通过FMC配置对FTD（HTTPS和SSH）的管理访问

简介

本文档介绍通过Firesight管理中心(FMC)对Firepower威胁防御(FTD)（HTTPS和SSH）进行管理访问的配置。

先决条件

要求

Cisco 建议您了解以下主题：

• Firepower技术知识
• ASA（自适应安全设备）基础知识
• 通过HTTPS和SSH（安全外壳）了解ASA上的管理访问

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 适用于ASA(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)的自适应安全设备(ASA)Firepower威胁防御映像，运行在软件版本6.0.1及更高版本上。
• 适用于ASA(5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X)的ASA Firepower威胁防御映像，运行在软件版本6.0.1及更高版本上。
• Firepower管理中心(FMC)6.0.1版及更高版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

随着Firepower威胁防御(FTD)的启动，整个ASA相关配置将在GUI上完成。

在运行软件版本6.0.1的FTD设备上，当您进入系统支持diagnostic-cli时，可访问ASA诊断CLI。但是，在运行软件版本6.1.0的FTD设备上，CLI已收敛，整个ASA命令在CLISH上配置。

要直接从外部网络获得管理访问，您必须通过HTTPS或SSH配置管理访问。本文档提供通过SSH或HTTPS外部获取管理访问权限所需的必要配置。

注意：在运行软件版本6.0.1的FTD设备上，本地用户无法访问CLI，必须配置外部身份验证才能对用户进行身份验证。但是，在运行软件版本6.1.0的FTD设备上，本地admin用户访问CLI，而所有其他用户都需要外部身份验证。

注意：在运行软件版本6.0.1的FTD设备上，无法通过为FTD的br1配置的IP直接访问诊断CLI。 但是，在运行软件版本6.1.0的FTD设备上，融合CLI可通过任何配置为管理访问的接口进行访问，但必须使用IP地址配置该接口。

配置

导航到设备中的平台设置选项卡时，配置所有管理访问相关的配置，如图所示：

单击铅笔图标编辑存在的策略，或者单击New Policy 按钮创建新的FTD策略，然后选择Threat Defense Settings作为类型，如图所示：

选择要应用此策略的FTD设备，然后单击Save，如图所示：

配置管理访问

以下是配置管理访问时采取的四个主要步骤。

步骤1:通过FMC GUI在FTD接口上配置IP。

在通过SSH或HTTPS访问FTD的接口上配置IP。导航到FTD的Interfaces选项卡时，编辑存在的接口。 

注：在运行软件版本6.0.1的FTD设备上，FTD上的默认管理接口是diagnostic0/0接口。但是，在运行软件版本6.1.0的FTD设备上，除诊断接口外，所有接口都支持管理访问。

配置诊断接口有六个步骤。

步骤1:导航至 Device > Device Management。 

第二步：选择Device或FTD HA Cluster。

第三步：导航到Interfaces选项卡。

第四步：单击铅笔图标配置/编辑接口以获得管理访问权限，如图所示：

第五步：选中enable复选框以启用接口。导航到Ipv4选项卡，选择IP Type作为static或DHCP。现在输入接口的IP地址，然后单击OK，如图所示：

第六步：单击Save，然后将策略部署到FTD。

注意：在软件版本为6.1.0的设备上，诊断界面无法用于通过SSH访问融合CLI

第二步：配置外部身份验证。

外部身份验证有助于将FTD集成到Active Directory或RADIUS服务器以进行用户身份验证。这是必要步骤，因为本地配置的用户无权直接访问诊断CLI。只有通过轻量级目录访问协议(LDAP)或RADIUS进行身份验证的用户才能访问诊断CLI和GUI。

配置外部身份验证有6个步骤。

步骤1:导航至 Devices > Platform Settings。

第二步：在单击铅笔图标时编辑已存在的策略，或在点击New Policy按钮时创建新的FTD策略，然后选择类型为 威胁防御设置。

第三步：导航到外部身份验证选项卡，如图所示：

第四步：单击Add时，将显示一个对话框，如图所示：

• Enable for HTTP — 启用此选项提供通过HTTPS访问FTD。
  
  
• Enable for SSH — 启用此选项以提供通过SSH访问FTD。
  
  
• Name — 输入LDAP连接的名称。
  
  
• 说明 — 输入外部身份验证对象的可选说明。
  
  
• IP地址 — 输入存储外部身份验证服务器的IP的网络对象。如果没有配置网络对象，请创建一个新对象。点击(+)图标。
  
  
• Authentication Method — 选择用于身份验证的RADIUS或LDAP协议。
  
  
• 启用SSL — 启用此选项以加密身份验证流量。
  
  
• 服务器类型 — 选择服务器类型。众所周知的服务器类型是MS Active Directory、Sun、OpenLDAP和Novell。默认情况下，此选项设置为自动检测服务器类型。
  
  
• Port — 输入进行身份验证的端口。
  
  
• Timeout — 输入身份验证请求的超时值。
  
  
• Base DN — 输入基本DN以提供用户可存在的范围。
  
  
• LDAP范围 — 选择要查找的LDAP范围。作用域位于同一级别或要在子树中查看。
  
  
• Username — 输入要绑定到LDAP目录的用户名。
  
  
• Authentication password — 输入此用户的密码。
  
  
• Confirm — 重新输入密码。
  
  
• 可用接口 — 显示FTD上可用接口的列表。
  
  
• Selected zones and interfaces — 显示从中访问身份验证服务器的接口的列表。

对于RADIUS身份验证，没有服务器类型Base DN或LDAP Scope。端口是RADIUS端口1645。

Secret — 输入RADIUS的密钥。

第五步：配置完成后，单击OK。

第六步：保存策略并将其部署到Firepower威胁防御设备。

注意：在软件版本为6.1.0的设备上，无法使用外部身份验证通过SSH访问融合CLI

第三步：配置SSH访问。

SSH提供到融合CLI的直接访问。使用此选项直接访问CLI和运行debug命令。本节介绍如何配置SSH以访问FTD CLI。

注意：在运行软件版本6.0.1的FTD设备上，平台设置上的SSH配置可直接访问诊断CLI，而不是CLISH。您需要连接到br1上配置的IP地址才能访问CLISH。但是，在运行软件版本6.1.0的FTD设备上，通过SSH访问时，所有接口都会导航到融合CLI

在ASA上配置SSH有6个步骤

仅在6.0.1设备上：

这些步骤在软件版本低于6.1.0且高于6.0.1的FTD设备上执行。在6.1.0设备上，这些参数是从操作系统继承的。

步骤1:导航到设备>平台设置。

第二步：在单击铅笔图标时编辑已存在的策略，或在点击New Policy按钮时创建新的Firepower威胁防御策略，并选择类型作为Threat Defense Settings。

第三步： 导航到Secure Shell部分。此时将显示一个页面，如图所示：

SSH版本：选择要在ASA上启用的SSH版本。 有三个选项：

• 1：仅启用SSH版本1
• 2：仅启用SSH版本2
• 1和2：启用SSH版本1和2

超时：输入所需的SSH超时（以分钟为单位）。

Enable Secure Copy — 启用此选项可将设备配置为允许安全复制(SCP)连接并充当SCP服务器。

在6.0.1和6.1.0设备上：

这些步骤配置为将通过SSH的管理访问限制为特定接口和特定IP地址。

步骤1:单击Add并配置以下选项：

IP地址：选择包含允许通过SSH访问CLI的子网的网络对象。如果不存在网络对象，请在点击(+)图标时创建一个对象。

Selected Zones/interfaces：选择从中访问SSH服务器的区域或接口。

第二步：单击OK，如图所示：

使用此命令可在融合CLI（6.0.1设备中的ASA诊断CLI）中查看SSH配置。

> show running-config ssh
ssh 172.16.8.0 255.255.255.0 inside

第三步：完成SSH配置后，单击Save，然后将策略部署到FTD。

第四步：配置HTTPS访问。

要启用对一个或多个接口的HTTPS访问，请导航到平台设置中的HTTP部分。HTTPS访问对于直接从诊断安全Web界面下载数据包捕获以供分析特别有用。 

配置HTTPS访问有6个步骤。

步骤1:导航到设备>平台设置

第二步：在单击策略旁边的铅笔图标时，编辑已存在的平台设置策略，或在点击New Policy时创建新的FTD策略。选择类型为Firepower威胁防御。

第三步：导航到HTTP部分时，将显示如图所示的页面。

启用HTTP服务器：启用此选项以启用FTD上的HTTP服务器。

Port：选择FTD接受管理连接的端口。

第4步：点击Add，页面将会显示，如图所示：

IP地址 — 输入允许对诊断接口进行HTTPS访问的子网。如果不存在网络对象，请创建一个网络对象并使用(+)选项。

所选区域/接口 — 与SSH类似，HTTPS配置需要配置一个接口，通过该接口可通过HTTPS访问。选择要通过HTTPS访问FTD的区域或接口。

在融合CLI（6.0.1设备中的ASA诊断CLI）中查看HTTPS配置并使用此命令。

> show running-config http
http 172.16.8.0 255.255.255.0 inside

第五步：完成必要的配置后，选择OK。

第六步：输入所有必需信息后，单击Save，然后将策略部署到设备。

验证

当前没有可用于此配置的验证过程。

故障排除

以下是对FTD上的管理访问问题进行故障排除的基本步骤。

步骤1:确保接口已启用且配置有IP地址。

第二步：确保外部身份验证按配置工作，并可从Platform Settings的External Authentication部分中指定的相应接口访问。 

第三步：确保FTD上的路由准确。在FTD软件版本6.0.1中，导航至system support diagnostic-cli。 分别运行show route和show route management-only命令以查看FTD和管理接口的路由。

在FTD软件版本6.1.0中，直接在融合CLI中运行命令。

相关信息

• 技术支持和文档 - Cisco Systems