ASA FirePOWER モジュール

次のトピックでは、ASA で実行される ASA FirePOWER モジュールを設定する方法について説明します。

ASA FirePOWER モジュールについて

ASA FirePOWER モジュールは、次世代侵入防御システム（NGIPS）、Application Visibility and Control（AVC）、URL フィルタリング、および高度なマルウェア防御（AMP）などの次世代ファイアウォールサービスを提供します。

ASA FirePOWER モジュールは、ASA とは別のアプリケーションとして実行します。このモジュールは、（ASA 5585-X でのみ）ハードウェアモジュールとして使用することも、（他のすべてのモジュールでは）ソフトウェアモジュールとして使用することもできます。

ASA FirePOWER モジュールがどのように ASA と連携するか

次のいずれかの導入モデルを使用して、ASA FirePOWER モジュールを設定できます。

インラインモード：インライン導入では、実際のトラフィックが ASA FirePOWER モジュールに送信されるため、トラフィックで発生する内容は、モジュールのポリシーの影響を受けます。望ましくないトラフィックがドロップされ、ポリシーにより適用された他のアクションが実行された後、トラフィックは ASA に返されて、追加の処理および最終的な伝送が行われます。
インラインタップモニタ専用モード（ASA インライン）：インラインタップモニタ専用導入では、トラフィックのコピーが ASA FirePOWER モジュールに送信されますが、ASA に戻されることはありません。インラインタップモードでは、ASA FirePOWER モジュールがトラフィックに対して実行したと思われる内容を確認し、ネットワークに影響を与えずにトラフィックの内容を評価できます。ただし、このモードでは、ASA でそのポリシーをトラフィックに適用するため、アクセスルール、TCP 正規化などによりトラフィックがドロップされる可能性があります。
パッシブモニタ専用（トラフィック転送）モード：FirePOWER サービスデバイスを使用した ASA がトラフィックに影響を与える可能性を回避する場合は、トラフィック転送インターフェイスを設定してスイッチの SPAN ポートに接続できます。このモードでは、トラフィックは ASA 処理なしで ASA FirePOWER モジュールに直接送信されます。モジュールから何も返されず、また ASA が任意のインターフェイスからトラフィックも送信しない点で、トラフィックが「ブラックホール化」されます。トラフィック転送を設定するには、ASA をシングルコンテキストトランスペアレントモードで運用する必要があります。

ASA および ASA FirePOWER には、必ず一貫性のあるポリシーを設定してください。両方のポリシーは、トラフィックのインラインモードまたはモニタ専用モードを反映する必要があります。

次の各セクションでは、これらのモードについて詳しく説明します。

ASA FirePOWER インラインモジュール

インラインモードでは、トラフィックは、ファイアウォール検査を通過してから ASA FirePOWER モジュールへ転送されます。ASA で ASA FirePOWER インスペクション対象として指定されたトラフィックは、次に示すように ASA およびモジュールを通過します。

トラフィックが ASA に入ります。
着信 VPN トラフィックが復号化されます。
ファイアウォールポリシーが適用されます。
トラフィックが ASA FirePOWER モジュールに送信されます。
ASA FirePOWER モジュールはセキュリティポリシーをトラフィックに適用し、適切なアクションを実行します。
有効なトラフィックが ASA に返送されます。ASA FirePOWER モジュールは、セキュリティポリシーに従ってトラフィックをブロックすることがあり、ブロックされたトラフィックは渡されません。
発信 VPN トラフィックが暗号化されます。
トラフィックが ASA を出ます。

次の図は、ASA FirePOWER モジュールをインラインモードで使用する場合のトラフィックフローを示します。この例では、特定のアプリケーションに許可されないトラフィックをモジュールがブロックします。それ以外のトラフィックは、ASA を通って転送されます。

図 1. ASA での ASA FirePOWER モジュールのトラフィックフロー

ASA FirePOWER インラインタップモニタ専用モード

このモードでは、モニタリング目的でのみトラフィックの重複ストリームが ASA FirePOWER モジュールに送信されます。モジュールはトラフィックにセキュリティポリシーを適用し、インラインモードで動作していた場合に実行したであろう処理をユーザに通知します。たとえば、トラフィックはイベントで「ドロップされていたはず」とマークされる場合があります。この情報をトラフィック分析に使用し、インラインモードが望ましいかどうかを判断するのに役立てることができます。

（注）

ASA 上でインラインタップモニタ専用モードと通常のインラインモードの両方を同時に設定できません。サービスポリシールールの 1 つのタイプのみが許可されます。マルチコンテキストモードでは、一部のコンテキストに対してインラインタップモニタ専用モードを設定し、残りのコンテキストに対して通常のインラインモードを設定することはできません。

次の図は、インラインタップモードで実行する場合のトラフィックフローを示します。

ASA FirePOWER パッシブモニタ専用トラフィック転送モード

ASA FirePOWER モジュールをトラフィックにまったく影響を与えない純粋な侵入検知システム（IDS）として運用する場合は、トラフィック転送インターフェイスを設定できます。トラフィック転送インターフェイスは、受信したすべてのトラフィックを ASA 処理なしで ASA FirePOWER モジュールに直接送信します。

モジュールはトラフィックにセキュリティポリシーを適用し、インラインモードで動作していた場合に実行したであろう処理をユーザに通知します。たとえば、トラフィックはイベントで「ドロップされていたはず」とマークされる場合があります。この情報をトラフィック分析に使用し、インラインモードが望ましいかどうかを判断するのに役立てることができます。

この設定のトラフィックは転送されません。つまり、モジュールも ASA もトラフィックをその最終的な宛先に送信しません。この設定を使用するには、ASA をシングルコンテキストモードおよびトランスペアレントモードで運用する必要があります。

次の図は、トラフィック転送用に設定されたインターフェイスを示します。このインターフェイスは、ASA FirePOWER モジュールがすべてのネットワークトラフィックをインスペクションできるように、スイッチの SPAN ポートに接続されます。通常、別のインターフェイスがファイアウォールを介してトラフィックを送信します。

ASA Firepower トラフィック転送の図。 — 図 3. ASA FirePOWER パッシブモニタ専用、トラフィック転送モード

ASA FirePOWER 管理

モジュールには、初期設定およびトラブルシューティング専用の基本 CLI（コマンドラインインタフェース）があります。次のいずれかの方法を使用して、ASA FirePOWER モジュールでセキュリティポリシーを設定します。

Firepower/FireSIGHT Management Center：別の Management Center アプライアンス上でホストするか、または仮想アプライアンスとしてホストできます。Management Center アプリケーションは、バージョン 6.0 からは Firepower と呼ばれています。以前のバージョンでは、FireSIGHT と呼ばれます。
ASDM（ご使用のモデル/バージョンとの互換性の確認）：オンボックスの ASDM を使用して、ASA とモジュールの両方を管理できます。

ASA の機能との互換性

ASA には、HTTP インスペクションを含む、多数の高度なアプリケーションインスペクション機能があります。ただし、ASA FirePOWER モジュールには ASA よりも高度な HTTP インスペクション機能があり、その他のアプリケーションについても機能が追加されています。たとえば、アプリケーション使用状況のモニタリングと制御です。

ASA では次の設定制限に従う必要があります。

ASA FirePOWER モジュールに送信する HTTP トラフィックでは ASA インスペクションを設定しないでください。
ASA FirePOWER モジュールに送信するトラフィックではクラウド Web セキュリティ（ScanSafe）インスペクションを設定しないでください。トラフィックがクラウド Web セキュリティと ASA FirePOWER サービスポリシーの両方に一致する場合、トラフィックは ASA FirePOWER モジュールのみに転送されます。両方のサービスを実行する場合は、各サービスのトラフィック一致基準間に重複がないことを確認します。
Mobile User Security（MUS）サーバを有効にしないでください。このサーバは、ASA FirePOWER モジュールとの互換性がありません。

ASA 上の他のアプリケーションインスペクションは ASA FirePOWER モジュールと互換性があり、これにはデフォルトインスペクションも含まれます。

ASA FirePOWER モジュールで URL フィルタリングができないときの対応

ASA FirePOWER モジュールは、管理元である FirePOWER Management Center から HTTP を介して URL フィルタリングのデータを取得します。このデータベースをダウンロードできないと、モジュールは URL フィルタリングを実行できません。

ASA FirePOWER モジュールと FirePOWER Management Center の間にデバイスがあり、それが ASA HTTP インスペクションか、または ASA CX モジュールを使用した HTTP インスペクションを行っている場合、そのインスペクションにより、ASA FirePOWER モジュールから FirePOWER Management Center への HTTP GET リクエストがブロックされる場合があります。この問題は、ASA FirePOWER モジュールをホストしている ASA に HTTP インスペクションを設定している場合も発生します（これは誤った設定です）。

問題を解決するには、状況に応じて次のいずれかを実行します。

ASA FirePOWER モジュールをホストしている ASA に HTTP インスペクションを設定している場合は、HTTP インスペクションの設定を削除します。ASA FirePOWER インスペクションと ASA HTTP インスペクションは両立できません。
ASA HTTP インスペクションを行う中間デバイスがある場合は、HTTP インスペクションポリシーマップからプロトコル違反をドロップするアクションを削除します。
```
policy-map type inspect http http_inspection_policy
   parameters
      no protocol-violation action drop-connection
 
```
中間に ASA CX モジュールがある場合は、ASA FirePOWER モジュールと FirePOWER Management Center の管理 IP アドレスとの間の接続で CX モジュールをバイパスします。

ASA FirePOWER モジュールのライセンス要件

ASA FirePOWER モジュール機能の一部のエリアでは、追加のライセンスが必要となる場合があります。

Firepower/FireSIGHT Management Center によって管理されている ASA FirePOWER モジュールの場合は、Management Center を使用してモジュールでライセンスを有効にします。詳細については、『FireSIGHT System User Guide 5.4』のライセンスの章、『Firepower Management Center Configuration Guide 6.0』、または FireSIGHT Management Center のオンラインヘルプを参照してください。

ASDM を使用して管理されている ASA FirePOWER モジュールの場合は、ASA で FirePOWER モジュール設定を使用してモジュールでライセンスを有効にします。詳細については、『ASA FirePOWER Module User Guide 5.4』のライセンスの章、『ASA FirePOWER Services Local Management Configuration Guide 6.0』、または ASDM でモジュールのオンラインヘルプを参照してください。

ASA 自体には、追加のライセンスは不要です。

ASA FirePOWER のガイドライン

フェールオーバーのガイドライン

フェールオーバーは直接サポートされていません。ASA がフェールオーバーすると、既存の ASA FirePOWER フローは新しい ASA に転送されます。新しい ASA の ASA FirePOWER モジュールが、その転送の時点からトラフィックの検査を開始します。古いインスペクションのステートは転送されません。

フェールオーバーの動作の整合性を保つために、ハイアベイラビリティな ASA ペアの ASA FirePOWER モジュールで一貫したポリシーを保持する必要があります。

（注）

ASA FirePOWER モジュールを設定する前に、フェールオーバーペアを作成します。モジュールが両方のデバイスにすでに設定されている場合、高可用性ペアを作成する前にスタンバイデバイスのインターフェイスの設定をクリアします。スタンバイデバイスの CLI から、 clear configure interface コマンドを入力します。

ASA クラスタリングのガイドライン

クラスタリングは直接サポートされていませんが、クラスタ内でこれらのモジュールを使用できます。クラスタ内の ASA FirePOWER モジュールで一貫したポリシーを保持する必要があります。

（注）

ASA FirePOWER モジュールを設定する前に、クラスタを作成します。モジュールがスレーブデバイスにすでに設定されている場合、クラスタにこれらを追加する前に、デバイスのインターフェイスの設定をクリアします。CLI から clear configure interface コマンドを入力します。

モデルのガイドライン

ASA モデルのソフトウェアおよびハードウェアと ASA FirePOWER モジュールとの互換性については、『Cisco ASA Compatibility』を参照してください。
ASA 5512-X ～ ASA 5555-X の場合は、シスコのソリッドステートドライブ（SSD）をインストールする必要があります。詳細については、ASA 5500-X のハードウェアガイドを参照してください。（5506-X、5508-X、および 5516-X では SSD が標準です）。
ASA 5585-X ハードウェアモジュールにインストールされているソフトウェアタイプは変更できません。ASA FirePOWER モジュールを購入する場合、そこに他のソフトウェアを後からインストールすることはできません。
ASA 5585-X ASA FirePOWER のハードウェアモジュール上のインターフェイスでは、ソフトウェアのアップグレード時に発生するリブートを含むモジュールのリブート時に、最大 30 秒間のトラフィックがドロップします。

ASA FirePOWER の管理に関する ASDM のガイドライン

ASDM の管理でサポートされる ASA、ASDM、および ASA FirePOWER のバージョンはモデルによって異なります。サポートされる組み合わせについては、『Cisco ASA Compatibility』を参照してください。
モジュールをホストしている ASA でコマンドの権限を有効にする場合は、特権レベル 15 を持つユーザ名でログインして、ASA FirePOWER のホーム、設定、およびモニタリングのページを参照できるようにする必要があります。ステータスページ以外の ASA FirePOWER のページに対する読み取り専用またはモニタ専用のアクセス権限は、サポートされていません。
Java 7 Update 51 から Java 8 までを使用している場合は、ASA と ASA FirePOWER モジュールの両方の ID 証明書を設定する必要があります。『Install an Identity Certificate for ASDM』を参照してください。
ASDM と Firepower/FireSIGHT Management Center を両方使用することはできません。いずれか一方を選択する必要があります。

その他のガイドラインと制限事項

ASA の機能との互換性を参照してください。
ASA. 上で通常のインラインモードとインラインタップモニタ専用モードの両方を同時に設定できません。サービスポリシールールの 1 つのタイプのみが許可されます。マルチコンテキストモードでは、一部のコンテキストに対してインラインタップモニタ専用モードを設定し、残りのコンテキストに対して通常のインラインモードを設定することはできません。

ASA FirePOWER のデフォルト

次の表に、ASA FirePOWER モジュールのデフォルト設定を示します。

表 1. ASA FirePOWER のデフォルトのネットワークパラメータ
パラメータ	デフォルト
管理 IP アドレス	システムソフトウェアイメージ：192.168.45.45/24 ブートイメージ：192.168.8.8/24
Gateway	システムソフトウェアイメージ：なしブートイメージ：192.168.8.1/24
SSH または session Username	admin
Password	システムソフトウェアイメージ：リリース 6.0 以降：Admin123 6.0 より前のリリース：Sourcefire ブートイメージ：Admin123

ASA FirePOWER の初期設定の実行

ASA FirePOWER モジュールをネットワークに導入してから、管理方法を選択します。

ネットワークでの ASA FirePOWER モジュールの導入

ASA FirePOWER モジュール管理インターフェイスをネットワークに接続する方法を決定するには、ファイアウォールモードおよび ASA モデルのセクションを参照してください。

ルーテッドモード

ルーテッドモードの ASA 5585-X（ハードウェアモジュール）

ASA FirePOWER モジュールには、ASA とは別の管理インターフェイスが含まれます。

ASA FirePOWER モジュールとの間のすべての管理トラフィックは、管理 1/0 インターフェイスまたは管理 1/1 インターフェイスで入出力される必要があります。ASA FirePOWER モジュールには、インターネットアクセスも必要です。管理 1/x インターフェイスは ASA データインターフェイスではないため、トラフィックがバックプレーン上で ASA を通過することがでません。したがって、物理的に管理インターフェイスを ASA インターフェイスにケーブルで接続する必要があります。ASA FirePOWER が ASA 管理インターフェイス（またはデータインターフェイスでも可）経由でインターネットにアクセスできるようにするには、次の標準的なケーブルセットアップを参照してください。ネットワークの接続方法に応じて、その他の選択肢もあります。たとえば、Management 1/0 インターフェイスを外側にしたり、内部ルータがある場合には Management 1/0 インターフェイスと別の ASA インターフェイスとの間でルーティングしたりする方法があります。

ルーテッドモードの ASA 5506-X（ソフトウェアモジュール）

ASA 5506-X は ASA FirePOWER モジュールをソフトウェアモジュールとして実行し、ASA FirePOWER モジュールは管理 1/1 インターフェイスを ASA と共有します。

ASA FirePOWER モジュールとの間のすべての管理トラフィックは、管理 1/1 インターフェイスで入出力される必要があります。ASA FirePOWER モジュールには、インターネットアクセスも必要です。管理トラフィックはバックプレーン上で ASA を通過することがでません。したがって、インターネットに到達するには、管理インターフェイスを ASA インターフェイスに物理的にケーブルで接続する必要があります。

管理 1/1 用に ASA 設定で名前と IP アドレスを設定しない場合、インターフェイスはモジュールのみに属します。この場合、管理 1/1 インターフェイスは通常の ASA インターフェイスではありません。ユーザは以下を行うことができます。

通常の ASA データインターフェイスと同じネットワークに属するように ASA FirePOWER IP アドレスを設定する。
ASA FirePOWER ゲートウェイとしてデータインターフェイスを指定する。
データインターフェイスに管理 1/1 インターフェイスを直接接続する。

ASA 5506-X では、ブリッジグループメンバーのインターフェイスとして GigabitEthernet 1/2（inside1）から 1/8（inside7）を設定するデフォルト設定に内部ブリッジグループを含みます。これらのインターフェイスは、外部スイッチを置き換えできるため、メンバーのインターフェイスのいずれかに管理 1/1 インターフェイスを直接配線できます。残りの内部ポートに、管理コンピュータ、Firepower Management Center、およびその他のデバイスを接続できます。ブリッジグループは、IP アドレス設定を含む内部と呼ばれるブリッジ仮想インターフェイス（BVI）によって示されます。BVI は ASA FirePOWER ゲートウェイです。ユーザがデフォルト設定に加える必要がある変更は、モジュールの IP アドレスを ASA 内部 BVI インターフェイスと同じネットワークに設定することと、モジュールゲートウェイの IP アドレスを BVI アドレスに一致させることだけです。

ASA FirePOWER が ASA 5506-X 内部ブリッジグループ経由でインターネットにアクセスできるようにするには、次のケーブルセットアップを参照してください。

（注）

内部ネットワーク上に別のルータを配置する場合は、管理と内部の間にルーティングできます。この場合は、（ASA FirePOWER モジュールアドレスと同じネットワーク上での）管理インターフェイスの ASA 名および IP アドレスの設定などの適切な設定変更を使用して、管理インターフェイス上の ASA と ASA FirePOWER モジュールの両方を管理できます。

ルーテッドモジュールの ASA 5508-X ～ ASA 5555-X（ソフトウェアモジュール）

これらのモデルは、ASA FirePOWER モジュールをソフトウェアモジュールとして実行し、ASA FirePOWER モジュールは管理 0/0 または管理 1/1 インターフェイス（モデルに応じて）を ASA と共有します。

ASA FirePOWER モジュールとの間のすべての管理トラフィックは、管理インターフェイスで入出力される必要があります。ASA FirePOWER モジュールには、インターネットアクセスも必要です。管理トラフィックはバックプレーン上で ASA を通過することがでません。したがって、インターネットに到達するには、管理インターフェイスを ASA インターフェイスに物理的にケーブルで接続する必要があります。

管理用に ASA 設定で名前と IP アドレスを設定しない場合、インターフェイスはモジュールのみに属します。この場合、管理インターフェイスは通常の ASA インターフェイスではありません。ユーザは以下を行うことができます。

通常の ASA データインターフェイスと同じネットワークに属するように ASA FirePOWER IP アドレスを設定する。
ASA FirePOWER ゲートウェイとしてデータインターフェイスを指定する。
データインターフェイスに管理インターフェイスを直接接続する（レイヤ 2 スイッチを使用）。

ASA FirePOWER が ASA 内部インターフェイス経由でインターネットにアクセスできるようにするには、次の標準的なケーブルセットアップを参照してください。

ASA 5508-X、および 5516-X の場合、デフォルト設定で上記のネットワーク配置が可能です。必要な変更は、モジュールの IP アドレスを ASA 内部インターフェイスと同じネットワーク上に設定することと、モジュールのゲートウェイ IP アドレスを設定することだけです。

その他のモデルの場合、管理 0/0 または 1/1 の ASA で設定された名前および IP アドレスを削除してから、上記に示すようにその他のインターフェイスを設定する必要があります。

（注）

「ソフトスイッチ」を設定するために内部ブリッジグループに割り当てることができるその他のインターフェイスがある場合、外部スイッチを使用するのを避けることができます。すべてのブリッジグループのインターフェイスを同じセキュリティレベルに設定し、同じセキュリティの通信を許可し、各ブリッジグループメンバーの NAT を設定してください。詳細については、ASA インターフェイスの構成ガイドの章を参照してください。

（注）

トランスペアレントモード

トランスペアレントモードの ASA 5585-X（ハードウェアモジュール）

ASA FirePOWER モジュールには、ASA とは別の管理インターフェイスが含まれます。

ASA FirePOWER モジュールとの間のすべての管理トラフィックは、管理 1/0 インターフェイスまたは管理 1/1 インターフェイスで入出力される必要があります。ASA FirePOWER モジュールには、インターネットアクセスも必要です。このインターフェイスは ASA データインターフェイスではないため、トラフィックがバックプレーン上で ASA を通過することがでません。したがって、物理的に管理インターフェイスを ASA インターフェイスにケーブルで接続する必要があります。ASA FirePOWER が ASA 内部インターフェイス経由でインターネットにアクセスできるようにするには、次の標準的なケーブルセットアップを参照してください。

内部ルータを使用しない場合は、Management 0/0 インターフェイスを使用しないで内部インターフェイスを介して ASA を管理できます（BVI IP アドレスを使用）。

（注）

トランスペアレントモードの ASA 5506-X ～ ASA 5555-X、ISA 3000（ソフトウェアモジュール）

ASA FirePOWER モジュールとの間のすべての管理トラフィックは、管理インターフェイスで入出力される必要があります。ASA FirePOWER モジュールには、インターネットアクセスも必要です。

次の図は、ASA FirePOWER モジュールを使用した ASA 5500-X または ISA 3000 の推奨ネットワーク配置を示します。

内部ルータを使用しない場合は、ASA 管理用の管理インターフェイスを使用しないで内部インターフェイスを介して ASA を管理できます（BVI IP アドレスを使用）。

（注）

Management Center への ASA FirePOWER モジュールの登録

Firepower/FireSIGHT Management Center にモジュールを登録するには、ASA FirePOWER モジュール CLI にアクセスする必要があります。CLI に最初にアクセスすると、基本設定パラメータの入力を求められます。また、Management Center にモジュールを追加する必要があります。

（注）

ASDM を使用してモジュールを管理する場合は、このセクションを省略して、ASDM 管理用の ASA FirePOWER モジュールの設定を参照してください。
モジュールの管理を 1 つの Management Center から別の Management Center に移動する必要がある場合は、まずそのデバイスを Management Center のインベントリから削除します。次に、configure manager add コマンドを使用して、新しい Management Center を指します。次に、新しい Management Center から登録を完了できます。このプロセスにより、クリーンなハンドオーバーが確認されます。

ASA FirePOWER CLI へのアクセス

ASA FirePOWER CLI にアクセスするには、次のいずれかの方法を使用します。

手順

ステップ 1

コンソールポート：

ASA 5585-X：このモデルには、ASA FirePOWER モジュールの専用コンソールポートが含まれています。付属の DB-9 to RJ-45 シリアルケーブルや独自の USB シリアルアダプタを使用してください。
その他のすべてのモデル：付属の DB-9 to RJ-45 シリアルケーブルや独自の USB シリアルアダプタを使用して ASA コンソールポートに接続します。ASA 5506-X/5508-X/5516-X には、ミニ USB コンソールポートもあります。USB コンソールポートの使用手順については、ハードウェアガイドを参照してください。
ASA CLI での ASA FirePOWER モジュールへのセッション：

session sfr

ASA からソフトウェアモジュールへのセッションも参照してください。

ステップ 2

SSH：

モジュールのデフォルト IP アドレス（ASA FirePOWER のデフォルトを参照）に接続するか、または ASDM を ASA で使用して管理 IP アドレスを変更してから、SSH を使用して接続します。

ASDM で、[Wizards] > [Startup Wizard] の順に選択し、ウィザードで [ASA FirePOWER Basic Configuration] に進みます。このページでは、IP アドレス、マスク、およびデフォルトゲートウェイを設定できます。

ASA FirePOWER の基本設定

ASA FirePOWER モジュールの CLI に最初にアクセスすると、基本設定パラメータの入力を求められます。また、ASDM を使用していない場合は、モジュールを Firepower/FireSight Management Center に追加する必要があります。

