2016-10-10 04:16 PM 2020-06-03 06:36 PM 更新
以下のASA5500-Xシリーズ製品は、 Firepower Threat Defense(FTD) バージョン6.1から、その管理WebUIとなる Firepower Device Manager(FDM)をサポート開始しました。
ASA 5506-X
ASA 5506W-X
ASA 5506H-X
ASA 5508-X
ASA 5512-X
ASA 5515-X
ASA 5516-X
ASA 5525-X
ASA 5545-X
ASA 5555-X
FTDは、従来のASAソフトウェア(※豊富な実績を持つFirewallソフトウェア)と、FirePOWERソフトウェア(※NGFWやNGIPS、マルウェア対策)の長所を組み合わせ 統合された、ユニファイドイメージです。
FDMは、FTDをローカル管理が可能な WebUIです。 素早く簡単にNGFW機能をご利用いただけることを目的としており、設定/機能がシンプルで、直観的な操作が可能です。 HTML5ベースで、Javaプラグインは不要です。
FTDと FDMにより、ASA 1台で、シンプルにNGFWを導入・運用可能になりました。
本手順では、参考に ASA5516-Xの ASAソフトウェアから FTD 6.1.0へのリイメージ手順、及び FDMに管理アクセスのための初期セットアップ手順を示します。
なお、FDM利用時のテクニカルサポートを受けるには、別途ライセンスの購入や保守契約が必要となることがあります。
FDMによるローカル管理(on-box)は、SMBマーケット向けを想定しており、複雑さを避けた、シンプルな機能・管理性の提供となります。 そのため、導入を予定しているシステムの機能要件とマッチするかの事前確認が必要です。
FTD 6.1とFDMは、NGFWとしてベーシックな機能である、以下などの機能を提供します。
FTD 6.1とFDMは、以下などの高度機能をサポートしてません(2016年10月現在)。 なお、将来的に、FTDとFDMの提供する機能は増加していく予定です。
FTDのサポートするフル機能を活用したい場合は、Firepower Management Center(FMC)の利用を検討します。 FMCは複数FTDデバイスを一括管理できる統合管理サーバです。 なお、本ドキュメントでは FMCと その管理構成については詳しく扱いません。
FTDは、スマートライセンスのみ利用可能です(2016年10月現在)。 スマートライセンスの認証にはCiscoクラウドを用いるため、インターネット接続が必要です。
以下4つのライセンスがあり、少なくともBaseライセンスが必須となります。
なお、FTDはデフォルト 90日の評価ライセンスが付いてくるため、90日間の試用も可能です。
ASA5506-X, ASA5508-X, ASA5516-Xの場合、ROMMONバージョンが 1.1.8以上である必要があります。 1.1.8未満の場合は、以下URLを参考に、事前にROMMONイメージのアップグレードを実施してください。
Verify and Upgrade the ROMMON Image
http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html#pgfId-128106
ROMMONバージョンは、"show module"コマンドで確認できます。 以下出力の場合、1.1.8であることがわかります。
ciscoasa# show module
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
1 ASA 5516-X with FirePOWER services, 8GE, AC, ASA5516 JAD2036xxxx
sfr FirePOWER Services Software Module ASA5516 JAD203602PG
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
1 00a6.cacc.cdb4 to 00a6.cacc.cdbc 1.1 1.1.8 9.6(1)
sfr 00a6.cacc.cdb3 to 00a6.cacc.cdb3 N/A N/A 5.4.1-211
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr ASA FirePOWER Up 5.4.1-211
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
1 Up Sys Not Applicable
sfr Up Up
--------------------------------------------------------
以下URLを参考に、事前のバックアップの取得を 強くお勧めします。
ASDM: ASA設定のバックアップ・リストア機能について
https://supportforums.cisco.com/ja/document/12931301
合わせ、"show activation-key"コマンドの出力を取得しておきます。 何らかの理由で、FTDからASAソフトウェアに戻したい場合に、ASAライセンスの再有効化に Activation keyを利用することができます。
ciscoasa# show activation-key
Serial Number: JAD2036xxxx
Running Permanent Activation Key: 0x3929f86d 0x08f839db 0xe493a5ec 0xxxxxxxxx 0xxxxxxxxx
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 150 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 4 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 300 perpetual
Total VPN Peers : 300 perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total UC Proxy Sessions : 1000 perpetual
Botnet Traffic Filter : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual
VPN Load Balancing : Enabled perpetual
The flash permanent activation key is the SAME as the running permanent key.
FTDブートイメージを、Download Softwareから事前にダウンロードします。 ASAの管理インターフェイスからアクセス可能な、任意TFTPサーバにアップロードしておきます。 ASA5506-X/ASA5508-X/ASA5516-Xの場合、FTDブートイメージは 以下のファイル名です。
ftd-boot-9.6.2.0.lfbff
FTDシステムソフトウェアのインストールパッケージを、Download Softwareから事前にダウンロードします。 ASAの管理インターフェイスからアクセス可能な、任意FTPサーバ、もしくは HTTPサーバにアップロードしておきます。 ASA5500-Xシリーズの場合、インストールパッケージは 以下のファイル名です。
ftd-6.1.0-330.pkg
以下は、Download SoftwareのURLと、その画面です。
https://software.cisco.com/download/release.html?mdfid=286285782&softwareid=286306337
"reload"コマンドを実行し、ROMMON起動時に"ESC"キーを押下し、ROMMONプロンプトにアクセスします。
asa5516# reload
Proceed with reload? [confirm]
asa5516#
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down sw-module
Shutting down License Controller
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Process shutdown finished
Rebooting.....
INIT: Sending processes the TERM signal
Deconfiguring network interfaces... done.
Sending all processes the TERM signal...
Sending all processes the KILL signal...
Deactivating swap...
Unmounting local filesystems...
Rebooting...
Rom image verified correctly
Cisco Systems ROMMON, Version 1.1.8, RELEASE SOFTWARE
Copyright (c) 1994-2015 by Cisco Systems, Inc.
Compiled Thu 06/18/2015 12:15:56.43 by builders
Current image running: Boot ROM0
Last reset cause: PowerCycleRequest
DIMM Slot 0 : Present
DIMM Slot 1 : Present
Platform ASA5516 with 8192 Mbytes of main memory
MAC Address: 00:f2:8b:fc:12:43
Use BREAK or ESC to interrupt boot. <----!! Press ESC !!
Use SPACE to begin boot immediately.
Boot interrupted.
rommon 1 >
ブート用イメージを置いているTFTPサーバにアクセスするため、IPアドレスやファイル名情報を入力します。 "set"コマンドで設定を確認し、"ping"コマンドで任意宛先(TFTPサーバなど)と疎通性を確認します。(注:ASA5512/5515/5525/5545/5555を利用時は、rommon プロンプトで "rommon 1 > interface gigabitethernet0/0" などコマンドを実施し 事前に利用するインターフェイスを指定してください。 ASA5506/5508/5516はデフォルトで管理ポートが利用されます。)
rommon 1 > address 1.xx.xx.xx
rommon 2 > netmask 255.0.0.0
rommon 3 > server 1.0.0.1
rommon 4 > file tac/ftd-boot-9.6.2.0.lfbff
rommon 5 > set
ADDRESS=1.xx.xx.xx
NETMASK=255.0.0.0
GATEWAY=
SERVER=1.0.0.1
IMAGE=tac/ftd-boot-9.6.2.0.lfbff
CONFIG=
PS1="rommon ! > "
rommon 6 > ping 1.0.0.1
Sending 10, 32-byte ICMP Echoes to 1.0.0.1 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 7 >
"tftpdnld"コマンドで、TFTPサーバからブート用イメージのダウンロード、及び セットアップを実行します。
rommon 22 > tftpdnld
ADDRESS: 1.xx.xx.xx
NETMASK: 255.0.0.0
GATEWAY: 1.0.0.100
SERVER: 1.0.0.1
IMAGE: tac/ftd-boot-9.6.2.0.lfbff
MACADDR: 00:f2:8b:fc:12:43
VERBOSITY: Progress
RETRY: 40
PKTTIMEOUT: 7200
BLKSIZE: 1460
CHECKSUM: Yes
PORT: GbE/1
PHYMODE: Auto Detect
Receiving tac/ftd-boot-9.6.2.0.lfbff from 1.0.0.1!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
File reception completed.
Boot buffer bigbuf=348bd018
Boot image size = 100921600 (0x603f100) bytes
[image size] 100921600
[MD5 signaure] 0264697f6f1942b9bf80f820fb209ad5
LFBFF signature verified.
INIT: version 2.88 booting
Starting udev
Configuring network interfaces... done.
Populating dev cache
--- snip ---
Cisco FTD Boot 6.0.0 (9.6.2.)
Type ? for list of commands
asa5516-boot>
ブート用プロンプトに変わった後、"setup"コマンドで FTP or WEBサーバへアクセスするための IPや管理設定を行います。その後、"ping"コマンドで任意宛先と疎通性を確認します。
asa5516-boot>setup
Welcome to Cisco FTD Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asa5516]: FTD5516-01
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [Y]: N
Enter an IPv4 address: 1.xx.xx.xx
Enter the netmask: 255.0.0.0
Enter the gateway: 1.0.0.100
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address [171.70.168.183]: 1.0.0.100
Do you want to configure Secondary DNS Server? (y/n) [y]: n
Any previously configured secondary DNS servers will be removed.
Do you want to configure Local Domain Name? (y/n) [n]: n
Do you want to configure Search domains? (y/n) [n]: n
Do you want to enable the NTP service? [Y]: Y
Enter the NTP servers separated by commas [203.0.113.126]: 1.0.0.2
Please review the final configuration:
Hostname: FTD5516-01
Management Interface Configuration
IPv4 Configuration: static
IP Address: 1.xx.xx.xx
Netmask: 255.0.0.0
Gateway: 1.0.0.100
IPv6 Configuration: Stateless autoconfiguration
DNS Configuration:
DNS Server:
1.0.0.100
NTP configuration:
1.0.0.2
CAUTION:
You have selected IPv6 stateless autoconfiguration, which assigns a global address
based on network prefix and a device identifier. Although this address is unlikely
to change, if it does change, the system will stop functioning correctly.
We suggest you use static addressing instead.
Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Done.
Press ENTER to continue...
asa5516-boot>
asa5516-boot>ping 1.0.0.2
PING 1.0.0.2 (1.0.0.2) 56(84) bytes of data.
64 bytes from 1.0.0.2: icmp_seq=1 ttl=255 time=0.557 ms
64 bytes from 1.0.0.2: icmp_seq=2 ttl=255 time=0.512 ms
"system install [url]"コマンドで、FTDシステムソフトウェアのインストールパッケージのダウンロード、およびインストールを実行します。
[URL]は、FTPやHTTP、HTTPSを指定できます。 [URL]でユーザ名とパスワードを指定する事も可能です。 例えば、FTPサーバのユーザ名・パスワードを指定する場合は、"system install ftp://[ユーザID]:[パスワード]@[FTPサーバIP]/ftd-6.1.0-330.pkg"コマンドを実行します。
以下はFTPサーバからファイルダウンロード時のコマンド実行例です。
asa5516-boot>system install ftp://1.0.0.1/de/ftd-6.1.0-330.pkg
######################## WARNING ############################
# The content of disk0: will be erased during installation! #
#############################################################
Do you want to continue? [y/N] y
Erasing disk0 ...
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FTD 6.1.0-330 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Starting upgrade process ...
Populating new system image.....
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system. <----!! Press ENTER !!
BroadcaStopping OpenBSD Secure Shell server: sshdstopped /usr/sbin/sshd (pid 1842)
.
Stopping Advanced Configuration and Power Interface daemon: stopped /usr/sbin/acpid (pid 1846)
acpid: exiting
acpid.
Stopping system message bus: dbus.
Stopping ntpd: stopped process in pidfile '/var/run/ntp.pid' (pid 1927)
done
Stopping crond: OK
Deconfiguring network interfaces... done.
Sending all processes the TERM signal...
Sending all processes the KILL signal...
Deactivating swap...
Unmounting local filesystems...
Rebooting...
