Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月14日
章のタイトル: コンフィギュレーションのインポートとエクスポート
コンフィギュレーションのインポートとエクスポート
次のトピックでは、インポート/エクスポート機能を使用する方法について説明します。
コンフィギュレーションのインポート/エクスポートについて
インポート/エクスポート機能を使用して、アプライアンス間で構成をコピーできます。インポート/エクスポートはバックアップ ツールではありませんが、展開に新しいアプライアンスを追加するプロセスを簡素化できます。
単一の設定をエクスポートすることや、(同じタイプまたは異なるタイプの)一連の設定を単一操作でエクスポートすることができます。後に別のアプライアンスにパッケージをインポートするとき、パッケージ内のどの設定をインポートするかを選択できます。
エクスポートされたパッケージには、その構成のリビジョン情報が含まれ、これにより、別のアプライアンスにその構成をインポートできるかどうかが決まります。アプライアンスに互換性があるものの、パッケージに重複構成が含まれていると、解決オプションが示されます。
インポート/エクスポートをサポートする構成
設定のインポート/エクスポートに関する特別な考慮事項
構成をエクスポートすると、他の必要な構成もエクスポートされます。たとえば、アクセス コントロール ポリシーをエクスポートすると、そのポリシーが呼び出すサブポリシー、使用しているオブジェクトとオブジェクト グループ、先祖ポリシー(マルチドメイン展開の場合)などもエクスポートされます。別の例として、外部認証が有効になっているプラットフォーム設定ポリシーをエクスポートした場合は、認証オブジェクトもエクスポートされます。ただし、いくつかの例外があります。
-
システム提供のデータベースとフィード:URL フィルタリング カテゴリとレピュテーション データ、シスコ インテリジェンス フィード データ、または地理位置情報データベース(GeoDB)はエクスポートされません。展開内のすべてのアプライアンスがシスコから最新情報を取得していることを確認してください。
-
グローバルなセキュリティ インテリジェンスのリスト:エクスポートされた構成に関連するグローバルなセキュリティ インテリジェンスのブラックリストとホワイトリストがエクスポートされます(マルチドメイン展開では、これは現在のドメインに関係なく実行されます。子孫ドメインのリストはエクスポートされません)。インポート プロセスはこれらのブラックリストとホワイトリストをユーザ作成リストに変換してから、インポートされた構成でそれらの新しいリストを使用します。これにより、インポートされたリストが既存のグローバルなブラックリストおよびホワイトリストと競合することはありません。インポートされた構成でインポート側の Firepower Management Center のグローバル リストを使用するには、これらを手動で追加します。
-
侵入ポリシー共有層:エクスポート プロセスにより、侵入ポリシー共有レイヤが切断されます。以前の共有レイヤはパッケージに含まれ、インポートされた侵入ポリシーには共有レイヤは含まれません。
-
侵入ポリシーのデフォルト変数セット:エクスポート パッケージには、カスタム変数とシステム提供の変数を含むデフォルト変数セットがユーザ定義値とともに含まれています。インポート プロセスでは、インポートされた値でインポート側の Firepower Management Center のデフォルト変数セットを更新します。ただし、インポート プロセスはエクスポート パッケージに存在しないカスタム変数を削除しません。また、エクスポート パッケージに設定されていない値については、インポート側の Firepower Management Center のユーザ定義値を元に戻しません。したがって、インポート側の Firepower Management Center で設定されているデフォルト変数が異なる場合は、インポートされた侵入ポリシーの動作が予想とは異なる可能性があります。
オブジェクトおよびオブジェクト グループをインポートする場合:
インポート プロセスは、オブジェクトとグループを新規としてインポートします。既存のオブジェクトおよびグループを置き換えることはできません。
-
インポートしたオブジェクトの名前がインポートする Firepower Management Center 上の既存のオブジェクトと一致する場合、システムはそれらの名前を一意にするため、インポートされたオブジェクトとグループの名前に自動生成した番号を付加します。
-
インポートした設定で使用されているセキュリティ ゾーンを、インポート側の Firepower Management Center で管理されているタイプが一致するゾーンにマッピングする必要があります。
-
秘密キーを含む PKI オブジェクトを使用する構成をエクスポートすると、エクスポートの前に秘密キーが復号されます。インポート時に、キーはランダムに生成されたキーで暗号化されます。
設定のエクスポート
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
エクスポートされる設定の数や、それらのオブジェクトが参照する設定の数によっては、エクスポート プロセスに数分かかる場合があります。
 ヒント | Firepower システムの多くのリスト ページには、リスト項目の横にエクスポート アイコン( |
)があります。このアイコンがある場合は、それを使用することにより、その後のエクスポート操作を簡単に代行させることができます。
)アイコンか、展開する(
)アイコンをクリックし、使用可能な設定のリストを折りたたんだり、展開したりします。設定のインポート
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
インポートされる設定の数や、それらのオブジェクトが参照する設定の数によっては、インポート プロセスに数分かかる場合があります。
-
インポートおよびエクスポートするアプライアンスが同じバージョンの Firepower システムを実行していることを確認します。アクセス制御とそのサブポリシー(侵入ポリシーを含む)の場合は、侵入ルールの更新バージョンも一致する必要があります。
-
インポートされるアクセス コントロール ポリシーのゾーン タイプとタイプが一致するセキュリティ ゾーンをインポートする Firepower Management Center に作成します。詳細については、セキュリティ ゾーンを参照してください。
| ステップ 1 | インポートするアプライアンスで、 を選択します。 |
| ステップ 2 | [パッケージのアップロード(Upload Package)] をクリックします。 |
| ステップ 3 | エクスポートしたパッケージへのパスを入力するか、そのパッケージの場所を参照して [アップロード(Upload)] をクリックします。 |
| ステップ 4 | バージョンが一致していないなどの問題がない場合は、インポートする設定を選択して、[インポート(Import)] をクリックします。 競合の解決やセキュリティ ゾーンのマッピングを実行する必要がない場合は、インポートが完了して、成功メッセージが表示されます。この手順の残りは省略してください。 |
| ステップ 5 | プロンプトが表示されたら、[アクセス制御インポートの解決(Access Control Import Resolution)] ページで、インポートする Firepower Management Center で管理されているインターフェイス タイプと一致するゾーンに、インポートした設定で使用されているセキュリティ ゾーンをマップします。 |
| ステップ 6 | [インポート(Import)] をクリックします。 |
| ステップ 7 | プロンプトが表示されたら、[インポートの解決(Import Resolution)] ページで、各設定を展開して適切なオプションを選択します。詳細については、インポート競合の解決を参照してください。 |
| ステップ 8 | [インポート(Import)] をクリックします。 |
インポート競合の解決
構成をインポートしようすると、同じ名前とタイプの構成がアプライアンスにすでに存在するかどうかがシステムによって確認されます。マルチドメイン展開では、構成が現在のドメイン、またはその先祖あるいは子孫ドメインのいずれかで定義されている構成の複製であるかどうかが確認されます。(子孫ドメインの構成は表示できませんが、重複する名前の構成が子孫ドメインに存在する場合は、システムにより競合が通知されます)。インポートに重複構成が含まれている場合、次の中から展開に適切な解決オプションが表示されます。
-
その構成はインポートされません。
-
インポート用に選択した構成で現在の構成が上書きされます。
-
選択した構成は、タイムスタンプがアプライアンスの現在の構成のタイムスタンプより新しい場合にのみインポートされます。
-
選択した重複する構成はインポートされ、システム生成の番号が適用されて一意の構成になります。(インポート プロセスが完了する前にこの名前を変更できます)。アプライアンスの元の構成は変更されません。
表示される解決オプションは、展開でドメインを使用するかどうか、およびインポートされた構成が現在のドメインで定義されている構成の複製であるか、または現在のドメインの先祖あるいは子孫で定義された構成であるかどうかによって異なります。次の表に、どの場合に解決オプションが表示されるか表示されないかを示します。
|
解決オプション |
Firepower Management Center |
管理対象デバイス |
|
|---|---|---|---|
|
現在のドメインの複製 |
子孫または先祖ドメインの複製 |
||
|
既存のものを維持する(Keep existing) |
○ |
○ |
○ |
|
既存のものを置換する(Replace existing) |
[はい(Yes)] |
[いいえ(No)] |
○ |
|
最新バージョンを残す(Keep newest) |
[はい(Yes)] |
[いいえ(No)] |
○ |
|
新たにインポート(Import as new) |
○ |
○ |
○ |
クリーンまたはカスタム定義ファイル リストを使用するファイル ポリシーとともにアクセス コントロール ポリシーをインポートし、ファイル リストに重複する名前競合が示されている場合、上記の表に示すように競合解決オプションが表示されますが、ポリシーおよびファイル リストに対して実行されるアクションは、次に表に示すように異なります。
|
解決オプション |
システム アクション |
|
|---|---|---|
|
アクセス コントロール ポリシーと関連ファイル ポリシーが新たにインポートされ、ファイル リストは統合される |
既存のアクセス コントロール ポリシーと関連ファイル ポリシーおよびファイル リストは変更されない |
|
|
既存のものを維持する(Keep existing) |
なし |
○ |
|
既存のものを置換する(Replace existing) |
[はい(Yes)] |
[いいえ(No)] |
|
新たにインポート(Import as new) |
[はい(Yes)] |
[いいえ(No)] |
|
最新バージョンを残す(Keep newest)。インポートされるアクセス コントロール ポリシーが最新 |
[はい(Yes)] |
[いいえ(No)] |
|
最新バージョンを残す(Keep newest)。既存のアクセス コントロール ポリシーが最新 |
なし |
○ |
アプライアンスにインポートされた構成を修正し、後で同じアプライアンスにその構成を再インポートする場合は、保持する構成のバージョンを選択する必要があります。
フィードバック