お客様の組織が、米国国防総省や他の政府/自治体認定組織によって確立されたセキュリティ基準に従う機器とソフトウェアだけを使用することを求められる場合があります。該当する認定当局による認定を受けた後、認定に固有のガイダンス文書に従って設定を行うことで、Firewall Threat Defense は次の認定基準に準拠するようになります。

• コモン クライテリア（CC）：国際コモン クライテリア承認アレンジメントによって確立された、セキュリティ製品の要件を定義するグローバル標準規格

• Department of Defense Information Network Approved Products List（DoDIN APL）：米国国防情報システム局（DISA）によって制定された、セキュリティ要件を満たす製品のリスト

  （注）	米国政府は、Unified Capabilities Approved Products List（UCAPL）の名称を DoDIN APL に変更しました。このドキュメントおよび Firewall Management Center Web インターフェイスでの UCAPL の参照は、DoDIN APL への参照として解釈できます。

• 連邦情報処理標準（FIPS）140：暗号化モジュールの要件に関する規定

認定ガイダンス文書は、製品認定が完了すると個別に入手できます。この強化ガイドの公開によってこれらの製品認定の完了が保証されるわけではありません。

このドキュメントで説明している設定は、認定機関が定める現在のすべての要件を厳密に遵守することを保証するものではありません。必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

このドキュメントでは、Firewall Threat Defense のセキュリティを強化するためのガイダンスを説明していますが、Firewall Threat Defense の一部の機能については、ここで説明している設定を行っても認定準拠がサポートされません。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Security Certifications Compliance Recommendations」を参照してください。この強化ガイドと『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』が認定固有のガイダンスと矛盾しないように努めてきました。シスコのドキュメントと認定ガイダンスとの間で不一致がある場合は、認定ガイダンスを使用するか、システムの所有者にお問い合わせください。

シスコでは、問題に対処し改善を行うために、Firewall Management Center ソフトウェアアップデートを定期的にリリースしています。システム ソフトウェアを最新の状態に保つことは、強化されたシステムを維持するうえで不可欠です。システムソフトウェアが適切にアップデートされていることを確認してください。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』、『Cisco Secure Firewall Management Center Upgrade Guide』の「System Updates」の章の情報をご利用ください。

また、シスコでは、Firewall Management Center がネットワークと資産を保護するために使用するデータベースのアップデートも定期的に発行しています。Firewall Management Center によって管理される Firewall Threat Defense デバイスが最適な状態で保護されるように、管理用 Firewall Management Center の地理位置情報データベース、侵入ルールデータベース、および脆弱性データベースを最新の状態に維持してください。Cisco Secure Firewall の展開でいずれかのコンポーネントをアップデートする場合は、アップデートに付属の『Cisco Secure Firewall Threat Defense Release Notes』を必ずお読みください。これらは、互換性、前提条件、新機能、動作の変更、警告など、重要かつリリースに固有の情報を提供します。アップデートによってはサイズが大きくなり、完了までに時間がかかる場合があります。システムパフォーマンスへの影響を軽減するため、これらのアップデートはネットワークの使用量が少ない時間帯に行ってください。

位置情報データベース

地理位置情報データベース（GeoDB）は、ルーティング可能な IP アドレスと関連付けられた地理的データ（国、都市、座標など）および接続関連のデータ（インターネット サービス プロバイダー、ドメイン名、接続タイプなど）のデータベースです。検出された IP アドレスと一致する GeoDB 情報が Firewall Management Center で検出された場合は、その IP アドレスに関連付けられている地理位置情報を表示できます。国や大陸以外の位置情報の詳細を表示するには、システムに GeoDB をインストールする必要があります。

Firewall Management Center Web インターフェイスから GeoDB を更新するには、[システム（System）] > [更新（Updates）] > [地理位置情報の更新（Geolocation Updates）] を使用し、次のいずれかの方法を選択します。

• インターネットにアクセスせずに Firewall Management Center で GeoDB を更新します。

• インターネットにアクセスし、Firewall Management Center で GeoDB を更新します。

• インターネットにアクセスし、Firewall Management Center で GeoDB の定期的な自動更新をスケジュールします。

詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Update the Geolocation Database」を参照してください。

侵入ルール

新たな脆弱性が明らかになると、Cisco Talos Security Intelligence and Research Group（Talos）から侵入ルールの更新がリリースされます。これらの更アップデートを Firewall Management Center にインポートして、変更後の設定を管理対象デバイスに導入することで、侵入ルールの更新を実装できます。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。

Firewall Management Center Web インターフェイスでは、侵入ルールを更新するための 3 つのアプローチが提供されており、すべて [システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] で使用できます。

• インターネットにアクセスできない Firewall Management Center の侵入ルールを更新します。

• インターネットにアクセスできる Firewall Management Center の侵入ルールを更新します。

• インターネットにアクセスできる Firewall Management Center の侵入ルールの定期的な自動更新をスケジュールします。

詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Update Intrusion Rules」を参照してください。

また、[システム（System）] > [更新（Updates）] > [ルールの更新（Rule Updates）] を使用してローカル侵入ルールをインポートすることもできます。Snort ユーザ マニュアル（http://www.snort.org で入手可能）の指示に従って、ローカル侵入ルールを作成することができます。それらを Firewall Management Center にインポートする前に、『』の「Guidelines for Importing Local Intrusion Rules」、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Best Practices for Importing Local Intrusion Rules」を参照し、ローカル侵入ルールのインポートがセキュリティポリシーに準拠していることを確認します。

脆弱性データベース

脆弱性データベース（VDB）は、ホストが影響を受ける可能性がある既知の脆弱性、およびオペレーティングシステム、クライアント、アプリケーションのフィンガープリントを格納するデータベースです。システムでは、VDB を使用して、特定のホストで感染のリスクが高まるかどうかを判断します。

Firewall Management Center Web インターフェイスでは、VDB を更新するための 2 つのアプローチが提供されています。

• VDB（[システム（System）] > [更新（Updates）] > [製品の更新（Product Updates）]）を手動で更新します。

• VDB の更新（[システム（System）] > [ツール（Tools）] > [スケジューリング（Scheduling）]）をスケジュールします。

詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Update the Vulnerability Database」を参照してください。

セキュリティ インテリジェンスのリストとフィード

セキュリティ インテリジェンスのリストとフィードは、リストまたはフィードのエントリに一致するトラフィックをすばやくフィルタリングするために使用できる IP アドレス、ドメイン名、および URL のコレクションです。

システム提供のフィードと、事前定義されたリストがあります。カスタムフィードとリストを使用することもできます。これらのリストとフィードを表示するには、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [セキュリティ インテリジェンス（Security Intelligence）] を選択します。 システム提供のフィードの一部として、シスコはセキュリティ インテリジェンス オブジェクトとして次のフィードを提供しています。

• セキュリティ インテリジェンス フィードは、Talos の最新の脅威インテリジェンスで定期的に更新されます。

  • Cisco-DNS-and-URL-Intelligence-Feed（[DNS Lists and Feeds] の下）

  • Cisco-Intelligence-Feed（IPアドレス用、[Network Lists and Feeds] の下）

  システムが提供するフィードは削除できませんが、更新頻度を変更（または無効に設定）できます。Firewall Management Center は、5 分または 15 分ごとに Cisco-Intelligence-Feed データを更新できるようになりました。

• Cisco-TID-Feed（[Network Lists and Feeds] の下）

  TID 監視可能データのコレクションであるこのフィードを使用するには、Threat Intelligence Director を有効にして設定する必要があります。

詳細については、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Security Intelligence Lists and Feeds」を参照してください。

1 つの設定で複数の強化設定変更を適用するには、Firewall Threat Defense の CC または UCAPL モードを選択します。この設定は、Firewall Management Center Web インターフェイスの Firewall Threat Defense プラットフォーム設定ポリシー（[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）]）を使用して適用します。新しい設定を展開するまで、変更は Firewall Threat Defense で有効になりません。詳細については、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Enable Security Certifications Compliance」を参照してください。

これらの設定オプションの 1 つを選択すると、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Security Certification Compliance Characteristics」に記載されている変更が有効になります。展開内のアプライアンスはすべて、同じセキュリティ証明書コンプライアンスモードで動作する必要があることに注意してください。

注意	この設定を有効にした後は、無効にすることはできません。CC または UCAPL モードを有効にする前に、『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Security Certifications Compliance」で詳細な情報を参照してください。この設定を元に戻す必要が生じた場合は、Cisco TAC にご連絡ください。

（注）	セキュリティ認定準拠を有効にしても、選択したセキュリティ モードのすべての要件への厳密な準拠が保証されるわけではありません。このドキュメントでは、CC または UCAPL モードで提供されるものを超えて展開を強化するために推奨されるその他の設定について説明します。完全準拠に必要な強化手順の詳細については、認定機関から提供される本製品に関するガイドラインを参照してください。

シスコの IOS NetFlow を使用すると、ネットワーク内の通信フローをリアルタイムでモニターできます。Firewall Threat Defense は、ランタイムカウンタの表示およびリセットなど、一部の NetFlow 機能と連携できます。show flow-export counters および clear flow-export counters CLI コマンドを参照してください。

Firewall Management Center Web インターフェイスを使用して、NetFlow によってキャプチャされるものと同じ冗長な Firewall Threat Defense syslog メッセージを無効にすることができます。それには、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で Firewall Threat Defense プラットフォーム設定ポリシーを作成し、メニューから [Syslog] を選択します。[Syslogの設定（Syslog Settings）] タブで、[NetFlowと同等のSyslog（NetFlow Equivalent Syslogs）] チェックボックスをオンにします（どの syslog メッセージが冗長であるかを判別するには、show logging flow-export-syslogs CLI コマンドを使用します）。

NetFlow を使用してネットワーク デバイスを設定する場合は、これらの機能を利用できます。フロー情報がリモート コレクタにエクスポートされるかどうかに関係なく、必要に応じて NetFlow を受動的に使用できます。詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Netflow Data」を参照してください。

Cisco Secure Firewall の展開では、さまざまな目的で他のネットワークリソースとやり取りする場合があります。これらの他のサービスを強化することで、Cisco Secure Firewall システムだけでなくネットワーク資産のすべてを保護できます。対処する必要があるすべてのものを特定するには、ネットワークとそのコンポーネント、資産、ファイアウォール設定、ポート設定、データ フロー、およびブリッジング ポイントを図式化することを試みてください。

セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立し、遵守します。

Firewall Threat Defense デバイスは、いくつかのプロトコルを使用して他のネットワーク デバイスとやり取りできます。Firewall Threat Defense デバイスや FTD が送受信するデータを保護するために、ネットワーク通信の設定を選択してください。

• デフォルトでは、Firewall Threat Defense デバイスは 1 つの IP パケットにつき最大 24 のフラグメントを許可し、最大 200 のフラグメントのリアセンブリ待ちを許可します。定期的にパケットをフラグメント化するアプリケーション（NFS over UDP など）がある場合は、ネットワーク上でフラグメントを許可する必要がある場合があります。ただし、フラグメント化されたパケットはサービス妨害（DoS）攻撃に利用されることが多いため、フラグメントを許可しないことを推奨します。

  • Firewall Threat Defense デバイスのフラグメント設定を行うには、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で Firewall Threat Defense プラットフォーム設定ポリシーを作成し、目次から [Fragment Settings] を選択します。

  • Firewall Threat Defense デバイスによって処理されるネットワーク トラフィック内のフラグメントを禁止するには、[チェーン（フラグメント）（Chain (Fragment)）] ] オプションを 1 に設定します。

  詳細な手順については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Configure Fragment Handling」を参照してください。

• Firewall Management Center によって管理されている Firewall Threat Defense デバイスでは、Firewall Threat Defense との HTTPS 接続は、トラブルシューティングの目的でパケット キャプチャ ファイルをダウンロードする場合にのみ使用できます。

  パケットキャプチャのダウンロードを許可する必要がある IP アドレスに対してのみ HTTPS アクセスを許可するように Firewall Threat Defense を設定します。Firewall Management Center Web インターフェイスの [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で Firewall Threat Defense プラットフォーム設定ポリシーを作成し、目次から [HTTP] を選択します。『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Configure HTTP」を参照してください。

• デフォルトでは、Firewall Threat Defense は IPv4 か IPv6 を使用して任意のインターフェイスで ICMP パケットを受信できます。ただし、2 つの例外があります。

  • Firewall Threat Defense は、ブロードキャストアドレス宛ての ICMP エコー要求に応答しません。

  • Firewall Threat Defense は、トラフィックが着信するインターフェイス宛ての ICMP トラフィックにのみ応答します。ICMP トラフィックは、Firewall Threat Defense インターフェイス経由で離れたインターフェイスに送信できません。

  ICMP に基づく攻撃から Firewall Threat Defense デバイスを保護するために、ICMP ルールを使用して、選択したホスト、ネットワーク、または ICMP タイプに ICMP アクセスを限定できます。Firewall Management Center Web インターフェイスの [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で Firewall Threat Defense プラットフォーム設定ポリシーを作成し、目次から [ICMPアクセス（ICMP Access）] を選択します。詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Configure ICMP Access Rules」を参照してください。

• DHCP サービスと DDNS サービスを提供するように Firewall Threat Defense を設定できます（『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「DHCP and DDNS Services for Threat Defense」を参照）。これらのプロトコルはその性質上、攻撃に対して脆弱です。Firewall Threat Defense で DHCP または DDNS を設定する場合は、セキュリティに関する業界のベストプラクティスを適用し、ネットワーク資産を物理的に保護する機能を用意し、Firewall Threat Defense デバイスへのユーザーアクセスを強化することが重要です。

• Firepower 1000 シリーズ、2100 シリーズ、および Secure Firewall 3100 で、LLDP を有効にすることができます。この機能により、Firewall Threat Defense は LLDP 対応ピアとパケットを交換できます。デフォルトでは、LLDP 送受信はポートで無効になっています。LLDP を介して送信される情報は、攻撃に対して脆弱です。Firewall Threat Defense デバイスで LLDP を設定する場合は、セキュリティに関する業界のベストプラクティスを適用し、Firewall Threat Defense へのユーザーアクセスを強化することが重要です。セキュリティを強化するために、ファイアウォールがピアから LLDP パケットを受信できるようにすることをお勧めします。このアクションにより、ファイアウォールは、その識別情報を他のピアデバイスに公開することなく、ピアデバイスに関する情報を取得できるようになります。詳細については、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Enable the Physical Interface and Configure Ethernet Settings」を参照してください。

Firewall Threat Defense は、リモートアクセス仮想プライベートネットワーク（RA VPN）とサイト間仮想プライベートネットワークの 2 種類の仮想プライベートネットワーク（VPN）サービスを提供するように設定できます。デバイスのライセンスによっては、サイト間 および RA VPN 送信に強力な暗号化を適用できる場合があります。強力な暗号化を備えた VPN には特別なライセンスが必要です。『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Licensing for Export-Controlled Functionality」を参照してください。

リモートアクセス仮想プライベートネットワーク

RA VPN 接続を介してリモートクライアント間で送受信されるメッセージの送信を保護する場合、Firewall Threat Defense は Transport Layer Security（TLS）または IPsec IKEv2 を使用できます。

Firewall Threat Defense に RA VPN 設定を展開する前に、Firewall Management Center はライセンスの前提条件が満たされていることを確認します。詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』を参照してください。

Firewall Threat Defense の RA VPN は、認証用の AD、LDAP、SAML ID プロバイダー、および RADIUS AAA サーバーをサポートします。ユーザーが RA VPN の AAA 設定を指定する場合、セキュリティを強化するために、次の認証方法のいずれかを使用することを推奨します。

• [クライアント証明書とSAML（Client Certificate and SAML）]：各ユーザーはクライアント証明書と SAML サーバーの両方を使用して認証されます。

• [クライアント証明書とAAA（Client Certificate and AAA）]：各ユーザーはクライアント証明書とAAAサーバーの両方を使用して認証されます。

RA VPN は、ローカル認証と複数証明書認証をサポートしています。

• [ローカル認証（Local Authentication）]：この認証方式は、プライマリまたはセカンダリ認証方式として、または設定されたリモートサーバーに到達できない場合のフォールバックとして使用できます。ローカル認証には、強力なパスワードを使用することをお勧めします。詳細については、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Associating a Local Realm with a Remote Access VPN Policy」を参照してください。

• [複数証明書認証（Multi-certificate Authentication）]：この認証方式を使用して、単一の証明書認証を使用したマシンまたはデバイスの証明書を検証できます。この認証により、デバイスが企業支給のデバイスであることを確認し、ユーザー ID 証明書を認証して VPN アクセスを許可します。この認証方式を使用することをお勧めします。詳細については、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Configuring Multiple Certificate Authentication」を参照してください。

サイト間仮想プライベートネットワーク

サイト間 VPN 接続を介してリモートネットワーク間で送受信されるメッセージの送信を保護する場合、Firewall Threat Defense は IPsec IKEv1 または IPsec IKEv2 を使用できます。

サイト間 VPN には、ポリシーベース（暗号マップ）とルートベース（仮想トンネルインターフェイス（VTI））の 2 種類があります。セキュリティを強化するために、ルートベースの VTI VPN を使用することを推奨します。詳細については、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』を参照してください。

Firewall Threat Defense VPN IKE および IPsec オプションを設定する場合は（[Devices > VPN > Site To Site > Add] をクリックし、[IKE] または [IPsec] タブをクリック）、次の点を推奨します。

• IKEv2 を選択してください。

• 事前共有手動キーには強力なキーを使用してください。

• デフォルトの IKEv2 ポリシーを使用してください。たとえば、AES-GCM-NULL-SHA-LATEST などのポリシーです。

• [セキュリティアソシエーション（SA）の強度適用の有効化（Enable Security Association (SA) Strength Enforcement）] チェックボックスをオンにしてください。

  このオプションを有効にすると、子 IPsec SA で使用される暗号化アルゴリズムが、親 IKE SA よりも強くなることはありません。

• [Perfect Forward Secrecyの有効化（Enable Perfect Forward Secrecy）] オプションをオンにします。

  このオプションは、暗号化された交換ごとに一意のセッションキーを生成して使用します。この一意のセッションキーにより、交換は、後続の復号化から保護されます。このオプションを選択する場合は、[係数グループ（Modulus Group）] ドロップダウンリストから、PFS セッションキーの生成時に使用する Diffie-Hellman キー導出アルゴリズムを選択します。

Firewall Threat Defense VPN IKE の詳細については、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』を参照してください。

これらのサービスを設定するには、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「VPN Overview」を参照してください。

Firewall Management Center は、幅広い暗号化アルゴリズムとハッシュアルゴリズムをサポートしており、Diffie-Hellman グループを選択できます。強固な暗号化はシステムのパフォーマンスを低下させる可能性があるため、効率を損なうことなく十分な保護を提供するセキュリティとパフォーマンスのバランスを見出す必要があります。詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「How Secure Should a VPN Connection Be?」を参照してください。

Firewall Threat Defense は次の 2 種類のユーザーをサポートしています。

• 内部ユーザー：デバイスは、ローカル データベースでユーザー認証を確認します。

• 外部ユーザ：ユーザがローカル データベースに存在しない場合、システムは外部 LDAP または RADIUS の認証サーバに問い合わせます。

ユーザー管理をネットワーク環境の既存のインフラストラクチャと統合したり、二要素認証などの機能を活用したりする目的で、LDAP や RADIUS などの外部認証メカニズムを使用したユーザー アクセスの確立を検討する場合があります。外部認証を確立するには、Firewall Management Center Web インターフェイス内で外部認証オブジェクトを作成する必要があります。外部認証オブジェクトを共有して、Firewall Management Center だけでなく Firewall Threat Defense でも外部ユーザーを認証できます。

外部認証を使用するには、展開用にドメインネームシステム（DNS）を設定する必要があることに注意してください。DNS の強化に関する推奨事項に必ず従ってください「Secure the Domain Name System (DNS)」を参照してください。

ここでのユーザー管理の説明では、バージョン で使用可能な機能を示しています。この項で説明しているすべてのユーザーアカウント設定機能がすべての Firewall Threat Defense バージョンに適用されるわけではありません。ご使用のシステムに固有の詳細については、ご使用のバージョンの Cisco Secure Firewall Threat Defense のドキュメントを参照してください。

Firewall Management Center によって管理される Firewall Threat Defense は、単一のユーザーアクセス手段としてコマンドラインインターフェイスを提供します。物理デバイスの場合は、SSH、シリアル、またはキーボードとモニターの接続を使用してコマンド ライン インターフェイスにアクセスできます。特定の設定を適切に行うことで、これらのユーザーは Linux シェルにもアクセスできます。

システム データとその可用性を保護するため、Firewall Threat Defense の定期的なバックアップを実行してください。バックアップ機能は Firewall Management Center Web インターフェイスの [システム（System）] > [ツール（Tools）] > [バックアップ/復元（Backup/Restore）] に表示されます。この機能については『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Backup Devices Remotely」で説明されています。保存されている Firewall Threat Defense の設定を復元するには、Firewall Threat Defense CLI restore コマンドを使用します。

Firewall Management Center は、リモート デバイスにバックアップを自動的に保存する機能を備えています。強化システムでこの機能を使用することはお勧めできません。Firewall Management Center とリモート ストレージ デバイス間の接続を保護できないためです。

アップグレード後 30 日以内に Threat Defense が攻撃に対して脆弱であることがわかった場合は、アップグレード中に復元スナップショットを保存してあれば復元できます（推奨）。Threat Defense を復元すると、ソフトウェアは、最後のメジャーアップグレードまたはメンテナンスアップグレードの直前の状態に戻ります。パッチ適用後に復元すると、パッチも必然的に削除されます。

復元される設定と復元されない設定、高可用性デバイスおよびクラスター化デバイスを復元するためのガイドライン、追加の要件などの復元の詳細については、Management Center で現在実行されているバージョンのアップグレードガイド『https://cisco.com/go/ftd-fmc-upgrade』を参照してください。

Firewall Threat Defense CLI は、特定のファイルを Firewall Threat Defense からローカル コンピュータにダウンロードする機能を備えています。この機能は、システムのトラブルシューティング時に Cisco TAC に提供する情報を収集できるように提供されているものであり、必要な場合以外は使用しないでください。Firewall Threat Defense からダウンロードするファイルを保護するための予防措置を講じてください。ダウンロード時は使用可能なオプションから最も安全なものを選択し、データの保存場所となるローカル コンピュータを保護してください。また、TAC にファイルを送信する際は使用可能なプロトコルから最も安全なものを使用してください。特に、次のコマンドを使用する場合に起こりうるリスクに注意してください。

• show asp inspect-dp snort queue-exhaustion [snapshot snapshot_id] [export location]

  export オプションでは TFTP のみサポートされています。

• file copy host_name user_id path filename_1 [filename_2 ... filename_n]

  このコマンドは、セキュリティで保護されていない FTP を使用してリモート ホストにファイルを転送します。

• copy [/noverify] /noconfirm {/pcap capture:/[buffer_name] | src_url | running-config | startup-config} dest_url

  src_url および dest_url の次のオプションは、コピーされたデータを保護する方法を提供します。

  • 内部フラッシュ メモリ

  • システム メモリ

  • オプションの外部フラッシュ ドライブ

  • パスワードで保護された HTTPS

  • パスワードで保護された SCP（SCP サーバーでターゲット インターフェイスを指定）

  • パスワードで保護された FTP

  • パスワードで保護された TFTP（TFTP サーバーでターゲット インターフェイスを指定）

  強化システムでは、src_url および dest_url で次のオプションを使用しないことをお勧めします。

  • SMB UNIX サーバーのローカル ファイル システム

  • クラスタ トレース ファイル システム（セキュリティ認定準拠が有効になっているシステムではクラスタはサポートされません）

• cpu profile dump dest_url

  dest_url の次のオプションは、データ ダンプをセキュリティで保護する方法を提供します。

  • 内部フラッシュ メモリ

  • オプションの外部フラッシュ ドライブ

  • パスワードで保護された HTTPS

  • SMB UNIX サーバーのローカル ファイル システム

  • パスワードで保護された SCP（SCP サーバーでターゲット インターフェイスを指定）

  • パスワードで保護された FTP

  • パスワードで保護された TFTP（TFTP サーバーでターゲット インターフェイスを指定）

  強化システムでは、src_url および dest_url のオプションでクラスタ ファイル システムを使用しないことをお勧めします。

• file secure-copy host_name user_id path filename_1 [filename_2 ... filename_n]

  SCP を使用してリモート ホストにファイルをコピーします。

Firewall Threat Defense は、syslog メッセージを外部の syslog サーバに送信できます。syslog 機能を設定する場合は、セキュアなオプションを選択します。

1. [デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で Firewall Threat Defense プラットフォーム設定ポリシーを作成し、目次から [Syslog] を選択します。[Syslog Servers] タブで syslog サーバーを追加するときに、TCP プロトコルを選択し、[Enable secure syslog] チェックボックスをオンにします。これらのオプションは、デバイス設定の別の場所で上書きしなければ、Firewall Threat Defense によって生成される syslog メッセージに適用されます。

   （注）	デフォルトでは、セキュアな syslog が有効になっていると、TCP を使用する syslog サーバーがダウンした場合に Firewall Threat Defense はトラフィックを転送しません。この動作を無効化するには、[Allow user traffic to pass when TCP syslog server is down] チェックボックスをオンにします。

2. プラットフォーム設定ポリシーからロギング設定を継承するように、アクセス コントロール ポリシーのロギングを設定します[ポリシー（Policies）] > [アクセス制御（Access Control）] <each policy> > [Logging] を選択し、[Use the syslog settings configured in the FTD Platform Settings policy deployed on the device] チェックボックスをオンにします。

これら 2 つの設定を適用すると、Firewall Threat Defense の syslog は次のように動作します。

• プラットフォーム設定ポリシーの syslog 設定は、デバイスとシステムのヘルスに関連する syslog メッセージ、およびネットワーク設定に関連する syslog メッセージに適用されます。

• 『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Configuration Locations for Syslogs for Configuration and Security Intelligence Events (All Devices)」に一覧表示されているいずれかの場所で、アクセス コントロール ポリシーの設定をオーバーライドしない限り、プラットフォーム設定の syslog 設定は、接続イベントとセキュリティ インテリジェンス イベントの syslog に適用されます。これらのオーバーライドではセキュアな syslog オプションは提供されないため、セキュアな環境での使用はお勧めできません。

• 『』、『』、『Cisco Secure Firewall Management Center Administration Guide, 7.2』の「Configuration Locations for Syslogs for Intrusion Events」に一覧表示されているいずれかの場所で、アクセス コントロール ポリシーの設定をオーバーライドしない限り、プラットフォーム設定ポリシーの syslog 設定は、侵入イベントの syslog に適用されます。これらのオーバーライドではセキュアな syslog オプションは提供されないため、セキュアな環境での使用はお勧めできません。

ユーザが CLI にログインするときにユーザに必要な情報を伝えるように、Firewall Threat Defense デバイスを設定できます。セキュリティの観点から、ログイン バナーでは不正アクセスを防止する必要があります。次の例のようなテキストを考慮してください。

• 安全なデバイスにログインしました。このデバイスにアクセスする権限を持っていない場合は、すぐにログアウトしないと犯罪と認識されるおそれがあります。

Firewall Threat Defense デバイスのログイン バナーを設定するには、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] で Firewall Threat Defense プラットフォーム設定ポリシー作成し、目次から [バナー（Banner）] を選択します。詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Configure Banners」を参照してください。

ID ポリシーは、アイデンティティソースを使用してネットワークユーザーを認証し、ユーザーを認識し、制御する目的でユーザーデータを収集します。ユーザ アイデンティティ ソースを確立するには、 Firewall Management Center または管理対象デバイスと、次のいずれかのタイプのサーバとの間の接続が必要です。

• Microsoft Active Directory

• Linux OpenLDAP

• RADIUS

重要	LDAP、Microsoft AD、または RADIUS サーバーへのセキュアな接続を Firewall Threat Defense から設定できますが、認証モジュールは FIPS に準拠していません。

（注）	外部認証に LDAP または Microsoft AD を使用する場合は、「外部ユーザ アカウントの強化」の情報を確認してください。

（注）	Firewall Threat Defense は、これらの各サーバーを使用して、ユーザーアイデンティティ機能の候補のさまざまな組み合わせをサポートします。『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「About User Identity Sources」を参照してください。

Active Directory サーバーおよび LDAP サーバーとの接続の保護

「レルム」と呼ばれるオブジェクトは、Active Directory（AD）または LDAP サーバー上のドメインに関連付けられている接続設定を記述するものです。レルム設定の詳細については、『』、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Create and Manage Realms」を参照してください。

Firewall Management Center Web インターフェイスの [システム（System）] > [統合（Integration）] > [レルム（Realms）] でレルムを作成する場合は、AD サーバーまたは LDAP サーバーとの接続を保護するため、次の点に注意してください。

Active Directory サーバーに関連付けられるレルムの場合：

• [AD 参加パスワード（AD Join Password）] と [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• Active Directory レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • Active Directory ドメイン コントローラへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

LDAP サーバーに関連付けられるレルムの場合：

• [ディレクトリ パスワード（Directory Password）] で強力なパスワードを選択します。

• LDAP レルムにディレクトリを追加する際に次のようにします。

  • [暗号化（Encryption）] モードとして [STARTTLS] または [LDAPS] を選択します（[なし（None）] は選択しないでください）。

  • LDAP サーバーへの認証に使用する [SSL 証明書（SSL Certificate）] を指定します。世界的に知られていて信頼できる認証局が生成した証明書を使用することをお勧めします。

RADIUS サーバーとの接続の保護

RADIUS サーバとの接続を設定するには、Firewall Management Center Web インターフェイスの [オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [RADIUS サーバ グループ（RADIUS Server Group）] で RADIUS サーバ グループ オブジェクトを作成し、そのグループに RADIUS サーバを追加します。RADIUS サーバとの接続を保護するには、[新しい RADIUS サーバ（New RADIUS Server）] ダイアログで次のオプションを選択します。

• 管理対象デバイスと RADIUS サーバ間でデータを暗号化するための [キー（Key）] と [キーの確認（Confirm Key）] を指定します。

• セキュアなデータ送信をサポートできる接続用のインターフェイスを指定します。

（注）	Firewall Threat Defense は、リモートアクセス VPN（ユーザー アイデンティティソースとして使用される）を提供するように展開内の管理対象 Firewall Threat Defense デバイスが設定されている場合にのみ、ユーザーアイデンティティのために RADIUS サーバーと接続します。リモート アクセス VPN の設定と保護の詳細については、「ネットワーク プロトコル設定の強化」を参照してください。

Enrollment over Secure Transport（EST）を使用した証明書登録の設定

安全なチャネルを介した Threat Defense の証明書登録を設定できます。Enrollment over Secure Transport（EST）は、CA から ID 証明書を取得するためにデバイスによって使用されます。EST は、セキュアなメッセージ転送に TLS を使用します。

EST の設定方法：

1. [Objects > Object Management > PKI > Cert Enrollment] を選択します。

2. [Add Cert Enrollment] をクリックし、[CA Information] タブをクリックします。

3. [登録タイプ（Enrollment Type）] ドロップダウンリストから、[EST] を選択します。

Threat Defense に EST サーバー証明書を検証させたくない場合は、[ESTサーバー証明書の検証を無視する（Ignore EST Server Certificate Validations）] チェックボックスをオンにしないことをお勧めします。デフォルトでは、Threat Defense は EST サーバー証明書を検証します。EST 登録タイプは、RSA キーと ECDSA キーのみをサポートし、EdDSA キーをサポートしません。詳細については、『』、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Certificate Enrollment Object EST Options」を参照してください。

Management Center と Threat Defense のバージョン 7.0 以降では、RSA キーサイズが 2048 ビット未満の証明書と、SHA-1 を使用するキーは登録できません。7.0 より前のバージョンを実行している Threat Defense を管理する Management Center 7.0 で該当する制限をオーバーライドするには、[Weak-Cryptoの有効化（Enable Weak-Crypto）] オプションを使用できます（[デバイス（Devices）] > [証明書（Certificates）]）。 デフォルトでは、Weak-Crypto オプションは無効になっています。weak-crypto キーを有効にすることは推奨しません。weak-crypto キーは、キーサイズが大きいキーほど安全ではないためです。Firewall Management Center および Firewall Threat Defense バージョン 7.0 以降では、weak-cryptoを有効にして、ピア証明書の検証などを可能にすることができます。ただし、この設定は証明書の登録には適用されません。

証明書の検証の設定

特定の CA 証明書を使用して SSL や IPSec クライアントを検証したり、CA 証明書を使用して SSL サーバーからの接続を検証したりできます。検証使用法の種類を設定する方法：

1. [Objects > Object Management > PKI > Cert Enrollment] を選択します。

2. [Add Cert Enrollment] をクリックし、[CA Information] タブをクリックします。

3. [検証用法（Validation Usage）] ：VPN 接続中に証明書を検証するオプションから選択します。

   • [IPsecクライアント（IPsec Client）]：サイト間 VPN 接続の IPSec クライアント証明書を検証します。

   • [SSLクライアント（SSL Client）]：リモートアクセス VPN 接続の試行中に SSL クライアント証明書を検証します。

   • [SSLサーバー（SSL Server）]：Cisco Umbrella サーバー証明書など、SSL サーバー証明書を検証する場合に選択します。

Threat Defence デバイスは、アクセスルールで使用されるネットワークオブジェクトまたはインターフェイス オブジェクトの内容に基づいて、アクセス制御ルールを複数のアクセス制御リストのエントリに展開します。オブジェクトグループ検索を有効にすることで、アクセス制御ルールの検索に必要なメモリを抑えることができます（[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [詳細設定（Advanced Settings）]）。オブジェクトグループ検索を有効にした場合、システムによってネットワークオブジェクトまたはインターフェイスオブジェクトは拡張されませんが、オブジェクトグループの定義に基づいて一致するアクセスルールが検索されます。

オブジェクトグループ検索では、ルールルックアップのパフォーマンスが低下して、CPU 使用率が増大する可能性があることに注意してください。CPU に対する影響と、特定のアクセス コントロール ポリシーに関するメモリ要件の軽減とのバランスをとる必要があります。1000 シリーズ、2110、2120 などのローエンドの Firepower デバイスでは、CPU 使用率の増大によりデバイスが遅くなります。ほとんどの場合、オブジェクトグループ検索を有効にすると、ネット運用が改善されます。デフォルトでは、オブジェクトグループ検索の設定が有効になっています。

オブジェクトグループの検索を有効にしてから、デバイスを設定し、しばらくの間操作した場合、この機能を無効にすると、望ましくない結果になる可能性があります。オブジェクトグループの検索を無効にすると、既存のアクセス制御ルールがデバイスの実行コンフィギュレーションで拡張されます。デバイスで使用可能なメモリよりも多くのメモリが拡張に必要な場合、デバイスが不整合状態になり、パフォーマンスに影響する可能性があります。デバイスが正常に動作している場合は、一度有効にしたオブジェクトグループ検索を無効にしないでください。詳細については、『Cisco Secure Firewall Management Center Device Configuration Guide, 7.2』の「Configure Object Group Search」を参照してください。

Firewall Threat Defense ソフトウェアは、基盤となる複雑なファームウェアとオペレーティング システム ソフトウェアに依存しています。これらの基盤となるソフトウェア コンポーネントには独自のセキュリティ リスクが潜んでおり、対処する必要があります。

• セキュリティ上の問題を考慮した、ネットワークの運用セキュリティ プロセスを確立してください。

• Firewall Threat Defense モデル 2100、4100、および 9300 デバイスでは、Firewall Threat Defense を実行する Firepower Extensible Operating System を保護してください。『CiscoFirepower 4100/9300 FXOS Hardening Guide』を参照してください。