コンフィギュレーションのインポート/エクスポートについて
Device Manager または CDO を使用して 脅威に対する防御 デバイスをローカルで管理する場合は、脅威に対する防御 API を使用してデバイスの構成をエクスポートできます。このメソッドは、Secure Firewall Management Center が管理するデバイスでは機能しません。
構成をエクスポートすると、zip ファイルが作成されます。作成された zip ファイルはワークステーションにダウンロードできます。構成自体は、JSON 形式のテキストファイルで属性と値のペアを使用して定義されたオブジェクトとして表されます。ファイルを編集した後、同じデバイスまたは別のデバイスに再びインポートできます。
そのため、エクスポートファイルを使用してテンプレートを作成し、ネットワーク内の他のデバイスに展開できます。
オブジェクトをインポートする際、構成ファイルでオブジェクトを定義するのではなく、import コマンドで直接オブジェクトを定義することもできます。ただし、オブジェクトを直接定義するのは、少数の変更をインポートする場合に限定してください。
ここでは、構成のインポート/エクスポートについて詳しく説明します。
エクスポートファイルに含まれるもの
エクスポートを実行する場合は、どの構成をエクスポートファイルに含めるかを指定します。完全なエクスポートには、エクスポート zip ファイル内のすべてのものが含まれます。何をエクスポートするかに基づいて、エクスポート zip ファイルには次のものを含める場合があります。
-
設定された各オブジェクトを定義する属性と値のペア。Device Manager で「オブジェクト」と呼ばれるものだけに限らず、設定可能な項目はすべて、オブジェクトとしてモデル化されます。
-
リモートアクセス VPN を設定した場合は、AnyConnect パッケージおよびその他の参照ファイル(クライアントプロファイル XML ファイル、DAP XML ファイル、Hostscan パッケージなど)。
-
カスタムファイルポリシーを設定した場合は、すべての参照済みクリーンリストまたはカスタム検出リスト。
インポート/エクスポートとバックアップ/復元の比較
構成のインポート/エクスポートは、バックアップ/復元と同じではありません。
-
バックアップ/復元は、ディザスタリカバリを目的としています。デバイスにバックアップを復元できるのは、デバイスが同じモデルであり、バックアップの取得元デバイスと同じソフトウェアバージョンを実行している場合のみです。これは主として、「最後に良好だった」構成を同じデバイスに回復すること、または構成を交換用デバイスに復元することを目的としています。
-
インポート/エクスポートは、構成の全部または一部を保持することを目的としています。エクスポートファイルを使用して、デバイスのイメージを再作成した後で、構成をデバイスに復元することができます。または、エクスポートファイルをテンプレートとして使用し、その内容を編集してから別のデバイスにインポートすることもできます。インポート/エクスポートを使用すると、新しいデバイスを特定のベースラインの構成にまで迅速に設定できるため、デバイスをネットワークに迅速に導入できます。制限の範囲内で、別のデバイスモデル(たとえば、Firepower 2120 から 2130)にファイルをインポートすることもできます。インポートファイルに、すべてのデバイスモデルでサポートされているオブジェクトのみが含まれている場合、インポートに関する制限はほとんどありません。1 つ制約として、デバイスではエクスポートファイルに使用したものと同じ API バージョンを使用する必要があります。
インポート/エクスポートの戦略
次に、インポート/エクスポートを使用する方法をいくつか示します。
-
新しいデバイス用のテンプレートを作成します。モデルデバイスを必要な基準設定にしてから、完全な構成をエクスポートします。その後、その構成を新しいデバイスにインポートしてから、Device Manager または 脅威に対する防御 API を使用して必要な変更を加えることができます。また、インポートの前にテンプレートを編集して、各インターフェイスの IP アドレスなどの変更を加えることもできます。完全なエクスポートには ManagementIP オブジェクト(type = managementip)が含まれていることに注意してください。ターゲットデバイスに管理アドレスおよびゲートウェイがすでに設定されている場合は、新しいデバイス用のテンプレートを作成するときに、エクスポートファイルからこのオブジェクトを削除する必要があります。そうしないと、管理アドレッシング情報が上書きされます。
-
あるデバイスから他の同様のデバイスに構成の変更を展開します。たとえば、デバイス A の構成を編集するときに、いくつかの新しいネットワークオブジェクトとアクセス制御ルールを作成します。次に、保留中の変更をエクスポートし、それらの変更をデバイス B にインポートできます。両方のデバイスに構成を展開すると、同じ新しいルールが実行されます。
-
システムの再イメージ化後に構成を再適用します。デバイスを再イメージ化すると、構成が消去されます。最初に完全な構成をエクスポートしておけば、再イメージ化の完了後にインポートすることができます。
-
ターゲットの構成を適用します。エクスポートファイルは編集ができ、手動で作成することもできるため、別のデバイスにインポートするオブジェクトを除くすべてのオブジェクトを削除することができます。たとえば、一連のネットワークオブジェクトを含む構成ファイルを作成し、それを使用して、同じネットワークオブジェクトのグループをすべての 脅威に対する防御 デバイスにインポートすることができます。