この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
次のトピックでは、Firepower システムで従来型デバイス(7000 および 8000 シリーズ デバイス、ASA with FirePOWER サービス、NGIPSv)を管理する方法について説明します。
Firepower System デバイスを管理できるようにするには、デバイスと Firepower Management Center との間に双方向の SSL 暗号化通信チャネルをセットアップする必要があります。このチャネルを使用して、両方のアプライアンスが設定とイベント情報を共有します。ハイ アベイラビリティ ピアも、このチャネルを使用します。このチャネルは、デフォルトではポート 8305/tcp に位置します。
![]() (注) | この章では、FMC にデバイスを登録する前にローカル Web インターフェイスを使用して、7000 または 8000 シリーズ デバイスのリモート管理の設定方法について説明します。他のモデルのリモート管理の設定の詳細については、適切なクイックスタートガイドを参照してください。 |
2 つのアプライアンス間の通信を可能にするためには、アプライアンスが互いを認識する手段を提供しなければなりません。Firepower System では 3 つの基準を使用して、通信を許可します。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
該当なし |
Admin/Network Admin |
アプライアンスが相互に通信できることを確認し、ステータスとして [登録保留(Pending Registration)] が表示されるまで待ちます。
このデバイスを Firepower Management Center に追加します。Firepower Management Center へのデバイスの追加を参照してください。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
該当なし |
Admin/Network Admin |
ステップ 1 | デバイスの Web インターフェイスで、 を選択します。 |
ステップ 2 | まだ表示されていない場合は、[リモート管理(Remote Management)] タブをクリックします。 |
ステップ 3 | 次の操作を実行できます。
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ Management Center |
グローバルだけ |
Admin/Network Admin |
アプライアンスは、双方向の SSL 暗号化通信チャネルを使用して通信します。このチャネルは、デフォルトではポート 8305 に位置します。
設定をデフォルトのままにすることを強く奨励します。管理ポートがネットワークでの他の通信と競合する場合には、他のポートを選択できます。通常、管理ポートの変更は、Firepower System のインストール時に行います。
![]() 注意 | 管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを変更する必要があります。 |
アプライアンス エディタの [インターフェイス(Interfaces)] ページには、詳細なインターフェイス設定情報が表示されます。このページは、物理ハードウェア ビューとインターフェイス テーブル ビューで構成されており、構成の詳細情報にドリルダウンできます。このページからインターフェイスを追加したり編集したりできます。
[インターフェイス(Interfaces)] ページの一番上には、7000 または 8000 シリーズ デバイスの物理的なハードウェア ビューがグラフィカル表示されます。
![]() |
||
![]() |
||
![]() |
||
![]() |
||
![]() |
||
![]() |
||
![]() |
||
![]() |
||
![]() |
||
![]() |
ASA FirePOWER:ASA FirePOWER モジュールがインストールされた ASA デバイスに設定されているインターフェイス。 |
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
任意(Any) |
Admin/Network Admin |
ステップ 1 | を選択します。 |
ステップ 2 | 管理するデバイスの横にある編集アイコン(![]() マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 |
ステップ 3 | グラフィカル インターフェイスを使用して、以下を実行できます。
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
従来型(Classic) |
リーフのみ |
Admin/Network Admin |
アプライアンス エディタの [インターフェイス(Interfaces)] ページで、Firepower システムの展開に応じて、管理対象デバイスのセンシング インターフェイスを設定できます。管理対象デバイスには、合計 1024 個のインターフェイスを設定できることに注意してください。
![]() (注) | Firepower Management Center では、ASA FirePOWER が SPAN ポート モードで展開されている場合、ASA インターフェイスを表示しません。 |
ステップ 1 | を選択します。 |
ステップ 2 | インターフェイスを設定するデバイスの横にある編集アイコン(![]() マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 |
ステップ 3 | 設定するインターフェイスの横にある編集アイコン(![]() |
ステップ 4 | インターフェイス エディタを使用して、センシング インターフェイスを設定します。
|
ステップ 5 | [保存(Save)] をクリックして構成を完了します。 |
設定変更を展開します。設定変更の導入を参照してください。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
該当なし |
任意(Any) |
7000 & 8000 シリーズ |
リーフのみ |
Admin/Network Admin |
7000 または 8000 シリーズ デバイスの高可用性ペアを確立した後、物理インターフェイスをハイ アベイラビリティ(HA)リンク インターフェイスとして設定できます。このリンクは、ペアリングされたデバイス間でヘルス情報を共有するために使用する、冗長通信チャネルとして機能します。1 つのデバイスに HA リンク インターフェイスを設定すると、自動的に 2 番目のデバイスにインターフェイスが設定されます。同じブロードキャスト ドメインに、両方の HA リンクを設定する必要があります。
ダイナミック NAT は、他の IP アドレスとポートにマップする IP アドレスとポートの動的割り当てに依存します。HA リンクがなければ、これらのマッピングはフェールオーバーで失われます。その場合、変換されたすべての接続は高可用性ペアで新しくアクティブになったデバイスを介してルーティングされることになるため、それらの接続は失敗します。
ステップ 1 | を選択します。 | ||
ステップ 2 | HA リンク インターフェイスを設定するピアの横にある編集アイコン(![]() マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 | ||
ステップ 3 | HA リンク インターフェイスとして設定するインターフェイスの横にある編集アイコン(![]() | ||
ステップ 4 | [HA リンク(HA Link)] をクリックします。 | ||
ステップ 5 | [有効(Enabled)] チェックボックスをオンにします。
| ||
ステップ 6 | [モード(Mode)] ドロップダウン リストからリンク モードを指定するオプションを選択するか、[自動ネゴシエーション(Autonegotiation)] を選択して、速度とデュプレックスの設定を自動ネゴシエートするようにインターフェイスを設定します。 | ||
ステップ 7 | [MDI/MDIX] ドロップダウン リストから、インターフェイスの設定対象として MDI(メディア依存型インターフェイス)、MDIX(メディア依存型インターフェイス クロスオーバー)、または自動 MDIX のいずれかを指定するオプションを選択します。
| ||
ステップ 8 | [MTU] フィールドに最大伝送ユニット(MTU)を入力します。
MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。詳細については、7000 および 8000 シリーズ デバイスおよび NGIPSv の MTU 範囲を参照してください。
| ||
ステップ 9 | [保存(Save)] をクリックします。 |
設定変更を展開します。設定変更の導入を参照してください。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ NGIPSv |
リーフのみ |
Admin/Network Admin |
インターフェイス タイプを [なし(None)] に設定することで、インターフェイスを無効にすることができます。無効にされたインターフェイスは、インターフェイス リストでグレー表示されます。
設定変更を展開します。設定変更の導入を参照してください。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
脅威(Threat) |
Protection |
ASA FirePOWER |
リーフのみ |
Admin/Network Admin |
ASA FirePOWER インターフェイスを編集する際に、Firepower Management Center から設定できるのは、インターフェイスのセキュリティ ゾーンのみです。
ASA FirePOWER インターフェイスを完全に設定するには、ASA 専用ソフトウェアおよび CLI を使用します。ASA FirePOWER およびスイッチを編集して、マルチ コンテキスト モードからシングル コンテキスト モード(またはその逆)に切り替えると、ASA FirePOWER はそのインターフェイスの名前をすべて変更します。ASA FirePOWER の更新されたインターフェイス名を使用するように、すべての Firepower System セキュリティ ゾーン、相関ルール、関連する設定を再設定する必要があります。ASA FirePOWER インターフェイスの設定の詳細については、ASA のマニュアルを参照してください。
![]() (注) | ASA FirePOWER インターフェイスのタイプは変更できません。また、Firepower Management Center からインターフェイスを無効にすることもできません。 |
ステップ 1 | を選択します。 |
ステップ 2 | インターフェイスを編集するデバイスの横にある編集アイコン(![]() マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 |
ステップ 3 | [インターフェイス(Interfaces)] タブが表示されていない場合は、そのタブをクリックします。 |
ステップ 4 | 編集するインターフェイスの横にある編集アイコン(![]() |
ステップ 5 | [セキュリティ ゾーン(Security Zone)] ドロップダウンリストから既存のセキュリティ ゾーンを選択するか、[新規(New)] を選択して新しいセキュリティ ゾーンを追加します。 |
ステップ 6 | [保存(Save)] をクリックして、セキュリティ ゾーンを設定します。 |
設定変更を展開します。設定変更の導入を参照してください。
デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。
![]() (注) | システムは、設定された MTU 値から 18 バイトを切り捨てます。594 より小さい IPv4 MTU または 1298 より小さい IPv6 MTU を設定しないでください。 |
MTU 範囲 |
|
---|---|
7000 & 8000 シリーズ |
576 ~ 9234(管理インターフェイス) 576 ~ 10172(インライン セット、パッシブ インターフェイス) 576 ~ 9922(その他) |
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ NGIPSv |
リーフのみ |
Admin/Network Admin |
セキュリティ ゾーン オブジェクトを更新すると、システムはそのオブジェクトの新しいリビジョンを保存します。その結果、同じセキュリティ ゾーン内の管理対象デバイスに、インターフェイスで設定されたセキュリティ オブジェクトの異なるリビジョンがある場合、接続が重複しているようなログが記録される可能性があります。
接続の重複が報告されていることに気づいた場合、同じリビジョンのオブジェクトを使用するよう、すべての管理対象デバイスを更新できます。
ステップ 1 | を選択します。 |
ステップ 2 | セキュリティ ゾーンの選択を更新するデバイスの横にある編集アイコン(![]() マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。 |
ステップ 3 | 重複する接続のイベントを記録しているインターフェイスのそれぞれについて、[セキュリティ ゾーン(Security Zone)] を別のゾーンに変更して [保存(Save)] をクリックした後、目的のゾーンに再び設定し、もう一度 [保存(Save)] をクリックします。 |
ステップ 4 | 重複イベントを記録しているデバイスごとに、ステップ 2 から 3 を繰り返します。続行する前に、すべてのデバイスを編集する必要があります。 |
設定変更を展開します。設定変更の導入を参照してください。
![]() 注意 | 同期させるすべてのデバイスでインターフェイスのゾーン設定を編集するまでは、デバイスに設定変更を展開しないでください。すべての管理対象デバイスに同時に展開する必要があります。 |