概要
このドキュメントでは、Firepowerモジュールで使用可能なさまざまなアップグレード/アップデート/パッチと、Adaptive Security Device Manager(ASDM)を使用したインストール手順について説明します。
著者:Cisco TACエンジニア、Avinash、Prashant Joshi、およびSunil Kumar
前提条件
要件
次の項目に関する知識があることが推奨されます。
- 適応型セキュリティアプライアンス(ASA)ファイアウォールおよび適応型セキュリティデバイスマネージャ(ASDM)に関する知識
- FirePOWER アプライアンスの知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ソフトウェアバージョン5.4.1以降を実行するASA Firepowerモジュール(ASA 5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)
- ソフトウェア バージョン 6.0.0 以降が稼働する ASA FirePOWER モジュール(ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X)
- ASDMのバージョンは、ASAで実行されているバージョンによって異なります。ASAとASDMの互換性に関する詳細な互換性マトリクス
このドキュメントの情報は、特定のラボ環境のデバイスから作成されます。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
更新の種類
Firepowerモジュールには、次のタイプのアップデートがあります。
- 製品(ファームウェア)アップグレード/パッチ
- 脆弱性データベース(VDB)の更新
- ルール(署名)の更新
- 位置情報の更新
Firepowerモジュールのアップデートの設定
製品(ファームウェア)アップデートのインストール
製品の更新には2つのタイプがあります。
タイプ1:製品のアップグレードは、マイナーバージョンからメジャーバージョンへのシステムのアップグレードです。
例:バージョン5.4.xから6.0.xへのFirepowerのアップグレード。これらのアップデートには、製品機能の大幅な強化が含まれています。
タイプ2.パッチのインストールはマイナーアップグレードで、現在のバージョンのバグ修正が含まれています。
例:Firepowerモジュールのバージョン5.4.1から5.4.xへのアップグレード
注:アップデート/パッチをインストールする前に、リリースノートを確認することをお勧めします。
Firepowerモジュールの製品アップデート/パッチをインストールするには、[Configuration] > [ASA Firepower Configuration] > [Updates]に移動します。
ここでは、2つのオプションがあります。
自動ダウンロード:Firepowerモジュールがインターネットにアクセスできる場合は、[Download Updates]をクリックして、アップデートをシスコサイトから直接ダウンロードできます。
手動アップデート:シスコのサイトからローカルシステムに製品アップグレード/パッチをダウンロードし、[Upload Update]をクリックして手動でアップロードします。[ファイルの選択]を選択し、ローカルシステムからファイルを参照し、[アップロード]をクリックします。
図に示すように、Firepowerモジュールにファイルをアップロードする際に経過表示バーが表示されます。
更新を手動でアップロードまたはシスコサイトからダウンロードしたら、バージョンを選択し、図に示すようにインストールアイコンをクリックします。
-
ヒント: [Monitoring] > [Task Status]に移動し、アップグレードのインストールを監視します。
VDB更新のインストール
脆弱性データベース(VDB)の更新には、アプリケーション検出(アプリケーションフィルタ)およびVDB更新の更新が含まれています。VDBの更新は、[製品の更新(Product Updates)]に表示されます。
VDBアップデートを設定するには、[Configuration] > [ASA Firepower Configuration] > [Updates]に移動します。 2つのオプションがあります。
自動ダウンロード:Firepowerモジュールがインターネットにアクセスできる場合、Firepowerモジュールは[Download Updates]をクリックして、シスコのWebサイトから直接VDBのアップデートをダウンロードできます。
手動更新:シスコのWebサイトからローカルシステムにVDB更新をダウンロードし、[更新のアップロード]をクリックして手動でアップロードしてください。[ファイルの選択]を選択して、ローカルシステムからファイルを参照し、[アップロード]をクリックします。
更新プログラムをシスコのWebサイトから手動でアップロードまたはダウンロードしたら、バージョンを選択し、図に示すようにインストールアイコンをクリックします。
-
ヒント: VDBのインストールを監視するには、[Monitoring] > [Task Status]に移動します。
ルール更新のインストール
ルール(シグニチャ)アップデートは、Cisco IOS Intrusion Prevention System(IPS)シグニチャアップデートで、最新の脅威のカバレッジを提供するためにCisco TALOSチームが定期的にリリースします。
