はじめに

Firepower System バージョン 6.3から、FTD内のLINA(ASA)エンジンとSnortエンジンの各設定のバックアップに対応しました。そのため、バージョン6.3以降を利用時、FTDデバイスのバックアップとリストアが可能となりました。

FTDデバイスのバックアップとリストアに対応している製品は、物理アプライアンスのASA5500-FTDやFPR1000/2100/4100/9300-FTDや 仮想製品の FTDv(VMware)です。 逆に、AWSやAzure、KVM上のFTDvや、クラスタデバイス、コンテナインスタンスは対応してません。

本ドキュメントでは、FTD-HA構成で利用時のバックアップ取得方法と、単体デバイス障害時のリストアと復旧手順を紹介します。FMCで 単一のFTDデバイスを管理時のリストアと復旧にも本ドキュメント内容を参照できます。

本ドキュメントは、Firepower System バージョン 6.4.0.4を利用し、FMCvと FTDvを利用し、確認と作成を行っております。

   

FTDのバックアップ・リストア 注意事項

• バックアップはFMCのGUIから、リストアはFTDのCLIから行います
   
• リストア対象機は、そのバックアップを取得したFTDと、同じモデルや モジュール・インターフェイス構成、バージョン、VDB、SRUである必要があります。また、リストア前に、対象機で パッチ適用や設定など適用中のタスクが無いこと(=つまりすべてのタスクが終了済みの状態)、かつ、ヘルスモニターでハードウェアなどのエラーがない状態であることを確認してください
   
• リストア時は、FTDのローカル(#/ngfw/var/sf/backup/)に保存、もしくは、任意SCPサーバーに保存してあるバックアップファイルを利用します。同じデバイスの設定を昔に戻す場合はローカルバックアップからの復元を、RMA時などで別のデバイスにリストアする場合は SCPサーバーに保存ファイルを利用しての復元が便利です。なお、本ドキュメントでは、SCPサーバの試験用に SolarWinds社 SFTP/SCP serverを利用してます
   
• 旧デバイス情報はFMCから削除せずに FTDをリストアすることで、FTDデバイスは自動でFMCに接続します。そのため、FTDリストア前の FMC上の旧デバイス登録情報の削除は不要です 
   
• FTD HA利用時、かつ 特にNAT利用時は、各データインターフェイスに仮想MACアドレスの設定を強くお勧めします。仮想MACアドレスを設定していない場合、Primary機の交換時にMACアドレスが代わり、NAT用の仮想IPアドレス通信の通信断につながる恐れがあるためです。仮に仮想MACアドレス非設定の場合のPrimary機交換時は、NAT IP宛の疎通性回復には、周囲L3機器のARPテーブルのクリアが必要です
   
• FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。FXOSのバックアップとリストア手順は Firepower4100-FTD: FTD利用時のFPR4100シリーズの交換手順 (FTD 6.2.3.xまで) の2-1～2-2と、3-1～3-3までや、利用のFXOSバージョンのコンフィグレーションガイド (FXOS 2.6の場合は Cisco Firepower 4100/9300 FXOS Firepower Chassis Manager 2.6(1) コンフィギュレーション ガイド) などを参照してください
   
• VPN Certificateはリストアに対応してません。VPN Certificate を利用時はFTDリストア後に、FMCから Re-add/re-enroll を実施してください
   
• その他、注意事項や制限事項は、利用バージョンの設定ガイドやリリースノートを参照してください

  

FTDのバックアップ方法

以下3つのバックアップ方法があります。RMAによる交換を想定したバックアップの場合、AのFMCに保存を実施してください。

  A. FMCからFTDバックアップを取得し FMCに保存
  B. FMCからFTDバックアップを取得し FTDローカルに保存
  C. FMCのスケジューリング機能を用いて定期バックアップ

生成されるバックアップファイルのフォーマットは以下です。

Standalone構成 : <hostname>_<timestamp>.tar
FTD HA構成      : <hostname>_<PRIMARY/SECONDARY>_<timestamp>.tar

 
A. FMCからFTDバックアップを取得し FMCに保存

1. System > Tools > Backup/Restore > Backup Management から Managed Device Backupを選択

2. 以下画面に遷移するため、対象デバイスを選択し、"Retrieve to Management Center"をチェックし、Start Backup をクリックします

3. バックアップ状況は Taskタブから確認できるため、バックアップファイル収集完了までしばらく待ちます (目安: 数分～十数分)

4. バックアップ完了後、Backup Managementの Device Backupsに FTDデバイスのバックアップファイルが表示されますので、適宜 対象ファイルをチェックし、ダウンロードしたファイルをSCPサーバーに保存など実施してください

 
   
B. FMCからFTDバックアップを取得し FTDローカルに保存

1. System > Tools > Backup/Restore > Backup Management から Managed Device Backupを選択

2. 以下画面に遷移するため、対象デバイスを選択し、"Retrieve to Management Center"をチェックせず、Start Backup をクリックします

3. バックアップ状況は Taskタブから確認できるため、バックアップファイル収集完了までしばらく待ちます (目安: 数分～十数分)

4. バックアップ完了後、FTDにアクセスし、/ngfw/var/sf/backup/フォルダ内にバックアップファイルがあることを確認します。以下はFMC経由でFTD SSHアクセスと確認時の操作例です。

Cisco Fire Linux OS v6.4.0 (build 2)
Cisco Firepower Management Center for VMWare v6.4.0.4 (build 34)

aadmin@FMC:~$ ssh -l admin 1.177.0.197
Password:
Last login: Sun Oct 20 03:59:59 UTC 2019 from 1.150.0.27 on pts/0

Copyright 2004-2019, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Fire Linux OS v6.4.0 (build 2)
Cisco Firepower Threat Defense for VMWare v6.4.0.4 (build 34)

>
> expert
**************************************************************
NOTICE - Shell access will be deprecated in future releases
         and will be replaced with a separate expert mode CLI.
**************************************************************
admin@firepower:~$ sudo su -

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

Password:
root@firepower:~#
root@firepower:~# ls -l /ngfw/var/sf/backup/
total 56780
-rw-r--r-- 1 www root 27955200 Oct 18 12:12 FTD-01_Primary_20191018080929.tar
-rw-r--r-- 1 www root 30187520 Oct 22 05:51 FTD-01_Primary_20191022144815.tar     <--- THIS
root@firepower:~#

 

C. FMCのスケジューリング機能を用いて定期バックアップ

Firepower System バージョン 6.4から対応してます。スケジューリング機能の設定や動作確認方法は以下ドキュメントを参照してください。

Firepower System: Scheduling機能の活用例 (URL DBや VDBの自動更新、バックアップ等)

 

以下は、毎月22日に FTD-HA構成の各デバイスの設定自動バックアップするための、スケジューリング設定例です。

 

 

FTDのリストア方法 

FTD-HAの運用中の構成で、片側デバイスが起動不可能などで故障し交換時の、リストアと復旧手順例を以下に示します。なお、ほぼ同様の手順でFTDデバイス 1台のみ管理構成でも リストア対応は可能です。

 

1. FTDのバックアップ方法「A. FMCからFTDバックアップを取得し FMCに保存」で取得した バックアップファイル(tarファイル)を 任意SCPサーバーにアップロード

 

2. 同モデル・モジュール構成の 交換対象(良品)のリストア予定機に任意IPアドレス(※既存FTDデバイスと重複しないIPアドレス)を利用し 初期セットアップとFMCに登録を実施。この際、リストア予定機は 管理インターフェイスのみネットワークに接続した状態にする

参考URL：

モデル・シリーズ	FMC登録のためのスタートアップガイド
FPR1010	https://www.cisco.com/c/ja_jp/td/docs/security/firepower/quick_start/fp1010/firepower-1010-gsg/firepower-1010-gsg_chapter_01.html
FPR1100シリーズ	https://www.cisco.com/c/ja_jp/td/docs/security/firepower/quick_start/fp1100/firepower-1100-gsg/firepower-1100-gsg_chapter_01.html
FPR2100シリーズ	https://www.cisco.com/c/ja_jp/td/docs/security/firepower/quick_start/fp2100/ftd-fmc-2100-qsg.html
FPR4100シリーズ	https://www.cisco.com/c/ja_jp/td/docs/security/firepower/quick_start/fp4100/ftd-4100-qsg.html
ASA5500-Xシリーズ	https://www.cisco.com/c/ja_jp/td/docs/security/firepower/quick_start/5500X/ftd-fmc-5500x-qsg.html

   ※上記以外のモデルや最新の日本語ドキュメント情報は インストールとアップグレードガイド などを参照

   ※FPR4100/9300利用時は上記とは別にFXOS設定のリストアも行うこと

3. (必要に応じて) FTDバージョンのアップグレードやパッチ適用を行い、障害機と同じ構成、バージョン、VDBとSRUバージョンに合わせる。障害機が登録されているFMCに リストア予定機を登録することで、FMCのVDBとSRUがFTDで自動的に使われる。

Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順
https://community.cisco.com/t5/-/-/ta-p/3157005

4. Devices > Device Management を確認し、既存FTD-HAの各機器と、リストア予定機が登録された状態、かつ、バージョンがマッチすること、及び リストア予定機(良品)のヘルス状態が緑丸マークで問題ないことを確認

 

リストア予定機(良品)で適用中のタスクが無いことを確認

 

リストア予定機にCLIやSSHアクセスし、バージョンと SRU(Rule update version)と VDBバージョンが、交換予定機のバックアップファイルとマッチしていることを確認。(※なお、SRUやVDBの多少ミスマッチは発生しててもリストア自体は可能だが、極力 SRUとVDBも同じバージョンにあわせることが推奨)

> show version
-------------------[ firepower ]--------------------
Model                     : Cisco Firepower Threat Defense for VMWare (75) Version 6.4.0.4 (Build 34)
UUID                      : 576d5cba-7ba4-11e9-9a8d-f4ccc485cd67
Rules update version      : 2018-10-10-001-vrt
VDB version               : 324
----------------------------------------------------

> show network
===============[ System Information ]===============
Hostname                  : firepower
DNS Servers               : 1.0.0.100
Management port           : 8305
IPv4 Default route
  Gateway                 : 1.0.0.100

======================[ eth0 ]======================
State                     : Enabled
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : 00:50:56:91:54:51
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 1.177.121.3
Netmask                   : 255.0.0.0
Broadcast                 : 1.255.255.255

 

リストア予定機で「show managers」コマンドを実行し、対象予定機が"FMC管理モード"であることを確認。（※以下出力例の 1 もしくは 2 の状態であること。 3の場合は、FDMによるローカル管理モードのため、"configure manager delete"コマンドで FMC管理モードに変更）

!! 1. FMC管理モードだが FMCと連携していない状態。続行可
> show managers
No managers configured.

!! 2. FMC管理モードで何らかのFMCと連携している状態。続行可
> show managers 
Type : Manager
Host : 10.127.245.73
Display name : 10.127.245.73
Version : 7.2.5 (Build 208)
Identifier : 02e14fc8-d12e-11ee-be05-42cfaa327523
Registration : Completed
Management type : Configuration and analytics

!! 3. FDMローカル管理モード   ※当モードのままではリストア不可のためモード変更を
> show managers 
Managed locally.

  
5. 交換予定機(障害機)のケーブル抜線などをし、ネットワークから切り離す。この際、FMC上で 交換予定機(障害機)の登録は残したままの状態にすること (※FTDはリストア後にFMCに自動接続するためにFMC側で登録を残しておく必要がある)

6. リストア予定機にCLIやSSHアクセスし、SCPサーバに保存した 交換予定機(障害機)のバックアップファイルを利用してリストア実施。通常、10分前後でリストアと再起動は完了

[構文]

restore remote-manager-backup location [SCP-server-IP] [user] [path] [file-name]

 

[実行例]

