Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: デバイスの管理の基本
デバイスの管理の基本
次のトピックでは、Firepower システムでデバイスを管理する方法について説明します。
- [デバイス管理(Device Management)] ページ
- リモート管理の設定
- Firepower Management Center へのデバイスの追加
- Firepower Management Center からのデバイスの削除
- デバイス コンフィギュレーションの設定
- インターフェイス テーブル ビュー
- デバイス グループ管理
[デバイス管理(Device Management)] ページ
[デバイス管理(Device Management)] ページには、登録されたデバイス、7000 および 8000 シリーズ デバイスのハイ アベイラビリティ ペア、およびデバイス グループを管理するために使用できる、一連の情報とオプションが表示されます。このページには、現在 Firepower Management Center に登録されているすべてのデバイスの一覧が表示されます。
[ソート基準(sort-by)] ドロップダウン リストを使用すると、グループ、ライセンス、モデル、またはアクセス コントロール ポリシーのいずれかのカテゴリでデバイス一覧をソートできます。マルチドメイン導入では、ドメイン(その導入のデフォルトの表示カテゴリ)を基準にソートすることもできます。デバイスはリーフ ドメインに属している必要があります。
デバイス カテゴリに属するデバイスの一覧は、展開または縮小表示できます。デフォルトでは、デバイス一覧が展開されます。
)が表示されます。管理対象デバイスのフィルタリング
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
リーフのみ |
Admin/Network Admin |
Firepower Management Center が大量のデバイスを管理する場合、[デバイス管理(Device Management)] ページの結果を絞り込むことで特定のデバイスを見つけやすくなります。
リモート管理の設定
Firepower System デバイスを管理できるようにするには、デバイスと Firepower Management Center との間に双方向の SSL 暗号化通信チャネルをセットアップする必要があります。このチャネルを使用して、両方のアプライアンスが設定とイベント情報を共有します。ハイ アベイラビリティ ピアも、このチャネルを使用します。このチャネルは、デフォルトではポート 8305/tcp に位置します。
 (注) | この章では、FMC にデバイスを登録する前にローカル Web インターフェイスを使用して、7000 または 8000 シリーズ デバイスのリモート管理の設定方法について説明します。他のモデルのリモート管理の設定の詳細については、適切なクイックスタートガイドを参照してください。 |
2 つのアプライアンス間の通信を可能にするためには、アプライアンスが互いを認識する手段を提供しなければなりません。Firepower System では 3 つの基準を使用して、通信を許可します。
Firepower Management Center へのデバイスの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Network Admin |
Firepower Management Center に 1 つのデバイスを追加するには、ここに示す手順を実行します。冗長性やパフォーマンスのためにデバイスをリンクする場合、次の点を念頭に置いて、この手順を実行する必要があります。
-
8000 シリーズ スタック:この手順を使用して各デバイスを Firepower Management Center に追加した後、スタックを確立します(デバイス スタックの確立を参照)。
-
7000 および 8000 シリーズ ハイ アベイラビリティ:この手順を使用して各デバイスを Firepower Management Center に追加した後、高可用性を確立します(デバイスのハイ アベイラビリティの確立を参照)。ハイ アベイラビリティ スタックの場合、デバイスをスタックしてから、スタック間のハイ アベイラビリティを確立します。
-
デバイスを Firepower Management Center の管理対象として設定します。7000 および 8000 シリーズ デバイスについては、管理対象デバイス上のリモート管理の設定を参照してください。他のモデルのリモート管理設定の詳細については、該当するクイックスタートガイドを参照してください。
-
IPv4 を使用して登録した Firepower Management Center とデバイスを IPv6 に変換する場合は、デバイスをいったん削除してから再登録する必要があります。
| ステップ 1 | を選択します。 |
| ステップ 2 | [追加(Add)] ドロップダウン メニューから、[デバイスの追加(Add Device)] を選択します。 |
| ステップ 3 | [ホスト(Host)] フィールドに、追加するデバイスの IP アドレスまたはホスト名を入力します。