ルールの更新をインストールするには、[Configuration] > [ASA Firepower Configuration] > [Updates]に移動し、[Rule Updates]をクリックします。
ルールの更新を設定するには、2つのオプションがあります。
- ワンタイムルールの更新/ルールインポート
- 定期的なルール更新のインポート
ワンタイムルールの更新/ルールインポート
ワンタイムルールの更新/ルールインポートは、シグニチャを更新する手動プロセスです。ここでは、2つのオプションがあります。
自動ダウンロード: Firepowerモジュールにインターネット接続がある場合は、サポートサイトから[Download Rule update]を選択します。
手動更新:ローカルシステムのCisco Webサイトからルール更新ファイルを手動でダウンロードした場合は、[ルール更新]または[テキストルールファイル]を選択してアップロードおよびインストールして、[ファイルの選択]をクリックしてシグニチャファイルをアップロードします。
ルールのアップロード/ダウンロードが完了したら、[ルールの更新のインポート完了後にすべてのポリシーを再適用する]を選択し、[インポート]をクリックして、ルールの更新/インストールの完了後にすべてのAccess Controlポリシーにシグネチャの更新を適用します。
ポリシーを手動で適用するには、チェックボックスをオフのままにします。
-
ヒント:ルールインポートのインストールを監視するには、[Configuration] > [ASA Firepower Configuration] > [Updates] > [rule Updates] > [Rule Update log]に移動します。
定期的なルール更新のインポート
[Recurring Rule Update]オプションは、Firepowerモジュールがルールの更新をチェックするようにスケジュールすることです。新しいルールデータベースが利用可能な場合は、新しいルールをダウンロードしてインストールします。
注:Firepowerモジュールは、シスコサポートサイトに接続している必要があります。
繰り返しルールの更新を構成するには、[サポートサイトから繰り返しルールの更新インポートを有効にする]を選択します。 新しいルールの更新を確認する頻度を設定し、可能であればルールの更新をダウンロード/インストールします。
アクセスポリシーを自動的に適用するには、新しいルール変更をモジュールに適用する場合は、[ルール更新完了後に更新されたポリシーを対象デバイスに展開する]を選択し、[保存]をクリックします。
-
ヒント:ルールインポートのインストールを監視するには、次の場所に移動します。 [Configuration] > [ASA Firepower Configuration] > [Updates] > [Rule Updates] > [Rule Update log]。
位置情報の更新のインストール
位置情報の更新には、国と大陸へのIPアドレスの更新されたマッピングが含まれます。
位置情報の更新を設定するには、次の2つのオプションがあります。
ワンタイム位置情報の更新
One-Time Geolocation Updatesは、Geolocationデータベースを更新する手動プロセスです。これらのアップデートを入手するには、2つの方法があります。
手動更新:シスコのWebサイトから位置情報ファイルを手動でダウンロードした場合は、[アップロードして位置情報の更新をインストールする]を選択し、[ファイルの選択]をクリックして位置情報ファイルをアップロードします。
自動ダウンロード:Firepowerモジュールにインターネット接続がある場合は、サポートサイトから[Download and Install geolocation update]を選択し、[Import]をクリックします。
定期的な位置情報の更新
[定期的な位置情報の更新(Recurring Geolocation Updates)]オプションは、ユーザ定義のスケジュールで、位置情報の更新が利用可能かどうかを確認します。利用可能な場合は、新しいデータベースをダウンロードしてインストールします。
注:Firepowerモジュールは、シスコサポートサイトに接続している必要があります。
[Recurring Geolocation Updates]を設定するには、 サポートサイトから定期的な毎週の更新を有効にし、位置情報の更新を確認し、更新プログラムが利用可能な場合は更新プログラムをダウンロード/インストールする頻度を定義し、[保存]をクリックします。
-
ヒント:アップグレードのインストールを監視するには、[Monitoring] > [Task Status]に移動します。
アップデートのインストールの確認
さまざまな更新プログラムのインストールを確認するには、[Configuration] > [ASA Firepower Configuration] > [System Information]に移動します。
ソフトウェアのバージョンとOS: OSセクションには、ソフトウェアのアップグレード済みバージョンが表示されます
VDBのバージョン: VDBはアップグレードされたVDBのバージョンを示します
位置情報の更新バージョン:位置情報の更新バージョン
ルール更新バージョン: SRUバージョンを表示
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。
関連情報