Firepower Device Manager を使用した Cisco Firepower Threat Defense(Firepower 2100 シリーズ用)クイック スタート ガイド
Table of Contents
Firepower Device Manager を使用した Cisco Firepower Threat Defense(Firepower 2100 シリーズ用)クイック スタート ガイド
ネットワークへの Firepower Threat Defense の導入
Firepower 2100 セキュリティ アプライアンスへの電源の投入
(オプション)Firepower Threat Defense CLI ウィザードの起動
このガイドの目的
このガイドでは、Firepower Threat Defense セキュリティ アプライアンスに含まれている Firepower Device Manager の Web ベース デバイス セットアップ ウィザードを使用して Firepower Threat Defense セキュリティ アプライアンスの初期設定を実行する方法について説明します。
Firepower Device Manager では、小規模ネットワークに最も多く使用されるソフトウェアの基本機能を設定できます。単一またはごく少数のセキュリティ アプライアンスが含まれるネットワーク向けに特に設計されているため、高性能の多機能デバイス マネージャを使用して多数の Firepower Threat Defense セキュリティ アプライアンスが含まれる大規模ネットワークを制御する必要のない用途に適しています。
多数のセキュリティ アプライアンスを管理する場合、または Firepower Threat Defense で対応できる複雑な機能および構成を使用する場合は、一体型の Firepower Device Manager ではなく Firepower Management Center を使用してセキュリティ アプライアンスを構成してください。
CLI セットアップ ウィザードを使用してネットワーク接続用に Firepower Threat Defense セキュリティ アプライアンスを設定し、セキュリティ アプライアンスを『 Cisco Firepower Threat Defense for the Firepower 2100 Series Using Firepower Management Center Quick Start Guide 』の説明に従って Firepower Management Center に登録します。
ライセンス要件
Firepower Threat Defense セキュリティ アプライアンスには、Cisco Smart Licensing が必要です。Smart Licensing により、ライセンスの購入とライセンスのプールの一元管理を行うことができます。製品認証キー(PAK)ライセンスとは異なり、スマート ライセンスは特定のシリアル番号またはライセンス キーに関連付けられません。Smart Licensing を利用すれば、ライセンスの使用状況やニーズをひと目で評価することもできます。
また、Smart Licensing では、まだ購入していない製品の機能を使用できます。Cisco Smart Software Manager に登録すると、すぐにライセンスの使用を開始できます。また、後でライセンスを購入することもできます。これによって、機能の展開および使用が可能になり、発注書の承認による遅延がなくなります。
Firepower 機能のスマート ライセンスを複数購入する場合は、それらのライセンスを Cisco Smart Software Manager( http://www.cisco.com/web/ordering/smart-software-manager/index.html )で管理できます。Smart Software Manager では、組織のマスター アカウントを作成できます。Cisco Smart Software Manager の詳細については、『 Cisco Smart Software Manager User Guide 』を参照してください。
Firepower Threat Defense セキュリティ アプライアンスまたは Firepower Threat Defense Virtual を購入すると、自動的に基本ライセンスが含まれます。すべての追加ライセンス(Threat、Malware、URL Filtering)はオプションです。Firepower Threat Defense のライセンスに関する詳細については、『 Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager 』の「Licensing the System」を参照してください。
ネットワークへの Firepower Threat Defense の導入
次の図に、Firepower 2100 シリーズで推奨される Firepower Threat Defense のネットワーク配置を示します。
設定例では、次の動作によって上記のネットワーク導入を有効化します。
- 内部 --> 外部 へのトラフィック フロー
- DHCP からの外部 IP アドレス
- 内部 のクライアントに対する DHCP 。内部インターフェイス上に DHCP サーバがあります。管理コンピュータを内部インターフェイスに直接接続し、192.168.1.0/24 ネットワーク上のアドレスを取得できます。
HTTPS アクセスは内部インターフェイスで有効なため、デフォルト アドレス(192.168.1.1)で内部インターフェイスを介して Firepower Device Manager を開くことができます。
(注
) 外部(Ethernet 1/1)と内部(Ethernet 1/2)インターフェイスのみ初期設定中に有効化されます。設定後にインターフェイスの割り当てを変更するには、インターフェイス設定と DHCP 設定を編集します。
- また、 Management 1/1 に接続し、Firepower Device Manager を使用してセキュリティ アプライアンスのセットアップや管理を行うこともできます。管理インターフェイス上に DHCP サーバがあります。管理コンピュータをこのインターフェイスに直接接続し、192.168.45.46 ~ 192.168.45.254 の範囲のネットワークでアドレスを取得できます。
HTTPS アクセスは管理インターフェイス上で有効になるため、デフォルト アドレスの 192.168.45.45 で管理インターフェイスを介して Firepower Device Manager を開くことができます。
(注) 物理的な管理インターフェイスは、Management 論理インターフェイスと Diagnostic 論理インターフェイスの間で共有されます。『Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Interfaces」の章を参照してください。
- Firepower Threat Defense システムには、ライセンスおよびアップデート用のインターネット アクセスが必要です。管理 IP アドレスのデフォルト ゲートウェイでは、データ インターフェイスを使用してインターネットにルーティングします。そのため、物理的な管理インターフェイスをネットワークに接続する必要はありません。
ただし、別の管理ネットワークを使用する場合、特定のゲートウェイを設定できます。初期設定を実行した後、[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択します。
(注) デフォルト設定および初期セットアップ オプションに関する詳細については、『Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Getting Started」を参照してください。
インターフェイスの接続
デフォルト設定では、特定のインターフェイスが内部および外部ネットワークに使用されると仮定しています。これらの想定に基づいてインターフェイスにネットワーク ケーブルを接続していると、初期設定がしやすくなります。Firepower 2100 シリーズで上記のシナリオをケーブル接続するには、次の図を参照してください。
(注) 次の図は、内部ネットワークに接続された管理コンピュータを使用する簡単なトポロジを示しています。他のトポロジも使用でき、基本的な論理ネットワーク接続、ポート、アドレッシング、構成の要件によって導入方法が異なります。
1. Ethernet 1/1(外部)インターフェイスを ISP/WAN モデムまたはその他の外部デバイスに接続します。デフォルトでは、IP アドレスは DHCP を使用して取得しますが、初期設定時にスタティック アドレスを設定することもできます。
2. ローカルの管理ワークステーション(セキュリティ アプライアンスの設定に使用)を内部インターフェイス Ethernet 1/2 に接続します。
3. DHCP を使って IP アドレスを取得するようにワークステーションを設定します。ワークステーションは 192.168.1.0/24 ネットワーク上でアドレスを取得します。
(注) 管理ワークステーションへの接続には他にも方法があります。管理ポートに直接接続することもできます。ワークステーションは 192.168.45.0/24 ネットワーク上で DHCP 経由でアドレスを取得します。または、ワークステーションをスイッチに接続したまま、GigabitEthernet 1/2 にそのスイッチを接続することもできます。ただし、他のデバイスがスイッチのネットワーク上で DHCP サーバを実行していないことを確認する必要があります。これは、そのデバイスが内部インターフェイス 192.168.1.1 で実行中のデバイスと競合するためです。
Firepower 2100 セキュリティ アプライアンスへの電源の投入
システムの電源は、シャーシの背面にあるロッカー電源スイッチによって制御されます。電源スイッチは、 ソフト 通知スイッチとして実装されています。これにより、システムのグレースフル シャットダウンがサポートされ、システム ソフトウェアおよびデータの破損のリスクが軽減されます。
1. 電源ケーブルを Firepower 2100 セキュリティ アプライアンスに接続し、電源コンセントに接続します。
2. セキュリティ アプライアンスの背面にある電源スイッチを押します。
3. セキュリティ アプライアンスの前面にある PWR LED を確認します。緑色に点灯している場合は、セキュリティ アプライアンスの電源が入っています。
4. セキュリティ アプライアンスの前面にある SYS LED を確認します。緑色に点灯している場合は、電源投入時診断に合格しています。
(注) スイッチを ON から OFF に切り替えると、システムの電源が最終的に切れるまで数秒かかることがあります。この間は、シャーシの前面パネルの PWR LED が緑に点滅します。PWR LED が完全にオフになるまで電源を抜かないでください。
初期設定
システムをネットワークで正しく機能させるには、初期設定を完了する必要があります。これには、セキュリティ アプライアンスをネットワークに挿入して、インターネットまたは他の上流に位置するルータに接続するために必要なアドレスの設定が含まれます。2 つの方法のいずれかで Firepower Threat Defense アプリケーションの初期設定を行うことができます。
Firepower Device Manager はお使いの Web ブラウザで実行されます。このインターフェイスを使用して、システムを設定、管理、モニタできます。
Firepower Device Manager の代わりに CLI のセットアップ ウィザードを初期設定のために使用できます。またトラブルシューティングに CLI を使用できます。システムの設定、管理、およびモニタに Firepower Device Manager を使用する場合は、(オプション)Firepower Threat Defense CLI ウィザードの起動を参照してください。
次のトピックでは、これらのインターフェイスを使用してシステムの初期設定を行う方法について説明します。
Firepower Device Manager の起動
Firepower Device Manager に初めてログインする際には、デバイスのセットアップ ウィザードを使用してシステムの初期設定を完了します。
データ インターフェイスがゲートウェイ デバイス(たとえば、ケーブル モデムやルータなど)に接続されていることを確認します。エッジの導入では、これはインターネット向けのゲートウェイになります。データセンター導入の場合は、これがバックボーン ルータになります。ネットワークへの Firepower Threat Defense の導入で特定されているデフォルトの「外部」インターフェイスを使用します。
次に、デフォルトの「内部」インターフェイスに管理コンピュータを接続します。また、Management 物理インターフェイスに接続することもできます。
1. ブラウザを開き、Firepower Device Manager にログインします。CLI での初期設定を完了していない場合は、Firepower Device Manager を https: //ip-address で開きます。このアドレスは次のいずれかになります。
–内部インターフェイスに接続されている場合は https://192.168.1.1 。
–Management 物理インターフェイスに接続されている場合は https://192.168.45.45 。
2. ユーザ名 [admin] およびパスワード [Admin123] を使用してログインします。
3. これがシステムへの初めてのログインであり、CLI セットアップ ウィザードを使用していない場合、エンド ユーザ ライセンス契約を読んで承認し、管理パスワードを変更するように求められます。続行するには、以下の手順を完了する必要があります。
(注) セキュリティ アプライアンスを手動で設定する場合は、デバイスのセットアップ ウィザードをスキップすることができます。
4. 外部インターフェイスと管理インターフェイスに対して次のオプションを設定し、[次へ(Next)] をクリックします。
(注) [次へ(Next)] をクリックすると、設定がセキュリティ アプライアンスに展開されます。インターフェイスの名前は「外部」となり、「outside_zone」セキュリティ ゾーンに追加されます。設定が正しいことを確認します。
a. [外部インターフェイス(Outside Interface)]:これは、ゲートウェイ モードまたはルータに接続するためのデータ ポートです。デバイスの初期設定時に別の外部インターフェイスを選択することはできません。最初のデータ インターフェイスがデフォルトの外部インターフェイスです。
[IPv4 の設定(Configure IPv4)]:外部インターフェイス用の IPv4 アドレスです。DHCP を使用するか、または手動で静的 IP アドレス、サブネット マスク、およびゲートウェイを入力できます。[オフ(Off)] を選択して、IPv4 アドレスを設定しないという選択肢もあります。
[IPv6 の設定(Configure IPv6)]:外部インターフェイス用の IPv6 アドレスです。DHCP を使用するか、または手動で静的 IP アドレス、プレフィックス、およびゲートウェイを入力できます。[オフ(Off)] を選択して、IPv6 アドレスを設定しないという選択肢もあります。
[DNS サーバ(DNS Servers)]:システムの管理アドレス用の DNS サーバ。名前解決用に 1 つ以上の DNS サーバのアドレスを入力します。デフォルトは OpenDNS パブリック DNS サーバです。フィールドを編集し、デフォルトに戻したい場合は、[OpenDNS を使用(Use OpenDNS)] をクリックすると、フィールドに適切な IP アドレスがリロードされます。
[ファイアウォールホスト名(Firewall Hostname)]:システムの管理アドレスのホスト名です。
(注) デバイス セットアップ ウィザードを使用して Firepower Threat Defense セキュリティ アプライアンスを設定する場合は、アウトバウンドとインバウンドのトラフィックに対してシステムから 2 つのデフォルト アクセス ルールが提供されます。初期設定後に、これらのアクセス ルールを編集できます。
5. システム時刻の設定を行い、[次へ(Next)] をクリックします。
a. [タイムゾーン(Time Zone)]:システムのタイム ゾーンを選択します。
b. [NTP タイムサーバ(NTP Time Server)]:デフォルトの NTP サーバを使用するか、使用している NTP サーバのアドレスを手動で入力するかを選択します。バックアップ用に複数のサーバを追加できます。
スマート ライセンスのアカウントを取得し、システムが必要とするライセンスを適用する必要があります。最初は 90 日間の評価ライセンスを使用し、後でスマート ライセンスを設定できます。
セキュリティ アプライアンスを今すぐ登録するには、リンクをクリックして Smart Software Manager(SSM)のアカウントにログインし、新しいトークンを作成して、編集ボックスにそのトークンをコピーします。
評価ライセンスを使用するには、[登録せずに 90 日の評価期間を開始する(Start 90 day evaluation period without registration)] をクリックします。後でセキュリティ アプライアンスを登録し、スマート ライセンスを取得するには、メニューからデバイスの名前をクリックして [デバイスダッシュボード(Device Dashboard)] に進み、[スマートライセンス(Smart Licenses)] グループのリンクをクリックします。
デバイス セットアップ ウィザードが完了したら、ポップアップ ウィンドウに次のオプションが表示されます。
- 他のインターフェイスをネットワークに接続している場合は、[インターフェイスの設定(Configure Interfaces)] を選択して、接続されているインターフェイスをそれぞれ設定します。
- デフォルトのアクセス ルールを変更する場合は、[ポリシーの設定(Configure Policy)] を選択して、トラフィック ポリシーの設定および管理を行います。
いずれかのオプションを選択するか、またはポップアップ ウィンドウを閉じて [デバイスダッシュボード(Device Dashboard)] に戻ることができます。
(オプション)Firepower Threat Defense CLI ウィザードの起動
初回起動時、またはシステムの再イメージ化の後、Firepower Device Manager の代わりに CLI のセットアップ ウィザードを初期設定のために使用できます。またトラブルシューティングに CLI を使用できます。CLI を使用してシステムを設定する場合は、管理インターフェイスの IP アドレスのみ設定します。ただし、CLI セッションからポリシーを設定することはできません。システムの設定、管理、およびモニタに Firepower Device Manager を使用する場合は、Firepower Device Manager の起動を参照してください。
- セキュリティ アプライアンスに付属のコンソール ケーブルを使用し、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを用いて PC をコンソールに接続します。コンソール ケーブルの詳細については、セキュリティ アプライアンスのハードウェア ガイドを参照してください。
(注) コンソール ポートでは、FXOS CLI ログイン プロンプトがデフォルトの CLI になります。Firepower Threat Defense CLI には、connect ftd コマンドを使用してアクセスできます。
- SSH クライアントを使用して、管理 IP アドレス(デフォルトは 192.168.45.45)に接続します。 admin ユーザ名(デフォルトのパスワードは Admin123 です)を使用してログインします。
ログインした後、CLI で使用可能なコマンドを確認するには、 help または ? を入力してください。
1. [firepower ログイン(firepower login)] プロンプトで、ユーザー名 admin とパスワード Admin123 のデフォルトのクレデンシャルでログインします。
2. Firepower Threat Defense アプリケーションに接続します。
3. Firepower Threat Defense システムが起動すると、セットアップ ウィザードでシステムの設定に必要な次の情報の入力が求められます。
–管理ポートの IPv4 アドレスとサブネット マスク、または IPv6 アドレスとプレフィックス
–デフォルト ゲートウェイの IPv4、IPv6、またはデータ インターフェイス設定
4. セットアップ ウィザードの設定を確認します。デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。
Firepower Device Manager を使用して、システムを設定、管理、およびモニタします。ブラウザで設定可能な機能を、CLI で設定することはできません。セキュリティ ポリシーを実装するには、Web インターフェイスを使用する必要があります。
次の作業
- Firepower Device Manager による Firepower Threat Defense の管理に関する詳細については、 Firepower Threat Defense の構成ガイド または Firepower Device Manager のオンライン ヘルプを参照してください。
- すべての Firepower System のマニュアルのリンクについては、 Cisco Firepower System マニュアルのナビゲーション を参照してください。
フィードバック