はじめる前に
FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の対象読者
使用可能なすべてのオペレーティングシステムとマネージャを確認するには、「最適なオペレーティングシステムとマネージャを見つける方法」を参照してください。この章の内容は、 FMC での FTD の展開に適用されます。
この章では、FTD の初期設定の方法と管理ネットワーク上にある FMC へのファイアウォールの登録方法について説明します。 FMC が中央の本社にあるリモート支社での展開については、「リモート FTD による FMC の展開」を参照してください。
大規模ネットワークの一般的な導入では、複数の管理対象デバイスがネットワークセグメントにインストールされます。各デバイスは、トラフィックを制御、検査、監視、および分析して、管理 FMC に報告します。FMC は、サービスの管理、分析、レポートのタスクを実行できる Web インターフェイスを備えた集中管理コンソールを提供し、ローカルネットワークを保護します。
ファイアウォールについて
ハードウェアでは、FTD ソフトウェアまたは ASA ソフトウェアを実行できます。FTD と ASA の間で切り替えを行う際には、デバイスの再イメージ化が必要になります。現在インストールされているものとは異なるソフトウェアバージョンが必要な場合も再イメージ化が必要です。「Cisco ASA および Firepower Threat Defense 再イメージ化ガイド」を参照してください。
ファイアウォールは、Firepower eXtensible オペレーティングシステム(FXOS)と呼ばれる基盤となるオペレーティングシステムを実行します。ファイアウォールは FXOS Firepower Chassis Manager をサポートしていません。トラブルシューティング用として限られた CLI のみがサポートされています。詳細については、Cisco FXOS トラブルシューティングガイド(Firepower Threat Defense を実行している Firepower 1000/2100 シリーズ向け)を参照してください。
プライバシー収集ステートメント:ファイアウォールには個人識別情報は不要で、積極的に収集することもありません。ただし、ユーザー名などの設定では、個人識別情報を使用できます。この場合、設定作業時や SNMP の使用時に、管理者が個人識別情報を確認できる場合があります。
FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。
シャーシで FMC を使用して FTD を展開するには、次のタスクを参照してください。
|
事前設定 |
ファイアウォールをインストールします。ハードウェア設置ガイドを参照してください。 |
事前設定 |
||
事前設定 |
||
事前設定 |
||
CLI |
||
CLI または FDM |
||
FMC |
||
Cisco Commerce Workspace |
基本ライセンスとオプションの機能ライセンスを購入します(「FMC のライセンスの取得」)。 |
|
Smart Software Manager |
FMC のライセンストークンを生成します(「FMC のライセンスの取得」)。 |
|
FMC |
スマート ライセンシング サーバーに FMC を登録します(「FMC のライセンスの取得」)。 | |
FMC |
||
FMC |
専用の Management 1/1 インターフェイスは、独自のネットワーク設定を持つ特別なインターフェイスです。デフォルトでは、Management 1/1 インターフェイスは有効になっていて、DHCP クライアントとして設定されています。ネットワークに DHCP サーバーが含まれていない場合は、コンソールポートで初期設定時に静的 IP アドレスを使用するように管理インターフェイスを設定できます。FTD を FMC に接続した後、他のインターフェイスを設定できます。
ネットワークに FTD デバイスを配置する方法については、次のネットワークへの展開例を参照してください。
FMC と FTD の両方で、ライセンシングと更新を行うには管理からのインターネットアクセスが必要です。
次の図に、FMC と管理コンピュータが管理ネットワークに接続している Cisco Secure Firewall 3100 について考えられるネットワーク展開を示します。管理ネットワークには、ライセンシングと更新のためのインターネットへのパスがあります。
FMC と FTD の両方で、ライセンシングと更新を行うには管理からのインターネットアクセスが必要です。
次の図に、Cisco Secure Firewall 3100 が FMC と FTD の管理用のインターネットゲートウェイとして機能する Cisco Secure Firewall 3100 について考えられるネットワーク展開を示します。
次の図では、Management 1/1 をレイヤ 2 スイッチを介して内部のインターフェイスに接続するとともに、FMC と管理コンピュータをスイッチに接続することにより、Cisco Secure Firewall 3100 が管理インターフェイスと FMC のインターネットゲートウェイとして機能しています(管理インターフェイスは FTD 上の他のインターフェイスとは別のものであるため、このような直接接続が許可されます)。
Cisco Secure Firewall 3100 で推奨シナリオのいずれかに相当するケーブル接続を行うには、次の手順を参照してください。
(注) |
その他のトポロジも使用可能で、基本的な論理ネットワーク接続、ポート、アドレッシング、構成の要件によって導入方法が異なります。 |
ステップ 1 |
シャーシを取り付けます。ハードウェア設置ガイドを参照してください。 |
ステップ 2 |
別の管理ネットワーク用のケーブル配線: |
ステップ 3 |
エッジ展開用のケーブル配線: |
システムの電源は、ファイアウォールの背面にあるロッカー電源スイッチによって制御されます。電源スイッチは、ソフト通知スイッチとして実装されています。これにより、システムのグレースフル シャットダウンがサポートされ、システム ソフトウェアおよびデータの破損のリスクが軽減されます。
(注) |
FTD を初めて起動するときは、初期化に約 15 ~ 30 分かかります。 |
ファイアウォールに対して信頼性の高い電力を供給することが重要です(無停電電源装置(UPS)を使用するなど)。最初のシャットダウンを行わないで電力が失われると、重大なファイルシステムの損傷を引き起こす可能性があります。バックグラウンドでは常に多数のプロセスが実行されていて、電力が失われると、システムをグレースフルシャットダウンできません。
ステップ 1 |
電源コードをファイアウォールに接続し、電源コンセントに接続します。 |
||
ステップ 2 |
シャーシの背面で、電源コードに隣接する標準的なロッカータイプの電源オン/オフ スイッチを使用して電源をオンにします。 |
||
ステップ 3 |
ファイアウォールの背面にある電源 LED を確認します。緑色に点灯している場合は、ファイアウォールの電源が入っています。 |
||
ステップ 4 |
ファイアウォールの背面にあるシステム LED を確認します。緑色に点灯している場合は、電源投入診断に合格しています。
|
ソフトウェアのバージョンを確認し、必要に応じて別のバージョンをインストールするには、次の手順を実行します。ファイアウォールを設定する前に対象バージョンをインストールすることをお勧めします。別の方法として、稼働後にアップグレードを実行することもできますが、設定を保持するアップグレードでは、この手順を使用するよりも時間がかかる場合があります。
実行するバージョン
ソフトウェア ダウンロード ページのリリース番号の横にある、金色の星が付いている Gold Star リリースを実行することをお勧めします。https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html に記載されているリリース戦略も参照してください。たとえば、この速報では、(最新機能を含む)短期的なリリース番号、長期的なリリース番号(より長期間のメンテナンスリリースとパッチ)、または非常に長期的なリリース番号(政府認定を受けるための最長期間のメンテナンスリリースとパッチ)について説明しています。
ステップ 1 |
CLI に接続します。詳細については、FTD および FXOS CLI へのアクセスを参照してください。この手順ではコンソールポートを使用していますが、代わりに SSH を使用することもできます。 admin ユーザとデフォルトパスワードの Admin123 を使用してログインします。 FXOS CLI に接続します。初めてログインしたとき、パスワードを変更するよう求められます。このパスワードは、SSH の FTD ログインにも使用されます。
例:
|
||
ステップ 2 |
FXOS CLI で、実行中のバージョンを表示します。 scope ssa show app-instance 例:
|
||
ステップ 3 |
新しいバージョンをインストールする場合は、次の手順を実行します。 |
CLI か FDM を使用して FTD の初期設定を完了させることができます。
FTD CLI に接続して初期設定を実行します。これには、セットアップウィザードを使用した管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定の指定などが含まれます。専用の管理インターフェイスは、独自のネットワーク設定を持つ特別なインターフェイスです。FMC アクセスに管理インターフェイスを使用しない場合は、代わりに CLI を使用してデータインターフェイスを設定できます。また、FMC 通信の設定を行います。FDM を使用して初期セットアップを実行すると、管理および FMC アクセスインターフェイスの設定に加えて、管理のために FMC に切り替えたときに、FDM で完了したすべてのインターフェイス設定が保持されます。アクセス コントロール ポリシーなどの他のデフォルト設定は保持されないことに注意してください。
ステップ 1 |
コンソールポートから、または管理インターフェイスへの SSH を使用して、FTD CLI に接続します。デフォルトで DHCP サーバーから IP アドレスが取得されます。ネットワーク設定を変更する場合は、切断されないようにコンソールポートを使用することを推奨します。 コンソールポートは FXOS CLI に接続します。SSH セッションは FTD CLI に直接接続します。 |
||
ステップ 2 |
ユーザー名 admin およびパスワード Admin123 でログインします。 コンソールポートで FXOS CLI に接続します。初めて FXOS にログインしたときは、パスワードを変更するよう求められます。このパスワードは、SSH の FTD ログインにも使用されます。
例:
|
||
ステップ 3 |
コンソールポートで FXOS に接続した場合は、FTD CLI に接続します。 connect ftd 例:
|
||
ステップ 4 |
FTD に初めてログインすると、エンドユーザーライセンス契約(EULA)に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、CLI セットアップスクリプトが表示されます。
デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。 次のガイドラインを参照してください。
例:
|
||
ステップ 5 |
この FTD を管理する FMC を特定します。 configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]
例:
FMC が NAT デバイスの背後にある場合は、次の例に示すように、一意の NAT ID とともに登録キーを入力し、ホスト名の代わりに DONTRESOLVE を指定します。 例:
FTD が NAT デバイスの背後にある場合は、次の例に示すように、一意の NAT ID とともに FMC IP アドレスまたはホスト名を入力します。 例:
|
FMC にファイアウォールを登録します。
FDM に接続して、FTD の初期設定を実行します。FDM を使用して初期セットアップを実行すると、管理と FMC のアクセス設定に加えて、管理のために FMC に切り替えたときに、FDM で完了したすべてのインターフェイス設定が保持されます。アクセス コントロール ポリシーやセキュリティゾーンなどの他のデフォルト設定は保持されないことに注意してください。CLI を使用すると、管理と FMC のアクセス設定のみが保持されます(たとえば、デフォルトの内部インターフェイスの設定は保持されません)。
FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。FTD をセットアップする前に、FMC の IP アドレスまたはホスト名を把握しておく必要があります。
Firefox、Chrome、Safari、Edge、または Internet Explorer の最新バージョンを使用します。
ステップ 1 |
FDM にログインします。 |
ステップ 2 |
初期設定を完了するには、最初に FDM にログインしたときにセットアップウィザードを使用します。必要に応じて、ページの下部にある [デバイスの設定をスキップ(Skip device setup)] をクリックしてセットアップウィザードをスキップできます。 セットアップウィザードを完了すると、内部インターフェイス(Ethernet1/2)のデフォルト設定に加えて、FMC の管理に切り替えるときに維持される外部(Ethernet1/1)インターフェイスも設定できます。 |
ステップ 3 |
(必要に応じて)管理インターフェイスの静的 IP アドレスを設定します。[デバイス(Device)] を選択し、[システム設定(System Settings)] > [管理インターフェイス(Management Interface)] リンクの順にクリックします。 静的 IP アドレスを設定する場合は、デフォルトゲートウェイもデータインターフェイスではなく一意のゲートウェイに設定してください。DHCP を使用する場合は、何も設定する必要はありません。 |
ステップ 4 |
外部または内部以外のインターフェイスを含む追加のインターフェイスを設定する場合は、[デバイス(Device)] を選択し、[インターフェイス(Interface)] のサマリーにあるリンクをクリックします。 FDM におけるインターフェイスの設定の詳細については、「FDM でのファイアウォールの設定」を参照してください。FMC にデバイスを登録すると、FDM の他の設定は保持されません。 |
ステップ 5 |
[デバイス(Device)] > [システム設定(Device System Settings)] > [中央管理 (Central Management)] > [Management Center] > [Management Center] > [デバイス(Device)] > [システム設定(System Settings)] > [中央管理(Central Management)] > [Management Center] を選択し、 [続行(Proceed)] をクリックして FMC の管理を設定します。 |
ステップ 6 |
[FMCの詳細(FMC Details)] を設定します。 |
ステップ 7 |
[接続の設定(Connectivity Configuration)] を設定します。 |
ステップ 8 |
[接続(Connect)] をクリックします。[登録ステータス(Registration Status)] [FMC登録ステータス(FMC Registration Status)] [FMC登録ステータス (FMC Registration Status)] ダイアログボックスには、FMC への切り替えの現在のステータスが表示されます。[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] ステップの後、FMC に移動し、ファイアウォールを追加します。 FMC への切り替えをキャンセルする場合は、[登録のキャンセル(Cancel Registration)] をクリックします。キャンセルしない場合は、[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] のステップが完了するまで FDM ブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、FDM に再接続した場合のみ再開されます。 [Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] ステップの後に FDM に接続したままにする場合、その後 [Management CenterまたはCDOとの正常接続 (Successful Connection with Management Center or CDO)] [FMCとの正常接続(Successful Connection with FMC)] [FMCとの正常接続(Successful Connection with FMC)] ダイアログボックスが表示され、FDM から切断されます。 |
FMC を使用して、FTD を設定および監視します。
サポートされているブラウザの詳細については、使用するバージョンのリリースノート(https://www.cisco.com/go/firepower-notes)を参照してください。
ステップ 1 |
サポートされているブラウザを使用して、次の URL を入力します。 https://fmc_ip_address |
ステップ 2 |
ユーザー名とパスワードを入力します。 |
ステップ 3 |
[ログイン(Log In)] をクリックします。 |
すべてのライセンスは、FMC によって FTD に提供されます。次のライセンスを購入できます。
基本:(必須)基本ライセンス。
脅威:セキュリティ インテリジェンスと次世代 IPS
マルウェア:マルウェア
URL:URL フィルタリング
RA VPN:AnyConnect Plus、AnyConnect Apex、または AnyConnect VPN 専用
シスコライセンスの概要については詳しくは、cisco.com/go/licensingguide を参照してください。
Smart Software Manager にマスターアカウントを持ちます。
まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスター アカウントを作成できます。
(輸出コンプライアンスフラグを使用して有効化される)機能を使用するには、ご使用のスマート ソフトウェア ライセンシング アカウントで強力な暗号化(3DES/AES)ライセンスを使用できる必要があります。
ステップ 1 |
お使いのスマート ライセンシング アカウントに、必要なライセンスが含まれていることを確認してください。 ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマート ソフトウェア ライセンシング アカウントにリンクされています。ただし、主導でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [製品とソリューションの検索(Find Products and Solutions)] 検索フィールドを使用します。次のライセンス PID を検索します。
|
||
ステップ 2 |
まだ設定していない場合は、スマート ライセンシング サーバーに FMC を登録します。 登録を行うには、Smart Software Manager で登録トークンを生成する必要があります。詳細な手順については、Firepower Management Center アドミニストレーション ガイドを参照してください。 |
FTD を FMC に登録します。
FTD の最初の設定で設定した次の情報を収集します。
FTD の管理 IP アドレスまたはホスト名、および NAT ID
FMC の登録キー
ステップ 1 |
FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] の順に選択します。 |
||
ステップ 2 |
[追加(Add)] ドロップダウン リストから、[デバイスの追加(Add Device)] を選択します。 次のパラメータを設定します。
|
||
ステップ 3 |
[登録(Register)] をクリックし、登録が成功したことを確認します。 登録が成功すると、デバイスがリストに追加されます。失敗した場合は、エラーメッセージが表示されます。FTD が登録に失敗した場合は、次の項目を確認してください。
トラブルシューティングの詳細については、https://cisco.com/go/fmc-reg-error を参照してください。 |
ここでは、次の設定を使用して基本的なセキュリティポリシーを設定する方法について説明します。
内部インターフェイスと外部インターフェイス:内部インターフェイスにスタティック IP アドレスを割り当て、外部インターフェイスに DHCP を使用します。
DHCP サーバー:クライアントの内部インターフェイスで DHCP サーバーを使用します。
デフォルトルート:外部インターフェイスを介してデフォルトルートを追加します。
NAT:外部インターフェイスでインターフェイス PAT を使用します。
アクセスコントロール:内部から外部へのトラフィックを許可します。
基本的なセキュリティ ポリシーを設定するには、次のタスクを実行します。
FTD インターフェイスを有効にし、それらをセキュリティゾーンに割り当てて IP アドレスを設定します。通常は、システムで意味のあるトラフィックを通過させるように、少なくとも 2 つのインターフェイスを設定する必要があります。通常は、アップストリームルータまたはインターネットに面した外部インターフェイスと、組織のネットワークの 1 つ以上の内部インターフェイスを使用します。これらのインターフェイスの一部は、Web サーバーなどのパブリックアクセスが可能なアセットを配置する「緩衝地帯」(DMZ)となる場合があります。
一般的なエッジルーティングの状況は、内部インターフェイスでスタティックアドレスを定義すると同時に、ISP から DHCP を介して外部インターフェイスアドレスを取得することです。
次の例では、DHCP によるスタティックアドレスとルーテッドモードの外部インターフェイスを使用して、ルーテッドモードの内部インターフェイスを設定します。
ステップ 1 |
[デバイス(Devices)] > [デバイス管理(Device Management)] の順に選択し、ファイアウォールの をクリックします。 |
||
ステップ 2 |
[インターフェイス(Interfaces)] をクリックします。 |
||
ステップ 3 | |||
ステップ 4 |
内部に使用するインターフェイスの をクリックします。 [全般(General)] タブが表示されます。 |
||
ステップ 5 |
「外部」に使用するインターフェイスをクリックします。 [全般(General)] タブが表示されます。
|
||
ステップ 6 |
[保存(Save)] をクリックします。 |
クライアントで DHCP を使用して FTD から IP アドレスを取得するようにする場合は、DHCP サーバーを有効にします。
ステップ 1 |
を選択し、デバイスをクリックします。 |
ステップ 2 |
を選択します。 |
ステップ 3 |
[サーバー(Server)] ページで、[追加(Add)] をクリックして、次のオプションを設定します。
|
ステップ 4 |
[OK] をクリックします。 |
ステップ 5 |
[保存(Save)] をクリックします。 |
デフォルトルートは通常、外部インターフェイスから到達可能なアップストリームルータを指し示します。外部インターフェイスに DHCP を使用する場合は、デバイスがすでにデフォルトルートを受信している可能性があります。手動でルートを追加する必要がある場合は、次の手順を実行します。DHCP サーバーからデフォルトルートを受信した場合は、 [IPv4ルート(IPv4 Routes)] または [IPv6ルート(IPv6 Routes)] テーブルに表示されます。
ページのステップ 1 |
を選択し、デバイスをクリックします。 |
ステップ 2 |
を選択し、[ルートを追加(Add route)] をクリックして、次のように設定します。
|
ステップ 3 |
[OK] をクリックします。 ルートがスタティックルートテーブルに追加されます。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
一般的な NAT ルールでは、内部アドレスを外部インターフェイスの IP アドレスのポートに変換します。このタイプの NAT ルールのことをインターフェイス ポート アドレス変換(PAT)と呼びます。
ステップ 1 |
をクリックし、 をクリックします。 |
||
ステップ 2 |
ポリシーに名前を付け、ポリシーを使用するデバイスを選択し、[保存(Save)] をクリックします。 ポリシーが FMC に追加されます。引き続き、ポリシーにルールを追加する必要があります。 |
||
ステップ 3 |
[ルールの追加(Add Rule)] をクリックします。 [NATルールの追加(Add NAT Rule)] ダイアログボックスが表示されます。 |
||
ステップ 4 |
基本ルールのオプションを設定します。
|
||
ステップ 5 |
[インターフェイスオブジェクト(Interface objects)] ページで、[使用可能なインターフェイスオブジェクト(Available Interface Objects)] 領域から [宛先インターフェイスオブジェクト(Destination Interface Objects)] 領域に外部ゾーンを追加します。 |
||
ステップ 6 |
[変換(Translation)] ページで、次のオプションを設定します。
|
||
ステップ 7 |
[保存(Save)] をクリックしてルールを追加します。 ルールが [ルール(Rules)] テーブルに保存されます。 |
||
ステップ 8 |
NAT ページで [保存(Save)] をクリックして変更を保存します。 |
FTD を FMC に登録したときに、基本の [すべてのトラフィックをブロック(Block all traffic)] アクセス コントロール ポリシーを作成した場合は、デバイスを通過するトラフィックを許可するためにポリシーにルールを追加する必要があります。次の手順では、内部ゾーンから外部ゾーンへのトラフィックを許可するルールを追加します。他にゾーンがある場合は、適切なネットワークへのトラフィックを許可するルールを追加してください。
より高度なセキュリティ設定とルールを設定する場合は、『Firepower Management Center Configuration Guide』を参照してください。
ステップ 1 |
FTD に割り当てられているアクセス コントロール ポリシーの をクリックします。 を選択し、 |
ステップ 2 |
[ルールを追加(Add Rule)] をクリックし、次のパラメータを設定します。
他の設定はそのままにしておきます。 |
ステップ 3 |
[追加(Add)] をクリックします。 ルールが [ルール(Rules)] テーブルに追加されます。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
設定の変更を FTD に展開します。変更を展開するまでは、デバイス上でどの変更もアクティブになりません。
ステップ 1 |
右上の [展開(Deploy)] をクリックします。 |
ステップ 2 |
[ポリシーの展開(Deploy Policies)] ダイアログボックスでデバイスを選択し、[展開(Deploy)] をクリックします。 |
ステップ 3 |
展開が成功したことを確認します。展開のステータスを表示するには、メニューバーの [展開(Deploy)] ボタンの右側にあるアイコンをクリックします。 |
コマンドライン インターフェイス(CLI)を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。CLI セッションからポリシーを設定することはできません。CLI には、コンソール ポートに接続してアクセスできます。
トラブルシューティングのために、FXOS CLI にアクセスすることもできます。
(注) |
または、FTD デバイスの管理インターフェイスに SSH で接続できます。コンソールセッションとは異なり、SSH セッションはデフォルトで FTD CLI になり、connect fxos コマンドを使用して FXOS CLI に接続できます。SSH 接続用のインターフェイスを開いている場合、後でデータインターフェイス上のアドレスに接続できます。データ インターフェイスへの SSH アクセスはデフォルトで無効になっています。この手順では、デフォルトで FXOS CLI となるコンソールポートアクセスについて説明します。 |
ステップ 1 |
CLI にログインするには、管理コンピュータをコンソール ポートに接続します。Cisco Secure Firewall 3100 には DB-9 to RJ-45 シリアルケーブルが付属しているため、接続するためにはサードパーティ製のシリアル to USB ケーブルが必要です。お使いのオペレーティングシステムに必要な USB シリアルドライバを必ずインストールしてください(Cisco Secure Firewall 3100 ハードウェアガイドを参照)。コンソールポートはデフォルトで FXOS CLI になります。次のシリアル設定を使用します。
FXOS CLI に接続します。ユーザー名 admin と、初期セットアップ時に設定したパスワードを使用して CLI にログインします(デフォルトは Admin123)。 例:
|
ステップ 2 |
FTD CLI にアクセスします。 connect ftd 例:
ログイン後に、CLI で使用可能なコマンドの情報を確認するには、help または ? を入力します。使用方法については、『Secure Firewall Threat Defense のコマンドリファレンス』を参照してください。 |
ステップ 3 |
FTD CLI を終了するには、exit または logout コマンドを入力します。 このコマンドにより、FXOS CLI プロンプトに戻ります。FXOS CLI で使用可能なコマンドの情報を確認するには、? を入力します。 例:
|
システムを適切にシャットダウンすることが重要です。単純に電源プラグを抜いたり、電源スイッチを押したりすると、重大なファイルシステムの損傷を引き起こすことがあります。バックグラウンドでは常に多数のプロセスが実行されており、電源プラグを抜いたり、電源を切断したりすると、ファイアウォールシステムをグレースフルシャットダウンできないことを覚えておいてください。
FMC のデバイス管理ページを使用してデバイスの電源を切断するか、FXOS CLI を使用できます。
システムを適切にシャットダウンすることが重要です。単純に電源プラグを抜いたり、電源スイッチを押したりすると、重大なファイル システムの損傷を引き起こすことがあります。バックグラウンドでは常に多数のプロセスが実行されていて、電源プラグを抜いたり、電源を切断したりすると、ファイアウォールをグレースフルシャットダウンできないことを覚えておいてください。
FMC を使用してシステムを適切にシャットダウンできます。
ステップ 1 |
を選択します。 |
ステップ 2 |
再起動するデバイスの横にある編集アイコン()をクリックします。 |
ステップ 3 |
[デバイス(Device)] タブをクリックします。 |
ステップ 4 |
[システム(System)] セクションでデバイスのシャットダウンアイコン()をクリックします。 |
ステップ 5 |
プロンプトが表示されたら、デバイスのシャットダウンを確認します。 |
ステップ 6 |
コンソールからファイアウォールに接続している場合は、ファイアウォールがシャットダウンするときにシステムプロンプトをモニターします。次のプロンプトが表示されます。
コンソールから接続していない場合は、約 3 分間待ってシステムがシャットダウンしたことを確認します。 |
ステップ 7 |
必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。 |
FXOS CLI を使用すると、システムを安全にシャットダウンしてデバイスの電源を切断できます。CLI には、コンソールポートに接続してアクセスします。FTD および FXOS CLI へのアクセスを参照してください。
ステップ 1 |
FXOS CLI でローカル管理に接続します。 firepower # connect local-mgmt |
ステップ 2 |
shutdown コマンドを発行します。 firepower(local-mgmt) # shutdown 例:
|
ステップ 3 |
ファイアウォールのシャットダウン時にシステムプロンプトをモニターします。次のプロンプトが表示されます。
|
ステップ 4 |
必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。 |
FTD の設定を続行するには、「Cisco Firepower ドキュメント一覧」にあるお使いのソフトウェアバージョンのマニュアルを参照してください。
FMC の使用に関する情報については、「Firepower Management Center Configuration Guide」を参照してください。