> ping system 1.177.77.77
PING 1.177.77.77 (1.177.77.77) 56(84) bytes of data.
64 bytes from 1.177.77.77: icmp_seq=1 ttl=128 time=1.30 ms
^C
--- 1.177.77.77 ping statistics ---
2 packets transmitted, 1 received, 50% packet loss, time 1000ms
rtt min/avg/max/mdev = 1.300/1.300/1.300/0.000 ms
>
> restore remote-manager-backup location 1.177.77.77 ciscocisco / FTD-01_Primary_20191022150355.tar
Enter SCP password:

***********************************************
             Backup Details
***********************************************
Model = Cisco Firepower Threat Defense for VMWare
Software Version = 6.4.0.4              ←各バージョンがマッチするか最終確認
Serial = 9AW0D2592R4
Hostname = FTD-01_Primary
IP Address = 1.177.0.197                ←リストア後のFTDの管理IP  
Role = PRIMARY
VDB Version = 324                       ←各バージョンがマッチするか最終確認
SRU Version = 2018-10-10-001-vrt        ←各バージョンがマッチするか最終確認      
Manager IP(s) = 1.150.0.27
Backup Date = 2019-10-22 15:03:55
Backup Filename = FTD-01_Primary_20191022150355.tar
***********************************************

********************* Caution ****************************
Verify that you are restoring a valid backup file. Make sure that software, SRU and VDB Versions on this device match versions from the backup manifest before proceeding.
Restore operation will overwrite all configurations on this device with the configurations in backup. Kindly ensure the old device is disconnected from the network to avoid IP conflict.
**********************************************************

Are you sure you want to continue (Y/N)Y      ←Yでリストア開始
Restoring device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Refreshing Events InfoDB...
Added table rna_attribute with table_id 1
Added table rna_client_app with table_id 2
Added table url_cat_stats with table_id 3
Added table transmission_type_stats with table_id 4
Added table app_session_stats with table_id 5
Added table storage_disp_stats with table_id 6
Added table current_users with table_id 7
Added table geoloc_session_stats with table_id 8
Added table rua_event with table_id 9
Added table url_rep_stats with table_id 10
Added table app_ids_stats with table_id 11
Added table whitelist_violations with table_id 12
Added table ip_rep_cat_session_stats with table_id 13
Added table ssl_stats with table_id 14
Added table remediation_status with table_id 15
Added table dns_queries_by_record_type with table_id 16
Added table captured_file with table_id 17
Added table intf_session_stats with table_id 18
Added table session_stats with table_id 19
Added table rna_ip_host with table_id 20
Added table rna_scan_results_tableview with table_id 21
Added table rna_event with table_id 22
 .Added table health_alarm_syslog with table_id 23
Added table rna_service with table_id 24
Added table user_ids_stats with table_id 25
Added table ids_impact_stats with table_id 26
Added table ioc_state with table_id 27
Added table qos_rule_session_stats with table_id 28
Added table flow_chunk with table_id 29
Added table rna_flow_stats_prioritized with table_id 30
Added table dce_event with table_id 31
Added table application with table_id 32
Added table wl_dce_event with table_id 33
Added table rna_flow_stats with table_id 34
Added table storage_type_stats with table_id 35
Added table user_ioc_state with table_id 36
Added table audit_log with table_id 37
Added table user_session_stats with table_id 38
Added table user_identities with table_id 39

Rebooting. . .
Broadcast message from root@firepower (Tue Oct 22 07:14:13 2019):

The system is going down for reboot NOW!

  

7. リストア完了後、障害機と同じIPアドレスにかわり起動し、FMCに自動接続される

> show network
===============[ System Information ]===============
Hostname                  : firepower
DNS Servers               : 208.67.222.222
                            208.67.220.220
Management port           : 8305
IPv4 Default route
  Gateway                 : 1.0.0.100

======================[ br1 ]=======================
State                     : Enabled
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : 00:50:56:91:1C:B8
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 1.177.0.197
Netmask                   : 255.0.0.0
Broadcast                 : 1.255.255.255
>
> show managers
Type                      : Manager
Host                      : 1.150.0.27
Registration              : Completed

  

8. リストア直後は failover機能が無効となっているため、リストア後FTDデバイスの 管理インターフェイスと Failover管理用インターフェイスのみがつながった状態で、"configure high-availability resume"コマンド(※ASAの failoverコマンドと同等)を実行しFailover機能を有効化

> show failover
Failover Off
Failover unit Primary
Failover LAN Interface: FO GigabitEthernet0/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 61 maximum
MAC Address Move Notification Interval not set
failover replication http
>
> configure high-availability resume
Successfully resumed high-availablity.

 FTD-HA構成で対向機器がActiveの場合、自動で設定とセッションの同期が発生。同期処理が終わるまで、10分前後ほど待つ。同期状態の遷移は、"show failover history" コマンドで確認可能で、最終的に Standby Ready 状態になれば同期は完了

> show failover history
==========================================================================
From State                 To State                   Reason
==========================================================================
08:09:23 UTC Oct 22 2019
Disabled                   Negotiation                Set by the config command

08:09:27 UTC Oct 22 2019
Negotiation                Cold Standby               Detected an Active mate

08:09:28 UTC Oct 22 2019
Cold Standby               App Sync                   Detected an Active mate    <--- 同期中の状態

==========================================================================

 

9. FMCのデプロイボタンをクリックし、最新設定をFTDデバイスにデプロイ

 

10. FTDデバイスのデータインターフェイスを全て結束

11. show failover コマンドで、各インターフェイスのActive/StandbyのIPアドレスが設定され正常であること、及び、各デバイスのSnortが起動していることを確認

> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: FO GigabitEthernet0/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 61 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.12(2)4, Mate 9.12(2)4
Serial Number: Ours 9AALTJ5XD83, Mate 9A1GX6TF6P1
Last Failover at: 06:54:13 UTC Oct 22 2019
        This host: Secondary - Active
                Active time: 5882 (sec)
                slot 0: ASAv hw/sw rev (/9.12(2)4) status (Up Sys)
                  Interface inside (10.10.10.10): Normal (Waiting)
                  Interface outside (10.10.20.20): Normal (Not-Monitored)
                  Interface test3100 (0.0.0.0): Normal (Not-Monitored)
                  Interface test3200 (0.0.0.0): Normal (Not-Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Standby Ready      <--- リストアで復旧機情報
                Active time: 24 (sec)
                  Interface inside (10.10.10.11): Normal (Waiting)
                  Interface outside (10.10.20.21): Normal (Not-Monitored)
                  Interface test3100 (0.0.0.0): Normal (Not-Monitored)
                  Interface test3200 (0.0.0.0): Normal (Not-Monitored)
                  Interface diagnostic (0.0.0.0): Unknown (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

 

12. FMCのヘルスモニター機能で、FTDデバイスのヘルス状態が健全(緑の丸)であることを確認

 

13. FMC上のリストア用に作成した旧デバイス情報を削除

   

FTDのリストア方法 動画

FTD バージョン 7.2 のリストア時の動画です。ご参考ください。

   

リストア後のトラブル対応例

リストア後に各デバイスのヘルスモニタステータスが更新されない場合

FTDが内部で処理中の可能性もあるため しばらく待つか、Devices > Device Managementの High Availabilityの設定ボタンの「Force refresh High Availability Node Status Refresh」ボタンを押してください。

   

リストア後にデバイスにPINGが飛ばない場合

FTDが内部で処理中の可能性もあるため しばらく待つか、インターフェイスのDown/Up、もしくは 対象デバイスの再起動で復旧を期待できます。

  

リストア後にStandby機のSnortエンジンがダウンしたままの状態の場合

バックアップファイルのSnort設定が何らかの理由で破損していた可能性が考えられます。復旧には、対象機の再起動を reboot コマンドで実行してください。起動時、Active機より ASA(LINA)エンジンと Snortエンジンの最新設定を同期するため、Snortエンジン設定の破損も修復、復旧を期待できます。

