Secure Firewall Device Manager を使用した Secure Firewall Threat Defense Virtual の管理

この章では、Device Manager を使用して管理されるスタンドアロンの Threat Defense Virtual デバイスを展開する方法について説明します。高可用性ペアを展開する場合は、「Cisco Secure Firewall Device Manager 設定ガイド」を参照してください。

Secure Firewall Device Manager を備えた Secure Firewall Threat Defense Virtual について

Secure Firewall Threat Defense Virtual は、Cisco NGFW ソリューションの仮想化コンポーネントです。Threat Defense Virtual は、ステートフル ファイアウォール、ルーティング、VPN、Next-Generation Intrusion Prevention System(NGIPS)、Application Visibility and Control(AVC)、URL フィルタリング、マルウェア防御などの次世代ファイアウォールサービスを提供します。

一部の Threat Defense モデルに搭載された Web ベースのデバイス設定ウィザードである Secure Firewall Device Managerを使用して Threat Defense Virtual を管理できます。Device Manager では、小規模ネットワークで最も一般的に使用されるソフトウェアの基本機能を設定できます。また、これは多くの Threat Defense デバイスを含む大規模なネットワークを制御するために強力な複数デバイスのマネージャを使用することがない、単一のデバイスまたは限られた数のデバイスを含むネットワークのために特に設計されています。

多数のデバイスを管理している場合、または Threat Defense で許可される、より複雑な機能や設定を使用したい場合は、組み込みの Device Manager の代わりに Management Center を使用してデバイスを設定します。詳細については、「Secure Firewall Management Center を使用した Secure Firewall Threat Defense Virtual の管理」を参照してください。

トラブルシューティングの目的で、管理インターフェイス上の SSH を使用して Threat Defense CLI にアクセスすることも、Device Manager の CLI から Threat Defense に接続することもできます。

デフォルト設定

Threat Defense Virtual のデフォルト設定では、管理インターフェイスと内部インターフェイスは同じサブネットに配置されます。スマート ライセンスを使用し、システム データベースの更新を入手するには、管理インターフェイスでインターネット接続が必要です。

そのため、デフォルト設定は、Management 0-0 と GigabitEthernet 0-1(内部)の両方を仮想スイッチ上の同じネットワークに接続できるように設計されています。デフォルトの管理アドレスは、内部 IP アドレスをゲートウェイとして使用します。したがって、管理インターフェイスは内部インターフェイスを介してルーティングし、その後、外部インターフェイスを介してルーティングして、インターネットに到達します。

また、インターネットにアクセスできるネットワークを使用している限り、内部インターフェイス用に使用されているサブネットとは異なるサブネットに Management 0-0 を接続することもできます。ネットワークに適切な管理インターフェイスの IP アドレスとゲートウェイが設定されていることを確認してください。

Threat Defense Virtual は、初回起動時に少なくとも 4 つのインターフェイスで電源がオンになる必要があります。

  • 仮想マシン上の 1 番目のインターフェイス(Management 0-0)は、管理インターフェイスです。

  • 仮想マシン上の 2 番目のインターフェイスは、内部使用のために予約済みです。

  • 仮想マシン上の 3 番目のインターフェイス(GigabitEthernet 0-0)は、外部インターフェイスです。

  • 仮想マシン上の 4 番目のインターフェイス(GigabitEthernet 0-1)は、内部インターフェイスです。

データ トラフィック用に最大 6 つのインターフェイスを追加し、合計で 8 つのデータ インターフェイスを使用できます。追加のデータ インターフェイスについて、送信元ネットワークが正しい宛先ネットワークにマッピングされ、各データ インターフェイスが一意のサブネットまたは VLAN にマッピングされていることを確認します。「VMware インターフェイスの設定」を参照してください。

初期設定

Threat Defense Virtual の機能をネットワークで正しく動作させるには、初期設定を完了する必要があります。これには、セキュリティアプライアンスをネットワークに挿入して、インターネットまたは他の上流に位置するルータに接続するために必要なアドレスの設定が含まれます。2 つの方法のいずれかでシステムの初期設定を行うことができます。

  • Device Manager Web インターフェイスの使用(推奨)。Device Manager は Web ブラウザで実行します。このインターフェイスを使用して、システムを設定、管理、モニターできます。

  • コマンド ライン インターフェイス(CLI)セットアップウィザードを使用します(オプション)。Device Manager の代わりに CLI のセットアップウィザードを初期設定に使用できます。またトラブルシューティングに CLI を使用できます。システムの設定、管理、監視には引き続き Device Manager を使用します。「Threat Defense CLI ウィザードの起動(オプション)」を参照してください。

次のトピックでは、これらのインターフェイスを使用してシステムの初期設定を行う方法について説明します。

Device Manager の起動

Device Manager に初めてログインする際に、デバイス セットアップ ウィザードを使用してシステムの初期設定を完了します。

手順

ステップ 1

ブラウザを開き、Device Manager にログインします。CLI で初期設定を行っていない場合は、https://FTDv pubic IPv4 address または [FTDv IPv6 pubic address]Device Manager を開きます。

ステップ 2

ユーザー名 admin とパスワード Admin123 を使用してログインします。

ステップ 3

これがシステムへの初めてのログインであり、CLI セットアップウィザードを使用していない場合、エンドユーザライセンス契約を読んで承認し、管理パスワードを変更するように求められます。続行するには、これらの手順を完了する必要があります。

ステップ 4

外部インターフェイスおよび管理インターフェイスに対して次のオプションを設定し、[次へ(Next)] をクリックします。

(注)  

 
[次へ(Next)] をクリックすると、インターフェイスの設定がデバイスに導入されます。インターフェイスは「outside」という名前で「outside_zone」セキュリティ ゾーンに追加されます。設定値が正しいことを確認します。

  1. [外部インターフェイス(Outside Interface)]:これは、ゲートウェイモードまたはルータに接続するためのデータポートです。デバイスの初期設定時に別の外部インターフェイスを選択することはできません。最初のデータ インターフェイスがデフォルトの外部インターフェイスです。

    [IPv4の設定(Configure IPv4)]:外部インターフェイス用の IPv4 アドレスです。DHCP を使用するか、手動で静的 IP アドレス、サブネット マスク、およびゲートウェイを入力できます。[オフ(Off)] を選択して、IPv4 アドレスを設定しないという選択肢もあります。

    [IPv6の設定(Configure IPv6)]:外部インターフェイス用の IPv6 アドレスです。DHCP を使用するか、手動で静的 IP アドレス、プレフィックス マスク、およびゲートウェイを入力できます。[オフ(Off)] を選択して、IPv6 アドレスを設定しないという選択肢もあります。

  2. [管理インターフェイス(Management Interface)]

    [DNS サーバ(DNS Servers)]:システムの管理アドレスの DNS サーバ。名前解決に使用する DNS サーバのアドレスを 1 つ以上入力します。デフォルトは、OpenDNS パブリック DNS サーバーです。フィールドを編集した後、デフォルトに戻す場合は、[OpenDNS を使用(Use OpenDNS)] をクリックすると該当する IP アドレスがフィールドにリロードされます。

    [ファイアウォールホスト名(Firewall Hostname)]:システムの管理アドレスのホスト名です。

    (注)  

     

    デバイス セットアップ ウィザードを使用して 脅威に対する防御 デバイスを設定する場合は、アウトバウンドとインバウンドのトラフィックに対してシステムから 2 つのデフォルトアクセスルールが提供されます。初期セットアップ後に、これらのアクセスルールに戻って編集できます。

ステップ 5

システム時刻を設定し、[次へ(Next)] をクリックします。

  1. [タイム ゾーン(Time Zone)]:システムのタイム ゾーンを選択します。

  2. [NTP タイム サーバ(NTP Time Server)]:デフォルトの NTP サーバを使用するか、手動で NTP サーバのアドレスを入力するかを選択します。バックアップ用に複数のサーバを追加できます。

ステップ 6

システムのスマート ライセンスを設定します。

システムに必要なライセンスを取得して適用するには、スマート ライセンス アカウントが必要です。最初は 90 日間の評価ライセンスを使用して、後でスマート ライセンスを設定するので構いません。

デバイスを今すぐ登録するには、リンクをクリックして Smart Software Manager アカウントにログインし、新しいトークンを生成して編集ボックスにそのトークンをコピーします。

評価ライセンスを使用するには、[登録せずに90日間の評価期間を開始する(Start 90 day evaluation period without registration)] を選択します。後でデバイスを登録し、スマートライセンスを取得するには、メニューからデバイスの名前をクリックして [デバイスダッシュボード(Device Dashboard)] に進み、[スマートライセンス(Smart Licenses)] グループのリンクをクリックします。

ステップ 7

[完了(Finish)] をクリックします。

次のタスク

Secure Firewall Device Manager でデバイスを設定する方法

セットアップウィザードの完了後、いくつかの基本ポリシーが適切に設定された機能しているデバイスが必要です。

  • 内部インターフェイスおよび外部インターフェイスのセキュリティ ゾーン。

  • 内部から外部へのトラフィックをすべて信頼するアクセス ルール。

  • 内部から外部へのすべてのトラフィックを外部インターフェイスの IP アドレスの固有のポートへ変換するインターフェイス NAT ルール。

  • 内部インターフェイスまたはブリッジグループで実行されている DHCP サーバー。

次の手順では、設定可能なその他の機能の概要を示します。各手順について詳細な情報を表示するには、ページのヘルプ ボタン(?)をクリックしてください。

手順

ステップ 1

[デバイス(Device)] を選択してから、[スマートライセンス(Smart License)] グループの [設定の表示(View Configuration)] をクリックします。

使用するオプションのライセンス([IPS]、[マルウェア防御(malware defense)]、[URLフィルタリング(URL filtering)])で、それぞれ [有効化(Enable)] をクリックします。セットアップ中にデバイスを登録した場合は、必要な RA VPN ライセンスも有効にできます。必要かどうかわからない場合は、各ライセンスの説明をお読みください。

登録していない場合は、このページから登録できます。[登録の要求(Request Register)] をクリックして、説明に従います。評価ライセンスの有効期限が切れる前に登録してください。

たとえば、有効なIPS ライセンスは次のようになります。

図 1. 有効な IPS ライセンス

ステップ 2

他のインターフェイスを設定した場合は、[デバイス(Device)] を選択してから、[インターフェイス(Interfaces)] グループの [設定の表示(View Configuration)] をクリックして、各インターフェイスを設定します。

他のインターフェイスのブリッジグループを作成するか、別々のネットワークを設定するか、または両方の組み合わせを設定できます。各インターフェイスの編集アイコン()をクリックして、IP アドレスなどの設定を定義します。

次の例では、Web サーバなどのパブリック アクセスが可能なアセットを配置する「緩衝地帯」(DMZ)として使用されるインターフェイスを設定します。完了したら [保存(Save)] をクリックします。

図 2. インターフェイスの編集

(注)  

 

IPv6 アドレスを有効にするには、[IPv6] タブを選択し、静的アドレスまたは DHCP を使用して IPv6 アドレスを設定します。

ステップ 3

新しいインターフェイスを構成する場合は、[オブジェクト(Objects)] を選択し、目次から[セキュリティゾーン(Security Zones)] を選択します。

必要に応じて新しいゾーンを編集または作成します。インターフェイスではなくセキュリティ ゾーンに基づいてポリシーを設定するため、各インターフェイスはゾーンに属している必要があります。インターフェイスの設定中はインターフェイスをゾーンに配置できないため、常に、新しいインターフェイスの作成後または既存のインターフェイスの目的の変更後にゾーン オブジェクトを編集する必要があります。

次の例では、DMZ インターフェイスのために新しい DMZ ゾーンを作成する方法を示します。

図 3. セキュリティ ゾーン オブジェクト

ステップ 4

内部クライアントで DHCP を使用してデバイスから IP アドレスを取得する場合は、[デバイス(Device)] > [システム設定(System Settings)] > [DHCPサーバー(DHCP Server)] を選択してから、[DHCPサーバー(DHCP Servers)] タブを選択します。

すでに内部インターフェイス用に構成されている DHCP サーバがありますが、アドレス プールを編集したり、それを削除したりすることができます。他の内部インターフェイスを設定する場合、それらのインターフェイスに DHCP サーバを設定するのが非常に一般的です。[+] をクリックして各内部インターフェイスのサーバーとアドレスプールを構成します。

[構成(Configuration)] タブでクライアントに提供される WINS および DNS のリストを微調整することもできます。次の例は、inside2 インターフェイス上の DHCP サーバをアドレス プール 192.168.4.50-192.168.4.240 を使用して設定する方法を示しています。

図 4. DHCP サーバー

ステップ 5

[デバイス(Device)] を選択してから、[ルーティング(Routing)] グループで [設定の表示(View Configuration)](または [最初のスタティックルートを作成(Create First Static Route)])をクリックし、デフォルトルートを構成します。

デフォルト ルートは通常、外部インターフェイス以外に存在するアップストリームまたは ISP ルータを指しています。デフォルトの IPv4 ルートは任意の ipv4(0.0.0.0/0)、デフォルトの IPv6 ルートは任意の ipv6(::0/0)です。使用する IP バージョンごとにルートを作成します。DHCP を使用して外部インターフェイスのアドレスを取得している場合は、必要なデフォルト ルートがすでに存在している可能性があります。

(注)  

 

このページで定義するルートはデータ インターフェイス専用です。管理インターフェイスには影響しません。[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] で管理ゲートウェイを設定します。

次の例に、IPv4 のデフォルト ルートを示します。この例では、isp-gateway は ISP ゲートウェイの IP アドレスを識別するネットワーク オブジェクトです(ISP からアドレスを取得する必要があります)。[ゲートウェイ(Gateway)] の下部の [新しいネットワークを作成する(Create New Network)] ドロップダウン リストをクリックしてこのオブジェクトを作成することができます。

図 5. デフォルトルート

(注)  

 

同様に、[IPv6] ラジオボタンを選択して、IPv6 ルートを設定できます。

ステップ 6

[ポリシー(Policies)] を選択してネットワークのセキュリティ ポリシーを構成します。

デバイス セットアップ ウィザードにより、内部ゾーンと外部ゾーンの間のトラフィック フロー、および外部インターフェイスに向かうすべてのインターフェイスのインターフェイス NAT が有効になります。新しいインターフェイスを設定する場合でも、そのインターフェイスを内部ゾーン オブジェクトに追加するとアクセス制御ルールが自動的に適用されます。

ただし、複数の内部インターフェイスがある場合は、内部ゾーンから内部ゾーンへのトラフィック フローを許可するアクセス制御ルールが必要です。他のセキュリティ ゾーンを追加する場合は、それらのゾーンとの双方向トラフィックを許可するルールが必要です。これらは最小限の変更です。

さらに、追加のサービスを提供するために他のポリシーを設定し、組織が必要とする結果を取得するために NAT およびアクセス ルールを調整することができます。以下のポリシーを設定できます。

  • [SSL 復号(SSL Decryption)]:侵入、マルウェアなどについて暗号化された接続(HTTPS など)を検査する場合は、接続を復号する必要があります。SSL 復号ポリシーを使用して、どの接続を復号する必要があるか判断します。検査後にシステムが接続を再暗号化します。

  • [アイデンティティ(Identity)]:個々のユーザにネットワーク アクティビティを関連付ける、またはユーザまたはユーザ グループのメンバーシップに基づいてネットワーク アクセスを制御する場合は、特定のソース IP アドレスに関連付けられているユーザを判定するためにアイデンティティ ポリシーを使用します。

  • [セキュリティインテリジェンス(Security Intelligence)]:セキュリティ インテリジェンス ポリシーを使用してブラックリストに登録されている IP アドレスまたは URL との接続をすぐにドロップします。既知の悪質サイトをブラックリストに登録すれば、アクセス制御ポリシーでそれらを考慮する必要はありません。Cisco では、セキュリティ インテリジェンスのブラックリストが動的に更新されるように、定期的に更新される既知の悪質アドレスや URL のフィードを提供しています。フィードを使用すると、ブラックリストの項目を追加または削除するためにポリシーを編集する必要がありません。

  • [NAT](ネットワークアドレス変換):内部 IP アドレスを外部のルーティング可能なアドレスに変換するために NAT ポリシーを使用します。

  • [アクセス制御(Access Control)]:ネットワーク上で許可する接続の決定にアクセス コントロール ポリシーを使用します。セキュリティ ゾーン、IP アドレス、プロトコル、ポート、アプリケーション、URL、ユーザまたはユーザ グループでフィルター処理できます。また、アクセス制御ルールを使用して侵入およびファイル(マルウェア)ポリシーを適用します。このポリシーを使用して URL フィルタ リングを実装します。

  • [侵入(Intrusion)]:侵入ポリシーを使用して、既知の脅威を検査します。 アクセス制御ルールを使用して侵入ポリシーを適用しても、侵入ポリシーを編集して特定の侵入ルールを有効または無効にすることができます。

次の例は、アクセス制御ポリシーで内部ゾーンと DMZ ゾーンの間のトラフィックを許可する方法を示しています。この例では、[接続の最後で(At End of Connection)] が選択されている場合、[ロギング(Logging)] を除いて他のいずれのタブでもオプションは設定されません。

図 6. アクセス コントロール ポリシー

ステップ 7

[デバイス(Device)] を選択してから、[更新(Updates)] グループで [設定の表示(View Configuration)] をクリックし、システムデータベースの更新スケジュールを設定します。

侵入ポリシーを使用している場合は、ルールと VDB のデータベースを定期的な更新を設定します。セキュリティ情報フィードを使用する場合は、それらの更新スケジュールを設定します。一致基準としてセキュリティポリシーで地理位置情報を使用する場合は、そのデータベースの更新スケジュールを設定します。

ステップ 8

メニューの [展開(Deploy)] ボタンをクリックし、[今すぐ展開する(Deploy Now)] ボタン()をクリックして、変更内容をデバイスに展開します。

変更は、それらを展開するまでデバイスで有効になりません。

次のタスク

Device Manager を使用した Threat Defense Virtual の管理の詳細については、『Cisco Secure Firewall Threat Defense Configuration Guide for Secure firewall Device Manager』または Secure Firewall Device Manager のオンラインヘルプを参照してください。