コンフィギュレーションのインポート/エクスポートについて
インポート/エクスポート機能を使用して、アプライアンス間で構成をコピーできます。インポート/エクスポートはバックアップ ツールではありませんが、展開に新しいアプライアンスを追加するプロセスを簡素化できます。
単一の設定をエクスポートすることや、(同じタイプまたは異なるタイプの)一連の設定を単一操作でエクスポートすることができます。後に別のアプライアンスにパッケージをインポートするとき、パッケージ内のどの設定をインポートするかを選択できます。
エクスポートされたパッケージには、その構成のリビジョン情報が含まれ、これにより、別のアプライアンスにその構成をインポートできるかどうかが決まります。アプライアンスに互換性があるものの、パッケージに重複構成が含まれていると、解決オプションが示されます。
(注) |
インポート側とエクスポート側のアプライアンスは、同じバージョンの Firepower システムを実行している必要があります。アクセス コントロールとそのサブポリシー(侵入ポリシーを含む)の場合、侵入ルールの更新バージョンも一致している必要があります。バージョンが一致しない場合、インポートは失敗します。インポート/エクスポート機能を使用して侵入ルールを更新することはできません。代わりに、最新バージョンのルール更新をダウンロードして適用します。 |
インポート/エクスポートをサポートする構成
インポート/エクスポートは、次の構成でサポートされます。
-
アクセス コントロール ポリシーとそれが呼び出すポリシー:プレフィルタ、ネットワーク分析、侵入、SSL、ファイル
-
侵入ポリシー(アクセス コントロールとは無関係に)
-
NAT ポリシー(Firepower Threat Defense のみ)
-
FlexConfig ポリシー。ただし、すべての秘密鍵の変数の内容は、ポリシーをエクスポートする際にクリアされます。秘密鍵を使用する FlexConfig ポリシーをインポートした後に手動ですべての秘密鍵の値を編集する必要があります。
-
プラットフォーム設定
-
正常性ポリシー
-
アラート応答
-
アプリケーション ディテクタ(ユーザ定義および Cisco Professional サービスによって提供されるディテクタ)
-
ダッシュボード
-
カスタム テーブル
-
カスタム ワークフロー
-
保存済み検索
-
カスタム ユーザ ロール
-
レポート テンプレート
-
サードパーティ製品および脆弱性マッピング
設定のインポート/エクスポートに関する特別な考慮事項
構成をエクスポートすると、他の必要な構成もエクスポートされます。たとえば、アクセス コントロール ポリシーをエクスポートすると、そのポリシーが呼び出すサブポリシー、使用しているオブジェクトとオブジェクト グループ、先祖ポリシー(マルチドメイン展開の場合)などもエクスポートされます。別の例として、外部認証が有効になっているプラットフォーム設定ポリシーをエクスポートした場合は、認証オブジェクトもエクスポートされます。ただし、いくつかの例外があります。
-
システム提供のデータベースとフィード:URL フィルタリング カテゴリとレピュテーション データ、シスコ インテリジェンス フィード データ、または地理位置情報データベース(GeoDB)はエクスポートされません。展開内のすべてのアプライアンスがシスコから最新情報を取得していることを確認してください。
-
グローバルなセキュリティ インテリジェンスのリスト:エクスポートされた構成に関連するグローバルなセキュリティ インテリジェンスのブラックリストとホワイトリストがエクスポートされます(マルチドメイン展開では、これは現在のドメインに関係なく実行されます。子孫ドメインのリストはエクスポートされません)。インポート プロセスはこれらのブラックリストとホワイトリストをユーザ作成リストに変換してから、インポートされた構成でそれらの新しいリストを使用します。これにより、インポートされたリストが既存のグローバルなブラックリストおよびホワイトリストと競合することはありません。インポートされた構成でインポート側の Firepower Management Center のグローバル リストを使用するには、これらを手動で追加します。
-
侵入ポリシー共有層:エクスポート プロセスにより、侵入ポリシー共有レイヤが切断されます。以前の共有レイヤはパッケージに含まれ、インポートされた侵入ポリシーには共有レイヤは含まれません。
-
侵入ポリシーのデフォルト変数セット:エクスポート パッケージには、カスタム変数とシステム提供の変数を含むデフォルト変数セットがユーザ定義値とともに含まれています。インポート プロセスでは、インポートされた値でインポート側の Firepower Management Center のデフォルト変数セットを更新します。ただし、インポート プロセスはエクスポート パッケージに存在しないカスタム変数を削除しません。また、エクスポート パッケージに設定されていない値については、インポート側の Firepower Management Center のユーザ定義値を元に戻しません。したがって、インポート側の Firepower Management Center で設定されているデフォルト変数が異なる場合は、インポートされた侵入ポリシーの動作が予想とは異なる可能性があります。
-
カスタム ユーザ オブジェクト:Firepower Management Center でカスタム ユーザ グループまたはオブジェクトを作成済みで、そのようなカスタム ユーザ オブジェクトがアクセス コントロール ポリシーのいずれかのルールに含まれている場合、エクスポート ファイル(.sfo)にはそのユーザ オブジェクト情報が格納されません。このため、そうしたポリシーをインポートする際、これらのカスタム ユーザ オブジェクトへの参照が削除され、宛先 Firepower Management Center にはインポートされません。不明なユーザ グループが原因で検出の問題が発生するのを避けるには、カスタマイズされたユーザ オブジェクトを新しい Firepower Management Center に手動で追加し、インポート後にアクセス コントロール ポリシーを再設定します。
オブジェクトおよびオブジェクト グループをインポートする場合:
-
通常、インポート プロセスはオブジェクトとグループを新規としてインポートしますが、既存のオブジェクトとグループを置き換えることはできません。ただし、インポートされた設定のネットワークやポートのオブジェクトまたはグループが既存のオブジェクトまたはグループと一致する場合、インポートした設定は、新しいオブジェクト/グループを作成せずに、既存のオブジェクト/グループを再利用します。システムは、名前(自動生成される番号は除外します)および各ネットワークとポートのオブジェクト/グループの内容を比較して、一致するかどうかを判別します。
-
インポートしたオブジェクトの名前がインポートする Firepower Management Center 上の既存のオブジェクトと一致する場合、システムはそれらの名前を一意にするため、インポートされたオブジェクトとグループの名前に自動生成した番号を付加します。
-
インポートした設定で使用されているセキュリティ ゾーンとインターフェイス グループを、インポート側の Firepower Management Center で管理されているタイプが一致するゾーンとグループにマッピングする必要があります。
-
秘密キーを含む PKI オブジェクトを使用する構成をエクスポートすると、エクスポートの前に秘密キーが復号されます。インポート時に、キーはランダムに生成されたキーで暗号化されます。