2,009
回編集
差分
ナビゲーションに移動
検索に移動
2行目:
2行目: + + + 22行目:
25行目: − 仮想基盤を元にした、プラットフォーム製品となった。+ 31行目:
34行目: + 42行目:
46行目: − + 75行目:
79行目: − + + + + + + + + + + + + + + + + + + + + + 84行目:
108行目: − + − − === インターフェース モードのパッシブは LACP の passive と異なり、SPAN でキャプチャすることによるモニター モードを意味する === − [https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff"> − インターフェイス モード − − インターフェイスごとに、次のいずれかのモードを設定できます。 − ルーテッド+ − 各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。 − パッシブ+ − − パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。 − − </syntaxhighlight>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR3100/FPR4100/FPR9300)]<syntaxhighlight lang="diff"> 115行目:
128行目: + + + + + + + + + + + + + + + + + + + + + 125行目:
159行目: + + + + + + + +
編集の要約なし
このページでは Firepower の動作についてまとめています。
このページでは Firepower の動作についてまとめています。
== Cisco コミュニティのまとめページ ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-and-ftd%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161733 Firepower System and FTDトラブルシューティング]
== Firepower のアーキテクチャ ==
== Firepower のアーキテクチャ ==
=== Firepower ===
=== Firepower ===
仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。
Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。
Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。
** レイヤ 7 までを含み、脅威の監査などを行う
** レイヤ 7 までを含み、脅威の監査などを行う
** IPS / NGFW / FTD
** IPS / NGFW / FTD
FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。
=== 動作モード ===
=== 動作モード ===
* Firepower 4100 シリーズ : FTD プラットフォーム モード
* Firepower 4100 シリーズ : FTD プラットフォーム モード
* Firepower 9300 シリーズ : FTD プラットフォーム モード
* Firepower 9300 シリーズ : FTD プラットフォーム モード
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要なことがある。
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。
=== Firepower Management Center (FMC) ===
=== Firepower Management Center (FMC) ===
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff">
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff">
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
</syntaxhighlight>
</syntaxhighlight>ASA から FXOS にコンソールを切り替えて、コマンドを実施します。
==== show portchannel summary (上記 URL から引用) ====
<syntaxhighlight lang="diff">
firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
</syntaxhighlight>その他のコマンドは上述の外部リンクの内容を参照してください。
=== 電源 off / 再起動は明示的に実施する ===
=== 電源 off / 再起動は明示的に実施する ===
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
</syntaxhighlight>ちなみに電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。]</ref> ため、安全に切れるようになっています。
</syntaxhighlight>ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。]</ref> ため、安全に切れるようになっています。
データベース破損による差インストールが発生しかねない'''危険な作業は、電源ケーブルの直接抜去'''です。
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR3100/FPR4100/FPR9300)]<syntaxhighlight lang="diff">
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。
Please enter 'YES' or 'NO': YES
Please enter 'YES' or 'NO': YES
</syntaxhighlight>
</syntaxhighlight>
=== インターフェース モードのパッシブは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する ===
[https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff">
インターフェイス モード
インターフェイスごとに、次のいずれかのモードを設定できます。
ルーテッド
各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。
パッシブ
パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。
</syntaxhighlight>
=== FMC から FTD が削除できない ===
FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法]
== CLI ==
== CLI ==
system support diagnostic-cli
system support diagnostic-cli
</syntaxhighlight>
</syntaxhighlight>
== 推奨バージョン ==
[https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html Cisco Secure Firewall ASA Compatibility]
== リファレンス ==
[https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-3004.pdf TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer]
= 引用 =
[[カテゴリ:Firepower]]
[[カテゴリ:Firepower]]