管理アクセスの設定
管理アクセスとは、設定およびモニタ目的で FTD デバイスにログインする機能のことです。次の項目を設定できます。
-
ユーザアクセス認証に使用するアイデンティティソースを特定するための AAA。ローカルユーザデータベースまたは外部 AAA サーバを使用することができます。管理ユーザの管理の詳細については、FDM および FTD ユーザ アクセスの管理を参照してください。
-
管理インターフェイスおよびデータ インターフェイスへのアクセス制御。これらのインターフェイスには個別のアクセス リストがあります。どの IP アドレスが HTTPS(Firepower Device Manager で使用)および SSH(CLI で使用)で許可されるかを決定できます。管理アクセス リストの設定を参照してください。
-
Firepower Device Manager に接続するためにユーザが受け入れる必要がある管理 Web サーバ証明書。Web ブラウザで信頼される証明書をアップロードすることにより、ユーザが不明な証明書を信頼するように求められるのを回避できます。Firepower Device Manager Web サーバ証明書の設定を参照してください。
管理アクセス リストの設定
デフォルトでは、任意の IP アドレスから、デバイスの Firepower Device Manager ウェブまたは管理アドレスの CLI インターフェイスにアクセスできます。システム アクセスは、ユーザ名/パスワードのみで保護されています。ただし、特定の IP アドレスまたはサブネットのみからの接続を許可するようアクセス リストを設定し、さらにレベルの高い保護を提供できます。
また、データインターフェイスを開いて、Firepower Device Manager または SSH による CLI 接続を許可することもできます。これにより、管理アドレスを使用せずにデバイスを管理できます。たとえば、外部インターフェイスへの管理アクセスを許可し、デバイスをリモートで設定できます。ユーザ名/パスワードにより、不要な接続から保護します。デフォルトでは、データインターフェイスへの HTTPS 管理アクセスは内部インターフェイスで有効になっていますが、外部インターフェイスでは無効になっています。デフォルトの「内部」ブリッジグループを持つデバイス モデルの場合、ブリッジグループ内の任意のデータインターフェイスを介して、ブリッジグループ IP アドレス(デフォルトは 192.168.1.1)への Firepower Device Manager 接続が可能になります。管理接続は、デバイスに入るインターフェイス上でのみ開くことができます。
注意 |
特定のアドレスへのアクセスを制限すると、システムから簡単にロックアウトできます。現在使用している IP アドレスへのアクセスを削除し、「任意」のアドレスへのエントリが存在しない場合、ポリシーを展開した時点でシステムへのアクセスは失われます。アクセス リストを設定する場合は、特に注意してください。 |
始める前に
同じ TCP ポートの同じインターフェイスで Firepower Device Manager アクセス(HTTPS アクセス)、AnyConnect リモート アクセス SSL VPN の両方を構成することはできません。たとえば、外部インターフェイスにリモート アクセス SSL VPN を設定する場合、ポート 443 で HTTPS 接続用の外部インターフェイスも開くことはできません。Firepower Device Manager ではこれらの機能に使用されるポートを設定できないため、同じインターフェイスで両方の機能は設定できません。
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、 の順にリンクをクリックします。 [システム設定(System Settings)] ページがすでに表示されている場合は、目次で [管理アクセスリスト(Management Access List)][管理アクセス(Management Access)] をクリックします。 このページで AAA を設定して、外部 AAA サーバで定義されたユーザの管理アクセスを許可することもできます。詳細は、FDM および FTD ユーザ アクセスの管理を参照してください。 |
ステップ 2 |
管理アドレスのルールを作成するには、以下の手順に従います。 |
ステップ 3 |
データインターフェイスへのルールを作成するには、以下の手順に従います。 |
Firepower Device Manager Web サーバ証明書の設定
Web インターフェイスにログインするときに、システムはデジタル証明書を使用して HTTPS で通信を保護します。デフォルトの証明書はブラウザで信頼されていないため、Untrusted Authority という警告が表示され、証明書を信頼するかどうかを確認されます。ユーザは証明書を Trusted Root Certificate ストアに保存することもできますが、その代わりにブラウザが信頼するように設定されている新しい証明書をアップロードすることもできます。
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、 リンクの順にクリックします。 [システム設定(System Settings)] ページがすでに表示されている場合は、目次で [管理アクセス(Management Access)] をクリックします。 |
ステップ 2 |
[管理Webサーバ(Management Web Server)] タブをクリックします。 |
ステップ 3 |
[Webサーバ証明書(Web Server Certificate)] で、Firepower Device Manager への HTTPS 接続をセキュリティ保護するために使用する内部証明書を選択します。 証明書をアップロードまたは作成していない場合、リストの下部にある [内部証明書の新規作成(Create New Internal Certificate)] リンクをクリックして作成します。 デフォルトは、事前に定義された DefaultWebserverCertificate オブジェクトです。 |
ステップ 4 |
[保存(Save)] をクリックします。 変更はすぐに適用され、システムが Web サーバを再起動します。設定を展開する必要はありません。 数分待って再起動が完了してから、ブラウザを更新します。 |