X のみ)管理インターフェイス ID。他のモデルは常に管理 1/1 インターフェイスを使用します。
b. address :管理インターフェイスの IP アドレス。
d. gateway :ゲートウェイ IP アドレス。同一ネットワーク上にある場合、このアドレスをサーバ IP アドレスと同じに設定します。
f. set :(オプション)ネットワーク設定を表示します。 ping コマンドを使用してサーバへの接続を確認することもできます。
ネットワークの設定
ASA の初期ブートアップ時は、ASA が設定されていません。インタラクティブ プロンプトに従って ASDM アクセス用に管理インターフェイスを設定するか、保存された設定を貼り付けるか、保存された設定がない場合は推奨設定(この後を参照)を貼り付けることができます。
保存された設定がない場合、ASA FirePOWER モジュールの使用を予定しているときは、推奨設定を貼り付けることをお勧めします。ASA FirePOWER モジュールは、管理インターフェイスで管理され、更新のためにインターネットにアクセスできる必要があります。シンプルな推奨ネットワーク配置には、Management(FirePOWER の管理専用)、内部インターフェイス(ASA の管理および内部トラフィック用)、および管理 PC を同じ内部ネットワークに接続するための内部スイッチが含まれます。ネットワーク配置の詳細については、次のクイック スタート ガイドを参照してください。
- http://www.cisco.com/go/asa5506x-quick [英語]
- http://www.cisco.com/go/asa5508x-quick [英語]
- http://www.cisco.com/go/asa5500x-quick [英語]
1. ASA コンソール プロンプトで、管理インターフェイスの設定の入力を求められます。
設定を貼り付けるか、シンプルなネットワーク配置の推奨設定を作成する場合は、 no と入力して、手順を続行します。
ASDM サーバに接続できるように管理インターフェイスを設定する場合は、 yes と入力し、プロンプトに従います。
2. コンソール プロンプトで、特権 EXEC モードにアクセスします。
3. Enter を押します。デフォルトでは、パスワードは空白です。
4. グローバル コンフィギュレーション モードにアクセスします。
5. インタラクティブ プロンプトを使用していない場合は、プロンプトで設定をコピーして貼り付けます。
保存された設定がない場合は、プロンプトで次の設定をコピーし、IP アドレスとインターフェイス ID を適切に変更します。プロンプトを使用していない場合、この設定を使用するには、まず clear configure all コマンドを使用して設定をクリアします。
ASA イメージと ASDM イメージのインストール
ROMMON モードから ASA を起動する場合、システム イメージはリロード間で保持されないため、やはりイメージをフラッシュ メモリにダウンロードする必要があります。また、ASDM をフラッシュ メモリにダウンロードする必要もあります。
1. ASA からアクセス可能なサーバに ASA イメージと ASDM イメージ(ソフトウェアのダウンロードを参照)をダウンロードします。ASA は多数のタイプのサーバをサポートします。詳細については、 copy コマンドを参照してください。 http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c4.html#pgfId-2171368 [英語]
2. ASA イメージを ASA フラッシュ メモリにコピーします。この手順では FTP コピーを示します。
ASA FirePOWER モジュール ソフトウェアのインストール
ASA FirePOWER ブート イメージをインストールし、SSD を区分化して、この手順に従ってシステム ソフトウェアをインストールする必要があります。
1. ブート イメージを ASA にコピーします。システム ソフトウェアは転送しないでください。これは後で SSD にダウンロードされます。この手順では FTP コピーを示します。
2. 管理インターフェイスからアクセス可能な HTTP、HTTPS、または FTP サーバに、Cisco.com から ASA FirePOWER サービスのシステム ソフトウェア インストール パッケージをダウンロードします。そのソフトウェアを ASA 上の disk0 にダウンロードしないでください。
3. ASA disk0 で ASA FirePOWER モジュール ブート イメージの場所を設定します。
4. ASA FirePOWER ブート イメージをロードします。
5. ASA FirePOWER モジュールが起動するまで数分待ってから、現在実行中の ASA FirePOWER ブート イメージへのコンソール セッションを開きます。セッションを開いてログイン プロンプトを表示した後で、 Enter キーを押さなければならない場合があります。デフォルトのユーザ名は admin で、デフォルトのパスワードは Admin123 です。
モジュールのブートが完了しない場合は、ttyS1 を介して接続できないというメッセージが表示されて session コマンドが失敗します。しばらく待ってから再試行してください。
6. システム ソフトウェア インストール パッケージをインストールできるようにシステムを設定します。
次の項目を指定するように求められます。重要な設定項目は、管理アドレスとゲートウェイ、および DNS 情報です。
– ホスト名:65 文字までの英数字で、スペースは使用できません。ハイフンを使用できます。
– ネットワーク アドレス:スタティック IPv4 または IPv6 アドレスを設定するか、または DHCP(IPv4 の場合)または IPv6 ステートレス自動設定を使用することができます。
– DNS 情報:少なくとも 1 つの DNS サーバを指定する必要があります。ドメイン名と検索ドメインを設定することもできます。
– NTP 情報:システム時刻を設定するために、NTP をイネーブルにして NTP サーバを設定することができます。
7. システム ソフトウェア イメージ パッケージをインストールします。
確認メッセージに応答したくない場合は、 noconfirm オプションを指定します。HTTP、HTTPS、または FTP URL を使用してください。ユーザ名とパスワードが必要な場合は、それらを指定するように求められます。このファイルはサイズが大きいため、ネットワークによっては、ダウンロードに時間がかかる場合があります。
インストールが完了すると、システムが再起動します。アプリケーション コンポーネントのインストールと ASA FirePOWER サービスが開始するまでに必要な時間は大幅に異なります。ハイエンド プラットフォームでは 10 分以上かかる場合がありますが、ローエンド プラットフォームでは 60 ~ 80 分以上かかることがあります。( show module sfr の出力で、すべてのプロセスがアクティブであると表示される必要があります)。