始める前に

ASA FirePOWER CLI へのアクセスに応じてモジュール CLI にアクセスします。

手順

ステップ 1	ASA FirePOWER CLI で、ユーザ名 admin でログインします。初めてログインする場合は、デフォルトのパスワードを使用します。ASA FirePOWER のデフォルトを参照してください。
ステップ 2	プロンプトに従ってシステム設定を行います。推奨されるネットワーク配置（ネットワークでの ASA FirePOWER モジュールの導入）に ASA FirePOWER モジュールの次のネットワーク設定を使用します。管理インターフェイス：192.168.1.2 管理サブネットマスク：255.255.255.0 ゲートウェイ IP：192.168.1.1 例: System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: 10.86.118.3 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.252.0 Enter the IPv4 default gateway for the management interface []: 10.86.116.1 Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com Enter a comma-separated list of DNS servers or 'none' []: 10.100.10.15, 10.120.10.14 Enter a comma-separated list of search domains or 'none' [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' (Wait for the system to reconfigure itself.) This sensor must be managed by a Defense Center. A unique alphanumeric registration key is always required. In most cases, to register a sensor to a Defense Center, you must provide the hostname or the IP address along with the registration key. 'configure manager add [hostname \| ip address ] [registration key ]' However, if the sensor and the Defense Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. 'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]' Later, using the web interface on the Defense Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Defense Center.
ステップ 3	ASA FirePOWER モジュールを Management Center に登録します。 > configure manager add {`hostname` \| `IPv4_address` \| `IPv6_address` \| DONTRESOLVE } `reg_key` [`nat_id`] 値は次のとおりです。 {`hostname` \| `IPv4_address` \| `IPv6_address` \| DONTRESOLVE } は、Management Center の完全修飾されたホスト名または IP アドレスを指定します。Management Center が直接アドレス指定できない場合は、DONTRESOLVE を使用します。 `reg_key` は、ASA FirePOWER モジュールを Management Center に登録するのに必要な一意の英数字による登録キーです。 `nat_id` は、Management Center と ASA FirePOWER モジュール間の登録プロセス中に使用されるオプションの英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。
ステップ 4	コンソール接続を閉じます。ソフトウェアモジュールの場合、次を入力します。 > exit

ASDM 管理用の ASA FirePOWER モジュールの設定

すべてのバージョンおよびモデルの組み合わせがサポートされるわけではありません。ご使用のモデルおよびバージョンの互換性を確認してください。

ASDM は、ASA バックプレーンを介して ASA FirePOWER モジュールの IPアドレスを変更できますが、すべての追加の管理には、モジュールが到達可能な、ASDM インターフェイスと管理インターフェイスとの間にネットワークアクセスが必要です。

ASDM を使用してモジュールを管理するには、ASDM を起動し、起動ウィザードを実行します。

手順

ステップ 1

ASA に接続されているコンピュータで、Web ブラウザを起動します。

ステップ 2

[Address] フィールドに URL https://192.168.1.1/admin を入力します。Cisco ASDM Web ページが表示されます。

ステップ 3

使用可能なオプション（[Install ASDM Launcher] 、[Run ASDM] 、[Run Startup Wizard]）のいずれかをクリックします。

ステップ 4

画面の指示に従ってオプションを選択し、ASDM を起動します。Cisco ASDM-IDM Launcher が表示されます。

（注）

[Install ASDM Launcher] をクリックした場合、場合によっては、『Install an Identity Certificate for ASDM』に従って ASA の ID 証明書と ASA FirePOWER モジュールの証明書をそれぞれインストールすることが必要になります。

ステップ 5

ユーザ名とパスワードのフィールドを空のまま残し、[OK] をクリックします。メイン ASDM ウィンドウが表示されます。

ステップ 6

インストールする ASA FirePOWER モジュールの IP アドレスを指定するよう求められた場合は、ダイアログボックスをキャンセルします。[Startup Wizard] を使用して、まず、モジュールの IP アドレスを正しい IP アドレスに設定する必要があります。

ステップ 7

[Wizards] > [Startup Wizard] を選択します。

ステップ 8

必要に応じて追加の ASA 設定を行うか、または、[ASA Firepower Basic Configuration] 画面が表示されるまで、画面を進みます。

デフォルト設定を使用するには、次の値を設定します。

[IP Address]： 192.168.1.2
[Subnet Mask] ：255.255.255.0
[Gateway]：192.168.1.1

ステップ 9

[I accept the agreement] をクリックして、[Next] または [Finish] をクリックすると、ウィザードが終了します。

ステップ 10

ASDM を終了し、再起動します。ホームページに ASA Firepower のタブが表示されます。

ASA FirePOWER モジュールの設定

ASA FirePOWER モジュールでセキュリティポリシーを設定してから、トラフィックをモジュールに送信するように ASA を設定します。

ASA FirePOWER モジュールでのセキュリティポリシーの設定

セキュリティポリシーは、Next Generation IPS のフィルタリングやアプリケーションのフィルタリングなど、モジュールで提供されるサービスを制御します。次のいずれかの方法を使用して、ASA FirePOWER モジュールでセキュリティポリシーを設定します。

FireSIGHT 管理センター

Web ブラウザを使用して https:// DC_address を開きます。ここで DC_address は、ASA FirePOWER の基本設定で定義したマネージャの DNS 名または IP アドレスです。たとえば、https://dc.example.com とします。

または、ASDM で [Home] > [ASA FirePOWER Status] を選択し、ダッシュボードの下部のリンクをクリックします。

ASA FirePOWER の設定に関する詳細については、Management Center のオンラインヘルプ、『FireSIGHT System User Guide 5.4』または『Firepower Management Center Configuration Guide 6.0』（http://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html で入手可能）を参照してください。

ASDM

ASDM で、[Configuration] > [ASA FirePOWER Configuration] を選択します。

ASA FirePOWER の設定に関する詳細については、ASDM でモジュールのオンラインヘルプ、『ASA FirePOWER Module User Guide 5.4』または『ASA FirePOWER Services Local Management Configuration Guide 6.0』（http://www.cisco.com/c/en/us/support/security/asa-firepower-services/products-installation-and-configuration-guides-list.html で入手可能）を参照してください。

ASA FirePOWER モジュールへのトラフィックのリダイレクト

インラインモードとインラインタップ（モニタ専用）モードの場合、トラフィックをモジュールにリダイレクトするようにサービスポリシーを設定します。パッシブモニタ専用モードにする場合は、ASA ポリシーをバイパスするトラフィックリダイレクションインターフェイスを設定します。

ここでは、これらのモードを設定する方法について説明します。

インラインモードまたはインラインタップモニタ専用モードの設定

送信する特定のトラフィックを識別するサービスポリシーを作成して、トラフィックを ASA FirePOWER モジュールへリダイレクトします。このモードでは、アクセスルールなどの ASA ポリシーは、トラフィックがモジュールへリダイレクトされる前に適用されます。

始める前に

（ASA FirePOWER と交換した）IPS または CX モジュールにトラフィックをリダイレクトするアクティブサービスポリシーがある場合は、ASA FirePOWER サービスポリシーを設定する前にそのポリシーを削除する必要があります。
ASA および ASA FirePOWER モジュールには、必ず一貫性のあるポリシーを設定してください。両方のポリシーは、トラフィックのインラインモードまたはインラインタップモードを反映する必要があります。
マルチコンテキストモードでは、各セキュリティコンテキストでこの手順を実行します。

手順

ステップ 1	[Configuration] > [Firewall] > [Service Policy Rules] の順に選択します。
ステップ 2	[Add] > [Add Service Policy Rule] を選択します。
ステップ 3	ポリシーを特定のインターフェイスに適用するか、または全体的に適用するかを選択し、[Next] をクリックします。
ステップ 4	トラフィックの一致を設定します。たとえば、インバウンドのアクセスルールを通過したすべてのトラフィックがモジュールへリダイレクトされるように、一致を [Any Traffic] に設定できます。また、ポート、ACL（送信元と宛先の基準）、または既存のトラフィッククラスに基づいて、より厳密な基準を定義することもできます。このポリシーでは、その他のオプションはあまり有用ではありません。トラフィッククラスの定義が完了したら、[Next] をクリックします。
ステップ 5	[ルールアクション（Rule Actions）] ページで [ASA FirePOWER インスペクション（ASA FirePOWER Inspection）] タブをクリックします。
ステップ 6	[このフローに ASA FirePOWER を有効にする（Enable ASA FirePOWER for this traffic flow）] チェックボックスをオンにします。
ステップ 7	[ASA FirePOWER Card Fails] 領域で、次のいずれかをクリックします。 [Permit traffic] ：モジュールが使用できない場合、すべてのトラフィックの通過を検査なしで許可するように ASA を設定します。 [Close traffic] ：モジュールが使用できない場合、すべてのトラフィックをブロックするように ASA を設定します。
ステップ 8	（任意）トラフィックの読み取り専用のコピーをモジュールに送信する（インラインタップモードにする）には、[Monitor-only] をオンにします。デフォルトでは、トラフィックはインラインモードで送信されます。ASA および ASA FirePOWER には、必ず一貫性のあるポリシーを設定してください。両方のポリシーは、トラフィックのインラインまたはモニタ専用を反映する必要があります。
ステップ 9	[Finish]、[Apply] の順にクリックします。この手順を繰り返して、追加のトラフィックフローを必要に応じて設定します。

パッシブトラフィック転送の設定

モジュールがトラフィックのコピーを取得してモジュールも ASA もネットワークに影響を与えないパッシブモニタ専用モードでモジュールを運用する場合は、トラフィック転送インターフェイスを設定してそのインターフェイスをスイッチの SPAN ポートに接続します。詳細については、ASA FirePOWER パッシブモニタ専用トラフィック転送モードを参照してください。

