はじめに
Cisco Secure Firewall Management Center (FMC) と Cisco Secure Firewall Threat Defense (FTD) 製品の導入やご利用にあたり、よくお問合せいただくものをまとめております。随時、質問と回答は追加、更新を行っております。このページを「購読」してアップデートをご確認ください。購読の仕方は、こちらの資料 P. 38 をご覧ください。
それぞれの質問項目に関連する推奨 Ask the Experts(オンラインセッション)をご案内しています。詳細なデモやライブ Q&A セッションにご参加いただけます。下記のリンクから今後のセッション日時をご確認ください。
Upcoming Security ATXs Sessions
機能や動作仕様に関するご質問
アクセス制御関係
Q. FirePowerのパケット処理フローにおけるDAQとは何ですか?
(推奨 Ask the Experts: Troubleshooting Best Practices: NGFW Connectivity)
A. FTD内部には通信処理用のエンジンとして、主に従来のL3~L4 Firewall処理を行う Lina エンジンと、L4~L7の高度処理を行うSnort エンジン の、 2つのエンジンが動作しています。 DAQはこの2つのエンジン間で円滑なパケット受け渡しをサポートします。
Q. アクセス制御ルールのヒットカウントの単位は何になるのでしょうか?
(推奨 Ask the Experts: Operations Planning and Best Practices: FW Rule Lifecycle Management)
A. セッション単位となります。
Q. セキュリティインテリジェンス (SI) のブラックリストにIPを追加したら、アクセス制御ポリシーを再展開する必要がありますか?
(推奨 Ask the Experts: Feature Overview-Threat Intelligence Overview)
A. いいえ、ブラックリストの設定更新は管理対象デバイスに自動的にプッシュされますので、再度展開を行う必要はありません。
Q. Firewall Recommendation Rule (推奨事項)を定期的に実行するよう設定して、毎週 1 回程度更新することはできますか?
(推奨 Ask the Experts: Performance Tuning Best Practices: Tuning Your Cisco Secure Firewall and IPS)
A. はい、スケジュールツールを使用すれば週に 1 回もしくは2 週間に 1 回の頻度で、Secure Firewall の推奨事項を定期的に実行できます。
Q: 様々なクラウドサービスに接続し統合を行うため、許可すべきアドレスとポート番号はありますか。
(推奨 Ask the Experts: Component Integration: Cisco Secure Firewall Integrations)
A:はい、下記技術文書の「Internet Access Requirements」部分をご参照ください。
https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70/security_internet_access_and_communication_ports.html#id_70300
VPN関係
Q. ライセンスの輸出規制機能を有効に設定しない場合どうなりますか
(推奨 Ask the Experts: Feature Overview: Site-to-Site VPN)
A. 強固な暗号化を使えなくなるため、暗号通信のセキュリティが大きく低下します。そのため、原則、スマートライセンス登録時は 輸出規制機能 (export-controlled feature) を有効化してください。当機能を有効化することで、強固な暗号化が利用可能になります。
Q. インターフェイスベースのサイト間VPNはサポートされますか
(推奨 Ask the Experts: Feature Overview: Site-to-Site VPN)
A. はい、FTD version 6.7以降であればサポートしております。
ダッシュボード・レポート関係
Q. ダッシュボードのタブの順序を変更できますか。
(推奨 Ask the Experts: Monitoring Best Practices: Dashboards, Reports and Analysis)
A. いいえ、タブの順序は変更できません。
Q. ダッシュボードをエクスポートおよびインポートできますか。
(推奨 Ask the Experts: Monitoring Best Practices: Dashboards, Reports and Analysis)
A. はい。[ダッシュボード] -> [管理]を開いて、任意のダッシュボードのエクスポートボタンをクリックするとエクスポート可能です。エクスポートした sfoファイルは、System > Tools > Import/Export から Import が可能です。
このプロセスで使用されるユーザロールとアプライアンスによって、インポートされたダッシュボードとエクスポートされた状態の表示と感覚に多少の違いがある場合があります。
その他
Q. 過去に適用したホットフィックスのバージョンや履歴は確認できますか?
(推奨 Ask the Experts: Upgrade Planning and Best Practices: Upgrading NGFW Techniques and Scenarios)
A. 対象機器に CLIアクセスし、Linux Shellで cat /etc/sf/patch_history コマンドを実行することで確認可能です。FTDの場合は、FTD CLIで expert コマンドを実行すると、Linux Shell にアクセスできます。詳しくは下記の記事をご参考ください。
FMC FTD 6.x:パッチインストール履歴の確認方法
Q. ホットフィックスがリリースされている場合は、ホットフィックをあててからパッチ適用が必要ですか
(推奨 Ask the Experts: Upgrade Planning and Best Practices: Upgrading NGFW Techniques and Scenarios)
A. 通常は不要です。ホットフィックスは個別不具合や脆弱性の緊急修正用であり、後継のパッチバージョンでは 通常 そのホットフィックスの修正も含まれているためです。
Q. スマートライセンスのSLRを利用するときは特別な申請は必要ですか?
(推奨 Ask the Experts: Getting Started: NGFW Smart Licensing)
A. 2020年10月より、すべてのスマートアカウントで Specific License Reservation (SLR) はデフォルト有効になりました。 そのため、FMCなど SLRに対応製品の場合は、SLRの利用が可能です。
Q. スマートライセンスのPLRを利用するときは特別な申請は必要ですか?
(推奨 Ask the Experts: Getting Started: NGFW Smart Licensing)
A. Permanent License Reservation (PLR) の利用には申請と承認が必要のため、詳しくは販売代理店、もしくは弊社営業までお問合せください。
Q. 移行 Tool は、コンフィギュレーションの移行を成功させるためにどれくらいの時間を要するのでしょうか?
(推奨 Ask the Experts: Migration Strategies and Best Practices- Firepower Migration Tool(FMT))
A. Firepower Migration Tool (FMT) の移行にかかる時間は、ネットワークの遅延、FMC の負荷、設定のサイズなど、多くの要因に依存します。なお、参考情報となりますが、弊社内でテスト時は 数千以上のACL設定を10分以内に移行可能なことを確認しております。あくまで目安としてご参考ください。
Q. FMC と FTD の REST API の主な違いをおしえてください
(推奨 Ask the Experts: Adapting to Changes: Managing Firepower with Application Programming Interfaces)
A. FMC REST APIは、軽量でFMCを通じて管理されるFTDデバイスなどを管理できる、使いやすいオプションです。一方、FTD REST APIは、クライアントプログラムを通じて単一のFTDデバイスと対話します。
カスタマーサクセス、Ask The Experts(オンラインセッション)
Q. Ask the Experts (ATXs)の資料を提供いただくことは可能でしょうか?
A.セッションの資料と録画は下記サイトにてご視聴いただけます。新規セッションについては準備が出来次第、順次掲載予定です。
Cisco Security ATXsレコーディング-日本語 (Japanese)
※ご視聴にはシスコアカウントが必要です。ご視聴方法は下記サイトをご参照ください。
https://learningnetwork.cisco.com/s/article/jp-how-to-enroll-in-learning-tracks?dtid=osoblg000513
Q. Ask the Experts や Accelerators(個別セッション) 等などカスタマーサクセスのプログラムに関する問い合わせはどこにすればよいでしょうか?
A. japan-atx@cisco.com までお問い合わせください。
参考情報