Cisco Firepower Threat Defense バージョン 6.1 コンフィギュレーション ガイド(Firepower Device Manager 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense バージョン 6.1 コンフィギュレーション ガイド(Firepower Device Manager 用)

Chapter Title

使用する前に

検索結果

Updated:
2017年12月8日

章のタイトル: 使用する前に

使用する前に

ここでは、Firepower Threat Defenseの設定を開始する方法について説明します。

このガイドの対象読者

このガイドでは、Firepower Threat Defenseデバイスに含まれている Firepower Device Manager の Web ベースのインターフェイスを使用して Firepower Threat Defense を設定する方法について説明します。

Firepower Device Manager を使用すると、小規模ネットワークで最もよく使用されるソフトウェアの基本機能を設定できます。また、これは多くの Firepower Threat Defenseデバイスを含む大規模なネットワークを制御するために強力な複数デバイスのマネージャを使用することがない、単一のデバイスまたは限られた数のデバイスを含むネットワークのために特に設計されています。

多数のデバイスを管理している場合、または Firepower Threat Defenseで許可されるより複雑な機能や設定を使用したい場合、統合 Firepower Device Manager の代わりに Firepower Management Center デバイスを使用します。

Firepower Device Manager は次のデバイスで使用できます。

表 1 Firepower Device Manager がサポートされるモデル

デバイス モデル

Firepower Threat Defense の最小ソフトウェア バージョン

ASA 5506-X、5506H-X、5506W-X、5508-X、5516-X

6.1

ASA 5512-X、5515-X、5525-X、5545-X、5555-X

6.1

システムへのログイン

Firepower Threat Defenseデバイスには、次の 2 つのインターフェイスがあります。

Firepower Device Manager Web インターフェイス

Firepower Device Manager はお使いの Web ブラウザで実行されます。このインターフェイスを使用して、システムを設定、管理、モニタできます。

コマンドライン インターフェイス(CLI、コンソール)

CLI はトラブルシューティングに使用します。Firepower Device Manager の代わりに、初期設定にも使用できます。

次に、これらのインターフェイスにログインし、ユーザ アカウントを管理する方法を説明します。

Firepower Device Manager へのログイン

Firepower Device Manager を使用して、システムを設定、管理、およびモニタします。ブラウザで設定可能な機能を、コマンドライン インターフェイス(CLI)で設定することはできません。セキュリティ ポリシーを実装するには、Web インターフェイスを使用する必要があります。

Firefox、Chrome、Safari、Internet Explorer の最新バージョンを使用します。

はじめる前に

Firepower Device Manager には、admin ユーザ名のみを使用してログインできます。Firepower Device Manager アクセスするための追加ユーザは作成できません。

手順
    ステップ 1   ブラウザを使用して、システムのホームページ(https://ftd.example.com など)を開きます。

    設定済みのものであれば、IPv4 アドレス、IPv6 アドレス、または DNS 名を使用できます。管理アドレスを使用します。

    ヒント   

    ブラウザがサーバ証明書を認識するように設定されていない場合、信頼できない証明書に関する警告が表示されます。証明書を例外として受け入れるか、または信頼できるルート証明書ストアの証明書を受け入れます。

    ステップ 2   admin のユーザ名とパスワードを入力して、[ログイン(Login)] をクリックします。

    デフォルトの admin パスワードは Admin123 です。

    セッションは非アクティブの状態が 20 分間続くと期限切れになり、再度ログインするように求められます。ページの右上にあるユーザ アイコン ドロップダウン リストから [ログアウト(Log Out)]を選択するとログアウトできます。

    CLI(コマンドライン インターフェイス)へのログイン

    コマンドライン インターフェイス(CLI)を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。CLI セッションからポリシーを設定することはできません。

    CLI にログインするには、次のいずれかを実行します。

    • デバイスに付属のコンソール ケーブルを使用し、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを用いて PC をコンソールに接続します。コンソール ケーブルの詳細については、デバイスのハードウェア ガイドを参照してください。

    • SSH クライアントを使用して、管理 IP アドレスに接続します。admin ユーザ名(デフォルトのパスワードは Admin123 です)または別の CLI のユーザ アカウントを使用してログインします。

    ログインした後、CLI で使用可能なコマンドを確認するには、help または ? を入力してください。使い方については、http:/​/​www.cisco.com/​c/​en/​us/​td/​docs/​security/​firepower/​command_ref/​b_​Command_​Reference_​for_​Firepower_​Threat_​Defense.htmlFirepower Threat Defense のコマンド リファレンス [英語] を参照してください。


    (注)  

    configure user add コマンドを使用して、CLI にログインできるユーザ アカウントを作成できます。ただし、これらのユーザは CLI のみにログインできます。Firepower Device Manager の Web インターフェイスにはログインできません。

    パスワードの変更

    パスワードは定期的に変更する必要があります。次の手順では、Firepower Device Manager にログインしているときにパスワードを変更する方法について説明します。


    (注)  

    CLI にログインしている場合は、configure password コマンドを使用してパスワードを変更できます。configure user password username コマンドを使用すると、別の CLI ユーザのパスワードを変更できます。

    手順
      ステップ 1   メニューの右上にあるユーザ アイコン ドロップダウン リストから [プロファイル(Profile)]を選択します。

      ステップ 2   [パスワード(Password)]タブをクリックします。
      ステップ 3   現在のパスワードを入力します。
      ステップ 4   新しいパスワードを入力して確認します。
      ステップ 5   [変更(Change)]をクリックします。

