Cisco Firepower Threat Defense バージョン 6.1 コンフィギュレーション ガイド(Firepower Device Manager 用)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月8日
章のタイトル: システムのライセンス
システムのライセンス
ここでは、Firepower Threat Defenseデバイスにライセンスを付与する方法について説明します。
Firepower システムのスマート ライセンス
Cisco Smart Licensing によって、ライセンスを購入し、ライセンスのプールを一元管理することができます。製品認証キー(PAK)ライセンスとは異なり、スマート ライセンスは特定のシリアル番号またはライセンス キーに関連付けられません。スマート ライセンスを使用すると、ライセンスの使用状況と要件をひと目で確認できます。
また、スマート ライセンスでは、まだ購入していない製品の機能を使用できます。Cisco Smart Software Manager に登録すると、すぐにライセンスの使用を開始できます。また、後でライセンスを購入することもできます。これによって、機能の展開および使用が可能になり、発注書の承認による遅延がなくなります。
Cisco Smart Software Manager
Firepower Threat Defenseデバイスの 1 つ以上のライセンスを購入する場合は、Cisco Smart Software Manager で管理します。https://software.cisco.com/#SmartLicensing-InventoryCisco Smart Software Manager では、組織のマスター アカウントを作成できます。
デフォルトでは、ライセンスはマスター アカウントの下のデフォルトの仮想アカウントに割り当てられます。アカウントの管理者として、たとえば、地域、部門、または子会社ごとに、追加の仮想アカウントを作成できます。複数の仮想アカウントを使用することで、多数のライセンスおよびアプライアンスの管理を行うことができます。
ライセンスとアプライアンスは仮想アカウントごとに管理されます。つまり、その仮想アカウントのアプライアンスのみが、そのアカウントに割り当てられたライセンスを使用できます。追加のライセンスが必要な場合は、別の仮想アカウントから未使用のライセンスを転用できます。また、仮想アカウント間でのアプライアンスの譲渡も可能です。
Cisco Smart Software Manager にデバイスを登録するとき、そのマネージャで製品インスタンス登録トークンを作成し、Firepower Device Manager にそのトークンを入力します。登録済みデバイスが、使用されているトークンに基づいて仮想アカウントに関連付けられます。
Cisco Smart Software Manager の詳細については、マネージャのオンライン ヘルプを参照してください。
ライセンス認証局との定期通信
Firepower Threat Defenseデバイスの登録に製品インスタンス登録トークンを使用すると、デバイスはシスコのライセンス認証局に登録されます。ライセンス認証局は、デバイスとライセンス認証局の間の通信用に ID 証明書を発行します。この証明書の有効期間は 1 年ですが、6 ヵ月ごとに更新されます。ID 証明書の期限が切れた場合(通常は、9 ヵ月または 1 年間通信がない状態)、デバイスは登録が解除された状態になり、ライセンスされた機能は使用停止になります。
デバイスは、定期的にライセンス認証局と通信します。Cisco Smart Software Manager に変更を加えた場合は、すぐに変更が有効になるようにデバイス上で認証を更新できます。また、スケジュールどおりにデバイスが通信するのを待つこともできます。通常のライセンス通信は 30 日ごとに行われますが、これには猶予期間があり、デバイスはホームをコールすることなく最大で 90 日間は動作します。90 日が経過する前にライセンス認証局と連絡を取る必要があります。
スマート ライセンスのタイプ
次の表に、Firepower Threat Defenseデバイスで使用可能なライセンスを示します。
Firepower Threat Defenseデバイスを購入すると、自動的に基本ライセンスが含まれています。その他すべてのライセンスはオプションです。
期限切れまたは無効なオプション ライセンスの影響
オプションのライセンスが期限切れになっても、そのライセンスを必要とする機能を使用し続けることはできます。ただし、ライセンスは非準拠とマークされます。ライセンスを準拠状態に戻すには、ライセンスを購入してアカウントに追加する必要があります。
オプションのライセンスを無効にすると、システムは次のように反応します。
-
[マルウェア ライセンス(Malware license)]:システムは AMP クラウドへの問い合わせを停止し、AMP レトロスペクション クラウドから送信されたレトロスペクティブ イベントの認証も停止します。既存のアクセス コントロール ポリシーにマルウェア検出を適応ファイル ポリシーが含まれている場合、このアクセス コントロール ポリシーを再展開することはできません。マルウェア ライセンスが無効にされた後、システムが既存のキャッシュ ファイルの性質を使用できるのは極めて短時間のみであることに注意してください。この時間枠の経過後、システムは Unavailable という性質をこれらのファイルに割り当てます。
-
[脅威(Threat)]:システムは侵入またはファイル制御ポリシーを適用しなくなります。ライセンスを必要とする既存のポリシーを再展開することはできません。
-
[URL フィルタリング(URL Filtering)]:URL カテゴリ条件が指定されたアクセス コントロール ルールは URL のフィルタリングをただちに停止し、システムは URL データへの更新をダウンロードしなくなります。既存のアクセス コントロール ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再展開することができません。
スマート ライセンスの管理
システムの現在のライセンス ステータスを表示するには、[スマート ライセンス(Smart License)] ページを使用します。システムにはライセンスが必要です。
このページには、90 日間の評価ライセンスを使用しているかどうか、または Cisco Smart Software Manager に登録済みかどうかが表示されます。登録すると、Cisco Smart Software Manager への接続のステータス、および各ライセンス タイプのステータスを確認できます。
使用認証により、スマート ライセンス エージェントのステータスが特定されます。
-
承認済み(Authorized)(「接続/接続中」、「十分なライセンス」):デバイスは、アプライアンスのライセンス権限を承認した License Authority に正常に登録されています。このデバイスはインコンプライアンス(In-Compliance)の状態です。
-
アウトオブコンプライアンス(Out-of-Compliance):デバイスで使用可能なライセンス権限がありません。ライセンスされた機能は動作を継続します。ただし、インコンプライアンス(In-Compliance)にするためには、追加の権限を購入するか、または解放する必要があります。
-
認証期限切れ(Authorization Expired):デバイスは 90 日以上ライセンス認証局と通信していません。ライセンスされた機能は動作を継続します。この状態の場合、スマート ライセンス エージェントは認証要求を再試行します。再試行に成功すると、エージェントはアウトオブコンプライアンス(Out-of-Compliance)または承認済み(Authorized)状態になり、新たな承認期間が始まります。手動でデバイスの同期を試します。
 (注) | スマート ライセンスのステータスの横にある [i]ボタンをクリックすると、バーチャル アカウント、輸出管理機能を確認でき、Cisco Smart Software Manager を開くリンクが表示されます。輸出管理機能により、国家安全保障、外交ポリシー、反テロリズム法令を対象としたソフトウェアが制御されます。 |
次の手順では、システム ライセンスの管理方法の概要について説明します。
| ステップ 1 | [デバイス(Device)]メニューのデバイス名、[スマート ライセンス(Smart License)] サマリで [設定の表示(View Configuration)] をクリックします。 |
| ステップ 2 | デバイスを登録します。
オプション ライセンスを割り当てる前に、Cisco Smart Software Manager に登録する必要があります。評価期間の終了前に登録してください。 デバイスの登録を参照してください。 |
| ステップ 3 | オプション機能のライセンスをリクエストして管理します。
ライセンスによって制御される機能を使用するためには、オプション ライセンスを登録する必要があります。オプション ライセンスの有効化と無効化を参照してください。 |
| ステップ 4 | システム ライセンスを維持します。
次の作業を実行できます。 |
デバイスの登録
Firepower Threat Defenseデバイスを購入すると、自動的に基本ライセンスが付いてきます。基本ライセンスは、オプション ライセンスではカバーされないすべての機能をカバーしています。これは永久ライセンスです。
システムの初期設定時に、Cisco Smart Software Manager にデバイスを登録するように求められます。登録せずに 90 日間の評価ライセンスを使用する場合、評価期間の終了前にデバイスを登録する必要があります。
デバイスを登録すると、バーチャル アカウントからデバイスにライセンスが割り当てられます。デバイスを登録すると、有効にしているすべてのオプション ライセンスも登録されます。
オプション ライセンスの有効化と無効化
オプションのライセンスを有効化(登録)または無効化(リリース)することができます。ライセンスによって制御される機能を使用するには、ライセンスを有効にする必要があります。
オプションのターム ライセンスの対象となる機能を使用しなくなった場合、ライセンスを無効化することができます。ライセンスを無効にすると、Cisco Smart Software Manager アカウントでライセンスがリリースされるため、別のデバイスにそのライセンスを適用できるようになります。
評価モードで動作させる場合は、これらのライセンスの評価バージョンを有効にすることもできます。評価モードでは、デバイスを登録するまでライセンスは Cisco Smart Software Manager に登録されません。
ライセンスを無効にする前に、そのライセンスが使用中でないことを確認します。 ライセンスを必要とするポリシーは書き換えるか削除します。
Cisco Smart Software Manager との同期
ライセンス情報は、定期的に Cisco Smart Software Manager と同期されます。通常のライセンスに関する通信は 30 日ごとに行われますが、これには猶予期間があり、アプライアンスはホームをコールすることなく最大で 90 日間は動作します。
しかし、Smart Software Manager に変更を加えた場合は、デバイス上で認証を更新し、即座に変更を有効にすることができます。
同期により、ライセンスの現在のステータスが取得され、認証と ID 証明書が更新されます。
デバイスの登録解除
デバイスを使用しなくなった場合、そのデバイスを Cisco Smart Software Manager から登録解除できます。登録解除すると、基本ライセンス、およびデバイスに関連付けられたすべてのオプション ライセンスがバーチャル アカウントで解放されます。オプション ライセンスは他のデバイスに割り当てることができます。
デバイスの登録を解除すると、デバイスの現在の設定とポリシーはそのまま機能しますが、変更を加えたり展開したりすることはできません。
フィードバック