はじめる前に

分散拠点にファイアウォールをインストールし、Security Cloud Control(旧称、Cisco Defense Orchestrator)を使用して外部インターフェイスで管理します。


(注)  

外部管理は、クラスタリングではサポートされません。この場合は、手動登録を使用してSecurity Cloud Control アクセスに管理インターフェイスを使用します。高可用性を実現するために、手動登録で外部インターフェイスを使用できますが、ゼロタッチプロビジョニング を使用するには、管理インターフェイスを使用する必要があります。このガイドでは、特に外部管理について説明しますが、管理インターフェイスを使用した管理については、Cisco Security Cloud Control のクラウド提供型 Firewall Management Center を使用した Firewall Threat Defense の管理 を参照してください。マルチインスタンス展開についても、そのガイドを参照してください。

ファイアウォールの電源の投入

システムの電源は、ファイアウォールの背面にあるロッカー電源スイッチによって制御されます。ロッカー電源スイッチは、ソフト通知を提供します。これにより、システムのグレースフルシャットダウンがサポートされ、システムソフトウェアおよびデータの破損のリスクが軽減されます。


(注)  

ファイアウォールを初めて起動するときは、Threat Defense の初期化に約 15 ~ 30 分かかります。

始める前に

ファイアウォールに対して信頼性の高い電力を供給することが重要です(無停電電源装置(UPS)を使用するなど)。最初のシャットダウンを行わないで電力が失われると、重大なファイルシステムの損傷を引き起こす可能性があります。バックグラウンドでは常に多数のプロセスが実行されていて、電力が失われると、システムをグレースフルシャットダウンできません。

手順

ステップ 1

電源コードをファイアウォールに接続し、電源コンセントに接続します。

ステップ 2

シャーシの背面で、電源コードに隣接するロッカー電源スイッチを使用して電源をオンにします。

図 1. 電源ボタン
システムおよび電源 LED

ステップ 3

ファイアウォールの背面にある電源 LED を確認します。緑色に点灯している場合は、ファイアウォールの電源が入っています。

図 2. システムおよび電源 LED
システムおよび電源 LED

ステップ 4

ファイアウォールの背面にあるシステム LED を確認します。緑色に点灯している場合は、電源投入診断に合格しています。

インストールされているアプリケーション(Threat Defense または ASA)の確認

Threat Defense と ASA の両方のアプリケーションが、ハードウェアでサポートされています。コンソールポートに接続し、出荷時にインストールされているアプリケーションを確認します。

手順

ステップ 1

コンソールポートに接続します。

図 3. コンソール ポート
コンソールポート

ステップ 2

CLI プロンプトを参照して、ファイアウォールで Threat Defense または ASA が実行されているかどうかを確認します。

Threat Defense

Firepower ログイン(FXOS)プロンプトが表示されます。ログインして新しいパスワードを設定せずに、切断することができます。ログインを完了する必要がある場合は、Threat Defense CLI へのアクセスを参照してください。


firepower login:

ASA

ASA プロンプトが表示されます。


ciscoasa>

ステップ 3

間違ったアプリケーションが実行されている場合は、Cisco Secure Firewall ASA および Secure Firewall Threat Defense 再イメージ化ガイドを参照してください。

Threat Defense CLI へのアクセス

設定またはトラブルシューティングのために CLI にアクセスする必要がある場合があります。

手順

ステップ 1

コンソールポートに接続します。

図 4. コンソール ポート
コンソールポート

ステップ 2

FXOS に接続します。ユーザー名 admin とパスワード(デフォルトは Admin123)を使用して CLI にログインします。初めてログインしたとき、パスワードを変更するよう求められます。 


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

ステップ 3

Threat Defense CLI に変更します。

(注)  

 
初期セットアップに Device Manager を使用する場合または ゼロタッチプロビジョニング を使用する場合は、Threat Defense CLI にアクセスしないでください(アクセスすると、CLI セットアップが開始されます)。

connect ftd

Threat Defense CLI に初めて接続すると、初期セットアップを完了するように求められます。

例:


firepower# connect ftd
>

Threat Defense CLI を終了するには、exit または logout コマンドを入力します。このコマンドにより、FXOS プロンプトに戻ります。

例:


> exit
firepower#

バージョンの確認と再イメージ化

ファイアウォールを設定する前に対象バージョンをインストールすることをお勧めします。別の方法として、稼働後にアップグレードを実行することもできますが、設定を保持するアップグレードでは、この手順を使用するよりも時間がかかる場合があります。

実行するバージョン

ソフトウェア ダウンロード ページのリリース番号の横にある、金色の星が付いている Gold Star リリースを実行することをお勧めします。https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html で説明されているリリース戦略を参照することもできます。

手順

ステップ 1

コンソールポートに接続します。

図 5. コンソール ポート
コンソールポート

ステップ 2

FXOS CLI で、実行中のバージョンを表示します。

scope ssa

show app-instance

例:


Firepower# scope ssa
Firepower /ssa # show app-instance

Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State
---------------- ------- ----------- ----------------- --------------- --------------- ------------------
ftd              1       Enabled     Online            7.6.0.65        7.6.0.65        Not Applicable

ステップ 3

新しいバージョンをインストールする場合は、次の手順を実行します。

  1. デフォルトでは、管理インターフェイスは DHCP を使用します。管理インターフェイスに静的 IP アドレスを設定する必要がある場合は、次のコマンドを入力します。

    scope fabric-interconnect a

    set out-of-band static ip ip netmask netmask gw gateway

    commit-buffer

    (注)  

     

    次のエラーが発生する場合は、変更をコミットする前に DHCP を無効にする必要があります。DHCP を無効にするには、次の手順に従います。 

    firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not
in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

  2. FXOS のトラブルシューティング ガイドに記載されている再イメージ化の手順を実行します。

    管理インターフェイスからアクセスできるサーバーから新しいイメージをダウンロードする必要があります。

    ファイアウォールが再起動したら、FXOS CLI に再度接続します。

  3. FXOS CLI で、管理者パスワードを再度設定するように求められます。

    ロータッチプロビジョニングの場合は、デバイスをオンボーディングする際、すでにパスワードが設定されているため、[パスワードのリセット(Password Reset)] エリアで必ず [いいえ(No)] を選択してください。

  4. ファイアウォールをシャットダウンします。(必要な場合)ファイアウォールの電源の切断 を参照してください。

ライセンスを取得する

ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマート ソフトウェア ライセンシング アカウントにリンクされています。Smart Software Manager にアカウントがない場合は、リンクをクリック して新しいアカウントを設定します

まだの場合は、Smart Software Manager に Security Cloud Control を登録します。登録を行うには、Smart Software Manager で登録トークンを生成する必要があります。詳しい手順については、Security Cloud Control のマニュアルを参照してください。

Threat Defense には次のライセンスがあります。

  • Essentials:必須

  • IPS

  • マルウェア防御

  • URL フィルタリング

  • Cisco Secure Client

  • キャリア(Diameter、GTP/GPRS、M3UA、SCTP)

  1. 自身でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [すべて検索(Search All)] フィールドを使用します。

    図 6. ライセンス検索
    ライセンス検索

  2. 次のライセンス PID を検索します。


    (注)  

    PID が見つからない場合は、注文に手動で PID を追加できます。

    • Essentials:

      • 自動的に含める

    • IPS、マルウェア防御、および URL の組み合わせ:

      • L-FPR3110T-TMC=

      • L-FPR3120T-TMC=

      • L-FPR3130T-TMC=

      • L-FPR3140T-TMC=

      上記の PID のいずれかを注文に追加すると、次のいずれかの PID に対応する期間ベースのサブスクリプションを選択できます。

      • L-FPR3110T-TMC-1Y

      • L-FPR3110T-TMC-3Y

      • L-FPR3110T-TMC-5Y

      • L-FPR3120T-TMC-1Y

      • L-FPR3120T-TMC-3Y

      • L-FPR3120T-TMC-5Y

      • L-FPR3130T-TMC-1Y

      • L-FPR3130T-TMC-3Y

      • L-FPR3130T-TMC-5Y

      • L-FPR3140T-TMC-1Y

      • L-FPR3140T-TMC-3Y

      • L-FPR3140T-TMC-5Y

    • 通信事業者:

      • L-FPR3K-FTD-CAR=

    • Cisco Secure Client:『Cisco Secure Client Ordering Guide』を参照してください。

  3. 結果から、[製品とサービス(Products and Services)] を選択します。

    図 7. 結果
    結果

(必要な場合)ファイアウォールの電源の切断

システムを適切にシャットダウンすることが重要です。単純に電源プラグを抜いたり、電源スイッチを押したりすると、重大なファイルシステムの損傷を引き起こすことがあります。バックグラウンドでは常に多数のプロセスが実行されており、電源プラグを抜いたり、電源を切断したりすると、ファイアウォールシステムをグレースフルシャットダウンできません。

CLI におけるファイアウォールの電源の切断

FXOS CLI を使用すると、システムを安全にシャットダウンしてファイアウォールの電源を切断できます。

手順

ステップ 1

コンソールポートに接続します。

図 8. コンソール ポート
コンソールポート

ステップ 2

FXOS CLI でローカル管理モードに接続します。

firepower # connect local-mgmt

ステップ 3

システムをシャットダウンします。

firepower(local-mgmt) # shutdown

例:

firepower(local-mgmt)# shutdown 
This command will shutdown the system.  Continue?
Please enter 'YES' or 'NO': yes
INIT: Stopping Cisco Threat Defense......ok

ステップ 4

ファイアウォールのシャットダウン時にシステムプロンプトをモニターします。シャットダウンが完了すると、次のプロンプトが表示されます。


System is stopped.
It is safe to power off now.
Do you want to reboot instead? [y/N]

ステップ 5

必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。

Management Center を使用したファイアウォールの電源の切断

Management Center を使用してシステムを適切にシャットダウンします。

手順

ステップ 1

ファイアウォールをシャットダウンします。

  1. [デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

  2. 再起動するデバイスの横にある [編集(Edit)] をクリックします。

  3. [デバイス(Device)] タブをクリックします。

  4. [システム(System)] セクションで [デバイスのシャットダウン(Shut Down Device)] デバイスのシャットダウンアイコン をクリックします。

  5. プロンプトが表示されたら、デバイスのシャットダウンを確認します。

ステップ 2

コンソールからファイアウォールに接続している場合は、ファイアウォールがシャットダウンするときにシステムプロンプトをモニターします。シャットダウンが完了すると、次のプロンプトが表示されます。


System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N]

コンソールから接続していない場合は、約 3 分間待ってシステムがシャットダウンしたことを確認します。

ステップ 3

必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。