8. パッチ リリースをインストールする必要がある場合は、後でマネージャ(ASDM または Firepower Management Center)から実行できます。
高度暗号化ライセンス、その他のライセンスのインストール
ASDM(および他の多数の機能)を使用するには、高度暗号化(3DES/AES)ライセンスをインストールする必要があります。以前の手順で Firepower Threat Defense デバイスに再イメージ化する前に、この ASA からライセンス アクティベーション キーを保存した場合は、そのアクティベーション キーを再インストールできます。アクティベーション キーを保存していなくても、この ASA のライセンスを所有している場合は、ライセンスを再ダウンロードできます。新しい ASA の場合は、新しい ASA ライセンスを要求する必要があります。
デバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager で管理します。
https://software.cisco.com/#module/SmartLicensing [英語]
まだアカウントをお持ちでない場合は、このリンクをクリックして 新しいアカウントをセットアップ してください。Smart Software Manager では、組織のマスター アカウントを作成できます。
1. 既存の ASA の場合、アクティベーション キーを保存していないときは、 http://www.cisco.com/go/license を参照してください。[管理(Manage)] > [ライセンス(Licenses)] セクションでライセンスをダウンロードできます。
a. 次のコマンドを入力して、ASA のシリアル番号を取得します。
(注) このシリアル番号は、ハードウェアの外側に印刷されているシャーシのシリアル番号とは異なります。シャーシのシリアル番号は、テクニカル サポートで使用され、ライセンスには使用されません。
b. 高度暗号化ライセンス(無償)については、 http://www.cisco.com/go/license を参照し、[その他のライセンスの取得(Get Other Licenses)] をクリックします。
c. [IPS、暗号、その他(IPS, Crypto, Other)] を選択します。
d. [キーワードによる検索(Search by Keyword)] フィールドに asa と入力し、[Cisco ASA 3DES/AES ライセンス(Cisco ASA 3DES/AES License)] を選択します。
e. スマート アカウント、バーチャルアカウントを選択し、ASA のシリアル番号を入力して、[次へ(Next)] をクリックします。
f. 送信先の電子メール アドレスとエンドユーザ名は自動的に入力されます。必要に応じて追加の電子メール アドレスを入力します。[同意する(I Agree)] チェックボックスをオンにして、[送信(Submit)] をクリックします。
g. その後、アクティベーション キーの記載された電子メールが届きますが、[管理(Manage)] > [ライセンス(Licenses)] エリアからキーをすぐにダウンロードすることもできます。
h. 基本ライセンスから Security Plus ライセンスへのアップグレード、または AnyConnect ライセンスの購入を希望する場合は、 http://www.cisco.com/go/ccw を参照してください。ライセンスの購入後に製品認証キー(PAK)が記載された電子メールを受け取ると http://www.cisco.com/go/license にアクセスできます。AnyConnect ライセンスの場合、ユーザ セッションの同じプールを使用する複数の ASA に適用できるマルチユース PAK を受け取ります。取得したアクティベーション キーには、永続ライセンス(3DES/AES ライセンスを含む)用にそれまでに登録した機能がすべて含まれています。時間ベース ライセンスの場合は、ライセンスごとに個別のアクティベーション キーがあります。
この ASA にはまだアクティベーション キーがインストールされていないため、「Failed to retrieve permanent activation key.」というメッセージが表示されます。このメッセージは無視できます。
永続キーを 1 つだけと、複数の時間ベース キーをインストールできます。新しい永続キーを入力した場合、すでにインストール済みのキーが上書きされます。3DES/AES ライセンスをインストールした後に追加のライセンスを注文した場合は、組み合わせたアクティベーション キーにすべてのライセンスと 3DES/AES ライセンスが含まれるため、3DES/AES 専用キーを上書きできます。
4. ASA FirePOWER モジュールは、ASA とは別のライセンス メカニズムを使用します。ライセンスはプリインストールされていませんが、注文に応じて、次のライセンスのライセンス アクティベーション キーを取得できる PAK が記載されたプリントアウトがボックスに同梱されている場合があります。
– Control および Protection :Control は、「Application Visibility and Control(AVC)」または「アプリケーション」とも呼ばれます。Protection は、「IPS」とも呼ばれます。これらの機能を自動的に更新するには、ライセンス用のアクティベーション キーに加え、「使用権利」のサブスクリプションも必要になります。
Control (AVC)の更新には、シスコ サポート契約が含まれます。
Protection (IPS)の更新には、 http://www.cisco.com/go/ccw から IPS サブスクリプションを購入する必要があります。このサブスクリプションには、ルール、エンジン、脆弱性、および位置情報を更新する権利が含まれます。 注: この使用権サブスクリプションは、ASA FirePOWER モジュールの PAK/ライセンス アクティベーション キーの生成も要求もしません。これは、更新を使用する権利を提供するものです。
ASA FirePOWER サービスを含む ASA 5500-X を購入していない場合は、アップグレード バンドルを購入して必要なライセンスを取得することができます。詳細については、 Cisco ASA with FirePOWER Services 発注ガイド [英語] を参照してください。
– Advanced Malware Protection (AMP)
これらのライセンスは、ASA FirePOWER モジュールの PAK/ライセンス アクティベーション キーを生成します。発注情報については、 Cisco ASA with FirePOWER Services 発注ガイド [英語] を参照してください。 Cisco Firepower システムの機能ライセンス [英語] も参照してください。
Control と Protection のライセンス、およびその他のオプションのライセンスをインストールする方法については、使用しているモデル用の ASA クイックスタート ガイドを参照してください。
フィードバック