「2024-08-29 Firepower まとめ」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし |
|||
| (同じ利用者による、間の19版が非表示) | |||
| 2行目: | 2行目: | ||
このページでは Firepower の動作についてまとめています。 | このページでは Firepower の動作についてまとめています。 | ||
== Cisco コミュニティのまとめページ == | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-and-ftd%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161733 Firepower System and FTDトラブルシューティング] | |||
== Firepower のアーキテクチャ == | == Firepower のアーキテクチャ == | ||
| 22行目: | 25行目: | ||
=== Firepower === | === Firepower === | ||
仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。 | |||
Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。 | Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。 | ||
| 28行目: | 31行目: | ||
* ASA アプライアンス モード | * ASA アプライアンス モード | ||
** レイヤ 4 までのフィルタリング、VPN 機能などを備える | ** レイヤ 4 までのフィルタリング、VPN 機能などを備える | ||
** ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている | |||
** ASA のコンフィグや運用は、ほぼそのまま踏襲可能 | |||
* FTD プラットフォーム モード | * FTD プラットフォーム モード | ||
** レイヤ 7 までを含み、脅威の監査などを行う | ** レイヤ 7 までを含み、脅威の監査などを行う | ||
** IPS / NGFW / FTD | ** IPS / NGFW / FTD | ||
FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。 | |||
=== 動作モード === | === 動作モード === | ||
| 42行目: | 48行目: | ||
* Firepower 4100 シリーズ : FTD プラットフォーム モード | * Firepower 4100 シリーズ : FTD プラットフォーム モード | ||
* Firepower 9300 シリーズ : FTD プラットフォーム モード | * Firepower 9300 シリーズ : FTD プラットフォーム モード | ||
機能によってはどちらかの OS | 機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。 | ||
=== Firepower Management Center (FMC) === | === Firepower Management Center (FMC) === | ||
| 75行目: | 81行目: | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff"> | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff"> | ||
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。 | ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。 | ||
</syntaxhighlight> | </syntaxhighlight>ASA から FXOS にコンソールを切り替えて、コマンドを実施します。 | ||
==== show portchannel summary (上記 URL から引用) ==== | |||
<syntaxhighlight lang="diff"> | |||
firepower-2110# connect local-mgmt | |||
firepower-2110(local-mgmt)# | |||
firepower-2110(local-mgmt)# show portchannel summary | |||
Flags: D - Down P - Up in port-channel (members) | |||
I - Individual H - Hot-standby (LACP only) | |||
s - Suspended r - Module-removed | |||
S - Switched R - Routed | |||
U - Up (port-channel) | |||
M - Not in use. Min-links not met | |||
-------------------------------------------------------------------------------- | |||
Group Port- Type Protocol Member Ports | |||
Channel | |||
-------------------------------------------------------------------------------- | |||
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P) | |||
</syntaxhighlight>その他のコマンドは上述の外部リンクの内容を参照してください。 | |||
=== 電源 off / 再起動は明示的に実施する === | === 電源 off / 再起動は明示的に実施する === | ||
| 84行目: | 110行目: | ||
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。 | 電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。 | ||
</syntaxhighlight> | </syntaxhighlight>ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。]</ref> ため、安全に切れるようになっています。 | ||
[https:// | |||
データベース破損による再インストールが発生しかねない'''危険な作業は、電源ケーブルの直接抜去'''です。 | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR3100/FPR4100/FPR9300)]<syntaxhighlight lang="diff"> | |||
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください | FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください | ||
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。 | 再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。 | ||
| 115行目: | 130行目: | ||
Please enter 'YES' or 'NO': YES | Please enter 'YES' or 'NO': YES | ||
</syntaxhighlight> | </syntaxhighlight> | ||
=== インターフェース モードのパッシブ コマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する === | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff"> | |||
インターフェイス モード | |||
インターフェイスごとに、次のいずれかのモードを設定できます。 | |||
ルーテッド | |||
各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。 | |||
パッシブ | |||
パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。 | |||
</syntaxhighlight> | |||
=== FMC から FTD が削除できない === | |||
FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。 | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法] | |||
== CLI == | == CLI == | ||
| 125行目: | 161行目: | ||
system support diagnostic-cli | system support diagnostic-cli | ||
</syntaxhighlight> | </syntaxhighlight> | ||
== 推奨バージョン == | |||
[https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html Cisco Secure Firewall ASA Compatibility] | |||
== Verup == | |||
[https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/200887-upgrading-an-asa-ha-pair-on-firepower-ap.html FirepowerアプライアンスでのASA HAペアのアップグレード] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/planning.html#id_58680 Cisco Secure Firewall ASA アップグレードガイド] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#concept_xxv_yvn_kkb アクティブ/スタンバイ フェールオーバー ペアのアップグレード] | |||
== リファレンス == | |||
[https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-3004.pdf TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer] | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%82%B9%E3%83%9E%E3%83%BC%E3%83%88%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3163034 ASA: スマートライセンス認証とトラブルシューティング] | |||
== 脆弱性・不具合情報 == | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E6%B3%A8%E6%84%8F%E5%96%9A%E8%B5%B7-asa-9-16-ftd-7-0%E7%B3%BB%E3%81%AE-fpr2100-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%8C%E8%B5%B7%E5%8B%95%E5%BE%8C-125%E6%97%A5%E5%89%8D%E5%BE%8C%E3%81%A7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4999005 【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について] | |||
* [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh04730 CSCwh04730 ASA/FTD HA checkheaps crash where memory buffers are corrupted] | |||
* [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvy81493 CSCvy81493 traceback and reload with 'CHECKHEAPS HAS DETECTED A MEMORY CORRUPTION'] | |||
[https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-icmpv6-t5TzqwNd Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability] | |||
* CVE-2023-20086 | |||
* CSCwd77581 | |||
== コマンドリスト == | |||
作業日、全作業の事前・事後ログに取りたいコマンドのリスト。 | |||
作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。 | |||
{| class="wikitable" | |||
|+Catalyst 9000 シリーズ 事前・事後ログリスト | |||
!大区分 | |||
!小区分 | |||
!コマンド | |||
!備考 | |||
|- | |||
|ターミナル設定 | |||
| | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1640149 terminal pager 0] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1701280 terminal monitor] | |||
| | |||
|- | |||
|サポート | |||
| | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s13.html#pgfId-1329992 show tech-support] | |||
| | |||
|- | |||
|Common | |||
|System Management | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s14.html#pgfId-1333320 show version] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s12.html#pgfId-1490934 show running-config] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/I-R/asa-command-ref-I-R/m_mf-mz.html#wp9874469650 more] system:running-config <ref>[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/ref-cli.html#ID-2118-000000c8 実行コンフィギュレーションの確認] | |||
'''(注) '''多くのパスワードは ***** として表示されます。パスワードをプレーン テキストまたは暗号化された形式(マスター パスフレーズを有効にしている場合)で表示するには、'''more''' コマンドを使用します。</ref> | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s9.html#pgfId-1519478 show logging] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s10.html#pgfId-1471958 show ntp associations] | |||
|IOS-XE Version , ライセンス | |||
動作中のコンフィグ | |||
メモリに保存された log | |||
NTP 同期 | |||
|- | |||
| rowspan="2" |Layer1 | |||
|Hardware | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html?bookSearch=true#pgfId-1648516 show facility-alarm status] | |||
| | |||
|- | |||
|Interface | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1497263 show interface] | |||
|インターフェース | |||
状態 カウンタ | |||
エラーカウンタ | |||
|- | |||
| rowspan="2" |Layer2 | |||
|Common | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s14.html#pgfId-1390991 show vlan] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s9.html#pgfId-1519796 show mac address-table] | |||
|Vlan | |||
MAC アドレステーブル | |||
|- | |||
|Redundancy Protocol | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1541047 show port-channel summary] (FX-OS) | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1541660 show port-channel load-balance] | |||
|ポートチャネル | |||
負荷分散メソッド | |||
|- | |||
| rowspan="3" |Layer3 | |||
|Common | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s2.html#pgfId-1449611 show arp] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1498091 show interface ip brief] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1458997 show ipv6 neighbors] | |||
|ARP エントリ | |||
IP インターフェース一覧 | |||
IPv6 ネイバー | |||
|- | |||
|Security | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s2.html#pgfId-1448836 show ip access-lists] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1505394 show ipv6 access-list] | |||
|IPv4 アクセスリスト | |||
IPv6 アクセスリスト | |||
|- | |||
|Routing | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1534280 show route] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s10.html#pgfId-1524577 show ospf neighbor] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1817627 show bgp summary] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1890703 show bgp neighbor] x.x.x.x advertised-routes | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1890703 show ip bgp neighbor] x.x.x.x received-routes | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1500797 show ipv6 route] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1569189 show ipv6 ospf neighbor] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1500528 show ipv6 interface brief] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1922478 show bgp ipv6 summary] | |||
|IPv4 ルート | |||
OSPF ネイバー | |||
BGP IPv4 ピア一覧 | |||
特定ピアの BGP 広報ルート | |||
特定ピアの BGP 受信ルート | |||
IPv4 ルート | |||
IPv6 OSPF ネイバー | |||
IPv6 インターフェース一覧 | |||
BGP IPv6 ピア一覧 | |||
|- | |||
|High Availability | |||
| | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1722599 show failover state] | |||
|フェイルオーバー | |||
|- | |||
| rowspan="3" |ASA VPN | |||
|Site-to-Site VPN | |||
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1487282 show crypto ikev1 sa] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1487767 show crypto ikev2 sa] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1578311 show crypto ipsec sa] | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1585923 show crypto isakmp sa] | |||
|セキュリティ アソシエーション | |||
|- | |||
| | |||
| | |||
| | |||
|- | |||
| | |||
| | |||
| | |||
|} | |||
= 引用 = | |||
[[カテゴリ:Firepower]] | [[カテゴリ:Firepower]] | ||
2024年9月18日 (水) 12:08時点における最新版
Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。
このページでは Firepower の動作についてまとめています。
Cisco コミュニティのまとめページ
Firepower System and FTDトラブルシューティング
Firepower のアーキテクチャ
FPR2100 以外の製品でソフトウェア転送となっており、基本的に ASIC を使用しません。
2100シリーズのデバイスは他のデバイスと大きく異なり、特定用途向け集積回路(ASIC)が存在します。
従来のASA機能(Lina)はすべてASIC上で実行され、次世代ファイアウォール(NGFW)機能(Snort、
URLフィルタリングなど)はすべて従来のx86アーキテクチャ上で実行されます。
ASA と Firepower の違い
ASA
以前販売されていたアプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。
Firepower 上でも ASA OS として動作させることが可能な製品が存在する。
Firepower
仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。
Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。
- ASA アプライアンス モード
- レイヤ 4 までのフィルタリング、VPN 機能などを備える
- ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている
- ASA のコンフィグや運用は、ほぼそのまま踏襲可能
- FTD プラットフォーム モード
- レイヤ 7 までを含み、脅威の監査などを行う
- IPS / NGFW / FTD
FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。
動作モード
機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。
また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。
- Firepower 1000 シリーズ : ASA アプライアンスモード
- Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
- Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
- Firepower 4100 シリーズ : FTD プラットフォーム モード
- Firepower 9300 シリーズ : FTD プラットフォーム モード
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。
Firepower Management Center (FMC)
Cisco Defense Orchestrator (CDO)
詳細は以下のドキュメントが詳しい。
Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介
冗長化
Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)
バックアップ・リストア
FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。
また、機能によってはリストアに対応しない機能もあります。
Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)
・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。
・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です
注意するべき内容
Portchannel のステータスが ASA OS から確認できない
ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため。
Firepower2100-ASA: EtherChannelの設定確認方法
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
ASA から FXOS にコンソールを切り替えて、コマンドを実施します。
show portchannel summary (上記 URL から引用)
firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
その他のコマンドは上述の外部リンクの内容を参照してください。
電源 off / 再起動は明示的に実施する
Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。
Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順
Caution:
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である [1] ため、安全に切れるようになっています。
データベース破損による再インストールが発生しかねない危険な作業は、電源ケーブルの直接抜去です。
FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR3100/FPR4100/FPR9300)
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。
firepower# connect ftd
>
>
> reboot
シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。
> shutdown
This command will shutdown the system. Continue?
Please enter 'YES' or 'NO': YES
インターフェース モードのパッシブ コマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する
Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)
インターフェイス モード
インターフェイスごとに、次のいずれかのモードを設定できます。
ルーテッド
各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。
パッシブ
パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。
FMC から FTD が削除できない
FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。
Firepower System: FMCからのデバイス登録の強制削除方法
CLI
FTD / ASA を移動する
FXOS: FTD: OSの構造とコマンドプロンプトの移動方法
FTD から ASA に CLI を変更し、ping 試験を行う
system support diagnostic-cli
推奨バージョン
Cisco Secure Firewall ASA Compatibility
Verup
FirepowerアプライアンスでのASA HAペアのアップグレード
Cisco Secure Firewall ASA アップグレードガイド
アクティブ/スタンバイ フェールオーバー ペアのアップグレード
リファレンス
TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer
脆弱性・不具合情報
【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について
- CSCwh04730 ASA/FTD HA checkheaps crash where memory buffers are corrupted
- CSCvy81493 traceback and reload with 'CHECKHEAPS HAS DETECTED A MEMORY CORRUPTION'
- CVE-2023-20086
- CSCwd77581
コマンドリスト
作業日、全作業の事前・事後ログに取りたいコマンドのリスト。
作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。
| 大区分 | 小区分 | コマンド | 備考 |
|---|---|---|---|
| ターミナル設定 | terminal pager 0 | ||
| サポート | show tech-support | ||
| Common | System Management | show version | IOS-XE Version , ライセンス
動作中のコンフィグ メモリに保存された log NTP 同期 |
| Layer1 | Hardware | show facility-alarm status | |
| Interface | show interface | インターフェース
状態 カウンタ エラーカウンタ | |
| Layer2 | Common | show vlan | Vlan
MAC アドレステーブル |
| Redundancy Protocol | show port-channel summary (FX-OS) | ポートチャネル
負荷分散メソッド | |
| Layer3 | Common | show arp | ARP エントリ
IP インターフェース一覧 IPv6 ネイバー |
| Security | show ip access-lists | IPv4 アクセスリスト
IPv6 アクセスリスト | |
| Routing | show route
show bgp neighbor x.x.x.x advertised-routes show ip bgp neighbor x.x.x.x received-routes |
IPv4 ルート
OSPF ネイバー BGP IPv4 ピア一覧 特定ピアの BGP 広報ルート 特定ピアの BGP 受信ルート IPv4 ルート IPv6 OSPF ネイバー IPv6 インターフェース一覧 BGP IPv6 ピア一覧 | |
| High Availability | show failover state | フェイルオーバー | |
| ASA VPN | Site-to-Site VPN | show crypto ikev1 sa | セキュリティ アソシエーション |
引用
- ↑ FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。
- ↑ 実行コンフィギュレーションの確認 (注) 多くのパスワードは ***** として表示されます。パスワードをプレーン テキストまたは暗号化された形式(マスター パスフレーズを有効にしている場合)で表示するには、more コマンドを使用します。