...

ASA FirePOWER(SFR)モジュール

by user

on
Category: Documents
136

views

Report

Comments

Transcript

ASA FirePOWER(SFR)モジュール
CH A P T E R
17
ASA FirePOWER (SFR) モジ ュ ール
こ の章では、 ASA で実行 さ れ る ASA FirePOWER モ ジ ュ ール を設定す る 方法について説明 し
ま す。
•
「ASA FirePOWER モ ジ ュ ール」 (P.17-1)
•
「ASA FirePOWER モ ジ ュ ールの ラ イ セ ン ス 要件」 (P.17-6)
•
「ASA FirePOWER のガ イ ド ラ イ ン」 (P.17-6)
•
「ASA FirePOWER のデ フ ォ ル ト 」 (P.17-7)
•
「ASA FirePOWER モ ジ ュ ールの設定」 (P.17-7)
•
「ASA FirePOWER モ ジ ュ ールの管理」 (P.17-20)
•
「ASA FirePOWER モ ジ ュ ールのモ ニ タ リ ン グ」 (P.17-25)
•
「ASA FirePOWER モ ジ ュ ールの例」 (P.17-28)
•
「ASA FirePOWER モ ジ ュ ールの履歴」 (P.17-29)
ASA FirePOWER モジ ュ ール
ASA FirePOWER モ ジ ュ ールは、 次世代 IPS (NGIPS)、 ア プ リ ケーシ ョ ン の可視性 と コ ン ト
ロ ール (AVC)、 URL フ ィ ル タ リ ン グ、 高度な マル ウ ェ ア保護 (AMP) な ど の次世代 フ ァ イ ア
ウ ォ ール サービ ス を提供 し ま す。 こ のモ ジ ュ ールは、 シ ン グル ま たはマルチ コ ン テ キ ス ト
モー ド と ルーテ ッ ド ま たは ト ラ ン ス ペア レ ン ト モー ド で使用で き ま す。
こ のモ ジ ュ ールは ASA SFR と も 呼ばれ ま す。
こ のモ ジ ュ ールには、 初期設定お よ び ト ラ ブルシ ュ ーテ ィ ン グ のための基本的な コ マ ン ド ラ イ
ン イ ン タ ー フ ェ イ ス (CLI) が用意 さ れてい ま すが、 デバ イ ス のセ キ ュ リ テ ィ ポ リ シーは、 独
立 し た ア プ リ ケーシ ョ ン で あ る FireSIGHT 管理セ ン タ ー を使用 し て設定で き ま す。 こ の ア プ リ
ケーシ ョ ン は、 独立 し た FireSIGHT 管理セ ン タ ー ア プ ラ イ ア ン ス で、 ま たは VMware サーバ上
で実行 さ れ る 仮想ア プ ラ イ ア ン ス と し て ホ ス ト で き ま す (FireSIGHT 管理セ ン タ ー は防御セ ン
タ ー と も 呼ばれ ま す)。
•
「ASA FirePOWER モ ジ ュ ール を ASA と 連携 さ せ る 方法」 (P.17-2)
•
「ASA FirePOWER 管理ア ク セ ス 」 (P.17-4)
•
「ASA の機能 と の互換性」 (P.17-5)
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-1
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ール
ASA FirePOWER モジ ュ ールを ASA と 連携 さ せる方法
ASA FirePOWER モ ジ ュ ールは、 ASA と 別の ア プ リ ケーシ ョ ン を実行 し ま す。 こ のモ ジ ュ ー
ルは、 ハー ド ウ ェ ア モ ジ ュ ール (ASA 5585-X 上) か、 ソ フ ト ウ ェ ア モ ジ ュ ール (5512-X ~
5555-X) です。 ハー ド ウ ェ ア モ ジ ュ ールには、 独立 し た管理お よ び コ ン ソ ール ポー ト と 、
モ ジ ュ ール自体ではな く ASA に よ っ て直接使用 さ れ る 追加のデー タ イ ン タ ー フ ェ イ ス が あ
り ま す。
デバ イ ス は、 パ ッ シブ (「モニ タ 専用」) 展開 ま たは イ ン ラ イ ン展開のいずれかで設定で き ま す。
•
パ ッ シブ展開では、 ト ラ フ ィ ッ ク の コ ピ ーがデバ イ ス に送信 さ れ ま すが、 ASA には返 さ れ
ま せん。 パ ッ シ ブ モー ド では、 デバ イ ス が ト ラ フ ィ ッ ク に対 し て実行 し たで あ ろ う 処理を
表示 し 、 ネ ッ ト ワ ー ク に影響を与えずに ト ラ フ ィ ッ ク の内容を評価す る こ と がで き ま す。
•
イ ン ラ イ ン展開では、 実際の ト ラ フ ィ ッ ク がデバ イ ス に送信 さ れ、 デバ イ ス のポ リ シーが
ト ラ フ ィ ッ ク に対す る 処理に影響 し ま す。 不要な ト ラ フ ィ ッ ク が ド ロ ッ プ さ れ、 ポ リ シー
に よ っ て適用 さ れ る その他の ア ク シ ョ ン が実行 さ れた後、 ト ラ フ ィ ッ ク は さ ら な る 処理 と
最終的な送信のために ASA に返 さ れ ま す。
次の各セ ク シ ョ ン では、 こ れ ら のモー ド について詳 し く 説明 し ま す。
ASA FirePOWER イ ン ラ イ ン モー ド
イ ン ラ イ ン モー ド では、 ト ラ フ ィ ッ ク は フ ァ イ ア ウ ォ ール検査を通過 し てか ら ASA FirePOWER
モ ジ ュ ールへ転送 さ れ ま す。 ASA で ASA FirePOWER イ ン ス ペ ク シ ョ ン の ト ラ フ ィ ッ ク を識別
す る 場合、 ト ラ フ ィ ッ ク は次の よ う に ASA お よ びモ ジ ュ ール を通過 し ま す。
1.
ト ラ フ ィ ッ ク は ASA に入 り ま す。
2.
着信 VPN ト ラ フ ィ ッ ク が復号化 さ れ ま す。
3.
フ ァ イ ア ウ ォ ール ポ リ シーが適用 さ れ ま す。
4.
ト ラ フ ィ ッ ク が ASA FirePOWER モ ジ ュ ールに送信 さ れ ま す。
5.
ASA FirePOWER モ ジ ュ ールは、 セ キ ュ リ テ ィ ポ リ シー を ト ラ フ ィ ッ ク に適用 し 、 適切な
ア ク シ ョ ン を実行 し ま す。
6.
有効な ト ラ フ ィ ッ ク が ASA に返送 さ れ ま す。 ASA FirePOWER モ ジ ュ ールは、 セ キ ュ リ
テ ィ ポ リ シーに従っ て ト ラ フ ィ ッ ク を ブ ロ ッ ク す る こ と が あ り 、 ブ ロ ッ ク さ れた ト ラ
フ ィ ッ ク は渡 さ れ ま せん。
7.
発信 VPN ト ラ フ ィ ッ ク が暗号化 さ れ ま す。
8.
ト ラ フ ィ ッ ク が ASA か ら 出 ま す。
次の図に、 ASA FirePOWER モ ジ ュ ール を イ ン ラ イ ン モー ド で使用す る 場合の ト ラ フ ィ ッ ク フ
ロ ーを示 し ま す。 こ の例では、 特定の ア プ リ ケーシ ョ ン に対 し て許可 さ れていない ト ラ フ ィ ッ
ク がモ ジ ュ ールに よ っ て ブ ロ ッ ク さ れ ま す。 それ以外の ト ラ フ ィ ッ ク は、 ASA を通っ て転送 さ
れ ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-2
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ール
図 17-1
ASA での ASA FirePOWER モジ ュ ールの ト ラ フ ィ ッ ク フ ロー
ASA
Main System
Firewall
Policy
inside
VPN
Decryption
outside
Block
ASA FirePOWER
inspection
ASA FirePOWER
(注)
371444
Diverted Traffic
2 つの ASA イ ン タ ー フ ェ イ ス 上で ホ ス ト 間が接続 さ れてお り 、 ASA FirePOWER のサー ビ ス ポ
リ シーが イ ン タ ー フ ェ イ ス の一方のみについて設定 さ れてい る 場合は、 こ れ ら の ホ ス ト 間のす
べての ト ラ フ ィ ッ ク が ASA FirePOWER モジ ュ ールに送信 さ れます。 こ れには、 ASA FirePOWER
イ ン タ ー フ ェ イ ス 以外か ら の ト ラ フ ィ ッ ク も 含 ま れ ま す ( こ の機能は双方向で あ る ため)。
ASA FirePOWER パ ッ シ ブ (モニ タ 専用) モー ド
モニ タ 専用モー ド の ト ラ フ ィ ッ ク フ ロ ーは、 イ ン ラ イ ン モー ド の ト ラ フ ィ ッ ク フ ロ ー と 同 じ
です。 唯一の違いは、 ASA FirePOWER モ ジ ュ ールが ASA に戻 る ト ラ フ ィ ッ ク を通過 さ せない
こ と です。 代わ り に、 モ ジ ュ ールは ト ラ フ ィ ッ ク にセ キ ュ リ テ ィ ポ リ シーを適用 し 、 イ ン ラ イ
ン モー ド で動作 し ていた場合に実行 し たで あ ろ う 処理を ユーザに通知 し ま す。 た と えば、 ト ラ
フ ィ ッ ク は イ ベン ト で 「 ド ロ ッ プ さ れていたはず」 と マー ク さ れ る 場合が あ り ま す。 こ の情報
を ト ラ フ ィ ッ ク 分析に使用 し 、 イ ン ラ イ ン モー ド が望 ま し いか ど う か を判断す る のに役立て る
こ と がで き ま す。
パ ッ シブ モー ド を設定す る には、 モ ジ ュ ールに ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る サービ ス ポ
リ シーに monitor-only と い う 指示を追加 し ま す。
(注)
ASA 上でモ ニ タ 専用モー ド と 通常の イ ン ラ イ ン モー ド の両方を同時に設定で き ま せん。 セ
キ ュ リ テ ィ ポ リ シーの 1 つの タ イ プのみが許可 さ れ ま す。 マルチ コ ン テ キ ス ト モー ド で、 あ
る コ ン テ キ ス ト について モニ タ 専用モー ド を設定 し 、 それ以外の コ ン テ キ ス ト について通常の
イ ン ラ イ ン モー ド を設定す る こ と はで き ま せん。
次の図に、 パ ッ シ ブ モー ド で動作 し てい る 場合の ト ラ フ ィ ッ ク フ ロ ーを示 し ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-3
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ール
図 17-2
ASA FirePOWER パ ッ シ ブ (モニ タ 専用) モー ド
ASA
Main System
Firewall
Policy
inside
VPN
Decryption outside
Copied Traffic
ASA FirePOWER
371445
ASA FirePOWER
inspection
ASA FirePOWER 管理ア ク セス
ASA FirePOWER モ ジ ュ ールは、 初期設定 (お よ びそれ以降の ト ラ ブルシ ュ ーテ ィ ン グ) と ポ
リ シー管理の 2 つの独立 し た ア ク セ ス レ イ ヤ を使用 し て管理で き ま す。
•
「初期設定」 (P.17-4)
•
「ポ リ シー設定お よ び管理」 (P.17-5)
初期設定
初期設定には、 ASA FirePOWER モ ジ ュ ールの CLI を使用す る 必要が あ り ま す。 デ フ ォ ル ト の
管理ア ド レ ス の詳細については、 「ASA FirePOWER のデ フ ォ ル ト 」 (P.17-7) を参照 し て く だ
さ い。
CLI に ア ク セ ス す る には、 次の方法を使用 し ま す。
•
ASA 5585-X
– ASA FirePOWER コ ン ソ ール ポー ト : コ ン ソ ール ポー ト は、 独立 し た外部 コ ン ソ ール
ポー ト です。
– ASA FirePOWER Management 1/0 イ ン タ ー フ ェ イ ス (SSH を使用) : デ フ ォ ル ト の IP ア
ド レ ス に接続す る こ と も 、 ASDM を使用 し て管理 IP ア ド レ ス を変更 し てか ら SSH を使
用 し て接続す る こ と も で き ま す。 モ ジ ュ ールの管理 イ ン タ ー フ ェ イ ス は、 独立 し た外
部ギ ガ ビ ッ ト イ ーサネ ッ ト イ ン タ ー フ ェ イ ス です。
(注)
session コ マ ン ド を使用 し て ASA バ ッ ク プ レ ーン を介 し て ASA FirePOWER ハー ド
ウ ェ ア モ ジ ュ ール CLI に ア ク セ ス す る こ と はで き ま せん。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-4
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ール
•
ASA 5512-X ~ ASA 5555-X
– バ ッ ク プ レ ーン を経由 し た ASA セ ッ シ ョ ン : ASA に CLI ア ク セ ス が可能な場合は、 モ
ジ ュ ールにセ ッ シ ョ ン接続 し 、 そのモ ジ ュ ール CLI にア ク セ ス で き ま す。
– ASA FirePOWER Management 0/0 イ ン タ ー フ ェ イ ス (SSH を使用) : デ フ ォ ル ト の IP ア
ド レ ス に接続す る こ と も 、 ASDM を使用 し て管理 IP ア ド レ ス を変更 し てか ら SSH を使
用 し て接続す る こ と も で き ま す。 こ れ ら のモデルは、 ASA FirePOWER モ ジ ュ ール を ソ
フ ト ウ ェ ア モ ジ ュ ール と し て実行 し ま す。 ASA FirePOWER 管理 イ ン タ ー フ ェ イ ス は、
Management 0/0 イ ン タ ー フ ェ イ ス を ASA と 共有 し ま す。 ASA と ASA FirePOWER モ
ジ ュ ールのそれぞれに別の MAC ア ド レ ス と IP ア ド レ ス がサポー ト さ れ ま す。 ASA
FirePOWER IP ア ド レ ス の設定は、 ASA FirePOWER オペ レ ーテ ィ ン グ シ ス テ ム内で
(CLI ま たは ASDM を使用 し て) 実行す る 必要が あ り ま す。 ただ し 、 物理特性 ( イ ン
タ ー フ ェ イ ス の イ ネーブル化な ど ) は、 ASA 上で設定 さ れ ま す。 ASA イ ン タ ー フ ェ イ
ス コ ン フ ィ ギ ュ レ ーシ ョ ン を削除 し て (特に イ ン タ ー フ ェ イ ス 名)、 こ の イ ン タ ー フ ェ
イ ス を ASA FirePOWER 専用 イ ン タ ー フ ェ イ ス と す る こ と がで き ま す。 こ の イ ン タ ー
フ ェ イ ス は管理専用です。
ポ リ シー設定および管理
初期設定を実行 し た後で、 FireSIGHT 管理セ ン タ ー を使用 し て ASA FirePOWER セ キ ュ リ テ ィ
ポ リ シーを設定 し ま す。 次に、 ASDM ま たは Cisco Security Manager を使用 し て、 ASA
FirePOWER モ ジ ュ ールに ト ラ フ ィ ッ ク を送信す る ための ASA ポ リ シー を設定 し ま す。
ASA の機能 と の互換性
ASA には、 多数の高度な ア プ リ ケーシ ョ ン イ ン ス ペ ク シ ョ ン機能が あ り 、 HTTP イ ン ス ペ ク
シ ョ ン も その一つです。 ただ し 、 ASA FirePOWER モ ジ ュ ールには ASA よ り も 高度な HTTP イ
ン ス ペ ク シ ョ ン機能が あ り 、 その他の ア プ リ ケーシ ョ ン について も 機能が追加 さ れてい ま す。
た と えば、 ア プ リ ケーシ ョ ン使用状況のモニ タ リ ン グ と 制御です。
ASA FirePOWER モ ジ ュ ールの機能 を最大限に活用す る には、 ASA FirePOWER モ ジ ュ ールに送
信す る ト ラ フ ィ ッ ク に関す る 次のガ イ ド ラ イ ン を参照 し て く だ さ い。
•
HTTP ト ラ フ ィ ッ ク に対 し て ASA イ ン ス ペ ク シ ョ ン を設定 し ないで く だ さ い。
•
ク ラ ウ ド Web セ キ ュ リ テ ィ (ScanSafe) イ ン ス ペ ク シ ョ ン を設定 し ないで く だ さ い。 同 じ
ト ラ フ ィ ッ ク に対 し て ASA FirePOWER CX イ ン ス ペ ク シ ョ ンお よ び ク ラ ウ ド Web セ キ ュ
リ テ ィ イ ン ス ペ ク シ ョ ン の両方を設定 し た場合、 ASA は ASA FirePOWER イ ン ス ペ ク シ ョ
ン のみを実行 し ま す。
•
ASA 上の他の ア プ リ ケーシ ョ ン イ ン ス ペ ク シ ョ ン は ASA FirePOWER モ ジ ュ ール と 互換性
が あ り 、 こ れにはデ フ ォ ル ト イ ン ス ペ ク シ ョ ン も 含 ま れ ま す。
•
Mobile User Security (MUS) サーバ を イ ネーブルに し ないで く だ さ い。 こ れは、 ASA
FirePOWER モ ジ ュ ール と の間に互換性が あ り ま せん。
•
フ ェ ールオーバーを イ ネーブルに し てい る 場合、 ASA が フ ェ ールオーバーす る と 、 既存の
ASA FirePOWER フ ロ ーは新 し い ASA に転送 さ れ ま す。 新 し い ASA の ASA FirePOWER モ
ジ ュ ールがその時点か ら ト ラ フ ィ ッ ク の イ ン ス ペ ク シ ョ ン を開始 し ま す。 古い イ ン ス ペ ク
シ ョ ン の状態は転送 さ れ ま せん。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-5
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールのラ イ セ ン ス要件
ASA FirePOWER モジ ュ ールのラ イ セ ン ス要件
ASA FirePOWER モ ジ ュ ール と FireSIGHT 管理セ ン タ ー には、 追加の ラ イ セ ン ス が必要です。
こ れ ら の ラ イ セ ン ス は、 ASA の コ ン テ キ ス ト ではな く 、 モ ジ ュ ール自体に イ ン ス ト ールす る 必
要が あ り ま す。 ASA 自体には、 追加 ラ イ セ ン ス は必要あ り ま せん。
詳細については、『FireSIGHT System User Guide』 ま たは FireSIGHT 管理セ ン タ ー のオ ン ラ イ ン
ヘルプの 「Licensing」 の章を参照 し て く だ さ い。
ASA FirePOWER のガ イ ド ラ イ ン
フ ェ ールオーバーのガ イ ド ラ イ ン
フ ェ ールオーバーを直接サポー ト し てい ま せん。 ASA が フ ェ ールオーバーす る と 、 既存の
ASA FirePOWER フ ロ ーは新 し い ASA に転送 さ れ ま す。 新 し い ASA の ASA FirePOWER モ
ジ ュ ールがその時点か ら ト ラ フ ィ ッ ク の イ ン ス ペ ク シ ョ ン を開始 し ま す。 古い イ ン ス ペ ク シ ョ
ン の状態は転送 さ れ ま せん。
フ ェ ールオーバーの動作の一貫性を確保す る ために、 高可用性 ASA ペア の ASA FirePOWER モ
ジ ュ ールで一貫性のあ る ポ リ シーを維持す る 必要があ り ます (FireSIGHT 管理セ ン タ ー を使用)。
ASA ク ラ ス タ リ ングのガ イ ド ラ イ ン
こ のモ ジ ュ ールは、 ク ラ ス タ リ ン グは直接サポー ト し てい ま せんが、 ク ラ ス タ で使用で き ま
す。 FireSIGHT 管理セ ン タ ー を使用 し て、 ク ラ ス タ の ASA FirePOWER モ ジ ュ ールで一貫性の
あ る ポ リ シーを維持す る 必要が あ り ま す。 ク ラ ス タ 内のデバ イ ス に異な る ASA イ ン タ ー フ ェ
イ ス ベー ス の ゾーン定義を使用 し ないで く だ さ い。
モデルのガ イ ド ラ イ ン
•
ASA 5585-X (ハー ド ウ ェ ア モ ジ ュ ール と し て) お よ び 5512-X ~ ASA 5555-X ( ソ フ ト ウ ェ
ア モ ジ ュ ール と し て) でサポー ト さ れてい ま す。 詳細については、 『Cisco ASA
Compatibility Matrix』 を参照 し て く だ さ い。
http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html
•
5512-X ~ ASA 5555-X の場合は、 シ ス コ の ソ リ ッ ド ス テー ト ド ラ イ ブ (SSD) を実装す
る 必要が あ り ま す。 詳細につい ては、 ASA 5500-X のハー ド ウ ェ ア ガ イ ド を参照 し て く だ
さ い。
その他のガ イ ド ラ イ ン と 制限事項
•
「ASA の機能 と の互換性」 (P.17-5) を参照 し て く だ さ い。
•
ハー ド ウ ェ ア モ ジ ュ ールに イ ン ス ト ール さ れて い る ソ フ ト ウ ェ ア の タ イ プの変更はで き ま
せん。 つ ま り 、 購入 し た ASA FirePOWER モ ジ ュ ールに、 後で別の ソ フ ト ウ ェ ア を イ ン ス
ト ールす る こ と はで き ま せん。
•
ASA 上でモ ニ タ 専用モー ド と 通常の イ ン ラ イ ン モー ド の両方を同時に設定で き ま せん。 セ
キ ュ リ テ ィ ポ リ シーの 1 つの タ イ プのみが許可 さ れ ま す。 マルチ コ ン テ キ ス ト モー ド で、
あ る コ ン テ キ ス ト について モニ タ 専用モー ド を設定 し 、 それ以外の コ ン テ キ ス ト について
通常の イ ン ラ イ ン モー ド を設定す る こ と はで き ま せん。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-6
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER のデ フ ォ ル ト
ASA FirePOWER のデ フ ォル ト
次の表に、 ASA FirePOWER モ ジ ュ ールのデ フ ォ ル ト 設定 を示 し ま す。
表 17-1
ASA FirePOWER のデ フ ォル ト のネ ッ ト ワー ク パラ メ ー タ
パラ メ ー タ
デフ ォル ト
管理 IP ア ド レ ス
•
シ ス テ ム ソ フ ト ウ ェ ア イ メ ージ : 192.168.45.45/24
•
ブー ト イ メ ージ :
– ASA 5585-X : Management 1/0 192.168.8.8/24
– ASA 5512-X ~ ASA 5555-X : Management 0/0
192.168.1.2/24
ゲー ト ウ ェ イ
•
シ ス テ ム ソ フ ト ウ ェ ア イ メ ージ : な し
•
ブー ト イ メ ージ :
– ASA 5585-X : 192.168.8.1/24
– ASA 5512-X ~ ASA 5555-X : 192.168.1.1/24
SSH ま たはセ ッ シ ョ ン の
ユーザ名
パス ワー ド
admin
•
シ ス テ ム ソ フ ト ウ ェ ア イ メ ージ : Sourcefire
•
ブー ト イ メ ージ : Admin123
ASA FirePOWER モジ ュ ールの設定
ASA FirePOWER モ ジ ュ ールの設定は、 ト ラ フ ィ ッ ク を ASA FirePOWER モ ジ ュ ールに送信す
る ための ASA FirePOWER モ ジ ュ ールでの ASA FirePOWER セ キ ュ リ テ ィ ポ リ シーの設定、 お
よ びその後の ASA の設定を含むプ ロ セ ス です。 ASA FirePOWER モ ジ ュ ール を設定す る には、
次の手順に従い ま す。
ステ ッ プ 1
「ASA FirePOWER 管理 イ ン タ ー フ ェ イ ス の接続」 (P.17-8)。 ケーブルで ASA FirePOWER 管理
イ ン タ ー フ ェ イ ス に接続 し ま す (任意で コ ン ソ ール イ ン タ ー フ ェ イ ス に も )。
ステ ッ プ 2
「(ASA 5512-X ~ 5555-X) ソ フ ト ウ ェ ア モ ジ ュ ールの イ ン ス ト ール ま たは イ メ ージの再作成」
(P.17-11)。
ステ ッ プ 3
必要に応 じ て、 「ASA FirePOWER 管理 IP ア ド レ ス の変更」 (P.17-15)。 こ れは最初の SSH ア ク
セ ス に必要にな る 場合が あ り ま す。
ステ ッ プ 4
「ASA FirePOWER CLI での基本的な ASA FirePOWER 設定値の設定」 (P.17-15)。 こ れは ASA
FirePOWER モ ジ ュ ールで行い ま す。
ステ ッ プ 5
「FireSIGHT 管理セ ン タ ー への ASA FirePOWER の追加」 (P.17-17)。 こ れはデバ イ ス を管理す
る FireSIGHT 管理セ ン タ ー を指定 し ま す。
ステ ッ プ 6
「ASA FirePOWER モ ジ ュ ールへのセ キ ュ リ テ ィ ポ リ シーの設定」 (P.17-18)。
ステ ッ プ 7
「ASA FirePOWER モ ジ ュ ールへの ト ラ フ ィ ッ ク の リ ダ イ レ ク ト 」 (P.17-18)。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-7
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
ASA FirePOWER 管理イ ン タ ー フ ェ イ スの接続
ASA FirePOWER モ ジ ュ ールへの管理ア ク セ ス を提供す る 以外に、 ASA FirePOWER 管理 イ ン
タ ー フ ェ イ ス は、 HTTP プ ロ キ シ サーバ ま たは DNS サーバお よ び イ ン タ ーネ ッ ト への ア ク セ ス
を必要 と し ま す。 こ れは、 シ グ ニチ ャ ア ッ プデー ト な ど のためです。 こ の項では、 推奨 さ れ る
ネ ッ ト ワ ー ク コ ン フ ィ ギ ュ レ ーシ ョ ン を示 し ま す。 実際のネ ッ ト ワ ー ク では、 異な る 可能性が
あ り ま す。
ASA 5585-X (ハー ド ウ ェ ア モジ ュ ール)
ASA FirePOWER モ ジ ュ ールには、 ASA と は別の管理お よ び コ ン ソ ール イ ン タ ー フ ェ イ ス が含
まれ ます。初期設定を行 う には、デフ ォ ル ト IP ア ド レ ス を使用 し て ASA FirePOWER Management
1/0 イ ン タ ー フ ェ イ ス に SSH で接続で き ま す。 デ フ ォ ル ト IP ア ド レ ス を使用で き ない場合は、
コ ン ソ ール ポー ト を使用す る か、 ASDM を使用 し て SSH を使用で き る よ う に管理 IP ア ド レ ス
を変更 し ま す (「ASA FirePOWER 管理 IP ア ド レ ス の変更」 (P.17-15) を参照)。
ASA 5585-X
ASA FirePOWER SSP
ASA FirePOWER Management 1/0
0
1
SFP1
SFP0
7
6
5
4
3
2
1
0
1
MGMT
0
USB
SFP1
SFP0
7
6
5
4
3
2
1
0
1
MGMT
0
USB
R
PW
OT
BO
M
AR
AL
T
AC
VP
T
AC
VP
1
PS
1
PS
N
PS
N
PS
D1
0
HD
0
HD
D0
HD
RESET
AUX
CONSOLE
AUX
CONSOLE
0
R
PW
OT
BO
M
AR
AL
D1
D0
HD
RESET
371446
1
ASA Management 0/0
Default IP: 192.168.1.1
SSP
内部ルー タ がある場合
内部ルー タ が あ る 場合は、 管理ネ ッ ト ワ ー ク ( こ れには ASA Management 0/0 イ ン タ ー フ ェ イ
ス お よ び ASA FirePOWER Management 1/0 イ ン タ ー フ ェ イ ス の両方を含め る こ と がで き ま す)
と ASA 内部ネ ッ ト ワー ク と の間でルーテ ィ ン グで き ます ( イ ン タ ーネ ッ ト ア ク セ ス用)。 必ず、
内部ルー タ を介 し て管理ネ ッ ト ワー ク に到達す る ためのルー ト を ASA に追加 し て く だ さ い。
Proxy or DNS Server (for example)
ASA gateway for Management
ASA
Router
Outside
Inside
ASA FirePOWER
Default Gateway
Internet
FP
Management
ASA Management 0/0
Management PC
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-8
371447
ASA FirePOWER Management 1/0
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
内部ルー タ がない場合
内部ネ ッ ト ワ ー ク が 1 つだけの場合は、 別の管理ネ ッ ト ワ ー ク も 持つ こ と はで き ま せん (仮に
持つ と すれば、 内部ルー タ がネ ッ ト ワ ー ク 間のルーテ ィ ン グ を行 う 必要が あ り ま す)。 こ の場
合は、 Management 0/0 イ ン タ ー フ ェ イ ス の代わ り に内部 イ ン タ ー フ ェ イ ス か ら ASA を管理で
き ま す。 ASA FirePOWER モ ジ ュ ールは ASA と は別のデバ イ ス で あ る ため、 内部 イ ン タ ー フ ェ
イ ス と 同 じ ネ ッ ト ワ ー ク 上に ASA FirePOWER Management 1/0 ア ド レ ス を設定で き ま す。
ASA FirePOWER Default Gateway
Management PC
Layer 2
Switch
ASA
Outside
Inside
Internet
Proxy or DNS Server
(for example)
ASA FirePOWER Management 1/0
ASA Management 0/0 not used
371448
FP
ASA 5512-X ~ ASA 5555-X (ソ フ ト ウ ェ ア モジ ュ ール)
こ れ ら のモデルは、 ASA FirePOWER モ ジ ュ ール を ソ フ ト ウ ェ ア モ ジ ュ ール と し て実行 し 、
ASA FirePOWER 管理 イ ン タ ー フ ェ イ ス は Management 0/0 イ ン タ ー フ ェ イ ス を ASA と 共有 し ま
す。 初期設定を行 う には、 デ フ ォ ル ト IP ア ド レ ス を使用 し て ASA FirePOWER に SSH で接続
で き ま す。 デ フ ォ ル ト IP ア ド レ ス を使用で き ない場合は、 バ ッ ク プ レ ーン を経由 し て ASA
FirePOWER にセ ッ シ ョ ン接続す る か、 ASDM を使用 し て SSH を使用で き る よ う に管理 IP ア ド
レ ス を変更 し ま す。
ASA 5545-X
371449
ASA FirePOWER Management 0/0
ASA Management 0/0
Default IP: 192.168.1.1
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-9
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
内部ルー タ がある場合
内部ルー タ が あ る 場合、 Management 0/0 ネ ッ ト ワ ー ク 間でルーテ ィ ン グ で き ま す。 こ れには、
ASA お よ び ASA FirePOWER の両方の管理 IP ア ド レ ス 、 お よ び イ ン タ ーネ ッ ト ア ク セ ス 用の
内部ネ ッ ト ワ ー ク が含 ま れ ま す。 必ず、 内部ルー タ を介 し て管理ネ ッ ト ワ ー ク に到達す る ため
のルー ト を ASA に追加 し て く だ さ い。
Proxy or DNS Server (for example)
ASA gateway for Management
ASA
Router
Outside
Inside
ASA FirePOWER
Default Gateway
Internet
FP
Management
371450
Management 0/0
Management PC
内部ルー タ がない場合
内部ネ ッ ト ワ ー ク が 1 つだけの場合は、 別の管理ネ ッ ト ワ ー ク も 持つ こ と はで き ま せん。 こ の
場合は、 Management 0/0 イ ン タ ー フ ェ イ ス の代わ り に内部 イ ン タ ー フ ェ イ ス か ら ASA を管理
で き ま す。 ASA で設定 さ れた名前を Management 0/0 イ ン タ ー フ ェ イ ス か ら 削除 し た場合 も 、
その イ ン タ ー フ ェ イ ス の ASA FirePOWER IP ア ド レ ス を設定で き ま す。 ASA FirePOWER モ
ジ ュ ールは実質的に ASA と は別のデバ イ ス で あ る ため、 内部 イ ン タ ー フ ェ イ ス と 同 じ ネ ッ ト
ワ ー ク 上に ASA FirePOWER 管理ア ド レ ス を設定 で き ま す。
ASA FirePOWER Default Gateway
Management PC
Layer 2
Switch
ASA
Outside
Inside
Internet
Proxy or DNS Server
(for example)
(注)
Management 0/0
(ASA FirePOWER only)
Management 0/0 に対 し て ASA で設定 さ れた名前を削除す る 必要が あ り ま す。 こ の名前が ASA
上で設定 さ れてい る 場合は、 ASA FirePOWER の ア ド レ ス は ASA と 同 じ ネ ッ ト ワ ー ク 上に あ る
こ と が必要にな り 、 その結果、 他の ASA イ ン タ ー フ ェ イ ス 上ですでに設定 さ れた ネ ッ ト ワ ー
ク が除外 さ れ ま す。 名前が設定 さ れていない場合は、 ASA FirePOWER の ア ド レ ス が存在す る
のは ど のネ ッ ト ワ ー ク で も 、 た と えば、 ASA 内部ネ ッ ト ワ ー ク で も か ま い ま せん。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-10
371451
FP
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
(ASA 5512-X ~ 5555-X) ソ フ ト ウ ェ ア モジ ュ ールのイ ン ス ト ールまたは
イ メ ージの再作成
ASA FirePOWER モ ジ ュ ール と と も に ASA を購入 し た場合、 モ ジ ュ ール ソ フ ト ウ ェ アお よ び必
要な ソ リ ッ ド ス テー ト ド ラ イ ブ (SSD) は事前に イ ン ス ト ール さ れてお り 、 す ぐ に設定で き ま
す。 既存の ASA に ASA FirePOWER ソ フ ト ウ ェ ア モ ジ ュ ール を追加す る 場合、 ま たは SSD を
交換す る 必要が あ る 場合は、 こ の手順に従っ て ASA FirePOWER ブー ト ソ フ ト ウ ェ ア を イ ン ス
ト ール し 、 SSD を分割 し て、 シ ス テ ム ソ フ ト ウ ェ ア を イ ン ス ト ールす る 必要が あ り ま す。
モ ジ ュ ールの イ メ ージ を再作成す る 手順は、 最初に ASA FirePOWER モ ジ ュ ール を ア ン イ ン ス
ト ールす る 必要が あ る こ と を除いて こ れ と 同 じ です。 シ ス テ ム の イ メ ージの再作成は、 SSD を
交換す る 場合に行い ま す。
物理的に SSD を取 り 付け る 方法の詳細につい ては、 『ASA Hardware Guide』 を参照 し て く だ
さ い。
は じ める前に
•
フ ラ ッ シ ュ (disk0) の空 き 領域には、 少な く と も 、 ブー ト ソ フ ト ウ ェ ア のサ イ ズに 3 GB
を加え た大 き さ が必要です。
•
マルチ コ ン テ キ ス ト モー ド では、 コ ン テ キ ス ト 実行 ス ペー ス で こ の手順を実行 し ま す。
•
実行 し てい る 可能性が あ る その他の ソ フ ト ウ ェ ア モ ジ ュ ール を シ ャ ッ ト ダ ウ ンす る 必要が
あ り ま す。 デバ イ ス では、 一度に 1 つの ソ フ ト ウ ェ ア モ ジ ュ ール を実行で き ま す。 こ れは
ASA CLI か ら 実行す る 必要が あ り ま す。 た と えば、 次の コ マ ン ド はIPS モ ジ ュ ール ソ フ ト
ウ ェ ア を シ ャ ッ ト ダ ウ ン し て ア ン イ ン ス ト ール し 、 ASA を リ ロ ー ド し ま す。 CX モ ジ ュ ー
ル を削除す る コ マ ン ド は、 ips の代わ り に cxsc キー ワ ー ド を使用す る こ と を除いて こ の コ
マ ン ド と 同 じ です。
hostname# sw-module module ips shutdown
hostname# sw-module module ips uninstall
hostname# reload
(注)
IPS ま たは CX モ ジ ュ ールに ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る ア ク テ ィ ブ サービ ス
ポ リ シーが あ る 場合、 そのポ リ シーを削除す る 必要が あ り ま す。 た と えば、 ポ リ
シーが グ ロ ーバル ポ リ シーの場合、 noservice-policy ips_policy global を使用 し ま す。
ポ リ シーは、 CLI ま たは ASDM を使用 し て削除で き ま す。
•
モ ジ ュ ールの イ メ ージ を再作成す る 場合は、 同 じ シ ャ ッ ト ダ ウ ン/ア ン イ ン ス ト ール コ マ ン
ド を使用 し て古い イ メ ージ を削除 し ま す。 た と えば、 sw-module module sfr uninstall を使
用 し ま す。
•
ASA FirePOWER のブー ト イ メ ージ と シ ス テ ム ソ フ ト ウ ェ ア パ ッ ケージの両方 を
Cisco.com か ら 取得 し ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-11
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
手順
ステ ッ プ 1
ブー ト イ メ ージ をデバ イ ス にダ ウ ン ロ ー ド し ま す。 シ ス テ ム ソ フ ト ウ ェ アは転送 し ないで く
だ さ い。 こ れは後で SSD にダ ウ ン ロ ー ド さ れ ま す。 次の選択肢が あ り ま す。
•
ASDM : ま ず、 ブー ト イ メ ージ を ワ ー ク ス テーシ ョ ン にダ ウ ン ロ ー ド す る か、 FTP、
TFTP、 HTTP、 HTTPS、 SMB、 ま たは SCP サーバに配置 し ま す。 次に、 ASDM で [Tools] >
[File Management] の順に選択 し 、 [Between Local PC and Flash] ま たは [Between Remote
Server and Flashnd] のいずれか該当す る [File Transfer] コ マ ン ド を選択 し ま す。 ブー ト ソ フ
ト ウ ェ ア を ASA 上の disk0 に転送 し ま す。
•
ASA CLI : ま ず、 ブー ト イ メ ージ を TFTP、 FTP、 HTTP、 ま たは HTTPS サーバに配置 し 、
copy コ マ ン ド を使用 し て そのブー ト イ メ ージ を フ ラ ッ シ ュ にダ ウ ン ロ ー ド し ま す。 次の例
では TFTP を使用 し てい ま す。 <TFTP Server> をお使いのサーバの IP ア ド レ ス ま たはホ ス
ト 名に置 き 換え て く だ さ い。
ciscoasa# copy tftp://<TFTP SERVER>/asasfr-5500x-boot-5.3.1-58.img
disk0:/asasfr-5500x-boot-5.3.1-58.img
ステ ッ プ 2
ASA FirePOWER 管理 イ ン タ ー フ ェ イ ス か ら ア ク セ ス 可能な HTTP、 HTTPS、 ま たは FTP サー
バに、 Cisco.com か ら ASA FirePOWER シ ス テ ム ソ フ ト ウ ェ ア を ダ ウ ン ロ ー ド し ま す。
ステ ッ プ 3
次の コ マ ン ド を入力 し て、 ASA disk0 で ASA FirePOWER モ ジ ュ ール ブー ト イ メ ージの場所を
設定 し ま す。
hostname# sw-module module sfr recover configure image disk0:file_path
(注)
「ERROR: Another service (cxsc) is running, only one service is allowed to run at any time」 と
い う メ ッ セージが表示 さ れ る 場合は、 すでに別の ソ フ ト ウ ェ ア モ ジ ュ ールが設定 さ れ
てい ま す。 こ の ソ フ ト ウ ェ ア モ ジ ュ ール を シ ャ ッ ト ダ ウ ン し て削除 し 、 上の前提条件
セ ク シ ョ ン の説明に従っ て新 し いモ ジ ュ ール を イ ン ス ト ールす る 必要が あ り ま す。
例:
hostname# sw-module module sfr recover configure image
disk0:asasfr-5500x-boot-5.3.1-58.img
ステ ッ プ 4
次の コ マ ン ド を入力 し て、 ASA FirePOWER ブー ト イ メ ージ を ロ ー ド し ま す。
hostname# sw-module module sfr recover boot
ステ ッ プ 5
ASA FirePOWER モ ジ ュ ールが起動す る ま で約 5 分待っ て か ら 、現在実行中の ASA FirePOWER
ブー ト イ メ ージへの コ ン ソ ール セ ッ シ ョ ン を開 き ま す。 ロ グ イ ン プ ロ ン プ ト を表示す る には、
セ ッ シ ョ ン を開いた後に Enter キーを押 さ な ければな ら ない場合が あ り ま す。 デ フ ォ ル ト の
ユーザ名は admin で、 デ フ ォ ル ト のパ ス ワ ー ド は Admin123 です。
hostname# session sfr console
Opening console session with module sfr.
Connected to module sfr.Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
ヒ ン ト モ ジ ュ ールのブー ト が完了 し ていない場合は、 session コ マ ン ド が失敗 し 、 ttyS1 経由で
接続で き ない こ と に関す る メ ッ セージが表示 さ れ ま す。 し ば ら く 待っ て か ら 再試行 し て
く だ さ い。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-12
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
ステ ッ プ 6
シ ス テ ム ソ フ ト ウ ェ ア パ ッ ケージ を イ ン ス ト ールで き る よ う に、 setup コ マ ン ド を使用 し て シ
ス テ ム を設定 し ま す。
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
次の項目を指定す る よ う に求め ら れ ま す。 主な設定項目は、 管理ア ド レ ス と ゲー ト ウ ェ イ 、 お
よ び DNS 情報です。
ステ ッ プ 7
•
ホ ス ト 名 : 65 文字 ま での英数字で、 ス ペー ス は使用で き ま せん。 ハ イ フ ン を使用で き ま す。
•
ネ ッ ト ワ ー ク ア ド レ ス : ス タ テ ィ ッ ク IPv4 ま たは IPv6 ア ド レ ス を設定す る か、 ま たは
DHCP (IPv4 の場合) ま たは IPv6 ス テー ト レ ス 自動設定を使用す る こ と がで き ま す。
•
DNS 情報 : 少な く と も 1 つの DNS サーバ を指定す る 必要が あ り ま す。 ド メ イ ン名 と 検索 ド
メ イ ン を設定す る こ と も で き ま す。
•
NTP 情報 : シ ス テ ム時刻を設定す る ために、 NTP を イ ネーブルに し て NTP サーバ を設定す
る こ と がで き ま す。
system install コ マ ン ド を使用 し て シ ス テ ム ソ フ ト ウ ェ ア イ メ ージ を イ ン ス ト ール し ま す。
system install [noconfirm] url
確認 メ ッ セージに応答 し た く ない場合は、 noconfirm オプシ ョ ン を指定 し ま す。 HTTP、 HTTPS、
ま たは FTP URL を使用 し て く だ さ い。 ユーザ名 と パ ス ワ ー ド が必要な場合は、 それ ら を指定
す る よ う に求め ら れ ま す。
イ ン ス ト ールが完了す る と 、 シ ス テ ム が再起動 し ま す。 ア プ リ ケーシ ョ ン コ ン ポーネ ン ト の イ
ン ス ト ール と ASA FirePOWER サー ビ ス の起動には 10 分以上かか り ま す (show module sfr の
出力で、 すべてのプ ロ セ ス が ア ク テ ィ ブで あ る と 表示 さ れ る 必要が あ り ま す)。
次に例を示 し ま す。
asasfr-boot> system install http://asasfr-sys-5.3.1-44.pkg
Verifying
Downloading
Extracting
Package Detail
Description:
Cisco ASA-FirePOWER 5.3.1-44 System Install
Requires reboot:
Yes
Do you want to continue with upgrade?[y]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade.Press 'Enter' to reboot the system.
(Enter キーを押 し ます)
Broadcast message from root (ttyS1) (Mon Feb 17 19:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-13
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
ステ ッ プ 8
ASA FirePOWER モ ジ ュ ールへのセ ッ シ ョ ン を開 き ま す。 フ ル機能のモ ジ ュ ールに ロ グ イ ン し
よ う と し てい る ため、 別の ロ グ イ ン プ ロ ン プ ト が表示 さ れ ま す。
asa3# session sfr
Opening command session with module sfr.
Connected to module sfr.Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 44)
Sourcefire3D login:
ステ ッ プ 9
ユーザ名 admin お よ びパ ス ワ ー ド Sourcefire を使用 し て ロ グ イ ン し ま す。
ス テ ッ プ 10
プ ロ ン プ ト に従っ て シ ス テ ム設定を完了 し ま す。
ま ず、 エ ン ド ユーザ ラ イ セ ン ス 契約 (EULA) を読み、 こ れに同意す る 必要が あ り ま す。 次
に、 プ ロ ン プ ト に従っ て管理者パ ス ワ ー ド を変更 し 、 管理ア ド レ ス と DNS 設定を設定 し ま す。
IPv4 と IPv6 の両方の管理ア ド レ ス を設定で き ま す。 次に例を示 し ま す。
System initialization in progress.Please stand by.
You must change the password for 'admin' to continue.
Enter new password: <新 し いパス ワー ド >
Confirm new password: <パ ス ワー ド の再入力>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4?(y/n) [y]: y
Do you want to configure IPv6?(y/n) [n]:
Configure IPv4 via DHCP or manually?(dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.86.118.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.252.0
Enter the IPv4 default gateway for the management interface []: 10.86.116.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []: 10.100.10.15,
10.120.10.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
(シ ス テ ムが自動的に再設定 さ れ る ま で待機 し ます)
This sensor must be managed by a Defense Center.A unique alphanumeric
registration key is always required.In most cases, to register a sensor
to a Defense Center, you must provide the hostname or the IP address along
with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'
However, if the sensor and the Defense Center are separated by a NAT device,
you must enter a unique NAT ID, along with the unique registration key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'
Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.
ス テ ッ プ 11
configure manager add コ マ ン ド を使用 し て、こ のデバ イ ス を管理す る FireSIGHT 管理セ ン タ ー
ア プ ラ イ ア ン ス を指定 し ま す。
登録キーを考え出 し ま す。 こ の キーは、 デバ イ ス を イ ンベン ト リ に追加す る と き に FireSIGHT
管理セ ン タ ー で使用 し ま す。 次に、 簡単な例を示 し ま す。 NAT 境界が あ る 場合は、 コ マ ン ド
が異な り ま す。 「FireSIGHT 管理セ ン タ ー への ASA FirePOWER の追加」 (P.17-17) を参照 し て
く だ さ い。
> configure manager add 10.89.133.202 123456
Manager successfully configured.
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-14
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
ス テ ッ プ 12
上で入力 し た ホ ス ト 名 ま たはア ド レ ス を使用 し 、ブ ラ ウ ザで HTTPS 接続 を使用 し て FireSIGHT
管理セ ン タ ー に ロ グ イ ン し ま す。 た と えば、 https://DC.example.com な ど です。
[Device Management] ([Devices] > [Device Management]) ページ でデバ イ ス を追加 し ま す。 詳細
については、 オ ン ラ イ ン ヘルプ ま たは 『FireSIGHT System User Guide』 の 「Managing Devices」
の章を参照 し て く だ さ い。
ヒ ン ト ま た、 FireSIGHT 管理セ ン タ ー で NTP と 時刻設定 も 設定 し ま す。 時刻同期設定は、
[System] > [Local] > [System Policy] ページ か ら ロ ーカル ポ リ シーを編集す る 場合に使用
し ま す。
ASA FirePOWER 管理 IP ア ド レ スの変更
デ フ ォ ル ト の管理 IP ア ド レ ス を使用で き ない場合、ASA か ら 管理 IP ア ド レ ス を設定で き ま す。
管理 IP ア ド レ ス を設定 し た後は、追加設定を実行す る ために SSH を使用 し て ASA FirePOWER
モ ジ ュ ールに ア ク セ ス で き ま す。
シ ス テ ム の初期設定時に 「ASA FirePOWER CLI での基本的な ASA FirePOWER 設定値の設定」
(P.17-15) の説明に従っ て ASA FirePOWER CLI で管理ア ド レ ス をすでに設定 し てい る 場合は、
ASA CLI ま たは ASDM で管理ア ド レ ス を設定す る 必要はあ り ま せん。
(注)
ソ フ ト ウ ェ ア モ ジ ュ ールの場合、 ASA FirePOWER CLI に ア ク セ ス し て、 ASA CLI か ら のセ ッ
シ ョ ン接続に よ っ て設定を実行で き ま す。 その後、 設定の一部 と し て ASA FirePOWER 管理 IP
ア ド レ ス を設定で き ま す。 ハー ド ウ ェ ア モ ジ ュ ールの場合は、 コ ン ソ ール ポー ト を使用 し て
初期設定を完了で き ま す。
ASA で管理 IP ア ド レ ス を変更す る には、 次のいずれか を実行 し ま す。 マルチ コ ン テ キ ス ト
モー ド では、 コ ン テ キ ス ト 実行 ス ペー ス で こ の手順を実行 し ま す。
•
CLI で、 ASA FirePOWER 管理 IP ア ド レ ス 、 マ ス ク 、 お よ びゲー ト ウ ェ イ を設定す る には、
次の コ マ ン ド を使用 し ま す。 ハー ド ウ ェ ア モ ジ ュ ールの場合は 1、 ソ フ ト ウ ェ ア モ ジ ュ ー
ルの場合は sfr を使用 し ま す。
session {1 | sfr} do setup host ip ip_address/mask,gateway_ip
た と えば、 session 1 do setup host ip 10.1.1.2/24,10.1.1.1 と 指定 し ま す。
•
ASDM で、 [Wizards] > [Startup Wizard] の順に選択 し 、 ウ ィ ザー ド で [ASA FirePOWER
Basic Configuration] に進み ま す。 こ のページでは、 IP ア ド レ ス 、 マ ス ク 、 お よ びデ フ ォ ル
ト ゲー ト ウ ェ イ を設定で き ま す。
ASA FirePOWER CLI での基本的な ASA FirePOWER 設定値の設定
セ キ ュ リ テ ィ ポ リ シーを設定す る 前に、 基本的な ネ ッ ト ワ ー ク 設定お よ びその他のパ ラ メ ー タ
を ASA FirePOWER モ ジ ュ ール上で設定す る 必要が あ り ま す。 こ の手順では、 完全な シ ス テ ム
ソ フ ト ウ ェ ア (ブー ト イ メ ージだけで な く ) が イ ン ス ト ール さ れてい る こ と (直接 イ ン ス ト ー
ル し たか、 ハー ド ウ ェ ア モ ジ ュ ールに イ ン ス ト ール済みで あ る こ と ) を前提 と し てい ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-15
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
ヒン ト
こ の手順では、 初期設定を実行 し てい る こ と も 前提 と し てい ま す。 初期設定時に、 こ れ ら の設
定を行 う よ う に求め ら れ ま す。 こ れ ら の設定を後で変更す る 必要が あ る 場合は、 各種の
configure network コ マ ン ド を使用 し て個々の設定を変更 し ま す。 configure network コ マ ン ド の
詳細については、 ? コ マ ン ド を使用 し てヘルプ を表示 し 、 『FireSIGHT System User Guide』 ま た
は FireSIGHT 管理セ ン タ ー のオ ン ラ イ ン ヘルプ を参照 し て く だ さ い。
手順
ステ ッ プ 1
次の ど ち ら か を実行 し ま す。
•
(すべてのモデル) SSH を使用 し て ASA FirePOWER 管理 IP ア ド レ ス に接続 し ま す。
•
(ASA 5512-X ~ ASA 5555-X) ASA CLI か ら モ ジ ュ ールへのセ ッ シ ョ ン を開 き ま す (ASA
CLI に ア ク セ ス す る には、 一般的な操作の コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド の 「Getting
Started」 の章を参照 し て く だ さ い)。 マルチ コ ン テ キ ス ト モー ド では、 シ ス テ ム実行 ス
ペー ス か ら セ ッ シ ョ ン を開 き ま す。
hostname# session sfr
ステ ッ プ 2
ユーザ名 admin お よ びパ ス ワ ー ド Sourcefire を使用 し て ロ グ イ ン し ま す。
ステ ッ プ 3
プ ロ ン プ ト に従っ て シ ス テ ム設定を完了 し ま す。
ま ず、 エ ン ド ユーザ ラ イ セ ン ス 契約 (EULA) を読み、 こ れに同意す る 必要が あ り ま す。 次
に、 プ ロ ン プ ト に従っ て管理者パ ス ワ ー ド を変更 し 、 管理ア ド レ ス と DNS 設定を設定 し ま す。
IPv4 と IPv6 の両方の管理ア ド レ ス を設定で き ま す。 セ ン サーは FireSIGHT 管理セ ン タ ー で管
理す る 必要が あ る と い う メ ッ セージが表示 さ れた ら 、 設定は完了です。
次に例を示 し ま す。
System initialization in progress.Please stand by.
You must change the password for 'admin' to continue.
Enter new password: <新 し いパス ワー ド >
Confirm new password: <パ ス ワー ド の再入力>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually?(dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.86.118.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.252.0
Enter the IPv4 default gateway for the management interface []: 10.86.116.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []: 10.100.10.15,
10.120.10.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
(シ ス テ ムが自動的に再設定 さ れ る ま で待機 し ます)
This sensor must be managed by a Defense Center.A unique alphanumeric
registration key is always required.In most cases, to register a sensor
to a Defense Center, you must provide the hostname or the IP address along
with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'
However, if the sensor and the Defense Center are separated by a NAT device,
you must enter a unique NAT ID, along with the unique registration key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-16
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.
ステ ッ プ 4
こ こ で、 「FireSIGHT 管理セ ン タ ー への ASA FirePOWER の追加」 (P.17-17) の説明に従 っ て、
こ のデバ イ ス を管理す る FireSIGHT 管理セ ン タ ー を指定す る 必要が あ り ま す。
FireSIGHT 管理セ ン タ ー への ASA FirePOWER の追加
モジ ュ ールにポ リ シーを設定す る ためのアプ リ ケーシ ョ ン で あ る ASA FirePOWER に FireSIGHT
管理セ ン タ ー モ ジ ュ ール を登録す る 必要が あ り ま す。 FireSIGHT 管理セ ン タ ー は防御セ ン タ ー
と も 呼ばれ ま す。
デバ イ ス を登録す る には、 configure manager add コ マ ン ド を使用 し ま す。 FireSIGHT 管理セ ン
タ ー にデバ イ ス を登録す る には、 一意の英数字の登録キーが常に必要です。 こ れはユーザが指
定す る 簡単な キーで、 ラ イ セ ン ス キー と 同 じ ではあ り ま せん。
ほ と ん ど の場合、FireSIGHT 管理セ ン タ ー の ホ ス ト 名 ま たは IP ア ド レ ス を登録キー と 一緒に指
定す る 必要が あ り ま す。 次に例を示 し ま す。
configure manager add DC.example.com my_reg_key
ただ し 、 デバ イ ス と FireSIGHT 管理セ ン タ ー が NAT デバ イ ス に よ っ て分離 さ れてい る 場合、
一意の NAT ID を登録キー と 一緒に入力 し 、 ホ ス ト 名の代わ り に DONTRESOLVE を指定 し ま
す。 次に例を示 し ま す。
configure manager add DONTRESOLVE my_reg_key my_nat_id
手順
ステ ッ プ 1
次の ど ち ら か を実行 し ま す。
•
(すべてのモデル) SSH を使用 し て ASA FirePOWER 管理 IP ア ド レ ス に接続 し ま す。
•
(ASA 5512-X ~ ASA 5555-X) ASA CLI か ら モ ジ ュ ールへのセ ッ シ ョ ン を開 き ま す (ASA
CLI に ア ク セ ス す る には、 一般的な操作の コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド の 「Getting
Started」 の章を参照 し て く だ さ い)。 マルチ コ ン テ キ ス ト モー ド では、 シ ス テ ム実行 ス
ペー ス か ら セ ッ シ ョ ン を開 き ま す。
hostname# session sfr
ステ ッ プ 2
ユーザ名 admin ま たは CLI コ ン フ ィ ギ ュ レ ーシ ョ ン (管理者) ア ク セ ス レ ベル を持つ別の
ユーザ名で ロ グ イ ン し ま す。
ステ ッ プ 3
プ ロ ン プ ト で、 configure manager add コ マ ン ド を使用 し て FireSIGHT 管理セ ン タ ー にデバ イ
ス を登録 し ま す。 こ の コ マ ン ド の構文は次の と お り です。
configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key
[nat_id]
それぞれの説明は次の と お り です。
•
{hostname | IPv4_address | IPv6_address | DONTRESOLVE} では、 FireSIGHT 管理セ ン タ ー
の完全修飾名 ま たは IP ア ド レ ス を指定 し ま す。 FireSIGHT 管理セ ン タ ー の ア ド レ ス を直接
指定で き ない場合は、 DONTRESOLVE を使用 し ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-17
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
ステ ッ プ 4
•
reg_key は、 FireSIGHT 管理セ ン タ ー にデバ イ ス を登録す る ために必要な一意の英数字の登
録キーです。
•
nat_id は、 FireSIGHT 管理セ ン タ ー と デバ イ ス 間の登録プ ロ セ ス 中に使用 さ れ る オプ シ ョ
ン の英数字の文字列です。 こ れは、 ホ ス ト 名が DONTRESOLVE に設定 さ れてい る 場合に
必要です。
上で入力 し た ホ ス ト 名 ま たはア ド レ ス を使用 し 、ブ ラ ウ ザで HTTPS 接続 を使用 し て FireSIGHT
管理セ ン タ ー に ロ グ イ ン し ま す。 た と えば、 https://DC.example.com な ど です。
[Device Management] ([Devices] > [Device Management]) ページ でデバ イ ス を追加 し ま す。 詳細
については、 オ ン ラ イ ン ヘルプ ま たは 『FireSIGHT System User Guide』 の 「Managing Devices」
の章を参照 し て く だ さ い。
ASA FirePOWER モジ ュ ールへのセキ ュ リ テ ィ ポ リ シーの設定
ASA FirePOWER モ ジ ュ ールにセ キ ュ リ テ ィ ポ リ シー を設定す る には、 FireSIGHT 管理セ ン
タ ー を使用 し ま す。 セ キ ュ リ テ ィ ポ リ シーは、 次世代 IPS フ ィ ル タ リ ン グやア プ リ ケーシ ョ ン
フ ィ ル タ リ ン グ な ど、 モジ ュ ールに よ っ て提供 さ れ る サービ ス を制御 し ま す。 ASA FirePOWER
CLI、 ASA CLI、 ま たは ASDM を使用 し て ポ リ シーを設定す る こ と はで き ま せん。
FireSIGHT 管理セ ン タ ー を開 く には、 Web ブ ラ ウ ザ を使用 し て次の URL を開 き ま す。
https://DC_address
DC_address は、 「FireSIGHT 管理セ ン タ ー への ASA FirePOWER の追加」 (P.17-17) で定義 し た
マネージ ャ の DNS 名 ま たは IP ア ド レ ス です。 た と えば、 https://DC.example.com な ど です。
セ キ ュ リ テ ィ ポ リ シーの設定方法については、 『FireSIGHT System User Guide』 ま たは
FireSIGHT 管理セ ン タ ー のオ ン ラ イ ン ヘルプ を参照 し て く だ さ い。
ヒン ト
FireSIGHT 管理セ ン タ ー は、ASDM の [ASA FirePOWER Status] ダ ッ シ ュ ボー ド か ら 開 く こ と も
で き ま す。 [Home] > [ASA FirePOWER Status] を選択 し て、 ダ ッ シ ュ ボー ド の下部に あ る リ ン ク
を ク リ ッ ク し ま す。
ASA FirePOWER モジ ュ ールへの ト ラ フ ィ ッ クの リ ダ イ レ ク ト
特定の ト ラ フ ィ ッ ク を識別す る サービ ス ポ リ シーを作成 し て、 ASA FirePOWER モ ジ ュ ールへ
の ト ラ フ ィ ッ ク を リ ダ イ レ ク ト し ま す。
デバ イ ス は、 パ ッ シブ (「モニ タ 専用」) 展開 ま たは イ ン ラ イ ン展開のいずれかで設定で き ま す。
•
パ ッ シブ展開では、 ト ラ フ ィ ッ ク の コ ピ ーがデバ イ ス に送信 さ れ ま すが、 ASA には返 さ れ
ま せん。 パ ッ シ ブ モー ド では、 デバ イ ス が ト ラ フ ィ ッ ク に対 し て実行 し たで あ ろ う 処理を
表示 し 、 ネ ッ ト ワ ー ク に影響を与えずに ト ラ フ ィ ッ ク の内容を評価す る こ と がで き ま す。
•
イ ン ラ イ ン展開では、 実際の ト ラ フ ィ ッ ク がデバ イ ス に送信 さ れ、 デバ イ ス のポ リ シーが
ト ラ フ ィ ッ ク に対す る 処理に影響 し ま す。 不要な ト ラ フ ィ ッ ク が ド ロ ッ プ さ れ、 ポ リ シー
に よ っ て適用 さ れ る その他の ア ク シ ョ ン が実行 さ れた後、 ト ラ フ ィ ッ ク は さ ら な る 処理 と
最終的な送信のために ASA に返 さ れ ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-18
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの設定
(注)
ASA 上でモ ニ タ 専用モー ド と 通常の イ ン ラ イ ン モー ド の両方を同時に設定で き ま せん。 セ
キ ュ リ テ ィ ポ リ シーの 1 つの タ イ プのみが許可 さ れ ま す。 マルチ コ ン テ キ ス ト モー ド で、 あ
る コ ン テ キ ス ト について モニ タ 専用モー ド を設定 し 、 それ以外の コ ン テ キ ス ト について通常の
イ ン ラ イ ン モー ド を設定す る こ と はで き ま せん。
は じ める前に
•
(ASA FirePOWER と 交換 し た) IPS ま たは CX モ ジ ュ ールに ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す
る ア ク テ ィ ブ サービ ス ポ リ シーが あ る 場合は、 ASA FirePOWER サー ビ ス ポ リ シー を設定
す る 前にそのポ リ シーを削除す る 必要が あ り ま す。
•
ASA お よ び ASA FirePOWER には、 必ず一貫性の あ る ポ リ シーを設定 し て く だ さ い
(FireSIGHT 管理セ ン タ ー を使用)。 両方のポ リ シーに、 ト ラ フ ィ ッ ク のパ ッ シブ モー ド ま
たは イ ン ラ イ ン モー ド を反映 さ せ る 必要が あ り ま す。
•
マルチ コ ン テ キ ス ト モー ド では、 各セ キ ュ リ テ ィ コ ン テ キ ス ト で こ の手順を実行 し ま す。
手順
ステ ッ プ 1
モ ジ ュ ールに送信す る ト ラ フ ィ ッ ク を L3/L4 指定す る ための ク ラ ス マ ッ プ を作成 し ま す。
class-map name
match parameter
例:
hostname(config)# class-map firepower_class_map
hostname(config-cmap)# match access-list firepower
モ ジ ュ ールに複数の ト ラ フ ィ ッ ク ク ラ ス を送信す る 場合は、 セ キ ュ リ テ ィ ポ リ シーで使用す
る ための複数の ク ラ ス マ ッ プ を作成で き ま す。
照合 ス テー ト メ ン ト については、 「 ト ラ フ ィ ッ ク の特定 ( レ イ ヤ 3/4 ク ラ ス マ ッ プ)」 (P.1-14)
を参照 し て く だ さ い。
ステ ッ プ 2
ク ラ ス マ ッ プ ト ラ フ ィ ッ ク で実行す る ア ク シ ョ ン を設定す る ポ リ シー マ ッ プ を追加 ま たは編
集 し ま す。
policy-map name
例:
hostname(config)# policy-map global_policy
デ フ ォ ル ト 設定では、 global_policy ポ リ シー マ ッ プはすべての イ ン タ ー フ ェ イ ス に グ ロ ーバル
に割 り 当て ら れ ま す。 global_policy を編集す る 場合は、 ポ リ シー名 と し て global_policy を入力
し ま す。
ステ ッ プ 3
こ の手順の最初に作成 し た ク ラ ス マ ッ プ を指定 し ま す。
class name
例:
hostname(config-pmap)# class firepower_class_map
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-19
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの管理
ステ ッ プ 4
ASA FirePOWER モ ジ ュ ールに ト ラ フ ィ ッ ク を送信 し ま す。
sfr {fail-close | fail-open} [monitor-only]
それぞれの説明は次の と お り です。
•
fail-close キー ワ ー ド を指定す る と 、 ASA FirePOWER モ ジ ュ ールが使用で き ない場合はす
べての ト ラ フ ィ ッ ク を ブ ロ ッ ク す る よ う に ASA が設定 さ れ ま す。
•
fail-open キー ワ ー ド を指定す る と 、 モ ジ ュ ールが使用で き ない場合はすべての ト ラ フ ィ ッ
ク を検査な し で通過 さ せ る よ う に ASA が設定 さ れ ま す。
•
ト ラ フ ィ ッ ク の読み取 り 専用 コ ピ ーを モ ジ ュ ールに送信す る には、 monitor-only を指定 し
ま す (パ ッ シ ブ モー ド )。 キー ワ ー ド を指定 し ない場合、 ト ラ フ ィ ッ ク は イ ン ラ イ ン モー
ド で送信 さ れ ま す。 詳細については、 「ASA FirePOWER パ ッ シブ (モ ニ タ 専用) モー ド 」
(P.17-3) を参照 し て く だ さ い。
例:
hostname(config-pmap-c)# sfr fail-close
ステ ッ プ 5
ASA FirePOWER ト ラ フ ィ ッ ク に複数の ク ラ ス マ ッ プ を作成 し た場合、 ポ リ シーに対 し て別の
ク ラ ス を指定 し 、 sfr リ ダ イ レ ク ト 処理を適用で き ま す。
ポ リ シー マ ッ プ内での ク ラ ス の順番が重要で あ る こ と の詳細については、 「サービ ス ポ リ シー
内の機能照合」 (P.1-5) を参照 し て く だ さ い。 ト ラ フ ィ ッ ク を同 じ ア ク シ ョ ン タ イ プの複数の
ク ラ ス マ ッ プに一致 さ せ る こ と はで き ま せん。
ステ ッ プ 6
既存のサービ ス ポ リ シー (た と えば、 global_policy と い う 名前のデ フ ォ ル ト グ ロ ーバル ポ リ
シー) を編集 し てい る 場合は、 以上で終了です。 それ以外の場合は、 1 つ ま たは複数の イ ン
タ ー フ ェ イ ス でポ リ シー マ ッ プ を ア ク テ ィ ブに し ま す。
service-policy policymap_name {global | interface interface_name}
例:
hostname(config)# service-policy global_policy global
global キー ワ ー ド はポ リ シー マ ッ プ をすべての イ ン タ ー フ ェ イ ス に適用 し 、 interface は 1 つの
イ ン タ ー フ ェ イ ス に適用 し ま す。 グ ロ ーバル ポ リ シーは 1 つ し か適用で き ま せん。 イ ン タ ー
フ ェ イ ス の グ ロ ーバル ポ リ シーは、 その イ ン タ ー フ ェ イ ス にサービ ス ポ リ シーを適用す る こ
と で上書 き で き ま す。 各 イ ン タ ー フ ェ イ ス には、 ポ リ シー マ ッ プ を 1 つだけ適用で き ま す。
ASA FirePOWER モジ ュ ールの管理
こ の項には、 モ ジ ュ ールの管理に役立つ手順が含 ま れ ま す。
•
「パ ス ワ ー ド の リ セ ッ ト 」 (P.17-21)
•
「モ ジ ュ ールの リ ロ ー ド ま たは リ セ ッ ト 」 (P.17-21)
•
「モ ジ ュ ールのシ ャ ッ ト ダ ウ ン」 (P.17-21)
•
「(ASA 5512-X ~ ASA 5555-X) ソ フ ト ウ ェ ア モ ジ ュ ール イ メ ージの ア ン イ ン ス ト ール」
(P.17-22)
•
「(ASA 5512-X ~ ASA 5555-X) ASA か ら モ ジ ュ ールへのセ ッ シ ョ ン」 (P.17-22)
•
「5585-X ASA FirePOWER ハー ド ウ ェ ア モ ジ ュ ールの イ メ ージ の再作成」 (P.17-23)
•
「シ ス テ ム ソ フ ト ウ ェ ア の ア ッ プ グ レ ー ド 」 (P.17-25)
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-20
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの管理
パスワー ド の リ セ ッ ト
管理ユーザのパ ス ワ ー ド を忘れた場合は、 CLI 設定権限を持つ別のユーザが ロ グ イ ン し て、 パ
ス ワ ー ド を変更で き ま す。
必要な権限を持つ別のユーザが存在 し ない場合は、 session do コ マ ン ド を使用 し て ASA か ら 管
理者パ ス ワ ー ド を リ セ ッ ト で き ま す。
ヒン ト
ASA hw-module お よ び sw-module コ マ ン ド の password-reset オプ シ ョ ン は、ASA FirePOWER で
は機能 し ま せん。
ユーザ admin のモ ジ ュ ール パ ス ワ ー ド をデ フ ォ ル ト の Sourcefire に リ セ ッ ト す る には、次の コ
マ ン ド を使用 し ま す。 ハー ド ウ ェ ア モ ジ ュ ールの場合は 1、 ソ フ ト ウ ェ ア モ ジ ュ ールの場合は
sfr を使用 し ま す。 マルチ コ ン テ キ ス ト モー ド では、 コ ン テ キ ス ト 実行 ス ペー ス で こ の手順を
実行 し ま す。
session {1 | sfr} do password-reset
た と えば、 session sfr do password-reset を使用 し ま す。
モジ ュ ールの リ ロー ド または リ セ ッ ト
モ ジ ュ ール を リ ロ ー ド 、 ま たは リ セ ッ ト し て か ら リ ロ ー ド す る には、 ASA CLI で次のいずれか
の コ マ ン ド を入力 し ま す。 マルチ コ ン テ キ ス ト モー ド では、 コ ン テ キ ス ト 実行 ス ペー ス で こ
の手順を実行 し ま す。
•
ハー ド ウ ェ ア モ ジ ュ ール (ASA 5585-X) :
hw-module module 1 {reload | reset}
•
ソ フ ト ウ ェ ア モ ジ ュ ール (ASA 5512-X ~ ASA 5555-X) :
sw-module module sfr {reload | reset}
モジ ュ ールのシ ャ ッ ト ダウン
モ ジ ュ ール ソ フ ト ウ ェ ア を シ ャ ッ ト ダ ウ ンす る のは、 コ ン フ ィ ギ ュ レ ーシ ョ ン デー タ を失 う
こ と な く 安全にモ ジ ュ ールの電源を オ フ にで き る よ う に準備す る ためです。 モ ジ ュ ール を グ
レ ー ス フ ル シ ャ ッ ト ダ ウ ンす る には、 ASA CLI で次のいずれかの コ マ ン ド を入力 し ま す。 マル
チ コ ン テ キ ス ト モー ド では、 コ ン テ キ ス ト 実行 ス ペー ス で こ の手順を実行 し ま す。
(注)
ASA を リ ロ ー ド す る 場合は、 モ ジ ュ ールは自動的にはシ ャ ッ ト ダ ウ ン さ れないので、 ASA の
リ ロ ー ド 前にモ ジ ュ ール を シ ャ ッ ト ダ ウ ンす る こ と を推奨 し ま す。
•
ハー ド ウ ェ ア モ ジ ュ ール (ASA 5585-X) :
hw-module module 1 shutdown
•
ソ フ ト ウ ェ ア モ ジ ュ ール (ASA 5512-X ~ ASA 5555-X) :
sw-module module sfr shutdown
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-21
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの管理
(ASA 5512-X ~ ASA 5555-X) ソ フ ト ウ ェ ア モジ ュ ール イ メ ージのア ン
イ ン ス ト ール
ソ フ ト ウ ェ ア モ ジ ュ ール イ メ ージお よ び関連す る コ ン フ ィ ギ ュ レ ーシ ョ ン を ア ン イ ン ス ト ー
ルで き ま す。 マルチ コ ン テ キ ス ト モー ド では、 コ ン テ キ ス ト 実行 ス ペー ス で こ の手順を実行
し ま す。
手順
ステ ッ プ 1
ソ フ ト ウ ェ ア モ ジ ュ ール イ メ ージお よ び関連す る コ ン フ ィ ギ ュ レ ーシ ョ ン を ア ン イ ン ス ト ー
ル し ま す。
hostname# sw-module module sfr uninstall
Module sfr will be uninstalled.This will completely remove the disk image
associated with the sw-module including any configuration that existed within it.
Uninstall module sfr?[confirm]
ステ ッ プ 2
ASA を リ ロ ー ド し ま す。 新 し いモ ジ ュ ール を イ ン ス ト ールす る 前に、 ASA を リ ロ ー ド す る 必
要が あ り ま す。
hostname# reload
(ASA 5512-X ~ ASA 5555-X) ASA から モジ ュ ールへのセ ッ シ ョ ン
基本的な ネ ッ ト ワ ー ク 設定を構成 し 、 モ ジ ュ ール を ト ラ ブルシ ュ ーテ ィ ン グす る には、 ASA
FirePOWER CLI を使用 し ま す。
ASA FirePOWER ソ フ ト ウ ェ ア モ ジ ュ ール CLI に ASA か ら ア ク セ ス す る には、 ASA か ら セ ッ
シ ョ ン を開始 し ま す。 モ ジ ュ ールへのセ ッ シ ョ ン を開始す る こ と も (Telnet を使用)、 仮想 コ ン
ソ ール セ ッ シ ョ ン を作成す る こ と も で き ま す。 コ ン ソ ール セ ッ シ ョ ン は、 コ ン ト ロ ール プ
レ ーン がダ ウ ン し 、 Telnet セ ッ シ ョ ン を確立で き ない場合に便利です。 マルチ コ ン テ キ ス ト
モー ド では、 シ ス テ ム実行 ス ペー ス か ら セ ッ シ ョ ン を開 き ま す。
Telnet ま たは コ ン ソ ール セ ッ シ ョ ン では、 ユーザ名 と パ ス ワ ー ド の入力を求め ら れ ま す。
ASA FirePOWER に設定 さ れてい る 任意のユーザ名 と パ ス ワ ー ド で ロ グ イ ン で き ま す。 最初
は、 admin が唯一の設定済みユーザ名です ( こ のユーザ名は常に使用可能です)。 最初のデ
フ ォ ル ト のユーザ名は、 フ ル イ メ ージの場合は Sourcefire、 ブー ト イ メ ージの場合は
Admin123 です。
•
Telnet セ ッ シ ョ ン :
session sfr
ASA FirePOWER CLI にい る と き に ASA CLI に戻 る には、 モ ジ ュ ールか ら ロ グ ア ウ ト す る
コ マ ン ド (logout や exit な ど ) を入力す る か、 Ctrl+Shift+6、 x を押 し ま す。
•
コ ン ソ ール セ ッ シ ョ ン :
session sfr console
コ ン ソ ール セ ッ シ ョ ン か ら ロ グ ア ウ ト す る 唯一の方法は、 Ctrl+Shift+6、 x を押す こ と で
す。 モ ジ ュ ールか ら ロ グ ア ウ ト す る と 、 モ ジ ュ ールの ロ グ イ ン プ ロ ン プ ト に戻 り ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-22
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの管理
(注)
session sfr console コ マ ン ド は、 Ctrl+Shift+6、 x が タ ー ミ ナル サーバのプ ロ ン プ ト に戻 る エ ス
ケープ シーケ ン ス で あ る タ ー ミ ナル サーバ と と も に使用 し ないで く だ さ い。 Ctrl+Shift+6、 x
は、 ASA FirePOWER コ ン ソ ール を エ ス ケープ し て、 ASA プ ロ ン プ ト に戻 る ためのシーケ ン ス
で も あ り ま す。 し たが っ て、 こ の状況で、 ASA FirePOWER コ ン ソ ール を終了 し よ う と す る と 、
タ ー ミ ナル サーバ プ ロ ン プ ト ま で終了す る こ と にな り ま す。 ASA に タ ー ミ ナル サーバ を再接
続す る と 、 ASA FirePOWER コ ン ソ ール セ ッ シ ョ ン が ま だ ア ク テ ィ ブ な ま ま で あ り 、 ASA プ ロ
ン プ ト に戻 る こ と がで き ま せん。 ASA プ ロ ン プ ト に コ ン ソ ール を戻すには、 直接シ リ アル接続
を使用す る 必要が あ り ま す。 こ の状況が発生 し た場合は、 console コ マ ン ド の代わ り に session
sfr コ マ ン ド を使用 し ま す。
5585-X ASA FirePOWER ハー ド ウ ェ ア モジ ュ ールのイ メ ージの再作成
何 ら かの理由で ASA FirePOWER ASA 5585-X ア プ ラ イ ア ン ス のハー ド ウ ェ ア モ ジ ュ ールの イ
メ ージ を再作成す る 必要が あ る 場合は、 ブー ト イ メ ージ と シ ス テ ム ソ フ ト ウ ェ ア パ ッ ケージ
の両方を こ の順序で イ ン ス ト ールす る 必要が あ り ま す。 シ ス テ ム が機能す る には、 両方のパ ッ
ケージ を イ ン ス ト ールす る 必要が あ り ま す。 通常の状況では、 ア ッ プ グ レ ー ド パ ッ ケージ を イ
ン ス ト ールす る ために、 シ ス テ ム の イ メ ージ を再作成す る 必要はあ り ま せん。
ブー ト イ メ ージ を イ ン ス ト ールす る には、 モ ジ ュ ールの コ ン ソ ール ポー ト に ロ グ イ ン し て、
ASA FirePOWER SSP の Management-0 ポー ト か ら イ メ ージ を TFTP ブー ト す る 必要が あ り ま す。
Management-0 ポー ト は SSP の最初の ス ロ ッ ト に あ る ため、 Management1/0 と も 呼ばれ ま すが、
ROMmon では Management-0 ま たは Management0/1 と し て認識 さ れ ま す。
TFTP ブー ト を行 う には、 次の手順を実行 し ま す。
•
ソ フ ト ウ ェ ア イ メ ージ を、 ASA FirePOWER の Management1/0 イ ン タ ー フ ェ イ ス か ら ア ク
セ ス 可能な TFTP サーバに配置す る 。
•
Management1/0 を ネ ッ ト ワ ー ク に接続す る 。 こ の イ ン タ ー フ ェ イ ス を使用 し て、 ブー ト イ
メ ージ を TFTP ブー ト す る 必要が あ り ま す。
•
ROMmon 変数を設定す る 。 ROMmon 変数を設定す る には、 Esc キーを押 し て自動ブー ト プ
ロ セ ス を中断 し ま す。
ブー ト イ メ ージが イ ン ス ト ール さ れた ら 、 シ ス テ ム ソ フ ト ウ ェ ア パ ッ ケージ を イ ン ス ト ール し
ま す。 ASA FirePOWER か ら ア ク セ ス 可能な HTTP、 HTTPS、 ま たは FTP サーバに、 パ ッ ケー
ジ を配置す る 必要が あ り ま す。
次の手順では、 ブー ト イ メ ージ を イ ン ス ト ール し て か ら シ ス テ ム ソ フ ト ウ ェ ア パ ッ ケージ を
イ ン ス ト ールす る 方法を説明 し ま す。
手順
ステ ッ プ 1
コ ン ソ ール ポー ト に接続 し ま す。 ASA 製品に付属の コ ン ソ ール ケーブル を使用 し 、 9600 ボー、
8 デー タ ビ ッ ト 、 パ リ テ ィ な し 、 1 ス ト ッ プ ビ ッ ト 、 フ ロ ー制御な し に設定 さ れた タ ー ミ ナル
エ ミ ュ レ ー タ を用いて PC を コ ン ソ ールに接続 し ま す。 コ ン ソ ール ケーブルの詳細については、
ASA のハー ド ウ ェ ア ガ イ ド を参照 し て く だ さ い。
ステ ッ プ 2
system reboot コ マ ン ド を入力 し て シ ス テ ム を リ ロ ー ド し ま す。
ステ ッ プ 3
プ ロ ン プ ト が表示 さ れた ら 、 Esc キー を押 し てブー ト か ら 抜け出 し ま す。 GRUB がシ ス テ ム を
ブー ト す る ために起動す る のが表示 さ れた場合は、 待ちすぎ です。
こ れに よ り 、 ROMmon プ ロ ン プ ト に切 り 替わ り ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-23
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの管理
ステ ッ プ 4
ROMmon プ ロ ン プ ト で、 set を入力 し て次のパ ラ メ ー タ を設定 し ま す。
•
ADDRESS : モ ジ ュ ールの管理 IP ア ド レ ス 。
•
SERVER : TFTP サーバの IP ア ド レ ス 。
•
GATEWAY : TFTP サーバのゲー ト ウ ェ イ ア ド レ ス 。 TFTP サーバが Management1/0 に直接
接続 さ れてい る 場合は、 TFTP サーバの IP ア ド レ ス を使用 し ま す。 TFTP サーバお よ び管理
ア ド レ ス が同 じ サブネ ッ ト 上に あ る 場合は、 ゲー ト ウ ェ イ を設定 し ないで く だ さ い。 設定
す る と 、 TFTP ブー ト が失敗 し ま す。
•
IMAGE : TFTP サーバ上のブー ト イ メ ージのパ ス と イ メ ージ名。 た と えば、 TFTP サーバ
の /tftpboot/images/filename.img に フ ァ イ ル を置いた場合、 IMAGE の値は
images/filename.img と な り ま す。
次に例を示 し ま す。
ADDRESS=10.5.190.199
SERVER=10.5.11.170
GATEWAY=10.5.1.1
IMAGE=asasfr-boot-5.3.1-26-54.img
ステ ッ プ 5
sync を入力 し て設定を保存 し ま す。
ステ ッ プ 6
tftp を入力 し て ダ ウ ン ロ ー ド お よ びブー ト プ ロ セ ス を開始 し ま す。
進行状況を示す ! マー ク が表示 さ れ ま す。 数分後にブー ト が完了す る と 、 ロ グ イ ン プ ロ ン プ ト
が表示 さ れ ま す。
ステ ッ プ 7
パ ス ワ ー ド Admin123 を使用 し て admin と し て ロ グ イ ン し ま す。
ステ ッ プ 8
シ ス テ ム ソ フ ト ウ ェ ア パ ッ ケージ を イ ン ス ト ールで き る よ う に、 setup コ マ ン ド を使用 し て シ
ス テ ム を設定 し ま す。
次の項目を指定す る よ う に求め ら れ ま す。 主な設定項目は、 管理ア ド レ ス と ゲー ト ウ ェ イ 、 お
よ び DNS 情報です。
ステ ッ プ 9
•
ホ ス ト 名 : 65 文字 ま での英数字で、 ス ペー ス は使用で き ま せん。 ハ イ フ ン を使用で き ま す。
•
ネ ッ ト ワ ー ク ア ド レ ス : ス タ テ ィ ッ ク IPv4 ま たは IPv6 ア ド レ ス を設定す る か、 ま たは
DHCP (IPv4 の場合) ま たは IPv6 ス テー ト レ ス 自動設定 を使用す る こ と がで き ま す。
•
DNS 情報 : 少な く と も 1 つの DNS サーバ を指定す る 必要が あ り ま す。 ド メ イ ン名 と 検索 ド
メ イ ン を設定す る こ と も で き ま す。
•
NTP 情報 : シ ス テ ム時刻を設定す る ために、 NTP を イ ネーブルに し て NTP サーバ を設定す
る こ と がで き ま す。
system install コ マ ン ド を使用 し て シ ス テ ム ソ フ ト ウ ェ ア イ メ ージ を イ ン ス ト ール し ま す。
system install [noconfirm] url
確認 メ ッ セージに応答 し た く ない場合は、 noconfirm オプシ ョ ン を指定 し ま す。
イ ン ス ト ールが完了す る と 、 シ ス テ ム が再起動 し ま す。 ア プ リ ケーシ ョ ン コ ン ポーネ ン ト の イ
ン ス ト ール と ASA FirePOWER サー ビ ス の起動には 10 分以上かか り ま す次に例を示 し ま す。
asasfr-boot> system install http://asasfr-sys-5.3.1-54.pkg
ス テ ッ プ 10
ブー ト が完了 し た ら 、 パ ス ワ ー ド Sourcefire を使用 し て admin と し て ロ グ イ ン し ま す。
プ ロ ン プ ト に従っ て シ ス テ ム設定を完了 し ま す。
ま ず、 エ ン ド ユーザ ラ イ セ ン ス 契約 (EULA) を読み、 こ れに同意す る 必要が あ り ま す。 次
に、 プ ロ ン プ ト に従っ て管理者パ ス ワ ー ド を変更 し 、 管理ア ド レ ス と DNS 設定を設定 し ま す。
IPv4 と IPv6 の両方の管理ア ド レ ス を設定で き ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-24
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールのモ ニ タ リ ング
ス テ ッ プ 11
configure manager add コ マ ン ド を使用 し て、こ のデバ イ ス を管理す る FireSIGHT 管理セ ン タ ー
ア プ ラ イ ア ン ス を指定 し ま す。
登録キーを考え出 し ま す。 こ の キーは、 デバ イ ス を イ ンベン ト リ に追加す る と き に FireSIGHT
管理セ ン タ ー で使用 し ま す。 次に、 簡単な例を示 し ま す。 NAT 境界が あ る 場合は、 コ マ ン ド
が異な り ま す。 「FireSIGHT 管理セ ン タ ー への ASA FirePOWER の追加」 (P.17-17) を参照 し て
く だ さ い。
> configure manager add 10.89.133.202 123456
Manager successfully configured.
ス テ ッ プ 12
上で入力 し た ホ ス ト 名 ま たはア ド レ ス を使用 し 、ブ ラ ウ ザで HTTPS 接続 を使用 し て FireSIGHT
管理セ ン タ ー に ロ グ イ ン し ま す。 た と えば、 https://DC.example.com な ど です。
[Device Management] ([Devices] > [Device Management]) ページ でデバ イ ス を追加 し ま す。 詳細
については、 『FireSIGHT System User Guide』 ま たは FireSIGHT 管理セ ン タ ー のオ ン ラ イ ン ヘ
ルプの 「Managing Devices」 の章を参照 し て く だ さ い。
システム ソ フ ト ウ ェ アのア ッ プグレー ド
FireSIGHT 管理セ ン タ ー を使用 し て ASA FirePOWER モ ジ ュ ールにア ッ プ グ レ ー ド イ メ ージ を
適用 し ま す。 ア ッ プ グ レ ー ド を適用す る 前に、 ASA が新 し いバージ ョ ン に最小限必要な リ リ ー
ス を実行 し てい る こ と を確認 し ま す。 場合に よ っ ては、 モ ジ ュ ール を ア ッ プ グ レ ー ド す る 前に
ASA を ア ッ プ グ レ ー ド す る 必要が あ り ま す。
ア ッ プ グ レ ー ド の適用の詳細については、 『FireSIGHT System User Guide』 ま たは FireSIGHT 管
理セ ン タ ー のオ ン ラ イ ン ヘルプ を参照 し て く だ さ い。
ASA FirePOWER モジ ュ ールのモニ タ リ ング
次の各 ト ピ ッ ク では、 モ ジ ュ ールのモニ タ リ ン グ に関す る ガ イ ダ ン ス を示 し ま す。 ASA
FirePOWER 関連の syslog メ ッ セージについては、 syslog メ ッ セージ ガ イ ド を参照 し て く だ さ
い。 ASA FirePOWER の syslog メ ッ セージは、 メ ッ セージ番号 434001 か ら 始 ま り ま す。
•
「モ ジ ュ ール ス テー タ ス の表示」 (P.17-25)
•
「モ ジ ュ ールの統計情報の表示」 (P.17-27)
•
「モ ジ ュ ール接続のモニ タ リ ン グ」 (P.17-27)
モジ ュ ール ステー タ スの表示
モ ジ ュ ールの ス テー タ ス を確認す る には、 次のいずれかの コ マ ン ド を入力 し ま す。
•
show module [1 | sfr] [details]
モ ジ ュ ールの ス テー タ ス を表示 し ま す。 ASA FirePOWER モ ジ ュ ールに固有の ス テー タ ス
を表示す る には、 1 (ハー ド ウ ェ ア モ ジ ュ ールの場合) ま たは sfr ( ソ フ ト ウ ェ ア モ ジ ュ ー
ルの場合) キー ワ ー ド を指定 し ま す。 モ ジ ュ ール を管理す る デバ イ ス の ア ド レ ス な ど の追
加情報を取得す る には、 details キー ワ ー ド を指定 し ま す。
•
show module sfr recover
モ ジ ュ ールの イ ン ス ト ール時に使用 さ れた ブー ト イ メ ージの場所を表示 し ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-25
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールのモ ニ タ リ ング
ASA 5585-X に ASA FirePOWER ハー ド ウ ェ ア モ ジ ュ ールが イ ン ス ト ール さ れてい る 場合の
show module コ マ ン ド の出力例を次に示 し ま す。
hostname# show module
Mod Card Type
---- -------------------------------------------0 ASA 5585-X Security Services Processor-10 wi
1 ASA 5585-X FirePOWER Security Services Proce
Mod
---0
1
MAC Address Range
--------------------------------5475.d05b.1100 to 5475.d05b.110b
5475.d05b.2450 to 5475.d05b.245b
Model
-----------------ASA5585-SSP-10
ASA5585-SSP-SFR10
Hw Version
-----------1.0
1.0
Fw Version
-----------2.0(7)0
2.0(13)0
Serial No.
----------JAF1507AMKE
JAF1510BLSA
Sw Version
--------------100.10(0)8
5.3.1-44
Mod SSM Application Name
Status
SSM Application Version
---- ------------------------------ ---------------- -------------------------1 FirePOWER
Up
5.3.1-44
Mod
---0
1
Status
-----------------Up Sys
Up
Data Plane Status
Compatibility
--------------------- ------------Not Applicable
Up
次に、 ソ フ ト ウ ェ ア モ ジ ュ ールの詳細を表示す る 例を示 し ま す。 DC Addr は、 こ のデバ イ ス を
管理す る FireSIGHT 管理セ ン タ ー の ア ド レ ス を示 し てい ま す。
hostname# show module sfr details
Getting details from the Service Module, please wait...
Card Type:
Model:
Hardware version:
Serial Number:
Firmware version:
Software version:
MAC Address Range:
App.name:
App.Status:
App.Status Desc:
App.version:
Data Plane Status:
Status:
DC addr:
Mgmt IP addr:
Mgmt Network mask:
Mgmt Gateway:
Mgmt web ports:
Mgmt TLS enabled:
FirePOWER Services Software Module
ASA5555
N/A
FCH1714J6HP
N/A
5.3.1-100
bc16.6520.1dcb to bc16.6520.1dcb
ASA FirePOWER
Up
Normal Operation
5.3.1-100
Up
Up
10.89.133.202
10.86.118.7
255.255.252.0
10.86.116.1
443
true
次に、 モ ジ ュ ールの イ ン ス ト ール時に sw-module module sfr recover コ マ ン ド で使用 さ れた
ASA FirePOWER ブー ト イ メ ージの場所を表示す る 例 を示 し ま す。
hostname# show module sfr recover
Module sfr recover parameters...
Boot Recovery Image: No
Image File Path:
disk0:/asasfr-5500x-boot-5.3.1-44.img
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-26
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールのモ ニ タ リ ング
モジ ュ ールの統計情報の表示
sfr コ マ ン ド を含む各サービ ス ポ リ シーの統計情報お よ び ス テー タ ス を表示す る には、 show
service-policy sfr コ マ ン ド を使用 し ま す。 カ ウ ン タ を ク リ アす る には、 clear service-policy を使
用 し ま す。
次に、 ASA FirePOWER サー ビ ス ポ リ シー と 現在の統計情報お よ びモ ジ ュ ールの ス テー タ ス を
表示す る 例を示 し ま す。
ciscoasa# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: my-sfr-class
SFR: card status Up, mode fail-close
packet input 2626422041, packet output 2626877967, drop 0, reset-drop 0, proxied 0
次に、 モニ タ 専用ポ リ シーを表示す る 例を示 し ま す。 こ の場合、 パケ ッ ト 入力カ ウ ン タ は増加
し ま すが、 ASA に戻 さ れ る ト ラ フ ィ ッ ク はないので、 パケ ッ ト 出力カ ウ ン タ はゼ ロ の ま ま です。
hostname# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: bypass
SFR: card status Up, mode fail-open, monitor-only
packet input 2626422041, packet output 0, drop 0, reset-drop 0, proxied 0
モジ ュ ール接続のモニ タ リ ング
ASA FirePOWER モ ジ ュ ール を通過す る 接続 を表示す る には、 次のいずれかの コ マ ン ド を入力
し ま す。
•
show asp table classify domain sfr
ト ラ フ ィ ッ ク を ASA FirePOWER モ ジ ュ ールに送信す る ために作成 さ れた NP ルール を表示
し ま す。
•
show asp drop
ド ロ ッ プ さ れたパケ ッ ト を表示 し ま す。 ド ロ ッ プの タ イ プについては、 以下で説明 し ま す。
•
show conn
「X - inspected by service module」 フ ラ グ を表示す る こ と に よ り 、 接続がモ ジ ュ ールに転送 さ
れてい る か ど う か を示 し ま す。
show asp drop コ マ ン ド には、 ASA FirePOWER モ ジ ュ ールに関連す る 次の ド ロ ッ プの理由を含
め る こ と がで き ま す。
フ レーム ド ロ ッ プ :
•
sfr-bad-tlv-received : こ れが発生す る のは、 ASA が FirePOWER か ら 受信 し たパケ ッ ト にポ
リ シー ID TLV がない と き です。 非制御パケ ッ ト の ア ク シ ョ ン フ ィ ール ド で Standy/Active
ビ ッ ト が設定 さ れていない場合は、 こ の TLV が存在 し てい る 必要が あ り ま す。
•
sfr-request : FirePOWER 上のポ リ シーが理由で、 フ レ ーム を ド ロ ッ プす る よ う FirePOWER
か ら 要求 さ れ ま し た。 こ のポ リ シーに よ っ て、 FirePOWER はア ク シ ョ ン を Deny Source、
Deny Destination、 ま たは Deny Pkt に設定 し ま す。 フ レ ーム が ド ロ ッ プべ き で な か っ た場合
は、 フ ロ ーを拒否 し てい る モ ジ ュ ールのポ リ シーを確認 し ま す。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-27
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの例
•
sfr-fail-close : パケ ッ ト が ド ロ ッ プ さ れたのは、 カー ド が動作中ではな く 、 設定済みのポ リ
シーが 「fail-close」 で あ っ たか ら です (対照的に、 「fail-open」 の場合は、 カー ド がダ ウ ン
し ていて も パケ ッ ト の通過が許可 さ れ ま す)。 カー ド の ス テー タ ス を確認 し 、 サービ ス を再
開す る か、 再起動 し ま す。
•
sfr-fail : 既存の フ ロ ーに対す る FirePOWER コ ン フ ィ ギ ュ レ ーシ ョ ン が削除 さ れてお り 、
FirePOWER で処理で き ないため、 ド ロ ッ プ さ れ ま す。 こ れが発生す る こ と は、 ほ と ん ど あ
り ま せん。
•
sfr-malformed-packet : FirePOWER か ら のパケ ッ ト に無効なヘ ッ ダーが含 ま れ ま す。 た と え
ば、 ヘ ッ ダー長が正 し く ない可能性が あ り ま す。
•
sfr-ha-request : セ キ ュ リ テ ィ ア プ ラ イ ア ン ス が FirePOWER HA 要求パケ ッ ト を受信 し 、 そ
れ を処理で き な か っ た場合、 こ の カ ウ ン タ が増加 し 、 パケ ッ ト が ド ロ ッ プ さ れ ま す。
•
sfr-invalid-encap : セ キ ュ リ テ ィ ア プ ラ イ ア ン ス が無効な メ ッ セージ ヘ ッ ダーを持つ
FirePOWER パケ ッ ト を受信す る と 、 こ の カ ウ ン タ が増加 し 、 パケ ッ ト が ド ロ ッ プ さ れ ま
す。
•
sfr-bad-handle-received : FirePOWER モ ジ ュ ールか ら パケ ッ ト で不正 フ ロ ー ハ ン ド ル を受信
し 、 フ ロ ーを ド ロ ッ プ し ま し た。 FirePOWER フ ロ ーのハ ン ド ルが フ ロ ー期間中に変更 さ れ
る と 、 こ の カ ウ ン タ が増加 し 、 フ ロ ー と パケ ッ ト が ASA で ド ロ ッ プ さ れ ま す。
•
sfr-rx-monitor-only : セ キ ュ リ テ ィ アプ ラ イ ア ン ス がモニ タ 専用モー ド の と き に FirePOWER
パケ ッ ト を受信す る と 、 こ の カ ウ ン タ が増加 し 、 パケ ッ ト が ド ロ ッ プ さ れ ま す。
フ ロー ド ロ ッ プ :
•
sfr-request : フ ロ ーを終了 さ せ る こ と を FirePOWER が要求 し ま し た。 ア ク シ ョ ン ビ ッ ト 0
が設定 さ れ ま す。
•
reset-by-sfr : フ ロ ーの終了 と リ セ ッ ト を FirePOWER が要求 し ま し た。 ア ク シ ョ ン ビ ッ ト 1
が設定 さ れ ま す。
•
sfr-fail-close : フ ロ ーが終了 さ せ ら れたのは、 カー ド がダ ウ ン状態で あ り 、 設定済みのポ リ
シーが 「fail-close」 で あ っ たか ら です。
ASA FirePOWER モジ ュ ールの例
次に、 すべての HTTP ト ラ フ ィ ッ ク を ASA FirePOWER モ ジ ュ ールに迂回 さ せ、 何 ら かの理由
でモ ジ ュ ールで障害が発生 し た場合にはすべての HTTP ト ラ フ ィ ッ ク を ブ ロ ッ ク す る 例を示 し
ま す。
hostname(config)# access-list ASASFR permit tcp any any eq 80
hostname(config)# class-map my-sfr-class
hostname(config-cmap)# match access-list ASASFR
hostname(config-cmap)# policy-map my-sfr-policy
hostname(config-pmap)# class my-sfr-class
hostname(config-pmap-c)# sfr fail-close
hostname(config-pmap-c)# service-policy my-sfr-policy global
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-28
第 17 章
ASA FirePOWER (SFR) モ ジ ュ ール
ASA FirePOWER モ ジ ュ ールの履歴
次に、 10.1.1.0 ネ ッ ト ワ ー ク お よ び 10.2.1.0 ネ ッ ト ワ ー ク 宛てのすべての IP ト ラ フ ィ ッ ク を
ASA FirePOWER モ ジ ュ ールに迂回 さ せ、 何 ら かの理由でモ ジ ュ ールに障害が発生 し て も すべ
ての ト ラ フ ィ ッ ク を許可す る 例を示 し ま す。
hostname(config)# access-list my-sfr-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-sfr-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-sfr-class
hostname(config-cmap)# match access-list my-sfr-acl
hostname(config)# class-map my-sfr-class2
hostname(config-cmap)# match access-list my-sfr-acl2
hostname(config-cmap)# policy-map my-sfr-policy
hostname(config-pmap)# class my-sfr-class
hostname(config-pmap-c)# sfr fail-open
hostname(config-pmap)# class my-sfr-class2
hostname(config-pmap-c)# sfr fail-open
hostname(config-pmap-c)# service-policy my-sfr-policy interface outside
ASA FirePOWER モジ ュ ールの履歴
機能名
ASA 5585-X (すべてのモデル) で適合す
る ASA FirePOWER SSP ハー ド ウ ェ ア モ
ジ ュ ール を サポー ト 。
ASA 5512-X ~ ASA 5555-X で ASA
FirePOWER ソ フ ト ウ ェ ア モ ジ ュ ール を サ
ポー ト 。
プラ ッ ト
フ ォ ーム
リ リ ース
ASA 9.2(2.4)
ASA
FirePOWER
5.3.1
機能情報
ASA FirePOWER モ ジ ュ ールは、 次世代 IPS (NGIPS)、
ア プ リ ケーシ ョ ン の可視性 と コ ン ト ロ ール (AVC)、
URL フ ィ ル タ リ ン グ、 高度な マル ウ ェ ア保護 (AMP)
な ど の次世代 フ ァ イ ア ウ ォ ール サービ ス を提供 し ま
す。 こ のモ ジ ュ ールは、 シ ン グル ま たはマルチ コ ン テ
キ ス ト モー ド と ルーテ ッ ド ま たは ト ラ ン ス ペア レ ン ト
モー ド で使用で き ま す。
capture interface asa_dataplane、 debug sfr、
hw-module module 1 reload、 hw-module module 1
reset、 hw-module module 1 shutdown、 session do
setup host ip、 session do get-config、 session do
password-reset、 session sfr、 sfr、 show asp table
classify domain sfr、 show capture、 show conn、 show
module sfr、 show service-policy、 sw-module sfr の各 コ
マ ン ド が導入 ま たは変更 さ れ ま し た。
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レ ーシ ョ ン ガ イ ド
17-29
第 17 章
ASA FirePOWER モ ジ ュ ールの履歴
Cisco ASA シ リ ーズ フ ァ イ アウ ォ ール CLI コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド
17-30
ASA FirePOWER (SFR) モ ジ ュ ール
Fly UP