> show failover
Failover On
Failover unit Primary
Failover LAN Interface: FO GigabitEthernet0/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 61 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.10(1)18, Mate 9.10(1)18
Serial Number: Ours 9AW0D2592R4, Mate 9AALTJ5XD83
Last Failover at: 07:37:41 UTC Oct 16 2019
        This host: Primary - Failed     <---- THIS
                Active time: 604 (sec)
                slot 0: ASAv hw/sw rev (/9.10(1)18) status (Up Sys)
                  Interface inside (0.0.0.0): Normal (Waiting)
                  Interface outside (0.0.0.0): Normal (Waiting)
                  Interface test3100 (0.0.0.0): Normal (Not-Monitored)
                  Interface test3200 (0.0.0.0): Normal (Not-Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (down)     <---- THIS
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Active
                Active time: 218 (sec)
                  Interface inside (10.10.10.10): Normal (Waiting)
                  Interface outside (10.10.20.20): Normal (Waiting)
                  Interface test3100 (0.0.0.0): Normal (Not-Monitored)
                  Interface test3200 (0.0.0.0): Normal (Not-Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

> reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': YES

Broadcast message from root@firepower (Thu Oct 17 07:35:46 2019):

  

リストア後にActive機のSnortエンジンがダウンしたままの状態の場合

バックアップファイルのSnort設定が何らかの理由で破損していた可能性が考えられます。復旧には、Device > Device Management > (対象デバイス) > Deviceから GeneralのEditボタンをクリックし、Force Deploy (設定強制適用) を行ってください。FMCから最新設定を強制適用することで内部破損設定の修復、復旧を期待できます。

   

よくある質問

FTD単体を利用時も 当手順を利用可能ですか

はい、利用可能です。 FTD単体で運用時は、リストア後の"configure high-availability resume"コマンドの実行や show failoverでの動作状況の確認が不要な以外は、復旧手順は同様です。

  

FTDローカルに保存したバックアップファイルのリストア方法を教えてください

"ls -l /var/sf/backup"コマンドでローカルバックアップファイルを確認し、任意ファイルを"restore remote-manager-backup <バックアップファイル名>"で指定することで、リストアが可能です。

ローカルバックアップファイルを利用したリストアは、主に素早く設定を以前の状態に戻したい場合に有効です。

> expert
admin@firepower:~$
admin@firepower:~$ sudo su -

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

Password:
root@firepower:~#
root@firepower:~# ls -l /var/sf/backup
total 56872
-rw-r--r-- 1 www root 27955200 Oct 18 12:12 FTD-01_Primary_20191018080929.tar
-rw-r--r-- 1 www root 30279680 Oct 20 04:07 FTD-01_Primary_20191021070447.tar
root@firepower:~#
root@firepower:~# exit
logout
admin@firepower:~$ exit
logout
> restore remote-manager-backup FTD-01_Primary_20191021070447.tar

***********************************************
             Backup Details
***********************************************
Model = Cisco Firepower Threat Defense for VMWare
Software Version = 6.4.0.4
Serial = 9AW0D2592R4
Hostname = FTD-01_Primary
IP Address = 1.177.0.197
Role = PRIMARY
VDB Version = 324
SRU Version = 2018-10-10-001-vrt
Manager IP(s) = 1.150.0.27
Backup Date = 2019-10-21 07:04:47
Backup Filename = FTD-01_Primary_20191021070447.tar
***********************************************

********************* Caution ****************************
Verify that you are restoring a valid backup file. Make sure that software, SRU and VDB Versions on this device match versions from the backup manifest before proceeding.
Restore operation will overwrite all configurations on this device with the configurations in backup. Kindly ensure the old device is disconnected from the network to avoid IP conflict.
**********************************************************


Are you sure you want to continue (Y/N)Y
Restoring device . . . . . . . . . . . . . . . . .

   

FMCに保存したバックアップファイルを、FTDから直接取得しリストアは可能ですか

残念ながら、セキュリティ上の理由から対応しておりません。

 

FMCに仮接続してパッチ適用が難しいです。ローカルでパッチ適用は可能ですか

【FTD保守】 FDMを用いたパッチやVDB適用方法 【FMC管理】 をご参照ください。

     

参考情報

Firepower Management Center Configuration Guide, Version 6.4 - Chapter: Backup and Restore
https://www.cisco.com/c/en/us/td/docs/security/firepower/640/configuration/guide/fpmc-config-guide-v64/backup_and_restore.html

Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)
https://community.cisco.com/t5/-/-/ta-p/3952716

Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782