Cisco Firepower Threat Defense バージョン 6.2 コンフィギュレーション ガイド(Firepower Device Manager 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense バージョン 6.2 コンフィギュレーション ガイド(Firepower Device Manager 用)

Chapter Title

使用する前に

検索結果

Updated:
2017年12月8日

章のタイトル: 使用する前に

使用する前に

ここでは、FirePOWER Threat Defenseの設定を開始する方法について説明します。

このガイドの目的

このガイドは、FirePOWER Threat Defenseデバイスに組み込まれている Firepower デバイス マネージャの Web ベースの設定インターフェイスを使用して FirePOWER Threat Defense を設定する方法について説明します。

Firepower デバイス マネージャでは、小規模ネットワークで最も一般的に使用されるソフトウェアの基本機能を設定できます。特に、多数の FirePOWER Threat Defenseデバイスを含む大規模ネットワークを制御するための強力なマルチデバイス マネージャの使用を避けたい、単一のデバイスまたは少数のデバイスを含むネットワーク向けに設計されています。

多数のデバイスを管理する場合、または FirePOWER Threat Defenseが許容するより複雑な機能と設定を使用する場合は、統合された Firepower デバイス マネージャではなく、Firepower Management Center を使用してデバイスを設定してください。

Firepower デバイス マネージャは次のデバイスで使用できます。

表 1 Firepower デバイス マネージャがサポートするモデル

デバイス モデル

Firepower Threat Defense ソフトウェアの最小バージョン

ASA 5506-X、5506H-X、5506W-X、5508-X、5516-X

6.1

ASA 5512-X、5515-X、5525-X、5545-X、5555-X

6.1

Firepower Device Manager/Firepower Threat Defense6.2 の新機能

次の表に、Firepower Device Manager を使用して設定した場合に Firepower Threat Defense6.2で使用できる新機能を示します。

機能

説明

Cisco Defense Orchestrator クラウド管理

Cisco Defense Orchestrator クラウドベース ポータルを使用してデバイスを管理できます。[デバイス(Device)] > [システム設定(System Settings)] > [クラウド管理(Cloud Management)] を選択します。Cisco Defense Orchestrator の詳細については、http:/​/​www.cisco.com/​go/​cdoを参照してください。

アクセス ルールのドラッグ アンド ドロップ

アクセス ルールをドラッグ アンド ドロップしてルール テーブルに移動できます。

Firepower Threat Defenseソフトウェア アップグレード

Firepower Device Manager を使用してソフトウェア アップグレードをインストールできます。[デバイス(Device)] > [更新(Updates)] を選択します。

Firepower Threat Defenseのデフォルト設定の変更

新規デバイスまたは再イメージ化されたデバイスの場合、デフォルト設定には、次を含む重要な変更が含まれています。

  • (ASA 5506-X、5506W-X、5506H-X)。最初のデータ インターフェイス、および ASA 5506W-X の Wi-Fi インターフェイスを除き、これらのデバイス モデルのその他すべてのデータ インターフェイスは「内部」ブリッジ グループ内に構築されて、有効になっています。内部ブリッジ グループには DHCP サーバがあります。エンドポイントまたはスイッチをブリッジされた任意のインターフェイスに接続し、エンドポイントで 192.168.1.0/24 ネットワークのアドレスを入手できます。

  • 内部インターフェイスの IP アドレスは 192.168.1.1 になっており、DHCP サーバはアドレス プール(192.168.1.5 ~ 192.168.1.254)のインターフェイスで定義されています。

  • HTTPS アクセスは内部インターフェイスで有効になっているため、デフォルト アドレス(192.168.1.1)で内部インターフェイスを介して Firepower Device Manager を開くことができます。ASA 5506-X モデルの場合、任意の内部ブリッジ グループ メンバー インターフェイスを介して開くことができます。

  • 管理ポートは、192.168.45.0/24 ネットワークの DHCP サーバをホストします。ワークステーションを管理ポートに直接接続し、IP アドレスを取得して、Firepower Device Manager を開き、デバイスを設定できます。

  • OpenDNS パブリック DNS サーバは、管理インターフェイス用のデフォルトの DNS サーバになっています。以前は、デフォルトの DNS サーバはありませんでした。デバイスの設定時に別の DNS サーバを設定できます。

  • 管理 IP アドレスのデフォルト ゲートウェイは、データ インターフェイスをインターネットにルーティングするために使用されます。そのため、管理用物理インターフェイスをネットワークに有線接続する必要はありません。

管理インターフェイスとアクセスの変更

管理アドレス、および Firepower Device Manager へのアクセス方法に対する複数の変更は次のように機能します。

  • HTTPS(Firepower Device Manager の場合)接続と SSH(CLI の場合)接続に対してデータ インターフェイスを開くことができるようになりました。デバイスを管理するための、別の管理ネットワークは不要で、管理/診断用物理ポートを内部ネットワークに接続する必要もありません。[デバイス(Device)] > [システム設定(System Settings)] > [管理アクセス リスト(Management Access List)] を選択します。

  • システムは、外部インターフェイスのゲートウェイを介してシステム データベースの更新を取得できます。管理インターフェイスまたはネットワークからインターネットまでの明示的なルートを設定する必要はありません。デフォルトでは、データ インターフェイスを経由する内部ルートが使用されます。ただし、別の管理ネットワークを使用したい場合は特定のゲートウェイを設定できます。[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択します。

  • Firepower Device Manager を使用して管理インターフェイスを設定し、DHCP から管理インターフェイスの IP アドレスを入手できます。[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択します。

  • スタティック アドレスを設定する場合、管理アドレス上に DHCP サーバを設定できます。[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択します。

さまざまなユーザ インターフェイスの変更

Firepower Device Manager ユーザ インターフェイスの主な変更点は次のとおりです。

  • [デバイス(Device)]のメイン メニュー項目。以前のリリースでは、このメニュー項目はデバイスのホスト名でした。また、開くページは [デバイス ダッシュボード(Device Dashboard)] ではなく、[デバイス サマリ(Device Summary)] と呼ばれていました。

  • デバイスの初期設定時に代替の外部インターフェイスを選択することはできません。最初のデータ インターフェイスがデフォルトの外部インターフェイスです。

  • [デバイス(Device)] > [システム設定(System Settings)] > [クラウド設定(Cloud Preferences)][デバイス(Device)] > [システム設定(System Settings)] > [URL フィルタリング設定(URL Filtering Preferences)] に変わりました。

  • [システム設定(System Settings)] > [DHCP サーバ(DHCP Server)] ページは 2 つのタブで編成されており、グローバル パラメータから切り離された DHCP サーバのテーブルが含まれています。

サイト間 VPN の接続

事前共有キーを使用してサイト間バーチャル プライベート ネットワーク(VPN)の接続を設定できます。IKEv1 接続と IKEv2 接続を設定できます。

Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)のサポート

Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)は、ブリッジ グループとルーテッド インターフェイス間のルーティング機能を提供します。ブリッジ グループは、Firepower Threat Defenseデバイスがルーティングの代わりにブリッジングするインターフェイスのグループです。Firepower Threat Defenseデバイスは、Firepower Threat Defense デバイスがファイアウォールとして機能し続けるという点において真のブリッジではなく、インターフェイス間のアクセス コントロールは管理され、通常のすべてのファイアウォール チェックが実施されます。

この機能を使用すると、ブリッジ グループを設定し、ブリッジ グループ間、およびブリッジ グループとルーテッド インターフェイス間のルートを設定できます。ブリッジ グループは、ブリッジ グループのゲートウェイとして機能するために、ブリッジ仮想インターフェイス(BVI)を使用してルーティングに参加します。Firepower Threat Defenseデバイスにブリッジ グループに割り当てる追加のインターフェイスがある場合、Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)では、外部のレイヤ 2 スイッチを使用するための代替案が提供されます。BVI は名前付きインターフェイスにでき、一部の機能(ブリッジ グループ メンバー インターフェイスにその他の機能を設定する DHCP サーバ、NAT およびアクセス コントロール ルールなど)にはメンバー インターフェイスから切り離して参加できます。

[デバイス(Device)] > [インターフェイス(Interfaces)] を選択して、ブリッジ グループを設定します。

システムへのログイン

FirePOWER Threat Defenseデバイスへのインターフェイスは 2 つあります。

Firepower デバイス マネージャ Web インターフェイス

Firepower デバイス マネージャが Web ブラウザ内で実行されます。システムを設定、管理およびモニタするには、このインターフェイスを使用します。

コマンドライン インターフェイス(CLI、コンソール)

トラブルシューティングには、CLI を使用します。Firepower デバイス マネージャの代わりに、初期設定で使用することもできます。

以降のトピックでは、これらのインターフェイスにログインして、ユーザ アカウントを管理する方法を説明します。

Firepower Device Manager へのログイン

Firepower Device Manager を使用して、システムを設定、管理、およびモニタします。ブラウザで設定可能な機能を、コマンドライン インターフェイス(CLI)で設定することはできません。セキュリティ ポリシーを実装するには、Web インターフェイスを使用する必要があります。

最新バージョンの Firefox、Chrome、Safari、または Internet Explorer を使用してください。

はじめる前に

admin ユーザ名を使用することによってのみ Firepower Device Manager にログインできます。Firepower Device Manager アクセスの追加ユーザは作成できません。

手順
    ステップ 1   ブラウザを使用して、システムのホームページ(https://ftd.example.com など)を開きます。

    次のいずれのアドレスも使用できます。設定済みのものであれば、IPv4 アドレス、IPv6 アドレス、または DNS 名を使用できます。

    • 管理アドレス。デフォルトでは、これは管理/診断インターフェイス上の 192.168.45.45 です。

    • HTTPS アクセスのために開いたデータ インターフェイスのアドレス。デフォルトでは、「内部」インターフェースが HTTPS アクセスを許可するため、デフォルトの内部アドレスである 192.168.1.1 に接続できます。内部インターフェイスがブリッジ グループであるデバイス モデルでは、任意のブリッジ グループ メンバー インターフェイスを介してこのアドレスに接続できます。

    ヒント   

    ブラウザがサーバ証明書を認識するように設定されていない場合、信頼されていない証明書に関する警告が表示されます。証明書を例外として受け入れるか、または信頼されたルート証明書ストアのものを受け入れます。

    ステップ 2   admin ユーザ名およびパスワードを入力して、[ログイン(Login)] をクリックします。

    デフォルトの admin パスワードは Admin123 です。

    セッションは 20 分間操作しないと期限切れになり、再度ログインするように求められます。ページの右上にあるユーザ アイコンのドロップダウン メニューから [ログアウト(Log Out)] を選択するとログアウトできます。

    コマンドライン インターフェイス(CLI)へのログイン

    システムの設定および基本的なシステムのトラブルシューティングを行うには、コマンドライン インターフェイス(CLI)を使用します。CLI セッションを通じて、ポリシーを設定することはできません。

    CLI にログインするには、次のいずれかを実行します。

    • 9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定された端末エミュレータを使用しているコンソールに、デバイスに付属のコンソール ケーブルを使用して PC を接続します。コンソール ケーブルの詳細については、デバイスのハードウェア ガイドを参照してください。

    • SSH クライアントを使用して、管理 IP アドレスへの接続を確立します。SSH 接続のインターフェイスを開く場合は、データ インターフェイスのアドレスに接続することもできます(管理アクセス リストの設定を参照)。デフォルトでは、データ インターフェイスへの SSH アクセスは無効になっています。admin ユーザ名(デフォルトのパスワードは Admin123)または別の CLI ユーザ アカウントを使用してログインします。

    ログイン後に、CLI で使用可能なコマンドの情報を確認するには、help または ? を入力します。使用方法の詳細については、http:/​/​www.cisco.com/​c/​en/​us/​td/​docs/​security/​firepower/​command_ref/​b_​Command_​Reference_​for_​Firepower_​Threat_​Defense.htmlで『Command Reference for Firepower Threat Defense』を参照してください。


    (注)  

    configure user add コマンドを使用して、CLI にログイン可能なユーザ アカウントを作成できます。ただし、これらのユーザは、CLI のみにログイン可能で、Firepower デバイス マネージャ Web インターフェイスにはログインできません。

    パスワードの変更

    定期的にパスワードを変更する必要があります。以下の手順では、FirePOWER Device Manager へのログイン中にパスワードを変更する方法について説明します。


    (注)  

    CLI を使用してログインしている場合にパスワードを変更するには、configure password コマンドを使用します。別の CLI ユーザに対するパスワードを変更するには、configure user passwordusername コマンドを使用します。

    手順
      ステップ 1   メニュー右上のユーザ アイコンのドロップダウン リストから、[プロファイル(Profile)]を選択します。

      ステップ 2   [パスワード(Password)]タブをクリックします。
      ステップ 3   現在のパスワードを入力します。
      ステップ 4   新しいパスワードを入力して確認します。
      ステップ 5   [変更(Change)]をクリックします。

      ユーザ プロファイル設定の設定

      ユーザ インターフェイスの設定を設定し、パスワードを変更できます。

      手順
        ステップ 1   メニューの右上にあるユーザ アイコン ドロップダウンリストから [プロファイル(Profile)]を選択します。

        ステップ 2   [プロファイル(Profile)]タブで、次の項目を設定し、[保存(Save)] をクリックします。
        • [タスクのスケジューリングのタイム ゾーン(Time Zone for Scheduling Tasks)]:バックアップや更新などのタスクをスケジュールするために使用するタイム ゾーンを選択します。別のゾーンを設定した場合、ダッシュボードとイベント用にはブラウザのタイム ゾーンが使用されます。
        • [色のテーマ(Color Theme)]:ユーザ インターフェイスに使用する色のテーマを選択します。
        ステップ 3   [パスワード(Password)]タブで、新しいパスワードを入力し、[変更(Change)] をクリックします。

        Firepower Threat Defenseの CLI ユーザ アカウントの作成

        Firepower Threat Defenseデバイスで CLI にアクセスするユーザを作成できます。これらのアカウントは管理アプリケーションへのアクセスは許可されず、CLI へのアクセスのみが有効になります。CLI はトラブルシューティングやモニタリング用に役立ちます。

        複数のデバイス上にアカウントを一度に作成することはできません。デバイスごとに固有の CLI アカウントのセットがあります。

        手順
          ステップ 1   config 権限を持つアカウントを使用してデバイスの CLI にログインします。

          管理者ユーザ アカウントには必要な権限がありますが、config 権限を持っていればどのアカウントでも問題ありません。SSH セッションまたはコンソール ポートを使用できます。

          特定のデバイス モデルでは、コンソール ポートから FXOS CLI に移動します。connect ftd コマンドを使用して Firepower Threat Defense CLI にアクセスします。

          ステップ 2   ユーザ アカウントを作成します。

          configure user addusername {basic | config}

          次の権限レベルを持つユーザを定義できます。

          • config:ユーザに構成へのアクセス権を付与します。すべてのコマンドの管理者権限がユーザに与えられます。

          • basic:ユーザに基本的なアクセス権を付与します。ユーザはコンフィギュレーション コマンドを入力することはできません。



          例:

          次の例では、config アクセス権を使用して、joecool という名前のユーザ アカウントを追加します。パスワードは入力時に非表示となります。

          
> configure user add joecool config
Enter new password for user joecool: newpassword
Confirm new password for user joecool: newpassword
> show user
Login              UID   Auth Access  Enabled Reset    Exp Warn  Str Lock Max
admin             1000  Local Config  Enabled    No  Never  N/A  Dis   No N/A
joecool           1001  Local Config  Enabled    No  Never  N/A  Dis   No   5
          (注)     

          configure password コマンドを使用して自分のパスワードを変更できることをユーザに伝えます。

          ステップ 3   (オプション)セキュリティ要件を満たすようにアカウントの性質を調整します。

          アカウントのデフォルト動作を変更するには、次のコマンドを使用できます。

          • configure user aging username max_days warn_days

            ユーザ パスワードの有効期限を設定します。パスワードの最大有効日数と、有効期限が近づいたことをユーザに通知する警告を期限切れとなる何日前に発行するかを指定します。どちらの値も 1 ~ 9999 ですが、警告までの日数は最大日数以内にする必要があります。アカウントを作成した場合、パスワードの有効期限はありません。

          • configure user forcereset username

            次回ログイン時にユーザにパスワードを強制的に変更してもらいます。

          • configure user maxfailedlogins username number

            アカウントがロックされる前の連続したログイン失敗の最大回数を 1 ~ 9999 までで設定します。アカウントをロック解除するには、configure user unlock コマンドを使用します。新しいアカウントのデフォルトは、5 回連続でのログインの失敗です。

          • configure user minpasswdlen username number

            パスワードの最小長を 1 ~ 127 までで設定します。

          • configure user strengthcheck username {enable | disable}

            パスワードの変更時にユーザに対してパスワード要件を満たすように要求する、パスワードの強度確認を有効または無効にします。ユーザ パスワードの有効期限が切れた場合、または configure user forcereset コマンドを使用している場合は、ユーザが次にログインしたときにこの要件が自動的に有効になります。

          ステップ 4   必要に応じてユーザ アカウントを管理します。

          ユーザをアカウントからロックアウトしたり、アカウントを削除するか、またはその他の問題を修正する必要があります。システムのユーザ アカウントを管理するには、次のコマンドを使用します。

          • configure user access username {basic | config}

            ユーザ アカウントの権限を変更します。

          • configure user delete username

            指定したアカウントを削除します。

          • configure user disable username

            指定したアカウントを削除せずに無効にします。ユーザは、アカウントを有効にするまでログインできません。

          • configure user enable username

            指定したアカウントを有効にします。

          • configure user password username

            指定したユーザのパスワードを変更します。ユーザは通常、configure password コマンドを使用して自分のパスワードを変更する必要があります。

          • configure user unlock username

            ログイン試行の最大連続失敗回数の超過が原因でロックされたユーザ アカウントをロック解除します。

          システムの設定

          ネットワークでシステムが正しく動作するには、初期設定を完了する必要があります。導入を適切に完了するには、ケーブルを正しく接続し、デバイスをネットワークに追加してインターネットや上流に位置するほかのルータに接続するために必要なアドレスを設定します。次の手順では、このプロセスについて説明します。

          はじめる前に

          初期設定を開始する前に、デバイスにはデフォルト設定が含まれています。詳細は、初期セットアップ前のデフォルト設定を参照してください。

          手順
            ステップ 1   インターフェイスの接続
            ステップ 2   初期設定の完了

            完了後の設定の詳細については、初期セットアップ後の設定を参照してください。

            ステップ 3   ワイヤレス アクセス ポイント(ASA 5506W-X)の設定

            インターフェイスの接続

            デフォルト設定では、内部および外部ネットワークにそれぞれ特定のインターフェイスが使用されることが前提となっています。この前提に基づいてネットワーク ケーブルで各インターフェイスを接続すると、初期設定の実行が容易になります。

            のデフォルト設定は、ワークステーションを内部インターフェイスに直接接続できるように設計されています。内部インターフェイスがブリッジ グループとなっているデバイス モデルでは、任意のメンバー インターフェイスに接続できます。また、ワークステーションを管理ポートに直接接続することもできます。適切なネットワーク上のアドレスを取得するには、DHCP を使用します。各インターフェイスはさまざまなネットワークにつながっているため、内部インターフェイスと管理ポートとを同一ネットワークに接続しないように注意が必要です。

            また、アクティブな DHCP サーバが設置されたネットワークには、内部インターフェイスまたは管理インターフェイスを接続しないでください。接続すると、内部ポートおよび管理ポートに対して実行されている既存の DHCP サーバとの競合が生じます。ネットワークに別の DHCP サーバを使用するには、ワークステーションを管理ポートに直接接続し、初期設定を実行してから、不要な DHCP サーバを無効にします。これで、デバイスをネットワークに接続できる状態になります。

            以下の各トピックでは、内部インターフェイスを使用してデバイスを設定する場合に、このようなトポロジにおいてシステムをケーブル接続する方法について説明します。

            ASA 5506-X、5506W-X、5506H-X のケーブル接続

            図 1. ASA 5506W-X(Wi-Fi あり)、5506-X(Wi-Fi なし)



            図 2. ASA 5506H-X



            • GigabitEthernet 1/1 は、ISP/WAN モデムまたは他の外部デバイスに接続します。デフォルトでは、IP アドレスは DHCP を使用して取得されますが、初期設定時にスタティック アドレスを設定することもできます。

            • GigabitEthernet 1/2(または内部ブリッジ グループの他のメンバー ポート)を、デバイスの設定に使用するワークステーションに接続します。DHCP を使用して IP アドレスを取得するように、ワークステーションを設定します。ワークステーションは、192.168.1.0/24 ネットワーク上のアドレスを取得します。


              (注)  

              管理ワークステーションの接続方法には、この他にもいくつかのオプションがあります。管理ワークステーションを、管理ポートに直接接続することもできます。この場合、ワークステーションは DHCP を経由して、192.168.45.0/24 ネットワーク上のアドレスを取得します。もう 1 つの方法は、ワークステーションはスイッチに接続したままで、このスイッチを、GigabitEthernet 1/2 などのいずれかの内部ポートに接続します。ただし、スイッチのネットワーク上に、DHCP サーバを実行するデバイスが他に存在しないことを確認する必要があります。存在している場合、内部ブリッジ グループ 192.168.1.1 で実行される DHCP サーバとの競合が生じます。

            • 必要に応じて、内部ブリッジ グループ内の他のポートに、他のエンドポイントまたはスイッチを接続します。エンドポイントの追加は、最初のデバイスのセットアップが完了してから行うようにしてください。スイッチを追加する場合は、これらのネットワーク上で他の DHCP サーバが実行されていないことを確認します。実行されている場合、内部ブリッジ グループで実行される DHCP サーバとの競合が生じます。

            ASA 5508-X および 5516-X のケーブル接続





            • GigabitEthernet 1/1 は、ISP/WAN モデムまたは他の外部デバイスに接続します。デフォルトでは、IP アドレスは DHCP を使用して取得されますが、初期設定時にスタティック アドレスを設定することもできます。

            • GigabitEthernet 1/2 を、デバイスの設定に使用するワークステーションに接続します。DHCP を使用して IP アドレスを取得するように、ワークステーションを設定します。ワークステーションは、192.168.1.0/24 ネットワーク上のアドレスを取得します。


              (注)  

              管理ワークステーションの接続方法には、この他にもいくつかのオプションがあります。管理ワークステーションを、管理ポートに直接接続することもできます。この場合、ワークステーションは DHCP を経由して、192.168.45.0/24 ネットワーク上のアドレスを取得します。もう 1 つの方法は、ワークステーションはスイッチに接続したままで、このスイッチを GigabitEthernet 1/2 に接続します。ただし、スイッチのネットワーク上に、DHCP サーバを実行するデバイスが他に存在しないことを確認する必要があります。存在している場合、内部インターフェイス 192.168.1.1 で実行される DHCP サーバとの競合が生じます。

            ASA 5512-X、5515-X、5525-X、5545-X、5555-X のケーブル接続





            • GigabitEthernet 0/0 は、ISP/WAN モデムまたは他の外部デバイスに接続します。デフォルトでは、IP アドレスは DHCP を使用して取得されますが、初期設定時にスタティック アドレスを設定することもできます。

            • GigabitEthernet 0/1 を、デバイスの設定に使用するワークステーションに接続します。DHCP を使用して IP アドレスを取得するように、ワークステーションを設定します。ワークステーションは、192.168.1.0/24 ネットワーク上のアドレスを取得します。


              (注)  

              管理ワークステーションの接続方法には、この他にもいくつかのオプションがあります。管理ワークステーションを、管理ポートに直接接続することもできます。この場合、ワークステーションは DHCP を経由して、192.168.45.0/24 ネットワーク上のアドレスを取得します。もう 1 つの方法は、ワークステーションはスイッチに接続したままで、このスイッチを GigabitEthernet 0/1 に接続します。ただし、スイッチのネットワーク上に、DHCP サーバを実行するデバイスが他に存在しないことを確認する必要があります。存在している場合、内部インターフェイス 192.168.1.1 で実行される DHCP サーバとの競合が生じます。

            初期設定の完了

            FirePOWER Device Manager に最初にログインすると、システムの初期設定を行うためのデバイス セットアップ ウィザードが開始されます。

            はじめる前に

            データ インターフェイスが、ケーブル モデムやルータなどのゲートウェイ デバイスに接続されていることを確認してください。エッジでの展開では、インターネット側のゲートウェイがこれに相当します。データセンターでの展開では、バックボーン ルータです。使用するモデルでの、デフォルトの「外部」インターフェイスを使用します(インターフェイスの接続および初期セットアップ前のデフォルト設定を参照)。

            次に、ハードウェア モデルの「内部」インターフェイスにワークステーションを接続します。内部インターフェイスがブリッジ グループとなっているモデルでは、ブリッジ グループの任意のメンバー インターフェイス(外部インターフェイス以外の任意のデータ ポート)に接続できます。または、管理用および診断用の物理インターフェイスに接続できます。

            管理用および診断用の物理インターフェイスは、ネットワークに接続されている必要はありません。デフォルトでは、ライセンス設定、およびデータベースなどの更新は、インターネットに接続されているデータ インターフェイス(通常は外部インターフェイス)から取得されます。そうではなく、個別の管理ネットワークを使用するには、初期設定の完了後、管理/診断インターフェイスをネットワークに接続し、個別の管理ゲートウェイを設定します。

            手順
              ステップ 1   FirePOWER Device Manager にログインします。
              1. CLI から初期設定を完了していない場合は、FirePOWER Device Manager(https://ip-address)を開きます。アドレスは、次のいずれかとなります。

                • 内部インターフェイスに接続しているか、またはデフォルトで内部ブリッジ グループを持つモデルで、いずれかの内部ブリッジ グループのデータ インターフェイスに接続している場合は、https://192.168.1.1 となります。

                • 管理用の物理インターフェイスに接続している場合は、https://192.168.45.45 となります。

              2. ユーザ名 admin およびパスワード Admin123 でログインします。
              ステップ 2   これがシステムへの最初のログインであり、CLI によるセットアップ ウィザードも未実行の場合は、エンドユーザ ライセンス契約を読んで同意し、管理パスワードを変更するように促すメッセージが表示されます。

              続行するには、この手順を実行する必要があります。

              ステップ 3   外部インターフェイスおよび管理インターフェイスに以下のオプションを設定し、[次へ(Next)]をクリックします。
              注意       

              ここで [次へ(Next)]をクリックすると、設定がデバイスに展開されます。インターフェイスは「outside」という名前で、「outside_zone」セキュリティ ゾーンに追加されます。設定値が正しいことを確認します。内部インターフェイスと同じサブネットにある外部インターフェイスの IP アドレスを設定してしまい、内部アドレスの FirePOWER Device Manager に接続している状態になると、 内部インターフェイスのアドレスは削除されるため、[次へ(Next)]をクリックした時点でウィザードが機能停止します。回復方法については、外部サブネットが内部サブネットと競合する(セットアップ ウィザードがステップ 1 でハングする)場合の解決策を参照してください。

              外部インターフェイス

              • [IPv4 の設定(Configure IPv4)]:外部インターフェイスの IPv4 アドレス。DHCP を使用することも、スタティックな IP アドレス、サブネット マスク、およびゲートウェイを手動で入力することもできます。IPv4 アドレスを設定しない場合は、[オフ(Off)]を選択します。スタティックに設定する場合も、DHCP を使用する場合も、デフォルトの内部アドレスと同じサブネットにある IP アドレスを設定しないようにしてください(初期セットアップ前のデフォルト設定を参照)。

              • [Pv6 の設定(Configure IPv6)]:外部インターフェイスの IPv6 アドレス。DHCP を使用することも、スタティックな IP アドレス、プレフィックス、およびゲートウェイを手動で入力することもできます。IPv6 アドレスを設定しない場合は、[オフ(Off)]を選択します。

              管理インターフェイス

              • [DNS サーバ(DNS Servers)]:システムの管理アドレスに対する DNS サーバ。名前解決を行う DNS サーバのアドレスを 1 つ以上入力します。デフォルトでは、OpenDNS のパブリック DNS サーバです。各フィールドの編集後にデフォルトに戻すには、[OpenDNS を使用(Use OpenDNS)]をクリックすると、適切な IP アドレスがフィールドに読み込まれます。

              • [ファイアウォールのホスト名(Firewall Hostname)]:システムの管理アドレスのホスト名。

              ステップ 4   システム時刻を設定して、[次へ(Next)]をクリックします。
              • [タイム ゾーン(Time Zone)]:システムのタイム ゾーンを選択します。
              • [NTP タイム サーバ(NTP Time Server)]:デフォルトの NTP サーバの使用を選択するか、または任意の NTP サーバのアドレスを手動で入力します。バックアップ用に、複数のサーバを追加できます。
              ステップ 5   システムのスマート ライセンスを設定します。

              システムに必要なライセンスを取得および適用するには、スマート ライセンス アカウントが必要です。最初に、90 日間の評価ライセンスを使用してから、後でスマート ライセンスを設定できます。

              デバイスを今すぐ登録するには、Smart Software Manager のアカウントにログインするリンクをクリックして、新しいトークンを作成し、このトークンを編集ボックスにコピーします。

              評価ライセンスを使用するには、[登録せず、90 日間の評価期間を開始する(Start 90 day evaluation period without registration)]を選択します。後からデバイスを登録し、スマート ライセンスを取得するには、デバイス、[スマート ライセンス(Smart Licenses)] グループ内のリンクをクリックします。

              ステップ 6   [終了(Finish)]をクリックします。
              次の作業

              • カテゴリ ベースの URL フィルタリング、侵入検知、マルウェア防止など、オプション ライセンスで実現する機能を使用するには、必要なライセンスを有効化します。オプション ライセンスの有効化と無効化を参照してください。

              • 新しいシステムの場合、デフォルトで内部ブリッジ グループが設定されているデバイス モデルの他のインターフェイスは、内部ブリッジ グループのメンバーとしてすぐに使用できます。各インターフェイスには、エンド ポイントを直接接続できます。単一のデフォルト物理インターフェイスを備えたモデルの場合は、他のデータ インターフェイスを異なるネットワークに接続し、インターフェイスを設定できます。ブリッジ グループのメンバー インターフェイスでは、各インターフェイスをブリッジ グループから削除し、一意のネットワークを追加で設定することもできます。インターフェイスの設定の詳細については、サブネットの追加方法およびインターフェイスの設定を参照してください。

              • 内部インターフェイスまたはブリッジ グループのメンバー インターフェイス経由でデバイスを管理する場合に、内部インターフェイスから CLI セッションを開くには、内部インターフェイスまたはブリッジ グループを開いて SSH 接続を開始します。管理アクセス リストの設定を参照してください。

              • さまざまな使用例を参照することで、製品の使用方法を学習できます。FirePOWER Threat Defenseの使用例を参照してください。

              外部サブネットが内部サブネットと競合する(セットアップ ウィザードがステップ 1 でハングする)場合の解決策

              内部インターフェイスを介して Firepower Device Manager に接続した場合、ステップ 1 で外部インターフェイスを設定して [次へ(Next)]クリックすると、セットアップ ウィザードがハングする場合があります。通常、このステップは完了に時間がかかるため、ハングとはその状態が 10 分を超えて継続する場合を指します。ブラウザを更新すると、Firepower Device Manager との接続が切断されたことがわかります(管理 IP アドレスから接続した場合、セットアップ ウィザードはハングしませんが、次の症状で説明する問題が存在する場合があります)。

              この問題の最も可能性の高い原因は、内部インターフェイスと外部インターフェイスの両方に同じサブネットのアドレスが割り当てられているため、内部インターフェイスの設定が失われたことです。

              デフォルト設定には、内部インターフェイスのスタティック アドレス、および DHCP サーバが含まれています。これにより、セットアップ ウィザードが完了した直後からデバイスは正しく動作し、トラフィックを受け渡し、接続されているワークステーションをサポートできます。

              しかし、デフォルトの内部アドレスが正しく機能するのは、同じサブネットに属するアドレスを外部インターフェイスに設定しない場合に限ります。これには、DHCP 経由で外部アドレスにアドレスを提供する ISP デバイスに接続する状況が含まれます。一部の ISP は、FirePOWER Threat Defenseが内部アドレス用に使用するサブネットと同じ 192.168.1.0/24 サブネットを(外部インターフェイスに接続する)内部インターフェイス用に使用します。

              この問題を解決するには、内部インターフェイスの IP アドレスを変更する必要があります。


              (注)  

              このトピックでは、ハードウェア モデルとそのデフォルトについて説明します。仮想モデルでは、デフォルトの内部 IP アドレスは異なっており、管理 IP アドレスと同じサブネットに属しています。その場合でも内部と外部のサブネット競合が発生する可能性はありますが、その確率はより低くなります。

              内部と外部のサブネット競合の症状

              ここでは、内部インターフェイスと外部インターフェイスのアドレスが同じサブネットに属する場合の症状について説明します。

              • デバイスのセットアップ ウィザードの実行中、ステップ 1 で [次へ(Next)] をクリックするとウィザードがハングします。通常、このステップは完了に時間がかかるため、ハングとはその状態が 10 分を超えて継続する場合を指します。

              • コンソール ポートに接続されている場合、CLI で次のメッセージが表示されます。このメッセージは、Firepower Device Manager から(以降で変更することなく)設定を展開しようとする場合にも表示されます。

                ERROR: Failed to apply IP address to interface GigabitEthernet1/1, 
as the network overlaps with interface GigabitEthernet1/2. 
Two interfaces cannot be in the same subnet.

              • 設定を終了すると、接続グラフィックに、外部サービス(ゲートウェイ、DNS サーバ、NTP サーバ、スマート ライセンスなど)との接続が存在しないことが示されます。また、メニューの [導入(Deploy)] アイコンに、導入が必要であることが示されます。

              • CLI で、show running-config コマンドと show startup-config コマンドを使用して確認すると、内部インターフェイスと外部インターフェイスの interface および dhcp 設定が矛盾しています。

              手順
                ステップ 1   デバイスの設定中に内部インターフェイスに接続されていた場合は、設定を完了します。
                1. 管理ポートに接続して、デバイスに再接続します。必要に応じて、管理ネットワーク(192.168.45.0/24)で新しいアドレスを取得するためにワークステーションの DHCP アドレスを解放して更新します。必要に応じて、192.168.45.1 ~ 192.168.45.44 の範囲でワークステーションのスタティック アドレスを設定します。
                2. https://192.168.45.45 で Firepower Device Manager を開きます。
                3. 90 日間の評価ライセンスの開始を確認するプロンプトが表示されます。このオプションを選択し、[確認(Confirm)]をクリックします。
                4. [デバイス(Device)] > [システム設定(System Settings)] > [NTP] を選択し、NTP サーバを設定して、[保存(Save)]をクリックします。デフォルトのサーバが要件に適合する場合は、このステップをスキップできます。
                5. メニューの右上にあるユーザ アイコン ドロップダウンリストから [プロファイル(Profile)]を選択し、デバイスのタイム ゾーンを選択して、[保存(Save)] をクリックします。

                6. 評価ライセンスを使用しない場合は、[デバイス(Device)] > [スマート ライセンス(Smart License)] > [設定の表示(View Configuration)] を選択し、[登録の要求(Request Register)]をクリックして、指示に従ってデバイスを登録します。デバイスの登録を参照してください。(この時点で必要なオプションのライセンスを有効にすることもできます)。
                ステップ 2   内部インターフェイスから DHCP サーバを削除します。
                1. [デバイス(Device)] > [システム設定(System Settings)] > [DHCP サーバ(DHCP Server)] を選択します。
                2. [DHCP サーバ(DHCP Server)]タブをクリックします。
                3. 内部インターフェイス行の [操作(Actions)]カラムにカーソルを置き、削除アイコン()をクリックします。
                ステップ 3   内部インターフェイスのアドレスを変更します。
                1. [デバイス(Device)]を選択します。
                2. インターフェイス グループで、有効化されているインターフェイスの数を示すリンク([3 個有効(3 Enabled)]など)をクリックします。
                3. 内部インターフェイス行の [操作(Actions)]カラムにカーソルを置き、編集アイコン()をクリックします。
                4. [IPv4 アドレス(IPv4 Address)]タブで、一意のサブネットのスタティック アドレス(192.168.2.1/24、192.168.46.1/24 など)を入力します。デフォルトの管理アドレスは 192.168.45.45/24 であるため、このサブネットは使用しないでください。

                  また、内部ネットワークですでに DHCP サーバが実行されている場合は、DHCP を使用してアドレスを取得することもできます。

                5. [OK]をクリックします。
                ステップ 4   (オプション)内部アドレスの DHCP サーバを設定します。

                内部インターフェイスのスタティック アドレスを設定した場合は、内部ネットワークに接続するワークステーションにアドレスを提供するために DHCP サーバを設定できます。これは一般的な設定です。

                1. [デバイス(Device)] > [システム設定(System Settings)] > [DHCP サーバ(DHCP Server)] を選択します。
                2. [DHCP サーバ(DHCP Server)]タブをクリックします。
                3. [+]をクリックします。
                4. サーバを有効化するオプションを選択し、内部インターフェイスを選択します。
                5. アドレス プールについては、内部アドレスと同じサブネットに属する範囲を入力します。

                  たとえば、内部アドレスが 192.168.2.1/24 の場合は、192.168.2.5 ~ 192.168.2.254 を使用できます。ネットワーク上のノードにスタティックに割り当てられているアドレスを含めないでください。必要に応じてスタティック アドレスを割り当てることができるよう、数個のアドレスをプールから除外することを検討してください。

                6. [OK]をクリックします。
                ステップ 5   メニューの [導入(Deploy)]ボタンをクリックします。

                ステップ 6   [今すぐ導入(Deploy Now)]をクリックします。

                導入が完了すると、外部サービスの接続グラフィックが緑を示します。

                ワイヤレス アクセス ポイント(ASA 5506W-X)の設定

                ASA 5506W-X には、デバイスに統合されている Cisco Aironet 702i ワイヤレス アクセス ポイントが含まれています。ワイヤレス アクセス ポイントは、デフォルトでは無効になっています。ワイヤレス無線を有効にし、SSID およびセキュリティの設定を行うには、アクセス ポイント Web インターフェイスに接続します。

                アクセスポイントは、内部で GigabitEthernet 1/9 インターフェイスを介して接続します。すべての Wi-Fi クライアントは、GigabitEthernet 1/9 ネットワークに属しています。セキュリティ ポリシーにより、Wi-Fi ネットワークが他のインターフェイス上の任意のネットワークにアクセスする方法が決まります。アクセス ポイントには、外部インターフェイスやスイッチ ポートは含まれません。

                次の手順では、アクセス ポイントを設定する方法について説明します。手順は、デバイス セットアップ ウィザードが完了していることを前提としています。代わりに手動でデバイスを設定した場合は、設定に基づいて手順を調整する必要が生じることがあります。

                詳細については、次のマニュアルを参照してください。

                はじめる前に

                アクセス ポイントに到達できないときに、Firepower Threat Defenseデバイスは推奨される設定であり、他にネットワーク問題は見つからない場合、アクセス ポイントをデフォルト設定に復元することができます。Firepower Threat DefenseCLI にアクセスする必要があります(コンソール ポートに接続するか、または SSH アクセスを設定します)。Firepower Threat DefenseCLI から、次のコマンドを入力します。

                > system support diagnostic-cli 
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> enable
Password: <press enter, by default, the password is blank>
firepower# hw-module module wlan recover configuration

                アクセス ポイントをさらにトラブルシューティングする必要がある場合は、session wlan console コマンドを使用してアクセス ポイント CLI に接続します。

                手順
                  ステップ 1   ワイヤレス インターフェイスの GigabitEthernet 1/9 を設定し、有効にします。
                  1. デバイスをクリックし、[インターフェイス(Interfaces)] グループ内のリンクをクリックして、インターフェイスのリストを開きます。
                  2. GigabitEthernet 1/9 インターフェイスの編集アイコン()をクリックします。
                  3. 次のオプションを設定します。

                    • インターフェイス名(Interface Name):インターフェイスの名前を入力します。たとえば、wifi

                    • ステータス(Status):スライダをクリックして、インターフェイスを有効にします。

                    • IPv4アドレス(IPv4 Address):アドレス タイプに [スタティック(Static)] を選択してから、アドレスとサブネット マスクを入力します。たとえば、192.168.10.1/24 と入力します。

                  4. [保存(Save)]をクリックします。
                  ステップ 2   内部インターフェイスと同じセキュリティ ゾーンに Wi-Fi インターフェイスを追加します。

                  デバイス セットアップ ウィザードは、inside_zoneという名前のセキュリティ ゾーンに insideブリッジ グループのメンバーを配置します。アクセスポイント Web インターフェイスに到達するには、Wi-Fi インターフェイスが同じゾーンに存在している必要があります(デフォルトの Inside_Inside_Rule アクセス ルールによって実現可能)。

                  1. メニューで [オブジェクト(Objects)]をクリックし、目次から [セキュリティ ゾーン(Security Zones)] を選択します。
                  2. inside_zone の編集アイコン()をクリックします。
                  3. [インターフェイス(Interfaces)]の下の [+] をクリックし、wifi インターフェイスを選択します。
                  ステップ 3   inside_zone セキュリティ ゾーン内のインターフェイス間のトラフィックを許可するためのアクセス コントロール ルールが存在することを確認します。

                  デバイス セットアップ ウィザードは、トラフィックが inside_zone から outside_zone へ流れるのを許化する、つまり、内部ユーザのインターネットへのアクセスを許可するルールを作成します。

                  また、内部ホストが相互に到達できるように、トラフィックが inside_zoneinside_zone の間で流れるのを許可するルールを作成します。

                  wifi インターフェイスを inside_zone に追加すると、Wi-Fi ユーザもこれらの両方のルールに含まれ、インターネットと他の内部ユーザに到達できるようになります。

                  ウィザードを完了していない場合、これらのルールは存在していない可能性があります。デフォルト アクションがすべてのトラフィックのブロックであるため、これらのルールを作成する必要があります。次の手順は、inside_zone セキュリティ ゾーン内のインターフェイス間のトラフィックを有効にするルールを作成する方法を説明しています。

                  1. メニューで [ポリシー(Policies)]をクリックします。
                  2. [アクセス コントロール(Access Control)]テーブルの上にある [+] をクリックして、ルールを追加します。
                  3. 少なくとも次のオプションをルールに設定します。

                    • タイトル(Title):ルールの名前を入力します。たとえば、Inside_Inside と入力します。

                    • アクション(Action):[許可(Allow)] または [信頼(Trust)] のいずれかを指定します。

                    • [送信元/宛先(Source/Destination)] > [送信元ゾーン(Source Zones)]:inside_zone を選択します。

                    • [送信元/宛先(Source/Destination)] > [宛先ゾーン(Destination Zones)]:inside_zone を選択します。

                  4. [OK]をクリックします。
                  ステップ 4   ワイヤレス インターフェイスに DHCP サーバを設定します。

                  DHCP サーバはアクセスポイントに接続するデバイスに IP アドレスを供給します。また、アクセス ポイント自体にもアドレスを供給します。

                  1. デバイスをクリックします。
                  2. [システム設定(System Settings)] > [DHCP サーバ(DHCP Server)] をクリックします。
                  3. [DHCP サーバ(DHCP Servers)]タブをクリックします。
                  4. DHCP サーバ テーブルの上の [+]をクリックします。
                  5. 次の DHCP サーバ プロパティを設定します。

                    • DHCP サーバを有効にする(Enable DHCP Server):スライダをクリックして、DHCP サーバを有効にします。

                    • インターフェイス(Interface)wifi インターフェイスを選択します。

                    • アドレス プール(Address Pool):DHCP クライアントのアドレス プールを入力します。たとえば、ワイヤレス インターフェイスのアドレス例を使用した場合、プールは 192.168.10.2 ~ 192.168.10.254 です。プールは、インターフェイスの IP アドレスと同じサブネット上に存在している必要があります。インターフェイスのアドレスまたはブロードキャスト アドレスを含めることはできません。

                  6. [追加(Add)]、[OK] の順にクリックします。
                  ステップ 5   メニューで [展開(Deploy)] ボタンをクリックし、その後、[今すぐ展開(Deploy Now)]ボタンをクリックして、変更内容をデバイスに展開します。

                  続行する前に展開が終了するまで待機します。

                  ステップ 6   ワイヤレス アクセス ポイントを設定します。

                  ワイヤレス アクセス ポイントは、ワイヤレス インターフェイスに定義されている DHCP プールからアドレスを取得します。プール内の最初のアドレスを取得する必要があります。アドレス例を使用した場合、これは 192.168.10.2 です(最初のアドレスが動作しない場合は、プール内の次のアドレスが試行されます)。

                  1. 新しいブラウザ ウィンドウを使用して、ワイヤレス アクセス ポイントの IP アドレス、たとえば、http://192.168.10.2 に移動します。

                    アクセス ポイント Web インターフェイスが表示されます。

                    このアドレスを開くには、内部ネットワーク上またはそれをルーティングできるネットワーク上にいる必要があります。

                  2. ユーザ名 cisco およびパスワード Cisco でログインします。
                  3. 左側の [簡易設定(Easy Setup)] > [ネットワーク設定(Network Configuration)] をクリックします。
                  4. [無線設定(Radio Configuration)]領域で、[無線 2.4GHz(Radio 2.4GHz)] および [無線 5GHz(Radio 5GHz)] の各セクションに対して、少なくとも次のパラメータを設定し、セクションごとに [適用(Apply)] をクリックします。

                    • SSID:サービス セット識別子。これは、ワイヤレス ネットワークの名前です。Wi-Fi 接続のワイヤレス ネットワークを選択すると、この名前が表示されます

                    • ビーコンのブロードキャスト SSID(Broadcast SSID in Beacon):このオプションを選択します。

                    • Universal Admin Mode(ユニバーサル管理モード):[無効(Disable)]

                    • セキュリティ(Security):使用するセキュリティ オプションを選択します。

                  ステップ 7   ワイヤレス アクセス ポイントの Web インターフェイスでは、無線を有効にします。
                  1. 左側の [サマリ(Summary)]をクリックし、メイン ページの [ネットワーク インターフェイス(Network Interfaces)] で、2.4 GHz 無線に対応するリンクをクリックします。
                  2. [Settings(設定)] タブをクリックします。
                  3. [Enable Radio]の設定では、[Enable] ラジオ ボタンをクリックし、ページ下部の [Apply] をクリックします。
                  4. 5 GHz 無線についてもプロセスを繰り返します。

                  初期セットアップ前のデフォルト設定

                  ローカル マネージャ(Firepower Device Manager)を使用して FirePOWER Threat Defenseデバイスの初期設定を行う前は、デバイスには以下のデフォルト設定が適用されています。

                  この設定では、内部インターフェイス経由で Firepower Device Manager を開き(通常はコンピュータをインターフェイスに直接接続)、内部インターフェイス上で定義された DHCP サーバを使用して、コンピュータに IP アドレスを供給していることを前提としています。デバイス モデルごとのデフォルトの内部および外部インターフェイスについては、下の表を参照してください。また、物理的な管理インターフェイスまたは診断インターフェイスにコンピュータを接続して、DHCP を使用してアドレスを取得することもできます。デフォルトの内部および管理 IP アドレスについては、構成時の設定表を参照してください。この IP アドレスを使用して、ブラウザから Firepower Device Manager を開きます。

                  構成時のデフォルト設定

                  設定項目

                  デフォルト

                  初期設定時に変更できるか

                  管理者ユーザのパスワード

                  Admin123

                  可。デフォルト パスワードは変更する必要があります。

                  管理 IP アドレス

                  192.168.45.45

                  不可。

                  管理ゲートウェイ

                  デバイスのデータ インターフェイス。通常、外部インターフェイスがインターネットへのルートになります。このゲートウェイは、from-the-box (デバイスからの出力)トラフィックのみに対応して動作します。

                  いいえ。

                  管理インターフェイス上の DHCP サーバ

                  アドレス プール 192.168.45.46 ~ 192.168.45.254 で有効化されています。

                  不可。

                  管理インターフェイスの DNS サーバ

                  OpenDNS パブリック DNS サーバ、208.67.220.220 および 208.67.222.222。

                  可。

                  内部インターフェイスの IP アドレス

                  192.168.1.1/24

                  不可。

                  内部クライアントの DHCP サーバ

                  アドレス プール 192.168.1.5 ~ 192.168.1.254 の内部インターフェイスで実行されます。

                  不可。

                  内部クライアントに対する DHCP 自動設定(自動設定では、WINS および DNS サーバ用のアドレスがクライアントに供給されます)

                  外部インターフェイスに対して有効。

                  可(ただし間接的に)。外部インターフェイスのスタティック IPv4 アドレスを設定すると、DHCP サーバ自動設定は無効になります。

                  外部インターフェイスの IP アドレス

                  DHCP を経由し、インターネット サービス プロバイダー(ISP)または上流に位置するルータから取得。

                  可。

                  デバイス モデルことのデフォルトのインターフェイス

                  初期設定時に、デフォルト以外の内部および外部インターフェイスを選択することはできません。設定後にインターフェイス割り当てを変更するには、インターフェイスおよび DHCP の設定を編集します。インターフェイスをスイッチ不可として設定するには、事前にこのインターフェイスをブリッジ グループから削除する必要があります。

                  FirePOWER Threat Defenseデバイス

                  外部インターフェイス

                  内部インターフェイス

                  ASA 5506-X

                  ASA 5506H-X

                  ASA 5506W-X

                  GigabitEthernet 1/1

                  BVI1。外部インターフェイス以外の、他のすべてのデータ インターフェイスが含まれます。5506W-X の場合はワイヤレス インターフェイス GigabitEthernet 1/9。

                  ASA 5508-X

                  ASA 5516-X

                  GigabitEthernet 1/1

                  GigabitEthernet 1/2

                  ASA 5512-X

                  ASA 5515-X

                  ASA 5525-X

                  ASA 5545-X

                  ASA 5555-X

                  GigabitEthernet 0/0

                  GigabitEthernet 0/1

                  初期セットアップ後の設定

                  セットアップ ウィザードを完了すると、デバイス設定は次のようになります。この表では、個々の設定項目の値が、ユーザが明示的に選択したものとなるのか、または他の項目の設定に基づき自動的に定義されたものかを示します。「暗黙的」と示された項目は、すべて設定を確認し、必要に応じて修正してください。

                  設定項目

                  設定内容

                  明示的/暗黙的な設定、またはデフォルト設定

                  管理者ユーザのパスワード

                  任意の入力値

                  明示的

                  管理 IP アドレス

                  192.168.45.45

                  デフォルト

                  管理ゲートウェイ

                  デバイスのデータ インターフェイス。通常、外部インターフェイスがインターネットへのルートになります。管理ゲートウェイは、from-the-box (デバイスからの出力)トラフィックのみに対応して動作します。

                  デフォルト

                  管理インターフェイス上の DHCP サーバ

                  アドレス プール 192.168.45.46 ~ 192.168.45.254 で有効化されています。

                  デフォルト

                  管理インターフェイスの DNS サーバ

                  任意の入力値

                  明示的

                  管理ホスト名

                  firepower または任意の入力値

                  明示的

                  データ インターフェイスを通過する管理アクセス

                  データ インターフェイスの管理アクセス リスト ルールにより、内部インターフェイスを通過する HTTPS アクセスが許可されます。内部ブリッジ グループを持つモデルでは、内部ブリッジ グループの全メンバー インターフェイスがこの対象となります。SSH 接続は許可されません。IPv4 および IPv6 接続はいずれも許可されます。

                  暗黙的

                  システム時間

                  選択したタイム ゾーンおよび NTP サーバ。

                  明示的

                  スマート ライセンス

                  基本ライセンスとともに登録したか、または評価期間を開始したか、いずれか選択した方法。

                  サブスクリプション ライセンスは有効化されていません。スマート ライセンスのページに移動して、スマート ライセンスを有効化してください。

                  明示的

                  内部インターフェイスの IP アドレス

                  192.168.1.1/24

                  デフォルト

                  内部クライアントの DHCP サーバ

                  アドレス プール 192.168.1.5 ~ 192.168.1.254 の内部インターフェイスで実行されます。

                  デフォルト

                  内部クライアントに対する DHCP 自動設定(自動設定では、WINS および DNS サーバ用のアドレスがクライアントに供給されます)

                  DHCP を使用して外部インターフェイスの IPv4 アドレスを取得している場合、DHCP 自動設定は外部インターフェイスに対して有効化されます。

                  静的アドレッシングを使用している場合は、DHCP 自動設定は無効になります。

                  明示的(ただし間接的)

                  データ インターフェイスの設定

                  (内部ブリッジ グループがないモデル)設定および有効化されるのは、外部インターフェイスと内部インターフェイスのみです。他のすべてのデータ インターフェイスは無効になります。

                  (内部ブリッジ グループを持つモデル)外部インターフェイスを除くすべてのデータ インターフェイス(GigabitEthernet 1/2 など)は有効化され、内部ブリッジ グループの一部となります。これらのポートにエンド ポイントまたはスイッチを接続すると、内部インターフェイスのアドレスを DHCP サーバから取得できます。

                  デフォルト

                  外部の物理インターフェイスおよび IP アドレス

                  デバイス モデルに基づくデフォルトの外部ポート。初期セットアップ前のデフォルト設定を参照してください。

                  IP アドレスは DHCP によって取得されるか、入力したとおりのスタティック アドレスとなります(IPv4、IPv6、またはその両方)。

                  インターフェイスはデフォルト、

                  アドレッシングは明示的。

                  スタティック ルート

                  外部インターフェイスに対してスタティック IPv4 または IPv6 アドレスを設定すると、スタティックなデフォルト ルートも IPv4 または IPv6 用に適宜設定され、このアドレス タイプ用に定義されたゲートウェイをポイントします。DHCP を選択した場合は、デフォルト ルートは DHCP サーバから取得されます。

                  ネットワーク オブジェクトもこのゲートウェイ、および「any」アドレス(IPv4 の場合は 0.0.0.0/0、IPv6 の場合は ::/0)に合わせて作成されます。

                  暗黙的

                  セキュリティ ゾーン

                  内部インターフェイスを含む inside_zone。内部ブリッジ グループを持つモデルでは、内部ブリッジ グループ インターフェイスの全メンバーがゾーンに含まれます。

                  外部インターフェイスを含む outside_zone

                  (これらのゾーンを編集して他のインターフェイスを追加することも、独自のゾーンを作成することも可能)。

                  暗黙的

                  アクセス コントロール ポリシー

                  inside_zone から outside_zone に送信されるすべてのトラフィックを信頼するルール。これにより、インスペクションなしで、ネットワーク内のユーザからのすべてのトラフィックを外部に出すことができ、これらの接続のすべてのリターン トラフィックが許可されます。

                  内部ブリッジ グループを持つモデルでは、inside_zone 内のインターフェイス間を伝送されるすべてのトラフィックを信頼する 2 番目のルールが作成されます。これにより、内部ネットワーク内のユーザ間で伝送されるすべてのトラフィックが、インスペクションを受けることなく許可されます。

                  他のすべてのトラフィックに対するデフォルト アクションは、ブロックです。つまり、外部から開始され、ネットワークに進入しようとするすべてのトラフィックが阻止されます。

                  暗黙的

                  NAT

                  (内部ブリッジ グループを持たないモデル)インターフェイスのダイナミック PAT ルールにより、外部インターフェイスを宛先とするすべての IPv4 トラフィックの発信元アドレスは、外部インターフェイスの IP アドレス上の一意のポートに変換されます。

                  (内部ブリッジ グループを持つモデル)内部ブリッジ グループの各メンバーに対し、インターフェイスのダイナミック PAT ルールにより、外部インターフェイスを宛先とするすべての IPv4 トラフィックの発信元アドレスは、外部インターフェイスの IP アドレス上の一意のポートに変換されます。これらは NAT ルール テーブルに表示されるため、必要に応じて後から編集できます。

                  補足的な非表示の PAT ルールにより、内部インターフェイスを通過する HTTPS アクセス、およびデータ インターフェイスを経由する管理アドレスのルーティングが有効化されます。これらは NAT テーブルには表示されませんが、CLI で show nat コマンドを使用することで表示できます。

                  暗黙的

                  設定の基本

                  以下の各トピックでは、デバイスを設定するための基本的な方法について説明します。

                  デバイスの設定

                  Firepower Device Manager に初めてログインする場合、セットアップ ウィザードに従い基本設定を行います。ウィザードを完了したら、次の手順を使用して、その他の機能を設定し、デバイス設定を管理します。

                  項目を視覚的に区別できない場合は、ユーザ プロファイルに別のカラー スキームを選択します。ページの右上にあるユーザ アイコン ドロップダウン メニューから [プロファイル(Profile)]を選択します。

                  手順
                    ステップ 1   デバイス、[デバイス サマリ(Device Summary)][デバイス ダッシュボード(Device Dashboard)]にアクセスします。

                    ダッシュボードにデバイスのビジュアル ステータスが表示されます。表示情報には、有効になっているインターフェイス、キー設定が設定されているか(緑色)、まだ未設定であるかが含まれます。詳細については、インターフェイスと管理ステータスの表示を参照してください。

                    ステータス イメージの上に、デバイスモデル、ソフトウェア バージョン、VDB(システムおよび脆弱性のデータベース)バージョンの概要、および侵入ルールの最終更新時間が表示されます。

                    イメージの下には、設定可能なさまざまな機能のグループ、各グループの設定の概要、およびシステム設定を管理するために実行できるアクションが表示されます。

                    ステップ 2   各グループのリンクをクリックして、設定を行うか、またはアクションを実行します。

                    次に、グループのサマリを示します。

                    • [インターフェイス(Interface)]:管理インターフェイスに加えて、少なくとも 2 つのデータ インターフェイスを設定する必要があります。インターフェイスを参照してください。

                    • [ルーティング(Routing)]:ルーティングの設定。デフォルト ルートを定義する必要があります。構成によってはその他のルートが必要な場合があります。ルーティングを参照してください。

                    • [更新(Updates)]:地理位置情報、侵入ルール、脆弱性データベースの更新、システム ソフトウェアの更新。これらの機能を使用する場合は、定期的な更新スケジュールを設定して、最新のデータベース更新が適用されるようにします。定期的なスケジュール更新が行われる前に更新をダウンロードする必要がある場合は、このページにアクセスすることもできます。システム データベースの更新を参照してください。

                    • [システム設定(System Settings)]:このグループにはさまざまな設定が含まれています。一部は、デバイスの初期設定時に設定し、その後ほとんど変更することがない基本設定です。システム設定を参照してください。

                    • [スマート ライセンス(Smart License)]:システム ライセンスの現在の状態が表示されます。システムを使用するためには適切なライセンスをインストールする必要があります。一部の機能には追加ライセンスが必要です。システムのライセンスを参照してください。

                    • [バックアップと復元(Backup and Restore)]システム設定をバックアップするか、または以前のバックアップを復元します。システムのバックアップと復元を参照してください。

                    • [トラブルシュート(Troubleshoot)]:Cisco Technical Assistance Center の要求に従いトラブルシューティング ファイルを生成します。トラブルシューティング ファイルの作成を参照してください。

                    • [サイト間 VPN(Site-to-Site VPN)]:このデバイスとリモート デバイス間のサイト間バーチャル プライベート ネットワーク(VPN)接続。サイト間 VPN の管理を参照してください。

                    ステップ 3   メニューの [展開(Deploy)]ボタンをクリックして、変更内容を展開します。

                    変更内容は、展開するまでデバイス上で有効になりません。変更の展開を参照してください。

                    次の作業

                    メイン メニューの [ポリシー(Policies)]をクリックして、システムのセキュリティ ポリシーを設定します。[オブジェクト(Objects)]をクリックして、セキュリティ ポリシーに必要なオブジェクトを設定することもできます。

                    変更の展開

                    ポリシーまたは設定を更新した場合、変更がすぐにはデバイスに適用されません。設定の変更には、次の 2 つの手順を実行します。

                    1. 変更を行います。

                    2. 変更を展開します。

                    この手順により、デバイスを「部分的に設定された」状態で実行することなく、関連する変更のグループ化を行えるようになります。また、変更によってはインスペクション エンジンの再起動が必要であり、再起動中にトラフィックがドロップする場合があるため、潜在的な分断の影響が最小限となるタイミングで変更を展開することを検討してください。

                    目的の変更を完了した後、次の手順を使用して変更を展開します。


                    注意    

                    Firepower Device Manager を使用するFirePOWER Threat Defenseデバイスは、インスペクション エンジンがソフトウェアのリソースの問題が原因でビジー状態である、または設定の展開中にエンジンの再起動が必要なためダウンしているときに、トラフィックをドロップします。再起動が必要な変更の詳細については、インスペクション エンジンを再起動させる設定変更を参照してください。

                    手順
                      ステップ 1   Web ページの右上にある [変更の展開(Deploy Changes)]アイコンをクリックします。

                      このアイコンは、展開されていない変更がある場合にドット マークで強調表示されます。

                      [展開サマリ(Deployment Summary)] ページが開きます。このウィンドウには、前回の展開リストに、展開の開始時点と完了時点での変更内容(「変更されたオブジェクト」)に関するサマリ情報と、各展開のステータスを記載したものが表示されます。

                      アイコンが強調表示されていない場合でも、クリックすればこれまでの展開ジョブの結果を表示することができます。

                      ステップ 2   [今すぐ展開(Deploy Now)]をクリックします。

                      インスペクション エンジンを再起動させる設定変更

                      次の設定またはアクションはどれも、設定変更を導入するときにインスペクション エンジンが再起動します。


                      注意    

                      展開時に、リソースの需要が高まった結果、いくつかのパケットがインスペクションなしでドロップされる場合があります。さらに、一部の設定の導入ではインスペクション エンジンの再起動が必要です。これにより、トラフィックのインスペクションが中断され、トラフィックがドロップされます。

                      展開

                      導入によってインスペクション エンジンが再起動します。

                      システム アップデート

                      システムを再起動させないシステム アップデートまたはパッチをインストールする場合、それらにバイナリ変更が含まれているときは、インスペクション エンジンの再起動が必要になります。バイナリ変更には、インスペクション エンジン、プリプロセッサ、脆弱性データベース(VDB)、または共有オブジェクト ルールの変更が含まれます。バイナリ変更を含まないパッチが Snort の再起動を必要とする場合があることにも注意してください。

                      インターフェイスと管理ステータスの表示

                      デバイス概要には、デバイスおよび管理アドレスで選択する設定に関するグラフィカルビューが含まれます。デバイス概要を開くには、[デバイス(Device)]をクリックします。

                      このグラフィック上の要素は、要素のステータスに基づいて色が変化します。要素にカーソルを当てると、追加情報が表示されます。このグラフィックを使用して次の項目を監視できます。


                      (注)  

                      グラフィックのインターフェイス部分は、インターフェイス ステータス情報を含めて、[インターフェイス(Interfaces)]ページおよび [モニタリング(Monitoring)] > [システム(System)] ダッシュボードでも入手できます。

                      インターフェイス ステータス

                      ポートの上にマウスを合わせると、その IP アドレス、およびイネーブル ステータスやリンク ステータスが表示されます。IP アドレスは DHCP を使用してスタティックに割り当てたり、取得できます。ブリッジ仮想インターフェイス(BVI)上にマウスを合わせた場合にも、メンバー インターフェイスのリストが表示されます。

                      インターフェイス ポートは次のカラー コーディングを使用します。

                      • 緑:インターフェイスが設定され、イネーブルで、リンクが稼働中です。

                      • 灰色:インターフェイスがイネーブルではありません。

                      • オレンジ/赤:インターフェイスが設定され、イネーブルですが、リンクがダウンしています。インターフェイスが有線接続である場合、これは修正が必要なエラー状態です。インターフェイスが有線接続でない場合、これは予想される状態です。

                      内部、外部ネットワーク接続

                      グラフィックは、次の条件下でどのポートが外部(またはアップストリーム)および内部ネットワークに接続されるかを示します。

                      • 内部ネットワーク:内部ネットワークのポートは、「内部(inside)」という名前のインターフェイスにのみ表示されます。さらなる内部ネットワークがある場合、それらは表示されません。インターフェイスに「内部(inside)」という名前を付けなければ、どのポートも内部ポートとしてマークされません。

                      • 外部ネットワーク:外部ネットワークのポートは、「外部(outside)」という名前のインターフェイスにのみ表示されます。内部ネットワークと同様に、この名前は必須です。この名前を付けないと、ポートは外部ポートとしてマークされません。

                      管理設定ステータス

                      グラフィックは、管理アドレスにゲートウェイ、DNS サーバ、NTP サーバ、およびスマート ライセンスが設定されているかどうか、およびそれらの設定が正常に機能しているかどうかを示します。

                      緑色は機能が設定されて正常に動作していることを示し、灰色は設定されていないか、正しく動作していないことを示します。たとえば、サーバに到達できなければ DNS ボックスは灰色になります。要素にカーソルを当てると、詳細情報が表示されます。

                      問題が見つかった場合、次のように修正してください。

                      • 管理ポートとゲートウェイ:[システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択します。

                      • DNS サーバ:[システム設定(System Settings)] > [DNS サーバ(DNS Server)] を選択します。

                      • NTP サーバ:[システム設定(System Settings)] > [NTP] を選択します。NTP のトラブルシューティングも参照してください。

                      • スマート ライセンス:スマート ライセンス グループで [設定を表示(View Configuration)]リンクをクリックします。

                      システム タスク ステータスの表示

                      システム タスクには、さまざまなデータベース更新の取得と適用など、ユーザが直接操作せずに発生する処理が含まれています。これらのシステム タスクとそのステータスを表示して、それらが正常に完了していることを確認できます。

                      手順
                        ステップ 1   メイン メニューの [タスク リスト(Task List)]ボタンをクリックします。

                        タスク リストが開き、システム タスクのステータスと詳細が表示されます。

                        ステップ 2   タスクのステータスを評価します。

                        繰り返し発生する問題を発見した場合は、デバイス設定の修正が必要になる場合があります。たとえば、データベース更新を取得できない状態が続く場合は、デバイスの管理 IP アドレスからインターネットへのパスが存在しない可能性があります。タスクの説明で示される一部の問題については、Cisco Technical Assistance Center(TAC)に連絡する必要があります。

                        タスク リストでは、次の操作を実行できます。

                        • [成功(Success)]または [失敗(Failures)] ボタンをクリックして、ステータスに基づいてリストをフィルタリングする。

                        • [削除(Delete)] アイコン()をクリックして、タスクをリストから削除する。

                        • [完了したタスクをすべて削除(Remove All Completed Tasks)]をクリックして、進行中ではないタスクのリストを空にする。

                        このドキュメントは役に立ちましたか?

                        Feedbackフィードバック

                        シスコに問い合わせ