소개
이 문서에서는 Cisco ASA에 Cisco SFR(Firepower) 모듈을 설치 및 구성하고 Cisco FireSIGHT에 SFR 모듈을 등록하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
이 문서에 설명된 절차를 시도하기 전에 시스템이 다음 요구 사항을 충족하는 것이 좋습니다.
사용되는 구성 요소
Cisco ASA에 Firepower 서비스를 설치하려면 다음 구성 요소가 필요합니다.
- Cisco ASA 소프트웨어 버전 9.2.2 이상
- Cisco ASA 플랫폼 5512-X~5555-X
- Firepower 소프트웨어 버전 5.3.1 이상
참고: ASA 5585-X 하드웨어 모듈에 SFR(Firepower) 서비스를 설치하려면 ASA 5585-X 하드웨어 모듈에 SFR 모듈 설치를 참조하십시오.
Cisco FireSIGHT Management Center에는 다음 구성 요소가 필요합니다.
- Firepower 소프트웨어 버전 5.3.1 이상
- FireSIGHT Management Center FS2000, FS4000 또는 가상 어플라이언스
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
Cisco ASA Firepower 모듈(ASA SFR이라고도 함)은 다음과 같은 차세대 방화벽 서비스를 제공합니다.
- NGIPS(차세대 침입 방지 시스템)
- AVC(Application Visibility and Control)
- 필터 URL
- AMP(Advanced Malware Protection)
참고: 단일 또는 다중 컨텍스트 모드, 라우팅 또는 투명 모드에서 ASA SFR 모듈을 사용할 수 있습니다.
시작하기 전에
이 문서에 설명된 절차를 시도하기 전에 이 중요한 정보를 고려하십시오.
- 트래픽을 ASA SFR로 교체한 IPS(Intrusion Prevention System)/CX(Context Aware) 모듈로 리디렉션하는 활성 서비스 정책이 있는 경우, ASA SFR 서비스 정책을 구성하기 전에 이를 제거해야 합니다.
- 현재 실행 중인 다른 소프트웨어 모듈을 종료해야 합니다. 디바이스는 한 번에 하나의 소프트웨어 모듈을 실행할 수 있습니다. ASA CLI에서 이 작업을 수행해야 합니다. 예를 들어 다음 명령은 IPS 소프트웨어 모듈을 종료하고 제거한 다음 ASA를 다시 로드합니다.
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
- CX 모듈을 제거하기 위해 사용되는 명령은 동일합니다. 단, 키워드가 다음
cxsc 대신 ips사용됩니다. ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
- 모듈을 리이미징할 때 이전 SFR 이미지를 제거하기 위해 사용되는 것과 동일한
shutdown 및 uninstall 명령을 사용합니다. 예를 들면 다음과 같습니다.
ciscoasa# sw-module module sfr uninstall
- ASA SFR 모듈이 다중 컨텍스트 모드에서 사용되는 경우, 시스템 실행 영역에서 이 문서에 설명된 절차를 수행합니다.
팁: ASA에서 모듈의 상태를 확인하려면 명령을 show module 입력합니다.
Install
이 섹션에서는 ASA에 SFR 모듈을 설치하는 방법 및 ASA SFR 부트 이미지를 설정하는 방법에 대해 설명합니다.
ASA에 SFR 모듈 설치
ASA에 SFR 모듈을 설치하려면 다음 단계를 완료하십시오.
- Cisco.com에서 ASA SFR 관리 인터페이스에서 액세스할 수 있는 HTTP, HTTPS 또는 FTP 서버로 ASA SFR 시스템 소프트웨어를 다운로드합니다.
- 부팅 이미지를 디바이스에 다운로드합니다. 부팅 이미지를 디바이스로 다운로드하려면 Cisco ASDM(Adaptive Security Device Manager) 또는 ASA CLI를 사용할 수 있습니다.
참고: 시스템 소프트웨어를 전송하지 마십시오. 나중에 SSD(Solid State Drive)로 다운로드됩니다.
ASDM을 통해 부트 이미지를 다운로드하려면 다음 단계를 완료하십시오.
- 부트 이미지를 워크스테이션에 다운로드하거나 FTP, TFTP, HTTP, HTTPS, SMB(Server Message Block) 또는 SCP(Secure Copy) 서버에 배치합니다.
- ASDM에서 을 선택합니다
Tools > File Management.
- 로컬 PC와 플래시 사이 또는 원격 서버와 플래시 사이에서 적절한 파일 전송 명령을 선택합니다.
- 부트 소프트웨어를 ASA의 플래시 드라이브(disk0)로 전송합니다.
ASA CLI를 통해 부트 이미지를 다운로드하려면 다음 단계를 완료하십시오.
- FTP, TFTP, HTTP 또는 HTTPS 서버에서 부트 이미지를 다운로드합니다.
- 부트 이미지를 플래시 드라이브에 다운로드하려면 CLI에 명령을
copy 입력합니다. 다음은 HTTP 프로토콜을 사용하는 예입니다(를 서버 IP 주소 또는 호스트 이름
으로 대체). FTP 서버의 경우 URL은 다음과 같습니다ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img .
ciscoasa# copy http://
/asasfr-5500x-boot-5.3.1-152.img
disk0:/asasfr-5500x-boot-5.3.1-152.img
- ASA 플래시 드라이브에서 ASA SFR 부트 이미지 위치를 구성하려면 다음 명령을 입력합니다.
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
예를 들면 다음과 같습니다.
ciscoasa# sw-module module sfr recover configure image disk0:
/asasfr-5500x-boot-5.3.1-152.img
- ASA SFR 부트 이미지를 로드하려면 다음 명령을 입력합니다.
ciscoasa# sw-module module sfr recover boot
이 시간 동안 ASA에서 을(를) 활성화할 경우 다음 디버깅debug module-boot이 인쇄됩니다.
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
- ASA SFR 모듈이 부팅될 때까지 약 5~15분 정도 기다린 다음 작동 중인 ASA SFR 부팅 이미지에 대한 콘솔 세션을 엽니다.
ASA SFR 부팅 이미지 설정
새로 설치된 ASA SFR 부팅 이미지를 설정하려면 다음 단계를 완료하십시오.
- 로그인 프롬프트에 도달하기 위해 세션을 연
Enter 후 을 누릅니다. 참고: 기본 사용자 이름은 admin입니다. 비밀번호는 소프트웨어 릴리스에 따라 다릅니다.Adm!n123 7.0.1(출고 시 새 디바이스만 해당)의 경우, 6.0Admin123의 경우, 그리고 6.0 이전Sourcefire의 경우.
예를 들면 다음과 같습니다.
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
팁: ASA SFR 모듈 부팅이 완료되지 않은 경우 session 명령이 실패하고 시스템이 TTYS1을 통해 연결할 수 없음을 나타내는 메시지가 나타납니다. 이 경우 모듈 부팅이 완료될 때까지 기다린 후 다시 시도하십시오.
- 시스템 소프트웨어
setup 패키지를 설치할 수 있도록 시스템을 구성하려면 다음 명령을 입력합니다.
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
그러면 다음 정보를 입력하라는 프롬프트가 표시됩니다.
Host name - 호스트 이름은 공백 없이 최대 65자의 영숫자로 구성할 수 있습니다. 하이픈을 사용할 수 있습니다.Network address - 네트워크 주소는 고정 IPv4 또는 IPv6 주소일 수 있습니다. IPv4 또는 IPv6 상태 비저장 자동 컨피그레이션에 DHCP를 사용할 수도 있습니다.DNS information - 하나 이상의 DNS(Domain Name System) 서버를 식별해야 하며, 도메인 이름을 설정하고 도메인을 검색할 수도 있습니다.NTP information - NTP(Network Time Protocol)를 활성화하고 NTP 서버를 구성하여 시스템 시간을 설정할 수 있습니다.
- 시스템 소프트웨어
system install 이미지를 설치하려면 다음 명령을 입력합니다.
asasfr-boot >system install [noconfirm] url
확인 메시지에 응답하지 않으려면 이 옵션을 noconfirm 포함합니다. 키워드를 url 파일의 위치로 .pkg 바꿉니다. FTP, HTTP 또는 HTTPS 서버를 사용할 수도 있습니다. 예를 들면 다음과 같습니다.
asasfr-boot >system install http://
/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
FTP 서버의 경우 URL은 다음과 같습니다ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg.
참고 SFR은 설치 프로세스 중에 "Recover" 상태입니다. SFR 모듈 설치를 완료하는 데 최대 1시간 정도 걸릴 수 있습니다. 설치가 완료되면 시스템이 재부팅됩니다. 애플리케이션 구성 요소 설치 및 ASA SFR 서비스가 시작될 때까지 10분 이상 기다립니다. 명령의 출력은 show module sfr 모든 프로세스가 실행 중임을 나타냅니다Up.
구성
이 섹션에서는 Firepower 소프트웨어 및 FireSIGHT Management Center를 구성하는 방법과 트래픽을 SFR 모듈로 리디렉션하는 방법에 대해 설명합니다.
firepower 소프트웨어 구성
firepower 소프트웨어를 구성하려면 다음 단계를 완료하십시오.
- ASA SFR 모듈에 대한 세션을 엽니다.
참고: 완전히 작동하는 모듈에서 로그인이 수행되므로 이제 다른 로그인 프롬프트가 나타납니다.
예를 들면 다음과 같습니다.
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
- 사용자 이름
admin 및 비밀번호는 소프트웨어 릴리스에 따라 다릅니다.Adm!n123 7.0.1(공장 출하 시 새 디바이스만 해당)Admin123, 6.0 이상,Sourcefire 6.0 이전입니다.
- 프롬프트에 따라 시스템 컨피그레이션을 완료합니다. 이 순서는 다음과 같습니다.
- EULA(End User License Agreement)를 읽고 동의합니다.
- 관리자 비밀번호를 변경합니다.
- 프롬프트에 따라 관리 주소 및 DNS 설정을 구성합니다.
참고: IPv4 및 IPv6 관리 주소를 모두 구성할 수 있습니다.
예를 들면 다음과 같습니다.
System initialization in progress. Please stand by. You must change the password
for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
- 시스템이 스스로 재구성할 때까지 기다립니다.
FireSIGHT Management Center 구성
ASA SFR 모듈 및 보안 정책을 관리하려면 FireSIGHT Management Center에 등록해야 합니다. 자세한 내용은 FireSIGHT Management Center에 디바이스 등록을 참조하십시오. FireSIGHT Management Center에서는 다음 작업을 수행할 수 없습니다.
- ASA SFR 모듈 인터페이스 구성
- ASA SFR 모듈 프로세스를 종료 또는 재시작하거나 다른 방법으로 관리
- ASA SFR 모듈 디바이스에서 백업을 생성하거나 백업을 복원합니다.
- 트래픽을 VLAN 태그 조건 사용과 일치시키기 위한 쓰기 액세스 제어 규칙
SFR 모듈로 트래픽 리디렉션
ASA SFR 모듈로 트래픽을 리디렉션하려면 특정 트래픽을 식별하는 서비스 정책을 생성해야 합니다. 트래픽을 ASA SFR 모듈로 리디렉션하려면 다음 단계를 완료하십시오.
- 명령으로 식별해야 하는 트래픽을
access-list 선택합니다. 이 예에서는 모든 인터페이스의 모든 트래픽이 리디렉션됩니다. 특정 트래픽에 대해서도 이 작업을 수행할 수 있습니다.
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
- 액세스 목록의 트래픽과 일치시키기 위해 클래스 맵을 만듭니다.
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
- 구축 모드를 지정합니다. 패시브(모니터 전용) 또는 인라인(일반) 구축 모드에서 디바이스를 구성할 수 있습니다.
참고: ASA에서 패시브 모드와 인라인 모드를 동시에 구성할 수는 없습니다. 한 가지 유형의 보안 정책만 허용됩니다.
경고: 이 monitor-only 모드에서는 SFR 서비스 모듈이 악성 트래픽을 거부하거나 차단할 수 없습니다.
주의: interface-level 명령을 사용하여 모니터 전용 모드에서 ASA를 구성할 수 있지만, 이 구성은 데모 기능용으로만 traffic-forward sfr monitor-only 사용되므로 프로덕션 ASA에서는 사용할 수 없습니다. 이 데모 기능에 있는 모든 문제는 Cisco TAC(Technical Assistance Center)에서 지원되지 않습니다. 패시브 모드에서 ASA SFR 서비스를 구축하려는 경우 정책 맵을 사용하여 구성합니다.
- 위치를 지정하고 정책을 적용합니다. 정책을 전역적으로 또는 인터페이스에 적용할 수 있습니다. 인터페이스에서 전역 정책을 재정의하려면 해당 인터페이스에 서비스 정책을 적용할 수 있습니다.
키워드는 global 모든 인터페이스에 정책 맵을 적용하고, 키워드는 interface 하나의 인터페이스에 정책을 적용합니다. 하나의 전역 정책만 허용됩니다. 이 예에서는 정책이 전역적으로 적용됩니다.
ciscoasa(config)# service-policy global_policy global
주의: 정책 맵global_policy은 기본 정책입니다. 이 정책을 사용하고 문제를 해결하기 위해 장치에서 제거하려는 경우 그 의미를 이해해야 합니다.
다음을 확인합니다.
현재 이 설정에 사용 가능한 확인 절차는 없습니다.
문제 해결
- SFR 부트 이미지 설치 시작 시 디버그를 활성화하려면 이 명령(
debug module-boot)을 실행할 수 있습니다.
- ASA가 복구 모드에서 중단되었고 콘솔이 시작되지 않은 경우 이 명령을 실행해 보십시오(
sw-module module sfr recover stop).
- SFR 모듈이 복구 상태에서 나올 수 없는 경우 ASA를 다시 로드하려고 시도할 수 있습니다. 트래픽이
(reload quick)통과하면 네트워크 교란이 발생할 수 있습니다. Still SFR이 복구 상태에서 중단되면 ASA와 카드를 종료하고 unplug the SSD ASA를 시작할 수 있습니다. 모듈의 상태를 확인하고 INIT 상태여야 합니다. 다시 ASA, 카드를 insert the SSD 종료하고 ASA를 시작합니다. ASA SFR 모듈의 이미지로 다시 설치할 수 있습니다.
관련 정보
피드백