Re: Ask Me Anythingイベント - セキュリティとASA - - 2ページ

CiscoJapanModerator · ‎2021-01-12

このイベントは製品、マネジメント、インストール、コンフィグレーション、インプリメンテーション、利用、およびご自身のネットワーク内における他のデバイスとのインテグレーションに関連したCisco Adaptive Security Appliance (ASA)およびFirepower Threat Defense (FTD)について質問出来るチャンスです。アドバンストファイアウォール設定を最大限に活用するためのベストプラクティスについて、よくある問題のベストなトラブルシューティング方法も一緒に学びましょう。
このフォーラムイベントはセキュリティツールに詳しくない方、学習を始めたばかりの方にもイントロダクションとしてご利用いただけます。
このイベントに参加するには、 をクリックして質問してください

1 月 12 日（火）より 1 月 22 日（金）まで、質問を投稿できます。

エキスパートのご紹介

Berenice Guerra Martinez はセキュリティの次世代ファイアウォール (NGFW)を専門としたテクニカルコンサルティングエンジニアでシスコグローバルテクニカルアシスタンスセンターに所属しています。She specializes in Threat Detection、ASAおよびFirepowerコンフィグレーションとベストプラクティス、Firepowerインテグレーションを専門としています。Bereniceはサイバーセキュリティ専攻の電子工学で学士号を取得しており、テレコミュニケーションの専門家です。CCNA R&S、CyberOps AssociateおよびDevNet Associateの 3つのCisco certificationを取得しています。

Namit Agarwal はセキュリティビジネスグループのテクニカルマーケティングエンジニアです。カナダのトロントを拠点にしていました。シスコのプラットフォームプロダクトマネジメントチームと組んでおり、重要なテクニカルエンゲージメントをリードしています。Namitは2009年に入社し様々なポジションを経験してきました。最近ではインドのバンガロールでセキュリティCXチームにてテクニカルリーダーとして、エスカレーションに携わり、製品改善の有用性のイニシアティブをとり、NGFWセールスチームと一緒に活動しました。セキュリティのCCIE n°33795を取得しており、シスコファイアウォール、IPS、VPN、クラウドセキュリティなど様々なセキュリティソリューションの経験があります。

Ilkin Gasimov はシスコグローバルTACでNGFWを専門としたテクニカルコンサルティングエンジニアです。2017年にTACチーム所属となり、以来NGFWプラットフォームのサポートに主に注力し、シスコビジネスユニットと協力してNGFW製品の品質改善に貢献してきました。また、パートナーとカスタマー向けのトラブルシューティングセッションも行なってきました。それ以前はエンタープライズ及びモバイルネットワーキング環境でシスコASAファイアウォールのハンズオンを経験しています。2016年からセキュリティのCCIE n°54979を取得しています。

Ricardo Diez Gutierrez Gonzalez はNGFW、ASA、VPNなどセキュリティ分野のシスコHTTS TACに所属するテクニカルコンサルティングエンジニアです。シスコには6年前から勤務しています。CCNA取得のため6か月間インキュベータプログラムに参加し、フルタイムエンジニアになりました。その後NGFWスペシャリストとなりセキュリティCCNPを取得しました。現在はCCIE取得に向けて勉強しています。

質問が多数となる場合、Berenice, Namit, Ilkin, Richardo の4人とも回答できない場合があります。その場合は、引き続きセキュリティコミュニティをご利用ください。

その他のイベントはこちら：https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=4561-security

**評価のお願い**
質疑応答の評価にぜひご協力ください

Berenice Guerra · ‎2021-01-18

Firepower Performance Estimator ツールを試してみてください。各アプライアンスのパフォーマンスを向上させるため、ニーズに合っているかどうかご確認ください。
ASA5525x、ASA5545x、ASA 5555xはFPR21xxアプライアンスへの移行に適し、ASA5585-XからFPR41xxへの移行は基本構成の処理に有益です。
FPR21xx、FPR41xx、およびFPR 9300のアプライアンスのいずれかでASAをインスタンスとして設定できます。ASA互換バージョンに関しては、『Cisco ASA Compatibility Guide 』をご参照ください。
ライセンスについては、classic licenseをsmart licenseに変換する必要があります。下記はその方法に関するCiscoのドキュメントになります。

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/smart-licensing/qsg/b_Smart_Licensing_QuickStart/b_Smart_Licensing_QuickStart_chapter_011.pdf

https://software.cisco.com/web/fw/softwareworkspace/smartlicensing/ssmcompiledhelps/c_Convert_Classic_Licensing.html

注）この回答はbguerramによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2021-01-18

有効なCCOログインにも関わらず、FP推定ツールで「アクセスが拒否されました」というメッセージが表示されます。
ツール/ポータルは一般に公開されていますか？
CCWのような代替のサイジングツールはありますか？

注）この質問はjohnlloyd_13による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

Berenice Guerra · ‎2021-01-18

FP Estimator Tool は一般に公開されています。アクセスリクエストを取得するには、アカウントチームに連絡する必要があります。
あなたが探している同等のデバイスのためのサイジングツールのようなものは他にありません。

注）この回答はbguerramによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2021-01-19

マルチインスタンス/マルチコンテキストはFTD2100シリーズでサポートされていますか？以下のリンクごとに、4100/9300についてのみ言及されています
https://www.cisco.com/c/en/us/td/docs/security/firepower/630/relnotes/firepower-release-notes-630/new_features.html#concept_D3A005FB2B0E45BBBDF5392C4D1DD138

しかし、前述のサポートされているセキュリティコンテキストのFPR-2100データシートによると、これはFTDまたはASA OSを実行していますか？
https://www.cisco.com/c/en/us/products/collateral/security/firepower-2100-series/datasheet-c78-742473.html

注）この質問はjohnlloyd_13による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

Ilkin · ‎2021-02-01

マルチインスタンス FTD deploymentはFirepower 4100/9300シリーズでのみサポートされています。
マルチコンテキストモードはASAアプリケーションにおいてのみサポートされています。FTDではサポートされていません。
注）この回答はIlkinによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

CiscoJapanModerator · ‎2021-01-18

イベント開催していただきありがとうございます。firepowerデバイスを管理するにはどうすればよいですか？

注）この質問はW2493455280による中国語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

Berenice Guerra · ‎2021-01-18

FTDを管理するには、2つの異なるオプションがあります。ローカルでFirepower Device Manager（FDM）を使用するか、Firepower Management Center（FMC）を使用することができます。
FMC内でFTDを登録する方法を確認するには、次の動画で詳細を参照してください。
https://video.cisco.com/video/6156204074001

注）この回答はbguerramによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2021-01-18

FTDでパケットキャプチャを取得するにはどうすればよいですか？私はASAキャプチャに精通していますが、これらのコマンドはFTDでサポートされていないようです。

注）この質問はAdolfo Suarezによるポルトガル語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

Ricardo1 · ‎2021-01-18

FTDでは2つの異なる方法でキャプチャを作成できます。
GUIの使用：
system > health > monitor に移動します。
キャプチャを有効にできるデバイスを検索して選択します。
Advanced troubleshooting をクリックします。
Capture w/ Trace に移動し、Add をクリックします。

CLIの使用：
FTDにSSHで接続します。
クリッシュに到達します（クリッシュアイコン>）
>
次のコマンドを使用して、LINA側（ASAコード）にジャンプする必要があります
>system support diagnostic-cli
firepower>enable
Password:　<------ Enterキーを押してください、有効なパスワードはありません
firepower#
ここでは、ASAで使用するのと同じコマンドを使用してキャプチャを有効にできます。
firepower#capture in interface inside match ip any any

注）この回答はRicardo1による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Berenice Guerra · ‎2021-01-22

リカルドの解決策に追加します。
FTDにはLINAが含まれており、ASAで使用していたコマンドの一部が実行できます。 clish promptであるFTDからLINA（ASA）に移動するため、
"systemsupportdiagnostic-cli"コマンドを入力してください。これで、ほとんどのASAコマンドを実行できるLINAに移行します。
NGFW製のFamily でパケットキャプチャを設定する方法の詳細は、下記コンテンツをご参照ください。
Cisco Video Portal - https://video.cisco.com/video/6176793105001

Cisco Tech Notes - https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

注）この回答はbguerramによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

CiscoJapanModerator · ‎2021-01-18

ファイアパワーデバイスからトラブルシューティングファイルを作成するためのデバイスが見つからないのはなぜですか。

注）この質問はalina_xiaoによる中国語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

Berenice Guerra · ‎2021-01-18

Firepowerデバイスのトラブルシューティングファイルを生成するには、FMCで System > Health > Monitor > 表示されたリストから Appliance を選択し、Generate Troubleshooting Files に移動します。
以下にリストされているデバイスが表示されない場合は、おそらく円グラフをクリックする必要があります。円グラフの部分をクリックして表示できるデバイスのヘルスステータスによって異なります。
緑-健康
黄色–いくつかの警告があるアプライアンス
赤–エラーのあるアプライアンス
青–無効化されたアプライアンス

詳細は下記をご覧ください。
Cisco Video Portal - https://video.cisco.com/video/6155382458001
Cisco Tech Notes - https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

注）この回答はbguerramによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2021-01-18

ASAの展開は仮想環境でサポートされますか。

注）この質問はJessica Deakenによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

Ricardo1 · ‎2021-01-18

ASAはASAvと呼ばれる仮想環境でサポートされています。
以下がサポートされています。

・Amazon Web Services
・Kernel-baased Virtual Machine (KVM
・Microsoft Azure
・Oracle Cloud Infrastructure（OCI）
・VMware vSphere
・Microsoft Hyper-V

詳細はこちらをご覧ください。

https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65990

注）この回答はRicardo1による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Berenice Guerra · ‎2021-01-26

はい。ASAは、VMWare、KVM、Azureなどさまざまなバーチャルプラットフォームでサポートされています。
Microsoft AzureでASAvを展開する方法の詳細は、下記Cisco VideoPortalサイトのビデオをご参照ください。 https://video.cisco.com/video/6175870414001

注）この回答はbguerramによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

CiscoJapanModerator · ‎2021-01-18

ユニットに障害がある場合、HA ASAの交換方法をおしえてください。

注）この質問はAdolfo Suarezによるポルトガル語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

Ricardo1 · ‎2021-01-18

交換手順を説明します。
1 . ユニット（RMA）を交換後、ASAインターフェイスに接続し、デバイスの電源をオンに。
2 . ライセンスを再ホスト（ライセンスチームとのTACケースをオープン）。
3 . ASAがmulticontextにある場合、コマンド "mode multiple" でmultiple-contextに変更し、firewallを再起動します。
3 . 動作中のユニットから "show runfailover" コマンドの出力を取得し、役割を変更し（動作中のユニットが primaryであれば、secondaryに変更）、障害のあるデバイスに貼り付けます。
4. コマンド "failover" を使用し、failoverを有効にします。
5. サービスを確認し、アクティブユニットで "no failover active" コマンドを使用してfailoverをテストします

注）この回答はRicardo1による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2021-01-18

FP4115のペアとFMC2600ボックスのペアがあり、4115内で3 FTD HAインスタンスが実行されています。 FMC/FTDでは6.5.0.3、FXOSでは2.8（1.125）でした。
MSPは、セキュリティと安定性の観点から理にかなっているFMC/FTDについて6.6.1-91に進むことを提案しています。
ただし機能の観点からは、6.7はMS DirectAccessからAnyConnectにまだ移行していない理由に対処しているように見えます。適切なライセンスを全て購入しました。また、MSPの作業を楽にする他の機能もあります。
6.7がいつ提案されたリリースに移行するかについて何かアイディアはありますか？提案されたアドバイスを無視し、MSPにそのバージョンに移行するように指示することで何かリスクに直面する可能性はありますか。

注）この質問はStevieC666による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

Berenice Guerra · ‎2021-02-01

6.7をお勧めのバージョンであると定義されてはいません。バージョン6.7はFirepowerデバイスに新しい機能を追加するためにリリースされました。

ご使用のネットワーク要件を的確に分析されたのであれば、最適なバージョンが一つだけ分かるはずです。どれがベストであるかはお使いのネットワーク環境によります。

バージョン評価についてはRelease Notes のResolved Issues とKnown Issues にすべての懸念事項が網羅されています。

注）この回答はbguerramによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

CiscoJapanModerator · ‎2021-01-19

速度テストまたは第三者の速度テストは、Firepowerデバイスの速度テストに適していますか？

注）この質問はADCによる仏語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。