콘솔 포트에서 또는 관리 인터페이스에 대한 SSH를 사용하여 threat defense CLI에 연결합니다.이 인터페이스는 기본적으로 DHCP 서버에서 IP 주소를 가져옵니다. 네트워크 설정을 변경하려는 경우 연결이 끊어지지 않도록 콘솔 포트를 사용하는 것이 좋습니다.

사용자 이름 admin 및 비밀번호 Admin123으로 로그인합니다.

firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower# 

콘솔 포트에서 FXOS에 연결한 경우 threat defense CLI에 연결합니다.

firepower# connect ftd
>

threat defense에 처음 로그인할 경우, 엔드 유저 라이선스 계약(EULA)에 동의하고 SSH 연결을 사용 중인 경우 관리자 비밀번호를 변경하라는 메시지가 표시됩니다. 그 다음에는 CLI 설정 스크립트가 표시됩니다.

You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 

System initialization in progress.  Please stand by.
You must change the password for 'admin' to continue.
Enter new password: ********
Confirm new password: ********
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1
Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ... 

Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

이 threat defense를 관리할 management center를 식별합니다.

> configure manager add MC.example.com 123456
Manager successfully configured.

> configure manager add DONTRESOLVE regk3y78 natid90
Manager successfully configured.

> configure manager add 10.70.45.5 regk3y78 natid56
Manager successfully configured.

device manager에 로그인합니다.

1. 브라우저에 다음 URL을 입력합니다.

   • 내부 (Ethernet 1/2)—https://192.168.95.1 .

   • 관리—https://management_ip . 기본적으로 대부분의 플랫폼에서 관리 인터페이스는 DHCP 클라이언트이므로 IP 주소는 DHCP 서버에 따라 달라집니다. 이 절차의 일부로 관리 IP 주소를 고정 주소로 설정해야 할 수 있습니다. 따라서 연결이 끊어지지 않도록 내부 인터페이스를 사용하는 것이 좋습니다.

2. 사용자 이름 admin 및 기본 비밀번호 Admin123으로 로그인합니다.

3. 최종 사용자 라이선스 계약(EULA)에 동의하고 관리자 비밀번호를 변경하라는 메시지가 표시됩니다.

초기 설정을 완료하기 전에 처음으로 device manager에 로그인할 때 설정 마법사를 사용합니다. 선택적으로 페이지 하단의 Skip device setup(디바이스 설정 건너뛰기)을 클릭하여 설정 마법사를 건너뛸 수 있습니다.

1. 외부 및 관리 인터페이스에 대해 다음 옵션을 구성하고 Next(다음)를 클릭합니다.

   1. 외부 인터페이스 주소 — 이 인터페이스는 일반적으로 인터넷 게이트웨이이며 관리자 액세스 인터페이스로 사용될 수 있습니다. 초기 디바이스 설정 중에는 대체 외부 인터페이스를 선택할 수 없습니다. 첫 번째 데이터 인터페이스가 기본 외부 인터페이스입니다.

      관리자 액세스를 위해 외부(또는 내부)에서 다른 인터페이스를 사용하려는 경우 설정 마법사를 완료한 후 수동으로 구성해야 합니다.

      IPv4 구성 - 외부 인터페이스의 IPv4 주소를 구성합니다. DHCP를 사용하거나 수동으로 고정 IP 주소, 서브넷 마스크 및 게이트웨이를 입력할 수 있습니다. 끄기를 선택하여 IPv4 주소를 구성하지 않을 수도 있습니다. 설정 마법사를 사용하여 PPPoE를 구성할 수 없습니다. 인터페이스가 DSL 모뎀이나 케이블 모뎀에 연결되어 있거나 기타 ISP 연결을 사용하고 ISP에서 PPPoE를 사용하여 IP 주소를 제공하는 경우, PPPoE가 필요할 수 있습니다. 마법사를 완료한 후 PPPoE를 구성할 수 있습니다.

      IPv6 구성 - 외부 인터페이스의 IPv6 주소를 구성합니다. DHCP를 사용하거나 수동으로 고정 IP 주소, 접두사 및 게이트웨이를 입력할 수 있습니다. 끄기를 선택하여 IPv6 주소를 구성하지 않을 수도 있습니다.

   2. 관리 인터페이스

      CLI에서 초기 설정을 수행한 경우 관리 인터페이스 설정이 표시되지 않습니다. 관리 인터페이스 IP 주소 설정은 설정 마법사의 일부가 아닙니다. 관리 IP 주소 설정은 단계 단계 3 참조.

      DNS 서버 - 방화벽의 관리 인터페이스용 DNS 서버입니다. 이름 확인을 위해 DNS 서버의 주소를 하나 이상 입력합니다. 기본값은 OpenDNS 공개 DNS 서버입니다. 필드를 수정하여 기본값으로 되돌리려면 OpenDNS(OpenDNS 사용)를 클릭하여 적절한 IP 주소를 필드에 다시 로드합니다.

      방화벽 호스트 이름 - 방화벽의 관리 인터페이스용 호스트 이름입니다.

2. 시간 설정(NTP)을 구성하고 Next(다음)를 클릭합니다.

   1. 표준 시간대 - 시스템의 표준 시간대를 선택합니다.

   2. NTP 시간 서버 - 기본 NTP 서버를 사용할지 아니면 NTP 서버의 주소를 수동으로 입력할지를 선택합니다. 백업을 제공하기 위해 여러 서버를 추가할 수 있습니다.

3. 등록 없이 90일 평가 기간 시작을 선택하십시오.

   threat defense을 Smart Software Manager에 등록하지 마십시오. 모든 라이선싱은 management center에서 수행됩니다.

4. 마침을 클릭합니다.

5. Cloud Management(클라우드 관리) 또는 Standalone(독립형)을 선택하라는 메시지가 표시됩니다. management center 관리의 경우 Standalone(독립형)을 선택한 다음 Got It(확인)을 선택합니다.

(필수일 수 있음) 관리 인터페이스에 대해 고정 IP 주소를 구성합니다. Device(디바이스)를 선택한 후 System Settings(시스템 설정) > Management Interface(관리 인터페이스) 링크를 클릭합니다.

외부 또는 내부 이외의 인터페이스를 포함하여 추가 인터페이스를 구성하려면 Device(디바이스)를 선택한 다음 Interfaces(인터페이스) 요약의 링크를 클릭합니다.

Device(디바이스) > System Settings)시스템 설정) > Management Center(관리 센터)를 선택하고 Proceed(계속)을 눌러 management center 관리를 설정합니다.

FMC 세부사항을 구성합니다.

1. Do you know the FMC hostname or IP address(FMC 호스트 이름 또는 IP 주소를 알고 있습니까)에 대해 IP 주소 또는 호스트 이름을 사용하여 management center에 도달할 수 있으면 Yes(예)를, management center에 퍼블릭 IP 주소 또는 호스트 이름이 없거나 NAT 뒤에 있는 경우 No(아니요)를 클릭합니다.

   하나 이상의 디바이스(management center 또는 threat defense)에는 두 디바이스 간 양방향 SSL 암호화 통신 채널을 설정하기 위한 연결 가능한 IP 주소가 있어야 합니다.

2. Yes(예)를 선택한 경우 FMC Hostname/IP Address(FMC 호스트 이름/IP 주소)를 입력합니다.

3. FMC Registration Key(FMC 등록 키)를 지정합니다.

   threat defense 디바이스 등록 시에 management center에서 지정할 일회용 등록 키입니다. 이 등록 키는 37자를 초과해서는 안 됩니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다. 이 ID는 management center에 등록하는 여러 디바이스에 사용할 수 있습니다.

4. NAT ID를 지정합니다.

   이 ID는 management center에서 지정할 고유한 일회성 문자열을 지정합니다. 이 필드는 디바이스 중 하나의 IP 주소만 지정하는 경우 입력해야 합니다. 두 디바이스의 IP 주소를 모두 알고 있는 경우에도 NAT ID를 지정하는 것이 좋습니다. NAT ID는 37자를 초과할 수 없습니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다. 이 ID는 management center에 등록하는 다른 디바이스에 사용할 수 없습니다. NAT ID는 연결이 올바른 디바이스에서 오는지 확인하기 위해 IP 주소와 함께 사용됩니다. IP 주소/NAT ID 인증 후에만 등록 키가 확인됩니다.

연결성 설정을 구성합니다.

1. FTD 호스트 이름을 지정합니다.

2. DNS 서버 그룹을 지정합니다.

   기존 그룹을 선택하거나 새로 생성합니다. 기본 DNS 그룹은 CiscoUmbrellaDNSServerGroup이며, 여기에는 OpenDNS 서버가 포함됩니다.

3. FMC 액세스 인터페이스에서 관리를 선택합니다.

Connect(연결)를 클릭합니다. FMC 등록 상태(FMC Registration Status) 대화 상자는 management center 전환에 대한 현재 상태를 보여줍니다. Saving FMC Registration Settings(FMC 등록 설정 저장) 단계에서 management center로 이동하여 방화벽을 추가합니다.

management center에 대한 전환을 취소하려면 Cancel Registration(등록 취소)을 클릭합니다. 아니면 Saving FMC Registration Settings(FMC 등록 설정 저장) 단계까지 device manager 브라우저를 닫지 마십시오. 이렇게 하면 프로세스가 일시 중지되며, device manager에 다시 연결할 때만 재개됩니다.

FMC Registration Settings(FMC 등록 설정 저장) 단계를 수행한 후 device manager에 연결된 상태로 유지되는 경우, 마지막으로 Successful Connection with FMC(FMC와 연결 성공) 대화 상자가 표시된 뒤 device manager으로부터 연결이 해제됩니다.

Devices(디바이스) > Device Management(디바이스 관리)를 선택하고 방화벽에 대해 수정( )를 클릭합니다.

Interfaces(인터페이스)를 클릭합니다.

내부에 사용할 인터페이스의 수정( )를 클릭합니다.

General(일반) 탭이 표시됩니다.

1. Name(이름) 필드에 이름을 48자 이내로 입력합니다.

   예를 들어 인터페이스에 inside라는 이름을 지정합니다.

2. Enable(활성화) 확인란을 선택합니다.

3. Mode(모드)는 None(없음) 상태로 남겨둡니다.

4. Security Zone(보안 영역) 드롭다운 목록에서 기존의 내부 보안 영역을 선택하거나 New(새로 만들기)를 클릭하여 새 보안 영역을 추가합니다.

   예를 들어 inside_zone이라는 영역을 추가합니다. 각 인터페이스는 보안 영역 및/또는 인터페이스 그룹에 할당되어야 합니다. 인터페이스는 하나의 보안 영역에만 속할 수 있지만, 여러 인터페이스 그룹에 속할 수도 있습니다. 영역 또는 그룹을 기준으로 보안 정책을 적용합니다. 예를 들어 내부 인터페이스는 내부 영역에, 외부 인터페이스는 외부 영역에 할당할 수 있습니다. 트래픽이 내부에서 외부로는 이동하지만 외부에서 내부로는 이동할 수 없도록 액세스 제어 정책을 구성할 수 있습니다. 대부분의 정책은 보안 영역만 지원합니다. NAT 정책, 사전 필터 정책, QoS 정책에서 영역이나 인터페이스 그룹을 사용할 수 있습니다.

5. IPv4 및/또는 IPv6 탭을 클릭 합니다.

   • IPv4 - 드롭다운 목록에서 Use Static IP(고정 IP 사용)를 선택하고 슬래시(/) 표기로 IP 주소와 서브넷 마스크를 입력합니다.

     예를 들어 192.168.1.1/24 를 입력합니다.

     

   • IPv6 - 상태 비저장 자동 구성을 하려면 Autoconfiguration(자동 구성) 확인란을 선택합니다.

6. OK(확인)를 클릭합니다.

외부에서 사용하려는 인터페이스의 수정( )를 클릭합니다.

General(일반) 탭이 표시됩니다.

참고	관리자 액세스를 위해 이 인터페이스를 미리 구성한 경우 인터페이스의 이름이 이미 지정되고 활성화되어 있으며 주소가 지정됩니다. 이러한 기본 설정을 변경하면 management center 관리 연결이 중단되므로 이 설정을 변경하면 안됩니다. 트래픽 정책을 통해 이 화면에서 보안 영역을 구성할 수 있습니다.

1. Name(이름) 필드에 이름을 48자 이내로 입력합니다.

   예를 들어, 인터페이스에 outside라는 이름을 지정합니다.

2. Enable(활성화) 확인란을 선택합니다.

3. Mode(모드)는 None(없음) 상태로 남겨둡니다.

4. Security Zone(보안 영역) 드롭다운 목록에서 기존의 외부 보안 영역을 선택하거나 New(새로 만들기)를 클릭하여 새 보안 영역을 추가합니다.

   예를 들어 outside_zone이라는 영역을 추가합니다.

5. IPv4 및/또는 IPv6 탭을 클릭 합니다.

   • IPv4 - Use DHCP(DHCP 사용)를 선택하여 다음 옵션 매개변수를 구성합니다.

     • DHCP에서 기본 경로 가져오기 - DHCP 서버에서 기본 경로를 가져옵니다.

     • DHCP 경로 메트릭 - 파악된 경로에 대해 1과 255 사이의 관리 거리를 할당합니다. 파악된 경로의 기본 관리 거리는 1입니다.

     

   • IPv6 - 상태 비저장 자동 구성을 하려면 Autoconfiguration(자동 구성) 확인란을 선택합니다.

6. OK(확인)를 클릭합니다.

Save(저장)를 클릭합니다.

Devices(디바이스) > Device Management(디바이스 관리)를 선택하고 디바이스의 수정( )을 클릭합니다.

DHCP > DHCP Server(DHCP 서버)를 선택합니다.

서버 페이지에서 Add(추가)를 클릭하고 다음 옵션을 설정합니다.

• 인터페이스 - 드롭다운 목록에서 인터페이스를 선택합니다.

• Address Pool(주소 풀) - DHCP 서버에서 사용되는 최소 및 최대 IP 주소 범위를 설정합니다. 이 IP 주소 범위는 선택된 인터페이스와 동일한 서브넷에 있어야 하며, 인터페이스 자체의 IP 주소는 포함할 수 없습니다.

• Enable DHCP Server(DHCP 서버 활성화) - 선택한 인터페이스에서 DHCP 서버를 활성화합니다.

OK(확인)를 클릭합니다.

Save(저장)를 클릭합니다.

Devices(디바이스) > Device Management(디바이스 관리)를 선택하고 디바이스의 수정( )을 클릭합니다.

Routing(라우팅) > Static Route(정적 경로)를 선택하고 Add Route(경로 추가)를 클릭해 다음을 설정합니다.

• Type(유형) - 추가하려는 정적 경로 유형에 따라 IPv4 또는 IPv6 라디오 버튼을 클릭합니다.

• Interface(인터페이스) - 이그레스 인터페이스를 선택합니다. 일반적으로 외부 인터페이스입니다.

• Available Network(사용 가능한 네트워크)—IPv4 기본 경로에 대해 any-ipv4를 선택하거나 IPv6 기본 경로에 대해 any-ipv6을 선택하고 추가를 클릭하여 선택된 네트워크 목록으로 이동합니다.

• Gateway(게이트웨이) 또는 IPv6 Gateway(IPv6 게이트웨이) - 이 경로의 다음 홉인 게이트웨이 라우터를 입력 또는 선택합니다. IP 주소 또는 네트워크/호스트 개체를 제공할 수 있습니다.

• Metric(메트릭) - 대상 네트워크 홉 수를 입력합니다. 유효한 범위는 1~255이고 기본값은 1입니다.

OK(확인)를 클릭합니다.

경로가 고정 경로 테이블에 추가됩니다.

Save(저장)를 클릭합니다.

Devices(디바이스) > NAT를 선택하고, New Policy(새 정책) > Threat Defense NAT를 클릭합니다.

정책 이름을 지정하고, 정책을 사용할 디바이스를 선택한 뒤 Save(저장)를 클릭합니다.

정책이 management center을 추가합니다. 계속해서 정책에 규칙을 추가해야 합니다.

Add Rule(규칙 추가)을 클릭합니다.

기본 규칙 옵션을 구성합니다.

• NAT Rule(NAT 규칙) - Auto NAT Rule(자동 NAT 규칙)을 선택합니다.

• Type(유형) - Dynamic(동적)을 선택합니다.

Interface Objects(인터페이스 개체) 페이지에서 Available Interface Objects(사용 가능한 인터페이스 개체) 영역의 외부 영역을 Destination Interface objects(대상 인터페이스 개체) 영역에 추가합니다.

Translation(변환) 페이지에서 다음 옵션을 설정합니다.

• Original Source(원본 소스) - 모든 IPv4 트래픽(0.0.0.0/0)에 대한 네트워크 개체를 추가하려면 추가( )를 클릭합니다.

  

  참고	자동 NAT 규칙은 개체 정의의 일부로 NAT를 추가하고 시스템 정의 개체를 수정할 수 없기 때문에 시스템에서 정의된 any-ipv4 개체를 사용할 수 없습니다.

• Translated Source(변환된 소스) - Destination Interface IP(대상 인터페이스 IP)를 선택합니다.

Save(저장)를 클릭하여 규칙을 저장하십시오.

규칙이 Rules(규칙) 테이블에 저장됩니다.

변경 사항을 저장하려면 NAT 페이지에서 Save(저장)를 클릭합니다.

Policy(정책) > Access Policy(액세스 정책) > Access Policy(액세스 정책)을 선택하고 threat defense에 할당된 액세스 컨트롤 정책에 대해 수정( )를 클릭합니다.

Add Rule(규칙 추가)을 클릭하고 다음 매개변수를 설정합니다.

• Name (이름) - 예를 들어 이 규칙의 이름을 inside_to_outside로 지정합니다.

• Source Zones(원본 영역) - Available Zones(사용 가능한 영역)에서 내부 영역을 선택하고 Add to Source(원본에 추가)를 클릭합니다.

• Destination Zones(대상 영역) - Available Zones(사용 가능한 영역)에서 외부 영역을 선택하고 Add to Destination(대상에 추가)를 클릭합니다.

기타 설정은 변경하지 않습니다.

Add(추가)를 클릭합니다.

규칙이 Rules(규칙) 테이블에 추가됩니다.

Save(저장)를 클릭합니다.

우측 상단에서 Deploy(구축)를 클릭합니다.

Deploy policy(정책 구축) 대화 상자에서 디바이스를 선택한 다음 Deploy(구축)를 클릭합니다.

구축이 성공하는지 확인합니다. 메뉴 모음의 Deploy(구축) 버튼 오른쪽에 있는 아이콘을 클릭하여 구축 상태를 확인합니다.

Devices(디바이스) > Device Management(디바이스 관리)를 선택합니다.

다시 시작할 디바이스 옆의 편집 아이콘()을 클릭합니다.

Device(디바이스) 탭을 클릭합니다.

System(시스템) 섹션에서 디바이스 종료 아이콘()을 클릭합니다.

메시지가 표시되면 디바이스 종료를 확인합니다.

방화벽에 대한 콘솔 연결이 있는 경우 방화벽이 종료될 때 시스템 프롬프트를 모니터링합니다. 다음 프롬프트가 표시됩니다.

System is stopped.
It is safe to power off now.
Do you want to reboot instead? [y/N]

섀시가 성공적으로 꺼진 후에 필요한 경우 섀시에서 전원을 분리하여 물리적으로 제거할 수 있습니다.

FXOS CLI에서 local-mgmt에 연결합니다.

shutdown 명령 실행:

firepower(local-mgmt)# shutdown 
This command will shutdown the system.  Continue?
Please enter 'YES' or 'NO': yes
INIT: Stopping Cisco Threat Defense......ok

방화벽이 종료될 때 시스템 프롬프트를 모니터링합니다. 다음 프롬프트가 표시됩니다.

System is stopped.
It is safe to power off now.
Do you want to reboot instead? [y/N]

섀시가 성공적으로 꺼진 후에 필요한 경우 섀시에서 전원을 분리하여 물리적으로 제거할 수 있습니다.