Firepower システムのバージョンの要件

アプライアンス（ソフトウェアベースのデバイスを含む）が、Firepower システムの正しいバージョンを実行していることを確認する必要があります。リリース ノートには必要なバージョンが示されています。古いバージョンを実行している場合は、サポート サイトから更新を取得することができます。

オペレーティング システム要件

ソフトウェアベースのデバイスをインストールしたコンピュータが、オペレーティング システムの正しいバージョンを実行していることを確認します。リリース ノートには必要なバージョンが示されています。NGIPSv デバイスでサポートされるオペレーティング システムの詳細については、『Firepower System Virtual Installation Guide』を参照してください。

時間とディスク スペース要件

十分な空きディスク領域があることを確認し、更新のために十分な時間を確保しておく必要があります。管理対象デバイスを更新する場合は、Firepower Management Center 上に追加のディスク領域が必要になります。リリース ノートには、ディスク領域と時間の要件が示されています。

設定とイベント バックアップのガイドライン

更新を開始する前に、アプライアンスに残っているバックアップを外部の場所にコピーしてから、アプライアンス上のバックアップを削除することを強く推奨します。また、現在のイベント データと設定データを外部の場所にバックアップする必要があります。Firepower Management Center は、以前の更新でローカルに保存されたバックアップを消去します。イベント データは更新プロセスの一部としてバックアップされません。

Firepower Management Center を使用して、そのイベント データと設定データ、および管理しているデバイスのイベント データと設定データをバックアップできます。

更新を実行するタイミング

注意	更新プロセスはトラフィックの調査、トラフィック フロー、およびリンク ステートに影響を与えることがあること、および更新を行っている間は Data Correlator が無効になっていることにより、保守を行っている間、または中断が展開に及ぼす影響が最も少ない時間に更新を行うことをお勧めします。

更新の順序

使用している Firepower Management Center を更新してから、それらが管理するデバイスを更新する必要があります。

Firepower Management Centerを使用した更新の実行

Firepower Management Center の Web インターフェイスを使用して、アプライアンス自体とその管理対象デバイスを更新します。

ヒント	パッチおよび機能の更新では、自動更新機能を利用することができます。

管理対象デバイスの更新は、2 段階のプロセスです。まず、サポート サイトから更新をダウンロードして、管理元の Firepower Management Center にアップロードします（http:/​/​www.cisco.com/​cisco/​web/​support/​index.html）。

次に、ソフトウェアをインストールします。

注意	トラフィックのインスペクション、トラフィック フロー、およびリンク ステートは、デバイスがどのように設定および展開されているか、更新がどのコンポーネントに影響を及ぼすか、更新によってデバイスがリブートされるかどうかよって、更新中に影響を受けることがあります。特定の更新に対してネットワーク トラフィックがいつ、どのように影響を受けるかについての具体的な情報は、対象の更新のリリース ノートを参照してください。

ハイ アベイラビリティ ペアの 7000 および 8000 シリーズ デバイスの更新

ハイ アベイラビリティ ペアの 7000 または 8000 シリーズ デバイスまたはデバイス スタック上で更新をインストールすると、システムは、複数のデバイスまたはスタック上で同時に更新を実行します。更新を開始すると、システムは最初にバックアップ デバイスまたはスタックに更新を適用し、必要なプロセスが再開され、デバイスまたはスタックがトラフィックを再処理するまでメンテナンス モードになります。システムは、アクティブなデバイスまたはスタックに更新を適用し、同じプロセスを行います。

ハイ アベイラビリティペアのスタック内のデバイスを更新するには、ハイ アベイラビリティ ペアのすべてのメンバー上で同時に、管理している Firepower Management Center から更新を実行する必要があります。デバイスから直接更新を実行することはできません。

スタック内の 8000 シリーズ デバイスの更新

スタック構成のデバイスで更新をインストールする場合、システムは更新を同時に実行します。各デバイスは、更新が完了すると通常の動作を再開します。次の点に注意してください。

• すべてのセカンダリ デバイスの更新が完了する前にプライマリ デバイスの更新が完了すると、すべてのデバイスで更新が完了するまでスタックは限定的な、バージョンが混在している状態で動作します。

• すべてのセカンダリ デバイスの更新が完了した後でプライマリ デバイスの更新が完了した場合は、プライマリ デバイスで更新が完了したときに、スタックは通常の動作を再開します。

トラフィック フローとインスペクション

管理対象デバイスから更新をインストールまたはアンインストールすると、次の機能に影響を及ぼすことがあります。

• トラフィック インスペクション（アプリケーションおよびユーザの認識と制御、URL フィルタリング、セキュリティ インテリジェンス フィルタリング、侵入/ファイル/マルウェアのインスペクションと制御、接続のロギングなど）

• トラフィック フロー（スイッチング、ルーティング、NAT、VPN、関連機能など）

• リンク ステート

Data Correlator は、システムの更新中は動作しません。更新が完了すると再開します。

ネットワーク トラフィックの中断の方法と期間は、更新が影響を及ぼす Firepower システムのコンポーネント、デバイスがどのように設定および展開されているか、更新によりデバイスがリブートされるかどうか、によって異なります。特定の更新に対してネットワーク トラフィックがいつ、どのように影響を受けるかについての情報は、リリース ノートを参照してください。

ヒント	ハイ アベイラビリティ ペア内の 7000 または 8000 シリーズ デバイスを更新する場合、システムは、トラフィックの中断を回避するために、一度に 1 つずつ更新を実行します。

更新中の Web インターフェイスの使用

更新のタイプに関係なく、更新中のアプライアンスの Web インターフェイスを使用して、更新のモニタ以外のタスクを実行しないでください。

メジャーな更新中にユーザがアプライアンスを使用しないようにし、メジャーな更新の進捗をユーザが簡単にモニタできるようにするために、アプライアンスの Web インターフェイスが合理化されています。メッセージ センターでマイナーな更新の進捗をモニタできます。マイナーな更新中に Web インターフェイスを使用することは禁止されていませんが、シスコでは推奨していません。

ヒント	管理対象デバイスの更新をモニタするには、Firepower Management Center でメッセージ センターを使用します。

マイナーな更新であっても、更新プロセス中は、更新しているアプライアンスの Web インターフェイスは使用できないか、またはアプライアンスでユーザがログアウトされることがあります。これは想定されている動作です。これが発生した場合は、再度ログインして、メッセージ センター（マイナー更新の場合）または [更新ステータス（Update Status）] ページ（メジャー更新の場合）を表示します。まだ更新が実行中の場合は、更新が完了するまで Web インターフェイスを使用しないでください。更新中は、管理対象デバイスが 2 回リブートされることがありますが、これは予想される動作です。

注意	（Web インターフェイスに更新が失敗したことが示されている、メッセージ センターまたは [更新ステータス（Update Status）] ページに進捗が表示されないなど）更新で問題が発生した場合には、更新を再開しないでください。代わりに、サポートに連絡してください。

更新後

リリース ノートに記載されている更新後のタスクをすべて完了し、展開が正常に実行されていることを確認する必要があります。

注意	Firepower Management Center の更新後、およびその管理対象デバイスの更新後に再度、設定を展開する必要があります。

また、次の作業を実行する必要があります。

• 更新が正常に終了したことを確認する

• 展開のすべてのアプライアンスが正常に通信していることを確認する

• 必要に応じて侵入ルール、VDB、および GeoDB を更新する

• リリース ノートの情報に基づいて、必要な設定変更を行う

• リリース ノートに記載されている、更新後の追加タスクを実行する

更新のタイプ、および Firepower Management Center がインターネットへアクセスできるかどうかによって、Firepower Management Center の Firepower システム ソフトウェアを次のいずれかの方法で更新できます。

• Firepower Management Center がインターネットにアクセスできる場合は、サポート サイトから直接アップデートを取得します。このオプションは、メジャーな更新ではサポートされていません。

• サポート サイトからアップデートを手動でダウンロードして、Firepower Management Center へアップロードします。Firepower Management Center がインターネットへアクセスできない場合、またはメジャーな更新を実行している場合は、この方法を選択します。

（注）	上記のいずれかの方法を使用して、アップデートを取得します。電子メールで更新ファイルを転送すると、破損する可能性があります。

[製品アップデート（Product Updates）] ページ（[システム（System）] > [更新（Updates）]）には、それぞれの更新のバージョン、およびその更新が生成された日時が表示されます。また、更新の一環としてリブートが必要かどうかも示されます。

サポートから取得した更新をアプライアンスへアップロードすると、更新がページに示されます。パッチ機能および機能の更新のアンインストーラも表示されます。Firepower Management Center で、ページに VDB 更新を表示できます。

メジャーな更新の場合は、Firepower Management Center を更新すると、以前の更新のアンインストーラが削除されます。

この手順のすべてのステップは、注記がない限り、Firepower Management Center で実行されます。

この手順は、Firepower Management Center と 7000 & 8000 シリーズ デバイスで実行できます。

この手順は、Firepower Management Center でしか実行できません。

Firepower Management Center にインターネット アクセスがない場合、新しい侵入ルールの更新を手動でインポートします。

新しい侵入ルールの更新を自動的にインポートするには、サポート サイトに接続するためのインターネット アクセスがアプライアンスで必要になります。

ローカル ルール ファイルをインポートする際には次のガイドラインに従います。

• ルールのインポータには、すべてのカスタム ルールが ASCII または UTF-8 でエンコードされるプレーン テキスト ファイルにインポートされることが必要です。

• テキスト ファイル名には英数字とスペースを使用できますが、下線（_）、ピリオド（.）、ダッシュ（-）以外の特殊記号は使用できません。

• システムは、単一のポンド文字（#）で始まるローカル ルールをインポートしますが、これらには削除のフラグが立てられます。

• 単一のポンド文字（#）で始まるローカル ルールはインポートされますが、2 つのポンド文字（##）で始まるローカル ルールはインポートされません。

• ルールにはエスケープ文字を含めることはできません。

• ローカル ルールをインポートするときにはジェネレータ ID（GID）を指定する必要はありません。指定する場合は、標準テキスト ルールに GID 1 のみを指定します。

• ルールを初めてインポートするときには、Snort ID（SID）またはリビジョン番号を指定しないでください。これにより、削除されたルールを含むその他のルールの SID の競合を回避できます。システムはルールに対して、1000000 以上の次に使用できるカスタム ルール SID 、およびリビジョン番号 の 1 を自動的に割り当てます。

  SID を持つルールをインポートする必要がある場合、SID は 1,000,000 ～ 9,999,999 の間の一意の数字でなければなりません。

  マルチドメイン展開では、SID が Firepower Management Center 上のすべてのドメインによって使用される共有プールからインポートされたルールに割り当てられます。複数の管理者がローカル ルールを同時にインポートしている場合、個々のドメイン内の SID が連続していないように見える場合があります。それは、数字が別のドメインにシーケンスに割り込んで指定されたためです。

• 以前にインポートしたローカル ルールの更新バージョンをインポートするとき、または削除したローカル ルールを元に戻すときは、システムによって指定された SID および現在のリビジョン番号より大きいリビジョン番号を含める必要があります。ルールを編集して、現在のルールまたは削除されたルールのリビジョン番号を判別できます。

  （注）	ローカル ルールを削除すると、システムは自動的にリビジョン番号を増やします。これは、ローカル ルールを元に戻すための方法です。削除されたすべてのローカル ルールは、ローカル ルール カテゴリから、削除されたルール カテゴリへ移動されます。

• ルールに次のいずれかが含まれていると、インポートに失敗します。

  • 2147483647 より大きい SID。

  • 64 文字よりも長い送信元ポートまたは宛先ポートのリスト。

• 非推奨の threshold キーワードと侵入イベントしきい値機能を組み合わせて使用しているローカル ルールをインポートして、侵入ポリシーで有効にすると、ポリシーの検証に失敗します。

• インポートされたすべてのローカル ルールは、ローカル ルール カテゴリに自動的に保存されます。

• システムによって、インポートしたローカル ルールは常に無効なルール状態に設定されます。ローカル ルールを侵入ポリシーで使用できるようにするには、ローカル ルールの状態を手動で設定する必要があります。

新しい GeoDB 更新プログラムは、アプライアンスがインターネットにアクセスできる場合にのみ、サポート サイトに接続することで自動的にインポートできます。

Firepower Management Center がインターネットにアクセスできない場合は、シスコ サポート サイトからネットワーク上のローカル マシンに GeoDB の更新をダウンロードして、その更新を手動で Firepower Management Center にアップロードできます。

地理位置情報データベース（GeoDB）の定期更新を自動化できます。GeoDB の定期更新は 7 日ごとに 1 度（週 1 回）実行されます。週ごとに更新が繰り返される時刻を設定できます。