購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3248
閲覧回数
35
いいね!
0
コメント

ASA5500-X: ASAから FTD へのリイメージと 初期セットアップ手順 (FDM利用時)

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2016-10-10 04:16 PM ‎2020-06-03 06:36 PM 更新

   

1. はじめに

以下のASA5500-Xシリーズ製品は、 Firepower Threat Defense(FTD) バージョン6.1から、その管理WebUIとなる Firepower Device Manager(FDM)をサポート開始しました。

ASA 5506-X
ASA 5506W-X
ASA 5506H-X
ASA 5508-X
ASA 5512-X
ASA 5515-X
ASA 5516-X
ASA 5525-X
ASA 5545-X
ASA 5555-X

  
FTDは、従来のASAソフトウェア(※豊富な実績を持つFirewallソフトウェア)と、FirePOWERソフトウェア(※NGFWやNGIPS、マルウェア対策)の長所を組み合わせ 統合された、ユニファイドイメージです。

FDMは、FTDをローカル管理が可能な WebUIです。 素早く簡単にNGFW機能をご利用いただけることを目的としており、設定/機能がシンプルで、直観的な操作が可能です。 HTML5ベースで、Javaプラグインは不要です。

FTDと FDMにより、ASA 1台で、シンプルにNGFWを導入・運用可能になりました。

   
本手順では、参考に ASA5516-Xの ASAソフトウェアから FTD 6.1.0へのリイメージ手順、及び FDMに管理アクセスのための初期セットアップ手順を示します。

 

なお、FDM利用時のテクニカルサポートを受けるには、別途ライセンスの購入や保守契約が必要となることがあります。

   

  

2. 事前に注意・準備すること

2.1. FDMの提供機能が システム要件を満たすか確認

FDMによるローカル管理(on-box)は、SMBマーケット向けを想定しており、複雑さを避けた、シンプルな機能・管理性の提供となります。 そのため、導入を予定しているシステムの機能要件とマッチするかの事前確認が必要です。

FTD 6.1とFDMは、NGFWとしてベーシックな機能である、以下などの機能を提供します。

    • NAT
    • Static Routing
    • Access Control
    • DHCP
    • NGIPS
    • Malware対策
    • URLフィルタリング
    • Syslog機能  など

   
FTD 6.1とFDMは、以下などの高度機能をサポートしてません(2016年10月現在)。 なお、将来的に、FTDとFDMの提供する機能は増加していく予定です。

    • サイト間VPN      (追記: 2020年6月現在 FTD/FDM バージョン6.6は対応済み)
    • リモートアクセスVPN      (追記: 2020年6月現在 FTD/FDM バージョン6.6は対応済み)
    • MPF
    • Failover    (追記: 2020年6月現在 FTD/FDM バージョン6.6は対応済み)
    • PPPoE     (追記: 2020年6月現在 FTD/FDM バージョン6.6は対応済み)
    • EtherChannel       (追記: 2020年6月現在 FTD/FDM バージョン6.6はFPR1K/2K/4K/9Kは対応済み)
    • Correlation
    • SNMP機能  など

   
FTDのサポートするフル機能を活用したい場合は、Firepower Management Center(FMC)の利用を検討します。 FMCは複数FTDデバイスを一括管理できる統合管理サーバです。 なお、本ドキュメントでは FMCと その管理構成については詳しく扱いません。

  

2.2. スマートライセンスの購入

FTDは、スマートライセンスのみ利用可能です(2016年10月現在)。  スマートライセンスの認証にはCiscoクラウドを用いるため、インターネット接続が必要です。

以下4つのライセンスがあり、少なくともBaseライセンスが必須となります。

    • Base License ・・・ Firewallや アプリケーション制御 (デバイスに標準で紐づく)
    • Threat ・・・ NGIPSや Security Intelligence(SI)
    • Malware ・・・ AMPや Threat-Grid
    • URL Filtering ・・・ カテゴリと ReputationベースのURLフィルタリング

  
なお、FTDはデフォルト 90日の評価ライセンスが付いてくるため、90日間の試用も可能です。

  

2.3. ROMMONイメージのアップグレード (必要時のみ)

ASA5506-X, ASA5508-X, ASA5516-Xの場合、ROMMONバージョンが 1.1.8以上である必要があります。 1.1.8未満の場合は、以下URLを参考に、事前にROMMONイメージのアップグレードを実施してください。

Verify and Upgrade the ROMMON Image
http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html#pgfId-128106

  
ROMMONバージョンは、"show module"コマンドで確認できます。 以下出力の場合、1.1.8であることがわかります。

ciscoasa# show module

Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
 1 ASA 5516-X with FirePOWER services, 8GE, AC, ASA5516 JAD2036xxxx
 sfr FirePOWER Services Software Module ASA5516 JAD203602PG

Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
 1 00a6.cacc.cdb4 to 00a6.cacc.cdbc 1.1 1.1.8 9.6(1)
 sfr 00a6.cacc.cdb3 to 00a6.cacc.cdb3 N/A N/A 5.4.1-211

Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
 sfr ASA FirePOWER Up 5.4.1-211

Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
 1 Up Sys Not Applicable
 sfr Up Up
--------------------------------------------------------

   

2.4. 事前のバックアップ

以下URLを参考に、事前のバックアップの取得を 強くお勧めします。

ASDM: ASA設定のバックアップ・リストア機能について
https://supportforums.cisco.com/ja/document/12931301

   
合わせ、"show activation-key"コマンドの出力を取得しておきます。 何らかの理由で、FTDからASAソフトウェアに戻したい場合に、ASAライセンスの再有効化に Activation keyを利用することができます。

ciscoasa# show activation-key
Serial Number: JAD2036xxxx
Running Permanent Activation Key: 0x3929f86d 0x08f839db 0xe493a5ec 0xxxxxxxxx 0xxxxxxxxx

Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 4 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 300 perpetual
Total VPN Peers : 300 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total UC Proxy Sessions : 1000 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual
VPN Load Balancing : Enabled perpetual

The flash permanent activation key is the SAME as the running permanent key.

  

  

3. ASAから FTD 6.1.0へのリイメージと セットアップ

FTDブートイメージを、Download Softwareから事前にダウンロードします。 ASAの管理インターフェイスからアクセス可能な、任意TFTPサーバにアップロードしておきます。 ASA5506-X/ASA5508-X/ASA5516-Xの場合、FTDブートイメージは 以下のファイル名です。

   ftd-boot-9.6.2.0.lfbff

   
FTDシステムソフトウェアのインストールパッケージを、Download Softwareから事前にダウンロードします。 ASAの管理インターフェイスからアクセス可能な、任意FTPサーバ、もしくは HTTPサーバにアップロードしておきます。 ASA5500-Xシリーズの場合、インストールパッケージは 以下のファイル名です。

   ftd-6.1.0-330.pkg

  
以下は、Download SoftwareのURLと、その画面です。 

https://software.cisco.com/download/release.html?mdfid=286285782&softwareid=286306337

    
   
"reload"コマンドを実行し、ROMMON起動時に"ESC"キーを押下し、ROMMONプロンプトにアクセスします。

asa5516# reload
Proceed with reload? [confirm]
asa5516#

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down sw-module
Shutting down License Controller
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Process shutdown finished
Rebooting.....
INIT: Sending processes the TERM signal
Deconfiguring network interfaces... done.
Sending all processes the TERM signal...
Sending all processes the KILL signal...
Deactivating swap...
Unmounting local filesystems...
Rebooting... 
Rom image verified correctly

Cisco Systems ROMMON, Version 1.1.8, RELEASE SOFTWARE
Copyright (c) 1994-2015 by Cisco Systems, Inc.
Compiled Thu 06/18/2015 12:15:56.43 by builders

Current image running: Boot ROM0
Last reset cause: PowerCycleRequest
DIMM Slot 0 : Present
DIMM Slot 1 : Present

Platform ASA5516 with 8192 Mbytes of main memory
MAC Address: 00:f2:8b:fc:12:43

Use BREAK or ESC to interrupt boot.           <----!! Press ESC !!
Use SPACE to begin boot immediately.
Boot interrupted.

rommon 1 >

   
ブート用イメージを置いているTFTPサーバにアクセスするため、IPアドレスやファイル名情報を入力します。 "set"コマンドで設定を確認し、"ping"コマンドで任意宛先(TFTPサーバなど)と疎通性を確認します。(注:ASA5512/5515/5525/5545/5555を利用時は、rommon プロンプトで "rommon 1 > interface gigabitethernet0/0" などコマンドを実施し 事前に利用するインターフェイスを指定してください。 ASA5506/5508/5516はデフォルトで管理ポートが利用されます。)

rommon 1 > address 1.xx.xx.xx
rommon 2 > netmask 255.0.0.0
rommon 3 > server 1.0.0.1
rommon 4 > file tac/ftd-boot-9.6.2.0.lfbff
rommon 5 > set
 ADDRESS=1.xx.xx.xx
 NETMASK=255.0.0.0
 GATEWAY=
 SERVER=1.0.0.1
 IMAGE=tac/ftd-boot-9.6.2.0.lfbff
 CONFIG=
 PS1="rommon ! > "

rommon 6 > ping 1.0.0.1
Sending 10, 32-byte ICMP Echoes to 1.0.0.1 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 7 >

   
"tftpdnld"コマンドで、TFTPサーバからブート用イメージのダウンロード、及び セットアップを実行します。

rommon 22 > tftpdnld
 ADDRESS: 1.xx.xx.xx
 NETMASK: 255.0.0.0
 GATEWAY: 1.0.0.100
 SERVER: 1.0.0.1
 IMAGE: tac/ftd-boot-9.6.2.0.lfbff
 MACADDR: 00:f2:8b:fc:12:43
 VERBOSITY: Progress
 RETRY: 40
 PKTTIMEOUT: 7200
 BLKSIZE: 1460
 CHECKSUM: Yes
 PORT: GbE/1
 PHYMODE: Auto Detect

Receiving tac/ftd-boot-9.6.2.0.lfbff from 1.0.0.1!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
File reception completed.
Boot buffer bigbuf=348bd018
Boot image size = 100921600 (0x603f100) bytes
[image size] 100921600
[MD5 signaure] 0264697f6f1942b9bf80f820fb209ad5
LFBFF signature verified.
INIT: version 2.88 booting
Starting udev
Configuring network interfaces... done.
Populating dev cache
          --- snip ---
Cisco FTD Boot 6.0.0 (9.6.2.)
 Type ? for list of commands
asa5516-boot>

  
ブート用プロンプトに変わった後、"setup"コマンドで FTP or WEBサーバへアクセスするための IPや管理設定を行います。その後、"ping"コマンドで任意宛先と疎通性を確認します。

asa5516-boot>setup

 Welcome to Cisco FTD Setup
 [hit Ctrl-C to abort]
 Default values are inside []

Enter a hostname [asa5516]: FTD5516-01
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [Y]: N
Enter an IPv4 address: 1.xx.xx.xx
Enter the netmask: 255.0.0.0
Enter the gateway: 1.0.0.100
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address [171.70.168.183]: 1.0.0.100
Do you want to configure Secondary DNS Server? (y/n) [y]: n
Any previously configured secondary DNS servers will be removed.
Do you want to configure Local Domain Name? (y/n) [n]: n
Do you want to configure Search domains? (y/n) [n]: n
Do you want to enable the NTP service? [Y]: Y
Enter the NTP servers separated by commas [203.0.113.126]: 1.0.0.2
Please review the final configuration:
Hostname: FTD5516-01
Management Interface Configuration

IPv4 Configuration: static
 IP Address: 1.xx.xx.xx
 Netmask: 255.0.0.0
 Gateway: 1.0.0.100

IPv6 Configuration: Stateless autoconfiguration

DNS Configuration:
 DNS Server:
 1.0.0.100

NTP configuration:
 1.0.0.2
CAUTION:
You have selected IPv6 stateless autoconfiguration, which assigns a global address
based on network prefix and a device identifier. Although this address is unlikely
to change, if it does change, the system will stop functioning correctly.
We suggest you use static addressing instead.

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Done.
Press ENTER to continue...
asa5516-boot>
asa5516-boot>ping 1.0.0.2
PING 1.0.0.2 (1.0.0.2) 56(84) bytes of data.
64 bytes from 1.0.0.2: icmp_seq=1 ttl=255 time=0.557 ms
64 bytes from 1.0.0.2: icmp_seq=2 ttl=255 time=0.512 ms

   
"system install [url]"コマンドで、FTDシステムソフトウェアのインストールパッケージのダウンロード、およびインストールを実行します。

[URL]は、FTPやHTTP、HTTPSを指定できます。 [URL]でユーザ名とパスワードを指定する事も可能です。 例えば、FTPサーバのユーザ名・パスワードを指定する場合は、"system install ftp://[ユーザID]:[パスワード]@[FTPサーバIP]/ftd-6.1.0-330.pkg"コマンドを実行します。

以下はFTPサーバからファイルダウンロード時のコマンド実行例です。

asa5516-boot>system install ftp://1.0.0.1/de/ftd-6.1.0-330.pkg

######################## WARNING ############################
# The content of disk0: will be erased during installation! #
#############################################################

Do you want to continue? [y/N] y
Erasing disk0 ...
Verifying
Downloading
Extracting
Package Detail
 Description: Cisco ASA-FTD 6.1.0-330 System Install
 Requires reboot: Yes

Do you want to continue with upgrade? [y]: 
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Starting upgrade process ... 
Populating new system image.....

Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.     <----!! Press ENTER !!

BroadcaStopping OpenBSD Secure Shell server: sshdstopped /usr/sbin/sshd (pid 1842)
.
Stopping Advanced Configuration and Power Interface daemon: stopped /usr/sbin/acpid (pid 1846)
acpid: exiting

acpid.
Stopping system message bus: dbus.
Stopping ntpd: stopped process in pidfile '/var/run/ntp.pid' (pid 1927)
done
Stopping crond: OK
Deconfiguring network interfaces... done.
Sending all processes the TERM signal...
Sending all processes the KILL signal...
Deactivating swap...
Unmounting local filesystems...
Rebooting...

    
パッケージインストール中は以下のようなコンソールが表示されます。 自動的にインストールは完了するので、しばらく待ちます。 セットアップデバイスの処理性能にもよりますが、ASA5516の場合、おおよそ30分前後で完了します。

************ Attention *********

Initializing the configuration database. Depending on available
 system resources (CPU, memory, and disk), this may take 30 minutes
 or more to complete.

************ Attention *********

Executing S09database-init [ OK ]
Executing S11database-populate [ OK ]
Executing S12install_infodb [ OK ]
Executing S15set-locale.sh [ OK ]
Executing S16update-sensor.pl [ OK ]
Executing S19cert-tun-init [ OK ]
Executing S20cert-init [ OK ]
Executing S21disable_estreamer [ OK ]
Executing S25create_default_des.pl [ OK ]
Executing S30init_lights_out_mgmt.pl [ OK ]
Executing S40install_default_filters.pl [ OK ]
          --- snip ---

********** Attention **********

Initializing the system's localization settings. Depending on available
 system resources (CPU, memory, and disk), this may take 10 minutes
 or more to complete.

********** Attention **********

Executing S96localize-templates [ OK ]
Executing S96ovf-data.pl [ OK ]
Executing S97compress-client-resources

    
しばらくすると、コンソールアクセス可能になるので、ユーザ名/パスワードは admin/Admin123 でログインします。 EULAに同意するか確認の後、任意の新規パスワード設定や 管理設定を行います。 FDMによるローカル管理を行う場合、"Manage the device locally?"の問いには "yes"を入力します。

Cisco Systems, Inc.
 170 West Tasman Drive
 San Jose, California 95134-1706

Reading from flash...
!
Cryptochecksum (changed): f410387e 8aab8a4e f71eb8a9 f8b37ef9

INFO: Power-On Self-Test in process.
.......................................................................
INFO: Power-On Self-Test complete.

INFO: Starting HW-DRBG health test...
INFO: HW-DRBG health test passed.

INFO: Starting SW-DRBG health test...
INFO: SW-DRBG health test passed.
Type help o '?' for a list
Cisco ASA5516-X Threat Defense v6.1.0 (build 330)

firepower login: admin
Password:                       <---- !! Input Admin123 !!
You must accept the EULA to continue.
Press <ENTER> to display the EULA:
END USER LICENSE AGREEMENT

IMPORTANT: PLEASE READ THIS END USER LICENSE AGREEMENT CAREFULLY. IT IS VERY
IMPORTANT THAT YOU CHECK THAT YOU ARE PURCHASING CISCO SOFTWARE OR EQUIPMENT
FROM AN APPROVED SOURCE AND THAT YOU, OR THE ENTITY YOU REPRESENT
(COLLECTIVELY, THE "CUSTOMER") HAVE BEEN REGISTERED AS THE END USER FOR THE
PURPOSES OF THIS CISCO END USER LICENSE AGREEMENT. IF YOU ARE NOT REGISTERED
AS THE END USER YOU HAVE NO LICENSE TO USE THE SOFTWARE AND THE LIMITED
WARRANTY IN THIS END USER LICENSE AGREEMENT DOES NOT APPLY. ASSUMING YOU HAVE
PURCHASED FROM AN APPROVED SOURCE, DOWNLOADING, INSTALLING OR USING CISCO OR
CISCO-SUPPLIED SOFTWARE CONSTITUTES ACCEPTANCE OF THIS AGREEMENT.
          --- snip ---
Product warranty terms and other information applicable to Cisco products are
available at the following URL: http://www.cisco.com/go/warranty.

Please enter 'YES' or press <ENTER> to AGREE to the EULA:       <----!! Press Enter !!

System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password: 
Confirm new password:

You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 1.xx.xx.xx
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.0.0.0
Enter the IPv4 default gateway for the management interface [192.168.45.1]: 1.0.0.100
Enter a fully qualified hostname for this system [firepower]:
Enter a comma-separated list of DNS servers or 'none' []: 1.0.0.100
Enter a comma-separated list of search domains or 'none' []: none
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: yes       <---- !!ローカル管理有効化!!
Configuring firewall mode to routed

Update policy deployment information
 - add device configuration
Successfully performed firstboot initial configuration steps for Firepower Device Manager for Firepower Threat Defense.

>

    
任意Webブラウザから FTDデバイスの管理IPに httpsでアクセスします。 初回アクセス時は、初期デバイスセットアップ画面になるので、不要時は"Skip device setup"をクリックしスキップします。 以下の、FDMの Device Dashboardにアクセス可能になります。

      
    
Device Dashboardの 画面左下の"Smart License"をクリックすることで、スマートライセンスの有効化や、評価ライセンスの有効化が可能です。

  
初期セットアップ後の、FDMでの設定や管理方法について詳しくは、以下の設定ガイドなどを参照してください。

Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version 6.1
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/fdm/fptd-fdm-config-guide-610.html

   

    

4. FDMの基本的な設定例

4.1. NTPサーバの設定

セキュリティデバイスの運用・管理には、ログが正しい時刻で保存されているかが極めて重要です。 そのため、信頼できるNTPサーバとの時刻同期を強くお勧めします。

設定方法は、Device Dashboardの 画面右下の System Settings より、"NTP"をクリックします。 NTP Time Serverから "Manually input"を選択し、任意NTPサーバを設定し Saveをクリックします。 

    
    

4.2. Time Zoneの設定

FDMの画面右上の Profileアイコンをクリックし、Profileを選択します。

   
以下画面に遷移するので、任意Time Zoneを設定し、Saveをクリックします。

  
      

4.3. Smart License 認証

事前に、FTDデバイスがインターネット接続性がある事を確認します。 Ciscoクラウドとの認証にはTCP443を利用します。 

次に、Device Dashboardの "Smart Licenseの View Configuration" をクリックします。

   
以下画面に遷移するので、"REQUEST REGISTER"ボタンをクリックします。

   
以下ポップアップが表示されるので、Cisco Software Manager から発行したToken IDを入力し、"REQUEST REGISTER"ボタンをクリックしてください。 


  
スマートライセンス認証後、想定のサブスクリプションライセンスが有効となることを確認します。

  

     

5. FTDの便利なCLI

FTDはWebUI経由での管理がメインですが、CLIでも一定の確認が可能です。

まずCLIでログインします。

firepower login: admin
Password:
Last login: Mon Oct 3 02:58:40 UTC 2016 on ttyS1

>

   
"show managers"コマンドで管理状況を確認できます。 "Managed locally."と出力時は、FDMによるローカル管理である事がわかります。

> show managers
Managed locally.

   
FMCで管理デバイスを、FDMでローカル管理可能な状態に切り替えるには、"configure manager local"コマンドを実行します。 もしくは、既にFMC(中央管理サーバ)にFTDを登録済みであった場合は、ドキュメント FTD: FMC登録したFTDの、ローカル管理(on-box)に切り替え方法を参照してください。

> configure manager local

   
"show network"コマンドで、IP設定状況を確認できます。

> show network
===============[ System Information ]===============
Hostname : firepower
DNS Servers : 1.0.0.100
Management port : 8305
IPv4 Default route
 Gateway : 1.0.0.100

======================[ br1 ]=======================
State : Enabled
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1500
MAC Address : 00:F2:8B:FC:12:42
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 1.xx.xx.xx
Netmask : 255.0.0.0
Broadcast : 1.255.255.255
----------------------[ IPv6 ]----------------------
Configuration : Disabled

===============[ Proxy Information ]================
State : Disabled
Authentication : Disabled

   
Ping試験を行いたい場合は、ドキュメント FTD: CLIからのPING試験についてを参考にしてください。

   
時刻の確認には、"show time"コマンドを実行します。

> show time
UTC - Mon Oct 10 07:44:26 UTC 2016
Localtime - Mon Oct 10 03:44:28 EDT 2016

   
時刻同期状況の確認には、"show ntp"コマンドを実行します。 

> show ntp
NTP Server : 1.0.0.2
Status : Being Used
Offset : -0.918 (milliseconds)
Last Update : 4 (seconds)

  
"system support diagnostic-cli"コマンドで、FTDのベースとなる内部ASAソフトウェアにアクセスできます。 showコマンドの出力を確認できますが、configurationモードにはアクセスできません。 FTDの設定はWebUIから行うためです。

> system support diagnostic-cli
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower>
firepower> enable
Password:           <---- !! Press Enter !!
firepower#
firepower# show version
-------------------[ firepower ]--------------------
Model : Cisco ASA5516-X Threat Defense (75) Version 6.1.0 (Build 330)
UUID : 6f0866a4-8911-11e6-9e3e-dff3094452a2
Rules update version : 2016-03-28-001-vrt
VDB version : 270
----------------------------------------------------

Cisco Adaptive Security Appliance Software Version 9.6(2)

Compiled on Tue 23-Aug-16 19:42 PDT by builders
System image file is "disk0:/os.img"
Config file at boot was "startup-config"

firepower up 7 days 2 hours

Hardware: ASA5516, 8192 MB RAM, CPU Atom C2000 series 2416 MHz, 1 CPU (8 cores)
Internal ATA Compact Flash, 8192MB
BIOS Flash M25P64 @ 0xfed01000, 16384KB

Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
 Number of accelerators: 1

1: Ext: GigabitEthernet1/1 : address is 00f2.8bfc.1244, irq 255
 2: Ext: GigabitEthernet1/2 : address is 00f2.8bfc.1245, irq 255
 3: Ext: GigabitEthernet1/3 : address is 00f2.8bfc.1246, irq 255
 4: Ext: GigabitEthernet1/4 : address is 00f2.8bfc.1247, irq 255
 5: Ext: GigabitEthernet1/5 : address is 00f2.8bfc.1248, irq 255
 6: Ext: GigabitEthernet1/6 : address is 00f2.8bfc.1249, irq 255
 7: Ext: GigabitEthernet1/7 : address is 00f2.8bfc.124a, irq 255
 8: Ext: GigabitEthernet1/8 : address is 00f2.8bfc.124b, irq 255
 9: Int: Internal-Data1/1 : address is 00f2.8bfc.1243, irq 255
10: Int: Internal-Data1/2 : address is 0000.0001.0002, irq 0
11: Int: Internal-Control1/1 : address is 0000.0001.0001, irq 0
12: Int: Internal-Data1/3 : address is 0000.0001.0003, irq 0
13: Ext: Management1/1 : address is 00f2.8bfc.1243, irq 0
14: Int: Internal-Data1/4 : address is 0000.0100.0001, irq 0

Serial Number: JAD2003xxxx
Configuration register is 0x1
Image type : Release
Key Version : A
Configuration last modified by enable_1 at 04:43:43.449 UTC Mon Oct 3 2016
firepower#
firepower#
firepower# conf t
 ^
ERROR: % Invalid input detected at '^' marker.
firepower#

FTD内の ASAソフトウェアのCLIモードから抜けるには、"Ctrl + a"のあと "d"キーを押します。

      

   

6. よくある質問

FTDから ASAソフトウェアに戻すことは可能か

可能です。 詳しくは以下手順を参照してください。

Reimage from Firepower Threat Defense to ASA
http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html#pgfId-128744

   

FTDで AnyConnectは利用可能か

FTD バージョン6.1.0では 利用できません。 なお、今後サポート機能は拡張されていく予定です。 (2017年1月現在)

   

FDM管理と FMC管理の違いは何か

FDMは、対象FTDデバイスのローカル管理が可能であり、シンプルさを追求してます。 ASA 1台と、管理PCのWebブラウザがあれば、簡単にNGFWの設定と管理が可能です。 ただ、利用可能な機能や設定は、少なからず制限されます。

FMCは、複数FTDデバイスの一元管理が可能であり、高度な設定・管理や拡張性を追及してます。 FTDデバイスの冗長構成もサポートします。 FMCは、ESXiホストにインストールする仮想版、もしくは アプライアンス版があります。

  
詳しくは以下ドキュメントも参照ください。

ASA: FTD/FirePOWERの FDM/FMC/ASDM管理時の比較
https://supportforums.cisco.com/ja/document/13141346

 

FTDで CLIからの設定変更は可能か

残念ながら、CLIでの設定変更は対応してません。

 

FTDから FTDへの リイメージに 本手順は利用可能か

本手順を参考にすることは可能ですが、リイメージ時の手順が少々異なります。詳しくは、以下ドキュメントの「FTD→FTD: ASA 5500-X」の手順を参考にしてください。

https://www.cisco.com/c/ja_jp/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html#task_lzh_2zn_rgb

    

7. 参考情報

Reimage the Cisco ASA or Firepower Threat Defense Device
http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html

Cisco Firepower NGFW / Install and Upgrade Guides
http://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html

Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version 6.1
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/fdm/fptd-fdm-config-guide-610/fptd-fdm-get-started.html

FirePOWER Threat Defense - Smart Licensing FAQ's
https://supportforums.cisco.com/discussion/12944426/firepower-threat-defense-smart-licensing-faqs

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents