Cisco Firepower Threat Defense Virtual クイックスタートガイド(Microsoft Azure クラウド向け)

ダウンロード オプション

  • PDF     (1.1 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2017 年 7 月 13 日
Document ID:1485133536895333

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

Table of Contents

Cisco Firepower Threat Defense Virtual クイックスタートガイド(Microsoft Azure クラウド向け)

Microsoft Azure クラウドへの導入について

Firepower Threat Defense Virtual および Azure の前提条件とシステム要件

Firepower Threat Defense Virtual および Azure のガイドラインと制限事項

Azure 上の Firepower Threat Defense Virtual のサンプル ネットワーク トポロジ

導入時に作成されるリソース

Azure ルーティング

仮想ネットワーク内の VM のルーティング設定

IP アドレス

Firepower Threat Defense Virtual の導入

付録:Azure リソース テンプレートのサンプル

Cisco Firepower Threat Defense Virtual クイックスタートガイド(Microsoft Azure クラウド向け)

発行日: 2017 年 1 月 23 日

更新日: 2019 年 9 月 12 日

Microsoft Azure は、オープンかつ柔軟性を備えたエンタープライズグレードのパブリック クラウド コンピューティング プラットフォームであり、コンピュート、分析、ストレージ、ネットワーキングなど、広範な用途向けのクラウド サービスを提供します。これらのサービスから選択して、パブリック クラウドで新規アプリケーションの開発やスケーリングを実施したり、既存のアプリケーションを実行することができます。

このドキュメントでは、Azure に Firepower Threat Defense Virtual を展開する方法について説明します。

Microsoft Azure クラウドへの導入について

Firepower Threat Defense Virtual は、Microsoft Azure マーケットプレイスに統合されます。管理用の Firepower Management Center は、顧客宅内において Azure の外部で実行されます。Microsoft Azure に導入した Firepower Threat Defense Virtual は、以下の 2 つのインスタンス タイプをサポートします。

  • Standard D3(4 つの vCPU、14 GB、4 つの vNIC)
  • Standard D3_v2(4 つの vCPU、14 GB、4 つの vNIC)

Firepower Threat Defense Virtual および Azure の前提条件とシステム要件

  • Azure.com でアカウントを作成します。

Microsoft Azure でアカウントを作成した後は、ログインしてマーケットプレイスから Cisco Firepower Threat Defense を検索し、「Cisco Firepower Next Generation Firewall - virtual」を選択します。

  • Cisco スマート アカウント。Cisco Software Central( https://software.cisco.com/ )で作成できます。
  • Firepower Threat Defense Virtual へのライセンス付与。

blank.gifFirepower Management Center からセキュリティ サービスのすべてのライセンス資格を設定します。

blank.gifライセンスを管理する方法の詳細については、『Firepower Management Center Configuration Guide』の「Licensing the Firepower System」を参照してください。有用なリンクなど、Firepower System の機能ライセンスの概要については、『 Cisco Firepower System Feature Licenses 』を参照してください。

  • 通信パス:

blank.gif管理インターフェイス — Firepower Threat Defense Virtual を Firepower Management Center に接続するために使用されます。

blank.gif診断インターフェイス — 診断およびレポートに使用されます。通過トラフィックには使用できません。

blank.gif内部インターフェイス(必須) — Firepower Threat Defense Virtual を内部ホストに接続するために使用されます。

blank.gif外部インターフェイス(必須) — Firepower Threat Defense Virtual をパブリック ネットワークに接続するために使用されます。

Firepower Threat Defense Virtual および Azure のガイドラインと制限事項

サポートされる機能

  • Firepower Threat Defense Virtual のみは Microsoft Azure マーケットプレイスから入手できます。Firepower Management Center は、Azure の外部で動作します。
  • サポートされる Azure インスタンスは Standard_D3_V2(デフォルト)および Standard_D3 です。これらのインスタンスはいずれも 4vCPU、14 GB メモリ、4vNIC をサポートします。
  • ライセンス モード

blank.gifスマート ライセンスのみ

blank.gifPLR はサポートされません

  • ネットワーキング

blank.gifルーテッド ファイアウォール モードのみ

  • パブリック IP アドレッシング

blank.gifManagement 0/0 および GigabitEthernet 0/0 のみにパブリック IP アドレスが割り当てられます。

  • インターフェイス

blank.gifFirepower Threat Defense Virtual は、4 つのインターフェイスとともに導入されます。

サポートされない機能

  • ライセンシング

blank.gifPay As You Go(PAYG)ライセンシング

blank.gifパーマネント ライセンス予約(PLR)

  • ネットワーキング(これらの制限事項の多くは Microsoft Azure の制約です)

blank.gifジャンボ フレーム

blank.gifIPv6

blank.gif802.1Q VLAN

blank.gifトランスペアレント モードおよびその他のレイヤ 2 機能。ブロードキャストなし、マルチキャストなし。

blank.gifAzure の観点からデバイスが所有していない IP アドレスのプロキシ ARP(一部の NAT 機能に影響します)

blank.gif無差別モード(サブネット トラフィックのキャプチャなし)

blank.gifインラインセット モード、パッシブ モード

blank.gif:Azure ポリシーにより Firepower Threat Defense Virtual のトランスペアレント ファイアウォール モードやインライン モードでの動作は阻止されます。これは、Azure ポリシーがインターフェイスの無差別モードでの動作を許可していないためです。

blank.gifERSPAN(GRE を使用。これは Azure では転送されない)

  • 管理

blank.gifコンソール アクセス。管理は Firepower Management Center を使用してネットワーク上で実行されます(SSH はセットアップおよびメンテナンスの一部の作業に使用可能)

blank.gifAzure ポータルの「パスワードのリセット」機能

blank.gifコンソール ベースのパスワード回復。ユーザはコンソールにリアルタイム アクセスができないため、パスワードの回復もできません。パスワード回復イメージの起動ができません。唯一の対応手段は、新規の Firepower Threat Defense Virtual VM を導入することです。

  • 高可用性(アクティブ/スタンバイ)
  • クラスタリング
  • VM のインポート/エクスポート
  • Firepower Device Manager ユーザ インターフェイス

Azure 上の Firepower Threat Defense Virtual のサンプル ネットワーク トポロジ

次の図は、Azure 内でルーテッド ファイアウォール モードに設定された Firepower Threat Defense Virtual の代表的なトポロジを示しています。最初に定義されるインターフェイスが常に管理インターフェイスであり、Management 0/0 および GigabitEthernet0/0 のみにパブリックIPアドレスが割り当てられます。

図 1 Azure への Firepower Threat Defense Virtual の導入例

 

415856.jpg

導入時に作成されるリソース

Azure に Firepower Threat Defense Virtual を導入すると、次のリソースが作成されます。

  • Firepower Threat Defense 仮想マシン(VM)
  • リソース グループ

blank.gifFirepower Threat Defense Virtual は常に新しいリソース グループに導入されます。ただし、Firepower Threat Defense Virtual を別のリソース グループ内の既存仮想ネットワークにアタッチすることはできます。

  • 4 枚の NIC(名前は、 vm name -Nic0、 vm name -Nic1、 vm name -Nic2、 vm name -Nic3)

これらの NIC は、Firepower Threat Defense Virtual のインターフェイス Management、Diagnostic 0/0、GigabitEthernet 0/0、GigabitEthernet 0/1 にそれぞれマッピングされます。

  • セキュリティ グループ(名前は、 vm name -mgmt-SecurityGroup)

このセキュリティ グループは VM の Nic0 にアタッチされます。Nic0 は Firepower Threat Defense Virtual 管理インターフェイスにマッピングされています。

このセキュリティ グループには、Firepower Management Center インターフェイス(TCP ポート 8305)用の SSH(TCP ポート 22)および管理トラフィックを許可するルールが含まれます。導入後に、これらの値を変更できます。