デバイスのホスト名は、完全修飾ドメイン名またはローカル DNS で有効な IP アドレスに解決される名前です。ネットワークで IP アドレスの割り当てに DHCP を使用している場合は、IP アドレスではなく、ホスト名を使用します。 NAT 環境では、Firepower Management Center の管理対象としてデバイスを設定するときに Firepower Management Center の IP アドレスまたはホスト名をすでに指定した場合、デバイスの IP アドレスまたはホスト名を指定する必要がない場合があります。詳細については、NAT 環境を参照してください。 |
| ステップ 4 | [表示名(Display Name)] フィールドに、Firepower Management Center でのデバイスの表示名を入力します。 |
| ステップ 5 | [登録キー(Registration Key)] フィールドに、Firepower Management Center の管理対象としてデバイスを設定したときに使用したのと同じ登録キーを入力します。登録キーは、1 回限り使用可能な共有シークレットです。 |
| ステップ 6 | マルチドメイン展開では、現在のドメインに関係なく、デバイスをリーフ ドメインに割り当てます。
現在のドメインがリーフ ドメインである場合、デバイスは自動的に現在のドメインに追加されます。現在のドメインがリーフ ドメインでない場合、登録後、デバイスを設定するために、リーフ ドメインに切り替える必要があります。 |
| ステップ 7 | 必要に応じて、デバイスをデバイス グループに追加します。 |
| ステップ 8 | 登録後すぐに、デバイスに展開する最初の [アクセス コントロール ポリシー(Access Control Policy)] を選択するか、新しいポリシーを作成します。
デバイスが選択したポリシーに適合しない場合、展開は失敗します。この不適合には、複数の要因が考えられます。たとえば、ライセンスの不一致、モデルの制限、パッシブとインラインの問題、その他の構成ミスなどです。この障害の原因を解決した後、デバイスに手作業で設定を行います。 |
| ステップ 9 | デバイスに適用するライセンスを選択します。
従来型のデバイスでは、次の点に注意してください。 |
| ステップ 10 | デバイスの設定時に、NAT ID を使用した場合、[詳細(Advanced)] セクションを展開し、[一意の NAT ID(Unique NAT ID)] フィールドに同じ NAT ID を入力します。 |
| ステップ 11 | [パケットの転送(Transfer Packets)] チェックボックスをオンにし、デバイスで Firepower Management Center にパケットを転送することを許可します。
このオプションは、デフォルトで有効です。無効にすると、Firepower Management Center へのパケット転送が完全に禁止されます。 |
| ステップ 12 | [登録(Register)] をクリックします。
Firepower Management Center がデバイスのハートビートを確認して通信を確立するまでに、最大 2 分かかる場合があります。 |
Firepower Management Center からのデバイスの削除
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Network Admin |
デバイスを管理する必要がなくなった場合、Firepower Management Center からそのデバイスを削除できます。デバイスを削除すると、以下のようになります。
-
Firepower Management Center とそのデバイスとの間のすべての通信が切断されます。
-
[デバイス管理(Device Management)] ページからデバイスが削除されます。
-
プラットフォーム設定ポリシーで、NTP を介して Firepower Management Center から時間を受信するようにデバイスが設定されている場合は、デバイスがローカル時間管理に戻されます。
デバイスを後者で管理するには、デバイスを Firepower Management Center に再度追加します。
(注) | デバイスを削除し、再び追加すると、Firepower Management Center Web インターフェイスによって、アクセス コントロール ポリシーを再適用するよう求められます。ただし、登録時に NAT と VPN ポリシーを再適用するオプションはありません。以前に適用された NAT または VPN 設定はすべて登録時に削除されるため、登録が完了した後に再適用する必要があります。 |
デバイス コンフィギュレーションの設定
アプライアンス エディタの [デバイス(Device)] ページには、詳細なデバイス設定および情報が表示されます。また、デバイス設定の一部(ライセンスの有効化と無効化、デバイスのシャットダウンと再起動、管理の変更、詳細オプションの設定など)を変更することもできます。
- 一般的なデバイスの設定
- デバイス ライセンスの設定
- デバイス システムの設定
- デバイス ヘルスの設定
- デバイス管理設定
- デバイスの詳細設定
- デバイス情報の表示
- デバイス管理設定の編集
- 一般的なデバイス設定の編集
- デバイス ライセンスの有効化と無効化
- 詳細なデバイス設定の編集
- システム シャットダウンの管理
一般的なデバイスの設定
[デバイス(Device)] タブの [全般(General)] セクションには、以下の表に記載された設定を表示します。
|
管理対象デバイスがイベントを含むパケット データを Firepower Management Center に送信するかどうか。 |
|
|
展開を強制(Force Deploy) |
デバイスのすべてのポリシーおよびデバイス設定の更新を強制的に展開します。 |
デバイス ライセンスの設定
[デバイス(Device)] タブの [ライセンス(License)] セクションでは、そのデバイスに対して有効になっているライセンスが表示されます。
デバイス システムの設定
[デバイス(Device)] タブの [システム(System)] セクションには、次の表に示すように、システム情報の読み取り専用テーブルが表示されます。
デバイス ヘルスの設定
[デバイス(Device)] タブの [ヘルス(Health)] セクションには、以下の表に記載された情報を表示します。
|
デバイスの現在のヘルス ステータスを表すアイコン。アイコンをクリックすると、アプライアンスのヘルス モニタが表示されます。 |
|
|
ブラックリスト |
[ヘルス ブラックリスト(Health Blacklist)] ページへのリンク。このページでは、ヘルス ブラックリスト モジュールを有効または無効に設定できます。 |
デバイス管理設定
[デバイス(Device)] タブの [管理(Management)] セクションには、以下の表に記載されたフィールドを表示します。
デバイスの詳細設定
[デバイス(Device)] タブの [詳細設定(Advanced)] セクションには、以下で説明する詳細設定のテーブルが表示されます。上記の設定は、いずれも [詳細設定(Advanced)] セクションを使用して編集できます。
|
デバイスで、ルーテッド インターフェイスで受信した自己を宛先とするトラフィック(ICMP、DHCP、および OSPF トラフィックなど)を検査するかどうかを示します。 |
||
デバイス情報の表示
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Network Admin |
マルチドメイン展開では、先祖ドメインは、子孫ドメイン内のすべてのデバイスに関する情報を表示できます。デバイスを編集するリーフ ドメインに位置している必要があります。
| ステップ 1 | を選択します。 |
| ステップ 2 | 表示するデバイスの横にある編集アイコン( )をクリックします。
マルチドメイン展開では、先祖ドメインに位置している場合、表示アイコン( |
| ステップ 3 | [デバイス(Device)] タブをクリックします。 |
| ステップ 4 | 次の情報が表示されます。
|
)をクリックすると、読み取り専用モードで子孫ドメインのデバイスを表示できます。デバイス管理設定の編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
リーフのみ |
Admin/Network Admin |
(注) | 場合によっては、(デバイスの LCD パネルまたは CLI などを使用して)別の方法でデバイスのホスト名や IP アドレスを編集する場合は、次の手順を実行して、管理用の Firepower Management Center でホスト名や IP アドレスを手動で更新する必要があります。 |
| ステップ 1 | を選択します。 | ||
| ステップ 2 | 管理オプションを変更するデバイスの横にある編集アイコン()をクリックします。
マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 | ||
| ステップ 3 | [デバイス(Device)] タブをクリックします。
| ||
| ステップ 4 | 次の操作を実行できます。
|
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
一般的なデバイス設定の編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
リーフのみ |
Admin/Network Admin |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
デバイス ライセンスの有効化と無効化
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
リーフのみ |
Admin/Network Admin |
Firepower Management Center で使用可能なライセンスがある場合、デバイスでそのライセンスを有効にすることができます。
| ステップ 1 | を選択します。 | ||
| ステップ 2 | ライセンスを有効または無効にするデバイスの横にある編集アイコン()をクリックします。
マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 | ||
| ステップ 3 | [デバイス(Device)] タブをクリックします。
| ||
| ステップ 4 | [ライセンス(License)] セクションで、編集アイコン( )をクリックします。 | ||
| ステップ 5 | 管理対象デバイスに対して有効または無効にするライセンスの横にあるチェックボックスをオンまたはオフにします。 | ||
| ステップ 6 | [保存(Save)] をクリックします。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
詳細なデバイス設定の編集