次のガイドラインでは、この導入モードの要件について説明します。

ASA はシングルコンテキストおよびトランスペアレントモードである必要があります。
最大 4 つのインターフェイスを、トラフィック転送インターフェイスとして設定できます。その他の ASA インターフェイスは、通常どおり使用できます。
トラフィック転送インターフェイスは、VLAN または BVI ではなく、物理インターフェイスである必要があります。また、物理インターフェイスには、それに関連付けられた VLAN を設定することはできません。
トラフィック転送インターフェイスは、ASA トラフィックには使用できません。これらに名前を付けたり、フェールオーバーや管理専用を含む ASA 機能向けに設定したりすることはできません。
トラフィック転送インターフェイスとサービスポリシーの両方を ASA FirePOWER トラフィック用に設定できません。

手順

ステップ 1

トラフィック転送に使用する物理インターフェイスのインターフェイスコンフィギュレーションモードを開始します。

interface physical_interface

例:


hostname(config)# interface gigabitethernet 0/5

ステップ 2

インターフェイスに設定された名前を削除します。このインターフェイスがいずれかの ASA 設定で使用されていた場合、その設定は削除されます。指定したインターフェイス上でトラフィック転送を設定できません。

no nameif

ステップ 3

トラフィック転送をイネーブルにします。

traffic-forward sfr monitor-only

（注）

トラフィック転送に関する警告は、デモンストレーション目的でのみ無視できます。これは、サポートされている生産モードです。

ステップ 4

インターフェイスをイネーブルにします。

no shutdown

追加のインターフェイスについて、この手順を繰り返します。

例

次の例は、GigabitEthernet 0/5 をトラフィック転送インターフェイスとして設定します。


interface gigabitethernet 0/5
  no nameif
  traffic-forward sfr monitor-only
  no shutdown

アクティブ認証用キャプティブポータルの有効化

ASA FirePOWER には、ユーザ ID 情報を収集することができるアイデンティティポリシーが含まれています。ユーザ ID 情報を収集することで、アクセス制御ルールを特定のユーザおよびユーザグループに合わせて、ユーザに基づいてアクセスを選択的に許可および拒否できます。また、ユーザ ID に基づいてトラフィックを分析することもできます。

HTTP/HTTPS 接続の場合は、アクティブな認証を介してユーザ ID を収集するアイデンティティルールを定義できます。アクティブ認証アイデンティティルールを実装する場合は、認証プロキシポートとして機能するように ASA でキャプティブポータルを有効にする必要があります。接続がアクティブ認証を要求するアイデンティティルールに一致すると、ASA FirePOWER モジュールは、認証要求を ASA インターフェイスの IP アドレス/キャプティブポータルにリダイレクトします。デフォルトポートは 885 ですが、これは変更可能です。

認証プロキシのキャプティブポータルをイネーブルにしない場合は、パッシブ認証のみを使用できます。

始める前に

この機能は、ASA FirePOWER 6.0+ 専用のルーテッドモードでのみ使用可能です。
マルチコンテキストモードでは、各セキュリティコンテキストでこの手順を実行します。

手順

ステップ 1

[Tools] > [Command Line Tool] を選択します。

ステップ 2

キャプティブポータルをイネーブルにします。

captive-portal {global | interface name} [port number]

それぞれの説明は次のとおりです。

global すべてのインターフェイスでキャプティブポータルをグローバルにイネーブルにします。
interface name は、指定したインターフェイスのみでキャプティブポータルをイネーブルにします。コマンドを複数入力して複数のインターフェイスでイネーブルにできます。この方法は、一部のインターフェイスのみのトラフィックを ASA FirePOWER モジュールにリダイレクトする場合に使用します。
port number を使用すると、任意で認証ポートを指定できます。キーワードが含まれていない場合は、ポート 885 が使用されます。キーワードを含める場合は、ポート番号を 1025 以上にする必要があります。

例:

たとえば、ポート 885 でキャプティブポータルをグローバルに有効にするには、次のように入力します。


ciscoasa(config)# captive-portal global      
ciscoasa(config)#

ステップ 3

ASA FirePOWER アイデンティティポリシーで、アクティブ認証設定でキャプティブポータル用に設定したポートと同じポートが指定されていることを確認し、アクティブ認証を有効にするために必要なその他の設定を行います。

ASA FirePOWER モジュールの管理

この項には、モジュールの管理に役立つ手順が含まれます。

モジュールのインストールまたは再イメージング

この項では、ソフトウェアまたはハードウェアモジュールのインストール方法または再イメージング方法について説明します。

ソフトウェアモジュールのインストールまたは再イメージング

ASA FirePOWER モジュールとともに ASA を購入した場合、モジュールソフトウェアおよび必要なソリッドステートドライブ（SSD）は事前にインストールされており、すぐに設定できます。既存の ASA に ASA FirePOWER ソフトウェアモジュールを追加する場合、または SSD を交換する必要がある場合は、ASA FirePOWER ブートソフトウェアをインストールし、SSD を区分化して、この手順に従ってシステムソフトウェアをインストールします。

最初に ASA FirePOWER モジュールをアンインストールする必要がある点を除いて、モジュールのイメージの再作成はこれと同じ手順です。SSD を交換する場合は、システムを再イメージングします。

SSD を物理的にインストールする方法については、ASA のハードウェアガイドを参照してください。

始める前に

フラッシュ（disk0）空き領域には、少なくとも、ブートソフトウェアのサイズに 3 GB を加えた大きさが必要です。
マルチコンテキストモードでは、コンテキスト実行スペースでこの手順を実行します。
ユーザが実行している可能性のある他のソフトウェアモジュールをすべてシャットダウンする必要があります。ASA は、同時に 1 つのソフトウェアモジュールしか実行できません。この処理は ASA CLI から実行する必要があります。たとえば、次のコマンドで IPS ソフトウェアモジュールをシャットダウンおよびアンインストールし、ASA をリロードします。CX モジュールを削除するためのコマンドも同じですが、ips の代わりに cxsc キーワードを使用する点が異なります。

sw-module module ips shutdown sw-module module ips uninstall reload

ASA FirePOWER モジュールを再イメージングする場合は、同じシャットダウンコマンドとアンインストールコマンドを使用して古いイメージを削除します。たとえば、sw-module module sfr uninstall を使用します。
IPS または CX モジュールにトラフィックをリダイレクトするアクティブサービスポリシーがある場合、そのポリシーを削除する必要があります。たとえば、ポリシーがグローバルポリシーの場合、no service-policy ips_policy global を使用できます。サービスポリシーに保持する必要のある他のルールが含まれている場合は、対象のポリシーマップからリダイレクションコマンドを単純に削除します。またはリダイレクションがそのクラスに対する唯一のアクションの場合はトラフィッククラス全体を削除します。CLI または ASDM を使用してポリシーを削除できます。
Cisco.com から、ASA FirePOWER のブートイメージおよびシステムソフトウェアパッケージの両方を取得します。

手順

ステップ 1	ブートイメージを ASA へダウンロードします。システムソフトウェアは転送しないでください。これは後で SSD にダウンロードされます。次の選択肢があります。 ASDM：最初にブートイメージをワークステーションにダウンロードするか、またはブートイメージを FTP、TFTP、HTTP、HTTPS、SMB、または SCP サーバに配置します。次に ASDM で、[Tools] > [File management] を選択し、適切な File Transfer コマンドとして [Between Local PC and Flash] または [Between Remote Server and Flash] のいずれかを選択します。ブートソフトウェアを ASA 上の disk0 に転送します。 ASA CLI：最初にブートイメージを TFTP、FTP、HTTP、または HTTPS サーバ上に配置し、次に copy コマンドを使用してフラッシュへダウンロードします。次の例では、TFTP を使用します。 `ciscoasa# copy tftp://10.1.1.89/asasfr-5500x-boot-5.4.1-58.img disk0:/asasfr-5500x-boot-5.4.1-58.img`
ステップ 2	ASA FirePOWER 管理インターフェイスからアクセス可能な HTTP、HTTPS、または FTP サーバに、Cisco.com から ASA FirePOWER システムソフトウェアをダウンロードします。そのソフトウェアを ASA 上の disk0 にダウンロードしないでください。
ステップ 3	次のコマンドを入力して、ASA disk0 で ASA FirePOWER モジュールブートイメージの場所を設定します。 sw-module module sfr recover configure image disk0: `file_path` 例: `hostname# sw-module module sfr recover configure image disk0:asasfr-5500x-boot-5.4.1-58.img` 「ERROR: Another service (cxsc) is running, only one service is allowed to run at any time,」のようなメッセージが表示された場合は、別のソフトウェアモジュールがすでに設定されていることを意味します。このソフトウェアモジュールをシャットダウンして削除し、上の前提条件セクションの説明に従って新しいモジュールをインストールする必要があります。
ステップ 4	ASA FirePOWER ブートイメージをロードします。 sw-module module sfr recover boot
ステップ 5	ASA FirePOWER モジュールが起動するまで約 5 ～ 15 分待ってから、現在実行中の ASA FirePOWER ブートイメージへのコンソールセッションを開きます。セッションを開いてログインプロンプトを表示した後で、Enter キーを押さなければならない場合があります。デフォルトのユーザ名は admin で、デフォルトのパスワードは Admin123 です。 `hostname# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA SFR Boot Image 5.3.1 asasfr login: admin Password: Admin123` モジュールのブートが完了しない場合は、ttyS1 を介して接続できないというメッセージが表示されて session コマンドが失敗します。しばらく待ってから再試行してください。
ステップ 6	システムソフトウェアパッケージをインストールできるようにシステムを設定します。 asasfr-boot> setup 例: `asasfr-boot> setup Welcome to SFR Setup [hit Ctrl-C to abort] Default values are inside []` 次のプロンプトが表示されます。管理アドレスとゲートウェイ、および DNS 情報が重要な設定であることに注意してください。 Host name：最大 65 文字の英数字で、スペースは使用できません。ハイフンは使用できます。 Network address：スタティック IPv4 または IPv6 アドレスを設定するか、DHCP（IPv4 の場合）、または IPv6 ステートレス自動設定を使用します。 DNS information：少なくとも 1 つの DNS サーバを特定する必要があります。ドメイン名を設定してドメインを検索することもできます。 NTP information：システム時刻を設定するために、NTP を有効にして NTP サーバを設定できます。
ステップ 7	システムソフトウェアイメージをインストールします。 asasfr-boot> system install [noconfirm] url 確認メッセージに応答したくない場合は、noconfirm オプションを指定します。HTTP、HTTPS、または FTP URL を使用します。ユーザ名とパスワードが必要な場合は、それらを入力するよう示されます。インストールが完了すると、システムが再起動します。アプリケーションコンポーネントのインストールと ASA FirePOWER サービスが開始するまでに必要な時間は大幅に異なります。ハイエンドプラットフォームでは 10 分以上かかる場合がありますが、ローエンドプラットフォームでは 60 ～ 80 分以上かかることがあります。（show module sfr の出力は、すべてのプロセスを Up として示します）。次に例を示します。 asasfr-boot> system install http://upgrades.example.com/packages/asasfr-sys-5.4.1-58.pkg Verifying Downloading Extracting Package Detail Description: Cisco ASA-FirePOWER 5.4.1-58 System Install Requires reboot: Yes Do you want to continue with upgrade? [y]: y Warning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state. Upgrading Starting upgrade process ... Populating new system image Reboot is required to complete the upgrade. Press 'Enter' to reboot the system. (press Enter) Broadcast message from root (ttyS1) (Mon Feb 17 19:28:38 2014): The system is going down for reboot NOW! Console session with module sfr terminated.
ステップ 8	ASA FirePOWER モジュールへのセッションを開きます。フル機能のモジュールにログインするため、別のログインプロンプトが表示されます。 ciscoasa# session sfr console 例: `ciscoasa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Sourcefire ASA5555 v5.4.1 (build 58) Sourcefire3D login:`
ステップ 9	設定を完了するには、ASA FirePOWER の基本設定を参照してください。

5585-X ASA FirePOWER ハードウェアモジュールの再イメージング

何らかの理由で ASA 5585-X の ASA FirePOWER ハードウェアモジュールのイメージを再作成する必要がある場合は、ブートイメージとシステムソフトウェアパッケージの両方をこの順序でインストールする必要があります。システムが機能するには、両方のパッケージをインストールする必要があります。通常の状況では、アップグレードパッケージをインストールするために、システムのイメージを再作成する必要はありません。

ブートイメージをインストールするには、モジュールのコンソールポートにログインして、ASA FirePOWER SSP の Management-0 ポートからイメージを TFTP ブートする必要があります。Management-0 ポートは SSP の最初のスロットにあるため、Management1/0 とも呼ばれますが、ROMMON では Management-0 または Management0/1 として認識されます。

（注）

ASA 5585-X ASA FirePOWER のハードウェアモジュールでは、モジュールの再イメージング時に発生するリブートを含むモジュールのリブート時に、最大 30 秒間のトラフィックがドロップします。

始める前に

TFTP ブートを行うには、次の手順を実行します。

ブートイメージおよびソフトウェアイメージを、ASA FirePOWER モジュールの Management1/0 インターフェイスからアクセス可能な TFTP サーバに配置する。
Management1/0 をネットワークに接続する。このインターフェイスを使用して、ブートイメージを TFTP ブートする必要があります。

手順

ステップ 1	モジュールのコンソールポートに接続します。
ステップ 2	システムをリロードします。 system reboot
ステップ 3	プロンプトが表示されたら、Esc キーを押してブートから抜け出します。GRUB がシステムをブートするために起動するのが表示された場合は、待ちすぎです。これにより、ROMMON プロンプトに切り替わります。
ステップ 4	「ROMMON」プロンプトで次を入力します。 set 次のパラメータを設定します。 ADDRESS：モジュールの管理 IP アドレス。 SERVER：TFTP サーバの IP アドレス。 GATEWAY：TFTP サーバのゲートウェイアドレス。TFTP サーバが Management1/0 に直接接続されている場合は、TFTP サーバの IP アドレスを使用します。TFTP サーバおよび管理アドレスが同じサブネット上にある場合は、ゲートウェイを設定しないでください。設定すると、TFTP ブートが失敗します。 IMAGE：TFTP サーバ上のブートイメージのパスとイメージ名。たとえば、TFTP サーバの /tftpboot/images/filename.img にファイルを置いた場合、IMAGE の値は images/filename.img となります。例: `ADDRESS=10.5.190.199 SERVER=10.5.11.170 GATEWAY=10.5.1.1 IMAGE=asasfrboot-5.4.1-58.img`
ステップ 5	設定を保存します。 sync
ステップ 6	ダウンロードおよびブートプロセスを開始します。 tftp 進行状況を示す ! マークが表示されます。数分後にブートが完了すると、ログインプロンプトが表示されます。
ステップ 7	パスワード Admin123 を使用して admin としてログインします。
ステップ 8	システムソフトウェアパッケージをインストールできるようにシステムを設定します。 setup 次のプロンプトが表示されます。管理アドレスとゲートウェイ、および DNS 情報が重要な設定であることに注意してください。 Host name：最大 65 文字の英数字で、スペースは使用できません。ハイフンは使用できます。 Network address：スタティック IPv4 または IPv6 アドレスを設定するか、DHCP（IPv4 の場合）、または IPv6 ステートレス自動設定を使用します。 DNS information：少なくとも 1 つの DNS サーバを特定する必要があります。ドメイン名を設定してドメインを検索することもできます。 NTP information：システム時刻を設定するために、NTP を有効にして NTP サーバを設定できます。
ステップ 9	システムソフトウェアイメージをインストールします。 system install [noconfirm] `url` 例: `asasfr-boot> system install http://upgrades.example.com/packages/asasfr-sys-5.4.1-58.pkg` 確認メッセージに応答したくない場合は、noconfirm オプションを指定します。インストールが完了すると、システムが再起動します。アプリケーションコンポーネントのインストールと ASA FirePOWER サービスの起動には 10 分以上かかります。
ステップ 10	ブートが完了したら、デフォルトのパスワードを使用して admin としてログインします。ASA FirePOWER のデフォルトを参照してください。
ステップ 11	設定を完了するには、ASA FirePOWER の基本設定を参照してください。

パスワードのリセット

管理ユーザのパスワードを忘れた場合は、CLI 設定権限を持つ別のユーザがログインして、パスワードを変更できます。

必要な権限を持つ別のユーザが存在しない場合は、ASA から管理者パスワードをリセットできます。デフォルトのパスワードは、ソフトウェアリリースに応じて異なります。ASA FirePOWER のデフォルトを参照してください。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースでこの手順を実行します。
ASA の hw-module および sw-module コマンドの password-reset オプションは、ASA FirePOWER では機能しません。

手順

ユーザ admin のモジュールパスワードをデフォルトにリセットします。

session {1 | sfr} do password-reset

ハードウェアモジュールの場合は 1 、ソフトウェアモジュールの場合は sfr を使用します。

モジュールのリロードまたはリセット

ASA からモジュールをリロードしたり、リセットしてからリロードしたりすることができます。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースでこの手順を実行します。

手順

次のいずれかのコマンドを入力します。

ハードウェアモジュール（ASA 5585-X）：

hw-module module 1 {reload | reset}

（注）

ASA 5585-X ASA FirePOWER のハードウェアモジュール上のインターフェイスでは、ソフトウェアのアップグレード時に発生するリブートを含むモジュールのリブート時に、最大 30 秒間のトラフィックがドロップします。

ソフトウェアモジュール（その他すべてのモデル）：
sw-module module sfr {reload | reset}

モジュールのシャットダウン

モジュールソフトウェアをシャットダウンするのは、コンフィギュレーションデータを失うことなく安全にモジュールの電源をオフにできるように準備するためです。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースでこの手順を実行します。
ASA をリロードする場合は、モジュールは自動的にはシャットダウンされないので、ASA のリロード前にモジュールをシャットダウンすることを推奨します。

手順

次のいずれかのコマンドを入力します。

ハードウェアモジュール（ASA 5585-X）：
hw-module module 1 shutdown
ソフトウェアモジュール（その他すべてのモデル）：
sw-module module sfr shutdown

ソフトウェアモジュールイメージのアンインストール

ソフトウェアモジュールイメージおよび関連するコンフィギュレーションをアンインストールできます。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースでこの手順を実行します。

手順

ステップ 1

ソフトウェアモジュールイメージおよび関連するコンフィギュレーションをアンインストールします。

sw-module module sfr uninstall

例:


ciscoasa# sw-module module sfr uninstall

Module sfr will be uninstalled. This will completely remove the disk image
associated with the sw-module including any configuration that existed within it.

Uninstall module sfr? [confirm]

ステップ 2

ASA をリロードします。

reload

新しいモジュールをインストールする前に、ASA をリロードする必要があります。

ASA からソフトウェアモジュールへのセッション

ASA FirePOWER CLI を使用して、基本的なネットワーク設定を構成し、モジュールのトラブルシューティングを行います。

ASA から ASA FirePOWER ソフトウェアモジュール CLI にアクセスするには、ASA からセッション接続できます。（5585-X で実行しているハードウェアモジュールへのセッションは確立できません）。

モジュールへのセッションを開始することも（Telnet を使用）、仮想コンソールセッションを作成することもできます。コンソールセッションは、コントロールプレーンがダウンし、Telnet セッションを確立できない場合に便利です。マルチコンテキストモードでは、システム実行スペースからセッションを開きます。

Telnet またはコンソールセッションでは、ユーザ名とパスワードの入力を求められます。ASA FirePOWER に設定されている任意のユーザ名でログインできます。最初は、admin が唯一の設定済みユーザ名です（このユーザ名は常に使用可能です）。最初のデフォルトのパスワードは、イメージのタイプ（完全なイメージまたはブートイメージ）とソフトウェアリリースに応じて異なります。ASA FirePOWER のデフォルトを参照してください。

Telnet セッション：

session sfr

ASA FirePOWER CLI にいるときに ASA CLI に戻るには、モジュールからログアウトするコマンド（logout や exit など）を入力するか、Ctrl+Shift+6、x を押します。
コンソールセッション：

session sfr console

コンソールセッションからログアウトする唯一の方法は、Ctrl+Shift+6、x を押すことです。モジュールからログアウトすると、モジュールのログインプロンプトに戻ります。

（注）

session sfr console コマンドは、Ctrl+Shift+6、x がターミナルサーバのプロンプトに戻るエスケープシーケンスであるターミナルサーバとともに使用しないでください。Ctrl+Shift+6、x は、ASA FirePOWER コンソールをエスケープし ASA プロンプトに戻るシーケンスでもあります。したがって、この状況で ASA FirePOWER コンソールを終了しようとすると、代わりにターミナルサーバプロンプトに戻ります。ASA にターミナルサーバを再接続すると、ASA FirePOWER コンソールセッションがまだアクティブなままであり、ASA プロンプトに戻ることができません。ASA プロンプトにコンソールを戻すには、直接シリアル接続を使用する必要があります。この状況が発生した場合は、console コマンドの代わりに session sfr コマンドを使用します。

システムソフトウェアのアップグレード

アップグレードを適用する前に、ASA が新しいバージョンに最小限必要なリリースを実行していることを確認します。場合によっては、モジュールをアップグレードする前に ASA をアップグレードする必要があります。アップグレードの適用に関する詳細については、Management Center のオンラインヘルプ、『FireSIGHT System User Guide 5.4』または『Firepower Management Center Configuration Guide 6.0』を参照してください。

ASDM 管理では、[Configuration] > [ASA FirePOWER Configuration] > [Updates] を使用して、アップグレードをシステムソフトウェアおよびコンポーネントに適用できます。詳細については、[Updates] ページの [Help] をクリックします。

ASA FirePOWER モジュールのモニタリング

次の各トピックでは、モジュールのモニタリングに関するガイダンスを示します。ASA FirePOWER 関連の syslog メッセージについては、syslog メッセージガイドを参照してください。ASA FirePOWER の syslog メッセージは、メッセージ番号 434001 から始まります。

モニタリングコマンドを使用するには、[Tools] > [Command Line Interface] を使用します。

モジュールステータスの表示

[Home] ページで [ASA FirePOWER Status] タブを選択すると、モジュールに関する情報が表示されます。この情報には、モデル、シリアル番号、ソフトウェアバージョンなどのモジュール情報と、アプリケーション名、アプリケーションステータス、データプレーンステータス、全体のステータスなどのモジュールステータスが含まれます。モジュールが Management Center に登録されている場合は、リンクをクリックしてアプリケーションを開き、詳細な分析やモジュールの設定を行うことができます。

ASDM を使用したモジュールを管理する際、[Home] > [ASA FirePOWER Dashboard] ページを使用して、モジュールで実行中のソフトウェア、製品のアップデート、ライセンシング、システムの負荷、ディスクの使用、システム時間、およびインターフェイスのステータスについての概要情報を表示することもできます。

モジュールの統計情報の表示

sfr コマンドを含む各サービスポリシーの統計情報およびステータスを表示するには、show service-policy sfr コマンドを使用します。カウンタをクリアするには、clear service-policy を使用します。

次に、ASA FirePOWER サービスポリシーと現在の統計情報およびモジュールのステータスを表示する例を示します。モニタ専用モードでは、入力カウンタはゼロのままです。


ciscoasa# show service-policy sfr 

Global policy:
  Service-policy: global_policy
    Class-map: my-sfr-class
      SFR: card status Up, mode fail-close
        packet input 2626422041, packet output 2626877967, drop 0, reset-drop 0, proxied 0

運用動作の分析（ASDM 管理）

ASDM を使用した ASA FirePOWER モジュールを管理する際、次のページを使用してモジュールの運用情報を表示できます。

[Home] > [ASA FirePOWER Reporting]：レポート作成のページには、Web カテゴリ、ユーザ、送信元、モジュールを通じてトラフィックが渡される宛先など、さまざまなモジュールの統計に対して上位 10 個のダッシュボードが提示されます。
[Monitoring] > [ASA FirePOWER Monitoring]：モジュールをモニタするためのいくつかのページがあり、syslog、タスクステータス、モジュール統計、リアルタイムのイベントビューアが含まれています。

モジュール接続のモニタリング

ASA FirePOWER モジュールを通過する接続を表示するには、次のいずれかのコマンドを入力します。

show asp table classify domain sfr

トラフィックを ASA FirePOWER モジュールに送信するために作成された NP ルールを表示します。
show asp drop

ドロップされたパケットを表示します。ドロップのタイプについては、以下で説明します。
show conn

「X - inspected by service module」フラグを表示することにより、接続がモジュールに転送されているかどうかを示します。

show asp drop コマンドは、ASA FirePOWER モジュールに関連する次のドロップ理由を含めることができます。

フレームドロップ：

sfr-bad-tlv-received：これが発生するのは、ASA が FirePOWER から受信したパケットにポリシー ID TLV がないときです。非制御パケットのアクションフィールドで Standy/Active ビットが設定されていない場合は、この TLV が存在している必要があります。
sfr-request：FirePOWER 上のポリシーが理由で、フレームをドロップするよう FirePOWER から要求されました。このポリシーによって、FirePOWER はアクションを Deny Source、Deny Destination、または Deny Pkt に設定します。フレームがドロップべきでなかった場合は、フローを拒否しているモジュールのポリシーを確認します。
sfr-fail-close：パケットがドロップされたのは、カードが動作中ではなく、設定済みのポリシーが「fail-close」であったからです（対照的に、「fail-open」の場合は、カードがダウンしていてもパケットの通過が許可されます）。カードのステータスを確認し、サービスを再開するか、再起動します。
sfr-fail：既存のフローに対する FirePOWER コンフィギュレーションが削除されており、FirePOWER で処理できないため、ドロップされます。これが発生することは、ほとんどありません。
sfr-malformed-packet：FirePOWER からのパケットに無効なヘッダーが含まれます。たとえば、ヘッダー長が正しくない可能性があります。
sfr-ha-request：セキュリティアプライアンスが FirePOWER HA 要求パケットを受信し、それを処理できなかった場合、このカウンタが増加し、パケットがドロップされます。
sfr-invalid-encap：セキュリティアプライアンスが無効なメッセージヘッダーを持つ FirePOWER パケットを受信すると、このカウンタが増加し、パケットがドロップされます。
sfr-bad-handle-received：FirePOWER モジュールからパケットで不正フローハンドルを受信し、フローをドロップしました。FirePOWER フローのハンドルがフロー期間中に変更されると、このカウンタが増加し、フローとパケットが ASA でドロップされます。
sfr-rx-monitor-only：セキュリティアプライアンスがモニタ専用モードのときに FirePOWER パケットを受信すると、このカウンタが増加し、パケットがドロップされます。

フロードロップ：

sfr-request：フローを終了させることを FirePOWER が要求しました。アクションビット 0 が設定されます。
reset-by-sfr：フローの終了とリセットを FirePOWER が要求しました。アクションビット 1 が設定されます。
sfr-fail-close：フローが終了させられたのは、カードがダウン状態であり、設定済みのポリシーが「fail-close」であったからです。

ASA FirePOWER モジュールの履歴


機能	プラットフォームリリース	説明
ASA 5585-X（すべてのモデル）で適合する ASA FirePOWER SSP ハードウェアモジュールをサポート。 ASA 5512-X ～ ASA 5555-X で ASA FirePOWER ソフトウェアモジュールをサポート。	ASA 9.2(2.4) ASA FirePOWER 5.3.1	ASA FirePOWER モジュールは、次世代 IPS（NGIPS）、アプリケーションの可視性とコントロール（AVC）、URL フィルタリング、高度なマルウェア保護（AMP）などの次世代ファイアウォールサービスを提供します。このモジュールは、シングルまたはマルチコンテキストモードとルーテッドまたはトランスペアレントモードで使用できます。次の画面が導入されました。 [Home] > [ASA FirePOWER Status][Wizards] > [Startup Wizard] > [ASA FirePOWER Basic Configuration][Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [ASA FirePOWER Inspection]
ASA 5506-X で ASA FirePOWER ソフトウェアモジュールをサポート（ASDM でのモジュールの設定のサポートを含む）	ASA 9.3(2) ASDM 7.3(3) ASA FirePOWER 5.4.1	ASA 5506-X で ASA FirePOWER ソフトウェアモジュールを実行できます。FireSIGHT Management Center を使用してモジュールを管理したり、ASDM を使用したりすることができます。次の画面が導入されました。 [Home] > [ASA FirePOWER Dashboard]、[Home] > [ASA FirePOWER Reporting]、[Configuration] > [ASA FirePOWER Configuration]（サブページを含む）、[Monitoring] > [ASA FirePOWER Monitoring]（サブページを含む）
トラフィックリダイレクションインターフェイスを使用した ASA FirePOWER パッシブモニタ専用モード	ASA 9.3(2) ASA FirePOWER 5.4.1	サービスポリシーを使用する代わりに、トラフィックをモジュールに送信するようにトラフィック転送インターフェイスを設定できるようになりました。このモードでは、モジュールも ASA もトラフィックに影響を与えません。 traffic-forward sfr monitor-only コマンドが完全にサポートされています。これは、CLI でのみ設定できます。
5506H-X、5506W-X、5508-X、および 5516-X 向けの ASDM を介したモジュール管理のサポート	ASA 9.4(1) ASDM 7.4(1) ASA FirePOWER 5.4.1	FireSIGHT Management Center を使用する代わりに ASDM を使用して、モジュールを管理できます。新しい画面またはコマンドは追加されていません。
5512-X ～ 5585-X 向けの ASDM を介したモジュール管理のサポート	ASA 9.5.(1.5) ASDM 7.5(1.112) ASA FirePOWER 6.0	Firepower Management Center（旧名 FireSIGHT Management Center）を使用する代わりに ASDM を使用して、モジュールを管理できます。新しい画面またはコマンドは追加されていません。
ASA FirePOWER 6.0 でのアクティブ認証向けキャプティブポータル。	ASA 9.5.(2) ASA FirePOWER 6.0	キャプティブポータル機能では、ASA FirePOWER 6.0 で始まるアイデンティティポリシーを使用してアクティブ認証を有効にする必要があります。次のコマンドが導入または変更されました。captive-portal 、clear configure captive-portal 、show running-config captive-portal 。

ASDM ブック 2：Cisco ASA シリーズ ファイアウォール ASDM 7.9 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ASA FirePOWER モジュール

ASA FirePOWER モジュール

ASA FirePOWER モジュールについて

ASA FirePOWER モジュールがどのように ASA と連携するか

ASA FirePOWER インライン モジュール

ASA FirePOWER インライン タップ モニタ専用モード

ASA FirePOWER パッシブ モニタ専用トラフィック転送モード

ASA FirePOWER 管理

ASA の機能との互換性

ASA FirePOWER モジュールで URL フィルタリングができないときの対応

ASA FirePOWER モジュールのライセンス要件

ASA FirePOWER のガイドライン

フェールオーバーのガイドライン

ASA クラスタリングのガイドライン

モデルのガイドライン

ASA FirePOWER の管理に関する ASDM のガイドライン

その他のガイドラインと制限事項

ASA FirePOWER のデフォルト

ASA FirePOWER の初期設定の実行

ネットワークでの ASA FirePOWER モジュールの導入

ルーテッド モード

ルーテッド モードの ASA 5585-X（ハードウェア モジュール）

ルーテッド モードの ASA 5506-X（ソフトウェア モジュール）

ルーテッド モジュールの ASA 5508-X ～ ASA 5555-X（ソフトウェア モジュール）

トランスペアレント モード

トランスペアレント モードの ASA 5585-X（ハードウェア モジュール）

トランスペアレント モードの ASA 5506-X ～ ASA 5555-X、ISA 3000（ソフトウェア モジュール）

Management Center への ASA FirePOWER モジュールの登録

ASA FirePOWER CLI へのアクセス

手順

ASA FirePOWER の基本設定

始める前に

手順

例:

ASDM 管理用の ASA FirePOWER モジュールの設定

手順

ASA FirePOWER モジュールの設定

ASA FirePOWER モジュールでのセキュリティ ポリシーの設定

FireSIGHT 管理センター

ASDM

ASA FirePOWER モジュールへのトラフィックのリダイレクト

インライン モードまたはインライン タップ モニタ専用モードの設定

始める前に

手順

パッシブ トラフィック転送の設定

手順

例:

例

アクティブ認証用キャプティブ ポータルの有効化

始める前に

手順

例:

ASA FirePOWER モジュールの管理

モジュールのインストールまたは再イメージング

ソフトウェア モジュールのインストールまたは再イメージング

始める前に

手順

例:

例:

例:

5585-X ASA FirePOWER ハードウェア モジュールの再イメージング

始める前に

手順

例:

例:

パスワードのリセット

始める前に

手順

モジュールのリロードまたはリセット

始める前に

手順

モジュールのシャットダウン

始める前に

手順

ソフトウェア モジュール イメージのアンインストール

始める前に

ASDM ブック 2：Cisco ASA シリーズファイアウォール ASDM 7.9 コンフィギュレーションガイド

ASA FirePOWER インラインモジュール

ASA FirePOWER インラインタップモニタ専用モード

ASA FirePOWER パッシブモニタ専用トラフィック転送モード

ルーテッドモード

ルーテッドモードの ASA 5585-X（ハードウェアモジュール）

ルーテッドモードの ASA 5506-X（ソフトウェアモジュール）

ルーテッドモジュールの ASA 5508-X ～ ASA 5555-X（ソフトウェアモジュール）

トランスペアレントモード

トランスペアレントモードの ASA 5585-X（ハードウェアモジュール）

トランスペアレントモードの ASA 5506-X ～ ASA 5555-X、ISA 3000（ソフトウェアモジュール）

ASA FirePOWER モジュールでのセキュリティポリシーの設定

インラインモードまたはインラインタップモニタ専用モードの設定

パッシブトラフィック転送の設定

アクティブ認証用キャプティブポータルの有効化

ソフトウェアモジュールのインストールまたは再イメージング

5585-X ASA FirePOWER ハードウェアモジュールの再イメージング

ソフトウェアモジュールイメージのアンインストール

ASA からソフトウェアモジュールへのセッション

システムソフトウェアのアップグレード

モジュールステータスの表示

フレームドロップ：

フロードロップ：