バージョン 6.2.3 に関するガイドラインと警告 バージョン 6.3.0
このチェックリストには、バージョン 6.3.0 に関する新しい重要なアップグレード ガイドラインと警告が含まれています。
| ✓ | ガイドライン | プラットフォーム | アップグレード元 | 直接アップグレード先 |
|---|---|---|---|---|
|
FMC(物理) Firepower 7000/8000 シリーズ |
任意 |
6.3.0 以降 |
||
|
Firepower 4100/9300 |
6.1.x |
6.3.0 のみ |
||
|
FMC Firepower 7000/8000 シリーズ NGIPSv |
6.1.0 ~ 6.1.0.6 6.2.0 ~ 6.2.0.6 6.2.1 6.2.2 ~ 6.2.2.4 6.2.3 ~ 6.2.3.4 |
6.3.0+ |
||
|
FMC Firepower 7000/8000 シリーズ NGIPSv |
6.1.0 ~ 6.2.3.x |
6.3.0+ |
||
|
任意 |
6.1.0 ~ 6.2.3.x |
6.3.0+ |
||
|
FMC の展開 |
6.1.0 ~ 6.2.3.x |
6.3.0+ |
||
|
任意 |
6.1.0 ~ 6.2.3.x |
6.3.0+ |
||
|
任意 |
6.1.0 ~ 6.2.3.x |
6.3.0+ |
||
|
FMC |
6.1.0 ~ 6.2.3.x |
6.3.0+ |
||
|
FMC ASDM を使用した ASA FirePOWER |
6.1.0 ~ 6.2.3.x |
6.3.0 のみ |
||
|
Firepower 2100 シリーズ Firepower 4100/9300 |
6.1.0 ~ 6.2.3.x |
6.3.0 のみ |
||
|
任意 |
6.2.3.x |
6.3.0+ |
||
|
MC1000、2500、および 4500 |
6.2.x |
6.3.0+ |
||
|
FMC を使用した FTD |
6.2.x |
6.3.0+ |
||
|
FDM を使用した FTD |
6.2.x |
6.3.0 のみ |
MC1000、2500、および 4500 用プレインストール ホットフィックス(必須)
展開: Firepower Management Center モデル MC1000、2500、および 4500
アップグレード元:バージョン 6.2.x
直接アップグレード先:バージョン 6.3 +
MC1000、MC2500、または MC4500 をバージョン 6.2.x からバージョン 6.3 + にアップグレードする前に、プレインストール ホットフィックスを適用する必要があります。このホットフィックスにより、RAID コントローラのファームウェアが更新されます。ホットフィックスを適用しないと、バージョン 6.3+ を実行している、影響を受けるアップグレード済み FMC でパフォーマンス上の問題が発生する可能性があります。その他のアプライアンス(バージョン 6.3+ の新しい FMC または再イメージ化された FMC を含む)にはホットフィックスを適用しないでください。
ホットフィックスは シスコ サポートおよびダウンロード サイト で入手可能であり、お使いの現在のバージョンのアップグレード パッケージおよびインストール パッケージと同じ場所にあります。ホットフィックスを適用するには、通常のアップグレード ページ()を使用します。
| 現在のバージョン | ホットフィックス | パッケージ |
|---|---|---|
|
6.3+ |
— |
ホットフィックスを適用せずに 6.3+ にアップグレードした場合は、Cisco TAC に連絡してください。 |
|
6.2.3.x |
ホットフィックス AJ |
Sourcefire_3D_Defense_Center_S3_Hotfix_AJ-6.2.3.999-5.sh.REL.tar |
|
6.2.2.x |
ホットフィックス BY |
Sourcefire_3D_Defense_Center_S3_Hotfix_BY-6.2.2.999-1.sh.REL.tar |
|
6.2.1 |
— |
バージョン 6.2.3 にアップグレードし、ホットフィックス AJ を適用します。 |
|
6.2.0.x |
ホットフィックス CD |
Sourcefire_3D_Defense_Center_S3_Hotfix_CD-6.2.0.999-1.sh |
FMC、7000/8000 シリーズ、NGIPSv で準備状況チェックに失敗する可能性
展開:FMC、7000/8000 シリーズ デバイス、NGIPSv
アップグレード元:バージョン 6.1.0 ~ 6.1.0.6、バージョン 6.2.0 ~ 6.2.0.6、バージョン 6.2.1、バージョン 6.2.2 ~ 6.2.2.4、およびバージョン 6.2.3 ~ 6.2.3.4
直接アップグレード先:バージョン 6.3 +
次に示すバージョンの Firepower のいずれかからアップグレードする場合は、そこに示されているモデルで準備状態チェックを実行できません。これは、準備状況チェック プロセスが新しいアップグレード パッケージに対して互換性を持たないためです。
| 準備完了チェックがサポートされない | 修正された最初のパッチ |
|---|---|
|
6.1.0 ~ 6.1.0.6 |
6.1.0.7 |
|
6.2.0 ~ 6.2.0.6 |
6.2.0.7 |
|
6.2.1 |
なし。バージョン 6.2.3.5+ にアップグレードしてください。 |
|
6.2.2 ~ 6.2.2.4 |
6.2.2.5 |
|
6.2.3 ~ 6.2.3.4 |
6.2.3.5 |
アプライアンスへのアクセスの更新されたセキュリティ
展開:すべて
アップグレード元:バージョン 6.1 ~ 6.2.3.x
直接アップグレード先:バージョン 6.3 +
セキュリティを強化するために、バージョン 6.3 では、セキュア SSH アクセスのためにサポートされる暗号と暗号化アルゴリズムのリストが更新されました。暗号エラーのために SSH クライアントが Firepower アプライアンスとの接続に失敗する場合は、クライアントを最新バージョンに更新してください。
セキュリティ インテリジェンスによって可能になるアプリケーションの識別
展開:Firepower Management Center
アップグレード元:バージョン 6.1 ~ 6.2.3.x
直接アップグレード先:バージョン 6.3 +
バージョン 6.3 では、セキュリティ インテリジェンスの設定によりアプリケーションの検出と識別が可能になります。現在の展開で検出を無効にした場合は、アップグレード プロセスによって再び検出が有効になる可能性があります。必要がない場合(たとえば、IPS のみの展開など)に検出を無効にするとパフォーマンスが向上する可能性があります。
検出を無効にするには、次の手順を実行する必要があります。
-
ネットワーク検出ポリシーからすべてのルールを削除します。
-
単純なネットワークベースの条件(ゾーン、IP アドレス、VLAN タグ、およびポート)のみを使用してアクセス制御を実行します。どんな種類のアプリケーション、ユーザ、URL、または地理位置情報の制御も行わないでください。
-
(新規)デフォルトのグローバル リストなど、アクセス コントロール ポリシーのセキュリティ インテリジェンス設定からすべてのホワイトリストとブラックリストを削除することで、ネットワークと URL ベースのセキュリティ インテリジェンスを無効にします。
-
(新規)DNS のデフォルトのグローバル ホワイトリストや DNS ルールのグローバル ブラックリストなど、関連付けられている DNS ポリシー内のすべてのルールを削除または無効にすることで、DNS ベースのセキュリティ インテリジェンスを無効にします。
アップグレード後に VDB を更新して CIP 検出を有効化
展開:すべて
アップグレード元:バージョン 6.1 ~ 6.2.x、VDB 299+ 搭載
直接アップグレード先:バージョン 6.3 +
脆弱性データベース(VDB)299 以降を使用しているときにアップグレードする場合、アップグレード プロセスの問題により、アップグレード後の CIP 検出を使用できなくなります。これには、2018 年 6 月から現在までにリリースされたすべての VDB に加えて、最新の VDB も含まれます。
アップグレード後は常に脆弱性データベース(VDB)を最新バージョンに更新することを推奨しますが、この場合は特に重要です。
この問題の影響を受けるかどうかを確認するには、CIP ベース アプリケーションの条件を使用して、アクセス制御ルールを設定してみてください。ルール エディタで CIP アプリケーションが見つからない場合は、手動で VDB を更新します。
無効な侵入変数セットによって展開に失敗する可能性
展開:すべて
アップグレード元:バージョン 6.1 ~ 6.2.3.x
直接アップグレード先:バージョン 6.3.0+
侵入変数セット内のネットワーク変数については、除外する IP アドレスが、含める IP アドレスのサブセットである必要があります。次の表に、有効な設定と無効な設定の例を示します。
| 有効 | 無効 |
|---|---|
|
含める:10.0.0.0/8 除外する:10.1.0.0/16 |
含める:10.1.0.0/16 除外する:172.16.0.0/12 除外する:10.0.0.0/8 |
バージョン 6.3.0 より前のバージョンでは、このタイプの無効な設定でネットワーク変数を正常に保存できました。現在のバージョンでは、これらの設定によって展開がブロックされ、次のエラーが表示されます。「Variable set has invalid excluded values.」
この場合は、正しく設定されていない変数セットを識別して編集してから展開しなおしてください。変数セットによって参照されているネットワーク オブジェクトおよびグループの編集が必要である場合もあることに注意してください。
リモート アクセス VPN のデフォルト設定の変更によって VPN トラフィックがブロックされる可能性
展開:リモート アクセス VPN 用に設定された Firepower Threat Defense
アップグレード元:バージョン 6.2.x
直接アップグレード先:バージョン 6.3 +
バージョン6.3では非表示オプションの sysopt connection permit-vpn のデフォルト設定が変更されています。アップグレードすると、リモート アクセス VPN がトラフィックを渡さなくなる可能性があります。この場合は、次のいずれかの手法を使用してください。
-
sysopt connection permit-vpn コマンドを設定する FlexConfig オブジェクトを作成します。このコマンドの新しいデフォルトは no sysopt connection permit-vpn です。
これは、外部ユーザがリモート アクセス VPN アドレス プール内の IP アドレスになりすますことができないため、VPN でトラフィックを許可するよりも安全な方法です。欠点は VPN トラフィックが検査されないことです。つまり、侵入とファイルの保護、URL フィルタリング、その他の高度な機能がトラフィックに適用されません。
-
リモート アクセス VPN アドレス プールからの接続を許可するアクセス制御ルールを作成します。
この方法では、VPN トラフィックが確実に検査され、高度なサービスを接続に適用できます。欠点は、外部のユーザが IP アドレスをスプーフィングして、内部ネットワークにアクセスしやすくなることです。
URL フィルタリング キャッシュのタイムアウトが変更される可能性
展開:すべて
アップグレード元:バージョン 6.2.3.x
直接アップグレード先:バージョン 6.3.0+
バージョン 6.3.0 の新機能として、GUI で URL フィルタリング キャッシュのタイムアウト値を設定できます。古いデータと一致する URL のインスタンスを最小限に抑えるため、キャッシュ内の URL を期限切れに設定できます。Cisco TAC と連携して URL フィルタリング キャッシュのタイムアウト値を変更している場合、アップグレードによってその値が変更される可能性があります。
アップグレード完了後、
-
FMC: を選択し、[Cisco CSI] タブをクリックして、[キャッシュされたURLの期限切れ(Cached URLs Expire)] 設定を確認します。
-
FDM: を選択し、[URL存続可能時間(URL Time to Live)] 設定を確認します。
接続イベントと侵入イベントに関する Syslog の動作の変更
展開:Firepower Management Center
アップグレード元:バージョン 6.1.0 ~ 6.2.3.x
直接アップグレード先:バージョン 6.3.0+
バージョン 6.3.0 では、システムが Syslog を介して接続イベントと侵入イベントをログに記録する方法が変更され、一元化されています。アクセス コントロール ポリシーの新しい [ロギング(Logging)] タブでこれらの設定にアクセスできます。
アップグレードによって接続イベント ログの既存の設定が変更されることはありません。ただし、Syslog 経由では「期待されなかった」侵入イベントの受信が突然開始される可能性があります。これは、バージョン 6.3.0+ にアップグレードすると、侵入ポリシーによって、Syslog イベントが新しい [ロギング(Logging)] タブ上の宛先に送信されるためです(バージョン 6.3.0 以前では、外部ホストではなく、管理対象デバイス自体の Syslog にイベントを送信するように侵入ポリシーで Syslog アラートを設定できました)。
また、NGIPS デバイス(7000/8000 シリーズ、ASA FirePOWER、NGIPSv)から送信されるメッセージで、RFC 5425 で指定されている ISO 8601 タイムスタンプ形式が使用されるようになりました。
名前が変更されたアップグレードとインストール パッケージ
展開: FMC、7000/8000 シリーズ、NGIPSv
アップグレード元:バージョン 6.1.0 ~ 6.2.3.x
直接アップグレード先:バージョン 6.3 +
アップグレード、パッチ、ホットフィックス、およびインストール パッケージの命名スキーム(名前の最初の部分)は、当該プラットフォーム上で「Version 6.3.0」で始まるように変更されました。
 (注) |
この変更により、古い物理アプライアンス(DC750、1500、2000、3500、4000 のほか、7000/8000 シリーズ デバイスと AMP モデル)の再イメージ化に関する問題が発生します。バージョン 5.x を現在実行していて、これらのアプライアンスのいずれかにバージョン 6.3.0 または 6.4.0 を新規インストールする必要がある場合は、シスコ サポートおよびダウンロード サイト からインストール パッケージをダウンロードした後、その名前を「古い」名前に変更します。 |
| プラットフォーム | 命名方式 |
|---|---|
|
FMC |
新: Cisco_Firepower_Mgmt_Center 旧: Sourcefire_3D_Defense_Center_S3 |
|
Firepower 7000/8000 シリーズ |
新: Cisco_Firepower_NGIPS_Appliance 旧: Sourcefire_3D_Device_S3 |
|
NGIPSv |
新: Cisco_Firepower_NGIPS_Virtual 旧: Sourcefire_3D_Device_VMware 旧: Sourcefire_3D_Device_Virtual64_VMware |
| プラットフォーム | 命名方式 |
|---|---|
|
FMC (物理) |
新: Cisco_Firepower_Mgmt_Center 旧: Sourcefire_Defense_Center_M4 旧: Sourcefire_Defense_Center_S3 |
|
FMCv: VMware |
新: Cisco_Firepower_Mgmt_Center_Virtual_VMware 旧: Cisco_Firepower_Management_Center_Virtual_VMware |
|
FMCv: KVM |
新: Cisco_Firepower_Mgmt_Center_Virtual_KVM 旧: Cisco_Firepower_Management_Center_Virtual |
|
Firepower 7000/8000 シリーズ |
新: Cisco_Firepower_NGIPS_Appliance 旧: Sourcefire_3D_Device_S3 |
|
NGIPSv |
新: Cisco_Firepower_NGIPSv_VMware 旧: Cisco_Firepower_NGIPS_VMware |
Firepower 4100/9300 では FXOS のアップグレードの前に FTD プッシュが必要
展開:FTD を搭載した Firepower 4100/9300
アップグレード元:FXOS 2.0.1、2.1.1、または 2.3.1 上のバージョン 6.1.x
直接アップグレード先:FXOS 2.4.1 上のバージョン 6.3.0
Firepower Management Center がバージョン 6.2.3+ を実行している場合は、アップグレードの前に Firepower アップグレード パッケージを管理対象デバイスにプッシュ(コピー)することを強くお勧めします。これにより、アップグレード メンテナンス ウィンドウの長さを縮小できます。
FTD を搭載した Firepower 4100/9300 の場合、必要な付属する FXOS のアップグレードを開始する前にプッシュすることをお勧めします。また、バージョン 6.1 からバージョン 6.3+ に直接アップグレードする場合は、このプッシュが必須です。FXOS をアップグレードする前にプッシュする必要があります。
これは、Firepower 6.1 を実行したまま FXOS をバージョン 2.4.1 にアップグレードすると、デバイス管理ポートがフラップする(そのため、デバイスと FMC の間で断続的な通信上の問題が発生する)ためです。「sftunnel daemon exited」というアラームが表示される可能性があり、長時間の通信をともなうタスク(大規模なアップグレード パッケージのプッシュなど)が失敗する可能性があります。
FTD を搭載した Firepower 4100/9300 をアップグレードするには、必ず次の手順に従ってください。
-
FMC をターゲット バージョンにアップグレードします。
-
シスコ サポートおよびダウンロード サイト からデバイス アップグレード パッケージを取得し、それを FMC にアップロードします。
-
FMC を使用してアップグレード パッケージをデバイスにプッシュします。
-
プッシュが完了したら、FXOS をターゲット バージョンにアップグレードします。
-
すぐに、FMC を使用してデバイス上の Firepower ソフトウェアをアップグレードします。
Firepower ソフトウェアをアップグレードするまでは、管理ポートのフラップが発生する可能性があることに注意してください。
FTD/FDM アップグレード時に削除されるデータ レポート機能
展開:Firepower Device Manager
アップグレード元:バージョン 6.2.x
直接アップグレード先:バージョン 6.3 のみ
短期間のデータをレポートする機能が、バージョン 6.3 のアップグレード時に削除されます。アップグレード後に、アップグレード前の日の短い時間範囲をクエリしようとすると、利用可能なデータに合わせてクエリが調整されます。たとえば、ある日の午後 1 ~ 3 時をクエリした場合、システムに 24 時間データしかないと、その日全体がレポートされます。
アップグレードでの TLS/SSL ハードウェア アクセラレーションの有効化
展開:Firepower 2100 シリーズ、Firepower 4100/9300 シャーシ
アップグレード元:バージョン 6.1.0 ~ 6.2.3.x
直接アップグレード先:バージョン 6.3.0 のみ
アップグレード プロセスにより、対象デバイスの TLS/SSL ハードウェア アクセラレーション(TLS 暗号化アクセラレーションと呼ばれる場合もあります)が自動的に有効になります。この機能は、導入されたバージョン 6.2.3 では Firepower 4100/9300 シャーシ 上でデフォルトで無効になっており、Firepower 2100 シリーズのデバイスでは利用できませんでした。
トラフィックを復号しない管理対象デバイスで TLS/SSL ハードウェア アクセラレーション を使用すると、パフォーマンスに影響を与えることがあります。トラフィックを復号しないデバイスではこの機能を無効にすることをお勧めします。
無効にするには、次の CLI コマンドを使用します。
system support ssl-hw-offload disable
バージョン 6.3+ に再イメージ化すると、ほとんどのアプライアンスで LOM が無効になる。
展開:物理 FMC、7000/8000 シリーズ デバイス
再イメージ化元:バージョン 6.0+
直接アップグレード先:バージョン 6.3 +
バージョン 6.3+ を新規インストールすると、セキュリティ上の理由から、ほとんどのアプライアンスの Lights-Out 管理(LOM)設定が自動的に削除されます。いくつかの古い FMC モデルでは、管理ネットワーク設定とともに LOM 設定を保持するオプションが用意されています。
バージョン 6.3+ の再イメージ化中にネットワーク設定を削除する場合は、初期設定を実行するためにアプライアンスに物理的にアクセスできることを確認する必要があります。LOM を使用することはできません。初期設定を実行した後、LOM と LOM ユーザを再度有効にすることができます。
| プラットフォーム | バージョン 6.2.3 以前への再イメージ化 | バージョン 6.3+ への再イメージ化 |
|---|---|---|
|
MC1000、2500、4500 MC2000、4000 |
削除されない |
常に削除される |
|
MC750、1500、3500 |
ネットワーク設定を削除すると削除される |
ネットワーク設定を削除すると削除される |
|
7000/8000 シリーズ |
常に削除される |
常に削除される |
FMC および ASA FirePOWER へのバージョン 6.3.0-83 アップグレードに失敗する可能性
展開: Firepower Management Center、ASA FirePOWER(ローカル管理)
アップグレード元:バージョン 6.1.0 ~ 6.2.3.x
直接アップグレード先:バージョン 6.3.0-83
一部の Firepower Management Center およびローカル(ASDM)管理された ASA FirePOWER モジュール では、バージョン 6.3.0、ビルド 83 でのアップグレードに失敗していました。この問題は、バージョン 5.4.x からアップグレードした一部のお客様に限られていました。詳細については、シスコのバグ検索ツールで CSCvn62123 を参照してください。
新しいアップグレード パッケージが利用可能になりました。バージョン 6.3.0-83 アップグレード パッケージをダウンロードした場合は、使用しないでください。この問題のためにすでにアップグレードに失敗した場合は、Cisco TAC に連絡してください。
以前に公開されたガイドラインと警告
アップグレード パスでメジャー バージョンがスキップされる場合は、このチェックリストを確認してください。いくつかの以前のメジャー バージョンからバージョン 6.3.0 にアップグレードできます。アップグレードする最小バージョンを参照してください。
|
✓ |
ガイドライン |
プラットフォーム |
アップグレード元 |
直接アップグレード先 |
|---|---|---|---|---|
|
FMC |
6.1.x |
6.2.0+ |
||
|
FMC を使用した FTD |
6.1.x |
6.2.0+ |
||
|
FDM を使用した FTD |
6.2.0 のみ |
6.2.2+ |
||
|
FMC |
6.1.0 ~ 6.2.2.x |
6.2.3+ |
||
|
FTD クラスタ |
6.1.x |
6.2.3+ |
||
|
FDM を使用した FTD |
6.2.0 ~ 6.2.2.x |
6.2.3+ |
アップグレードの前にバージョン 6.1.x FTD クラスタからサイト ID を削除
展開: Firepower Threat Defenseクラスタ
アップグレード元:バージョン 6.1.x
直接アップグレード先:バージョン 6.2.3+
Firepower Threat Defense バージョン 6.1.x クラスタは、サイト間クラスタリングをサポートしていません(バージョン 6.2.0 以降では FlexConfig を使用してサイト間機能を設定できます)。
FXOS 2.1.1 でバージョン 6.1.x クラスタを展開または再展開している場合、(サポートされていない)サイト ID の値を入力しているときは、アップグレードする前に、FXOS の各ユニットでサイト ID を削除(0 に設定)する必要があります。そうしないと、アップグレード後、ユニットがクラスタに再度参加できなくなります。
すでにアップグレード済みの場合は、サイト ID を各ユニットから削除してからクラスタを再確立します。サイト ID を表示または変更するには、『Cisco FXOS CLI Configuration Guide』を参照してください。
レポートの結果の制限の変更
展開:Firepower Management Center
アップグレード元:バージョン 6.1 ~ 6.2.2.x
直接アップグレード先:バージョン 6.2.3+
バージョン 6.2.3 では、次のように、使用できる結果の数、またはレポートのセクションに含めることができる結果の数が制限されています。テーブルおよび詳細ビューでは、PDF レポートに HTML または CSV レポートよりも少ないレコードを含めることができます。
| レポート セクション タイプ | 最大レコード数:HTML または CSV レポート セクション | 最大レコード数:PDF レポート セクション |
|---|---|---|
|
棒グラフ 円グラフ |
100(上位または下位) |
100(上位または下位) |
|
テーブル ビュー |
400,000 |
100,000 |
|
詳細ビュー |
1,000 |
500 |
Firepower Management Center をアップグレードする前に、レポート テンプレート内のセクションで最大 HTML または CSV よりも大きい結果数を指定する場合は、アップグレード プロセスが設定を新しい最大値に下げます。
PDF レポートを生成するレポート テンプレートの場合、テンプレート セクションの PDF の制限を超えると、アップグレード プロセスは出力形式を HTML に変更します。PDF の生成を続行するには、結果数を PDF の最大に下げます。アップグレード後にこれを行った場合、出力形式の設定を PDF に戻します。
アップグレードにより CSSM から FTD/FDM を登録解除することが可能
導入:FDM を使用した FTD
アップグレード元:バージョン 6.2 ~ 6.2.2.x
直接アップグレード先:バージョン 6.2.3+
Firepower Device Manager によって管理されている Firepower Threat Defense デバイスをアップグレードすると、そのデバイスが Cisco Smart Software Manager から登録解除される場合があります。アップグレードが完了したら、ライセンスのステータスを確認します。
手順
| ステップ 1 |
[デバイス(Device)] をクリックし、[スマートライセンスの概要(Smart License summary)] の [設定の表示(View Configuration)] をクリックします。 |
| ステップ 2 |
デバイスが登録されていない場合は、[デバイスの登録(Register Device)] をクリックします。 |
バージョン 6.2.0 からの FDM アップグレードが失敗する可能性
展開:FDM を使用した FTD(メモリが少ない ASA 5500-X シリーズ デバイスで実行)
アップグレード元:バージョン 6.2.0
直接アップグレード先:バージョン 6.2.2+
バージョン 6.2.0 からアップグレードする場合、アップグレードに失敗し、「Uploaded file is not a valid system upgrade file」というエラーが表示される可能性があります。これは、正しいファイルを使用している場合でも発生する可能性があります。
この場合は、次の回避策を試してください。
-
再度試す。
-
CLI を使用してアップグレードする。
-
まず 6.2.0.1 にアップグレードする。
アクセス コントロールでは SRU から遅延ベースのパフォーマンス設定を取得可能
展開:FMC
アップグレード元:6.1.x
直接アップグレード先:6.2+
バージョン 6.2+ の新しいアクセス コントロール ポリシーでは、デフォルトで、最新の侵入ルール更新(SRU)から遅延ベースのパフォーマンス設定が取得されます。この動作は、新しい [設定の適用元(Apply Settings From)] オプションによって制御されます。このオプションを設定するには、アクセス コントロール ポリシーを編集または作成して、[詳細設定(Advanced)] をクリックし、遅延ベースのパフォーマンス設定を編集します。
バージョン 6.2+ にアップグレードすると、現在の(バージョン 6.1.x)設定に従って新しいオプションが設定されます。現在の設定が次の場合、新しいオプションが設定されます。
-
[デフォルト(Default)]:新しいオプションは、[インストール済みのルールの更新(Installed Rule Update)] に設定されます。アップグレードしてから展開すると、最新の SRU からの遅延ベースのパフォーマンス設定が使用されます。最新の SRU が指定する内容によって、トラフィックの処理が変更される可能性があります。
-
[カスタム(Custom)]:新しいオプションは、[カスタム(Custom)] に設定されます。システムは現在のパフォーマンス設定を保持します。このオプションによって動作が変更されることはありません。
アップグレードする前に設定を確認することをお勧めします。前述したように、バージョン 6.1.x の FMC Web インターフェイスから、ポリシーの遅延ベースのパフォーマンス設定を表示し、[デフォルトに戻す(Revert To Defaults)] ボタンがグレー表示されているかどうかを確認します。ボタンがグレー表示されている場合は、デフォルト設定が使用されています。ボタンがアクティブになっている場合は、カスタム設定が設定されています。
FTD での「フェールセーフ」から「Snort フェール オープン」への置き換え
展開:FMC を使用した FTD
アップグレード元:バージョン 6.1.x
直接アップグレード先:バージョン 6.2+
バージョン 6.2 では、Snort フェール オープン設定により、FMC によって管理される Firepower Threat Defense デバイスのフェールセーフ オプションが置き換えられます。フェールセーフでは、Snort がビジー状態のときにトラフィックをドロップすることができますが、Snort がダウンしている場合、トラフィックはインスペクションなしで自動的に通過します。Snort フェール オープンでは、このトラフィックをドロップすることができます。
FTD デバイスをアップグレードすると、その新しい Snort フェール オープン設定は、以下のように、古いフェールセーフ設定に依存します。新しい設定ではトラフィックの処理が変更されることはありませんが、アップグレードの前にフェールセーフを有効または無効にするかどうかを検討してください。
| バージョン 6.1 のフェールセーフ | バージョン 6.2 の Snort フェール オープン | 動作 |
|---|---|---|
|
無効(デフォルトの動作) |
[ビジー(Busy)]:無効 [ダウン(Down)]:有効 |
Snort プロセスがビジー状態の場合は、新規および既存の接続をドロップし、Snort プロセスがダウンしている場合は、接続をインスペクションなしで通過します。 |
|
有効 |
[ビジー(Busy)]:有効 [ダウン(Down)]:有効 |
Snort プロセスがビジー状態またはダウンしている場合、新規または既存の接続をインスペクションなしで通過します。 |
Snort フェール オープンでは、デバイスにバージョン 6.2 が必要であることに注意してください。バージョン 6.1.x のデバイスを管理している場合、FMC Web インターフェイスにフェールセーフ オプションが表示されます。
フィードバック