      ユーザ プロファイルの設定

      ユーザ インターフェイスの設定を行い、パスワードを変更することができます。

      手順
        ステップ 1   メニューの右上にあるユーザ アイコンのドロップダウンリストから、[プロファイル(Profile)]を選択します。

        ステップ 2   [プロファイル(Profile)]タブで次の設定を行い、[保存(Save)] をクリックします。
        • [スケジュールするタスクのタイム ゾーン(Time Zone for Scheduling Tasks)]:バックアップや更新などのタスクのスケジュールに使用するタイム ゾーンを選択します。別のゾーンを設定すると、ブラウザのタイム ゾーンはダッシュボードやイベントに使用されます。
        • [カラー テーマ(Color Theme)]:ユーザ インターフェイスで使用するカラー テーマを選択します。
        ステップ 3   [パスワード(Password)]タブで新しいパスワードを入力し、[変更(Change)] をクリックします。

        Firepower Threat Defenseの CLI ユーザ アカウントの作成

        Firepower Threat Defenseデバイスで CLI にアクセスするユーザを作成できます。これらのアカウントは管理アプリケーションへのアクセスは許可されず、CLI へのアクセスのみが有効になります。CLI はトラブルシューティングやモニタリング用に役立ちます。

        複数のデバイス上にアカウントを一度に作成することはできません。デバイスごとに固有の CLI アカウントのセットがあります。

        手順
          ステップ 1   config 権限を持つアカウントを使用してデバイスの CLI にログインします。

          管理者ユーザ アカウントには必要な権限がありますが、config 権限を持っていればどのアカウントでも問題ありません。SSH セッションまたはコンソール ポートを使用できます。

          特定のデバイス モデルでは、コンソール ポートから FXOS CLI に移動します。connect ftd コマンドを使用して Firepower Threat Defense CLI にアクセスします。

          ステップ 2   ユーザ アカウントを作成します。

          configure user addusername {basic | config}

          次の権限レベルを持つユーザを定義できます。

          • config:ユーザに構成へのアクセス権を付与します。すべてのコマンドの管理者権限がユーザに与えられます。

          • basic:ユーザに基本的なアクセス権を付与します。ユーザはコンフィギュレーション コマンドを入力することはできません。



          例:

          次の例では、config アクセス権を使用して、joecool という名前のユーザ アカウントを追加します。パスワードは入力時に非表示となります。

          
> configure user add joecool config
Enter new password for user joecool: newpassword
Confirm new password for user joecool: newpassword
> show user
Login              UID   Auth Access  Enabled Reset    Exp Warn  Str Lock Max
admin             1000  Local Config  Enabled    No  Never  N/A  Dis   No N/A
joecool           1001  Local Config  Enabled    No  Never  N/A  Dis   No   5
          (注)     

          configure password コマンドを使用して自分のパスワードを変更できることをユーザに伝えます。

          ステップ 3   (オプション)セキュリティ要件を満たすようにアカウントの性質を調整します。

          アカウントのデフォルト動作を変更するには、次のコマンドを使用できます。

          • configure user aging username max_days warn_days

            ユーザ パスワードの有効期限を設定します。パスワードの最大有効日数と、有効期限が近づいたことをユーザに通知する警告を期限切れとなる何日前に発行するかを指定します。どちらの値も 1 ~ 9999 ですが、警告までの日数は最大日数以内にする必要があります。アカウントを作成した場合、パスワードの有効期限はありません。

          • configure user forcereset username

            次回ログイン時にユーザにパスワードを強制的に変更してもらいます。

          • configure user maxfailedlogins username number

            アカウントがロックされる前の連続したログイン失敗の最大回数を 1 ~ 9999 までで設定します。アカウントをロック解除するには、configure user unlock コマンドを使用します。新しいアカウントのデフォルトは、5 回連続でのログインの失敗です。

          • configure user minpasswdlen username number

            パスワードの最小長を 1 ~ 127 までで設定します。

          • configure user strengthcheck username {enable | disable}

            パスワードの変更時にユーザに対してパスワード要件を満たすように要求する、パスワードの強度確認を有効または無効にします。ユーザ パスワードの有効期限が切れた場合、または configure user forcereset コマンドを使用した場合は、ユーザが次にログインしたときにこの要件が自動的に有効になります。

          ステップ 4   必要に応じてユーザ アカウントを管理します。

          ユーザをアカウントからロックアウトしたり、アカウントを削除するか、またはその他の問題を修正したりする必要があります。システムのユーザ アカウントを管理するには、次のコマンドを使用します。

          • configure user access username {basic | config}

            ユーザ アカウントの権限を変更します。

          • configure user delete username

            指定したアカウントを削除します。

          • configure user disable username

            指定したアカウントを削除せずに無効にします。ユーザは、アカウントを有効にするまでログインできません。

          • configure user enable username

            指定したアカウントを有効にします。

          • configure user password username

            指定したユーザのパスワードを変更します。ユーザは通常、configure password コマンドを使用して自分のパスワードを変更する必要があります。

          • configure user unlock username

            ログイン試行の最大連続失敗回数の超過が原因でロックされたユーザ アカウントをロック解除します。

          システムの設定

          ネットワークでシステムが正しく機能するためには、初期設定を完了する必要があります。展開を成功させるには、ケーブルを正しく接続し、デバイスをネットワークに挿入し、インターネットや他のアップストリーム ルータに接続するために必要なアドレスを設定する必要があります。次の手順で、このプロセスについて説明します。

          はじめる前に

          初期設定を開始する前に、デバイスにはいくつかのデフォルト設定が含まれています。詳細は、初期設定前のデフォルト設定を参照してください。

          手順
            ステップ 1   インターフェイスの接続
            ステップ 2   初期設定の完了

            設定の結果の詳細については、初期展開後の設定を参照してください。

            ステップ 3   ワイヤレス アクセス ポイント(ASA 5506W-X)の設定

            インターフェイスの接続

            デフォルト設定は、特定のインターフェイスが内部および外部ネットワークに使用されると仮定しています。これらの想定に基づいてインターフェイスにネットワーク ケーブルを接続していると、初期設定がしやすくなります。

            デフォルト設定は、スイッチを使用して同じネットワークに管理インターフェイスおよび内部インターフェイスに接続すると仮定しています。内部インターフェイスが DHCP サーバとして設定されているため、同じスイッチに管理ワークステーションを接続し、同じネットワーク上の DHCP を介してアドレスを取得して、Firepower Device Manager の Web インターフェイスを開くことができます。

            次の図は、想定されるネットワーク トポロジを示しています。





            次の図は、このトポロジでのシステムの配線方法を示します。内部ルータを使用して異なるネットワークに管理ネットワークと内部ネットワークを接続するには、ルーテッド モードの導入を参照してください。

            ASA 5506-X、5508-X、5516-X の配線





            • ISP/WAN モデムまたはその他の外部デバイスに GigabitEthernet 1/1 を接続します。デフォルトでは、IP アドレスは DHCP を使用して取得しますが、初期設定時にスタティック アドレスを設定することもできます。

            • GigabitEthernet 1/2 をレイヤ 2 スイッチに接続します。IP アドレスは 192.168.45.1 であり、これが内部ネットワークのゲートウェイとして機能します。

            • Management 1/1 をレイヤ 2 スイッチに接続します。IP アドレスは 192.168.45.45 です。

            • ワークステーションがレイヤ 2 スイッチに接続し、DHCP を使用してアドレスを取得するように設定します。

            ASA 5512-X、5515-X、5525-X、5545-X、5555-X の配線





            • ISP/WAN モデムまたはその他の外部デバイスに GigabitEthernet 0/0 を接続します。デフォルトでは、IP アドレスは DHCP を使用して取得しますが、初期設定時にスタティック アドレスを設定することもできます。

            • GigabitEthernet 0/1 をレイヤ 2 スイッチに接続します。IP アドレスは 192.168.45.1 であり、これが内部ネットワークのゲートウェイとして機能します。

            • Management 0/0 をレイヤ 2 スイッチに接続します。IP アドレスは 192.168.45.45 です。

            • ワークステーションがレイヤ 2 スイッチに接続し、DHCP を使用してアドレスを取得するように設定します。

            初期設定の完了

            Firepower Device Manager に初めてログインする際には、デバイスのセットアップ ウィザードを使用してシステムの初期設定を完了します。

            はじめる前に

            データ インターフェイスをゲートウェイのデバイス(ケーブル モデムやルータなど)に接続していることを確認します。エッジの導入では、これはインターネット向けのゲートウェイになります。データセンターの導入では、バックボーン ルータになります。使用モデルのデフォルトの「外部」インターフェイスを使用します(インターフェイスの接続および初期設定前のデフォルト設定を参照)。

            管理インターフェイスは、インターネットにアクセスできるゲートウェイにも接続する必要があります。システムのライセンスシングおよびデータベースの更新には、インターネット アクセスが必要です。

            手順
              ステップ 1   これがシステムへの初めてのログインであり、CLI セットアップ ウィザードを使用していない場合、エンド ユーザ ライセンス契約を読んで承認し、管理パスワードを変更するように求められます。

              続行するには、以下の手順を完了する必要があります。

              ステップ 2   外部インターフェイスを選択し、[次へ(Next)]をクリックします。

              これは、ゲートウェイのモデムまたはルータに接続されているデータ ポートです。

              (注)     

              デフォルト設定で内部インターフェイスとして設定されているインターフェイスは選択できません。デフォルトの内部インターフェイスを外部インターフェイスとして使用する場合は、デバイス設定をスキップして、手動で設定を行うことができます。また、別のインターフェイスを一時的な外部インターフェイスとして選択して設定を完了し、その後設定を手動で編集して、実際の外部インターフェイスを反映させることができます。

              ステップ 3   外部インターフェイスと管理インターフェイスに対して次のオプションを設定し、[次へ(Next)]をクリックします。
              注意       

              [次へ(Next)]をクリックすると、設定がデバイスに展開されます。インターフェイスの名前は「外部」となり、「outside_zone」セキュリティ ゾーンに追加されます。設定が正しいことを確認します。

              [外部インターフェイス(Outside Interface)]

              • [IPv4 の設定(Configure IPv4)]:外部インターフェイスの IPv4 アドレス。DHCP を使用するか、または手動で静的 IP アドレス、サブネット マスク、およびゲートウェイを入力できます。また、[オフ(Off)]を選択して、IPv4 アドレスを設定しないこともできます。デフォルトの内部アドレスと同じサブネットに(静的に、または DHCP を介して)IP アドレスを設定しないでください(初期設定前のデフォルト設定を参照)。

              • [IPv6 の設定(Configure IPv6)]:外部インターフェイスの IPv6 アドレス。DHCP を使用するか、または手動で静的 IP アドレス、プレフィックス、およびゲートウェイを入力できます。また、[オフ(Off)]を選択して、IPv6 アドレスを設定しないこともできます。

              管理インターフェイス

              • [DNS サーバ(DNS Servers)]:システムの管理アドレス用の DNS サーバ。名前解決用に 1 つ以上の DNS サーバのアドレスを入力します。OpenDNS パブリック DNS サーバを設定する場合は、[OpenDNS を使用(Use OpenDNS)]をクリックします。ボタンをクリックすると、フィールドに適切な IP アドレスがロードされます。

              • [ファイアウォールのホスト名(Firewall Hostname)]:システムの管理アドレスのホスト名。

              ステップ 4   システム時刻の設定を行い、[次へ(Next)]をクリックします。
              • [タイム ゾーン(Time Zone)]:システムのタイム ゾーンを選択します。
              • [NTP タイム サーバ(NTP Time Server)]:デフォルトの NTP サーバを使用するか、使用している NTP サーバのアドレスを手動で入力するかを選択します。バックアップ用に複数のサーバを追加できます。
              ステップ 5   システムのスマート ライセンスを設定します。

              スマート ライセンスのアカウントを取得し、システムが必要とするライセンスを適用する必要があります。最初は 90 日間の評価ライセンスを使用し、後でスマート ライセンスを設定することができます。

              デバイスを今すぐ登録するには、リンクをクリックして Smart Software Manager(SSM)のアカウントにログインし、新しいトークンを作成して、編集ボックスにそのトークンをコピーします。

              評価ライセンスを使用するには、[登録せずに 90 日の評価期間を開始する(Start 90 day evaluation period without registration)]を選択します。後でデバイスを登録して、スマート ライセンスを取得するには、[デバイス(Device)]メニューのデバイス名、[スマート ライセンス(Smart Licenses)] グループのリンクをクリックします。

              ステップ 6   [終了(Finish)]をクリックします。
              次の作業

              ワイヤレス アクセス ポイント(ASA 5506W-X)の設定

              ASA 5506W-X には、デバイスに統合されている Cisco Aironet 702i ワイヤレス アクセス ポイントが含まれています。このワイヤレス アクセス ポイントは、デフォルトで無効化されています。ワイヤレス無線を有効化し、SSID およびセキュリティの設定を行うには、アクセス ポイント Web インターフェイスに接続してください。

              アクセス ポイントは、GigabitEthernet 1/9 インターフェイスを介して内部的に接続します。すべての Wi-Fi クライアントは GigabitEthernet 1/9 ネットワークに属します。セキュリティ ポリシーにより、Wi-Fi ネットワークが他のインターフェイス上の任意のネットワークにアクセスする方法が規定されます。アクセス ポイントには、外部インターフェイスやスイッチ ポートは含まれません。

              次の手順では、アクセス ポイントを設定する方法について説明します。この手順では、デバイス セットアップ ウィザードが完了していると仮定します。代わりに手動でデバイスを設定した場合、設定に基づいて手順を調整する必要があります。

              詳細については、次のマニュアルを参照してください。

              はじめる前に

              アクセス ポイントに到達できないときに、Firepower Threat Defenseデバイスは推奨設定になっていて、他のネットワーク問題が見つからない場合、アクセス ポイントをデフォルト設定に復元することができます。Firepower Threat DefenseCLI にアクセス(コンソール ポートに接続、または SSH アクセスを設定)する必要があります。Firepower Threat DefenseCLI から、次のコマンドを入力します。

              > system support diagnostic-cli 
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> enable
Password: <press enter, by default, the password is blank>
firepower# hw-module module wlan recover configuration

              アクセス ポイントのトラブルシューティングをさらに行う必要がある場合、session wlan console コマンドを使用して、アクセス ポイント CLI に接続します。

              手順
                ステップ 1   ワイヤレス インターフェイス GigabitEthernet 1/9 を設定し、有効にします。
                1. インターフェイスのリストを開くには、[デバイス(Device)]メニューのデバイス名をクリックし、[インターフェイス(Interfaces)] グループのリンクをクリックします。
                2. GigabitEthernet 1/9 インターフェイスの [編集(edit)] アイコン()をクリックします。
                3. 次のオプションを設定します。

                  • [インターフェイス名(Interface Name)]:インターフェイスの名前(たとえば wifi など)を入力します。

                  • [ステータス(Status)]:インターフェイスを有効にするには、スライダをクリックします。

                  • [IPv4 アドレス(IPv4 Address)]:アドレス タイプに [スタティック(Static)] を選択し、アドレスおよびサブネット マスクを入力します。たとえば、「192.168.10.1/24」と入力します。

                4. [保存(Save)]をクリックします。
                ステップ 2   内部インターフェイスと同じセキュリティ ゾーンに Wi-Fi インターフェイスを追加します。

                デバイスのセットアップ ウィザードでは、[inside_zone]というセキュリティ ゾーンの [内部(inside)] インターフェイスを設定します。Wi-Fi インターフェイスは、アクセスポイントの Web インターフェイスに到達できるよう、同じゾーンに存在する必要があります。

                1. メニューの [オブジェクト(Objects)]をクリックし、目次から [セキュリティ ゾーン(Security Zones)] を選択します。
                2. [inside_zone]の [編集(edit)] アイコン()をクリックします。
                3. [インターフェイス(Interfaces)]の下の [+] をクリックし、[wifi] インターフェイスを選択します。
                ステップ 3   [inside_zone] セキュリティ ゾーン内のインターフェイス間のトラフィックを許可するため、アクセス コントロール ルールを設定します。

                デバイスのセットアップ ウィザードでは、トラフィックが [inside_zone]から [outside_zone] に流れるようにするためのルールを作成します。これにより、内部ユーザがインターネットにアクセスできます。[Wifi]インターフェイスを [inside_zone] に追加することにより、Wi-Fi ユーザもインターネット アクセスを許可するルールに含まれます。

                ただし、デフォルトのアクションはすべてのトラフィックをブロックするため、[inside_zone]セキュリティ ゾーン内のインターフェイス間のトラフィックを有効にするルールを作成する必要があります。

                1. メニューで [ポリシー(Policies)]をクリックします。
                2. ルールを追加するには、[アクセス コントロール(Access Control)]テーブルの上の [+] をクリックします。
                3. ルールで少なくとも次のオプションを設定します。

                  • [タイトル(Title)]:ルールの名前を入力します。たとえば、「Inside_Inside」と入力します。

                  • [アクション(Action)]:Allow または Trust。

                  • [送信元/宛先(Source/Destination)] > [送信元ゾーン(Source Zones)]:inside_zone を選択します。

                  • [送信元/宛先(Source/Destination)] > [宛先ゾーン(Destination Zones)]:inside_zone を選択します。

                4. [OK]をクリックします。
                ステップ 4   ワイヤレス インターフェイスで、DHCP サーバを設定します。

                DHCP サーバは、アクセス ポイントに接続するデバイスに IP アドレスを提供します。また、アクセス ポイント自体にアドレスを提供します。

                1. [デバイス(Device)]メニューのデバイス名をクリックします。
                2. [システム設定(System Settings)] > [DHCP サーバ(DHCP Server)] をクリックします。
                3. DHCP サーバ テーブルの上の [+]をクリックします。
                4. 次の DHCP サーバのプロパティを設定します。

                  • [DHCP サーバの有効化(Enable DHCP Server)]:DHCP サーバを有効にするには、スライダをクリックします。

                  • [インターフェイス(Interface)]:[wifi] インターフェイスを選択します。

                  • [アドレス プール(Address Pool)]:DHCP クライアントのアドレス プールを入力します。たとえば、ワイヤレス インターフェイスにアドレスの例を使用した場合、プールは「192.168.10.2-192.168.10.254」です。プールはインターフェイスの IP アドレスと同じサブネット上になければならず、またインターフェイス アドレスまたはブロードキャスト アドレスを含むことはできません。

                5. [追加(Add)] [OK] をクリックします。
                ステップ 5   メニューの [展開(Deploy)] ボタンをクリックし、[今すぐ展開(Deploy Now)]ボタンをクリックし、変更をデバイスに展開します。

                展開が完了するまで待ってから続行します。

                ステップ 6   ワイヤレス アクセス ポイントを設定します。

                ワイヤレス アクセス ポイントは、ワイヤレス インターフェイス用に定義された DHCP プールからアドレスを取得します。プール内の最初のアドレスを取得する必要があります。アドレスの例を使用した場合、これは「192.168.10.2」です。(最初のアドレスが機能しない場合は、プール内の次のアドレスを試します)。

                1. 新しいブラウザ ウィンドウを使用し、ワイヤレス アクセス ポイントの IP アドレス、たとえば http://192.168.10.2 に移動します。

                  アクセスポイントの Web インターフェイスが表示されます。

                  このアドレスを開くには、内部ネットワークまたはそのネットワークにルーティングできるネットワーク上にいる必要があります。

                2. ユーザ名 cisco およびパスワード Cisco でログインします。
                3. 左側の [簡単な設定(Easy Setup)] > [ネットワーク設定(Network Configuration)] をクリックします。
                4. [無線設定(Radio Configuration)]領域で、[無線 2.4GHz(Radio 2.4GHz)] および [無線 5GHz(Radio 5GHz)] セクションのそれぞれに対して、少なくとも次のパラメータを設定し、セクションごとに [適用(Apply)] をクリックします。

                  • [SSID]:サービス セット識別子。これはワイヤレス ネットワークの名前です。Wi-Fi 接続用のワイヤレス ネットワークを選択すると、この名前が表示されます。

                  • [ビーコンのブロードキャスト SSID(Broadcast SSID in Beacon)]:このオプションを選択します。

                  • [ユニバーサル管理モード(Universal Admin Mode)]:無効

                  • [セキュリティ(Security)]:どのセキュリティ オプションを使用するかを選択します。

                ステップ 7   ワイヤレス アクセス ポイント Web インターフェイスでは、無線を有効にします。
                1. 左側の [サマリ(Summary)]をクリックし、メイン ページの [ネットワーク インターフェイス(Network Interfaces)] で、2.4 GHz 無線に対応するリンクをクリックします。
                2. [設定(Settings)] タブをクリックします。
                3. [Enable Radio]の設定では、[Enable] ラジオ ボタンをクリックし、ページ下部の [Apply] をクリックします。
                4. 5 GHz 無線についても、この手順を繰り返します。

                初期設定前のデフォルト設定

                ローカル マネージャ(Firepower Device Manager)を使用して Firepower Threat Defenseデバイスの初期設定を行う前、デバイスには次のデフォルト設定が含まれています。

                この設定では、管理インターフェイス、内部インターフェイスおよびコンピュータを同じスイッチに有線接続し、内部インターフェイスで定義されている DHCP サーバを使用して IP アドレスをコンピュータに提供しているものと仮定します。次の表で、デバイス モデル別のデフォルトの内部および外部インターフェイスを参照してください。

                デフォルト設定

                設定

                デフォルト

                初期設定時に変更できるか

                管理者ユーザのパスワード

                Admin123

                可。デフォルト パスワードを変更する必要があります。

                管理 IP アドレス

                192.168.45.45

                不可。

                管理ゲートウェイ

                192.168.45.1

                不可。

                内部インターフェイスの IP アドレス

                192.168.45.1

                不可。

                内部クライアントの DHCP サーバ

                アドレス プール 192.168.45.46 ~ 192.168.45.254 の内部インターフェイスで実行されます。

                不可。

                内部クライアントの DHCP 自動設定(自動設定では、WINS サーバおよび DNS サーバのアドレスをクライアントに提供します)

                外部インターフェイスで有効です。

                可(ただし間接的)。外部インターフェイスにスタティック IPv4 アドレスを設定した場合、DHCP サーバの自動設定が無効になります。

                外部インターフェイスの IP アドレス。

                インターネット サービス プロバイダー(ISP)または上流に位置するルータから DHCP 経由で取得されます。

                可。

                デバイス モデル別のデフォルト インターフェイス

                初期設定時に異なる外部インターフェイスを選択できます。ただし、異なる内部インターフェイスを選択することはできません。設定後に内部インターフェイスを変更するには、インターフェイス設定と DHCP 設定を編集します。

                Firepower Threat Defenseデバイス

                外部インターフェイス

                内部インターフェイス

                ASA 5506-X

                ASA 5506H-X

                ASA 5506W-X

                GigabitEthernet 1/1

                GigabitEthernet 1/2

                ASA 5508-X

                ASA 5516-X

                GigabitEthernet 1/1

                GigabitEthernet 1/2

                ASA 5512-X

                ASA 5515-X

                ASA 5525-X

                ASA 5545-X

                ASA 5555-X

                GigabitEthernet 0/0

                GigabitEthernet 0/1

                初期展開後の設定

                セットアップ ウィザードを完了すると、デバイス設定には次の設定が含まれます。表は、特定の設定が明示的に選択したものであるか、または他の選択に基づいて自動的に定義されたものかどうかを示します。「暗黙的」な設定を検証し、ニーズに合わない場合は編集します。

                設定

                構成

                明示的/暗黙的な設定、またはデフォルト設定

                管理者ユーザのパスワード

                入力した任意の内容

                明示的

                管理 IP アドレス

                192.168.45.45

                デフォルト

                管理ゲートウェイ

                192.168.45.1

                デフォルト

                管理インターフェイスの DNS サーバ

                入力した任意の内容

                明示的

                管理ホスト名

                firepower または入力した任意の内容

                明示的

                システム時刻

                選択したタイム ゾーンと NTP サーバ

                明示的

                スマート ライセンス

                基本ライセンスで登録したもの、または評価期間が有効なもの(選択した方)。

                サブスクリプション ライセンスは有効ではありません。これらを有効化するには、スマート ライセンスのページに移動します。

                明示的

                内部インターフェイスの IP アドレス

                192.168.45.1

                デフォルト

                内部クライアントの DHCP サーバ

                アドレス プール 192.168.45.46 ~ 192.168.45.254 の内部インターフェイスで実行されます。

                デフォルト

                内部クライアントに対する DHCP 自動設定(自動設定では、WINS サーバおよび DNS サーバ用のアドレスがクライアントに提供されます)

                外部インターフェイスの IPv4 アドレスを取得するために DHCP を使用している場合、DHCP 自動設定は外部インターフェイスで有効になります。

                スタティック アドレッシングを使用する場合、DHCP 自動設定は無効になります。

                明示的だが間接

                外部物理インターフェイスと IP アドレス

                選択した物理ポート

                IP アドレスは DHCP によって取得するか、入力したスタティック アドレスです(IPv4、IPv6、またはその両方)。

                明示的。

                スタティック ルート

                外部インターフェイスにスタティック IPv4 または IPv6 アドレスを設定すると、スタティック デフォルト ルートが必要に応じて IPv4/IPv6 用に設定され、そのアドレス タイプに定義したゲートウェイを指定します。DHCP を選択すると、デフォルト ルートが DHCP サーバから取得されます。

                ネットワーク オブジェクトもそのゲートウェイおよび任意のアドレス向けに作成されます(つまり IPv4 では 0.0.0.0/0、IPv6 では ::/0)。

                暗黙的

                セキュリティ ゾーン

                内部インターフェイスを含む inside_zone

                外部インターフェイスを含む outside_zone

                (これらのゾーンを編集して他のインターフェイスを追加したり、独自のゾーンを作成したりできます)

                暗黙的

                アクセス コントロール ポリシー

                inside_zone から outside_zone へのすべてのトラフィックを信頼するルール。これにより、インスペクションなしで、ネットワーク内のユーザからのすべてのトラフィックを外部に出すことができ、これらの接続のすべてのリターン トラフィックが許可されます。

                他のすべてのトラフィックに対するデフォルト アクションは、ブロックです。これにより、外部から発信されたトラフィックがネットワークに入らないようにしています。

                暗黙的

                NAT

                インターフェイス ダイナミック PAT ルールは、外部インターフェイスに宛てられたすべての トラフィックの発信元アドレスを、外部インターフェイスの IP アドレスの一意のポートに変換します。

                (注)     

                このルールは、外部 IPv6 アドレスへの接続を防止します。IPv6 の使用時に PAT ルールをバイパスするには、そのルールを編集して、内部 IPv4 ネットワークを送信元アドレスとしてネットワーク オブジェクトを選択します。

                暗黙的

                設定の基本

                ここでは、デバイスの設定に関する基本的な手順について説明します。

                デバイスの設定

                Firepower Device Manager に最初にログインするとき、基本設定の構成をセットアップ ウィザードが案内します。ウィザードを完了したら、次の方法を使用してその他の機能を設定し、デバイス設定を管理します。

                各項目が視覚的に区別しにくい場合、ユーザ プロファイルから異なるカラー スキームを選択します。ページ右上のユーザ アイコンのドロップダウン メニューから、[プロファイル(Profile)]を選択します。

                手順
                  ステップ 1   [デバイス(Device)]メニューのデバイス名[デバイス ダッシュボード(Device Dashboard)] に移動します。

                  たとえば、以下のリンクが 5516-x-1 という名前のデバイスに表示されます。

                  ダッシュボードには、有効なインターフェイスやキー設定が設定されているか(緑色)またはまだ設定が必要であるかなど、デバイスの視覚的なステータスが表示されます。詳細については、インターフェイスと管理ステータスの表示を参照してください。

                  ステータス イメージの上にはデバイス モデルの概要、ソフトウェア バージョン、VDB(システムと脆弱性のデータベース)バージョンがあり、前回の侵入ルールは更新されています。

                  イメージの下には設定可能なさまざまな機能のグループがあり、各グループの設定の概要、およびシステム設定を管理するために行うことができるアクションが表示されます。

                  ステップ 2   設定を行うか、またはアクションを実行するには、各グループのリンクをクリックします。

                  次に、グループの概要を示します。

                  • [インターフェイス(Interface)]:管理インターフェイスに加えて、少なくとも 2 つのデータ インターフェイスを設定する必要があります。インターフェイスを参照してください。

                  • [ルーティング(Routing)]:ルーティングの設定。デフォルト ルートを定義する必要があります。他のルートは設定に応じて必要になります。ルーティングを参照してください。

                  • [更新(Updates)]:地理位置情報、侵入ルールと脆弱性のデータベースの更新、および。これらの機能を使用する場合、最新のデータベースの更新情報を確実にするため、定期的な更新スケジュールを設定します。定期的なスケジュールの更新が発生する前に更新をダウンロードする必要がある場合にも、このページにアクセスできます。システム データベースの更新を参照してください。

                  • [システム設定(System Settings)]:このグループにはさまざまな設定が含まれます。デバイスの初期設定時に構成し、その後めったに変更しない基本設定などがあります。システム設定を参照してください。

                  • [スマート ライセンス(Smart License)]:システム ライセンスの現在のステータスを示します。システムを使用するには、適切なライセンスをインストールする必要があります。一部の機能では追加のライセンスが必要です。システムのライセンスを参照してください。

                  • [バックアップと復元(Backup and Restore)]:システム設定をバックアップするか、以前のバックアップを復元します。システムのバックアップと復元を参照してください。

                  • [トラブルシューティング(Troubleshoot)]:Cisco Technical Assistance Center の依頼により、トラブルシューティング ファイルを生成します。トラブルシューティング ファイルの作成を参照してください。

                  ステップ 3   変更を展開するには、メニューの [展開(Deploy)]ボタンをクリックします。

                  変更は、それらを展開するまでデバイスで有効になりません。変更の展開を参照してください。

                  次の作業

                  メイン メニューの [ポリシー(Policies)]をクリックし、システムのセキュリティ ポリシーを設定します。また、これらのポリシーで必要なオブジェクトを設定するには、[オブジェクト(Objects)]をクリックします。

                  変更の展開

                  ポリシーまたは設定を更新した場合、変更がすぐにはデバイスに適用されません。設定の変更には、次の 2 つの手順を実行します。

                  1. 変更を行います。

                  2. 変更を展開します。

                  この手順により、デバイスを「部分的に設定された」状態で実行することなく、関連する変更のグループ化を行えるようになります。また、変更によってはインスペクション エンジンの再起動が必要であり、再起動中にトラフィックがドロップする場合があるため、潜在的な分断の影響が最小限となるタイミングで変更を展開することを検討してください。

                  目的の変更を完了した後、次の手順を使用して変更を展開します。


                  注意    

                  Firepower Device Manager を使用するFirepower Threat Defenseデバイスは、インスペクション エンジンがソフトウェアのリソースの問題が原因でビジー状態である、または設定の展開中にエンジンの再起動が必要なためダウンしているときに、トラフィックをドロップします。再起動が必要な変更の詳細については、インスペクション エンジンを再起動する設定の変更を参照してください。

                  手順
                    ステップ 1   Web ページの右上にある [変更の展開(Deploy Changes)]アイコンリンクをクリックします。

                    このアイコンは、展開されていない変更がある場合にドット マークで強調表示されます。

                    [展開サマリ(Deployment Summary)] ページが開きます。このウィンドウには、前回の展開リストに、展開の開始時点と完了時点での変更内容(「変更されたオブジェクト」)に関するサマリ情報と、各展開のステータスを記載したものが表示されます。

                    アイコンが強調表示されていない場合でも、クリックすればこれまでの展開ジョブの結果を表示することができます。

                    ステップ 2   [今すぐ展開(Deploy Now)]をクリックします。

                    インスペクション エンジンを再起動する設定の変更

                    設定の変更を展開した場合、次の設定またはアクションはいずれもインスペクション エンジンを再起動します。


                    注意    

                    展開時に、リソース需要が高まった結果、いくつかのパケットがインスペクションなしでドロップされることがあります。さらに、一部の設定の展開では、インスペクション エンジンを再起動する必要があり、トラフィック インスペクションが中断され、トラフィックがドロップされます。

                    展開

                    展開はすべて、インスペクション エンジンが再起動されます。

                    システムの更新プログラム

                    システムを再起動しないが、バイナリの変更が含まれるシステム更新プログラムまたはパッチをインストールする場合は、インスペクション エンジンを再起動する必要があります。バイナリの変更には、インスペクション エンジン、プリプロセッサ、脆弱性データベース(VDB)または共有オブジェクト ルールの変更が含まれることがあります。場合によって、バイナリの変更を含まないパッチで、Snort の再起動が必要になることもある点に注意してください。

                    インターフェイスと管理ステータスの表示

                    [デバイス ダッシュボード(Device Dashboard)] には、デバイスのグラフィカル ビューと管理アドレス用の設定が含まれています。[デバイス ダッシュボード(Device Dashboard)] を開くには、メニューでデバイスの名前をクリックします。

                    このグラフィックの要素は、要素のステータスに基づいて色が変わります。要素をマウス オーバーすると、追加情報が提供される場合があります。このグラフィックを使用して、次の項目をモニタできます。


                    (注)  

                    インターフェイス ステータス情報を含む、グラフィックのインターフェイス部分は、[インターフェイス(Interfaces)]ページおよび [モニタリング(Monitoring)] > [システム(System)] ダッシュボードでも使用可能です。

                    インターフェイス ステータス

                    ポートをマウス オーバーすると、その IP アドレスと有効なリンク ステータスが表示されます。IP アドレスはスタティックに割り当てることもできれば、DHCP を使用して取得することもできます。

                    インターフェイス ポートは、次のカラー コーディングを使用します。

                    • 緑:インターフェイスは設定され、有効で、リンクは稼働中です。

                    • グレー:インターフェイスは無効です。

                    • オレンジ/赤:インターフェイスが設定され、有効ですが、リンクがダウンしています。インターフェイスが有線の場合、これは修正が必要なエラー状態です。インターフェイスが有線でない場合、これは予期されたステータスです。

                    内部、外部ネットワーク接続

                    グラフィックは、次の条件に従い、外部(またはアップストリーム)ネットワークおよび内部ネットワークに接続されているポートを示します。

                    • 内部ネットワーク:“inside” という名前のインターフェイスの場合のみ、内部ネットワークのポートが表示されます。その他に内部ネットワークが存在する場合、それらは表示されません。いずれのインターフェイスにも “inside” と命名していない場合は、ポートは内部ポートとしてマークされません。

                    • 外部ネットワーク:“outside” という名前のインターフェイスの場合のみ、外部ネットワークのポートが表示されます。内部ネットワークと同様に、この名前は必須であり、存在しない場合は、ポートは外部ポートとしてマークされません。

                    管理設定のステータス

                    グラフィックは、管理アドレス用にゲートウェイ、DNS サーバ、NTP サーバ、スマート ライセンスが設定されているかどうか、さらに、それらの設定が正常に機能しているかどうかを示します。

                    緑は機能が設定され正常に動作していることを示し、グレーは機能が設定されていないか、正常に動作していないこと示しています。たとえば、サーバに到達不能な場合は、DNS ボックスがグレーになります。要素をマウス オーバーすると、詳細が表示されます。

                    問題が見つかった場合は、次のように修正します。

                    • 管理ポートおよびゲートウェイ:[システム設定(System Settings)] > [デバイス管理 IP(Device Management IP)] を選択します。

                    • DNSサーバ:[システム設定(System Settings)] > [DNS サーバ(DNS Server)] を選択します。

                    • NTPサーバ:[システム設定(System Settings)] > [NTP] を選択します。NTP のトラブルシューティングも参照してください。

                    • スマート ライセンス:[スマート ライセンス(Smart License)] グループ内の [設定の表示(View Configuration)]リンクをクリックします。

                    システム タスク ステータスの表示

                    システム タスクには、さまざまなデータベースの更新の取得や適用など、直接関与することなく実行されるアクションが含まれます。これらのタスクのリストとそのステータスを表示し、これらのシステム タスクが正常に完了したことを確認できます。

                    手順
                      ステップ 1   メインメニューの [タスク リスト(Task List)]ボタンをクリックします。

                      タスク リストが開き、システム タスクのステータスと詳細が表示されます。

                      ステップ 2   タスクのステータスを評価します。

                      永続的な問題がある場合は、デバイス設定を修正する必要があります。たとえば、データベースの更新を永続的に取得できない場合、デバイスの管理 IP アドレスにインターネットへのパスがないと示される場合があります。タスクの説明に挙げられている問題については、Cisco Technical Assistance Center(TAC)に問い合わせる必要があります。

                      タスク リストでは、次の操作を実行できます。

                      • これらのステータスに基づいてリストをフィルタするには、[成功(Success)]または [失敗(Failures)] ボタンをクリックします。

                      • タスクをリストから削除するには、[削除(delete )] アイコン()をクリックします。

                      • 進行中でないすべてのタスクのリストを空にするには、[完了したタスクをすべて削除(Remove All Completed Tasks)]をクリックします。

                      このドキュメントは役に立ちましたか?

                      Feedbackフィードバック

                      シスコに問い合わせ