Erstellen Sie ein neues Image einer sicheren Firewall-Bedrohungsabwehr für die Serien 1000, 2100 und 3100

Einleitung

In diesem Dokument wird ein Beispiel für ein Verfahren zur Erstellung eines neuen Images für die Secure Firewall Threat Defense (ehemals Firepower Threat Defense) beschrieben. 

Voraussetzungen

Anforderungen

Cisco empfiehlt, sich mit folgenden Themen vertraut zu machen:

• Für diesen Leitfaden gibt es keine spezifischen Anforderungen.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Secure Firewall Threat Defense 2110 (FTD) Version 7.2.4

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Spezifische Anforderungen für dieses Dokument:

•  Ein Konsolenkabel, das mit dem FTD verbunden ist
• Ein TFTP-Server mit dem bereits hochgeladenen Installationspaket (.SPA)

Diese Neuabbildungsprozedur wird auf folgenden Appliances unterstützt:

• Cisco Secure Firewall Threat Defense der Serie 1000
• Cisco Secure Firewall Threat Defense der Serie 2100
• Cisco Secure Firewall Threat Defense der Serie 3100

Vorbereitungen

1. Bei einem erneuten Image werden alle vorherigen Konfigurationen gelöscht. Um Konfigurationen wiederherzustellen, erstellen Sie vor dem Starten dieses Verfahrens ein Backup.
2. Dieses Verfahren gilt nur für Firewalls mit FTD-Software.
3. Überprüfen Sie, ob das Modell mit diesem Verfahren kompatibel ist.

Konfigurieren

Schritt 1: Gerät formatieren:

I. Verbinden Sie sich mit dem Konsolenport Ihrer Appliance, und stellen Sie eine Konsolenverbindung her.

II. Melden Sie sich bei der CLI des FXOS-Gehäuses an.

III. Geben Sie connect local-mgmt ein, um zur Verwaltungskonsole zu wechseln.

III. Verwenden Sie den Befehl format everything, um alle Konfigurationen und Boot-Images auf der Appliance zu löschen.

III. Geben Sie yes ein, um das Verfahren zu bestätigen.

Schritt 2: Unterbrechen Sie den Bootvorgang, indem Sie die ESC-Taste drücken, um in den ROMMON-Modus zu wechseln:

Schritt 3: Füllen Sie die Netzwerk- und Remote-Storage-Parameter mit Ihren Konfigurationen aus, um den TFTP-Download vorzubereiten:

I. Folgende Parameter müssen ausgefüllt werden:

A. ADDRESS=ip_address

B. NETMASK=Netzmaske

C. GATEWAY=gateway_ip

D. SERVER=remote_storage_server

E. IMAGE=Pfad_zur_Datei

Achtung: Der ROMMON-Modus unterstützt das TFTP-Protokoll, und USB, FTP, SCP und SFTP werden beim ersten Boot-Vorgang nicht unterstützt.

Schritt 4: Geben Sie set ein, um die bereitgestellten Konfigurationen zu bestätigen:

Hinweis: Überprüfen Sie die Richtigkeit der bereitgestellten Informationen. Wenn Sie einen Fehler feststellen, passen Sie den Parameter an, und geben Sie set erneut ein.

Schritt 5: Geben Sie sync ein, um die Netzwerk- und Remote-Speicherkonfigurationen anzuwenden:

Schritt 6: Starten Sie den Bootvorgang mit dem Befehl tftp -b:

Hinweis: Wenn der Download für das Boot-Image erfolgreich ist, werden mehrere Ausrufezeichen (!) angezeigt, die den Download bestätigen. Überprüfen Sie andernfalls, ob Ihre Konfigurationen angemessen sind, oder validieren Sie, ob Ihr Gerät den Remote-Speicherserver erreichen kann.

Schritt 7. Melden Sie sich nach dem Hochfahren des Systems mit den Standardanmeldeinformationen (admin/admin123) beim Gerät an, und ändern Sie das Kennwort der Appliance:

Hinweis: Dieser Fehler kann angezeigt werden, während die Ersteinrichtung erfolgt. Er wird jedoch gelöscht, nachdem Sie die Threat Defence-Software wie in späteren Schritten beschrieben installiert haben.

Schritt 8: Konfigurieren Sie die IP-Adresse der Verwaltungsschnittstelle:

I. Wechseln Sie mit dem Befehl scope fabric-interconnect zum Fabric-Bereich

II. Legen Sie die IP-Verwaltungskonfiguration mit dem Befehl set out-of-band static ip ip netmask netmask gw gateway fest.

Schritt 9. Laden Sie das Threat Defence-Installationspaket herunter:

I. Mit der Befehlsbereich-Firmware zum Firmware-Bereich wechseln

II. Laden Sie das Installationspaket herunter:

A. Wenn Sie einen USB-Port verwenden, können Sie den Befehl download image usbA:package_name

B. Wenn Sie einen unterstützten Remote-Speicherserver verwenden, können Sie den Befehl download image tftp/ftp/scp/sftp://path_to_your_package

Hinweis: Bei der Verwendung von Remote-Speicherservern müssen absolute Pfade zur Syntax des Befehls verwendet werden, wie im Beispiel gezeigt.

Schritt 10. Überprüfen Sie den Download-Fortschritt mit dem Befehl show download-task:

Hinweis: Sobald der Download-Status in Heruntergeladen wechselt, können Sie mit dem nächsten Schritt fortfahren.

Schritt 11. Überprüfen Sie, ob das Paket bereits in der Firmware-Liste enthalten ist, und verwenden Sie den Befehl show package:

Hinweis: Kopieren Sie die Paketversion, wie sie bei der Installation der Threat Defence-Software verwendet wird.

Schritt 12: Installieren Sie die Threat Defence-Software, um das neue Image abzuschließen:

I. Wechseln Sie zum Installationsbereich mit der automatischen Befehlsbereichsinstallation.

II. Fahren Sie mit der Installation der Threat Defense-Software mit dem Befehl install security-pack version version force

III. Es werden zwei Bestätigungsaufforderungen auf der Konsole angezeigt. Bitte bestätigen Sie beide, indem Sie yes eingeben.

Vorsicht: Der Vorgang des erneuten Images dauert bis zu 45 Minuten. Beachten Sie, dass die Firewall während der Installation neu gestartet wird.

Validierung

Validieren Sie den Upgrade-Prozess mit dem Befehl show detail: