Cisco Firepower Management Center モデ ル 1000、2500、および 4500 クイック ス タート ガイド
Firepower Management Center への接続
Firepower Management Center の初期設定
管理インターフェイスを使用した Firepower Management Center の設定
キーボードおよびモニタを使用した Firepower Management Center の設定
Firepower Management Center の初期設定ページ
コンソール出力をリダイレクトする Web インターフェイスの使用
工場出荷時の初期状態への Firepower Management Center の復元
KVM または物理シリアル ポートを使用する復元ユーティリティの起動
Lights-Out Management を使用した復元ユーティリティの開始
ISO および更新ファイルのダウンロードとイメージのマウント
Firepower Management Center の事前設定
Firepower からのライセンスの削除 Management Center
このセクションでは、各モデルに含まれる品目を示します。この内容は変更される場合があるため、実際に含まれているアイテムは多かったり、少なかったりする場合があることにご注意ください。
図 1 Firepower Management Center 1000 のシャーシおよび管理インターフェイス
図 2 Firepower Management Center 2500 および Firepower Management Center 4500
次の一覧と図は、CiscoFirepower Management Center モデル 1000、2500、および 4500 のパッケージの内容を示しています。この内容は変更される場合があるため、実際に含まれているアイテムは多かったり、少なかったりする場合があることにご注意ください。
1. CiscoFirepower Management Center シャーシ
2. RJ45 to DP9-RS232 コンソール ケーブル(Cisco製品番号 72-3383-XX)
3. RJ45 to RJ45 Cat 5 イーサネット ケーブル、黄色、長さ 6 フィート(Cisco製品番号 72-1482-XX)
4. Cisco1RU レール キット(Cisco製品番号 800-43376-XX)
図 3 CiscoFirepower Management Center モデル 1000、2500、および 4500 のパッケージの内容
組織に対して Firepower System の最適な展開を実現するために、さまざまな機能についてライセンスを取得することができます。Firepower Management Center を使用して、それ自身と管理対象デバイスのライセンスを管理できます。Firepower System で提供されるライセンス タイプは、管理するデバイスのタイプによって異なります。
7000 および 8000 シリーズ、ASA FirePOWER、および NGIPSv の各デバイスの場合は、クラシック ライセンスを使用する必要があります。クラシック ライセンスを使用するデバイスは、クラシック デバイスと呼ばれることもあります。
Ciscoでは、初期設定ページを使用して、組織で購入したライセンスを追加することを推奨しています。ライセンス設定を参照してください。ライセンスをここで追加しない場合は、初期設定プロセスが終了するまで管理対象デバイスのライセンスを追加する必要があります。初期設定プロセス中またはその後にライセンスを追加するかどうかで、Firepower Management Center にこれらを登録するとき、または Firepower Management Center にこれらを登録した後に、管理対象デバイスにライセンスを割り当てることができます。再イメージ化されたアプライアンスを設定しており、復元プロセスの一部としてライセンス設定を維持している場合は、このセクションが事前生成されていることがあることに注意してください。
Firepower Threat Defense の物理デバイスとバーチャル デバイスの場合、スマート ライセンスを使用する必要があります。
Cisco Smart Licensing により、ライセンスの購入やライセンスのプールの一元管理が行えます。製品認証キー(PAK)ライセンスとは異なり、スマート ライセンスは特定のシリアル番号またはライセンス キーに関連付けられません。Smart Licensing を利用すれば、ライセンスの使用状況やニーズをひと目で確認することもできます。
クラシック ライセンスおよびスマート ライセンス、各クラスのライセンス タイプに関する情報、および展開全体でライセンスを管理する方法については、『 Firepower Management Center Configuration Guide 』を参照してください。
アプライアンスを設置するときには、初期設定のためにアプライアンスのコンソールにアクセスできることを確認してください。KVM でキーボードとモニタを使用するか、または管理インターフェイスへのイーサネット接続を使用して、初期設定のためにコンソールにアクセスできます。
(注) 管理インターフェイスは、デフォルト IPv4 アドレスで事前に設定されています。ただし、設定プロセスの一部として、管理インターフェイスを IPv6 アドレスで再設定できます。
アプライアンスに USB キーボードと VGA モニタを接続できます。これはキーボード、ビデオ、マウスの(KVM)スイッチに接続しているラックマウント型アプライアンスで便利です。
Firepower Management Center を展開して設置したら、その新しいアプライアンスが信頼できる管理ネットワーク上で通信できるように設定プロセスを完了する必要があります。また、管理者パスワードを変更し、エンドユーザ ライセンス契約書(EULA)に同意する必要もあります。
設定プロセスを使用すると、時間の設定および更新のスケジューリングなどのさまざまな管理レベル タスクを実行することもできます。設定と登録中に選択されたオプションによって、システムで作成され、管理対象デバイスに適用されるデフォルト インターフェイス、インライン セット、ゾーン、およびポリシーが決定されます。
設定を開始する前に、次の要件を満たしているかどうかを確認してください。
新しいアプライアンスを設定するには、キーボードとモニタ/KVM(キーボード、ビデオ、およびマウス)またはアプライアンスの管理インターフェイスへの直接イーサネット接続を使用して接続する必要があります。初期設定後は、アプライアンスをシリアル アクセス用に設定できます。詳細については、 Cisco Firepower Management Center 1000, 2500, and 4500 Hardware Installation Guide を参照してください。
少なくとも、アプライアンスが管理ネットワーク上で通信できるようにするために必要な情報(IPv4 または IPv6 管理 IP アドレス、ネットマスクまたはプレフィックス長、およびデフォルト ゲートウェイ)は入手しておきます。
アプライアンスの展開方法がわかっている場合は、設定プロセスがライセンス認証を含むさまざまな初期管理レベル タスクを実行する良い機会になります。
設定が完了したら、Firepower Management Center Web インターフェイスを使用して、展開用のほとんどの管理タスクと分析タスクを実行します。詳細については、次の手順を参照してください。
(注) 工場出荷時設定に復元(工場出荷時の初期状態への Firepower Management Center の復元を参照)後にアプライアンスを設定しており、アプライアンスのライセンスとネットワーク設定を削除していない場合は、管理ネットワーク上のコンピュータを使用して、アプライアンスの Web インターフェイスを直接閲覧しながら、設定を実行できます。Firepower Management Center の初期設定ページにスキップします。
次の図に、Firepower Management Center の設定時に選択可能な設定を示します。
1. 取り付けキットと付属の手順を使用して、アプライアンスをラックに取り付けます。
2. 電源コードをアプライアンスに接続し、電源に差し込みます。
アプライアンスに冗長電源がある場合は、電源コードを両方の電源に接続し、別々の電源に差し込みます。
1. 付属のイーサネット ケーブルを使用して、事前設定したコンピュータ上のネットワーク インターフェイスをアプライアンス上の管理インターフェイスに直接接続します。
リンク LED がローカル コンピュータ上のネットワーク インターフェイスおよびアプライアンス上の管理インターフェイスの両方にあることを確認します。
2. アプライアンスのデフォルトの IP アドレスに移動するには、Web ブラウザを使用します。
3. ユーザ名として admin
を、パスワードとして Admin123
を使用してログインします。
1. 付属のイーサネット ケーブルを使用して、アプライアンス背面の管理インターフェイスを保護された管理ネットワークに接続します。
2. モニタを VGA ポートに、キーボードを USB ポートの 1 つに接続します。
3. ユーザ名に admin
を、パスワードに Admin123
を使用してコマンドライン インターフェイスにログインします。パスワードでは、大文字と小文字が区別されることに注意してください。
5. アプライアンスに IPv4 および IPv6(オプション)の設定情報を提供するためにプロンプトに応答します。
設定が正しい場合は、y を入力して Enter を押し、設定を承認して続行します。
設定が間違っている場合は、n を入力して Enter を押します。情報を再度入力するように求められます。
すべての Firepower Management Center に対して、Firepower Management Center の Web インターフェイスにログインして、設定ページで初期設定オプションを指定することによって、設定プロセスを完了する必要があります。管理者のパスワード変更と、ネットワーク設定の指定をまだ行っていない場合はこれらの 2 つを実行し、EULA に同意する必要があります。
1. ブラウザで https://
mgmt_ip /
にアクセスします。ここで、 mgmt_ip は Firepower Management Center の管理インターフェイスの IP アドレスです。
–イーサネット ケーブルを使用してコンピュータに接続された Firepower Management Center の場合は、そのコンピュータ上のブラウザでデフォルトの管理インターフェイスの IPv4 アドレス( https://192.168.45.45/
)にアクセスします。
–ネットワーク設定がすでに構成されている Firepower Management Center の場合は、管理ネットワーク上のコンピュータを使用して、Firepower Management Center の管理インターフェイスの IP アドレスを閲覧します。
2. ユーザ名として admin
を、パスワードとして Admin123
を使用してログインします。
–時刻設定
3. 完了したら、[適用(Apply)] をクリックします。
Firepower Management Center は、選択の内容に従って設定を適用してサマリ ダッシュボード ページを表示し、 admin
ユーザ(管理者ロールがあります)として Web インターフェイスにログインします。
(注) イーサネット ケーブルを使用してデバイスに直接接続している場合は、コンピュータの接続を切断して、Firepower Management Center の管理インターフェイスを管理ネットワークに接続します。管理ネットワーク上のコンピュータのブラウザを使用して、先ほど設定した IP アドレスまたはホスト名で Firepower Management Center にアクセスし、このガイドの残りの手順を完了します。
4. タスクのステータスをモニタすることによって、初期設定が成功したことを確認します。
–バージョンが 6.0 より前の場合、[タスクのステータス(Task Status)]ページ([システム(System)] > [モニタリング(Monitoring)] > [タスクのステータス(Task Status)])を使用します。
–バージョンが 6.0 以降の場合、システム ステータスのアイコンをクリックして、メッセージ センターのタスク タブを表示します。
Firepower Management Center を使用する準備が整いました。展開の設定方法については、『 Firepower Management Center Configuration Guide』 を参照してください。
admin
アカウントのパスワードを変更する必要があります。Web インターフェイスの admin
アカウントには管理者権限があり、アカウントを削除することはできません。
Ciscoでは、大文字と小文字が混在する 8 文字以上の英数字で、1 つ以上の数字を含む強力なパスワードを使用することを推奨しています。辞書に掲載されている単語の使用は避けてください。
(注) シェルによる Firepower Management Center へのアクセスと Web インターフェイスによる Firepower Management Center へのアクセスのための admin
アカウントは同じではないため、異なるパスワードを使用できます。
Firepower Management Center のネットワーク設定によって、管理ネットワーク上で通信できるようになります。ネットワーク設定が完了している場合、このページのこのセクションは事前設定されていることがあります。
Firepower システム は、IPv4 と IPv6 の両方の管理環境にデュアル スタック実装を提供します。管理ネットワーク プロトコル([IPv4]、[IPv6] 、または[両方(Both)])を指定する必要があります。選択した内容に応じて、設定のページにはさまざまなフィールドが表示されます。ここで IPv4 または IPv6 の管理 IP アドレス、ネットマスクまたはプレフィックスの長さ、およびデフォルトのゲートウェイを設定する必要があります。
Firepower Management Center の時刻は、手動で設定することも、ネットワーク タイム プロトコル(NTP)サーバから NTP 経由で設定することもできます。
また、 admin
アカウント用のローカル Web インターフェイスで使用されるタイム ゾーンを指定することもできます。現在のタイム ゾーンをクリックして、ポップアップ ウィンドウを使用してそれを変更します。
新しい脆弱性が発見されると、脆弱性調査チーム(VRT)は侵入ルールの更新をリリースします。ルールの更新では、新規および更新された侵入ルールおよびプリプロセッサ ルール、既存のルールの変更されたステータス、変更されたデフォルト侵入ポリシーの設定が提供されます。ルールの更新では、ルールを削除して、新しいルール カテゴリおよびシステム変数を提供する場合もあります。
展開で侵入検知および防御を実行するよう計画している場合、Ciscoでは、[サポート サイトからのルール更新の定期インポートを有効にする(Enable Recurring Rule Update Imports from the Support Site)] を選択することを推奨しています。
それぞれのルール更新の後で、システムが侵入についての [ポリシーの再適用(Policy Reapply)]を実行するよう設定するだけでなく、[インポートの頻度(Import Frequency)]も指定することができます。初期設定プロセスの一部としてルールの更新を実行するには、[今すぐインストールする(Install Now)]を選択します。
ルールの更新には、新しいバイナリが含まれている場合があります。ルール更新のダウンロードおよびインストールのプロセスが、セキュリティ ポリシーに適合していることを確認します。また、ルールの更新はサイズが大きくなることがあるため、ルールのインポートはネットワークの使用量が少ないときに行うようにしてください。
ほとんどの Firepower Management Center を使用して、ダッシュボードおよび Context Explorer の地理情報統計を監視するだけでなく、システムで生成されたイベントに関連付けられているルーテッド IP アドレスの地理情報を表示することができます。
Firepower Management Center の地理情報データベース(GeoDB)には、IP アドレスに関連するインターネット サービス プロバイダ(ISP)、接続タイプ、プロキシ情報、正確な位置情報などの情報が含まれています。定期的な GeoDB の更新を有効にすることで、システムが常に最新の地理情報を使用するようにすることができます。展開で地理情報システムに関連する分析の実行を計画する場合、Ciscoは [サポート サイトからの定期的な週次更新を有効にする(Enable Recurring Weekly Updates from the Support Site)] を選択することを推奨しています。
GeoDB について、週次の更新頻度を指定できます。ポップアップ ウィンドウを使用してタイム ゾーンを変更するには、そのタイム ゾーンをクリックします。初期設定プロセスの一部としてデータベースをダウンロードするには、[今すぐインストールする(Install Now)]を選択します。
GeoDB の更新はサイズが大きくなることがあるため、ダウンロードの後のインストールに最大で 45 分かかることがあります。GeoDB は、ネットワークの使用量が少ないときに更新してください。
Firepower Management Center には、障害時に設定を復元できるように、データをアーカイブするためのしくみが用意されています。初期設定の一部として、 自動バックアップを有効にする ことができます。
この設定を有効にすると、スケジュールされたタスクが作成され、このタスクによって Firepower Management Center の設定のバックアップが週次に作成されます。
Firepower Management Center を使用して、それ自身と管理対象デバイスのライセンスを管理できます。Firepower System で提供されるライセンス タイプは、管理するデバイスのタイプによって異なります。
クラシック ライセンスを Firepower Management Center に追加する前に、ライセンスの購入時にシスコから PAK が提供されていることを確認してください。レガシーの、以前のシスコのライセンスの場合は、サポートに問い合わせてください。
(注) ライセンス付与された機能を使用する前に管理対象デバイスのクラシック ライセンスを有効にする必要があります。Firepower Management Center の初期設定中、Firepower Management Center にデバイスを追加するとき、またはデバイスの追加後デバイスの一般的なプロパティを編集するときに、ライセンスを有効にすることができます。
1. 初期設定ページの [ライセンス設定(License Settings)] セクションからの初期設定中にシャーシのライセンス キーを取得します。
ライセンス キーは明確にラベル付けされます。たとえば 66:18:E7:6E:D9:93:35 です。
(注) [システム(System)] > [ライセンス(Licenses)] > [クラシック ライセンス(Classic Licenses)]ページから [ライセンスの新規追加(Add New License)] ボタンをクリックするときに、いつでも Firepower Management Center でライセンス キーを検索できます。
2. ライセンスを取得するには https://www.cisco.com/go/license/ に移動します。そこで、ライセンス キー(66:18:E7:6E:D9:93:35)と製品認証キー(PAK)の入力が求められます。
(注) 追加のライセンスを発注したら、そのライセンスに対してカンマで区切った PAK を同時に入力することができます。
3. 画面の指示に従ってライセンスを生成します。ライセンスは電子メールで送信されます。
4. 検証ボックスのライセンスを貼り付けて、[追加/確認(Add/Verify)]をクリックします。
(注) Cisco Smart Licensing を使用するデバイスがある場合、[システム(System)] > [ライセンス(Licenses)] > [スマート ライセンス(Smart Licenses)]ページを使用してライセンスを追加および確認することができます。Firepower Management Center にスマート ライセンスを追加する方法の詳細については、そのデバイスの製品マニュアルを参照してください。『Firepower Management Center Configuration Guide』は、クラシック ライセンスおよびスマート ライセンス、各クラスのライセンス タイプ、および展開全体でのライセンスの管理方法についての情報を提供します。
EULA をよく読んで、規定に従う場合はチェックボックスをオンにします。指定した情報がすべて正しいことを確認して、[適用(Apply)]をクリックします。
Firepower Management Center は設定を適用して、[サマリ ダッシュボード(Summary Dashboard)] ページを表示します。管理者ロールを持つ admin
ユーザとして Web インターフェイスにログインします。Firepower Management Center の初期設定を完了するには、Firepower Management Center の初期設定ページの手順 3. に進みます。
アプライアンスの初期設定プロセスが完了し、正常に終了したことが確認できたら、Ciscoでは、展開での管理を容易にするためのさまざまな管理タスクを完了することを推奨しています。また、ライセンスの取得など、初期設定で省略したタスクも完了する必要があります。以降のセクションで説明するタスクの詳細について、および展開の設定を始める方法については、『 Firepower Management Center Configuration Guide 』を参照してください。
初期設定が完了した時点で、システム上の唯一の Web インターフェイスのユーザは、管理者ロールとアクセス権を持つ admin
ユーザです。その役割を持つユーザはシステムへのすべてのメニューと設定にアクセスできます。セキュリティおよび監査上の理由から、Ciscoでは、 admin
アカウント(および Administrator ロール)の使用を制限することを推奨しています。
(注) シェルによる Firepower Management Center へのアクセスと Web インターフェイスによる Firepower Management Center へのアクセスのための admin
アカウントは同じではないため、異なるパスワードを使用できます。
システムを使用する各ユーザに対して個別のアカウントを作成すると、各ユーザによって行われたアクションと変更を組織で監査できるほか、各ユーザに関連付けられたユーザ アクセス ロールを制限することができます。これは、ほとんどの設定および分析タスクを実行するFirepower Management Center で特に重要です。たとえば、アナリストはネットワークのセキュリティを分析するためにイベント データにアクセスする必要がありますが、展開の管理機能にアクセスする必要はありません。
システムには、Web インターフェイスを使用してさまざまな管理者およびアナリスト用に設計された 10 個の事前定義のユーザ ロールが用意されています。また、特別なアクセス権限を持つカスタム ユーザ ロールを作成することもできます。
Firepower Management Center は、現在 Firepower システムでサポートされているすべてのデバイス(物理または仮想)を管理できます。
Firepower Management Center に管理対象デバイスを登録するには、『 Firepower Management Center Configuration Guide 』のデバイスの管理情報を参照してください。
デフォルトでは、すべてのアプライアンスにシステムの初期ポリシーが適用されます。システム ポリシーは、メール リレー ホストのプリファレンスや時間同期の設定など、展開内の複数のアプライアンスで共通している可能性が高い設定を管理します。Ciscoでは、Firepower Management Center を使用して、それ自身およびその管理対象デバイスすべてに同じシステム ポリシーを適用することを推奨しています。
デフォルトで、Firepower Management Center にはヘルス ポリシーも適用されます。ヘルス ポリシーは、ヘルス モニタリング機能の一部として、システムが展開環境内でアプライアンスのパフォーマンスを継続して監視するための基準を提供します。Ciscoでは、Firepower Management Center を使用して、その管理対象デバイスすべてにヘルス ポリシーを適用することを推奨しています。
展開を開始する前に、アプライアンス上でシステム ソフトウェアを更新する必要があります。Ciscoでは、展開環境内のすべてのアプライアンスがFirepower システム の最新のバージョンを実行することを推奨しています。展開環境でこれらのアプライアンスを使用する場合は、最新の侵入ルール更新、VDB、および GeoDB もインストールする必要があります。
デフォルトで、Firepower Management Center は、初期化ステータスまたは init メッセージを VGA ポートに出力します。物理シリアル ポートまたは SOL を使用してコンソールにアクセスする必要がある場合、初期セットアップの完了後にコンソール出力をシリアル ポートにリダイレクトすることを Ciscoでは推奨しています。
1. キーボード/モニタまたはシリアル接続を使用し、 admin
アカウントを使用したアプライアンスのシェルにログインします。
2. プロンプトで、以下のコマンドのいずれかを入力して、コンソール出力を設定してください。
–コンソール メッセージを物理シリアル ポートに転送するには:
–コンソール メッセージを SOL に転送するには(LOM 使用時):
1. [管理(Administration)] > [設定(Configuration)]を選択します。
2. [コンソールの設定(Console Configuration)]を選択します。
3. リモート コンソール アクセスのオプションを選択します。
–アプライアンスの VGA ポートを使用するには、[VGA]を選択します。これがデフォルトのオプションです。
–アプライアンスのシリアル ポートを使用するか、または LOM/SOL を使用する場合には、[物理シリアルポート(Physical Serial Port)]を選択します。
[物理シリアルポート(Physical Serial Port)]を選択した場合は、LOM の設定が表示されます。
4. SOL 経由で LOM を設定するには、次の該当する設定値を入力します。
–アプライアンスのDHCP 設定([DHCP] または [スタティック(Static)])
–LOM に使用する [IPアドレス(IP Address)]。LOM IP アドレスは、アプライアンスの管理インターフェイスの IP アドレスとは異なる必要があります。
–アプライアンスの[デフォルトゲートウェイ(Default Gateway)]
アプライアンスのリモート コンソール構成が保存されます。Lights-Out 管理を構成した場合は、少なくとも 1 人のユーザに対してそれを有効にする必要があります。LOM および LOM ユーザの有効化を参照してください。
Ciscoのサポート サイトで、Firepower Management Center の工場出荷時設定の復元と再イメージ化のための ISO イメージを提供しています。
Ciscoは、復元プロセスを開始する前に、アプライアンスに存在するバックアップ ファイルをすべて削除または移動してから、最新のイベントおよび設定データを外部ロケーションにバックアップすることを推奨します。
アプライアンスの工場出荷時設定を復元すると、アプライアンスのほぼ すべての 設定とイベント データが失われます。復元ユーティリティはアプライアンスのライセンス、ネットワーク、コンソール、Lights-Out Management(LOM)の設定を保持できますが、復元プロセス完了後にその他のすべての設定タスクを実行する必要があります。
ネットワークのトラフィック フローが中断されないようにするため、Ciscoは、アプライアンスの復元を、保守期間中または中断により展開環境に及ぶ影響が最も少ない時間帯に行うことを推奨します。
Firepower Management Center を復元するには、アプライアンスの内部フラッシュ ドライブから起動し、対話型メニューを使用して ISO イメージをアプライアンスにダウンロードしてインストールします。便宜上、復元プロセスの一環としてシステム ソフトウェアと侵入ルールの更新をインストールできます。
メンテナンス ウィンドウの間でのみアプライアンスを再イメージ化します。
Web インターフェイスを使用してアプライアンスを復元することは できない ことに注意してください。アプライアンスを復元するには、次のいずれかの方法でアプライアンスに接続する必要があります。
アプライアンスに USB キーボードと VGA モニタを接続できます。これは、KVM(キーボード、ビデオ、マウス)スイッチに接続しているラックマウント型アプライアンスで便利です。リモート アクセス可能な KVM がある場合、物理的にアクセスできない状態でもアプライアンスを復元できます。
アプライアンスにコンピュータを接続するためにアプライアンス(Cisco製品番号 72-3383-XX)によって提供される RJ45 to DP9-RS232 コンソール ケーブルを使用できます。シリアル ポートの場所は、アプライアンスのハードウェア仕様を参照してください。アプライアンスと通信するには、HyperTerminal や Xmodem などの端末エミュレーション ソフトウェアを使用します。
Serial over LAN を使用した Lights-Out Management
Serial over LAN(SOL)接続による Lights-Out Management(LOM)を使用して、限定されたアクションのセットをFirepower Management Center 上で実行できます。アプライアンスに物理的にアクセスできない場合は、LOM を使用して復元プロセスを実行できます。LOM を使用してアプライアンスに接続した後で、物理シリアル接続を使用する場合と同様の方法で、復元ユーティリティに対してコマンドを発行します。Lights-Out Management は、デフォルト( eth0
)の管理インターフェイスでのみ使用できることに注意してください。詳細については、Lights-Out Management の設定を参照してください。
(注) Lights-Out Management を使用して Firepower Management Center を復元するには、admin
ユーザに LOM 権限を付与する必要があります。
Firepower Management Center を復元するには:
3. アプライアンスを再起動して、復元ユーティリティを起動します。
Ciscoは、アプライアンスを元の工場出荷時設定に復元するための ISO イメージを提供しています。アプライアンスを復元する前に、サポート サイトから正しい ISO イメージを取得してください。
アプライアンスを復元するために使用する ISO イメージは、そのアプライアンス モデルに対してCiscoがサポートを提供する時点によって異なります。新しいアプライアンス モデルに対応するためにマイナー バージョンで ISO イメージがリリースされる場合を除き、ISO イメージは通常、システム ソフトウェアのメジャー バージョン(6.1、6.2 など)に関連付けられています。互換性のないバージョンのシステムをインストールしないようにするため、Ciscoでは、アプライアンスの最新 ISO イメージを常に使用することを推奨しています。
Firepower Management Center は、内部フラッシュ ドライブを使用してアプライアンスを起動するため、復元ユーティリティを実行できます。
Ciscoはまた、アプライアンスでサポートされる最新バージョンのシステム ソフトウェアを常に実行することを推奨します。アプライアンスをサポートされる最新メジャー バージョンに復元した後で、システム ソフトウェア、侵入ルール、脆弱性データベース(VDB)を更新する必要があります。詳細については、適用する更新のリリース ノートと『 Firepower Management Center Configuration Guide 』を参照してください。
便宜上、復元プロセスの一環としてシステム ソフトウェアと侵入ルールの更新をインストールできます。たとえば、デバイスをバージョン 6.2 に復元してから、この復元プロセスの一部としてさらにバージョン 6.2.0.1 に更新できます。ルール更新は Firepower Management Center だけで必要であることに注意してください。
1. サポート アカウントのユーザ名とパスワードを使用して、サポート サイト( https://sso.cisco.com/autho/forms/CDClogin.html )にログインします。
2. ソフトウェア ダウンロード セクション( https://software.cisco.com/download/navigator.html )を参照します。
3. 表示されるページの [検索(Find)]エリアに、ダウンロードしてインストールするシステム ソフトウェアの検索文字列を入力します。
たとえば、Firepowerのソフトウェア ダウンロードを検索するには、 Firepower と入力します。
4. ダウンロードするイメージ(ISO イメージ)を見つけます。
ページの左側にあるリンクの 1 つをクリックして、ページの該当するセクションを表示します。たとえば、Firepower システムバージョン 6.2.0 のイメージとリリース ノートを表示するには、[6.2.0. イメージ(6.2.0 Images)] をクリックします。
6. 管理ネットワーク上でアプライアンスがアクセスできる HTTP(Web)サーバ、FTP サーバ、または SCP 対応ホストにファイルをコピーします。
内部フラッシュ ドライブからアプライアンスを起動して、復元プロセスを開始します。
アプライアンスへのアクセスと接続のレベルが適切であり、ISO イメージが正しいことを確認したら、次のいずれかの手順でアプライアンスを復元します。
Firepower Management Center では、Ciscoは内部フラッシュ ドライブに復元ユーティリティを組み込んで提供しています。
アプライアンスを工場出荷時設定に復元する必要があるが、物理的にアクセスできない場合は、LOM を使用して復元プロセスを実行できます。Lights-Out Management を使用した復元ユーティリティの開始を参照してください。
1. キーボード/モニタまたはシリアル接続を使用し、 admin
アカウントを使用したアプライアンスのシェルにログインします。
2. アプライアンスを再起動します。 sudo reboot
と入力します。プロンプトが表示されたら、 admin
パスワードを指定します。
3. 再起動状況の監視ブート メニューが表示されたら、すぐに [オプション 3(Option 3)] を選択してシステムを復元します。
(注) ブート メニューでは、タイムアウトするまでに選択できる時間は秒数です。そのウィンドウで失敗すると、アプライアンスはリブート プロセスに進みます。リブートが完了するまで待ち、再試行します。
4. 復元ユーティリティの対話型メニューに表示モードの入力を求められます。
–キーボードとモニタ接続の場合、1 と入力して Enter キーを押します。
–シリアル接続の場合、2 と入力して Enter キーを押します。
表示モードを選ばない場合、復元ユーティリティはデフォルトのアスタリスクの印が付いたオプションを表示します。
(注) 表示モード メニューでは、タイムアウトするまでに選択できる時間は秒数です。そのウィンドウで失敗すると、アプライアンスはリブート プロセスに進みます。リブートが完了するまで待ち、再試行します。
アプライアンスをこのメジャー バージョンに初めて復元する場合以外は、最後に使用した復元設定がユーティリティにより自動的に読み込まれます。続行するには、一連のページで設定を確認します。
アプライアンスを工場出荷時設定に復元する必要があるが、アプライアンスに物理的にアクセスできない場合は、LOM を使用して復元プロセスを実行できます。初期設定を行うために LOM を使用する場合は、復元時にネットワーク設定を 保持する必要がある ことに注意してください。また、Lights-Out Management は、デフォルト( eth0
)の管理インターフェイスでのみ使用できることにも注意してください。
(注) LOM を使用してリンクを Firepower Management Center を復元する前に、機能を有効にし、admin
ユーザに LOM 権限を付与する必要があります。Lights-Out Management の設定を参照してください。
Lights-Out Management を使用して復元ユーティリティを開始するには:
1. コンピュータのコマンド プロンプトで、IPMI コマンドを入力して SoL セッションを開始します。
sudo ipmitool -I lanplus -H
IP_address -U admin sol activate
sudo ipmiutil sol -a -V4 -J3 -N
IP_address -U admin -P
password
ここで、 IP_address は、アプライアンスの管理インターフェイスの IP アドレスで、 password は admin
アカウントのパスワードです。IPMItool では、 sol activate
コマンドの発行後にパスワードの入力が求められることに注意してください。
2. ルート ユーザとしてのアプライアンスを再起動します。 sudo reboot
と入力します。プロンプトが表示されたら、 admin
パスワードを指定します。
3. 再起動状況の監視ブート メニューが表示されたら、すぐに [オプション 3(Option 3)] を選択してシステムを復元します。
(注) ブート メニューでは、タイムアウトするまでに選択できる時間は秒数です。そのウィンドウで失敗すると、アプライアンスはリブート プロセスに進みます。リブートが完了するまで待ち、再試行します。
4. 復元ユーティリティの対話型メニューの表示モードに入力するように求められます。2 と入力して Enter を押し、アプライアンスのシリアル接続で対話型復元メニューをロードします。
表示モードを選ばない場合、復元ユーティリティはデフォルトのアスタリスクの印が付いたオプションを表示します。
(注) 表示モード メニューでは、タイムアウトするまでに選択できる時間は秒数です。そのウィンドウで失敗すると、アプライアンスはリブート プロセスに進みます。リブートが完了するまで待ち、再試行します。
アプライアンスをこのメジャー バージョンに初めて復元する場合以外は、最後に使用した復元設定がユーティリティにより自動的に読み込まれます。続行するには、一連のページで設定を確認します。
Firepower Management Center の復元ユーティリティでは、対話型メニューによって復元処理を進められます。
(注) メンテナンス ウィンドウの間でのみアプライアンスを再イメージ化します。
メニュー内の移動には矢印キーを使用します。メニュー オプションを選択するには、上下矢印キーを使用します。ページ下部にある [OK]ボタンと [キャンセル(Cancel)] ボタンの切り替えには、左右矢印キーを使用します。
ほとんどの場合、メニュー オプション 1 、 2 、 4 、および 5 をこの順序で実行します。オプションで、メニュー オプション 3 を追加して、復元プロセスでシステム ソフトウェアおよび侵入ルールの更新をインストールします。
アプライアンスに現在インストールされているバージョンとは異なるメジャー バージョンにアプライアンスを復元する場合は、2 パス復元プロセスが必要です。1 回目のパスで復元イメージを更新し、2 回目のパスでシステム ソフトウェアの新しいバージョンをインストールします。
これが 2 回目のパスであるか、または使用する復元設定が復元ユーティリティにより自動的に読み込まれる場合は、メニュー オプション 4 :ISO および更新ファイルのダウンロードとイメージのマウントから開始できます。ただし Ciscoは、操作を続行する前に復元設定の内容をダブルチェックすることを推奨しています。
(注) 以前に保存した設定を使用するには、メニュー オプション 6 :復元設定の保存とロードから開始します。設定を読み込んだら、メニュー オプション 4:ISO および更新ファイルのダウンロードとイメージのマウントに進みます。
1. [1 IPの設定(1 IP Configuration)]:アプライアンスの管理インターフェイスの指定を参照してください。
2. [2 トランスポート プロトコルの選択(2 Choose the transport protocol)]:ISO イメージの場所および転送方式の指定を参照してください。
3. [3 パッチ/ルール更新の選択(3 Select Patches/Rule Updates)](オプション):復元時のシステム ソフトウェアおよび侵入ルールの更新を参照してください。
4. [4 ISOのダウンロードとマウント(4 Download and Mount ISO)]:ISO および更新ファイルのダウンロードとイメージのマウントを参照してください。
5. [5 インストールの実行(5 Run the Install)]:復元プロセスの開始を参照してください。
復元ユーティリティを実行する際には、最初に復元するアプライアンスの管理インターフェイスを指定します。これにより、ISO および更新ファイルをコピーしたサーバとアプライアンスが通信できるようになります。LOM を使用する場合は、アプライアンスの管理 IP アドレスが LOM IP アドレス ではない ことに注意してください。
1. 復元ユーティリティのメイン メニューから、[1 IP の設定(1 IP Configuration)]を選択します。
2. アプライアンスの管理インターフェイス(通常は[eth0])を選択します。
3. 管理ネットワークに使用するプロトコル([IPv4]または [IPv6])を選択します。
管理インターフェイスに IP アドレスを割り当てるためのオプションが表示されます。
4. 管理インターフェイスに IP アドレスを割り当てる方法([スタティック(Static)]または [DHCP])を選択します。
–[スタティック(Static)]を選択した場合は、一連のページで、管理インターフェイスの IP アドレス、ネットワーク マスクまたはプレフィックス長、およびデフォルト ゲートウェイを手動で入力するよう促されます。
–[DHCP]を選択した場合は、管理インターフェイスの IP アドレス、ネットワーク マスクまたはプレフィックス長、およびデフォルト ゲートウェイがアプライアンスにより自動的に検出され、IP アドレスが表示されます。
プロンプトが表示されたら、アプライアンスの管理インターフェイスに割り当てられている IP アドレスを確認します。
復元プロセスで必要なファイルをダウンロードするために使用される管理 IP アドレスを設定したら、次にアプライアンスの復元に使用する ISO イメージを指定する必要があります。これは、サポート サイト(復元 ISO と更新ファイルの入手を参照)からダウンロードし、Web サーバ、FTP サーバ、または SCP 対応ホストに保存した ISO イメージです。
対話型メニューで、ダウンロードを実行するために必要な情報の入力が求められます。これらの情報を次の表に示します。
復元ユーティリティは、ISO イメージ ディレクトリ内でも更新ファイルを検索することに注意してください。
1. 復元ユーティリティのメイン メニューで、[2 トランスポート プロトコルの選択(2 Choose the transport protocol)]を選択します。
2. 表示されるページで、[HTTP]、[FTP]、または[SCP] を選択します。
3. 復元ユーティリティにより表示される一連のページで、表 2の説明に従い選択したプロトコルに必要な情報を入力します。
情報が正しければ、アプライアンスはサーバに接続し、指定された場所の CiscoISO イメージのリストを表示します。
6. 復元プロセスの一部としてシステムのソフトウェアまたは侵入ルールの更新をインストールする場合は、次の項「復元時のシステム ソフトウェアおよび侵入ルールの更新」を続行します。インストールしている場合は、ISO および更新ファイルのダウンロードとイメージのマウントに進んでください。復元プロセスが完了したら、システムの Web インターフェイスを使用して手動で更新をインストールできることに注意してください。
オプションで、アプライアンスを ISO イメージのベース バージョンに復元した後で、復元ユーティリティを使用してシステム ソフトウェアおよび侵入ルールを更新できます。ルール更新は Firepower Management Center だけで必要となることに注意してください。
復元ユーティリティは、1 つのシステム ソフトウェア更新と 1 つのルール更新だけを使用できます。ただしシステム更新は直前のメジャー バージョンに対して累積されます。ルール更新も累積されます。Ciscoでは、ご使用のアプライアンスに対して使用可能な最新の更新を入手することを推奨します。復元 ISO と更新ファイルの入手を参照してください。
復元プロセスでアプライアンスを更新しないことを選択した場合、後でシステムの Web インターフェイスを使用して更新できます。詳細については、インストールする更新のリリース ノート、および『 Firepower Management Center Configuration Guide 』の「Updating System Software」の章を参照してください。
1. 復元ユーティリティのメイン メニューで [3 パッチ/ルール更新の選択(3 Select Patches/Rule Updates)]を選択します。
復元ユーティリティは、前の手順(ISO イメージの場所および転送方式の指定を参照)で指定した場所とプロトコルを使用して、その場所にあるすべてのシステム ソフトウェア更新ファイルのリストを取得して表示します。SCP を使用する場合、更新ファイル リストを表示するためのプロンプトが表示されたらパスワードを入力します。
2. 使用するシステム ソフトウェア更新がわかっている場合は、それを選択します。
更新を選択しなくてもかまいません。続行するには、更新を選択せずに Enter キーを押します。適切な場所にシステム ソフトウェア更新がない場合は、Enter キーを押して続行するよう求められます。
復元ユーティリティは、ルール更新ファイルのリストを取得して表示します。SCP を使用する場合、リストを表示するためのプロンプトが表示されたらパスワードを入力します。
3. 使用するルール更新がわかっている場合は、それを選択します。
更新を選択しなくてもかまいません。続行するには、更新を選択せずに Enter キーを押します。適切な場所にルール更新がない場合は、Enter キーを押して続行するよう求められます。
復元プロセスを呼び出す前の最後の手順として、必要なファイルをダウンロードして ISO イメージをマウントします。
1. 復元ユーティリティのメイン メニューで [4 ISO のダウンロードとマウント(4 Download and Mount ISO)]を選択します。
2. プロンプトが表示されたら、選択項目を確認します。SCP サーバからダウンロードする場合は、プロンプトが表示されたらパスワードを入力します。
ISO イメージをダウンロードしてマウントしたら、復元プロセスを開始できます。アプライアンスに現在インストールされているバージョンとは異なるメジャー バージョンにアプライアンスを復元する場合は、2 パス復元プロセスが必要です。1 回目のパスで復元イメージを更新し、2 回目のパスでシステム ソフトウェアの新しいバージョンをインストールします。
2 つのパスのうちの 1 回目のパス(メジャー バージョンの変更のみ)
アプライアンスを異なるメジャー バージョンに復元する場合、復元ユーティリティによる 1 回目のパスでは、アプライアンスの復元イメージと、必要に応じて復元ユーティリティ自体が更新されます。
(注) アプライアンスを同じメジャー バージョンに復元する場合、またはこれがこのプロセスの 2 回目のパスの場合は、次の手順(2 回目のパス、および 1 つのパスのみ)に進みます。
1. 復元ユーティリティのメイン メニューで [5 インストールの実行(5 Run the Install)]を選択します。
2. プロンプトが表示されたら(2 回)、アプライアンスを再起動することを確認します。
3. 復元ユーティリティの対話型メニューに表示モードの入力を求められます。
–キーボードとモニタ接続の場合、1 と入力して Enter キーを押します。
–シリアル接続の場合、2 と入力して Enter キーを押します。
表示モードを選ばない場合、復元ユーティリティはデフォルトのアスタリスクの印が付いたオプションを表示します。
アプライアンスをこのメジャー バージョンに初めて復元する場合以外は、最後に使用した復元設定がユーティリティにより自動的に読み込まれます。続行するには、一連のページで設定を確認します。
復元プロセスの 2 回目のパスまたは 1 つだけのパスを実行するには、次の手順を使用します。
復元プロセスの 2 回目のパスまたは 1 つだけのパスを実行するには:
1. 2 パス復元プロセスの 2 回目のパスを実行している場合、ISO および更新ファイルのダウンロードとイメージのマウントの説明に従い、ISO イメージを再度ダウンロードしてマウントします。
2. 復元ユーティリティのメイン メニューで [5 インストールの実行(5 Run the Install)]を選択します。
3. アプライアンスを復元することを確認し、次のステップに進みます。
4. アプライアンスのライセンスおよびネットワーク設定を削除するかどうかを選択します。これらの設定を削除すると、表示(コンソール)設定と LOM 設定もリセットされます。
ほとんどの場合、これらの設定は削除しないでください。設定を保持することで初期設定プロセスを短くすることができます。復元とそれに続く初期設定の後に設定を変更する場合、通常は、それらの設定を今リセットするよりも時間がかかりません。詳細については、次の手順を参照してください。
復元プロセスの最終段階が開始されます。完了し、プロンプトが表示されたら、アプライアンスを再起動することを確認します。
(注) アプライアンスの再イメージ化は、必ず保守期間中に行ってください。
復元ユーティリティを使用して復元設定を保存できます。復元設定は、Firepower Management Center を再び復元する必要が生じた場合に使用します。復元ユーティリティは最後に使用された設定を自動的に保存しますが、次のような複数の設定を保存することもできます。
SCP パスワードは保存されません。ユーティリティがアプライアンスに ISO やその他のファイルを転送するときに SCP を使用する必要があることが設定で指定されている場合は、復元プロセスを実行するためにサーバに対して再度認証を行う必要があります。
復元設定を保存するのに最適なタイミングは、上記の情報の指定後、ISO イメージをダウンロードしてマウントする前です。
1. 復元ユーティリティのメイン メニューから、[6 設定の保存(6 Save Configuration)]を選択します。
ユーティリティにより、保存する設定の設定内容の設定が表示されます。
2. プロンプトが表示されたら、設定を保存することを確認します。
1. 復元ユーティリティのメイン メニューから、[7 設定の読み込み(7 Load Configuration)]を選択します。
ユーティリティにより、保存されている復元設定のリストが表示されます。1 番目のオプション [default_config]は、最後にアプライアンスを復元する際に使用した設定です。その他のオプションは、これまでに保存した復元設定です。
ユーティリティにより、読み込む設定の設定内容が表示されます。
3. プロンプトが表示されたら、設定を読み込むことを確認します。
設定が読み込まれます。プロンプトが表示されたら、アプライアンスの管理インターフェイスに割り当てられている IP アドレスを確認します。
Firepower Management Center の工場出荷時設定を復元すると、アプライアンスのほぼ すべての 設定とイベント データが失われます。
アプライアンスの復元後に、初期設定プロセスを実行する必要があります。
ライセンスおよびネットワーク設定を削除すると、表示(コンソール)設定と LOM 設定もリセットされることに注意してください。初期設定プロセスの完了後:
Firepower Management Center を工場出荷時設定に復元する必要があるが、アプライアンスに物理的にアクセスできない場合は、Lights-Out Management(LOM)を使用して復元プロセスを実行できます。Lights-Out Management は、デフォルト( eth0
)の管理インターフェイスでのみ使用できることに注意してください。
LOM 機能では、Serial over LAN(SOL)接続を使用して、Firepower Management Center で限られたアクションを実行できます。LOM では、アウトオブバンド管理接続でコマンド ライン インターフェイスを使用して、シャーシ シリアル番号の確認や、ファン速度や温度などの状況の監視といった作業を行うことができます。
LOM コマンドの構文は、使用しているユーティリティにより異なりますが、通常 LOM コマンドには、次の表に示す要素が含まれています。
Firepower システムでサポートされる LOM コマンドの完全なリストについては、『 Firepower Management Center Configuration Guide 』 の「Configuring Appliance Settings」の章を参照してください。
LOM を使用してアプライアンスを復元するには、その前に、アプライアンスと復元を実行するユーザの両方に対して LOM を有効にする必要があります。次に、サードパーティの Intelligent Platform Management Interface(IPMI)ユーティリティを使用して、アプライアンスにアクセスします。また、アプライアンスのコンソール出力をシリアル ポートにリダイレクトしていることも確認する必要があります。
LOM を使用してアプライアンスを復元するには、その前に、この機能を有効にして設定する必要があります。この機能を使用するユーザに対して LOM 権限を明示的に付与する必要もあります。
各アプライアンスのローカル Web インターフェイスを使用して、アプライアンスごとに LOM と LOM ユーザを設定します。つまり、Firepower Management Center を使用してFirepower デバイスで LOM を設定することはできません。同様に、ユーザはアプライアンスごとに個別に管理されるため、Firepower Management Center で LOM 対応ユーザを有効化または作成しても、Firepower デバイスのユーザにはその機能が伝達されません。
(注) 以下の作業の詳細については、『Firepower Management Center Configuration Guide』の「Configuring Appliance Settings」の章を参照してください。
1. [システム(System)] > [設定(Configuration)]を選択し、[コンソールの設定(Console Configuration)] をクリックします。
2. LOM IP アドレス、ネットマスク、およびデフォルト ゲートウェイを指定する(または DHCP を使用してこれらの値を自動的に割り当てる)前に、[物理シリアル ポート(Physical Serial Port)]を使用してリモート アクセスを有効にします。
(注) LOM IP アドレスは、アプライアンスの管理インターフェイスの IP アドレスとは異なる必要があります。
Firepower システムユーザに対して LOM 機能を有効にするには:
1. [システム(System)] > [ユーザ管理(User Management)]を選択し、既存のユーザを編集して LOM 許可を追加するか、またはアプライアンスへの LOM アクセスに使用する新規ユーザを作成します。
2. [ユーザ設定(User Configuration)] ページで、[Administrator]ロールがまだ有効になっていない場合は、このロールを有効にします。
3. [Lights-Out Managementへのアクセスを許可する(Allow Lights-Out Management Access)]チェックボックスをオンにし、変更を保存します。
アプライアンスへの SOL 接続を作成するには、コンピュータでサードパーティ IPMI ユーティリティを使用します。
Linux または Mac OS が稼働しているコンピュータでは、IPMItool を使用します。IPMItool は多くの Linux ディストリビューションで標準ですが、Mac には IPMItool をインストールする必要があります。最初に、Apple の xCode 開発ツール パッケージが Mac にインストールされていることを確認します。コマンドライン開発のためのオプション コンポーネント(新しいバージョンでは「UNIX Development」および「System Tools」、古いバージョンでは「Command Line Support」)がインストールされていることも確認します。最後に、MacPorts および IPMItool をインストールします。詳細については、検索エンジンを使用するか、または次のサイトを参照してください。
Windows 環境では ipmiutil を使用します。このツールは各自でコンパイルする必要があります。コンパイラにアクセスできない場合は、ipmiutil 自体を使用してコンパイルできます。詳細については、検索エンジンを使用するか、または次のサイトを参照してください。
ステージング ロケーション(複数のアプライアンスを事前設定またはステージングするための中央の場所)で、 ターゲット ロケーション(ステージング ロケーション以外の任意のロケーション)に展開する Firepower Management Center を事前設定することができます。
アプライアンスを事前設定してターゲット ロケーションに展開するには、以下の手順に従います。
(注) すべての梱包材を保管し、アプライアンスを再梱包するときにはすべての参考資料と電源コードを同梱します。
アプライアンスを事前設定する前に、ステージング ロケーションとターゲット ロケーションのネットワーク設定情報、ライセンス情報、その他の関連情報を収集します。
(注) ステージング ロケーションとターゲット ロケーションでこの情報を管理するためのスプレッドシートを作成すると便利です。
初期設定時に、アプライアンスをネットワークに接続してシステムをインストールするための十分な情報を使用してアプライアンスを設定します。
Firepower Management Center の初期設定およびFirepower Management Center への接続で説明するインストール手順を使用してください。詳細については、『 Cisco Firepower Management Center 1000, 2500, and 4500 Hardware Installation Guide 』を参照してください。
移送に向けてアプライアンスを準備するには、アプライアンスの電源を安全にオフにし、アプライアンスを再梱包します。
何らかの理由でライセンスを削除する必要がある場合は、次の手順を使用します。Ciscoは、各 Firepower Management Center 固有のライセンス キーに基づいてライセンスを生成するため、ある Firepower Management Center でライセンスを削除し、そのライセンスを別の Firepower Management Center で再利用することはできない点に注意してください。詳しくは、『 Firepower Management Center Configuration Guide 』の「Licensing the Firepower システム」を参照してください。
1. [システム(Systems)]、[ライセンス(Licenses)]、[クラシック ライセンス(Classic Licenses)]の順に選択します。
2. 削除するライセンスの横にある削除アイコン( )をクリックします。
ライセンスを削除すると、そのライセンスを使用するすべてのデバイスから、ライセンスされている機能が削除されます。たとえば、Protection ライセンスが有効であり、100 台の管理対象デバイスに対して有効化されている場合は、このライセンスを削除すると、この 100 台のデバイスすべてから保護機能が削除されます。
電源を取り外す前に、次の手順に従ってアプライアンスの電源を安全にオフにします。
Firepower Management Center の電源を切るには:
アプライアンスがターゲットでの配布用に適切に設定されている場合、そのアプライアンスは追加の設定なしでインストールして配布できます。
アプライアンスへのログインに問題がある場合、事前設定にエラーがある可能性があります。次のトラブルシューティング手順を試行してください。
Firepower Management Center のハード ドライブを安全にスクラビングして、その内容にアクセスできないようにすることができます。たとえば、機密データが含まれている故障したアプライアンスを返却する必要がある場合は、この機能を使用してデータを上書きできます。
ディスクのスクラビング処理を行うこのモードは、次の軍用標準規格に準拠しています。
DoD スクラブ シーケンスは、着脱可能または着脱不可能なリジッド ディスクのサニタイズに関する DoD 5220.22-M 手順に準拠しています。この手順では、すべてのアドレス可能な場所を 1 つの文字で上書きし、その補数の文字で上書きし、さらにランダムな文字コードで上書き処理を行う必要があります。その他の制約については、DoD の資料を参照してください。
ハード ドライブのスクラビングは、対話型メニューを使用したアプライアンスの復元で説明されているインタラクティブ メニューのオプションを使用して行います。
1. 以下のいずれかの項の説明に従い、復元ユーティリティの対話型メニューを表示します。これは、アプライアンスへのアクセス方法に応じて異なります。
–KVM または物理シリアル ポートを使用する復元ユーティリティの起動
–Lights-Out Management を使用した復元ユーティリティの開始
2. 復元ユーティリティのメイン メニューで、[8 ディスクの内容を消去(8 Wipe Contents of Disk)]を選択します。
3. プロンプトが表示されたら、ハード ドライブをスクラビング処理することを確認します。
ハード ドライブがスクラビング処理されます。スクラビング処理プロセスが完了するまでに数時間かかることがあります。ドライブの容量が大きいほど、時間がかかります。
Cisco Firepower シリーズの文書とその入手先についての完全な一覧については、次の URL にある文書のロードマップを参照してください。
http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html