Firepower Management Center を使用した Cisco Firepower Threat Defense（ISA 3000 用）クイック スタート ガイド

Firepower Management Center を使用した Cisco Firepower Threat Defense（ISA 3000 用）クイック スタート ガイド

初版： 2018 年 3 月 29 日

1. 対象読者

このガイドでは、Firepower Threat Defense デバイスの初期設定を実行する方法と、Firepower Management Center にデバイスを登録する方法について説明します。大規模ネットワークの一般的な導入では、複数の管理対象デバイスがネットワーク セグメントにインストールされ、Firepower Management Center にレポートされます。Firepower Management Center は、管理、分析、レポートのタスクを実行できる Web インターフェイスを備えた集中管理コンソールを提供します。

単一またはごく少数のデバイスが含まれるネットワークでは、高性能の多機能デバイス マネージャを使用する必要がなく、一体型の Firepower Device Manager を使用できます。Firepower Device Manager の Web ベースのデバイス セットアップ ウィザードを使用して、小規模ネットワークの導入に最もよく使用されるソフトウェアの基本機能を設定できます（『 Firepower Threat Defense for the ISA 3000 Using Firepower Device Manager Quick Start Guide 』を参照）。

2. Cisco ISA 3000 に付属している品目

梱包箱を開けて、納品書に記載されている Cisco ISA 3000 のすべての品目が揃っているかどうか確認してください。次の品目がデバイスに付属しています。

• スタートアップ ガイド
• 電源コネクタ X 2

3. ライセンス要件

Firepower Threat Defense デバイスには、Cisco Smart Licensing が必要です。スマート ライセンスによって、ライセンスのプールを一元的に購入および管理できます。また、ライセンスの使用状況やニーズを一目で評価することもできます。

また、Smart Licensing では、まだ購入していない製品の機能を使用できます。Cisco Smart Software Manager に登録すると、すぐにライセンスの使用を開始できます。また、後でライセンスを購入することもできます。これによって、機能の展開および使用が可能になり、発注書の承認による遅延がなくなります。

Firepower 機能のスマート ライセンスを複数購入する場合は、それらのライセンスを Cisco Smart Software Manager（ http://www.cisco.com/web/ordering/smart-software-manager/index.html ）で管理できます。Smart Software Manager では、組織のマスター アカウントを作成できます。Cisco Smart Software Manager の詳細については、『 Cisco Smart Software Manager User Guide 』を参照してください。

Firepower Threat Defense デバイスを購入すると、自動的に基本ライセンスが付いてきます。脅威のライセンスはオプションです。

（注） ISA 3000 は脅威のライセンスのみサポートします。マルウェアまたは URL フィルタリング ライセンスはサポートしません。したがって、ISA 3000 ではマルウェアや URL フィルタリングのライセンスを必要とする機能は設定できません。

Firepower Threat Defense のライセンスに関する詳細については、『 Cisco Firepower Management Center Configuration Guide 』の「Licensing the Firepower System」の章を参照してください。

4. ネットワークへの Firepower Threat Defense の導入

次の図に、ISA 3000 で推奨される Firepower Threat Defense のネットワーク配置を示します。

図 1 推奨されるネットワーク配置

 

（注） 導入には、別々の内部スイッチを使用する必要があります。

設定例では、次の動作によって上記のネットワーク導入を有効化します。

• 内部 --> 外部 へのトラフィック フロー
• DHCP からの外部 IP アドレス
• 内部のクライアントに対する DHCP
• Management 1/1 は、Firepower Threat Defense デバイスをセットアップし、Firepower Management Center に登録するために使用されます。

管理インターフェイスは、更新にインターネット アクセスが必要です。内部インターフェイスと同じネットワーク上に管理を配置すると、Firepower Threat Defense デバイスを内部のスイッチのみで導入して、内部インターフェイスをゲートウェイとして示すことができます。

物理的な管理インターフェイスは、管理論理インターフェイスと診断論理インターフェイスの間で共有されます。『 Firepower Management Center Configuration Guide 』の「Interfaces for Firepower Threat Defense」の章を参照してください。

• 内部 インターフェイスでの Firepower Management Center のアクセス

（注） 内部ネットワーク上に別のルータを導入すると、管理と内部の間でルーティングできます。『Cisco Firepower Management Center Configuration Guide』の「Interfaces for Firepower Threat Defense」の章を参照してください。

5. ISA 3000 デバイスの電源投入

手順

1. 電源プラグは DC 電源に配線した後に ISA 3000 に接続します。

電源プラグの正しい配線手順については、『 Cisco ISA 3000 Industrial Security Appliance Hardware Installation Guide 』の「Connecting to DC Power」を参照してください。

2. ISA 3000 デバイスの前面にあるシステム LED を確認します。緑色に点灯している場合は、デバイスの電源が入っています。緑色に点滅している場合、デバイスはブートアップ フェーズおよび POST（電源投入時自己診断テスト）の状態です。

すべてのデバイスが ISA 3000 に正しく接続されているか確認するには、『 Cisco ISA 3000 Industrial Security Appliance Hardware Installation Guide 』の「Verifying Connections」を参照してください。

6. Firepower Management 用のデバイス設定

最初に CLI にアクセスするときに、セットアップ ウィザードによって、Firepower Threat Defense デバイスの設定に必要な基本のネットワーク設定パラメータのプロンプトが表示され、Firepower Management Center への登録が要求されます。管理 IP アドレスと関連するゲートウェイ ルートは、インターフェイス リストの Firepower Management Center Web インターフェイスまたはデバイスのスタティック ルートに含まれていません。これらは、セットアップ スクリプトおよび CLI によってのみ設定できます。

はじめる前に

データ インターフェイスがゲートウェイ デバイス（たとえば、ケーブル モデムやルータなど）に接続されていることを確認します。エッジの導入では、これはインターネット向けのゲートウェイになります。データセンター導入の場合は、これがバックボーン ルータになります。

Management インターフェイスは、インターネットにアクセスできるゲートウェイに接続する必要もあります。システムのライセンスおよびデータベースのアップデートにインターネット アクセスが必要です。

手順

1. たとえば、コンソール ポートから、または SSH を使用して、デバイスに接続します。

–モニタとキーボードが取り付けられたデバイスの場合は、コンソールからログインします。

–デバイスの管理インターフェイスへのアクセスでは、管理インターフェイスのデフォルト IPv4 アドレス（192.168.45.45）に SSH を実行します。

2. ユーザ名 admin およびパスワード Admin123 でログインします。

3. Firepower Threat Defense システムが起動すると、セットアップ ウィザードでシステムの設定に必要な次の情報の入力が求められます。

–使用許諾契約の同意

–新しい管理者パスワード

–IPv4 または IPv6 の構成

–IPv4 または IPv6 の DHCP 設定

–管理ポートの IPv4 アドレスとサブネット マスク、または IPv6 アドレスとプレフィックス。管理 1/1 インターフェイスで DHCP サーバを有効にして、管理 PC などの管理デバイスに IP アドレスを指定できます。

–システム名

–デフォルト ゲートウェイの IPv4、IPv6、またはその両方。上記の設定例では、計画済みの内部インターフェイス IP アドレスをゲートウェイ アドレスとして識別します。このアドレスとその他のインターフェイスの IP アドレスは、Firepower Management Center で後から設定します。Firepower Management Center が別の内部ネットワークにある場合は、ネットワークの設定によって内部ルータの IP アドレスをゲートウェイとして識別します。

–DNS セットアップ

–HTTP プロキシ

–管理モード。Firepower Device Manager を使用して、デバイスをローカルで管理するかどうかを尋ねられます。「いいえ」と回答すると、Firepower Management Center を使用します。

4. セットアップ ウィザードの設定を確認します。デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。

例：

5. 新しいログイン クレデンシャルを使用して、アプライアンスに再接続します。

6. ファイアウォール モードを設定します。次に例を示します。

（注） 初期設定でファイアウォール モードを設定することをお勧めします。デフォルト モードはルーテッドです。初期設定後にファイアウォール モードを変更すると、実行コンフィギュレーションが消去されます。詳細については、『Firepower Management CenterConfiguration Guide』の「Transparent or Routed Firewall Mode for Firepower Threat Defense」の章を参照してください。

7. デフォルトのシステム設定が処理されるのを待ちます。数分かかることがあります。

8. Firepower Threat Defense デバイスを管理する Firepower Management Center へ登録します。

> configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE } reg_key [nat_id]

引数の説明

–{hostname | IPv4_address | IPv6_address | DONTRESOLVE } は、Management Center の完全修飾されたホスト名または IP アドレスを指定します。Management Center が直接アドレス指定できない場合は、DONTRESOLVE を使用します。

–reg_key は、デバイスを Management Center へ登録するために必要な一意の英数字による登録キーです。

–nat_id は、Management Center とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。

–nat_id は、一方が IP アドレスを指定しない場合に、Management Center とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。Management Center で、同じ NAT ID を指定します。

（注） 登録キーは、ユーザが生成した 1 回限り使用できる一意のキーで、37 文字を超えてはなりません。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。デバイスを Firepower Management Center に追加するときに、この登録キーを思い出す必要があります。

例：

デバイスと Firepower Management Center が NAT デバイスによって分けられている場合は、登録キーと一緒に一意の NAT ID を入力し、ホスト名の代わりに DONTRESOLVE を指定します。たとえば次のようにします。

例：

Firepower Management Center およびセキュリティ アプライアンスでは、初期登録の認証と承認を行うために、登録キーおよび NAT ID（IP アドレスではなく）を使用します。NAT ID は、最初の通信に対する信頼を確立し、正しい登録キーを検索するために、管理対象アプライアンスの登録に使用するすべての NAT ID の中で一意である 必要があります 。

（注） Firepower Management Center または Firepower Threat Defense のいずれかのセキュリティ アプライアンスのうちの少なくとも 1 つは、2 つのアプライアンス間で双方向の SSL 暗号化通信チャネルを確立するために、パブリック IP アドレスを持つ必要があります。

9. CLI を閉じます。

次の作業

• 次の項の説明に従って、デバイスを Firepower Management Center に登録します。

7. デバイスの Firepower Management Center への登録およびスマート ライセンスの割り当て

はじめる前に

• Firepower Management Center でスマート ライセンスを設定します。以下のシスコ スマート アカウントがあることを確認します。Cisco Software Central（ https://software.cisco.com/ [英語]）で作成できます。
• Firepower Threat Defense の基本ライセンスがスマート アカウントに追加されていることを確認します。

手順

1. ブラウザで HTTPS 接続を使用し、セットアップ スクリプトで指定したホスト名またはアドレスを使用して Firepower Management Center にログインします。たとえば、 https://MC.example.com などです。

2. [デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、[デバイスの追加（Add Device）] をクリックします。

3. CLI 設定時に、デバイスに設定済みの管理 IP アドレスを入力します。

4. CLI 設定時にデバイスで指定されたのと同じ登録キーを使用します。

デバイスを Management Center に登録するには、一意の英数字による登録キーが必須です。

5. （オプション）CLI の設定時に、デバイスで NAT ID を指定した場合は、ここでも同じ NAT ID を使用します。

通常は、両方の IP アドレスが必要となります。つまり、Firepower Management Center でデバイスの IP アドレスを指定し、デバイスで Firepower Management Center の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。

6. スマート ライセンスのオプションを設定します。

（注） ISA 3000 は脅威のライセンスのみサポートします。マルウェアまたは URL フィルタリング ライセンスはサポートしません。したがって、ISA 3000 ではマルウェアや URL フィルタリングのライセンスを必要とする機能は設定できません。

これらのライセンスは、スマート アカウントにすでに存在している必要があります。スマート アカウントにアプライアンスの基本ライセンスがあることを確認してください。

7. [登録（Register）] をクリックして、デバイス登録の成功を確認します。

次の作業

• デバイスのポリシーとデバイス設定を構成します。

8. 次の作業

• Firepower Management Center による Firepower Threat Defense の管理の詳細については、『 Firepower Management Center Configuration Guide 』または Firepower Management Center のオンライン ヘルプを参照してください。
• Firepower Threat Defense ファミリ全体および関連の Firepower ドキュメントの詳細については、次のリンクを使用してください。

https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html