アプリケーション バイパス、ローカル ルータ トラフィックのインスペクション、および高速パスのルールを設定できます。
自動アプリケーション バイパスの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ、NGIPSv、ASA FirePOWER |
リーフのみ |
Admin |
自動アプリケーション バイパス(AAB)機能は、インターフェイスでのパケット処理時間に制限を設け、この時間を超過した場合、パケットに検出のバイパスを許可します。この機能は任意の展開で使用できますが、インライン展開ではとりわけ価値があります。
パケット処理の遅延は、ネットワークで許容できるパケット レイテンシとバランスを取って調整します。Snort 内での不具合やデバイスの誤った設定が原因で、トラフィックの処理時間が指定のしきい値を超えると、AAB により、その障害発生から 10 分以内に Snort が再起動され、トラブルシューティング データが生成されます。このデータを分析することで、過剰な処理時間の原因を調査できます。
一般に、遅延しきい値を超えた後は、高速パス パケットに対して侵入ポリシーの [ルール遅延しきい値(Rule Latency Thresholding)] を使用します。[ルール遅延しきい値(Rule Latency Thresholding)] により、エンジンがシャットダウンされたり、しきい値データが生成されることはありません。
検出がバイパスされると、デバイスがヘルス モニタリング アラートを生成します。
 注意 | 単一パケットに過剰な処理時間がかかっている場合、AAB がアクティブになります。AAB のアクティブ化は、いくつかのパケットのインスペクションを一時的に中断する Snort プロセスを部分的に再起動します。インスペクションが中断されている間に、パケットがドロップされるかインスペクションを行わずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。 |
| ステップ 1 | を選択します。 |
| ステップ 2 | 高度なデバイス設定を編集するデバイスの横にある編集アイコン()をクリックします。
マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 |
| ステップ 3 | [デバイス(Device)] タブ(またはスタック構成のデバイスの場合は [スタック(Stack)] タブ)をクリックし、[詳細(Advanced)] セクションの編集アイコン()をクリックします。 |
| ステップ 4 | [自動アプリケーション バイパス(Automatic Application Bypass)] をオンにします。 |
| ステップ 5 | [バイパスしきい値(Bypass Threshold)] に 250 ~ 60,000 ミリ秒を入力します。デフォルト設定は 3000 ミリ秒(ms)です。 |
| ステップ 6 | [保存(Save)] をクリックします。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
ローカル ルータ トラフィックの検査
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
リーフのみ |
Admin/Network Admin |
ローカル内トラフィックがレイヤ 3 展開のモニタ ルールと一致する場合、そのトラフィックは検査をバイパスすることがあります。トラフィックの検査を確認するには、[ローカル ルータ トラフィックの検査(Inspect Local Router Traffic)] を有効にします。
| ステップ 1 | を選択します。 |
| ステップ 2 | 高度なデバイス設定を編集するデバイスの横にある編集アイコン()をクリックします。
マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 |
| ステップ 3 | [デバイス(Devices)] タブ(スタック構成のデバイスの場合は [スタック(Stack)] タブ)をクリックして、[詳細(Advanced)] セクションの編集アイコン()をクリックします。 |
| ステップ 4 | 7000 または 8000 シリーズ デバイスがルータとして展開されている場合は、[ローカル ルータ トラフィックの検査] をオンにして、例外トラフィックを検査します。 |
| ステップ 5 | [保存(Save)] をクリックします。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
高速パス ルールの設定(8000 シリーズ)
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
8000 シリーズ |
リーフのみ |
Admin/Network Admin |
トラフィック処理の初期形式として、8000 シリーズ高速パス ルールでは、それ以上のインスぺクションやロギングを行わずに 8000 シリーズ デバイスを介してトラフィックを直接送信できます。(パッシブ展開では、8000 シリーズ高速パス ルールは単に分析を停止します)。各 8000 シリーズ高速パス ルールは、特定のセキュリティ ゾーンまたはインライン インターフェイス セットに適用されます。8000 シリーズ高速パス ルールはハードウェア レベルで機能するため、高速パス トラフィックには、次の単純な外部ヘッダーの基準のみを使用できます。
デフォルトでは、8000 シリーズ高速パス ルールは指定した発信側から指定した応答側への接続に影響します。ルールの基準を満たすすべての接続を高速パス処理するには、どちらのホストが発信側か応答側かに関係なく、ルールを双方向にすることができます。
| ステップ 1 | を選択します。 |
| ステップ 2 | ルールを設定する 8000 シリーズ デバイスの横にある編集アイコン()をクリックします。
マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 |
| ステップ 3 | [デバイス(Device)] タブ(またはスタック構成のデバイスの場合は [スタック(Stack)] タブ)をクリックし、[詳細(Advanced)] セクションの編集アイコン()をクリックします。 |
| ステップ 4 | [新しい IPv4 ルール(New IPv4 Rule)] または [新しい IPv6 ルール(New IPv6 Rule)] をクリックします。 |
| ステップ 5 | [ドメイン(Domain)] ドロップダウン リストから、インライン セットまたはパッシブ セキュリティ ゾーンを選択します。 |
| ステップ 6 | 高速パス処理するトラフィックを設定します。トラフィックは高速パス処理のためのすべての条件を満たしている必要があります。
|
| ステップ 7 | (任意)ルールを [双方向(Bidirectional)] にします。 |
| ステップ 8 | [保存(Save)] をクリックしてから、もう一度 [保存(Save)] をクリックします。 |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
システム シャットダウンの管理
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
すべて(ASA FirePOWER を除く) |
リーフのみ |
Admin/Network Admin |
(注) | Firepower システムのユーザ インターフェイスでは、ASA FirePOWER のシャットダウンまたは再起動はできません。それぞれのデバイスをシャット ダウンする方法の詳細については、ASA の資料を参照してください。 |
| ステップ 1 | を選択します。 | ||
| ステップ 2 | 再起動するデバイスの横にある編集アイコン()をクリックします。
マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 | ||
| ステップ 3 | [デバイス(Device)] タブをクリックします。
| ||
| ステップ 4 | デバイスをシャット ダウンするには、[システム(System)] セクションでデバイスのシャット ダウン アイコン( )をクリックします。 | ||
| ステップ 5 | プロンプトが表示されたら、デバイスのシャットダウンを確認します。 | ||
| ステップ 6 | デバイスを再起動するには、デバイスの再起動アイコン( )をクリックします。 | ||
| ステップ 7 | プロンプトが表示されたら、デバイスを再起動することを確認します。 |
インターフェイス テーブル ビュー
ハードウェア ビューの下にあるインターフェイス テーブル ビューには、デバイスで使用可能なすべてのインターフェイスが一覧表示されます。テーブル内のナビゲーション ツリーを展開すると、設定されているすべてのインターフェイスを表示できます。インターフェイスの横にある矢印アイコンをクリックして、インターフェイスを縮小または展開することで、サブコンポーネントの非表示/表示を切り替えることができます。このインターフェイス テーブル ビューには、各インターフェイスに関する以下の要約情報が表示されます。
従来のデバイスのインターフェイス
[MAC アドレス(MAC Address)] 列と [IP アドレス(IP Address)] 列が表示されるのは、8000 シリーズ デバイスのみです。詳細については、次の表を参照してください。
|
各インターフェイス タイプは、タイプとリンク ステート(該当する場合)を示す固有のアイコンによって表されます。名前またはアイコンの上にマウス ポインタを移動すると、インターフェイス タイプ、速度、デュプレックス モード(該当する場合)がツールチップに表示されます。インターフェイス アイコンについては、インターフェイス アイコンを参照してください。 アイコンでは、インターフェイスの現在のリンク状態を示す表示方法が使用されています。次の 3 つの状態のいずれかが表示されます。 論理インターフェイスのリンク状態は、親物理インターフェイスのリンク状態と同じです。ASA FirePOWER モジュールには、リンク状態は表示されません。無効化されたインターフェイスは、半透明のアイコンで表されます。 アイコンの右側に表示されるインターフェイス名は自動生成されます。ただし、ハイブリッド インターフェイスと ASA FirePOWER インターフェイスの名前はユーザが定義します。ASA FirePOWER インターフェイスについては、名前が付けられており、リンクを持つ有効なインターフェイスのみが表示されることに注意してください。 物理インターフェイスでは、物理インターフェイスの名前が表示されます。論理インターフェイスでは、物理インターフェイスの名前と、割り当てられている VLAN タグが表示されます。 ASA FirePOWER インターフェイスでは、複数のセキュリティ コンテキストがある場合は、セキュリティ コンテキストの名前とインターフェイスの名前が表示されます。セキュリティ コンテキストが 1 つしかない場合は、インターフェイスの名前のみが表示されます。 |
|
|
インターフェイスが割り当てられているセキュリティ ゾーン。セキュリティ ゾーンを追加または編集するには、編集アイコン( |
|
|
インターフェイスが割り当てられているインライン セット、仮想スイッチ、または仮想ルータ。ASA FirePOWER モジュールでは、[使用者(Used by)] 列は表示されません。 |
|
|
スイッチド機能およびルーテッド機能で有効にされているインターフェイスに対して表示される MAC アドレス。 NGIPSv デバイスの場合、表示された MAC アドレスにより、デバイス上に設定されたネットワーク アダプタと、[インターフェイス(Interfaces)] ページに表示されるインターフェイスを対応させることができます。ASA FirePOWER モジュールでは、MAC アドレスは表示されません。 |
|
|
インターフェイスに割り当てられた IP アドレス。マウスのポインタを IP アドレスの上に重ねると、その IP アドレスがアクティブであるか非アクティブであるかを確認できます。非アクティブな IP アドレスはグレー表示されます。ASA FirePOWER モジュールでは、IP アドレスは表示されません。 |
)
)
)デバイス グループ管理
Firepower Management Center でデバイスをグループ化すると、複数のデバイスへのポリシーの展開やアップデートのインストールを簡単に行えます。グループに属するデバイスのリストは、展開または縮小表示できます。デフォルトでは、このリストは縮小表示されます。
マルチドメイン展開では、リーフ ドメイン内でのみデバイス グループを作成できます。Firepower Management Center をマルチテナンシー向けに設定すると既存のデバイス グループは削除されます。デバイス グループはリーフ ドメイン レベルで再度追加できます。
デバイス グループの追加
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
リーフのみ |
Admin/Network Admin |
デバイス グループにより、複数デバイスへのポリシーの割り当てとインストール更新が簡単にできます。
スタック内または高可用性ペア内のプライマリ デバイスをグループに追加すると、両方のデバイスがグループに追加されます。デバイスのスタック構成を解除または高可用性ペアを分解しても、これらのデバイスは両方ともグループに属したままになります。
| ステップ 1 | を選択します。 |
| ステップ 2 | [追加(Add)] ドロップダウン メニューから、[グループの追加(Add Group)] を選択します。 |
| ステップ 3 | 名前を入力します。 |
| ステップ 4 | [使用可能なデバイス(Available Devices)] から、デバイス グループに追加するデバイスを 1 つ以上選択します。複数のデバイスを選択する場合は、Ctrl または Shift キーを押しながらクリックします。 |
| ステップ 5 | [追加(Add)] をクリックして、選択したデバイスをデバイス グループに追加します。 |
| ステップ 6 | [OK] をクリックして、デバイス グループを追加します。 |
デバイス グループの編集
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
リーフのみ |
Admin/Network Admin |
任意のデバイス グループに含まれる一連のデバイスを変更できます。アプライアンスは、現行のグループから削除してからでないと、新しいグループに追加できません。
アプライアンスを新しいグループに移動しても、そのアプライアンスのポリシーが、新しいグループにすでに割り当てられているポリシーに変更される訳ではありません。グループのポリシーを新しいデバイスに割り当てる必要があります。
スタック内またはデバイスのハイ アベイラビリティ ペア内のプライマリ デバイスをグループに追加すると、両方のデバイスがグループに追加されます。デバイスのスタック構成を解除または高可用性ペアを分解しても、これらのデバイスは両方ともグループに属したままになります。
マルチドメイン展開では、デバイス グループは、それらが作成されたドメイン内でのみ編集できます。
| ステップ 1 | を選択します。 |
| ステップ 2 | 編集するデバイス グループの横にある編集アイコン()をクリックします。 |
| ステップ 3 | 必要に応じて、[名前(Name)] フィールドに、グループの新しい名前を入力します。 |
| ステップ 4 | [使用可能なデバイス(Available Devices)] から、デバイス グループに追加するデバイスを 1 つ以上選択します。複数のデバイスを選択する場合は、Ctrl または Shift キーを押しながらクリックします。 |
| ステップ 5 | [追加(Add)] をクリックして、選択したデバイスをデバイス グループに追加します。 |
| ステップ 6 | 必要に応じて、デバイス グループからデバイスを削除するには、削除するデバイスの横にある削除アイコン( )をクリックします。 |
| ステップ 7 | [OK] をクリックして、デバイス グループに加えた変更を保存します。 |
フィードバック