株式会社ディアイティはサイバーセキュリティとネットワークの企業

よくある質問
Forcepoint Firewall Enterprise(Sidewinder)

Q.1サポートライセンスの期限が切れた場合にはFirewallへの影響はありますか?
A.

サポートライセンスは、ファイアウォールの基本機能には影響を与えませんが、期限切れの状態ではオプションライセンス(アンチウイルス・URLフィルタ・アンチスパム等)の使用と、パッチやホットフィックスの適用が不可能となります。
サポートライセンスは1年ごとに保守契約を購入して更新の操作を行う必要があります。 ライセンスの有効期間はGUIの Maintenance > License 画面にて確認できます。

Q.2パッチ・ホットフィックス・E-patch等のアップデートモジュールの種類は?
A.

アップデートモジュールは以下の通り分類されています。

Base

メジャーバージョンのモジュールです。
例: 70100
上記は、メジャーバージョンV7.0.1を示します。

パッチ

ホットフィックスや、その他の修正が多数集まった物です。マカフィー社における正規リリース前の手続きを経てリリースされます。

例:70102
上記はV7.0.1のパッチ02を示します。

Vendor Patch

アンチウイルス用のアップデートモジュールです。
アンチウイルス機能が有効のときのみインストールします。

モジュールのフィル名には、Vが付加されます。
例: 70102MCV01
上記は、V7.0.1.02用のMCV01 Vendor Patchであることを示します。

ホットフィックス

E-patchの中でも影響範囲の大きいものが、マカフィー社における正規リリース前の手続きを経てリリースされたものです。

モジュールのファイル名には、Hが付加されます。
例: 70102H01
上記はV7.0.1.02用のホットフィックス01を示します。

E-patch

特定のお客様からの新機能要求や障害対応のために作成され、必要とするお客様に対しては適宜提供されることになります。ホットフィックスに含まれるE-patchは、開発部門において、その重要度や提供までにかかる時間等を総合的に判断し決定されます。

モジュールのファイル名には、Eが付加されます。
例: 70102E01
上記はV7.0.1.02用のE-patch01を示します。

Q.3インストールされているソフトウェアのバージョン等を確認する方法は?
A.

GUIのDashboardを開くと、Device Information欄のVersions:にメジャーバージョンとパッチレベルが表示されます。
以下の例は、バージョン7.0.1にパッチ02が適用されている状態を表します。

例) Version:70102
V8の場合は、ホスト名の右横にバージョンが表示されます。
例) hostname.example.co.jp - 8.1.1 - Standalone Appliance
上記のバージョンは、8.1.1です。

インストールされているパッチやホットフィックス・E-patchの情報は、以下の手順で確認できます。

  • GUIの場合は、Maintenance> Software Management画面にて確認できます。
    Status欄にて "Installed" と表示されているものがインストール済みのパッケージです。
  • CLIの場合は、管理者権限にて、cf package list コマンドを実行します。
Q.4公開されているパッチやホットフィックスの情報を確認する方法は?
A.

マカフィー社の以下のサイトのMcAfee Firewall Productsをご参照ください。

http://go.mcafee.com/patchindex.html

上記サイトへアクセスするためには、保守契約が有効な装置のシリアル番号(SWXX-XXXX-XXXX-XXXX)を入力する必要があります。
シリアル番号は、GUIのDashboardを開くと、Device Information欄のSerial Number:に表示されます。

Q.5設定のバックアップはどのように取得しておけばいいですか?
A.

設定のバックアップを取得する方法には下記の2種類の手順があります。

1. Configuration Backup

取得タイミング 設定変更後に必ず取得してください。
保存されるデータ 設定情報のみが含まれています。
保存場所 AdminConsole PCに保存してください。
注意事項 各ユーザのホームディレクトリ配下に保存されているファイルも含まれますので、不要なログデータなどをホームディレクトリに保存しないでください。

2. Disaster Recovery Backup

取得タイミング パッチやホットフィックスの適用後に必ず取得してください。
保存されるデータ 設定情報、初期化用データやパッチ・ホットフィックスが含まれています。
保存場所 USBフラッシュメモリのみです。
注意事項 ハードウェア障害が発生したときには、このUSBフラッシュメモリとインストール用CDで復旧できます。
HA構成の場合は、プライマリ用とセカンダリ用に、それぞれ別のUSBフラッシュメモリに保存する必要があります。

詳細なバックアップ手順は、以下の手順書を参照してください。

Q.6パッチの適応やバージョンアップの手順書はありますか?
A.

はい、以下の手順書を用意しております。

その他のバージョンをご使用の場合は、弊社でご用意している場合がございますので、 弊社ヘルプデスクサービスまでお問合せください。

Q.7メーカサポートの終了予定はどうなっていますか?
A.

メーカのProduct Support Life Cycle ページをご参照ください。空欄は未定を表します。

Q.8保守契約更新時に複数年契約や年度末に合わせる契約に変更することは可能ですか?
A.

はい、可能です。詳しくは弊社ヘルプデスクサービスまでお問合せください。

Q.9HA構成のAliasの登録・削除はどのような手順で行えば良いですか?
A.

HA(High Availability)構成において作業手順に注意する必要があります。
シングル構成でご利用にあたっては、注意点はございません。
詳細な作業手順は、以下の手順書を参照してください。

Q.10Firewall Policy Reportを実行するとエラーが発生する。
A.

7.0.1.02で、Firewall Policy Report機能を使用したときに、以下のエラーが発生する場合があることが確認されています。(すべての環境で発生するわけではありません。)

Error encountered while generating the report data: need more than
0 values to unpack

この問題は、70102H17 ホットフィックスを適用することで改善されます。

Q.11HA構成でVIPにログインしたがスタンバイ機のデータを参照するとエラーが発生する。
A.

HA間でのデータ送受信には、専用のSSL証明書を使用しており、その有効期限がデフォルトで5年間となっています。このSSL証明書の有効期限が切れると、HA間のデータ送受信でエラーが発生し、スタンバイ機のデータを参照できなくなります。以下の手順書を参照して、SSL証明書の更新を行ってください。

Q.12SplitDNSを使用しています。2013/1/3にd.rootサーバのIPv4アドレスが変更されましたが、パッチやホットフィックスの適用でroot.cache ファイルは更新されますか?
A.

2013/3/26現在、下記のホットフィックスを適用することで、2013/1/3のroot.cacheファイルに更新されることを確認しております。他のバージョンを使用している場合は、以下の手順書を参照して手動でroot.cache ファイルを更新する必要があります。

パッケージ名 version of root zone
70103H07 2013010300

注意事項:今後リリースされるパッケージでDNSに関する修正が含まれていた場合にはroot.cacheファイルが修正される可能性があります。

Q.13AdminConsoleでMFEにログインしたときに、SSL証明書の有効期限エラーが表示される。
A.

AdminConsole接続時に使用されるSSL証明書の有効期限がデフォルトで5年間となっています。このSSL証明書の有効期限が切れると、ログイン時に証明書の期限切れエラーが発生します。ポップアップ表示される「Skip Certificate Verification?」で、Yesをクリックすると、証明書チェックをスキップしてログインできますが、次回以降のログイン時にも毎回エラーが表示されます。
以下の手順書を参照して、SSL証明書の更新を行ってください。SSL証明書は設定バックアップに含まれていますので、ハードウェアリフレッシュなどで筐体を入れ替えたときに旧筐体で取得した設定バックアップファイルを新筐体にリストアした場合や、バージョンアップを実施したときには引き継がれます。

  • SSL証明書期限切れ発生時のウインドウの表示例

Skip Certificate Verification?
The certificate presented by the firewall does not verify properly. It
Is recommended that you generate a new firewall certificate for Admin
Console administration. You can choose to skip certificate verification
for this connection on a one-time basis.

Here are the details on the certificate:

Subject: /C=US/O=Secure
Computing/CN=MFE.example.com
Issuer: /C=US/O=Secure
Computing/CN=MFE.example.com
expiration: Apr 19 03:23:10 2013 GMT
fingerprint: xx:xx:xx:xx:xx:xx:xx
error: certificate has expired

注意事項:手順書内「2.AdminConsole用SSL証明書」に記載しています。

Q.14インストールプログラムや診断ツール、最新版のドキュメントをダウンロードすることはできますか?
A.

マカフィー社の以下のサイトからダウンロードすることができます。

上記サイトへアクセスして、右上にある Download My Products欄のGOをクリックします。Download My Products Loginページで、保守契約が有効なGrant Numberを入力します。 Please enter the letters displayed:欄には、右横に表示されているASCII文字列を半角で入力し、Submitをクリックします。
Grant Numberは、XXXXXXX-XXX のようにハイフンを含めて11桁であり、保守契約期間ごとに更新されます。弊社発行の「McAfee Firewall Enterpriseサポートサービス証書」に記載しております。
一部のサポートサービス証書には、承認番号が記載されていない場合がございますので、保守契約番号を明記して、お問い合わせください。

Q15SSHでMFEにログインして、tcpdump コマンドでパケットキャプチャを出力したファイルをSCPでPCにコピーできません。

A tcpdumpコマンドの -w オプションで出力されたファイルをSCPでコピーする場合には、ファイルの属性を変更する必要があります。

  • パケットキャプチャを開始します。

    srole
    tcpdump -nvi em0 -s 1514 -w em0.cap

    Ctrl + Cキーによりtcpdump コマンドを停止します。
  • tcpdump コマンドにより作成されたファイルの属性を確認します。

    ll em0.cap
    -rw-r--r-- 1 root wheel secureos/tcpd:file 7179 Apr 19 15:59 em0.cap

  • SCPでコピーできるようにファイルの属性を変更します。

    chtype Admn:file em0.cap

    注意事項: Admin ではなくて Admn です。
  • 変更後のファイル属性を確認します。

    ll em0.cap
    -rw-r--r-- 1 root wheel secureos/Admn:file 7179 Apr 19 15:59 em0.cap

Q.16S2008、S3008、S4016モデル筐体のハードウェア診断ツールの実行手順書はありますか?

A 以下の診断ツールの実行手順書をご確認ください。

注意事項:今後新しい診断ツールがリリースされた場合には実行方法が変わる可能性があります。