パッケージインストール中は以下のようなコンソールが表示されます。 自動的にインストールは完了するので、しばらく待ちます。 セットアップデバイスの処理性能にもよりますが、ASA5516の場合、おおよそ30分前後で完了します。
************ Attention *********
Initializing the configuration database. Depending on available
system resources (CPU, memory, and disk), this may take 30 minutes
or more to complete.
************ Attention *********
Executing S09database-init [ OK ]
Executing S11database-populate [ OK ]
Executing S12install_infodb [ OK ]
Executing S15set-locale.sh [ OK ]
Executing S16update-sensor.pl [ OK ]
Executing S19cert-tun-init [ OK ]
Executing S20cert-init [ OK ]
Executing S21disable_estreamer [ OK ]
Executing S25create_default_des.pl [ OK ]
Executing S30init_lights_out_mgmt.pl [ OK ]
Executing S40install_default_filters.pl [ OK ]
--- snip ---
********** Attention **********
Initializing the system's localization settings. Depending on available
system resources (CPU, memory, and disk), this may take 10 minutes
or more to complete.
********** Attention **********
Executing S96localize-templates [ OK ]
Executing S96ovf-data.pl [ OK ]
Executing S97compress-client-resources
しばらくすると、コンソールアクセス可能になるので、ユーザ名/パスワードは admin/Admin123 でログインします。 EULAに同意するか確認の後、任意の新規パスワード設定や 管理設定を行います。 FDMによるローカル管理を行う場合、"Manage the device locally?"の問いには "yes"を入力します。
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Reading from flash...
!
Cryptochecksum (changed): f410387e 8aab8a4e f71eb8a9 f8b37ef9
INFO: Power-On Self-Test in process.
.......................................................................
INFO: Power-On Self-Test complete.
INFO: Starting HW-DRBG health test...
INFO: HW-DRBG health test passed.
INFO: Starting SW-DRBG health test...
INFO: SW-DRBG health test passed.
Type help o '?' for a list
Cisco ASA5516-X Threat Defense v6.1.0 (build 330)
firepower login: admin
Password: <---- !! Input Admin123 !!
You must accept the EULA to continue.
Press <ENTER> to display the EULA:
END USER LICENSE AGREEMENT
IMPORTANT: PLEASE READ THIS END USER LICENSE AGREEMENT CAREFULLY. IT IS VERY
IMPORTANT THAT YOU CHECK THAT YOU ARE PURCHASING CISCO SOFTWARE OR EQUIPMENT
FROM AN APPROVED SOURCE AND THAT YOU, OR THE ENTITY YOU REPRESENT
(COLLECTIVELY, THE "CUSTOMER") HAVE BEEN REGISTERED AS THE END USER FOR THE
PURPOSES OF THIS CISCO END USER LICENSE AGREEMENT. IF YOU ARE NOT REGISTERED
AS THE END USER YOU HAVE NO LICENSE TO USE THE SOFTWARE AND THE LIMITED
WARRANTY IN THIS END USER LICENSE AGREEMENT DOES NOT APPLY. ASSUMING YOU HAVE
PURCHASED FROM AN APPROVED SOURCE, DOWNLOADING, INSTALLING OR USING CISCO OR
CISCO-SUPPLIED SOFTWARE CONSTITUTES ACCEPTANCE OF THIS AGREEMENT.
--- snip ---
Product warranty terms and other information applicable to Cisco products are
available at the following URL: http://www.cisco.com/go/warranty.
Please enter 'YES' or press <ENTER> to AGREE to the EULA: <----!! Press Enter !!
System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 1.xx.xx.xx
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.0.0.0
Enter the IPv4 default gateway for the management interface [192.168.45.1]: 1.0.0.100
Enter a fully qualified hostname for this system [firepower]:
Enter a comma-separated list of DNS servers or 'none' []: 1.0.0.100
Enter a comma-separated list of search domains or 'none' []: none
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
Manage the device locally? (yes/no) [yes]: yes <---- !!ローカル管理有効化!!
Configuring firewall mode to routed
Update policy deployment information
- add device configuration
Successfully performed firstboot initial configuration steps for Firepower Device Manager for Firepower Threat Defense.
>
任意Webブラウザから FTDデバイスの管理IPに httpsでアクセスします。 初回アクセス時は、初期デバイスセットアップ画面になるので、不要時は"Skip device setup"をクリックしスキップします。 以下の、FDMの Device Dashboardにアクセス可能になります。
Device Dashboardの 画面左下の"Smart License"をクリックすることで、スマートライセンスの有効化や、評価ライセンスの有効化が可能です。
初期セットアップ後の、FDMでの設定や管理方法について詳しくは、以下の設定ガイドなどを参照してください。
Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version 6.1
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/fdm/fptd-fdm-config-guide-610.html
セキュリティデバイスの運用・管理には、ログが正しい時刻で保存されているかが極めて重要です。 そのため、信頼できるNTPサーバとの時刻同期を強くお勧めします。
設定方法は、Device Dashboardの 画面右下の System Settings より、"NTP"をクリックします。 NTP Time Serverから "Manually input"を選択し、任意NTPサーバを設定し Saveをクリックします。
FDMの画面右上の Profileアイコンをクリックし、Profileを選択します。
以下画面に遷移するので、任意Time Zoneを設定し、Saveをクリックします。
事前に、FTDデバイスがインターネット接続性がある事を確認します。 Ciscoクラウドとの認証にはTCP443を利用します。
次に、Device Dashboardの "Smart Licenseの View Configuration" をクリックします。
以下画面に遷移するので、"REQUEST REGISTER"ボタンをクリックします。
以下ポップアップが表示されるので、Cisco Software Manager から発行したToken IDを入力し、"REQUEST REGISTER"ボタンをクリックしてください。
スマートライセンス認証後、想定のサブスクリプションライセンスが有効となることを確認します。
FTDはWebUI経由での管理がメインですが、CLIでも一定の確認が可能です。
まずCLIでログインします。
firepower login: admin
Password:
Last login: Mon Oct 3 02:58:40 UTC 2016 on ttyS1
>
"show managers"コマンドで管理状況を確認できます。 "Managed locally."と出力時は、FDMによるローカル管理である事がわかります。
> show managers
Managed locally.
FMCで管理デバイスを、FDMでローカル管理可能な状態に切り替えるには、"configure manager local"コマンドを実行します。 もしくは、既にFMC(中央管理サーバ)にFTDを登録済みであった場合は、ドキュメント FTD: FMC登録したFTDの、ローカル管理(on-box)に切り替え方法を参照してください。
> configure manager local
"show network"コマンドで、IP設定状況を確認できます。
> show network
===============[ System Information ]===============
Hostname : firepower
DNS Servers : 1.0.0.100
Management port : 8305
IPv4 Default route
Gateway : 1.0.0.100
======================[ br1 ]=======================
State : Enabled
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1500
MAC Address : 00:F2:8B:FC:12:42
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 1.xx.xx.xx
Netmask : 255.0.0.0
Broadcast : 1.255.255.255
----------------------[ IPv6 ]----------------------
Configuration : Disabled
===============[ Proxy Information ]================
State : Disabled
Authentication : Disabled
Ping試験を行いたい場合は、ドキュメント FTD: CLIからのPING試験についてを参考にしてください。
時刻の確認には、"show time"コマンドを実行します。
> show time
UTC - Mon Oct 10 07:44:26 UTC 2016
Localtime - Mon Oct 10 03:44:28 EDT 2016
時刻同期状況の確認には、"show ntp"コマンドを実行します。
> show ntp
NTP Server : 1.0.0.2
Status : Being Used
Offset : -0.918 (milliseconds)
Last Update : 4 (seconds)
"system support diagnostic-cli"コマンドで、FTDのベースとなる内部ASAソフトウェアにアクセスできます。 showコマンドの出力を確認できますが、configurationモードにはアクセスできません。 FTDの設定はWebUIから行うためです。
> system support diagnostic-cli
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower>
firepower> enable
Password: <---- !! Press Enter !!
firepower#
firepower# show version
-------------------[ firepower ]--------------------
Model : Cisco ASA5516-X Threat Defense (75) Version 6.1.0 (Build 330)
UUID : 6f0866a4-8911-11e6-9e3e-dff3094452a2
Rules update version : 2016-03-28-001-vrt
VDB version : 270
----------------------------------------------------
Cisco Adaptive Security Appliance Software Version 9.6(2)
Compiled on Tue 23-Aug-16 19:42 PDT by builders
System image file is "disk0:/os.img"
Config file at boot was "startup-config"
firepower up 7 days 2 hours
Hardware: ASA5516, 8192 MB RAM, CPU Atom C2000 series 2416 MHz, 1 CPU (8 cores)
Internal ATA Compact Flash, 8192MB
BIOS Flash M25P64 @ 0xfed01000, 16384KB
Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
Number of accelerators: 1
1: Ext: GigabitEthernet1/1 : address is 00f2.8bfc.1244, irq 255
2: Ext: GigabitEthernet1/2 : address is 00f2.8bfc.1245, irq 255
3: Ext: GigabitEthernet1/3 : address is 00f2.8bfc.1246, irq 255
4: Ext: GigabitEthernet1/4 : address is 00f2.8bfc.1247, irq 255
5: Ext: GigabitEthernet1/5 : address is 00f2.8bfc.1248, irq 255
6: Ext: GigabitEthernet1/6 : address is 00f2.8bfc.1249, irq 255
7: Ext: GigabitEthernet1/7 : address is 00f2.8bfc.124a, irq 255
8: Ext: GigabitEthernet1/8 : address is 00f2.8bfc.124b, irq 255
9: Int: Internal-Data1/1 : address is 00f2.8bfc.1243, irq 255
10: Int: Internal-Data1/2 : address is 0000.0001.0002, irq 0
11: Int: Internal-Control1/1 : address is 0000.0001.0001, irq 0
12: Int: Internal-Data1/3 : address is 0000.0001.0003, irq 0
13: Ext: Management1/1 : address is 00f2.8bfc.1243, irq 0
14: Int: Internal-Data1/4 : address is 0000.0100.0001, irq 0
Serial Number: JAD2003xxxx
Configuration register is 0x1
Image type : Release
Key Version : A
Configuration last modified by enable_1 at 04:43:43.449 UTC Mon Oct 3 2016
firepower#
firepower#
firepower# conf t
^
ERROR: % Invalid input detected at '^' marker.
firepower#
FTD内の ASAソフトウェアのCLIモードから抜けるには、"Ctrl + a"のあと "d"キーを押します。
可能です。 詳しくは以下手順を参照してください。
Reimage from Firepower Threat Defense to ASA
http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html#pgfId-128744
FTD バージョン6.1.0では 利用できません。 なお、今後サポート機能は拡張されていく予定です。 (2017年1月現在)
FDMは、対象FTDデバイスのローカル管理が可能であり、シンプルさを追求してます。 ASA 1台と、管理PCのWebブラウザがあれば、簡単にNGFWの設定と管理が可能です。 ただ、利用可能な機能や設定は、少なからず制限されます。
FMCは、複数FTDデバイスの一元管理が可能であり、高度な設定・管理や拡張性を追及してます。 FTDデバイスの冗長構成もサポートします。 FMCは、ESXiホストにインストールする仮想版、もしくは アプライアンス版があります。
詳しくは以下ドキュメントも参照ください。
ASA: FTD/FirePOWERの FDM/FMC/ASDM管理時の比較
https://supportforums.cisco.com/ja/document/13141346
残念ながら、CLIでの設定変更は対応してません。
本手順を参考にすることは可能ですが、リイメージ時の手順が少々異なります。詳しくは、以下ドキュメントの「FTD→FTD: ASA 5500-X」の手順を参考にしてください。
Reimage the Cisco ASA or Firepower Threat Defense Device
http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html
Cisco Firepower NGFW / Install and Upgrade Guides
http://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html
Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version 6.1
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/fdm/fptd-fdm-config-guide-610/fptd-fdm-get-started.html
FirePOWER Threat Defense - Smart Licensing FAQ's
https://supportforums.cisco.com/discussion/12944426/firepower-threat-defense-smart-licensing-faqs
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします