はじめる前に
FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の対象読者
使用可能なすべてのオペレーティングシステムとマネージャを確認するには、「最適なオペレーティングシステムとマネージャを見つける方法」を参照してください。この章は、中央の本社の FMC を使用するリモート支社の FTD に適用されます。
各 FTD は、トラフィックを制御、検査、監視、および分析して、管理 FMC に報告します。FMC は、サービスの管理、分析、レポートのタスクを実行できる Web インターフェイスを備えた集中管理コンソールを提供し、ローカルネットワークを保護します。
中央の本社の管理者が、CLI または FDM を使用して FTD を事前設定してから、リモート支社に FTD を送信します
支社の管理者が、FTD をケーブルで接続して電源をオンにします。
中央の管理者が、FMC を使用して FTD の設定を完了します。
(注) |
リモート支社への展開には、バージョン 6.7 以降が必要です。 |
ファイアウォールについて
ハードウェアでは、FTD ソフトウェアまたは ASA ソフトウェアを実行できます。FTD と ASA の間で切り替えを行う際には、デバイスの再イメージ化が必要になります。現在インストールされているものとは異なるソフトウェアバージョンが必要な場合も再イメージ化が必要です。「Cisco ASA および Firepower Threat Defense 再イメージ化ガイド」を参照してください。
ファイアウォールは、Firepower eXtensible オペレーティングシステム(FXOS)と呼ばれる基盤となるオペレーティングシステムを実行します。ファイアウォールは FXOS Firepower Chassis Manager をサポートしていません。トラブルシューティング用として限られた CLI のみがサポートされています。詳細については、Cisco FXOS トラブルシューティングガイド(Firepower Threat Defense を実行している Firepower 1000/2100 シリーズ向け)を参照してください。
プライバシー収集ステートメント:ファイアウォールには個人識別情報は不要で、積極的に収集することもありません。ただし、ユーザー名などの設定では、個人識別情報を使用できます。この場合、設定作業時や SNMP の使用時に、管理者が個人識別情報を確認できる場合があります。
FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。
シャーシで FMC を使用して FTD を展開するには、次のタスクを参照してください。
|
CLI または FDM (中央の管理者) |
|
物理的なセットアップ (支社の管理者) |
ファイアウォールをインストールします。ハードウェア設置ガイドを参照してください。 |
|
物理的なセットアップ (支社の管理者) |
||
物理的なセットアップ (支社の管理者) |
||
FMC (中央の管理者) |
||
Cisco Commerce Workspace (中央の管理者) |
基本ライセンスとオプションの機能ライセンスを購入します(「FMC のライセンスの取得」)。 |
|
Smart Software Manager (中央の管理者) |
FMC のライセンストークンを生成します(「FMC のライセンスの取得」)。 |
|
FMC (中央の管理者) |
スマート ライセンシング サーバーに FMC を登録します(「FMC のライセンスの取得」)。 |
|
FMC (中央の管理者) |
||
FMC (中央の管理者) |
FMC でインターネットを介して FTD を管理できるようにするには、管理インターフェイスの代わりに外部のインターフェイスを使用して FMC を管理します。ほとんどのリモート支社には 1 つのインターネット接続しかないため、外部から FMC にアクセスして中央管理を行えるようにします。
(注) |
FMC へのアクセスには任意のデータインターフェイスを使用できます。たとえば、内部 FMC がある場合は内部インターフェイスなどです。ただし、このガイドでは主に外部インターフェイスアクセスについて説明します。これは、リモート支社で最も用いられる可能性が高いシナリオであるためです。 |
管理インターフェイスは、FTD データインターフェイスとは別に設定される特別なインターフェイスであり、独自のネットワーク設定があります。データインターフェイスで FMC アクセスを有効にした場合でも、管理インターフェイスのネットワーク設定が使用されます。すべての管理トラフィックは、引き続き管理インターフェイスを発信元または宛先とします。データインターフェイスで FMC アクセスを有効にすると、FTD はバックプレーンを介して管理インターフェイスに着信管理トラフィックを転送します。発信管理トラフィックの場合、管理インターフェイスはバックプレーンを介してデータインターフェイスにトラフィックを転送します。
データインターフェイスからの FMC アクセスには、次の制限があります。
FMC アクセスを有効にできるのは、1 つの物理的なデータインターフェイスのみです。サブインターフェイスと EtherChannel は使用できません。
このインターフェイスは管理専用にできません。
ルーテッドインターフェイスを使用するルーテッドファイアウォールモードのみです。
ハイ アベイラビリティはサポートされません。この場合、管理インターフェイスを使用する必要があります。
PPPoE はサポートされていません。ISP で PPPoE が必要な場合は、PPPoE をサポートするルータを FTD と WAN モデムの間に配置する必要があります。
インターフェイスを配置する必要があるのはグローバル VRF のみです。
管理インターフェイスとイベント専用インターフェイスを別々に使用することはできません。
SSH はデータインターフェイスではデフォルトで有効になっていないため、後で FMC を使用して SSH を有効にする必要があります。また、管理インターフェイス ゲートウェイがデータインターフェイスに変更されるため、configure network static-routes コマンドを使用して管理インターフェイス用の静的ルートを追加しない限り、リモートネットワークから管理インターフェイスに SSH 接続することはできません。
次の図は、中央の本社にある FMC と外部インターフェイスで FMC にアクセスできる FTD を示しています。
FTD と FMC ではどちらも、インバウンド管理接続を許可するためのパブリック IP アドレスまたはホスト名が必要であり、初期設定のためにこのような IP アドレスを把握しておかなればなりません。DHCP IP の割り当ての変更に対応するために、オプションで外部インターフェイスのダイナミック DNS(DDNS)を設定することもできます。
FTD は、支社に送信する前に手動で事前に設定する必要があります。
ソフトウェアのバージョンを確認し、必要に応じて別のバージョンをインストールするには、次の手順を実行します。ファイアウォールを設定する前に対象バージョンをインストールすることをお勧めします。別の方法として、稼働後にアップグレードを実行することもできますが、設定を保持するアップグレードでは、この手順を使用するよりも時間がかかる場合があります。
実行するバージョン
ソフトウェア ダウンロード ページのリリース番号の横にある、金色の星が付いている Gold Star リリースを実行することをお勧めします。https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html に記載されているリリース戦略も参照してください。たとえば、この速報では、(最新機能を含む)短期的なリリース番号、長期的なリリース番号(より長期間のメンテナンスリリースとパッチ)、または非常に長期的なリリース番号(政府認定を受けるための最長期間のメンテナンスリリースとパッチ)について説明しています。
ステップ 1 |
CLI に接続します。詳細については、FTD および FXOS CLI へのアクセスを参照してください。この手順ではコンソールポートを使用していますが、代わりに SSH を使用することもできます。 admin ユーザとデフォルトパスワードの Admin123 を使用してログインします。 FXOS CLI に接続します。初めてログインしたとき、パスワードを変更するよう求められます。このパスワードは、SSH の FTD ログインにも使用されます。
例:
|
||
ステップ 2 |
FXOS CLI で、実行中のバージョンを表示します。 scope ssa show app-instance 例:
|
||
ステップ 3 |
新しいバージョンをインストールする場合は、次の手順を実行します。 |
FDM に接続して、FTD の初期設定を実行します。FDM を使用して初期セットアップを実行すると、管理と FMC のアクセス設定に加えて、管理のために FMC に切り替えたときに、FDM で完了したすべてのインターフェイス設定が保持されます。アクセス コントロール ポリシーやセキュリティゾーンなどの他のデフォルト設定は保持されないことに注意してください。CLI を使用すると、管理と FMC のアクセス設定のみが保持されます(たとえば、デフォルトの内部インターフェイスの設定は保持されません)。
FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。FTD をセットアップする前に、FMC の IP アドレスまたはホスト名を把握しておく必要があります。
Firefox、Chrome、Safari、Edge、または Internet Explorer の最新バージョンを使用します。
ステップ 1 |
管理コンピュータを内部(Ethernet 1/2)インターフェイスに接続します |
||
ステップ 2 |
ファイアウォールの電源を入れます。
|
||
ステップ 3 |
FDM にログインします。
|
||
ステップ 4 |
初期設定を完了するには、最初に FDM にログインしたときにセットアップウィザードを使用します。必要に応じて、ページの下部にある [デバイスの設定をスキップ(Skip device setup)] をクリックしてセットアップウィザードをスキップできます。 セットアップウィザードを完了すると、内部インターフェイス(Ethernet1/2)のデフォルト設定に加えて、FMC の管理に切り替えるときに維持される外部(Ethernet1/1)インターフェイスも設定できます。 |
||
ステップ 5 |
(必要に応じて)管理インターフェイスを設定します。[デバイス(Device)] > [インターフェイス(Interfaces)] の管理インターフェイスを参照してください。 管理インターフェイスには、データインターフェイスに設定されたゲートウェイが必要です。デフォルトでは、管理インターフェイスは DHCP から IP アドレスとゲートウェイを受信します。DHCP からゲートウェイを受信しない場合(たとえば、管理インターフェイスをネットワークに接続していない場合)、ゲートウェイはデフォルトでデータインターフェイスになり、何も設定する必要はありません。DHCP からゲートウェイを受信した場合は、代わりに管理インターフェイスに静的 IP アドレスを設定し、ゲートウェイをデータインターフェイスに設定する必要があります。 |
||
ステップ 6 |
FMC アクセスに使用する外部または内部以外のインターフェイスを含む追加のインターフェイスを設定する場合は、[デバイス(Device)] を選択し、[インターフェイス(Interface)] のサマリーにあるリンクをクリックします。 FDM におけるインターフェイスの設定の詳細については、「FDM でのファイアウォールの設定」を参照してください。FMC にデバイスを登録すると、FDM の他の設定は保持されません。 |
||
ステップ 7 |
[デバイス(Device)] > [システム設定(Device System Settings)] > [中央管理 (Central Management)] > [Management Center] > [Management Center] > [デバイス(Device)] > [システム設定(System Settings)] > [中央管理(Central Management)] > [Management Center] を選択し、 [続行(Proceed)] をクリックして FMC の管理を設定します。 |
||
ステップ 8 |
[Management Center/CDOの詳細(Management Center/CDO Details)] > [FMCの詳細 (FMC Details)] > [FMCの詳細 (FMC Details)] を構成します。 |
||
ステップ 9 |
[接続の設定(Connectivity Configuration)] を設定します。 |
||
ステップ 10 |
外部とは別のデータインターフェイスを選択した場合は、デフォルトルートを追加します。 インターフェイスを通過するデフォルトルートがあることを確認するように求めるメッセージが表示されます。外部を選択した場合は、セットアップウィザードの一環としてこのルートがすでに設定されています。別のインターフェイスを選択した場合は、FMC に接続する前にデフォルトルートを手動で設定する必要があります。FDM におけるスタティックルートの設定の詳細については、「FDM でのファイアウォールの設定」を参照してください。 |
||
ステップ 11 |
[ダイナミックDNS(DDNS)方式の追加(Add a Dynamic DNS (DDNS) method)] をクリックします。 DDNS は、FTD の IP アドレスが変更された場合に FMC が完全修飾ドメイン名(FQDN)で FTD に到達できるようにします。[デバイス(Device)] > [システム設定(System Settings)] > [DDNSサービス(DDNS Service)] を参照して DDNS を設定します。 FTD を FMC に追加する前に DDNS を設定すると、FTD は Cisco Trusted Root CA バンドルからすべての主要 CA の証明書を自動的に追加するため、FTD は HTTPS 接続の DDNS サーバー証明書を検証できます。FTD は、DynDNS リモート API 仕様(https://help.dyn.com/remote-access-api/)を使用するすべての DDNS サーバーをサポートします。 |
||
ステップ 12 |
[接続(Connect)] をクリックします。[登録ステータス(Registration Status)] [FMC登録ステータス(FMC Registration Status)] [FMC登録ステータス (FMC Registration Status)] ダイアログボックスには、FMC への切り替えの現在のステータスが表示されます。[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] ステップの後、FMC に移動し、ファイアウォールを追加します。 FMC への切り替えをキャンセルする場合は、[登録のキャンセル(Cancel Registration)] をクリックします。キャンセルしない場合は、[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] のステップが完了するまで FDM ブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、FDM に再接続した場合のみ再開されます。 [Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] ステップの後に FDM に接続したままにする場合、その後 [Management CenterまたはCDOとの正常接続 (Successful Connection with Management Center or CDO)] [FMCとの正常接続(Successful Connection with FMC)] [FMCとの正常接続(Successful Connection with FMC)] ダイアログボックスが表示され、FDM から切断されます。 |
FTD CLI に接続して初期設定を行います。初期設定で CLI を使用すると、管理および FMC アクセスインターフェイスの設定のみが保持されます。FDM を使用して初期セットアップを実行すると、管理および FMC アクセスインターフェイスの設定に加えて、管理のために FMC に切り替えたときに、FDM で完了したすべてのインターフェイス設定が保持されます。アクセス コントロール ポリシーなどの他のデフォルト設定は保持されないことに注意してください。
FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。FTD をセットアップする前に、FMC の IP アドレスまたはホスト名を把握しておく必要があります。
ステップ 1 |
ファイアウォールの電源を入れます。
|
||
ステップ 2 |
コンソールポートで FTD CLI に接続します。 コンソールポートは FXOS CLI に接続します。 |
||
ステップ 3 |
ユーザー名 admin およびパスワード Admin123 でログインします。 初めて FXOS にログインしたときは、パスワードを変更するよう求められます。このパスワードは、SSH の FTD ログインにも使用されます。
例:
|
||
ステップ 4 |
FTD CLI に接続します。 connect ftd 例:
|
||
ステップ 5 |
FTD に初めてログインすると、エンドユーザーライセンス契約(EULA)に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、管理インターフェイスの設定用の CLI セットアップスクリプトが表示されます。 データインターフェイスで FMC アクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。
デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。 次のガイドラインを参照してください。
例:
|
||
ステップ 6 |
FMC アクセス用の外部インターフェイスを設定します。 configure network management-data-interface その後、外部インターフェイスの基本的なネットワーク設定を行うように求めるプロンプトが表示されます。このコマンドの使用については、次の詳細を参照してください。
例:
例:
|
||
ステップ 7 |
(任意) 特定のネットワーク上の FMC に対するデータ インターフェイス アクセスを制限します。 configure network management-data-interface client ip_address netmask デフォルトでは、すべてのネットワークが許可されます。 |
||
ステップ 8 |
この FTD を管理する FMC を特定します。 configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]
例:
|
||
ステップ 9 |
デバイスをリモート支社に送信できるように FTD をシャットダウンします。 システムを適切にシャットダウンすることが重要です。単純に電源プラグを抜いたり、電源スイッチを押したりすると、重大なファイル システムの損傷を引き起こすことがあります。バックグラウンドでは常に多数のプロセスが実行されており、電源プラグを抜いたり、電源を切断したりすると、システムをグレースフルシャットダウンできないことを覚えておいてください。
|
中央の本社から FTD を受け取ったら、外部インターフェイスからインターネットにアクセスできるように、ファイアウォールにケーブルを接続して電源をオンにするだけです。そうすると、中央の管理者は設定を完了できます。
FMC と管理コンピュータはリモートの本社にあり、FTD にはインターネット経由で到達できます。Cisco Secure Firewall 3100 をケーブル接続するには、次の手順を参照してください。
ステップ 1 |
シャーシを取り付けます。ハードウェア設置ガイドを参照してください。 |
ステップ 2 |
外部インターフェイス(Ethernet 1/1)を外部ルータに接続します。 FMC へのアクセスには任意のデータインターフェイスを使用できます。たとえば、内部 FMC がある場合は内部インターフェイスなどです。ただし、このガイドでは主に外部インターフェイスアクセスについて説明します。これは、リモート支社で最も用いられる可能性が高いシナリオであるためです。 |
ステップ 3 |
内部インターフェイス(Ethernet 1/2 など)を内部スイッチまたはルータに接続します。 内部には任意のインターフェイスを選択できます。 |
ステップ 4 |
残りのインターフェイスに他のネットワークを接続します。 |
ステップ 5 |
(任意) 管理コンピュータをコンソールポートに接続します。 支社では、日常的に使用するためのコンソール接続は必要ありません。ただし、トラブルシューティングに必要な場合があります。 |
システムの電源は、ファイアウォールの背面にあるロッカー電源スイッチによって制御されます。電源スイッチは、ソフト通知スイッチとして実装されています。これにより、システムのグレースフル シャットダウンがサポートされ、システム ソフトウェアおよびデータの破損のリスクが軽減されます。
(注) |
FTD を初めて起動するときは、初期化に約 15 ~ 30 分かかります。 |
ファイアウォールに対して信頼性の高い電力を供給することが重要です(無停電電源装置(UPS)を使用するなど)。最初のシャットダウンを行わないで電力が失われると、重大なファイルシステムの損傷を引き起こす可能性があります。バックグラウンドでは常に多数のプロセスが実行されていて、電力が失われると、システムをグレースフルシャットダウンできません。
ステップ 1 |
電源コードをファイアウォールに接続し、電源コンセントに接続します。 |
||
ステップ 2 |
シャーシの背面で、電源コードに隣接する標準的なロッカータイプの電源オン/オフ スイッチを使用して電源をオンにします。 |
||
ステップ 3 |
ファイアウォールの背面にある電源 LED を確認します。緑色に点灯している場合は、ファイアウォールの電源が入っています。 |
||
ステップ 4 |
ファイアウォールの背面にあるシステム LED を確認します。緑色に点灯している場合は、電源投入診断に合格しています。
|
外部インターフェイスからインターネットにアクセスできるようにリモート支社の管理者が FTD をケーブル接続すると、FTD を FMC に登録してデバイスの設定を完了できます。
FMC を使用して、FTD を設定および監視します。
サポートされているブラウザの詳細については、使用するバージョンのリリースノート(https://www.cisco.com/go/firepower-notes)を参照してください。
ステップ 1 |
サポートされているブラウザを使用して、次の URL を入力します。 https://fmc_ip_address |
ステップ 2 |
ユーザー名とパスワードを入力します。 |
ステップ 3 |
[ログイン(Log In)] をクリックします。 |
すべてのライセンスは、FMC によって FTD に提供されます。オプションで、次の機能ライセンスを購入できます。
基本:(必須)基本ライセンス。
脅威:セキュリティ インテリジェンスと次世代 IPS
マルウェア:マルウェア
URL:URL フィルタリング
RA VPN:AnyConnect Plus、AnyConnect Apex、または AnyConnect VPN 専用
シスコライセンスの概要については詳しくは、cisco.com/go/licensingguide を参照してください。
Smart Software Manager にマスターアカウントを持ちます。
まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスター アカウントを作成できます。
(輸出コンプライアンスフラグを使用して有効化される)機能を使用するには、ご使用のスマート ソフトウェア ライセンシング アカウントで強力な暗号化(3DES/AES)ライセンスを使用できる必要があります。
ステップ 1 |
お使いのスマート ライセンシング アカウントに、必要なライセンスが含まれていることを確認してください。 ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマート ソフトウェア ライセンシング アカウントにリンクされています。ただし、主導でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [製品とソリューションの検索(Find Products and Solutions)] 検索フィールドを使用します。次のライセンス PID を検索します。
|
||
ステップ 2 |
まだの場合は、Smart Software Manager に FMC を登録します。 登録を行うには、Smart Software Manager で登録トークンを生成する必要があります。詳細については、『FMC コンフィグレーション ガイド』を参照してください。ロータッチプロビジョニングの場合は、Smart Software Manager に登録するとき、または登録した後に、ロータッチプロビジョニングのクラウドアシスタンスを有効にする必要があります。[システム(System)] > [ライセンス(Licenses)] > [スマートライセンス(Smart Licenses)] ページを参照してください。 |
FTD を FMC に登録します。
FTD の初期設定で設定した次の情報を収集します。
FTD の管理 IP アドレスまたはホスト名、および NAT ID
FMC の登録キー
ステップ 1 |
FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] の順に選択します。 |
||
ステップ 2 |
[追加(Add)] ドロップダウン リストから、[デバイスの追加(Add Device)] を選択します。 次のパラメータを設定します。
|
||
ステップ 3 |
[登録(Register)] をクリックし、登録が成功したことを確認します。 登録が成功すると、デバイスがリストに追加されます。失敗した場合は、エラーメッセージが表示されます。FTD が登録に失敗した場合は、次の項目を確認してください。
トラブルシューティングの詳細については、https://cisco.com/go/fmc-reg-error を参照してください。 |
ここでは、次の設定を使用して基本的なセキュリティポリシーを設定する方法について説明します。
内部インターフェイスと外部インターフェイス:内部インターフェイスにスタティック IP アドレスを割り当て、外部インターフェイスに DHCP を使用します。
DHCP サーバー:クライアントの内部インターフェイスで DHCP サーバーを使用します。
デフォルトルート:外部インターフェイスを介してデフォルトルートを追加します。
NAT:外部インターフェイスでインターフェイス PAT を使用します。
アクセスコントロール:内部から外部へのトラフィックを許可します。
SSH:FMC アクセスインターフェイスで SSH を有効にします。
基本的なセキュリティ ポリシーを設定するには、次のタスクを実行します。
FTD インターフェイスを有効にし、それらをセキュリティゾーンに割り当てて IP アドレスを設定します。通常は、システムで意味のあるトラフィックを通過させるように、少なくとも 2 つのインターフェイスを設定する必要があります。通常は、アップストリームルータまたはインターネットに面した外部インターフェイスと、組織のネットワークの 1 つ以上の内部インターフェイスを使用します。これらのインターフェイスの一部は、Web サーバーなどのパブリックアクセスが可能なアセットを配置する「緩衝地帯」(DMZ)となる場合があります。
一般的なエッジルーティングの状況は、内部インターフェイスでスタティックアドレスを定義すると同時に、ISP から DHCP を介して外部インターフェイスアドレスを取得することです。
次の例では、DHCP によるスタティックアドレスとルーテッドモードの外部インターフェイスを使用して、ルーテッドモードの内部インターフェイスを設定します。
ステップ 1 |
[デバイス(Devices)] > [デバイス管理(Device Management)] の順に選択し、ファイアウォールの をクリックします。 |
||
ステップ 2 |
[インターフェイス(Interfaces)] をクリックします。 |
||
ステップ 3 | |||
ステップ 4 |
内部に使用するインターフェイスの をクリックします。 [全般(General)] タブが表示されます。 |
||
ステップ 5 |
「外部」に使用するインターフェイスをクリックします。 [全般(General)] タブが表示されます。
|
||
ステップ 6 |
[保存(Save)] をクリックします。 |
クライアントで DHCP を使用して FTD から IP アドレスを取得するようにする場合は、DHCP サーバーを有効にします。
ステップ 1 |
を選択し、デバイスをクリックします。 |
ステップ 2 |
を選択します。 |
ステップ 3 |
[サーバー(Server)] ページで、[追加(Add)] をクリックして、次のオプションを設定します。
|
ステップ 4 |
[OK] をクリックします。 |
ステップ 5 |
[保存(Save)] をクリックします。 |
デフォルトルートは通常、外部インターフェイスから到達可能なアップストリームルータを指し示します。外部インターフェイスに DHCP を使用する場合は、デバイスがすでにデフォルトルートを受信している可能性があります。手動でルートを追加する必要がある場合は、次の手順を実行します。DHCP サーバーからデフォルトルートを受信した場合は、 [IPv4ルート(IPv4 Routes)] または [IPv6ルート(IPv6 Routes)] テーブルに表示されます。
ページのステップ 1 |
を選択し、デバイスをクリックします。 |
ステップ 2 |
を選択し、[ルートを追加(Add route)] をクリックして、次のように設定します。
|
ステップ 3 |
[OK] をクリックします。 ルートがスタティックルートテーブルに追加されます。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
一般的な NAT ルールでは、内部アドレスを外部インターフェイスの IP アドレスのポートに変換します。このタイプの NAT ルールのことをインターフェイス ポート アドレス変換(PAT)と呼びます。
ステップ 1 |
をクリックし、 をクリックします。 |
||
ステップ 2 |
ポリシーに名前を付け、ポリシーを使用するデバイスを選択し、[保存(Save)] をクリックします。 ポリシーが FMC に追加されます。引き続き、ポリシーにルールを追加する必要があります。 |
||
ステップ 3 |
[ルールの追加(Add Rule)] をクリックします。 [NATルールの追加(Add NAT Rule)] ダイアログボックスが表示されます。 |
||
ステップ 4 |
基本ルールのオプションを設定します。
|
||
ステップ 5 |
[インターフェイスオブジェクト(Interface objects)] ページで、[使用可能なインターフェイスオブジェクト(Available Interface Objects)] 領域から [宛先インターフェイスオブジェクト(Destination Interface Objects)] 領域に外部ゾーンを追加します。 |
||
ステップ 6 |
[変換(Translation)] ページで、次のオプションを設定します。
|
||
ステップ 7 |
[保存(Save)] をクリックしてルールを追加します。 ルールが [ルール(Rules)] テーブルに保存されます。 |
||
ステップ 8 |
NAT ページで [保存(Save)] をクリックして変更を保存します。 |
FTD を FMC に登録したときに、基本の [すべてのトラフィックをブロック(Block all traffic)] アクセス コントロール ポリシーを作成した場合は、デバイスを通過するトラフィックを許可するためにポリシーにルールを追加する必要があります。次の手順では、内部ゾーンから外部ゾーンへのトラフィックを許可するルールを追加します。他にゾーンがある場合は、適切なネットワークへのトラフィックを許可するルールを追加してください。
より高度なセキュリティ設定とルールを設定する場合は、『Firepower Management Center Configuration Guide』を参照してください。
ステップ 1 |
FTD に割り当てられているアクセス コントロール ポリシーの をクリックします。 を選択し、 |
ステップ 2 |
[ルールを追加(Add Rule)] をクリックし、次のパラメータを設定します。
他の設定はそのままにしておきます。 |
ステップ 3 |
[追加(Add)] をクリックします。 ルールが [ルール(Rules)] テーブルに追加されます。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
外部などのデータインターフェイスで FMC アクセスを有効にした場合は、この手順に従ってそのインターフェイスで SSH を有効にする必要があります。ここでは、FTD で 1 つ以上のデータインターフェイスに対して SSH 接続を有効にする方法について説明します。 SSH は診断論理インターフェイスに対してサポートされません。
(注) |
SSH は管理インターフェイス上でデフォルトで有効になっていますが、この画面は管理 SSH アクセスに影響しません。 |
管理インターフェイスは、デバイスの他のインターフェイスとは分離されています。FMCにデバイスを設定し、登録するために使用されます。データ インターフェイスの SSH は、管理インターフェイスの SSH と内部および外部ユーザ リストを共有します。その他の設定は個別に設定されます。データ インターフェイスでは、この画面を使用して SSH とアクセス リストを有効にします。データ インターフェイスの SSH トラフィックは通常のルーティング設定を使用し、設定時に設定されたスタティック ルートや CLI で設定されたスタティック ルートは使用しません。
管理インターフェイスの場合、SSH アクセス リストを設定するには『Firepower Threat Defense Command Reference』の configure ssh-access-list コマンドを参照してください。スタティック ルートを設定するには、configure network static-routes コマンドを参照してください。デフォルトでは、初期設定時に管理インターフェイスからデフォルト ルートを設定します。
SSH を使用するには、ホスト IP アドレスを許可するアクセス ルールは必要ありません。このセクションの手順に従って、SSH アクセスを設定する必要があるだけです。
SSH は、到達可能なインターフェイスにのみ使用できます。SSH ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。
デバイスでは、最大 5 つの同時 SSH 接続を許可できます。
(注) |
すべてのアプライアンスでは、SSH を介した CLI またはへのログイン試行が 3 回連続して失敗すると、SSH 接続は終了します。 |
SSH 内部ユーザーは、configure user add コマンドを使用して CLI でのみ設定できます。。デフォルトでは、初期設定時にパスワードを設定したAdminユーザーが存在します。LDAP または RADIUS 上の外部ユーザーは、プラットフォーム設定で [外部認証(External Authentication)] を設定することによっても設定できます。
デバイスへの SSH 接続を許可するホストまたはネットワークを定義するネットワーク オブジェクトが必要です。オブジェクトをプロシージャの一部として追加できますが、IP アドレスのグループを特定するためにオブジェクト グループを使用する場合は、ルールで必要なグループがすでに存在することを確認します。 を選択して、オブジェクトを設定します。
(注) |
システムが提供する any ネットワーク オブジェクトは使用できません。代わりに、any-ipv4 または any-ipv6 を使用します。 |
ステップ 1 |
FTD ポリシーを作成または編集します。 を選択し、 |
ステップ 2 |
[セキュア シェル(Secure Shell)] を選択します。 |
ステップ 3 |
SSH 接続を許可するインターフェイスと IP アドレスを指定します。 この表を使用して、SSH 接続を受け入れるインターフェイス、およびそれらの接続を許可されるクライアントの IP アドレスを制限します。個々の IP アドレスはなく、ネットワーク アドレスを使用できます。 |
ステップ 4 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更はポリシーを展開するまで有効になりません。 |
設定の変更を FTD に展開します。変更を展開するまでは、デバイス上でどの変更もアクティブになりません。
ステップ 1 |
右上の [展開(Deploy)] をクリックします。 |
ステップ 2 |
[ポリシーの展開(Deploy Policies)] ダイアログボックスでデバイスを選択し、[展開(Deploy)] をクリックします。 |
ステップ 3 |
展開が成功したことを確認します。展開のステータスを表示するには、メニューバーの [展開(Deploy)] ボタンの右側にあるアイコンをクリックします。 |
コマンドライン インターフェイス(CLI)を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。CLI セッションからポリシーを設定することはできません。CLI には、コンソール ポートに接続してアクセスできます。
トラブルシューティングのために、FXOS CLI にアクセスすることもできます。
(注) |
または、FTD デバイスの管理インターフェイスに SSH で接続できます。コンソールセッションとは異なり、SSH セッションはデフォルトで FTD CLI になり、connect fxos コマンドを使用して FXOS CLI に接続できます。SSH 接続用のインターフェイスを開いている場合、後でデータインターフェイス上のアドレスに接続できます。データ インターフェイスへの SSH アクセスはデフォルトで無効になっています。この手順では、デフォルトで FXOS CLI となるコンソールポートアクセスについて説明します。 |
ステップ 1 |
CLI にログインするには、管理コンピュータをコンソール ポートに接続します。Cisco Secure Firewall 3100 には DB-9 to RJ-45 シリアルケーブルが付属しているため、接続するためにはサードパーティ製のシリアル to USB ケーブルが必要です。お使いのオペレーティングシステムに必要な USB シリアルドライバを必ずインストールしてください(Cisco Secure Firewall 3100 ハードウェアガイドを参照)。コンソールポートはデフォルトで FXOS CLI になります。次のシリアル設定を使用します。
FXOS CLI に接続します。ユーザー名 admin と、初期セットアップ時に設定したパスワードを使用して CLI にログインします(デフォルトは Admin123)。 例:
|
ステップ 2 |
FTD CLI にアクセスします。 connect ftd 例:
ログイン後に、CLI で使用可能なコマンドの情報を確認するには、help または ? を入力します。使用方法については、『Secure Firewall Threat Defense のコマンドリファレンス』を参照してください。 |
ステップ 3 |
FTD CLI を終了するには、exit または logout コマンドを入力します。 このコマンドにより、FXOS CLI プロンプトに戻ります。FXOS CLI で使用可能なコマンドの情報を確認するには、? を入力します。 例:
|
モデルのサポート:FTD
専用の管理インターフェイスを使用する代わりに、FMC にデータインターフェイスを使用する場合は、FMC で FTD のインターフェイスとネットワークの設定を変更するときに接続を中断しないように注意します。FTD を FMC に追加した後に管理インターフェイスタイプを変更する場合(データから管理へ、または管理からデータへ)、インターフェイスとネットワークの設定が正しく構成されていないと、管理接続が失われる可能性があります。
このトピックは、管理接続が失われた場合のトラブルシューティングに役立ちます。
FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [管理(Management)] > [FMCアクセスの詳細(FMC Access Details)] > [接続ステータス(Connection Status)] ページの順に選択して管理接続のステータスを確認します。
管理接続のステータスを表示するには、FTD CLI で、sftunnel-status-brief コマンドを入力します。sftunnel-status を使用して、より完全な情報を表示することもできます。
ダウン状態の接続の出力例を次に示します。ピアチャネルの「接続先」情報やハートビート情報が表示されていません。
> sftunnel-status-brief
PEER:10.10.17.202
Registration: Completed.
Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC
Last disconnect time : Mon Jun 15 09:19:09 2020 UTC
Last disconnect reason : Both control and event channel connections with peer went down
アップ状態の接続の出力例を次に示します。ピアチャネルとハートビート情報が表示されています。
> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC
FTD CLI で、管理および FMC アクセス データ インターフェイスのネットワーク設定を表示します。
show network
> show network
===============[ System Information ]===============
Hostname : 5516X-4
DNS Servers : 208.67.220.220,208.67.222.222
Management port : 8305
IPv4 Default route
Gateway : data-interfaces
IPv6 Default route
Gateway : data-interfaces
======================[ br1 ]=======================
State : Enabled
Link : Up
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1500
MAC Address : 28:6F:7F:D3:CB:8D
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 10.99.10.4
Netmask : 255.255.255.0
Gateway : 10.99.10.1
----------------------[ IPv6 ]----------------------
Configuration : Disabled
===============[ Proxy Information ]================
State : Disabled
Authentication : Disabled
======[ System Information - Data Interfaces ]======
DNS Servers :
Interfaces : GigabitEthernet1/1
===============[ GigabitEthernet1/1 ]===============
State : Enabled
Link : Up
Name : outside
MTU : 1500
MAC Address : 28:6F:7F:D3:CB:8F
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 10.89.5.29
Netmask : 255.255.255.192
Gateway : 10.89.5.1
----------------------[ IPv6 ]----------------------
Configuration : Disabled
FTD CLI で、FMC 登録が完了したことを確認します。このコマンドは、管理接続の現在のステータスを表示するものではないことに注意してください。
show managers
> show managers
Type : Manager
Host : 10.89.5.35
Registration : Completed
>
FTD CLI で、次のコマンドを使用して、データインターフェイスから FMC に ping します。
ping fmc_ip
FTD CLI で、次のコマンドを使用して、管理インターフェイスから FMC に ping します。これは、バックプレーンを介してデータインターフェイスにルーティングされます。
ping system fmc_ip
FTD CLI で、内部バックプレーン インターフェイス(nlp_int_tap)でパケットをキャプチャして、管理パケットが送信されているかどうかを確認します。
capture name interface nlp_int_tap trace detail match ip any any
show capturename trace detail
FTD CLI で、内部バックプレーン インターフェイス(nlp_int_tap)に関する情報を参照してください。
show interace detail
> show interface detail
[...]
Interface Internal-Data0/1 "nlp_int_tap", is up, line protocol is up
Hardware is en_vtun rev00, BW Unknown Speed-Capability, DLY 1000 usec
(Full-duplex), (1000 Mbps)
Input flow control is unsupported, output flow control is unsupported
MAC address 0000.0100.0001, MTU 1500
IP address 169.254.1.1, subnet mask 255.255.255.248
37 packets input, 2822 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 pause input, 0 resume input
0 L2 decode drops
5 packets output, 370 bytes, 0 underruns
0 pause output, 0 resume output
0 output errors, 0 collisions, 0 interface resets
0 late collisions, 0 deferred
0 input reset drops, 0 output reset drops
input queue (blocks free curr/low): hardware (0/0)
output queue (blocks free curr/low): hardware (0/0)
Traffic Statistics for "nlp_int_tap":
37 packets input, 2304 bytes
5 packets output, 300 bytes
37 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Control Point Interface States:
Interface number is 14
Interface config status is active
Interface state is active
FTD CLI で、デフォルトルート(S*)が追加されていること、および管理インターフェイス(nlp_int_tap)に内部 NAT ルールが存在することを確認します。
show route
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is 10.89.5.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.89.5.1, outside
C 10.89.5.0 255.255.255.192 is directly connected, outside
L 10.89.5.29 255.255.255.255 is directly connected, outside
>
show nat
> show nat
Auto NAT Policies (Section 2)
1 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_intf3 interface service tcp 8305 8305
translate_hits = 0, untranslate_hits = 6
2 (nlp_int_tap) to (outside) source static nlp_server_0_ssh_intf3 interface service tcp ssh ssh
translate_hits = 0, untranslate_hits = 73
3 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_ipv6_intf3 interface ipv6 service tcp 8305 8305
translate_hits = 0, untranslate_hits = 0
4 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf3 interface
translate_hits = 174, untranslate_hits = 0
5 (nlp_int_tap) to (outside) source dynamic nlp_client_0_ipv6_intf3 interface ipv6
translate_hits = 0, untranslate_hits = 0
>
次のコマンドを参照して、他のすべての設定が存在することを確認します。これらのコマンドの多くは、FMC の [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [管理(Management)] > [FMCアクセスの詳細(FMC Access Details)] > [CLI出力(CLI Output)] ページでも確認できます。
show running-config sftunnel
> show running-config sftunnel
sftunnel interface outside
sftunnel port 8305
show running-config ip-client
> show running-config ip-client
ip-client outside
show conn address fmc_ip
> show conn address 10.89.5.35
5 in use, 16 most used
Inspect Snort:
preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect
TCP nlp_int_tap 10.89.5.29(169.254.1.2):51231 outside 10.89.5.35:8305, idle 0:00:04, bytes 86684, flags UxIO
TCP nlp_int_tap 10.89.5.29(169.254.1.2):8305 outside 10.89.5.35:52019, idle 0:00:02, bytes 1630834, flags UIO
>
FTD CLI で、DDNS の更新が成功したかどうかを確認します。
debug ddns
> debug ddns
DDNS update request = /v3/update?hostname=domain.example.org&myip=209.165.200.225
Successfuly updated the DDNS sever with current IP addresses
DDNS: Another update completed, outstanding = 0
DDNS: IDB SB total = 0
更新に失敗した場合は、debug http コマンドと debug ssl コマンドを使用します。証明書の検証が失敗した場合は、ルート証明書がデバイスにインストールされていることを確認します。
show crypto ca certificates trustpoint_name
DDNS の動作を確認するには:
show ddns update interface fmc_access_ifc_name
> show ddns update interface outside
Dynamic DNS Update on outside:
Update Method Name Update Destination
RBD_DDNS not available
Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020
Status : Success
FQDN : domain.example.org
IP addresses : 209.165.200.225
https://cisco.com/go/fmc-reg-error を参照してください。
FMC で FTD のデータインターフェイスを使用し、ネットワーク接続に影響する FMC からの構成の変更を展開する場合、FTD の構成を最後に展開した構成にロールバックして、管理接続を復元できます。その後、ネットワーク接続が維持されるように FMC で構成設定を調整して再展開できます。ロールバック機能は、接続が失われていない場合でも使用でき、このトラブルシューティングの状況以外でも使用できます。
次のガイドラインを参照してください。
前回の展開のみ FTD でローカルに使用できます。さらに以前の展開にロールバックすることはできません。
ロールバックは、高可用性またはクラスタリングの導入ではサポートされていません。
ロールバックは、FMC で設定できる構成にのみ影響します。たとえば、ロールバックは、FTD CLI でのみ設定できる専用管理インターフェイスに関連するローカル構成には影響しません。configure network management-data-interface コマンドを使用した最後の FMC 展開後にデータインターフェイス設定を変更し、rollback コマンドを使用すると、それらの設定は保持されないことに注意してください。最後に展開された FMC 設定にロールバックされます。
UCAPL/CC モードはロールバックできません。
以前の展開中に更新されたアウトオブバンド SCEP 証明書データはロールバックできません。
ロールバック中に、現在の設定がクリアされるため、接続がドロップされます。
モデルのサポート:FTD
ステップ 1 |
FTD CLI で、以前の構成へロールバックします。 configure policy rollback ロールバック後、FTD はロールバックが正常に完了したことを FMC に通知します。FMC では、構成がロールバックされたことを示すバナーが展開画面に表示されます。 ロールバックが失敗した場合、一般的な展開の問題についてhttps://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw-virtual/215258-troubleshooting-firepower-threat-defense.htmlを参照してください。場合によっては、FMC アクセスの復元後にロールバックが失敗することがあります。この場合、FMC の構成の問題を解決して、FMC から再展開できます。 例:
|
ステップ 2 |
管理接続が再確立されたことを確認します。 FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [管理(Management)] > [FMCアクセスの詳細(FMC Access Details)] > [接続ステータス(Connection Status)] ページの順に選択して管理接続のステータスを確認します。 管理接続のステータスを表示するには、FTD CLI で、sftunnel-status-brief コマンドを入力します。 接続の再確立に 10 分以上かかる場合は、接続のトラブルシューティングを行う必要があります。データインターフェイスでの管理接続のトラブルシューティング を参照してください。 |
システムを適切にシャットダウンすることが重要です。単純に電源プラグを抜いたり、電源スイッチを押したりすると、重大なファイル システムの損傷を引き起こすことがあります。バックグラウンドでは常に多数のプロセスが実行されていて、電源プラグを抜いたり、電源を切断したりすると、ファイアウォールをグレースフルシャットダウンできないことを覚えておいてください。
FMC を使用してシステムを適切にシャットダウンできます。
ステップ 1 |
を選択します。 |
ステップ 2 |
再起動するデバイスの横にある編集アイコン()をクリックします。 |
ステップ 3 |
[デバイス(Device)] タブをクリックします。 |
ステップ 4 |
[システム(System)] セクションでデバイスのシャットダウンアイコン()をクリックします。 |
ステップ 5 |
プロンプトが表示されたら、デバイスのシャットダウンを確認します。 |
ステップ 6 |
コンソールからファイアウォールに接続している場合は、ファイアウォールがシャットダウンするときにシステムプロンプトをモニターします。次のプロンプトが表示されます。
コンソールから接続していない場合は、約 3 分間待ってシステムがシャットダウンしたことを確認します。 |
ステップ 7 |
必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。 |
FTD の設定を続行するには、「Cisco Firepower ドキュメント一覧」にあるお使いのソフトウェアバージョンのマニュアルを参照してください。
FMC の使用に関する情報については、「Firepower Management Center Configuration Guide」を参照してください。