  • パブリック IP アドレス(導入時に選択した値に従って命名)

パブリック IP アドレスは、Management にマッピングされる VM の Nic0 に関連付けられます。

注: パブリック IP アドレスを選択する必要があります(新規または既存)。[なし(None)] オプションはサポートされていません。

  • [新規ネットワーク(New Network)] オプションを選択すると、4 つのサブネットを備えた仮想ネットワークが作成されます。
  • サブネットごとのルーティング テーブル(既存の場合は最新のもの)

テーブルには、 subnet name -FTDv-RouteTable という名前が付けられます。

各ルーティング テーブルには、Firepower Threat Defense Virtual IP アドレスを持つ他の 3 つのサブネットへのルートがネクスト ホップとして含まれています。トラフィックを他のサブネットまたはインターネットに到達させる必要がある場合は、デフォルト ルートを追加することもできます。

  • 選択したストレージ アカウントの起動時診断ファイル

起動時診断ファイルは、ブロブ(サイズの大きいバイナリ オブジェクト)内に配置されます。

  • 選択したストレージ アカウントのブロブおよびコンテナ VHD にある 2 つのファイル(名前は、 vm name -disk.vhd および vm name -<uuid>.status)
  • ストレージ アカウント(既存のストレージ アカウントが選択されていない場合)

blank.gif:VM を削除すると、保持を希望する任意のリソースを除き、これらの各リソースを個別に削除する必要があります。

Azure ルーティング

Azure 仮想ネットワーク サブネットでのルーティングは、サブネットの有効ルーティング テーブルによって決定されます。有効ルーティング テーブルは、組み込みのシステム ルートとユーザ定義ルート(UDR)テーブルが組み合わされたものです。

注: 有効ルーティング テーブルは VM NIC のプロパティの下に表示されます。

ユーザ定義のルーティング テーブルは表示および編集できます。システム ルートとユーザ定義ルートを組み合わせて有効ルーティング テーブルを構成する際に、最も固有なルート(同位のものを含め)がユーザ定義ルーティング テーブルに含められます。システム ルーティング テーブルには、Azure の仮想ネットワーク インターネット ゲートウェイを指すデフォルト ルート(0.0.0.0/0)が含まれます。また、システム ルーティング テーブルには、Azure の仮想ネットワーク インフラストラクチャ ゲートウェイを指すネクスト ホップとともに、他の定義済みのサブネットへの固有ルートが含まれます。

Firepower Threat Defense Virtual 経由でトラフィックをルーティングするには、各データ サブネットに関連付けられたユーザ定義ルーティング テーブルのルートを追加または更新する必要があります。対象トラフィックは、そのサブネット上の Firepower Threat Defense Virtual IP アドレスをネクスト ホップとして使用してルーティングする必要があります。また、必要に応じて、0.0.0.0/0 のデフォルト ルートを Firepower Threat Defense Virtual IP のネクスト ホップとともに追加できます。

システム ルーティング テーブル内は既存の固有ルートであるために、Firepower Threat Defense Virtual をネクストホップとして指定する固有ルートをユーザ定義ルーティング テーブルに追加する必要があります。追加しない場合、ユーザ定義テーブル内のデフォルト ルートではなく、システム ルーティング テーブル内のより固有なルートが選択され、トラフィックが Firepower Threat Defense Virtual をバイパスしてしまいます。

仮想ネットワーク内の VM のルーティング設定

Azure 仮想ネットワーク内のルーティングは、クライアントの特定なゲートウェイ設定ではなく、有効なルーティング テーブルに依存します。仮想ネットワーク内で稼働するクライアントは、DHCPによって、それぞれのサブネット上の 1 アドレスとなるルートを指定されることがあります。これはプレースホルダで、仮想ネットワークのインフラストラクチャ仮想ゲートウェイにパケットを送信するためにだけ使用されます。パケットは、VM から送信されると、有効なルーティング テーブル(ユーザ定義のテーブルによって変更された)に従ってルーティングされます。有効なルーティング テーブルは、クライアントでゲートウェイが 1 として、または Firepower Threat Defense Virtual アドレスとして設定されているかどうかに関係なく、ネクスト ホップを決定します。

Azure VM ARP テーブルには、すべての既知のホストに対して同じ MAC アドレス(1234.5678.9abc)が表示されます。これによって、Azure VM からのすべてのパケットが、有効なルーティング テーブルを使用してパケットのパスを決定する Azure ゲートウェイに到達するように保証されます。

IP アドレス

次の情報は Azure の IP アドレスに適用されます。

  • Firepower Threat Defense Virtual 上の最初の NIC(Management にマッピングされる)には、アタッチ先のサブネット内のプライベート IP アドレスが付与されます。

パブリック IP アドレスは、プライベート IP アドレスに関連付けられる場合があり、Azure インターネット ゲートウェイは NAT 変換を処理します。

Firepower Threat Defense Virtual の導入後に、パブリック IP アドレスをデータ インターフェイス(GigabitEthernet0/0 など)と関連付けることができます。

  • 動的なパブリック IP アドレスは、Azure の停止/開始サイクル中に変化する可能性があります。ただし、Azure の再起動中および Firepower Threat Defense Virtual のリロード中は保持されています。
  • 静的なパブリック IP アドレスは、Azure 内でそれらを変更するまで変わりません。
  • Firepower Threat Defense Virtual インターフェイスは、DHCP を使用してそれらの IP アドレスを設定ですることができます。Azure インフラストラクチャは、Azure で設定された IP アドレスが確実に Firepower Threat Defense Virtual インターフェイスに割り当てられるように動作します。

Firepower Threat Defense Virtual の導入

テンプレートを使用して Azure に Firepower Threat Defense Virtual を展開できます。2 種類のテンプレートが用意されています。

  • Azure マーケットプレイスのソリューション テンプレート :Azure マーケットプレイスで使用可能なソリューション テンプレートを使用すると、Azure ポータルを使用して Firepower Threat Defense Virtual を展開できます。既存のリソース グループおよびストレージ アカウントを使用して(あるいは、それらを新規に作成して)、仮想アプライアンスを展開できます。ソリューション テンプレートを使用するには、「ソリューション テンプレートを使用した Azure マーケットプレイスからの展開」を参照してください。
  • VHD からの管理対象イメージを使用したカスタム テンプレート(cisco.com から入手可能):マーケットプレイス ベースの展開の他に、圧縮仮想ディスク(VHD)が用意されています。これを Azure にアップロードして、Azure に Firepower Threat Defense Virtual を展開するプロセスを簡素化できます。管理対象イメージと 2 つの JSON ファイル(テンプレート ファイルおよびパラメータ ファイル)を使用して、単一の協調操作で Firepower Threat Defense Virtual のすべてのリソースを展開およびプロビジョニングできます。カスタム テンプレートを使用するには、「VHD およびリソース テンプレートを使用した Azure からの展開」を参照してください。
ソリューション テンプレートを使用した Azure マーケットプレイスからの展開

次の手順は、Azure マーケットプレイスで使用できる FTDv のソリューション テンプレートを展開する方法を示しています。これは、Microsoft Azure 環境で FTDv をセットアップする手順の概略です。Azure のセットアップの詳細な手順については、「 Getting Started with Azure 」を参照してください。

Azure に FTDv を導入すると、リソース、パブリック IP アドレス、ルート テーブルなどのさまざまな設定が自動的に生成されます。導入後に、これらの設定をさらに管理できます。たとえば、アイドル タイムアウト値を、デフォルトの短いタイムアウトから変更することができます。

blank.gif:GitHub リポジトリで使用できるカスタマイズ可能な ARM テンプレートを使用するには、「VHD およびリソース テンプレートを使用した Azure からの展開」を参照してください。

手順

1.blank.gif Azure リソース マネージャ (ARM)ポータルにログインします。

Azure ポータルは、データセンターの場所に関係なく、現在のアカウントとサブスクリプションに関連付けられた仮想要素を表示します。

2.blank.gif [Azure マーケットプレイス(Azure Marketplace)] > [仮想マシン(Virtual Machines)] を順に選択します。

3.blank.gif マーケットプレイスで「Cisco Firepower Next Generation Firewall - virtual」を検索して選択して、[作成(Create)] をクリックします。

4.blank.gif 基本的な設定を行います。

a.blank.gif 仮想マシンの名前を入力します。この名前は Azure サブスクリプション内で一意である必要があります。

注: 既存の名前を使用していないことを確認します。使用すると、導入は失敗します。

b.blank.gif Firepower Threat Defense Virtual 管理者のユーザ名を入力します。

注: 「admin」という名前は Azure で予約されており、使用できません。

c.blank.gif 認証タイプとして、パスワードまたは SSH キーのいずれかを選択します。

パスワードを選択した場合は、パスワードを入力して確定します。

SSH キーを選択した場合は、リモート ピアの RSA 公開キーを指定します。

d.blank.gif Firepower Threat Defense Virtual の設定時にログインする際に Admin ユーザ アカウントで使用するパスワードを作成します。

e.blank.gif サブスクリプション タイプを選択します。

f.blank.gif 新しいリソース グループを作成します。

Firepower Threat Defense Virtual は新しいリソース グループに導入する必要があります。既存のリソース グループに展開するオプションは、既存のリソース グループが空の場合にのみ機能します。

ただし、後の手順でネットワーク オプションを設定する際に、FTDv を別のリソース グループ内に存在している仮想ネットワークへ接続できます。

g.blank.gif 地理的なロケーションを選択します。このロケーションは、導入で使用される全リソース(FTDv、ネットワーク、ストレージ アカウントなど)で統一する必要があります。

h.blank.gif [OK] をクリックします。

5.blank.gif Firepower Threat Defense Virtual の初期設定を完了します。

a.blank.gif 仮想マシンのサイズを選択します。

b.blank.gif ストレージ アカウントを選択します。

注: 既存のストレージ アカウントを使用するか、新しいストレージ アカウントを作成することができます。ストレージ アカウント名には、小文字と数字のみを使用できます。

c.blank.gif IP アドレスのラベルを [名前(Name)] フィールドに入力し、[OK] をクリックすることにより、パブリック IP アドレスを要求します。

注: このステップで動的/静的のいずれを選択しても、Azure は動的なパブリック IP アドレスを作成します。VM を停止させて再起動すると、パブリック IP が変わることがあります。固定 IP アドレスを優先する場合は、作成したパブリック IP を(展開後に)開き、ダイナミック アドレスからスタティック アドレスに変更します。

d.blank.gif 必要に応じて、DNS のラベルを追加します。

注: 完全修飾ドメイン名は、DNS ラベルと Azure URL の組み合わせで、<dnslabel>.<location>.cloudapp.azure.com の形式になります。

e.blank.gif 既存の仮想ネットワークを選択するか、新しい仮想ネットワークを作成します。

f.blank.gif Firepower Threat Defense 仮想ネットワーク インターフェイスで、4 つのサブネットを構成します。

FTDv 管理 インターフェイス(第 1 サブネットに接続)

FTDv 診断 インターフェイス(第 2 サブネットに接続)

FTDv Gig 0/0 インターフェイス(第 3 サブネットに接続)

FTDv Gig 0/1 インターフェイス(第 4 サブネットに接続)

g.blank.gif [OK] をクリックします。

6.blank.gif 構成サマリを確認し、[OK] をクリックします。

7.blank.gif 利用条件を確認し、[購入(Purchase)] をクリックします。

導入時間は Azure によって異なります。Firepower Threat Defense Virtual VM が実行されていることが Azure から報告されるまで待機します。

次の作業

  • Azure で Firepower Threat Defense Virtual の IP 設定を更新します。
VHD およびリソース テンプレートを使用した Azure からの展開

シスコが提供する圧縮 VHD イメージを使用して、独自のカスタム Cisco Firepower Threat Defense Virtual イメージを作成できます。VHD イメージを使用して展開するには、Azure ストレージ アカウントに VHD イメージをアップロードする必要があります。次に、アップロードしたディスク イメージおよび Azure Resource Manager テンプレートを使用して、管理対象イメージを作成できます。Azure テンプレートは、リソースの説明とパラメータの定義が含まれている JSON ファイルです。

はじめる前に

  • Cisco Firepower Threat Defense Virtual テンプレートの展開には、JSON テンプレートおよび対応する JSON パラメータ ファイルが必要です。テンプレートとパラメータ ファイルを構築する手順については、「付録:Azure リソース テンプレートのサンプル」を参照してください。
  • この手順では、Azure に Linux VM が存在している必要があります。一時的な Linux VM(Ubuntu 16.04 など)を使用して、Azure に圧縮 VHD イメージをアップロードすることをお勧めします。このイメージを解凍するには、約 50 GB のストレージが必要です。また、Azure の Linux VM から Azure ストレージへのアップロード時間が短くなります。

VM を作成する必要がある場合は、次のいずれかの方法を使用します。

blank.gif Azure CLI による Linux 仮想マシンの作成

blank.gif Azure ポータルによる Linux 仮想マシンの作成

  • Azure サブスクリプションには、Cisco Firepower Threat Defense Virtual を展開する場所で使用可能なストレージ アカウントが必要です。

手順

1.blank.gif Cisco ダウンロード ソフトウェア ページから Cisco Firepower Threat Defense Virtual 圧縮 VHD イメージをダウンロードします。

a.blank.gif [製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [次世代ファイアウォール(NGFW)(Next-Generation Firewalls (NGFW))] > [Firepower NGFW Virtual] に移動します。

b.blank.gif [Firepower Threat Defense ソフトウェア(Firepower Threat Defense Software)] をクリックします。

手順に従ってイメージをダウンロードしてください。

たとえば、Cisco_Firepower_Threat_Defense_Virtual-6.2.3-81.vhd.bz2 です。

2.blank.gif Azure の Linux VM に圧縮 VHD イメージをコピーします。

Azure との間でファイルをやり取りするために使用できるオプションが数多くあります。この例では、SCP(セキュア コピー)を示します。

# scp /username@remotehost.com/dir/Cisco_Firepower_Threat_Defense_Virtual-6.2.3-81.vhd. bz2 <linux-ip>

3.blank.gif Azure の Linux VM にログインし、圧縮 VHD イメージをコピーしたディレクトリに移動します。

4.blank.gif Firepower Threat Defense Virtual VHD イメージを解凍します。

ファイルを解凍または圧縮解除するために使用できるオプションが数多くあります。この例では Bzip2 ユーティリティを示しますが、Windows ベースのユーティリティも正常に機能します。

# bunzip2 Cisco_Firepower_Threat_Defense_Virtual-6.2.3-81. bz2-compress

5.blank.gif Azure ストレージ アカウントのコンテナに VHD をアップロードします。既存のストレージ アカウントを使用するほか、新規に作成することもできます。ストレージ アカウント名には、小文字と数字のみを使用できます。

ストレージ アカウントに VHD をアップロードするために使用できるオプションが数多くあります。AzCopy、Azure Storage Copy Blob API、Azure Storage Explorer、Azure CLI、Azure ポータルなどです。Firepower Threat Defense Virtual VHD ほどの容量があるファイルには、Azure ポータルを使用しないことを推奨します。

次の例は、Azure CLI を使用した構文を示しています。

azure storage blob upload \
--file <unzipped vhd> \
--account-name <azure storage account> \
--account-key yX7txxxxxxxx1dnQ== \
--container <container> \
--blob <desired vhd name in azure> \
--blobtype page

