ASDM을 사용하여 FirePOWER 모듈의 패치/업데이트 설치(온박스 관리)

소개

이 문서에서는 Firepower 모듈에서 사용할 수 있는 다양한 업그레이드/업데이트/패치 및 Adaptive Security Device Manager(온박스 관리)를 사용한 설치 절차에 대해 설명합니다.

기고자: Avinash, Prashant Joshi, Sunil Kumar, Cisco TAC 엔지니어

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.  

• ASA(Adaptive Security Appliance) 방화벽 및 ASDM(Adaptive Security Device Manager)에 대한 지식
• Firepower 어플라이언스 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 소프트웨어 버전 5.4.1 이상을 실행하는 ASA Firepower 모듈(ASA 5506X/5506H-X/5506W-X, ASA 5508-X, ASA 5516-X )
• 소프트웨어 버전 6.0.0 이상을 실행하는 ASA Firepower 모듈(ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 555-X)
• ASDM 버전은 ASA에서 실행 중인 버전에 따라 달라집니다.자세한 호환성 매트릭스 ASA 및 ASDM 호환성

이 문서의 정보는 특정 랩 환경의 디바이스에서 생성됩니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

업데이트 유형 

Firepower 모듈에는 다음과 같은 유형의 업데이트가 있습니다.

• 제품(펌웨어) 업그레이드/패치
• VDB(취약성 데이터베이스) 업데이트
• 규칙(서명) 업데이트
• 지오로케이션 업데이트

 

Firepower 모듈 업데이트 구성 

제품(펌웨어) 업데이트 설치

제품 업데이트는 두 가지 유형입니다.

유형 1. 제품 업그레이드는 부 버전에서 주 버전으로 업그레이드하는 시스템입니다.

예:버전 5.4.x에서 6.0.x로 Firepower 업그레이드이러한 업데이트에는 제품 기능이 크게 향상되었습니다. 

유형 2. 패치 설치는 현재 버전에 대한 버그 픽스를 포함하는 간단한 업그레이드입니다.

예:Firepower Module을 버전 5.4.1에서 5.4.x로 업그레이드

메모:업데이트/패치를 설치하기 전에 릴리스 정보를 검토하는 것이 좋습니다.  

 

Firepower Module용 제품 업데이트/패치를 설치하려면 Configuration(구성) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Updates(업데이트)로 이동합니다.

여기 두 가지 옵션이 있습니다.

자동 다운로드: Firepower Module에 인터넷 액세스가 있는 경우 Download Updates(업데이트 다운로드)를 클릭하여 Cisco 사이트에서 직접 업데이트를 다운로드할 수 있습니다.

수동 업데이트: Cisco 사이트에서 로컬 시스템으로 제품 업그레이드/패치를 다운로드하고 Upload Update(업데이트 업로드)를 클릭하여 수동으로 업로드합니다.Choose File(파일 선택)을 선택하고 로컬 시스템에서 파일을 찾은 다음 Upload(업로드)를 클릭합니다.

이미지에 표시된 것처럼 Firepower 모듈에 파일을 업로드하는 동안 진행률 표시줄이 나타납니다.

Cisco 사이트에서 업데이트를 수동으로 업로드하거나 다운로드한 후에는 버전을 선택하고 이미지에 표시된 대로 설치 아이콘을 클릭합니다.

1. 팁: Monitoring(모니터링) > Task Status(작업 상태)로 이동하여 업그레이드 설치를 모니터링합니다. 

 

VDB 업데이트 설치 

VDB(취약성 데이터베이스) 업데이트에는 애플리케이션 탐지(애플리케이션 필터) 및 VDB 업데이트에 대한 업데이트가 포함되어 있습니다.VDB 업데이트가 제품 업데이트 아래에 나열됩니다.

VDB 업데이트를 구성하려면 Configuration(컨피그레이션) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Updates(업데이트)로 이동합니다. 여기 두 가지 옵션이 있습니다.

자동 다운로드: Firepower Module에 인터넷 액세스가 있는 경우 Firepower Module은 Download Updates(업데이트 다운로드)를 클릭하여 Cisco 웹 사이트에서 VDB 업데이트를 직접 다운로드할 수 있습니다.

수동 업데이트: Cisco 웹 사이트에서 로컬 시스템으로 VDB 업데이트를 다운로드하고 Upload Update(업데이트 업로드)를 클릭하여 수동으로 업로드합니다.Choose File을 선택하고 로컬 시스템에서 파일을 찾은 다음 Upload를 클릭합니다.  

Cisco 웹 사이트에서 업데이트를 수동으로 업로드하거나 다운로드한 후에는 버전을 선택하고 이미지에 표시된 대로 설치 아이콘을 클릭합니다.

1. 팁: Monitoring(모니터링) > Task Status(작업 상태)로 이동하여 VDB 설치를 모니터링합니다. 

  

규칙 업데이트 설치

Rule(Signature) 업데이트는 Cisco TALOS 팀이 최신 위협에 대한 커버리지를 제공하기 위해 정기적으로 릴리스하는 Cisco IOS IPS(Intrusion Prevention System) 서명 업데이트입니다. 

Rule Updates(규칙 업데이트)를 설치하려면 Configuration(컨피그레이션) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Updates(업데이트)로 이동한 다음 Rule Updates(규칙 업데이트)를 클릭합니다. 

규칙 업데이트를 구성하는 두 가지 옵션이 있습니다.

• 일회성 규칙 업데이트/규칙 가져오기
• 반복 규칙 업데이트 가져오기

일회성 규칙 업데이트/규칙 가져오기 

일회성 규칙 업데이트/규칙 가져오기는 시그니처를 업데이트하는 수동 프로세스입니다.여기 두 가지 옵션이 있습니다.

자동 다운로드: Firepower Module에 인터넷 연결이 있는 경우 지원 사이트에서 Download Rule update(규칙 업데이트 다운로드)를 선택합니다.

수동 업데이트: 로컬 시스템의 Cisco 웹 사이트에서 규칙 업데이트 파일을 수동으로 다운로드한 경우 Rule update 또는 text rule file을 선택하여 업로드 및 설치한 다음 Choose File(파일 선택)을 클릭하여 서명 파일을 업로드합니다.

규칙의 업로드/다운로드가 완료되면 Reapply all policies after rule update import completes(규칙 업데이트 가져오기가 완료된 후 모든 정책 다시 적용)를 선택한 다음 Import(가져오기)를 클릭하여 규칙 업데이트/설치가 완료된 후 모든 액세스 제어 정책에 서명 업데이트를 자동으로 적용할 수 있습니다. 

정책을 수동으로 적용하려면 확인란의 선택을 취소합니다.

 

1. 팁:규칙 가져오기 설치를 모니터링하려면 Configuration(구성) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Updates(업데이트) > rule Updates(규칙 업데이트) > Rule Update log(규칙 업데이트 로그)로 이동합니다.

반복 규칙 업데이트 가져오기

Recurring Rule Update 옵션은 Firepower 모듈이 규칙 업데이트를 확인하도록 예약하는 것입니다.새 규칙 데이터베이스를 사용할 수 있는 경우 새 규칙을 다운로드하여 설치합니다.

메모:Firepower Module은 Cisco 지원 사이트에 연결해야 합니다.

Recurring Rule Updates를 구성하려면 지원 사이트에서 Enable Recurring Rule Update Imports를 선택합니다. 새 규칙 업데이트 및 다운로드/설치 규칙 업데이트를 확인할 빈도를 구성합니다(사용 가능한 경우). 

모듈에 새 규칙 변경 사항을 적용하려면 Deploy updated policies to targeted devices after rule update completes(규칙 업데이트가 완료된 후 대상 디바이스에 업데이트된 정책 구축)를 선택하여 액세스 정책을 자동으로 적용하도록 선택하고 Save(저장)를 클릭합니다.

1. 팁:규칙 가져오기 설치를 모니터링하려면 Configuration(컨피그레이션) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > Updates(업데이트) > Rule Updates(규칙 업데이트) > Rule Update log(규칙 업데이트 로그).
   

위치 정보 업데이트 설치

지오로케이션 업데이트에 국가 및 대륙에 대한 IP 주소의 업데이트된 매핑이 포함되어 있습니다. 

지오로케이션 업데이트를 구성하는 두 가지 옵션은 다음과 같습니다.

1회 지오로케이션 업데이트

일회성 지오로케이션 업데이트는 지오로케이션 데이터베이스를 업데이트하는 수동 프로세스입니다.이러한 업데이트를 얻는 방법에는 두 가지가 있습니다.

수동 업데이트: Cisco 웹 사이트에서 지오로케이션 파일을 수동으로 다운로드한 경우 Upload and install geolocation update(위치 업데이트 업로드 및 설치)를 선택하고 Choose File(파일 선택)을 클릭하여 지오로케이션 파일을 업로드합니다.

자동 다운로드: Firepower Module에 인터넷 연결이 있는 경우 지원 사이트에서 Download and Install geolocation update(위치 정보 업데이트 다운로드 및 설치)를 선택하고 Import(가져오기)를 클릭합니다.

반복 지오로케이션 업데이트 

Recurring Geolocation Updates 옵션은 지오로케이션 업데이트의 가용성을 확인하기 위한 사용자 정의 일정입니다.사용 가능한 경우 새 데이터베이스를 다운로드하여 설치합니다.

메모:Firepower Module은 Cisco 지원 사이트에 연결해야 합니다.

반복 지오로케이션 업데이트를 구성하려면 지원 사이트에서 Recurring Weekly Updates(반복 주간 업데이트)를 활성화하고, Geolocation Updates(지오로케이션 업데이트)를 확인하고, 사용 가능한 경우 업데이트를 다운로드/설치한 다음 Save(저장)를 클릭합니다.

1. 팁:업그레이드 설치를 모니터링하려면 Monitoring(모니터링) > Task Status(작업 상태)로 이동합니다.

   

업데이트 설치 확인

다양한 업데이트 설치를 확인하려면 Configuration(구성) > ASA Firepower Configuration(ASA Firepower 컨피그레이션) > System Information(시스템 정보)으로 이동합니다.

소프트웨어 버전 및 OS: OS 섹션에는 업그레이드된 소프트웨어 버전이 표시됩니다.

VDB 버전: VDB는 업그레이드된 VDB 버전을 표시합니다.

지오로케이션 업데이트 버전: 지오로케이션 업데이트 버전

규칙 업데이트 버전: SRU 버전 표시

문제 해결

현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

  

관련 정보

• 기술 지원 및 문서 − Cisco Systems