Een FirePOWER-servicesmodule installeren en configureren op een ASA-platform

Downloadopties

  • PDF     (285.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (90.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (82.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:27 september 2024
Document-id:118644

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u een Cisco FirePOWER (SFR)-module op een Cisco ASA installeert en configureert en de SFR-module registreert bij Cisco FireSIGHT.

    Voorwaarden

    Vereisten

    Cisco raadt aan dat uw systeem aan de volgende vereisten voldoet voordat u de procedures uitvoert die in dit document worden beschreven:

    • Zorg ervoor dat u ten minste 3 GB beschikbare ruimte heeft op het flashstation (disk0), naast de grootte van de opstartsoftware.
    • Zorg ervoor dat u toegang heeft tot de modus Privileged EXEC. Om tot de bevoorrechte wijze toegang te hebben EXEC, ga het enable bevel in CLI in. Als er geen wachtwoord is ingesteld, drukt u op Enter:
      ciscoasa> enable
Password:
ciscoasa#

    Gebruikte componenten

    Om de FirePOWER-services te installeren op een Cisco ASA, zijn de volgende componenten vereist:

    • Cisco ASA-softwareversie 9.2.2 of hoger
    • Cisco ASA-platforms 5512-X t/m 5555-X
    • FirePOWER-softwareversie 5.3.1 of hoger

    N.B.: Als u FirePOWER (SFR) Services op een ASA 5585-X hardwaremodule wilt installeren, raadpleegt u Een SFR-module installeren op een ASA 5585-X hardwaremodule.

    De volgende componenten zijn vereist op het Cisco FireSIGHT Management Center:

    • FirePOWER-softwareversie 5.3.1 of hoger
    • FireSIGHT Management Center FS2000, FS4000 of virtuele applicatie

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    De Cisco ASA FirePOWER-module (ook bekend als de ASA SFR) biedt next-generation firewallservices, zoals:

    • Next-generation inbraakpreventiesysteem (NGIPS)
    • Application Visibility and Control (AVC)
    • Filter URL’s
    • Advanced Malware Protection (AMP)

    Opmerking: u kunt de ASA SFR-module gebruiken in één of meerdere contextmodi en in Routed of Transparent-modus.

    Voordat u begint

    Lees de volgende belangrijke informatie voordat u de procedures uitvoert die in dit document worden beschreven:

      • Als u een actief servicebeleid heeft dat verkeer omleidt naar een IPS-/CX-module (inbraakpreventiesysteem/contextbewust) (die u heeft vervangen door de ASA SFR), moet u deze verwijderen voordat u het ASA SFR-servicebeleid configureert.
      • U moet andere momenteel actieve softwaremodules uitschakelen. Een apparaat kan één softwaremodule tegelijkertijd uitvoeren. U moet dit via de opdrachtregelinterface van de ASA doen. Met de volgende opdrachten wordt bijvoorbeeld de IPS-softwaremodule uitgeschakeld en verwijderd, waarna de ASA opnieuw wordt geladen:
        ciscoasa# sw-module module ips shutdown
        ciscoasa# sw-module module ips uninstall
        ciscoasa# reload
      • De opdrachten die worden gebruikt om de CX-module te verwijderen, zijn hetzelfde, behalve dat het cxsc trefwoord wordt gebruikt in plaats van ips: 
        ciscoasa# sw-module module cxsc shutdown
        ciscoasa# sw-module module cxsc uninstall
        ciscoasa# reload
      • Wanneer u een module een nieuwe afbeelding geeft, gebruikt u dezelfde shutdown en dezelfde uninstall opdrachten die worden gebruikt om een oude SFR-afbeelding te verwijderen. Hierna volgt een voorbeeld:
        ciscoasa# sw-module module sfr uninstall
      • Als de ASA SFR-module in de modus Multiple Context wordt gebruikt, voer dan de procedures die in dit document worden beschreven uit binnen de systeemuitvoeringsruimte.

    Tip: om de status van een module op de ASA te bepalen, voert u de show module opdracht in.

    Installeren

    In deze sectie wordt beschreven hoe u de SFT-module installeert op de ASA en hoe u de ASA SFR-opstart-image configureert.

    De SFR-module installeren op de ASA

    Voer de volgende stappen uit om de SFR-module op de ASA te installeren:

    1. Download de ASA SFR-systeemsoftware van Cisco.com naar een HTTP-, HTTPS- of FTP-server die toegankelijk is via de ASA SFR-beheerinterface.
    2. Download de opstart-image naar het apparaat. U kunt Cisco Adaptive Security Device Manager (ASDM) of de opdrachtregelinterface van de ASA gebruiken om de opstart-image naar het apparaat te downloaden.

      Opmerking: de systeemsoftware niet overdragen; deze wordt later gedownload naar de Solid State Drive (SSD).

      Voer de volgende stappen uit om de opstart-image te downloaden via de ASDM:
      1. Download de opstart-image naar uw werkstation of plaats deze op een FTP-, TFTP-, HTTP-, HTTPS-, SMB- (Server Message Block) of SCP-server (Secure Copy).
      2. KiesTools > File Management in de ASDM.
      3. Kies de juiste opdracht voor bestandsoverdracht: Between Local PC and Flash (Tussen lokale pc en flash) of Between Remote Server and Flash (Tussen externe server en flash).
      4. Zet de opstartsoftware over naar het flashstation (disk0) op de ASA.

      Voer de volgende stappen uit om de opstart-image te downloaden via de CLI van de ASA:

      1. Download de opstart-image naar een FTP-, TFTP-, HTTP- of HTTPS-server.
      2. copy Voer de opdracht in de CLI in om het opstartbeeld naar de flash drive te downloaden.

        Hier is een voorbeeld dat HTTP-protocol gebruikt (vervang het bestand door uw IP-adres of hostnaam van de server). Voor FTP Server ziet de URL er zo uit:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img .

        ciscoasa# copy http:// 
         /asasfr-5500x-boot-5.3.1-152.img
 disk0:/asasfr-5500x-boot-5.3.1-152.img
    3. Geef deze opdracht op om de locatie van de ASA SFR-opstart-image op het ASA-flashstation te configureren:
      ciscoasa# sw-module module sfr recover configure image disk0:/file_path

      Hierna volgt een voorbeeld:

      ciscoasa# sw-module module sfr recover configure image disk0:
 /asasfr-5500x-boot-5.3.1-152.img
    4. Geef deze opdracht op om de ASA SFR-opstart-image te laden:
      ciscoasa# sw-module module sfr recover boot

      Tijdens deze tijd, als u debug module-boot op ASA inschakelt, zijn deze debugs afgedrukt:

      Mod-sfr 788> *** EVENT: Creating the Disk Image...
      Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
      Mod-sfr 790> ***
      Mod-sfr 791> ***
      Mod-sfr 792> *** EVENT: The module is being recovered.
      Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
      Mod-sfr 794> ***
      ...
      Mod-sfr 795> ***
      Mod-sfr 796> *** EVENT: Disk Image created successfully.
      Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
      Mod-sfr 798> ***
      Mod-sfr 799> ***
      Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
       ISO: -cdrom /mnt/disk0
      Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
       Mgmt MAC: A4:4C:11:29:
      Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
       cache=none,if=virtio,
      Mod-sfr 803> Dev
      Mod-sfr 804> ***
      Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
       32MB, Cmd Op: r, Shared M
      Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
       Sock: /dev/ttyS1_vm3,
      Mod-sfr 807>  Mem-Path: -mem-path /hugepages
      Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
      Mod-sfr 809> ***
      Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
       key is 8061, size is 6
      ...
      Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
       acpid.
      Mod-sfr 240> acpid: starting up with proc fs
      Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
      Mod-sfr 242> starting Busybox inetd: inetd... done.
      Mod-sfr 243> Starting ntpd: done
      Mod-sfr 244> Starting syslogd/klogd: done
      Mod-sfr 245>
      Cisco ASA SFR Boot Image 5.3.1
    5. Wacht ongeveer 5 tot 15 minuten tot de ASA SFR-module is opgestart en start dan een consolesessie naar de operationele ASA SFR-opstart-image.

    De ASA SFR-opstart-image configureren

    Voltooi de volgende stappen om het nieuwe ASA SFR-opstartbeeld in te stellen:

    1. Druk Enter nadat u een sessie opent om de inlogprompt te bereiken.

      Opmerking: de standaardgebruikersnaam is admin. Het wachtwoord verschilt op basis van de softwarerelease:Adm!n123 voor 7.0.1 (nieuw apparaat alleen uit de fabriek), voor 6.0 en later, Admin123 voor Sourcefire pre-6.0.

      Hierna volgt een voorbeeld:

      ciscoasa# session sfr console
      Opening console session with module sfr.
      Connected to module sfr. Escape character sequence is 'CTRL-^X'.

      Cisco ASA SFR Boot Image 5.3.1
      asasfr login: admin
      Password: Admin123

      Tip: Als de ASA SFR-module niet is opgestart, mislukt de sessieopdracht en verschijnt een bericht dat aangeeft dat het systeem geen verbinding kan maken via TTYS1. Wacht in dat geval tot het opstarten van de module is voltooid en probeer het dan opnieuw.

    2. Voer de opdracht in om het systeem te configureren zodat u het setup systeemsoftwarepakket kunt installeren:
      asasfr-boot> setup
                               Welcome to SFR Setup
                                [hit Ctrl-C to abort]
                              Default values are inside []

      Vervolgens wordt om de volgende informatie gevraagd:

      • Host name - De hostnaam kan maximaal 65 alfanumerieke tekens bevatten, zonder spaties. Het gebruik van afbreekstreepjes is toegestaan.
      • Network address - Het netwerkadres kan een statisch IPv4- of IPv6-adres zijn. U kunt ook DHCP gebruiken voor IPv4, of automatische stateless configuratie voor IPv6.
      • DNS information - U moet ten minste één Domain Name System (DNS)-server identificeren, en u kunt ook de domeinnaam en het zoekdomein instellen.
      • NTP information - U kunt Network Time Protocol (NTP) inschakelen en de NTP-servers configureren om de systeemtijd in te stellen.
    3. system install Voer de opdracht in om de installatiekopie van de systeemsoftware te installeren:
      asasfr-boot >system install [noconfirm] url

      Omvat de noconfirm optie als u niet op bevestigingsberichten wilt reageren. Vervang het url trefwoord door de locatie van het .pkg bestand. U kunt ook hier een FTP-, HTTP- of HTTPS-server gebruiken. Hierna volgt een voorbeeld:


      asasfr-boot >system install http:// 
       /asasfr-sys-5.3.1-152.pkg
      Verifying
      Downloading
      Extracting


      Package Detail
              Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
              Requires reboot: Yes

      Do you want to continue with upgrade? [y]: y
      Warning: Please do not interrupt the process or turn off the system. Doing so
       might leave system in unusable state.

      
Upgrading
      Starting upgrade process ...
      Populating new system image
      
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
      (press Enter)

      Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
      The system is going down for reboot NOW!
      Console session with module sfr terminated.

    Voor FTP Server ziet de URL er zo uit:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg.

    Opmerking De SFR bevindt zich tijdens het installatieproces in een "Recover" staat. Het kan tot een uur of zo duren om de installatie van de SFR module te voltooien.   Wanneer de installatie is voltooid, start het systeem opnieuw op. Wacht tien minuten of langer tot de toepassingscomponent is geïnstalleerd en de ASA SFR-services zijn gestart. De output van het show module sfr bevel wijst erop dat alle processen zijn Up.

    Configureren

    In deze sectie wordt beschreven hoe u de FirePOWER-software en het FireSIGHT Management Center configureert en verkeer omleidt naar de SFR-module.

    De FirePOWER-software configureren

    Voer de volgende stappen uit om de FirePOWER-software te configureren:

    1. Start een sessie naar de ASA SFR-module.

      Opmerking: er verschijnt nu een andere inlogprompt omdat de inlognaam op een volledig functionele module voorkomt.

      Hierna volgt een voorbeeld:


      ciscoasa# session sfr
      Opening command session with module sfr.
      Connected to module sfr. Escape character sequence is 'CTRL-^X'.
      Sourcefire ASA5555 v5.3.1 (build 152)
      Sourcefire3D login:
    2. Log in met de gebruikersnaam admin en het wachtwoord verschilt afhankelijk van de softwarerelease:Adm!n123 voor 7.0.1 (alleen nieuw apparaat uit de fabriek), voor 6.0 en hoger, Admin123 voor pre-6.0,Sourcefire.
    3. Voltooi de systeemconfiguratie zoals wordt gevraagd in deze volgorde:
      1. Lees en accepteer de gebruiksrechtovereenkomst (EULA).
      2. Verander het wachtwoord van gebruiker admin.
      3. Configureer het beheeradres en de DNS-instellingen, zoals aangegeven.

        Opmerking: u kunt IPv4- en IPv6-beheeradressen configureren.

      Hierna volgt een voorbeeld:


      System initialization in progress. Please stand by. You must change the password
 for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
       198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
    4. Wacht tot het systeem zichzelf herconfigureert.

    Het FireSIGHT Management Center configureren

    Om een ASA SFR-module en security beleid te beheren, moet u deze registreren bij een FireSIGHT Management Center. Raadpleeg Een apparaat registreren bij een FireSIGHT Management Center voor meer informatie. U kunt de volgende acties niet uitvoeren met een FireSIGHT Management Center:

    • De interface van ASA SFR-modules configureren
    • De ASA SFR-moduleprocessen uitschakelen, opnieuw starten of anderszins beheren
    • Back-ups maken van, of back-ups terugzetten naar, de ASA SFR-moduleapparaten
    • Toegangscontroleregels schrijven om verkeer te matchen met behulp van VLAN-tags

    Verkeer omleiden naar de SFR-module

    Om verkeer naar de ASA SFR-module om te leiden, moet u een servicebeleid opzetten dat specifiek verkeer identificeert. Voer de volgende stappen uit om verkeer om te leiden naar een ASA SFR-module:

    1. Selecteer het verkeer dat met het access-list bevel moet worden geïdentificeerd. In dit voorbeeld wordt al het verkeer afkomstig van alle interfaces omgeleid. U kunt dit ook voor specifiek verkeer doen.
      ciscoasa(config)# access-list sfr_redirect extended permit ip any any
    2. Maak een klassetoewijzing om verkeer te laten voldoen aan een toegangslijst:
      ciscoasa(config)# class-map sfr
      ciscoasa(config-cmap)# match access-list sfr_redirect
    3. Geef de implementatiemodus op. U kunt uw apparaat configureren in een passieve (alleen monitoren) of inline (normaal) implementatiemodus.

      Opmerking: op de ASA kunt u zowel een passieve als een inline modus niet tegelijkertijd configureren. Er is slechts één type security beleid toegestaan.

      • In een inline-implementatie inspecteert de SFR-module het verkeer op basis van het toegangscontrolebeleid en geeft hij de ASA het oordeel dat de juiste actie moet worden ondernomen (toestaan, weigeren, enzovoort) op de verkeersstroom. In dit voorbeeld wordt getoond hoe u een beleidstoewijzing maakt en de ASA SFR-module configureert in de inline modus. 
      • Verifieer dat de huidige global_policy is geconfigureerd met een andere moduleconfiguratie(show run policy-map global_policy, show run service-policy), stel eerst de global_policy voor een andere moduleconfiguratie opnieuw in/verwijder vervolgens de global_policyconfiguratie.

        ciscoasa(config)# policy-map global_policy
        ciscoasa(config-pmap)# class sfr
        ciscoasa(config-pmap-c)# sfr fail-open
      • Bij een passieve implementatie wordt een kopie van het verkeer naar de SFR-servicemodule verzonden, maar niet teruggestuurd naar de ASA. In de passieve modus kunt u de acties bekijken die de SFR-module zou hebben uitgevoerd met betrekking tot het verkeer. U kunt tevens de inhoud van het verkeer evalueren zonder dat dit een impact heeft op het netwerk.

        Als u de SFR-module in passieve modus wilt configureren, gebruikt u het monitor-only trefwoord (zoals in het volgende voorbeeld). Als u het trefwoord niet opneemt, wordt het verkeer verzonden in de inline modus.
        ciscoasa(config-pmap-c)# sfr fail-open monitor-only

      Waarschuwing: de monitor-only modus staat de SFR-servicemodule niet toe kwaadaardig verkeer te weigeren of te blokkeren.

      Waarschuwing: het kan mogelijk zijn een ASA in monitor-only-modus te configureren met behulp van de traffic-forward sfr monitor-only opdracht interface-level. Deze configuratie is echter puur voor demonstratiefunctionaliteit en mag niet worden gebruikt op een productie-ASA. Eventuele problemen met deze demonstratiefunctie worden niet ondersteund door het Cisco Technical Assistance Center (TAC). Om de ASA SFR-service in passieve modus te implementeren, moet deze worden geconfigureerd met behulp van een beleidstoewijzing.

    4. Geef een locatie op en pas het beleid toe. U kunt een beleid algemeen of op een interface toepassen. Om het algemene beleid op een interface te negeren, kunt u een servicebeleid op die interface toepassen.

      Het global sleutelwoord past de beleidskaart op alle interfaces toe, en het interface sleutelwoord past het beleid op één interface toe. Er is slechts één algemeen beleid toegestaan. In dit voorbeeld wordt het beleid algemeen toegepast:
      ciscoasa(config)# service-policy global_policy global

      Waarschuwing: de beleidskaart global_policy is een standaardbeleid. Als u dit beleid gebruikt en het op uw apparaat wilt verwijderen om problemen op te lossen, zorg ervoor dat u de implicatie ervan begrijpt.

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    • U kunt deze opdracht (debug module-boot) uitvoeren om de debug aan het begin van de installatie van het SFR-opstartbeeld in te schakelen. 
    • Als ASA vast kwam te zitten in de Recover-modus en de console niet opkwam, probeer dan deze opdracht (sw-module module sfr recover stop).
    • Als de SFR-module niet uit de hersteltoestand kon komen, kunt u proberen de ASA opnieuw te laden (reload quick). (Als het verkeer doorgaat, kan dit netwerkverstoring veroorzaken). Als nog steeds SFR vastzit in de hersteltoestand, kunt u de ASA afsluiten en unplug the SSD kaart & start de ASA. Controleer de status van de module en dit moet de INIT-status zijn. insert the SSD Nogmaals, sluit de ASA, kaart & start de ASA. u kunt een nieuwe afbeelding van de ASA SFR module starten.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    27-Sep-2024
    Hercertificering
    2.0
    22-Jun-2022
    Toegevoegde URL's voor beveiligde IPS en FTP server. Opgemaakte hyperlinks en verwijderde voorbeelden. Bewerkte secties Installatie, Probleemoplossing en Configuratie.
    1.0
    04-Nov-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nazmul Rajib
      Cisco-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten