「2024-08-29 Firepower まとめ」の版間の差分

提供:hkatou_Lab
ナビゲーションに移動 検索に移動
← 古い編集新しい編集 →
ビジュアルウィキテキスト
編集の要約なし
(同じ利用者による、間の15版が非表示)
2行目: 2行目:


このページでは Firepower の動作についてまとめています。
このページでは Firepower の動作についてまとめています。
== Cisco コミュニティのまとめページ ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-and-ftd%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161733 Firepower System and FTDトラブルシューティング]


== Firepower のアーキテクチャ ==
== Firepower のアーキテクチャ ==
22行目: 25行目:


=== Firepower ===
=== Firepower ===
仮想基盤を元にした、プラットフォーム製品となった。
仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。


Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。
Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。
28行目: 31行目:
* ASA アプライアンス モード
* ASA アプライアンス モード
** レイヤ 4 までのフィルタリング、VPN 機能などを備える
** レイヤ 4 までのフィルタリング、VPN 機能などを備える
** ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている
** ASA のコンフィグや運用は、ほぼそのまま踏襲可能
* FTD プラットフォーム モード
* FTD プラットフォーム モード
** レイヤ 7 までを含み、脅威の監査などを行う
** レイヤ 7 までを含み、脅威の監査などを行う
** IPS / NGFW / FTD
** IPS / NGFW / FTD
FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。


=== 動作モード ===
=== 動作モード ===
42行目: 48行目:
* Firepower 4100 シリーズ : FTD プラットフォーム モード
* Firepower 4100 シリーズ : FTD プラットフォーム モード
* Firepower 9300 シリーズ : FTD プラットフォーム モード
* Firepower 9300 シリーズ : FTD プラットフォーム モード
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要なことがある。
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。


=== Firepower Management Center (FMC) ===
=== Firepower Management Center (FMC) ===
75行目: 81行目:
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff">
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff">
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
</syntaxhighlight>
</syntaxhighlight>ASA から FXOS にコンソールを切り替えて、コマンドを実施します。
 
==== show portchannel summary (上記 URL から引用) ====
<syntaxhighlight lang="diff">
firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended  r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
 
Group Port-      Type    Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
 
1    Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)
</syntaxhighlight>その他のコマンドは上述の外部リンクの内容を参照してください。


=== 電源 off / 再起動は明示的に実施する ===
=== 電源 off / 再起動は明示的に実施する ===
84行目: 110行目:


電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
</syntaxhighlight>ちなみに電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。]</ref> ため、安全に切れるようになっています。
</syntaxhighlight>ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。]</ref> ため、安全に切れるようになっています。
 
データベース破損による再インストールが発生しかねない'''危険な作業は、電源ケーブルの直接抜去'''です。
 


[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR3100/FPR4100/FPR9300)]<syntaxhighlight lang="diff">
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR3100/FPR4100/FPR9300)]<syntaxhighlight lang="diff">
102行目: 131行目:
</syntaxhighlight>
</syntaxhighlight>


=== インターフェース モードのパッシブは LACP の passive と異なり、SPAN でキャプチャすることによるモニター モードを意味する ===
=== インターフェース モードのパッシブ コマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する ===
[https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff">
[https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff">
インターフェイス モード
インターフェイス モード
117行目: 146行目:


</syntaxhighlight>
</syntaxhighlight>
=== FMC から FTD が削除できない ===
FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法]
== CLI ==
== CLI ==


126行目: 161行目:
system support diagnostic-cli
system support diagnostic-cli
</syntaxhighlight>
</syntaxhighlight>
== 推奨バージョン ==
[https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html Cisco Secure Firewall ASA Compatibility]
== Verup ==
[https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/200887-upgrading-an-asa-ha-pair-on-firepower-ap.html FirepowerアプライアンスでのASA HAペアのアップグレード]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/planning.html#id_58680 Cisco Secure Firewall ASA アップグレードガイド]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#concept_xxv_yvn_kkb アクティブ/スタンバイ フェールオーバー ペアのアップグレード]
== リファレンス ==
[https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-3004.pdf TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%82%B9%E3%83%9E%E3%83%BC%E3%83%88%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3163034 ASA: スマートライセンス認証とトラブルシューティング]
== 脆弱性・不具合情報 ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E6%B3%A8%E6%84%8F%E5%96%9A%E8%B5%B7-asa-9-16-ftd-7-0%E7%B3%BB%E3%81%AE-fpr2100-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%8C%E8%B5%B7%E5%8B%95%E5%BE%8C-125%E6%97%A5%E5%89%8D%E5%BE%8C%E3%81%A7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4999005 【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について]
* [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh04730 CSCwh04730 ASA/FTD HA checkheaps crash where memory buffers are corrupted]
* [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvy81493 CSCvy81493 traceback and reload with 'CHECKHEAPS HAS DETECTED A MEMORY CORRUPTION']
[https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-icmpv6-t5TzqwNd Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability]
* CVE-2023-20086
* CSCwd77581
== コマンドリスト ==
作業日、全作業の事前・事後ログに取りたいコマンドのリスト。
作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。
{| class="wikitable"
|+Catalyst 9000 シリーズ 事前・事後ログリスト
!大区分
!小区分
!コマンド
!備考
|-
|ターミナル設定
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1640149 terminal pager 0]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1701280 terminal monitor]
|
|-
|サポート
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s13.html#pgfId-1329992 show tech-support]
|
|-
|Common
|System Management
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s14.html#pgfId-1333320 show version]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s12.html#pgfId-1490934 show running-config]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/I-R/asa-command-ref-I-R/m_mf-mz.html#wp9874469650 more] system:running-config <ref>[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/ref-cli.html#ID-2118-000000c8 実行コンフィギュレーションの確認]
'''(注)  '''多くのパスワードは ***** として表示されます。パスワードをプレーン テキストまたは暗号化された形式(マスター パスフレーズを有効にしている場合)で表示するには、'''more''' コマンドを使用します。</ref>
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s9.html#pgfId-1519478 show logging]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s10.html#pgfId-1471958 show ntp associations]
|IOS-XE Version , ライセンス
動作中のコンフィグ
メモリに保存された log
NTP 同期
|-
| rowspan="2" |Layer1
|Hardware
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html?bookSearch=true#pgfId-1648516 show facility-alarm status]
|
|-
|Interface
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1497263 show interface]
|インターフェース
状態 カウンタ
エラーカウンタ
|-
| rowspan="2" |Layer2
|Common
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s14.html#pgfId-1390991 show vlan]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s9.html#pgfId-1519796 show mac address-table]
|Vlan
MAC アドレステーブル
|-
|Redundancy Protocol
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1541047 show port-channel summary] (FX-OS)
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1541660 show port-channel load-balance]
|ポートチャネル
負荷分散メソッド
|-
| rowspan="3" |Layer3
|Common
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s2.html#pgfId-1449611 show arp]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1498091 show interface ip brief]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1458997 show ipv6 neighbors]
|ARP エントリ
IP インターフェース一覧
IPv6 ネイバー
|-
|Security
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s2.html#pgfId-1448836 show ip access-lists]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1505394 show ipv6 access-list]
|IPv4 アクセスリスト
IPv6 アクセスリスト
|-
|Routing
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1534280 show route]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s10.html#pgfId-1524577 show ospf neighbor]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1817627 show bgp summary]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1890703 show bgp neighbor] x.x.x.x advertised-routes
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1890703 show ip bgp neighbor] x.x.x.x received-routes
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1500797 show ipv6 route]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1569189 show ipv6 ospf neighbor]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1500528 show ipv6 interface brief]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1922478 show bgp ipv6 summary]
|IPv4 ルート
OSPF ネイバー
BGP IPv4 ピア一覧
特定ピアの BGP 広報ルート
特定ピアの BGP 受信ルート
IPv4 ルート
IPv6 OSPF ネイバー
IPv6 インターフェース一覧
BGP IPv6 ピア一覧
|-
|High Availability
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1722599 show failover state]
|フェイルオーバー
|-
| rowspan="3" |ASA VPN
|Site-to-Site VPN
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1487282 show crypto ikev1 sa]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1487767 show crypto ikev2 sa]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1578311 show crypto ipsec sa]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1585923 show crypto isakmp sa]
|セキュリティ アソシエーション
|-
|
|
|
|-
|
|
|
|}


= 引用 =
= 引用 =
[[カテゴリ:Firepower]]
[[カテゴリ:Firepower]]

2024年9月18日 (水) 12:08時点における版

Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。

このページでは Firepower の動作についてまとめています。

Cisco コミュニティのまとめページ

Firepower System and FTDトラブルシューティング

Firepower のアーキテクチャ

FPR2100 以外の製品でソフトウェア転送となっており、基本的に ASIC を使用しません。

Firepowerデータパスのトラブルシューティング:概要

2100シリーズのデバイスは他のデバイスと大きく異なり、特定用途向け集積回路(ASIC)が存在します。 
従来のASA機能(Lina)はすべてASIC上で実行され、次世代ファイアウォール(NGFW)機能(Snort、
URLフィルタリングなど)はすべて従来のx86アーキテクチャ上で実行されます。

ASA と Firepower の違い

ASA

以前販売されていたアプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。

Firepower 上でも ASA OS として動作させることが可能な製品が存在する。

Firepower

仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。

Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。

  • ASA アプライアンス モード
    • レイヤ 4 までのフィルタリング、VPN 機能などを備える
    • ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている
    • ASA のコンフィグや運用は、ほぼそのまま踏襲可能
  • FTD プラットフォーム モード
    • レイヤ 7 までを含み、脅威の監査などを行う
    • IPS / NGFW / FTD

FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。

動作モード

機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。

また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。

  • Firepower 1000 シリーズ : ASA アプライアンスモード
  • Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
  • Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
  • Firepower 4100 シリーズ : FTD プラットフォーム モード
  • Firepower 9300 シリーズ : FTD プラットフォーム モード

機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。

Firepower Management Center (FMC)

Cisco Defense Orchestrator (CDO)

詳細は以下のドキュメントが詳しい。

Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介

冗長化

Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)


バックアップ・リストア

FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。

また、機能によってはリストアに対応しない機能もあります。

Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)

・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。
・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です

注意するべき内容

Portchannel のステータスが ASA OS から確認できない

ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため。

Firepower2100-ASA: EtherChannelの設定確認方法

ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。

ASA から FXOS にコンソールを切り替えて、コマンドを実施します。

show portchannel summary (上記 URL から引用)

firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------

Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------

1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)

その他のコマンドは上述の外部リンクの内容を参照してください。

電源 off / 再起動は明示的に実施する

Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。

Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順

Caution:

電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。

ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である [1] ため、安全に切れるようになっています。

データベース破損による再インストールが発生しかねない危険な作業は、電源ケーブルの直接抜去です。


FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR3100/FPR4100/FPR9300)

FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。

firepower# connect ftd
>
>
> reboot

シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。

> shutdown
This command will shutdown the system. Continue?
Please enter 'YES' or 'NO': YES

インターフェース モードのパッシブ コマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する

Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)

インターフェイス モード

インターフェイスごとに、次のいずれかのモードを設定できます。

ルーテッド

各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

パッシブ

パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。

FMC から FTD が削除できない

FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。

Firepower System: FMCからのデバイス登録の強制削除方法

CLI

FTD / ASA を移動する

FXOS: FTD: OSの構造とコマンドプロンプトの移動方法

FTD から ASA に CLI を変更し、ping 試験を行う

FTD: CLIからのPING試験について

system support diagnostic-cli

推奨バージョン

Cisco Secure Firewall ASA Compatibility

Verup

FirepowerアプライアンスでのASA HAペアのアップグレード

Cisco Secure Firewall ASA アップグレードガイド

アクティブ/スタンバイ フェールオーバー ペアのアップグレード

リファレンス

TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer

ASA: スマートライセンス認証とトラブルシューティング

脆弱性・不具合情報

【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について

Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability

  • CVE-2023-20086
  • CSCwd77581

コマンドリスト

作業日、全作業の事前・事後ログに取りたいコマンドのリスト。

作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。

Catalyst 9000 シリーズ 事前・事後ログリスト
大区分 小区分 コマンド 備考
ターミナル設定 terminal pager 0

terminal monitor

サポート show tech-support
Common System Management show version

show running-config

more system:running-config [2]

show logging

show ntp associations

IOS-XE Version , ライセンス

動作中のコンフィグ

メモリに保存された log

NTP 同期

Layer1 Hardware show facility-alarm status
Interface show interface インターフェース

状態 カウンタ

エラーカウンタ

Layer2 Common show vlan

show mac address-table

Vlan

MAC アドレステーブル

Redundancy Protocol show port-channel summary (FX-OS)

show port-channel load-balance

ポートチャネル

負荷分散メソッド

Layer3 Common show arp

show interface ip brief

show ipv6 neighbors

ARP エントリ

IP インターフェース一覧

IPv6 ネイバー

Security show ip access-lists

show ipv6 access-list

IPv4 アクセスリスト

IPv6 アクセスリスト

Routing show route

show ospf neighbor

show bgp summary

show bgp neighbor x.x.x.x advertised-routes

show ip bgp neighbor x.x.x.x received-routes

show ipv6 route

show ipv6 ospf neighbor

show ipv6 interface brief

show bgp ipv6 summary

IPv4 ルート

OSPF ネイバー

BGP IPv4 ピア一覧

特定ピアの BGP 広報ルート

特定ピアの BGP 受信ルート

IPv4 ルート

IPv6 OSPF ネイバー

IPv6 インターフェース一覧

BGP IPv6 ピア一覧

High Availability show failover state フェイルオーバー
ASA VPN Site-to-Site VPN show crypto ikev1 sa

show crypto ikev2 sa

show crypto ipsec sa

show crypto isakmp sa

セキュリティ アソシエーション

引用

  1. FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。
  2. 実行コンフィギュレーションの確認 (注)  多くのパスワードは ***** として表示されます。パスワードをプレーン テキストまたは暗号化された形式(マスター パスフレーズを有効にしている場合)で表示するには、more コマンドを使用します。
http://hkatou.net/index.php?title=2024-08-29_Firepower_まとめ&oldid=2246」から取得