初期設定の実行（手動プロビジョニングのみ）

デバイスに基本ネットワーク設定を行い、Security Cloud Control に登録できるように、手動プロビジョニング向けの Cisco Secure Firewall 1210/20 初期セットアップを完了する方法。

手動でプロビジョニングを行う場合は、Cisco Secure Firewall Device Manager または CLI を使用して、ファイアウォールの初期設定を実行します。

初期設定：Firewall Device Manager

この方法を使用すると、ファイアウォールを登録した後、管理インターフェイスに加えて次のインターフェイスが事前設定されます。

イーサネット 1/1：「外部」、DHCP からの IP アドレス、IPv6 自動設定
VLAN1：「内部」、192.168.95.1/24
デフォルトルート：外部インターフェイスで DHCP を介して取得
追加インターフェイス：Firewall Device Manager からのインターフェイス設定はすべて保持されます。

他の設定（内部の DHCP サーバー、アクセスコントロールポリシー、セキュリティゾーンなど）は保持されません。

手順

	1.	コンピュータを内部インターフェイス（Ethernet 1/2 ～ 1/8 または Cisco Secure Firewall 1220 の場合は 1/2 ～ 1/10）に接続します。
	2.	Firewall Device Manager にログインします。 https://192.168.95.1に進みます。ユーザー名 admin とデフォルトパスワード Admin123 を使用してログインします。一般規約を読んで同意し、管理者パスワードを変更するように求められます。
	3.	セットアップウィザードを使用します。 Figure 1. [デバイスの設定（Device Setup）] Note 正確なポート設定は、モデルによって異なります。外部インターフェイスと管理インターフェイスを設定します。 Figure 2. インターネットへのファイアウォールの接続 [外部インターフェイスアドレス（Outside Interface Address）]：高可用性の実装を予定している場合は、静的 IP アドレスを使用します。セットアップウィザードを使用して PPPoE を設定することはできません。ウィザードの完了後に PPPoE を設定できます。 [管理インターフェイス（Management Interface）]：外部インターフェイスでマネージャアクセスを使用している場合でも、管理インターフェイスの設定が使用されます。たとえば、外部インターフェイスを介してバックプレーン経由で回送される管理トラフィックは、外部インターフェイスの DNS サーバーではなく、これらの管理インターフェイスの DNS サーバーを使用して FQDN を解決します。 [DNSサーバ（DNS Servers）]：システムの管理アドレス用の DNS サーバ。デフォルトは OpenDNS パブリック DNS サーバです。これらは、両方とも外部インターフェイスからアクセスされるため、後で設定する外部インターフェイスの DNS サーバーと一致する可能性があります。ファイアウォールのホスト名 [時刻設定（NTP）（Time Setting (NTP)）] を設定し、[次へ（Next）] をクリックします。 Figure 3. 時刻設定（NTP） [登録せずに 90 日間の評価期間を開始（Start 90 day evaluation period without registration）] を選択します。 Firewall Threat Defense を Smart Software Manager に登録「しない」でください。すべてのライセンスは Security Cloud Control で実行されます。 [終了（Finish）] をクリックします。 Figure 4. 次のステップ [スタンドアロンデバイス（Standalone Device）] を選択し、[了解（Got It）] を選択します。
	4.	追加のインターフェイスを設定する場合は、[デバイス（Device）] を選択し、[インターフェイス（Interface）] のサマリーにあるリンクをクリックします。
	5.	[デバイス（Device）] > [システム設定（System Settings）] > [集中管理（Central Management）] の順に選択し、[続行（Proceed）] をクリックして Security Cloud Control に登録します。 [Management Center/SCC/Details] を設定します。 Note 古いバージョンでは、「SCC」の代わりに「CDO」と表示されることがあります。 Figure 5. Management Center/SCC の詳細 [Do you know the Management Center/SCC Hostname or IP address] に対し、IP アドレスまたはホスト名を使用してクラウド提供型 Firewall Management Center に到達できる場合は [Yes] を。 Security Cloud Control は configure manager add コマンドを生成します。コマンドの生成については、手動プロビジョニングによるファイアウォールのオンボーディングを参照してください。 configure manager add _hostname registration_key nat_id display_name 例: Figure 6. configure manager add コマンドコンポーネントコマンドの cdo_hostname 、registration_key 、および nat_id の部分を次のフィールドにコピーします。 Management Center/SCC Hostname/IP Address Management Center/SCC Registration Key NAT ID
	6.	[接続の設定（Connectivity Configuration）] を設定します。 [Threat Defenseのホスト名（Threat Defense Hostname）] を指定します。この FQDN は外部インターフェイスに使用されます。 [DNSサーバーグループ（DNS Server Group）] を指定します。既存のグループを選択するか、新しいグループを作成します。デフォルトの DNS グループは CiscoUmbrellaDNSServerGroup と呼ばれ、OpenDNS サーバーが含まれます。登録後に外部 DNS サーバー設定を保持するには、クラウド提供型 Firewall Management Center で DNS プラットフォーム設定を再設定する必要があります。 [Management Center/SCC Access Interface] で [Data Interface] をクリックし、次に [outside] を選択します。
	7.	（任意） [ダイナミックDNS（DDNS）方式の追加（Add a Dynamic DNS (DDNS) method）] をクリックします。 DDNS は、Firewall Threat Defense の IP アドレスが変更された場合にクラウド提供型 Firewall Management Center が FQDN で Firewall Threat Defense に到達できるようにします。
	8.	[接続（Connect）] をクリックします。 [登録ステータス（Registration Status）] ダイアログボックスに、Security Cloud Control 登録の現在のステータスが表示されます。 Figure 7. 正常接続
	9.	ステータス画面で [Saving Management Center/ Registration Settings] の手順を実行したら Security Cloud Control に移動し、ファイアウォールを追加します。手動プロビジョニングによるファイアウォールのオンボーディングを参照してください。

初期設定：CLI

CLI セットアップスクリプトを使用して、専用の管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定を行います。

手順

	1.	コンソールポートに接続して Firewall Threat Defense CLI にアクセスします。Firewall Threat Defense CLI へのアクセスを参照してください。
	2.	管理インターフェイスの設定用の CLI セットアップスクリプトを完了します。 Note 設定をクリア（たとえば、イメージを再作成することにより）しないかぎり、CLI セットアップスクリプトを繰り返すことはできません。ただし、これらの設定すべては、後から CLI で configure network コマンドを使用して変更できます。Cisco Secure Firewall Threat Defense コマンドリファレンスを参照してください。 `You must accept the EULA to continue. Press <ENTER> to display the EULA: Cisco General Terms [...] Please enter 'YES' or press <ENTER> to AGREE to the EULA: System initialization in progress. Please stand by. You must configure the network to continue. Configure at least one of IPv4 or IPv6 unless managing via data interfaces. Do you want to configure IPv4? (y/n) [y]: Do you want to configure IPv6? (y/n) [y]: n` ガイダンス：これらのタイプのアドレスの少なくとも 1 つについて y を入力します。管理インターフェイスを使用する予定がない場合でも、プライベートアドレスなどの IP アドレスを設定する必要があります。 `Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:` ガイダンス：[手動（manual）] を選択します。マネージャアクセスに外部インターフェイスを使用する場合、DHCP はサポートされません。ルーティングの問題を防ぐために、このインターフェイスがマネージャアクセスインターフェイスとは異なるサブネット上にあることを確認してください。 `Enter an IPv4 address for the management interface [192.168.45.61]: 10.89.5.17 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]:` ガイダンス：ゲートウェイを data-interfaces に設定します。この設定は、外部インターフェイスを通じてルーティングできるように、バックプレーンを介して管理トラフィックを転送します。 `Enter a fully qualified hostname for this system [firepower]: 1010-3 Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220,2620:119:35::35]: Enter a comma-separated list of search domains or 'none' []: cisco.com If your networking information has changed, you will need to reconnect. Disabling IPv6 configuration: management0 Setting DNS servers: 208.67.222.222,208.67.220.220,2620:119:35::35 Setting DNS domains:cisco.com` ガイダンス：管理インターフェイスの DNS サーバーを設定します。これらは、両方とも外部インターフェイスからアクセスされるため、後で設定する外部インターフェイスの DNS サーバーと一致する可能性があります。 `Setting hostname as 1010-3 Setting static IPv4: 10.89.5.17 netmask: 255.255.255.192 gateway: data on management0 Updating routing tables, please wait... All configurations applied to the system. Took 3 Seconds. Saving a copy of running network configuration to local disk. For HTTP Proxy configuration, run 'configure network http-proxy' Manage the device locally? (yes/no) [yes]: no` ガイダンス：クラウド提供型 Firewall Management Center を使用する場合は、no と入力します。 `Setting hostname as 1010-3 Setting static IPv4: 10.89.5.17 netmask: 255.255.255.192 gateway: data on management0 Updating routing tables, please wait... All configurations applied to the system. Took 3 Seconds. Saving a copy of running network configuration to local disk. For HTTP Proxy configuration, run 'configure network http-proxy'` ガイダンス：routed と入力します。外部マネージャアクセスは、ルーテッドファイアウォールモードでのみサポートされています。 Configuring firewall mode ... Device is in OffBox mode - disabling/removing port 443 from iptables. Update policy deployment information - add device configuration - add network discovery - add system policy You can register the sensor to a Firepower Management Center and use the Firepower Management Center to manage it. Note that registering the sensor to a Firepower Management Center disables on-sensor Firepower Services management capabilities. When registering the sensor to a Firepower Management Center, a unique alphanumeric registration key is always required. In most cases, to register a sensor to a Firepower Management Center, you must provide the hostname or the IP address along with the registration key. 'configure manager add [hostname \| ip address ] [registration key ]' However, if the sensor and the Firepower Management Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. 'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]' Later, using the web interface on the Firepower Management Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Firepower Management Center. >
	3.	マネージャアクセス用の外部インターフェイスを設定します。 configure network management-data-interface Enter を押すと、外部インターフェイスの基本的なネットワーク設定を行うように求めるプロンプトが表示されます。手動 IP アドレス `> configure network management-data-interface Data interface to use for management: ethernet1/1 Specify a name for the interface [outside]: internet IP address (manual / dhcp) [dhcp]: manual IPv4/IPv6 address: 10.10.6.7 Netmask/IPv6 Prefix: 255.255.255.0 Default Gateway: 10.10.6.1 Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220` ガイダンス：登録後に外部 DNS サーバーを保持するには、クラウド提供型 Firewall Management Center で DNS プラットフォーム設定を再設定する必要があります。 `DDNS server update URL [none]: Do you wish to clear all the device configuration before applying ? (y/n) [n]: Configuration done with option to allow manager access from any network, if you wish to change the manager access network use the 'client' option in the command 'configure network management-data-interface'. Setting IPv4 network configuration. Network settings changed. >` DHCP からの IP アドレス > configure network management-data-interface Data interface to use for management: ethernet1/1 Specify a name for the interface [outside]: IP address (manual / dhcp) [dhcp]: DDNS server update URL [none]: https://dwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a> Do you wish to clear all the device configuration before applying ? (y/n) [n]: Configuration done with option to allow manager access from any network, if you wish to change the manager access network use the 'client' option in the command 'configure network management-data-interface'. Setting IPv4 network configuration. Network settings changed. >
	4.	Security Cloud Control が生成した configure manager add コマンドを使用して、この Firewall Threat Defense を管理する Security Cloud Control を識別します。コマンドの生成については、手動プロビジョニングによるファイアウォールのオンボーディングを参照してください。例: `> configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com Manager successfully configured.`
	5.	デバイスをリモート支社に送信できるように Firewall Threat Defense をシャットダウンします。システムを適切にシャットダウンすることが重要です。単純に電源プラグを抜いたり、電源スイッチを押したりすると、重大なファイルシステムの損傷を引き起こすことがあります。バックグラウンドでは常に多数のプロセスが実行されており、電源プラグを抜いたり、電源を切断したりすると、システムをグレースフルシャットダウンできないことを覚えておいてください。 shutdown コマンドを入力します。電源 LED とステータス LED を観察して、シャーシの電源が切断されていることを確認します（LED が消灯）。シャーシの電源が正常に切断されたら、必要に応じて電源プラグを抜き、シャーシから物理的に電源を取り外すことができます。

初期設定：Firewall Device Manager

手順

例:

初期設定：CLI

手順

例: