ステップ 1

管理コンピュータを内部（Ethernet 1/2）インターフェイスに接続します。

ステップ 2

ファイアウォールの電源を入れます。

ステップ 3

Device Manager にログインします。

1. ブラウザに URL（https://192.168.95.1 ）を入力します。

2. ユーザー名 admin、デフォルト パスワード Admin123 を使用してログインします。

3. エンド ユーザー ライセンス契約書を読んで同意し、管理者パスワードを変更するように求められます。

ステップ 4

初期設定を完了するには、最初に Device Manager にログインしたときにセットアップウィザードを使用します。必要に応じて、ページの下部にある [デバイスの設定をスキップ（Skip device setup）] をクリックしてセットアップウィザードをスキップできます。

1. 外部インターフェイスおよび管理インターフェイスに対して次のオプションを設定し、[次へ（Next）] をクリックします。

   1. [外部インターフェイスアドレス（Outside Interface Address）] — このインターフェイスは通常インターネット ゲートウェイであり、マネージャ アクセス インターフェイスとして使用される場合があります。デバイスの初期設定時に別の外部インターフェイスを選択することはできません。最初のデータ インターフェイスがデフォルトの外部インターフェイスです。

      マネージャアクセスに外部（または内部）とは異なるインターフェイスを使用する場合は、セットアップウィザードの完了後に手動で設定する必要があります。

      [IPv4の設定（Configure IPv4）]：外部インターフェイス用の IPv4 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、サブネットマスク、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv4 アドレスを設定しないという選択肢もあります。 セットアップウィザードを使用して PPPoE を設定することはできません。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ウィザードの完了後に PPPoE を設定できます。

      [IPv6の設定（Configure IPv6）]：外部インターフェイス用の IPv6 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、プレフィックス、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv6 アドレスを設定しないという選択肢もあります。

   2. [管理インターフェイス（Management Interface）]

      CLI で初期設定を実行した場合、管理インターフェイスの設定は表示されません。

      データインターフェイスでマネージャアクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。たとえば、データインターフェイスを介してバックプレーン経由でルーティングされる管理トラフィックは、データインターフェイス DNS サーバーではなく、管理インターフェイス DNS サーバーを使用して FQDN を解決します。

      [DNSサーバ（DNS Servers）]：システムの管理アドレス用の DNS サーバ。名前解決用に 1 つ以上の DNS サーバのアドレスを入力します。デフォルトは OpenDNS パブリック DNS サーバです。フィールドを編集し、デフォルトに戻したい場合は、[OpenDNSを使用（Use OpenDNS）] をクリックすると、フィールドに適切な IP アドレスがリロードされます。

      [ファイアウォールホスト名（Firewall Hostname）]：システムの管理アドレスのホスト名です。

2. [時刻設定（NTP）（Time Setting (NTP)）] を設定し、[次へ（Next）] をクリックします。

   1. [タイムゾーン（Time Zone）]：システムのタイムゾーンを選択します。

   2. [NTPタイムサーバ（NTP Time Server）]：デフォルトの NTP サーバを使用するか、使用している NTP サーバのアドレスを手動で入力するかを選択します。バックアップ用に複数のサーバを追加できます。

3. [登録せずに 90 日間の評価期間を開始（Start 90 day evaluation period without registration）] を選択します。

   Threat Defense を Smart Software Manager に登録しないでください。すべてのライセンスは Management Center で実行されます。

4. [終了（Finish）] をクリックします。

5. [クラウド管理（Cloud Management）]または [スタンドアロン（Standalone）] を選択するよう求められます。Management Center の管理については、[スタンドアロン（Standalone）] を選択してから、[Got It（了解）] を選択します。

ステップ 5

（必要に応じて）管理インターフェイスを設定します。[デバイス（Device）] > [インターフェイス（Interfaces）] の管理インターフェイスを参照してください。

ステップ 6

マネージャアクセスに使用する外部または内部以外のインターフェイスを含む追加のインターフェイスを設定する場合は、[デバイス（Device）] を選択し、[インターフェイス（Interface）] のサマリーのリンクをクリックします。

ステップ 7

[デバイス（Device）] > [システム設定（System Settings）] > [中央管理（Central Management）] の順に選択し、 [続行（Proceed）] をクリックして Management Center の管理を設定します。

ステップ 8

[Management Center/CDOの詳細（Management Center/CDO Details）] を設定します。

1. [Management Center/CDOのホスト名またはIPアドレスを知っていますか（Do you know the FMC hostname or IP address）] で、IP アドレスまたはホスト名を使用して Management Center に到達できる場合は [はい（Yes）] をクリックし、Management Center が NAT の背後にあるか、パブリック IP アドレスまたはホスト名がない場合は [いいえ（No）] をクリックします。

   双方向の TLS-1.3 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス（Management Center または Threat Defense デバイス）に到達可能な IP アドレスが必要です。

2. [はい（Yes）] を選択した場合は、管理センター/CDO のホスト名/IP アドレスを入力します。

3. Management Center/CDO 登録キーを指定します。

   このキーは、Threat Defense デバイスを登録するときに Management Center でも指定する任意の 1 回限りの登録キーです。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、Management Center に登録する複数のデバイスに使用できます。

4. [NAT ID] を指定します。

   この ID は、Management Center でも指定する任意の 1 回限りの文字列です。いずれかのデバイスの IP アドレスのみを指定する場合、このフィールドは必須です。両方のデバイスの IP アドレスがわかっている場合でも、NAT ID を指定することを推奨します。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、Management Center に登録する他のデバイスには使用できません。NAT ID は、正しいデバイスからの接続であることを確認するために IP アドレスと組み合わせて使用されます。 IP アドレス/NAT ID の認証後にのみ、登録キーがチェックされます。

ステップ 9

[接続の設定（Connectivity Configuration）] を設定します。

1. [FTDホスト名（FTD Hostname）] を指定します。

   この FQDN は、外部インターフェイス、または Management Center/CDO アクセスインターフェイス用に選択したインターフェイスに使用されます。

2. [DNSサーバーグループ（DNS Server Group）] を指定します。

   既存のグループを選択するか、新しいグループを作成します。デフォルトの DNS グループは CiscoUmbrellaDNSServerGroup と呼ばれ、OpenDNS サーバーが含まれます。

   この設定により、データインターフェイス DNS サーバーが設定されます。セットアップウィザードで設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS（設定されている場合）またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。管理トラフィックとデータトラフィックの両方が外部インターフェイス経由で DNS サーバーに到達するため、管理に使用したものと同じ DNS サーバーグループを選択する可能性があります。

   Management Center では、この Threat Defense に割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。Management Center に Threat Defense を追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む Threat Defense に後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。Management Center と Threat Defense を同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

   また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ Management Center で保持されます。

3. Management Center/CDO アクセスインターフェイスについては、[外部（outside）] を選択します。

   設定済みの任意のインターフェイスを選択できますが、このガイドでは外部を使用していることを前提としています。

ステップ 10

外部とは別のデータインターフェイスを選択した場合は、デフォルトルートを追加します。

ステップ 11

[ダイナミックDNS（DDNS）方式の追加（Add a Dynamic DNS (DDNS) method）] をクリックします。

ステップ 12

[接続（Connect）] をクリックします。[登録ステータス（Registration Status）] ダイアログボックスには、Management Center への切り替えに関する現在のステータスが表示されます。[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップの後、Management Center に移動してファイアウォールを追加します。

Management Center への切り替えをキャンセルする場合は、[登録のキャンセル（Cancel Registration）] をクリックします。キャンセルしない場合は、[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップが完了するまで Device Manager のブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、Device Manager に再接続した場合のみ再開されます。

[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップの後に Device Manager に接続したままにする場合、その後 [Management CenterまたはCDOとの正常接続（Successful Connection with Management Center or CDO）] ダイアログボックスが表示され、Device Manager から切断されます。

ステップ 1

ファイアウォールの電源を入れます。

ステップ 2

コンソールポートで Threat Defense CLI に接続します。

ステップ 3

ユーザー名 admin およびパスワード Admin123 でログインします。

firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower# 

ステップ 4

Threat Defense CLI に接続します。

firepower# connect ftd
>

ステップ 5

Threat Defense に初めてログインすると、エンドユーザーライセンス契約（EULA）に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、管理インターフェイスの設定用の CLI セットアップスクリプトが表示されます。

You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA:

System initialization in progress.  Please stand by.
You must configure the network to continue.
Configure at least one of IPv4 or IPv6 unless managing via data interfaces.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [y]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.61]: 10.89.5.17
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]:
Enter a fully qualified hostname for this system [firepower]: 1010-3
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220,2620:119:35::35]:
Enter a comma-separated list of search domains or 'none' []: cisco.com
If your networking information has changed, you will need to reconnect.
Disabling IPv6 configuration: management0
Setting DNS servers: 208.67.222.222,208.67.220.220,2620:119:35::35
Setting DNS domains:cisco.com
Setting hostname as 1010-3
Setting static IPv4: 10.89.5.17 netmask: 255.255.255.192 gateway: data on management0
Updating routing tables, please wait...
All configurations applied to the system. Took 3 Seconds.
Saving a copy of running network configuration to local disk.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
DHCP server is already disabled
DHCP Server Disabled
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ...


Device is in OffBox mode - disabling/removing port 443 from iptables.
Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

ステップ 6

マネージャアクセス用の外部インターフェイスを設定します。

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://dwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

> 

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

ステップ 7

（任意） 特定のネットワーク上の Management Center へのデータ インターフェイス アクセスを制限します。

ステップ 8

この Threat Defense を管理する Management Center を特定します。

> configure manager add fmc-1.example.com regk3y78 natid56
Manager successfully configured.

ステップ 9

デバイスをリモート支社に送信できるように Threat Defense をシャットダウンします。

1. shutdown コマンドを入力します。

2. 電源 LED とステータス LED を観察して、シャーシの電源が切断されていることを確認します（LED が消灯）。

3. シャーシの電源が正常に切断されたら、必要に応じて電源プラグを抜き、シャーシから物理的に電源を取り外すことができます。

ステップ 1

シリアル番号を使用してデバイスを初めて追加するときは、次の前提条件を満たしている必要があります。初回以降は、スキップして、CDO にデバイスを直接追加できます。

1. Management Center で、[デバイス（Devices）] > [デバイス管理（Device Management）] を選びます。

2. [追加（Add）] ドロップダウンメニューから、[デバイス（Device）] を選択します。

3. プロビジョニング方式の [シリアル番号（Serial Number）] をクリックします。

   

4. CDO アカウントを作成します。

   （注）	既存の別々の SecureX および CDO アカウントをすでに持っている場合は、それらをリンクさせる必要があります。アカウントのリンクの詳細については、https://cisco.com/go/cdo-securex-link を参照してください。

   まだアカウントがない場合は、次の手順を実行してください。

   • Cisco Security Cloud（旧 SecureX）アカウントを作成します。作成方法については、CDO のマニュアルを参照してください。

   • CDO テナントをリクエストします。新しい CDO テナントのリクエストについては、CDO のマニュアルを参照してください。

5. Management Center を Cisco Security Cloud（旧 SecureX）と統合します。リンクをクリックして、Management Center の [SecureXとの統合（SecureX Integration）] ページを開きます。

   [SecureXの有効化（Enable SecureX）] をクリックして別のブラウザタブを開き、Cisco Security Cloud アカウントにログインし、表示されたコードを確認します。このページがポップアップブロッカーによってブロックされていないことを確認してください。

   詳細については、を参照してください。

   Management Center と Cisco Security Cloud を統合した後、CDO はオンプレミスの Management Center をオンボーディングします。CDO は、ゼロタッチプロビジョニング を動作させるためにインベントリに Management Center を必要とします。CDO による Management Center のサポートは、デバイスのオンボーディング、管理対象デバイスの表示、Management Center に関連付けられたオブジェクトの表示、および Management Center の相互起動に限定されています。

   （注）	Management Center ハイアベイラビリティペアの場合は、セカンダリ Management Center を Cisco Security Cloud と統合する必要もあります。

6. まだ開いていない場合は [CDOの起動（Launch CDO）] をクリックするか、右記からログインします：https://www.defenseorchestrator.com/。

   CDO がポップアップブロッカーによってブロックされていないことを確認してください。

ステップ 2

CDO ダッシュボード（https://www.defenseorchestrator.com/）で、[オンボード（Onboard）]（）をクリックします。

ステップ 3

[FTD] タイルをクリックします。

ステップ 4

[FTDデバイスの導入準備（Onboard FTD Device）] 画面で、[シリアル番号の使用（Use Serial Number）] をクリックします。

ステップ 5

[FMCの選択（Select FMC）] で、リストから [オンプレミスFMC（On-Prem FMC）] を選択し、[次へ（Next）] をクリックします。

Management Center にパブリック IP アドレスまたは FQDN が設定されている場合は、選択後に表示されます。

デバイスにパブリック IP アドレス/FQDN がない場合、または ゼロタッチプロビジョニング に管理インターフェイスを使用する場合は、Management Center にパブリック IP アドレス/FQDN が必要です。[FMCパブリックIP（FMC Public IP）] リンクをクリックすると、Management Center パブリック IP アドレス/FQDN を設定できます。次のダイアログボックスが表示されます。

（注）	Management Center ハイアベイラビリティペアの場合は、セカンダリ Management Center でパブリック IP アドレス/FQDN を設定する必要もあります。CDO を使用して値を設定することはできません。セカンダリ Management Center で設定する必要があります。 を参照してください。

ステップ 6

[接続（Connection）] で、デバイスのシリアル番号とデバイス名を入力します。[Next] をクリックします。

ステップ 7

[パスワードのリセット（Password Reset）] で、[はい...（Yes...）] をクリックします。 。デバイスの新しいパスワードを入力し、この新しいパスワードを確認して、[次へ（Next）] をクリックします。

ゼロタッチプロビジョニング の場合、デバイスは新規であるか、再イメージ化されている必要があります。

（注）	デバイスにログインしてパスワードをリセットし、ゼロタッチプロビジョニング を無効にするように設定を変更しなかった場合は、[いいえ...（No...）] オプションを選択する必要があります。ゼロタッチプロビジョニング を無効にする設定は多数あるため、再イメージ化などの必要がある場合を除き、デバイスにログインすることは推奨されません。

ステップ 8

[ポリシー割り当て（Policy Assignment）] で、ドロップダウンメニューを使用して、デバイスのアクセス コントロール ポリシーを選択します。Management Center にポリシーを追加していない場合は、ここで Management Center に移動し、追加する必要があります。[Next] をクリックします。

ステップ 9

[サブスクリプション ライセンス（Subscription License）] で、デバイスのライセンスを選択します。[Next] をクリックします。

ステップ 10

[終了（Done）] で、CDO に表示されるデバイスにラベルを追加できます。これらは Management Center では使用されません。

Management Center で、デバイスが [デバイス管理（Device Management）] ページに追加されます。[インベントリに移動（Go to Inventory）] をクリックして、CDO 内のデバイスを表示することもできます。オンプレミス Management Center デバイスは、情報目的で CDO インベントリに表示できます。

外部インターフェイスで ゼロタッチプロビジョニング を使用する場合、CDO は DDNS プロバイダーとして機能し、以下を実行します。

• 「fmcOnly」方式を使用して外部で DDNS を有効にします。この方式は、ゼロタッチプロビジョニング デバイスでのみサポートされます。

• 外部 IP アドレスをホスト名 serial-number.local にマッピングします。

• IP アドレス/ホスト名マッピングを Management Center に提供し、ホスト名を正しい IP アドレスに解決できるようにします。

• DHCP リースが更新された場合など、IP アドレスが変更された場合に Management Center に通知します。

管理インターフェイスで ゼロタッチプロビジョニング を使用する場合、DDNS はサポートされません。デバイスが管理接続を開始できるように、Management Center はパブリックに到達可能である必要があります。

CDO を引き続き DDNS プロバイダーとして使用することも、後で Management Center の DDNS 設定を別の方式に変更することもできます。

ステップ 1

Management Center で、[デバイス（Devices）] > [デバイス管理（Device Management）] の順に選択します。

ステップ 2

[追加（Add）] ドロップダウン リストから、[デバイスの追加（Add Device）] を選択します。

ステップ 3

[登録（Register）] をクリックし、正常に登録されたことを確認します。

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] の順に選択し、ファイアウォールの [編集（Edit）] （） をクリックします。 >

ステップ 2

[インターフェイス（Interfaces）] をクリックします。

ステップ 3

（一部のモデルで使用可能な）40 Gb インターフェイスから 4 つの 10 Gb ブレークアウト インターフェイスを作成するには、インターフェイスのブレークアウトアイコンをクリックします。

ステップ 4

内部に使用するインターフェイスの [編集（Edit）] （） をクリックします。

[全般（General）] タブが表示されます。

1. 48 文字までの [名前（Name）] を入力します。

   たとえば、インターフェイスに inside という名前を付けます。

2. [有効（Enabled）] チェックボックスをオンにします。

3. [モード（Mode）] は [なし（None）] に設定したままにします。

4. [セキュリティゾーン（Security Zone）] ドロップダウンリストから既存の内部セキュリティゾーンを選択するか、[新規（New）] をクリックして新しいセキュリティゾーンを追加します。

   たとえば、inside_zone という名前のゾーンを追加します。各インターフェイスは、セキュリティゾーンおよびインターフェイスグループに割り当てる必要があります。インターフェイスは、1 つのセキュリティゾーンにのみ属することも、複数のインターフェイスグループに属することもできます。ゾーンまたはグループに基づいてセキュリティポリシーを適用します。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。この場合、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。ほとんどのポリシーはセキュリティゾーンのみサポートしています。NAT ポリシー、プレフィルタ ポリシー、および QoS ポリシーで、ゾーンまたはインターフェイスグループを使用できます。

5. [IPv4] タブ、[IPv6] タブ、または両方のタブをクリックします。

   • [IPv4]：ドロップダウンリストから [スタティックIPを使用する（Use Static IP）] を選択し、IP アドレスとサブネットマスクをスラッシュ表記で入力します。

     たとえば、192.168.1.1/24 などと入力します。

     

   • [IPv6]：ステートレス自動設定の場合は [自動設定（Autoconfiguration）] チェックボックスをオンにします。

     

6. [OK] をクリックします。

ステップ 5

「外部」に使用するインターフェイスの [編集（Edit）] （） をクリックします。

[全般（General）] タブが表示されます。

マネージャアクセス用にこのインターフェイスを事前に設定しているため、インターフェイスにはすでに名前が付けられており、有効化とアドレス指定が完了しています。これらの基本設定は変更しないでください。変更すると、Management Center の管理接続が中断されます。この画面でも、通過トラフィックポリシーのセキュリティゾーンを設定する必要があります。

1. [セキュリティゾーン（Security Zone）] ドロップダウンリストから既存の外部セキュリティゾーンを選択するか、[新規（New）] をクリックして新しいセキュリティゾーンを追加します。

   たとえば、「outside_zone」という名前のゾーンを追加します。

2. [OK] をクリックします。

ステップ 6

[保存（Save）] をクリックします。

ステップ 1

[デバイス（Devices）]、[デバイス管理（Device Management）] の順に選択し、デバイスの [編集（Edit）] （） をクリックします。 >

ステップ 2

[DHCP] > [DHCPサーバー（DHCP Server）] を選択します。

ステップ 3

[サーバー（Server）] ページで、[追加（Add）] をクリックして、次のオプションを設定します。

• [インターフェイス（Interface）]：ドロップダウンリストからインターフェイスを選択します。

• [アドレスプール（Address Pool）]：DHCP サーバーが使用する IP アドレスの最下位から最上位の間の範囲を設定します。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自身の IP アドレスを含めることはできません。

• [DHCPサーバーを有効にする（Enable DHCP Server）]：選択したインターフェイスの DHCP サーバーを有効にします。

ステップ 4

[OK] をクリックします。

ステップ 5

[保存（Save）] をクリックします。

ステップ 1

[デバイス（Devices）] > [NAT] をクリックし、[新しいポリシー（New Policy）] > [Threat Defense NAT] をクリックします。

ステップ 2

ポリシーに名前を付け、ポリシーを使用するデバイスを選択し、[保存（Save）] をクリックします。

ポリシーが Management Center に追加されます。引き続き、ポリシーにルールを追加する必要があります。

ステップ 3

[ルールの追加（Add Rule）] をクリックします。

ステップ 4

基本ルールのオプションを設定します。

• [NATルール（NAT Rule）]：[自動NATルール（Auto NAT Rule）] を選択します。

• [タイプ（Type）]：[ダイナミック（Dynamic）] を選択します。

ステップ 5

[インターフェイスオブジェクト（Interface objects）] ページで、[使用可能なインターフェイスオブジェクト（Available Interface Objects）] 領域から [宛先インターフェイスオブジェクト（Destination Interface Objects）] 領域に外部ゾーンを追加します。

ステップ 6

[変換（Translation）] ページで、次のオプションを設定します。

• [元の送信元（Original Source）]：Add ( ) をクリックして、すべての IPv4 トラフィック（0.0.0.0/0）のネットワークオブジェクトを追加します。

  

  （注）	自動 NAT ルールはオブジェクト定義の一部として NAT を追加するため、システム定義の any-ipv4 オブジェクトを使用することはできません。また、システム定義のオブジェクトを編集することはできません。

• [変換済みの送信元（Translated Source）]：[宛先インターフェイスIP（Destination Interface IP）] を選択します。

ステップ 7

[保存（Save）] をクリックしてルールを追加します。

ステップ 8

NAT ページで [保存（Save）] をクリックして変更を保存します。

ステップ 1

[ポリシー（Policy）]、[アクセスポリシー（Access Policy）]、[アクセスポリシー（Access Policy）] の順に選択し、脅威に対する防御 に割り当てられているアクセス コントロール ポリシーの [編集（Edit）] （） をクリックします。 > >

ステップ 2

[ルールを追加（Add Rule）] をクリックし、次のパラメータを設定します。

• [名前（Name）]：このルールに名前を付けます（たとえば、inside-to-outside）。

• [選択した送信元（Selected Sources）]：[ゾーン（Zones）] から内部ゾーンを選択し、[送信元ゾーンを追加（Add Source Zone）] をクリックします。

• [選択した宛先とアプリケーション（Selected Destinations and Applications）]：[ゾーン（Zones）] から外部ゾーンを選択し、[宛先ゾーンを追加（Add Destination Zone）] をクリックします。

他の設定はそのままにしておきます。

ステップ 3

[Apply] をクリックします。

ステップ 4

[保存（Save）] をクリックします。

ステップ 1

[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] を選択し、Threat Defense ポリシーを作成または編集します。

ステップ 2

[セキュアシェル（Secure Shell）] を選択します。

ステップ 3

SSH 接続を許可するインターフェイスと IP アドレスを指定します。

1. [追加（Add）] をクリックして新しいルールを追加するか、[編集（Edit）] をクリックして既存のルールを編集します。

2. ルールのプロパティを設定します。

   • [IP Address]：SSH 接続を許可するホストまたはネットワークを特定するネットワークオブジェクトまたはグループ。オブジェクトをドロップダウンメニューから選択するか、または [+] をクリックして新しいネットワークオブジェクトを追加します。

   • [セキュリティゾーン（Security Zones）]：SSH 接続を許可するインターフェイスを含むゾーンを追加します。ゾーンにないインターフェイスでは、[選択したセキュリティゾーン（Selected Security Zones）] リストの下のフィールドにインターフェイス名を入力し、[追加（Add）] をクリックします。 選択されているインターフェイスまたはゾーンがデバイスに含まれているときにのみ、これらのルールがデバイスに適用されます。

3. [OK] をクリックします。

ステップ 4

[Save（保存）] をクリックします。

ステップ 1

右上の [展開（Deploy）] をクリックします。

ステップ 2

迅速な展開の場合は、特定のデバイスのチェックボックスをオンにして [展開（Deploy）] をクリックするか、[すべて展開（Deploy All）] をクリックしてすべてのデバイスを展開します。それ以外の場合は、追加の展開オプションを設定するために、[高度な展開（Advanced Deploy）] をクリックします。

ステップ 3

展開が成功したことを確認します。展開のステータスを表示するには、メニューバーの [展開（Deploy）] ボタンの右側にあるアイコンをクリックします。

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）]を選択します。

ステップ 2

再起動するデバイスの横にある [編集（Edit）] （） をクリックします。

ステップ 3

[デバイス（Device）] タブをクリックします。

ステップ 4

[システム（System）] セクションで [デバイスのシャットダウン（Shut Down Device）]（） をクリックします。

ステップ 5

プロンプトが表示されたら、デバイスのシャットダウンを確認します。

ステップ 6

コンソールからファイアウォールに接続している場合は、ファイアウォールがシャットダウンするときにシステムプロンプトをモニターします。次のプロンプトが表示されます。

System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N]

ステップ 7

必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。

ステップ 1

FXOS CLI で local-mgmt に接続します。

ステップ 2

shutdown コマンドを発行します。

firepower(local-mgmt)# shutdown 
This command will shutdown the system.  Continue?
Please enter 'YES' or 'NO': yes
INIT: Stopping Cisco Threat Defense......ok

ステップ 3

ファイアウォールのシャットダウン時にシステムプロンプトをモニターします。次のプロンプトが表示されます。

System is stopped.
It is safe to power off now.
Do you want to reboot instead? [y/N]

ステップ 4

必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。