6.blank.gif VHD から管理対象イメージを作成します。

a.blank.gif Azure ポータルで、[イメージ(Images)] を選択します。

b.blank.gif [追加(Add)] をクリックして、新しいイメージを作成します。

c.blank.gif 次の情報を入力します。

[名前(Name)]:管理対象イメージのユーザ定義の名前を入力します。

[サブスクリプション(Subscription)]:ドロップダウン リストからサブスクリプションを選択します。

[リソースグループ(Resource group)]:既存のリソース グループを選択するか、新しいリソース グループを作成します。

[OS ディスク(OS disk)]:OS タイプとして Linux を選択します。

[ストレージ BLOB(Storage blob)]:ストレージ アカウントを参照して、アップロードした VHD を選択します。

[アカウントタイプ(Account type)]:ドロップダウン リストから [標準(HDD)(Standard (HDD))] を選択します。

[ホストキャッシング(Host caching)]:ドロップダウン リストから [読み取り/書き込み(Read/write)] を選択します。

[データディスク(Data disks)]:デフォルトのままにしておきます。データ ディスクを追加しないでください。

d.blank.gif [作成(Create)] をクリックします。

「イメージが正常に作成されました(Successfully created image)」というメッセージが [通知(Notifications)] タブの下に表示されるまで待ちます。

blank.gif:管理対象イメージが作成されたら、アップロードした VHD とアップロード ストレージ アカウントを削除できます。

7.blank.gif 新規に作成した管理対象イメージの リソース ID を取得します。

Azure の内部では、あらゆるリソースがリソース ID に関連付けられています。リソース ID は、この管理対象イメージから新しい Firepower Threat Defense Virtual ファイアウォールを展開するときに必要になります。

a.blank.gif Azure ポータルで、[イメージ(Images)] を選択します。

b.blank.gif 前のステップで作成した管理対象イメージを選択します。

c.blank.gif [概要(Overview)] をクリックして、イメージのプロパティを表示します。

d.blank.gif クリップボードに [リソース ID(Resource ID)] をコピーします。

リソース ID の形式は次のとおりです。 /subscriptions/<subscription-id>/resourceGroups/<resourceGroup>/providers/Microsoft.Compute/<container>/<vhdname>

8.blank.gif 管理対象イメージおよびリソース テンプレートを使用して、Firepower Threat Defense Virtual ファイアウォールを構築します。

a.blank.gif [新規(New)] を選択し、オプションから選択できるようになるまで [テンプレート展開(Template Deployment)] を検索します。

b.blank.gif [作成(Create)] を選択します。

c.blank.gif [エディタで独自のテンプレートを構築する(Build your own template in the editor)] を選択します。

カスタマイズできる空白のテンプレートが作成されます。テンプレートを作成する例については、「リソース テンプレートの作成」を参照してください。

d.blank.gif カスタマイズした JSON テンプレート コードをウィンドウに貼り付け、[保存(Save)] をクリックします。

e.blank.gif ドロップダウン リストから [サブスクリプション(Subscription)] を選択します。

f.blank.gif 既存の リソース グループ を選択するか、新しいリソース グループを作成します。

g.blank.gif ドロップダウン リストから [ロケーション(Location)] を選択します。

h.blank.gif 前ステップからの管理対象イメージの リソース ID を [VM 管理対象イメージID(Vm Managed Image Id)] フィールドに貼り付けます。

9.blank.gif [カスタム展開(Custom deployment)] ページの最上部にある [パラメータの編集(Edit parameters)] をクリックします。カスタマイズできるパラメータ テンプレートが作成されます。

a.blank.gif [ファイルのロード(Load file)] をクリックし、カスタマイズした Firepower Threat Defense Virtual パラメータ ファイルを参照します。パラメータ テンプレートを作成する例については、「パラメータ ファイルの作成」を参照してください。

b.blank.gif カスタマイズした JSON パラメータ コードをウィンドウに貼り付け、[保存(Save)] をクリックします。

10.blank.gif カスタム展開の詳細を確認します。[基本(Basics)] と [設定(Settings)] の情報( リソース ID など)が、想定した展開設定に一致することを確認します。

11.blank.gif 利用規約を確認し、[上記の利用規約に同意します(I agree to the terms and conditions stated above)] チェックボックスをオンにします。

12.blank.gif [購買(Purchase)] をクリックして、管理対象イメージおよびカスタム テンプレートを使用して Firepower Threat Defense Virtual ファイアウォールを展開します。

テンプレート ファイルとパラメータ ファイルに競合がなければ、展開が正常に完了しているはずです。

管理対象イメージは、同じサブスクリプションおよび地域内の複数の展開に使用できます。

次の作業

  • Azure で Firepower Threat Defense Virtual の IP 設定を更新します。
パブリック IP アドレス設定の更新

手順

1.blank.gif [仮想マシン(Virtual Machine)] から、Firepower Threat Defense Virtual VM を選択します。

2.blank.gif [概要(Overview)] をクリックします。

3.blank.gif [パブリック IP アドレス/DNS の名前ラベル(Public IP address/DNS name label)] の下の青色の IP アドレスおよび DNS 名をクリックします。

4.blank.gif [設定(Configuration)] をクリックします。

blank.gifIP アドレスによって接続するには、割り当ての [静的(Static)] を選択します。

blank.gifDNS 名によって接続するには、DNS 名前ラベルを入力します。

blank.gif(オプション)必要に応じて、[アイドルタイムアウト(Idle Timeout)] を最大範囲(30 分)に拡大することができます。これにより、管理 SSH セッションの早すぎるタイムアウトを防止できます。

5.blank.gif [保存(Save)] をクリックします。

次の作業

  • 必要に応じて、パブリック IP アドレスをデータ インターフェイスに追加します。
  • Firepower Management Center によって管理するための Firepower Threat Defense Virtual の設定を行います。
(オプション)データ インターフェイスへのパブリック IP アドレスの追加

手順

1.blank.gif [仮想マシン(Virtual Machine)] から、Firepower Threat Defense Virtual VM を選択します。

2.blank.gif [ネットワークインターフェイス(Network Interfaces)] をクリックします。

3.blank.gif IP アドレスの追加先のデータ インターフェイスを選択します。

blank.gifNic2(三番目の NIC)は、Firepower Management Center から表示する際に GigabitEthernet 0/0 にマッピングされます。これが最初のデータ NIC です。

blank.gifNic3(4 番目の NIC)は、Firepower Management Center から表示する際に GigabitEthernet 0/1 にマッピングされます。これが 2 番目のデータ NIC です。

4.blank.gif [IP 設定(IP Configuration)] をクリックします。

5.blank.gif [追加(Add)] をクリックします。

6.blank.gif 右側の一覧から [IPConfig-1] を選択します。

7.blank.gif [IPConfig-1] 設定ブレードで、[パブリック IP アドレス(Public IP address)] を [有効(Enabled)] に切り替えます。

8.blank.gif [新規作成(Create new)] ダイアログを使用して、新しいパブリック IP アドレスを作成します。

注: 静的 IP アドレスまたは動的 IP アドレスを作成できます。動的 IP アドレスを作成する場合は、IP アドレスではなく常に DNS 名を使用してこのインターフェイスにアクセスする必要があります。

9.blank.gif [OK] をクリックします。

設定変更が処理されるまで待機し、[ネットワークインターフェイス(Network interfaces)] をクリックして、パブリック IP アドレスがデータ インターフェイスに追加されたことを確認します。

注: データ インターフェイスに関連付けられたパブリック IP アドレスでインターネット トラフィックがダイレクトされる場合、そのトラフィックが Azure ゲートウェイでネットワーク アドレス変換された宛先になり、パケットの新しい宛先 IP がパブリック IP に関連付けられた Firepower Threat Defense Virtual インターフェイスのプライベート IP になります。Firepower Threat Defense Virtual は、宛先 IP を内部サブネット上のリソースの IP に変換するように NAT で設定する必要があります。

10.blank.gif [保存(Save)] をクリックします。

次の作業

  • Firepower Management Center によって管理するための Firepower Threat Defense Virtual の設定を行います。
Firepower Management 用の Firepower Threat Defense Virtual の設定

Firepower Threat Defense Virtual は、デバイスを Firepower Management Center に登録するために必要なネットワーク情報を使用して設定する必要があります。

Firepower Threat Defense Virtual を設定し、FMC をデバイスとして追加可能にするには、 configure manager add コマンドを実行します。デバイスをFirepower Management Centerへ登録するには、自己生成の一意の英数字登録キーが必ず必要です。これはユーザが指定する簡単なキーで、ライセンス キーとは異なります。

宅内から Azure 仮想ネットワークへ Express Route で接続する場合は、Firepower Management Center の IP アドレスと登録キーを入力します。たとえば、次のようになります。

configure manager add XXX.XXX.XXX.XXX my_reg_key

XXX.XXX.XXX.XXX は、管理している Firepower Management Center の IP アドレスで、 my_reg_key は、バーチャル デバイス向けのユーザ定義型登録キーです。

ただし、パブリック IP アドレスを使用して Firepower Threat Defense Virtual を登録する場合は、登録キーとともに一意の NAT ID を入力し、IP アドレスの代わりに DONTRESOLVE を指定する必要があります。次に例を示します。

configure manager add DONTRESOLVE my_reg_key my_nat_id

my_reg_key はユーザ定義型の登録キーで、 my_nat_id は、仮想デバイス向けのユーザ定義型 NAT ID です。

手順

1.blank.gif Azure によって提供されるパブリック IP アドレスを使用して Firepower Threat Defense Virtual に SSH 接続をします。

2.blank.gif ユーザ名 admin およびパスワード Admin123 でログインします。

3.blank.gif プロンプトに従ってシステム設定を行います。

最初に、エンド ユーザ ライセンス契約(EULA)を読んで同意する必要があります。ここで admin パスワードを変更し、プロンプトに従って管理アドレス、DNS 設定、ファイアウォール モード(ルーテッド)を指定します。

4.blank.gif デフォルトのシステム設定が処理されるのを待ちます。数分かかることがあります。

5.blank.gif configure manager add コマンドを使用して、このデバイスを管理する Firepower Management Center アプライアンスを指定します。

> configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]

blank.gif:登録キーは、ユーザ定義型の使い捨てキーです。37 文字以下にする必要があります。有効な文字には、英数字(A–Z、a–z、0–9)、およびハイフン(-)などがあります。デバイスを Firepower Management Center に追加するときに、この登録キーを思い出す必要があります。

Firepower Management Center を直接アドレス指定できない場合は、DONTRESOLVE を使用します。

blank.gif:NAT ID はユーザ定義型の英数字文字列(オプション)であり、上述した登録キーと同じ規則に従います。hostname が DONTRESOLVE に設定されている場合に必要です。デバイスを Firepower Management Center に追加するときに、この NAT ID を思い出す必要があります。

Firepower Management Center の IP アドレスは Azure にネットワーク アドレス変換される可能性が高いため NAT ID が必要になります。次に例を示します。

configure manager add DONTRESOLVE 1234 ABCD

次の作業

  • Azure セキュリティ グループを更新します。
Azure セキュリティ グループの更新

セキュリティ グループは、特定のインターフェイスに対してどのポートや宛先を Azure が許可または拒否するかを制御するものです。Firepower Threat Defense Virtual までの SSH アクセスおよび Firepower Management Center からの SSH アクセスを取得するには、VM のプライマリ インターフェイス上でセキュリティ グループにルールを追加する必要があります。SSH には TCP ポート 22 が必要であり、登録および診断には TCP ポート 8305 が必要です。

手順

1.blank.gif 新規に導入した Firepower Threat Defense Virtual VM の情報ページを開きます。

2.blank.gif [ネットワークインターフェイス(Network Interfaces)] を選択します。

3.blank.gif [Nic0] を選択します。

4.blank.gif [必須(Essentials)] ペインでネットワーク セキュリティ グループを探します。青色のネットワーク セキュリティ グループ名をクリックします。これは、 <vmname>-SSH-SecurityGroup.と同様の規則に従っています。

5.blank.gif [インバウンドセキュリティルール(Inbound security rules)] をクリックします。

6.blank.gif Service = SSH を許可する SSH-Rule が存在することを確認します。存在しない場合は追加します。

送信元アドレスの範囲は、SSH で Firepower Threat Defense Virtual に接続する際に使用する予定の IP アドレスに制限することが推奨されます。そうでない場合は、SSH がインターネットに対してオープンになります。

7.blank.gif 診断インターフェイスに関するセキュリティ グループ ルールを追加します。

a.blank.gif [名前(Name)] — インバウンド ルールの名前を指定します( sf-tunnel など)。

b.blank.gif [優先度(Priority)] — デフォルトのままにします。

c.blank.gif [送信元(Source)] — CIDR に変更し、Firepower Management Center の送信元になるサブネットを入力します。

d.blank.gif [サービス(Service)] — [カスタム(Custom)]

e.blank.gif [プロトコル(Protocol)] — [TCP]

f.blank.gif [ポート範囲(Port range)] — [8305]

g.blank.gif [アクション(Action)] — [許可(Allow)]

8.blank.gif [OK] をクリックします。

次の作業

  • Firepower Threat Defense Virtual を Firepower Management Center に登録します。
Firepower Management Center への登録

最初のインターフェイスおよび Management サブネットに関するセキュリティ グループが Firepower Management Center の送信元アドレスからのすべてのトラフィックを許可することを確認します。通常これは、インターネット側ファイアウォールのプールからのアドレスです。一時的にすべてのトラフィックを許可することができます。ただし、Firepower Management Center が接続している IP アドレス ブロックを検出した後は、それらの既知の安全なブロックからのトラフィックのみを許可するようにセキュリティ グループを制限する必要があります。

手順

はじめる前に

  • Firepower Threat Defense Virtual には、スマート ソフトウェア ライセンシングが必要です。これは、Firepower Management Center から設定可能です。
  • 仮想アプライアンスの時間同期の要件を決定する必要があります。仮想アプライアンスを物理 NTP サーバに同期させることが推奨されます。管理対象デバイスは Firepower Management Center と同期しないでください。時間同期の要件については、『Firepower Management Center Configuration Guide』を参照してください。

手順

1.blank.gif ブラウザで HTTPS 接続を使用し、設定した Firepower Management Center のホスト名またはアドレスを使用して Firepower Management Center にログインします。たとえば、https://MC.example.com などです。

2.blank.gif Management Center の Web インターフェイスで、[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

3.blank.gif [追加(Add)] ドロップダウン リストから、[デバイスの追加(Add Device)] を選択します。

4.blank.gif [ホスト(Host)] フィールドで次のように操作します。

a.blank.gif パブリック IP アドレスを使用してインターネット上で接続するには、Firepower Threat Defense Virtual の Management インターフェイスに関連付けられたパブリック IP アドレスを入力します。

b.blank.gif Azure ExpressRoute 上で接続するには、Firepower Threat Defense Virtual の Management インターフェイスに関連付けられたプライベート IP アドレスを入力します。

5.blank.gif [表示名(Display Name)] フィールドに、Management Center でのセキュリティ モジュールの表示名を入力します。

6.blank.gif [登録キー(Registration Key)] フィールドに、Firepower Management 用に Firepower Threat Defense Virtual を設定したときに使用した登録キーを入力します。

7.blank.gif マルチドメイン環境でデバイスを追加している場合は、[ドメイン(Domain)] ドロップダウン リストから値を選択することにより、デバイスをリーフ ドメインに割り当てます。

現在のドメインがリーフ ドメインである場合、デバイスは自動的に現在のドメインに追加されます。

8.blank.gif 必要に応じて、デバイスをデバイス グループ に追加します。

9.blank.gif [アクセスコントロールポリシー(Access Control Policy)] ドロップダウン リストから、セキュリティ モジュールに導入する初期ポリシーを選択します。

blank.gif[デフォルトアクセスコントロール(Default Access Control)] ポリシーは、すべてのトラフィックをネットワークからブロックします。

blank.gif[デフォルト侵入防御(Default Intrusion Prevention)] ポリシーは、Balanced Security and Connectivity 侵入ポリシーにも合格したすべてのトラフィックを許可します。

blank.gif[デフォルトネットワーク検出(Default Network Discovery)] ポリシーは、すべてのトラフィックを許可し、ネットワーク検出のみでトラフィックを検査します。

blank.gif既存のユーザ定義アクセス コントロール ポリシーを選択することもできます。詳細については、『Firepower Management Center Configuration Guide』の「Managing Access Control Policies」を参照してください。

10.blank.gif デバイスに適用するライセンスを選択します。

注: Control、Malware、URL Filtering の各ライセンスには保護ライセンスが必要です。詳細については『 Firepower Management Center Configuration Guide 』を参照してください。

11.blank.gif デバイスを Firepower Management Center の管理対象として設定するときに、NAT ID を使用してデバイスを識別した場合は、[詳細(Advanced)] セクションを展開して、[固有 NAT ID(Unique NAT ID)] フィールドに同じ NAT ID を入力します。

注: 管理のパブリック IP を使用してインターネット上で Firepower Threat Defense Virtual に接続する場合は、NAT IDを使用する必要があります。 Azure ExpressRoute 上で接続する場合、NAT ID を使用する必要はありません。

12.blank.gif [登録(Register)] をクリックし、デバイスが正常に登録されたことを確認します。

Firepower Management Center がデバイスのハートビートを確認して通信を確立するまでに、最大 2 分かかる場合があります。

次の作業

  • 2 つのデータ インターフェイスの有効化および設定を行います。
デバイス設定の構成

Firepower Threat Defense Virtual を 管理用の Firepower Management Center に登録した後、2 つのデータ インターフェイスを有効にして設定する必要があります。

手順

1.blank.gif [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

2.blank.gif インターフェイスを設定する Firepower Threat Defense Virtual デバイスの横にある編集アイコンをクリックします。

マルチドメイン導入において、リーフ ドメインではない場合、システムから切り替えを求められます。

3.blank.gif GigabitEthernet 0/0 インターフェイスの横にある編集アイコンをクリックします。

a.blank.gif [モード(Mode)] ドロップダウン リストから、[なし(None)] を選択してインターフェイスをルーテッド モードのままにしておきます。

b.blank.gif [Ipv4] タブをクリックし、[IP アドレス(IP Address)] が Azure の導入中にインターフェイスに与えられたアドレスと一致することを確認します。

c.blank.gif [OK] をクリックします。

4.blank.gif GigabitEthernet 0/1 インターフェイスについても同じ手順を繰り返します。

5.blank.gif [保存(Save)] をクリックします。

次の作業

  • Firepower Management Center ユーザ インターフェイスを使用して、アクセス制御ポリシーおよび Firepower Threat Defense Virtual インスタンスを使用してトラフィックを管理するその他の関連ポリシーの作成および設定を行えます。『 Firepower Management Center Configuration Guide 』またはオンライン ヘルプを参照してください。

付録:Azure リソース テンプレートのサンプル

この項では、Firepower Threat Defense Virtual を展開するために使用できる Azure Resource Manager テンプレートの構造について説明します。Azure リソース テンプレートは JSON ファイルです。必須の全リソースの展開を簡素化するため、この例には 2 つの JSON ファイルが含まれています。

  • テンプレート ファイル :これは、リソース グループ内のすべてのコンポーネントを展開するメイン リソース ファイルです。
  • パラメータ ファイル :このファイルには、Firepower Threat Defense Virtual を正常に展開するために必要なパラメータが含まれています。これには、サブネット情報、仮想マシンの階層とサイズ、Firepower Threat Defense Virtual のユーザ名とパスワード、ストレージ コンテナの名前など、詳細な情報が含まれています。このファイルを Azure 展開環境用にカスタマイズできます。
テンプレート ファイルの形式

この項では、Azure Resource Manager テンプレートの構造について説明します。次の図は、テンプレート ファイルを縮小表示したもので、テンプレートのさまざまな部分を示しています。

図 2 Azure Resource Manager JSON テンプレート ファイル

 

{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "",
"parameters": { },
"variables": { },
"resources": [ ],
"outputs": { }
}

テンプレートは、Firepower Threat Defense Virtual 展開の値を作成するために使用できる JSON および式で構成されています。その最も単純な構造では、テンプレートに次の要素が含まれています。

表 1 定義済みの Azure Resource Manager JSON テンプレート ファイル要素

 

要素

必須

説明

$schema

はい

テンプレート言語のバージョンを説明する JSON スキーマ ファイルの場所。前の図に示した URL を使用します。

contentVersion

はい

テンプレートのバージョン(1.0.0.0 など)。この要素には任意の値を指定できます。テンプレートを使用してリソースを展開するときは、この値を使用して、適切なテンプレートが使用されていることを確認できます。

パラメータ

いいえ

展開を実行してリソース展開をカスタマイズするときに指定する値。パラメータにより、展開時に値を入力できます。絶対に必要というわけではありませんが、指定しないと、JSON テンプレートは毎回同じパラメータでリソースを展開します。

変数

いいえ

テンプレート言語式を簡素化するためにテンプレートで JSON フラグメントとして使用される値。

リソース

はい

リソース グループで展開または更新されるリソース タイプ。

outputs

いいえ

展開後に返される値。

JSON テンプレートは、展開するリソース タイプを宣言するためだけでなく、その関連する設定パラメータを宣言するためにも利用できます。次のサンプルは、新しい Firepower Threat Defense Virtual を展開するテンプレートを示しています。

リソース テンプレートの作成

ここには、Firepower Threat Defense Virtual 展開テンプレートの完全なサンプルがあります。

手順

テキスト エディタを使用して独自のテンプレートを作成するには、次の手順を実行します。

1.blank.gif 次の図に示したサンプルのテンプレートをコピーします。

2.blank.gif このファイルを、たとえば azureDeploy.json というように、JSON ファイルとしてローカルに保存します。

3.blank.gifVHD およびリソース テンプレートを使用した Azure からの展開」で説明しているように、このテンプレートを使用して Firepower Threat Defense Virtual を展開します。

図 3 Firepower Threat Defense Virtual JSON テンプレート ファイルのサンプル

 
 
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmName": {
"type": "string",
"defaultValue": "ngfw",
"metadata": {
"description": "Name of the NGFW VM"
}
},
"vmManagedImageId": {
"type": "string",
"defaultValue": "/subscriptions/{subscription-id}/resourceGroups/myresourcegroup1/providers/Microsoft.Compute/images/myImage",
"metadata": {
"description": "The ID of the managed image used for deployment. /subscriptions/{subscription-id}/resourceGroups/myresourcegroup1/providers/Microsoft.Compute/images/myImage"
}
},
"adminUsername": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "Username for the Virtual Machine. admin, Administrator among other values are disallowed - see Azure docs"
}
},
"adminPassword": {
"type": "securestring",
"defaultValue" : "",
"metadata": {
"description": "Password for the Virtual Machine. Passwords must be 12 to 72 chars and have at least 3 of the following: Lowercase, uppercase, numbers, special chars"
}
},
"vmStorageAccount": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "A storage account name (boot diags require a storage account). Between 3 and 24 characters. Lowercase letters and numbers only"
}
},
"virtualNetworkResourceGroup": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "Name of the virtual network's Resource Group"
}
},
"virtualNetworkName": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "Name of the virtual network"
}
},
"mgmtSubnetName": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The FTDv management interface will attach to this subnet"
}
},
"mgmtSubnetIP": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "NGFW IP on the mgmt interface (example: 192.168.0.10)"
}
},
"diagSubnetName": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The FTDv diagnostic0/0 interface will attach to this subnet"
}
},
"diagSubnetIP": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "NGFW IP on the diag interface (example: 192.168.1.10)"
}
},
"gig00SubnetName": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The FTDv Gigabit 0/0 interface will attach to this subnet"
}
},
"gig00SubnetIP": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The IP on the Gigabit 0/0 interface (example: 192.168.2.10)"
}
},
"gig01SubnetName": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The FTDv Gigabit 0/1 interface will attach to this subnet"
}
},
"gig01SubnetIP": {
"type": "string",
"defaultValue": "",
"metadata": {
"description": "The IP on the Gigabit 0/1 interface (example: 192.168.3.5)"
}
},
"vmSize": {
"type": "string",
"defaultValue": "Standard_D3_v2",
"allowedValues": [ "Standard_D3_v2", "Standard_D3" ],
"metadata": {
"description": "NGFW VM Size (Standard_D3_v2 or Standard_D3)"
}
}
},
"variables": {
 
"virtualNetworkID": "[resourceId(parameters('virtualNetworkResourceGroup'),'Microsoft.Network/virtualNetworks', parameters('virtualNetworkName'))]",
"vmNic0Name":"[concat(parameters('vmName'),'-nic0')]",
"vmNic1Name":"[concat(parameters('vmName'),'-nic1')]",
"vmNic2Name":"[concat(parameters('vmName'),'-nic2')]",
"vmNic3Name":"[concat(parameters('vmName'),'-nic3')]",
"vmNic0NsgName":"[concat(variables('vmNic0Name'),'-NSG')]",
 
"vmMgmtPublicIPAddressName": "[concat(parameters('vmName'),'nic0-ip')]",
"vmMgmtPublicIPAddressType": "Static",
"vmMgmtPublicIPAddressDnsName": "[variables('vmMgmtPublicIPAddressName')]"
},
"resources": [
{
"apiVersion": "2017-03-01",
"type": "Microsoft.Network/publicIPAddresses",
"name": "[variables('vmMgmtPublicIPAddressName')]",
"location": "[resourceGroup().location]",
"properties": {
"publicIPAllocationMethod": "[variables('vmMgmtPublicIpAddressType')]",
"dnsSettings": {
"domainNameLabel": "[variables('vmMgmtPublicIPAddressDnsName')]"
}
}
},
{
"apiVersion": "2015-06-15",
"type": "Microsoft.Network/networkSecurityGroups",
"name": "[variables('vmNic0NsgName')]",
"location": "[resourceGroup().location]",
"properties": {
"securityRules": [
{
"name": "SSH-Rule",
"properties": {
"description": "Allow SSH",
"protocol": "Tcp",
"sourcePortRange": "*",
"destinationPortRange": "22",
"sourceAddressPrefix": "Internet",
"destinationAddressPrefix": "*",
"access": "Allow",
"priority": 100,
"direction": "Inbound"
}
},
{
"name": "SFtunnel-Rule",
"properties": {
"description": "Allow tcp 8305",
"protocol": "Tcp",
"sourcePortRange": "*",
"destinationPortRange": "8305",
"sourceAddressPrefix": "Internet",
"destinationAddressPrefix": "*",
"access": "Allow",
"priority": 101,
"direction": "Inbound"
}
}
]
}
},
{
"apiVersion": "2017-03-01",
"type": "Microsoft.Network/networkInterfaces",
"name": "[variables('vmNic0Name')]",
"location": "[resourceGroup().location]",
"dependsOn": [
"[concat('Microsoft.Network/networkSecurityGroups/',variables('vmNic0NsgName'))]",
"[concat('Microsoft.Network/publicIPAddresses/', variables('vmMgmtPublicIPAddressName'))]"
],
"properties": {
"ipConfigurations": [
{
"name": "ipconfig1",
"properties": {
"privateIPAllocationMethod": "Static",
"privateIPAddress" : "[parameters('mgmtSubnetIP')]",
"subnet": {
"id": "[concat(variables('virtualNetworkID'),'/subnets/', parameters('mgmtSubnetName'))]"
},
"publicIPAddress":{
"id": "[resourceId('Microsoft.Network/publicIPAddresses/', variables('vmMgmtPublicIPAddressName'))]"
}
}
}
],
"networkSecurityGroup": {
"id": "[resourceId('Microsoft.Network/networkSecurityGroups', variables('vmNic0NsgName'))]"
},
"enableIPForwarding": true
}
},
{
"apiVersion": "2017-03-01",
"type": "Microsoft.Network/networkInterfaces",
"name": "[variables('vmNic1Name')]",
"location": "[resourceGroup().location]",
"dependsOn": [
],
"properties": {
"ipConfigurations": [
{
"name": "ipconfig1",
"properties": {
"privateIPAllocationMethod": "Static",
"privateIPAddress" : "[parameters('diagSubnetIP')]",
"subnet": {
"id": "[concat(variables('virtualNetworkID'),'/subnets/', parameters('diagSubnetName'))]"
} }
}
],
"enableIPForwarding": true
}
},
{
"apiVersion": "2017-03-01",
"type": "Microsoft.Network/networkInterfaces",
"name": "[variables('vmNic2Name')]",
"location": "[resourceGroup().location]",
"dependsOn": [
],
"properties": {
"ipConfigurations": [
{
"name": "ipconfig1",
"properties": {
"privateIPAllocationMethod": "Static",
"privateIPAddress" : "[parameters('gig00SubnetIP')]",
"subnet": {
"id": "[concat(variables('virtualNetworkID'),'/subnets/', parameters('gig00SubnetName'))]"
} }
}
],
"enableIPForwarding": true
}
},
{
"apiVersion": "2017-03-01",
"type": "Microsoft.Network/networkInterfaces",
"name": "[variables('vmNic3Name')]",
"location": "[resourceGroup().location]",
"dependsOn": [
],
"properties": {
"ipConfigurations": [
{
"name": "ipconfig1",
"properties": {
"privateIPAllocationMethod": "Static",
"privateIPAddress" : "[parameters('gig01SubnetIP')]",
"subnet": {
"id": "[concat(variables('virtualNetworkID'),'/subnets/', parameters('gig01SubnetName'))]"
 
} }
}
],
"enableIPForwarding": true
}
},
{
"type": "Microsoft.Storage/storageAccounts",
"name": "[concat(parameters('vmStorageAccount'))]",
"apiVersion": "2015-06-15",
"location": "[resourceGroup().location]",
"properties": {
"accountType": "Standard_LRS"
}
},
{
"apiVersion": "2017-12-01",
"type": "Microsoft.Compute/virtualMachines",
"name": "[parameters('vmName')]",
"location": "[resourceGroup().location]",
"dependsOn": [
"[concat('Microsoft.Storage/storageAccounts/', parameters('vmStorageAccount'))]",
"[concat('Microsoft.Network/networkInterfaces/',variables('vmNic0Name'))]",
"[concat('Microsoft.Network/networkInterfaces/',variables('vmNic1Name'))]",
"[concat('Microsoft.Network/networkInterfaces/',variables('vmNic2Name'))]",
"[concat('Microsoft.Network/networkInterfaces/',variables('vmNic3Name'))]"
],
"properties": {
"hardwareProfile": {
"vmSize": "[parameters('vmSize')]"
},
"osProfile": {
"computername": "[parameters('vmName')]",
"adminUsername": "[parameters('AdminUsername')]",
"adminPassword": "[parameters('AdminPassword')]"
},
"storageProfile": {
"imageReference": {
"id": "[parameters('vmManagedImageId')]"
},
"osDisk": {
"osType": "Linux",
"caching": "ReadWrite",
"createOption": "FromImage"
}
},
"networkProfile": {
"networkInterfaces": [
{
"properties": {
"primary": true
},
"id": "[resourceId('Microsoft.Network/networkInterfaces', variables('vmNic0Name'))]"
},
{
"properties": {
"primary": false
},
"id": "[resourceId('Microsoft.Network/networkInterfaces', variables('vmNic1Name'))]"
},
{
"properties": {
"primary": false
},
"id": "[resourceId('Microsoft.Network/networkInterfaces', variables('vmNic2Name'))]"
},
{
"properties": {
"primary": false
},
"id": "[resourceId('Microsoft.Network/networkInterfaces', variables('vmNic3Name'))]"
}
]
},
"diagnosticsProfile": {
"bootDiagnostics": {
"enabled": true,
"storageUri": "[concat('http://',parameters('vmStorageAccount'),'.blob.core.windows.net')]"
}
}
}
}
],
"outputs": { }
}
パラメータ ファイルの形式

新しい展開を開始するときには、リソース テンプレートにパラメータが定義されています。展開を開始するには、これらを入力しておく必要があります。リソース テンプレートに定義したパラメータを手動で入力することも、パラメータをテンプレート パラメータ JSON ファイルに配置しておくこともできます。

パラメータ ファイルには、「図 3」のパラメータ セクションに表示される各パラメータの値が含まれています。これらの値は、展開時にテンプレートに自動的に渡されます。さまざまな展開シナリオに合わせて複数のパラメータ ファイルを作成できます。

この例の Firepower Threat Defense Virtual テンプレートの場合、パラメータ ファイルに次のパラメータを定義する必要があります。

表 2 Firepower Threat Defense Virtual パラメータの定義

 

フィールド

説明

vmName

Azure で Firepower Threat Defense Virtual VM に付けられる名前。

cisco-ngfw

vmManagedImageId

展開に使用される管理対象イメージの ID。Azure の内部では、あらゆるリソースがリソース ID に関連付けられています。

/subscriptions/73d2537e-ca44-46aa-beb2-74ff1dd61b41/resourceGroups/ewManagedImages-rg/providers/Microsoft.Compute/images/FTDv-6.2.2-81-Managed-Image

adminUsername

Firepower Threat Defense Virtual にログインするためのユーザ名。予約名の「admin」にすることはできません。

jdoe

adminPassword

管理者アカウントのパスワード。これは、12 ~ 72 文字の長さで、1 つの小文字、1 つの大文字、1 つの数字、1 つの特殊文字のうち 3 つを含める必要があります。

Pw0987654321

vmStorageAccount

Azure ストレージ アカウント。既存のストレージ アカウントを使用するほか、新規に作成することもできます。ストレージ アカウント名は、3 ~ 24 文字で、小文字と数字のみ含めることができます。

ciscongfwstorage

virtualNetworkResourceGroup

仮想ネットワークのリソース グループの名前。Firepower Threat Defense Virtual は常に新しいリソース グループに導入されます。

ew-west8-rg

virtualNetworkName

仮想ネットワークの名前。

ew-west8-vnet

mgmtSubnetName

管理インターフェイスは、このサブネットに接続されます。これは、Nic0(最初のサブネット)にマップされます。既存のネットワークに参加する場合、これは既存のサブネット名に一致する必要があります。

mgmt

mgmtSubnetIP

管理インターフェイス IP アドレス。

10.8.0.55

diagSubnetName

診断インターフェイスは、このサブネットに接続されます。これは、Nic1(2 番目のサブネット)にマップされます。既存のネットワークに参加する場合、これは既存のサブネット名に一致する必要があります。

diag

diagSubnetIP

診断インターフェイス IP アドレス。

10.8.1.55

gig00SubnetName

GigabitEthernet 0/0 インターフェイスは、このサブネットに接続されます。これは、Nic2(3 番目のサブネット)にマップされます。既存のネットワークに参加する場合、これは既存のサブネット名に一致する必要があります。

inside

gig00SubnetIP

GigabitEthernet 0/0 インターフェイス IP アドレス。Firepower Threat Defense Virtual の最初のデータ インターフェイス用です。

10.8.2.55

gig01SubnetName

GigabitEthernet 0/1 インターフェイスは、このサブネットに接続されます。これは、Nic3(3 番目のサブネット)にマップされます。既存のネットワークに参加する場合、これは既存のサブネット名に一致する必要があります。

outside

gig01SubnetIP

GigabitEthernet 0/1 インターフェイス IP アドレス。Firepower Threat Defense Virtual の 2 番目のデータ インターフェイス用です。

10.8.3.55

vmSize

Firepower Threat Defense Virtual VM に使用する VM サイズ。Standard_D3_V2 と Standard_D3 がサポートされています。Standard_D3_V2 がデフォルトです。

Standard_D3_V2 または Standard_D3
パラメータ ファイルの作成

ここには、Firepower Threat Defense Virtual パラメータ ファイルの完全なサンプルがあります。

手順

テキスト エディタを使用して独自のパラメータ ファイルを作成するには、次の手順を実行します。

1.blank.gif 次の図に示したサンプルのテキストをコピーします。

2.blank.gif このファイルを、たとえば azureParameters.json というように、JSON ファイルとしてローカルに保存します。

3.blank.gifVHD およびリソース テンプレートを使用した Azure からの展開」で説明しているように、このパラメータ テンプレートを使用して Firepower Threat Defense Virtual を展開します。

図 4 Firepower Threat Defense Virtual パラメータ ファイルのサンプル

{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"vmName": {
"value": "cisco-ngfw1"
},
"vmManagedImageId": {
"value": "/subscriptions/33d2517e-ca88-46aa-beb2-74ff1dd61b41/resourceGroups/ewManagedImages-rg/providers/Microsoft.Compute/images/FTDv-6.2.2-81-Managed-Image"
},
"adminUsername": {
"value": "jdoe"
},
"adminPassword": {
"value": "Pw0987654321"
},
"vmStorageAccount": {
"value": "ciscongfwstorage"
},
"virtualNetworkResourceGroup": {
"value": "ew-west8-rg"
},
"virtualNetworkName": {
"value": "ew-west8-vn"
},
"mgmtSubnetName": {
"value": "mgmt"
},
"mgmtSubnetIP": {
"value": "10.8.3.77"
},
"diagSubnetName": {
"value": "dmz"
},
"diagSubnetIP": {
"value": "10.8.2.77"
},
"gig00SubnetName": {
"value": "outside"
},
"gig00SubnetIP": {
"value": "10.8.0.77"
},
"gig01SubnetName": {
"value": "inside"
},
"gig01SubnetIP": {
"value": "10.8.1.77"
},
"VmSize": {
"value": "Standard_D3_v2"
}
}
}
 

 

シスコおよびシスコのロゴは、米国およびその他の国におけるシスコおよびその関連会社の商標または登録商標です。シスコの商標の一覧は、www.cisco.com/go/trademarks でご確認いただけます。掲載されている第三者の商標はそれぞれの権利者の財産です。「パートナー」または「partner」という用語の使用はシスコと他社との間のパートナーシップ関係を意味するものではありません。(1721R)

© 2018 Cisco Systems, Inc. All rights reserved.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています