适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

Chapter Title

系统设置

Results

已更新:
2020年6月16日

Chapter: 系统设置

系统设置

以下主题介绍如何配置一起划分到“系统设置”页面的各种系统设置。这些设置涵盖整个系统功能。

配置管理访问列表

默认情况下,您可以从任何 IP 地址的管理地址访问设备的 Firepower 设备管理器 Web 或 CLI 界面。系统访问仅受用户名/密码的保护。但是,您可以配置访问列表以仅允许来自特定 IP 地址或子网的连接,以进一步加强保护。

您还可以开放数据接口,允许建立 Firepower 设备管理器连接或与 CLI 建立 SSH 连接。然后,无需使用管理地址即可管理设备。例如,您可以允许对外部接口进行管理访问,这样就能远程配置设备。用户名/密码可防止不希望看到的连接。默认情况下,对数据接口的 HTTPS 管理访问会在内部接口上启用而在外部接口上禁用。对于具有默认“内部”桥接组的设备型号,这意味着可以通过桥接组中的任意数据接口,与桥接组 IP 地址(默认值为 192.168.1.1)建立 Firepower 设备管理器连接。您可以只在进入设备所通过的接口上开放管理连接。


小心

如果只允许访问特定地址,那么您可能很容易将自己锁定在系统之外。如果删除对当前所用 IP 地址的访问,并且没有“任意”地址条目,则在部署策略时将丢失对系统的访问。如果决定配置访问列表,必须非常小心。

开始之前

不可在同一个 TCP 端口的同一个接口上配置 Firepower 设备管理器访问(HTTPS 访问)和 AnyConnect 远程访问 SSL VPN。例如,如果在外部接口上配置远程访问 SSL VPN,则也无法在端口 443 上打开 HTTPS 连接的外部接口。因为无法在 Firepower 设备管理器中配置这些功能所使用的端口,所以无法在同一接口上配置这两项功能。

过程

步骤 1

点击 设备,然后点击系统设置 > 管理访问链接。

如果您已位于“系统设置”页面,只需依次点击目录中的管理访问

您还可以在此页面上配置 AAA,允许外部 AAA 服务器中定义的用户进行管理访问。有关详细信息,请参阅管理 FDM 和 FTD 用户访问权限
步骤 2

要为管理地址创建规则,请执行以下操作:

  1. 选择管理接口选项卡。

    规则列表定义了允许哪些地址访问指定的端口:对于 Firepower 设备管理器(HTTPS Web 界面)而言,该端口为 443;对于 SSH CLI 而言,该端口为 22。

    规则不是一个有序列表。如果一个 IP 地址与请求的端口的任意规则匹配,则用户可以尝试登录设备。

     

    要删除规则,请点击该规则的垃圾桶图标 (删除图标)。如果删除了某个协议的所有规则,则没有人可以使用该协议访问该接口上的设备。

  2. 点击 + 并填写以下选项:

    • 协议 - 选择规则是用于 HTTPS(端口 443)还是 SSH(端口 22)。

    • IP 地址 - 选择定义应该能够访问系统的 IPv4 或 IPv6 网络或主机的网络对象。要指定“任何”地址,请选择 any-ipv4 (0.0.0.0/0) 和 any-ipv6 (::/0)。

  3. 点击确定
步骤 3

要为数据接口创建规则,请执行以下操作:

  1. 选择数据接口选项卡。

    规则列表定义允许访问接口上专用端口的地址:443 用于 Firepower 设备管理器(HTTPS 网络接口),22 用于 SSH CLI。

    规则不是一个有序列表。如果一个 IP 地址与请求的端口的任意规则匹配,则用户可以尝试登录设备。

     

    要删除规则,请点击该规则的垃圾桶图标 (删除图标)。如果删除了某个协议的所有规则,则没有人可以使用该协议访问该接口上的设备。

  2. 点击 + 并填写以下选项:

    • 接口 - 选择要在其上允许管理访问的接口。

    • 协议 - 选择规则是用于 HTTPS(端口 443)、SSH(端口 22)还是二者。不能为远程接入 VPN 连接配置文件中使用的外部接口配置 HTTPS 规则。

    • 允许的网络 - 选择定义应该能够访问系统的 IPv4 或 IPv6 网络或主机的网络对象。要指定“任何”地址,请选择 any-ipv4 (0.0.0.0/0) 和 any-ipv6 (::/0)。

  3. 单击 OK

配置诊断日志记录

诊断日志记录可为与连接不相关的事件提供系统日志消息。可以在各个访问控制规则内配置连接日志记录。以下步骤介绍如何配置诊断消息的日志记录。

过程

步骤 1

点击 设备,然后点击系统设置 > 日志记录设置链接。

如果已经位于“系统设置”页面中,只需点击目录中的日志记录设置

步骤 2

点击诊断日志设置 >

即使配置了本页的剩余字段,只要未开启此设置,就不会生成诊断日志消息。

步骤 3

针对您要查看诊断日志消息的每个位置,将滑块转至的位置,然后选择一个最低严重性级别。

可以将日志消息记录到以下位置:

  • 控制台 - 当在控制台端口上登录 CLI 时会显示这些消息。使用 show console-output 命令也可以在其他界面(包括管理地址)的 SSH 会话中看到这些日志。此外,从主 CLI 中输入 system support diagnostic-cli 即可在诊断 CLI 中实时看到这些消息。

  • 系统日志 - 这些消息将发送到您指定的外部系统日志服务器。点击 +,选择系统日志服务器对象,然后在弹出对话框中点击确定。如果服务器对象尚不存在,请点击添加系统日志服务器创建对象。

步骤 4

点击保存

严重性级别

下表列出系统日志消息严重性级别。

表 1. 系统日志消息严重级别

级别号

严重性级别

说明

0

紧急

系统不可用。

1

警报

需要立即采取措施。

2

严重

严重情况。

3

错误

错误情况。

4

警告

警告情况。

5

通知

正常但重大的情况。

6

信息性

消息仅供参考。

7

调试

消息仅供调试。


Firepower 威胁防御 不会生成严重性级别为零(紧急)的系统日志消息。

配置 DHCP 服务器

DHCP 服务器可为 DHCP 客户端提供网络配置参数,例如 IP 地址。您可以在接口上配置 DHCP 服务器,为连接的网络上的 DHCP 客户端提供配置参数。

IPv4 DHCP 客户端使用广播而非组播地址到达服务器。DHCP 客户端侦听 UDP 端口 68 上的消息;DHCP 服务器侦听 UDP 端口 67 上的消息。DHCP 服务器不支持 BOOTP 请求。

DHCP 客户端必须与启用了服务器的接口位于同一网络内。即服务器和客户端之间不能有干预路由器,但可以有交换机。


不要在已经有 DHCP 服务器运行的网络上配置 DHCP 服务器。这两个服务器将发生冲突,结果不可预测。

过程

步骤 1

点击设备,然后点击系统设置 > DHCP 服务器链接。

如果已经位于“系统设置”页面中,只需点击目录中的 DHCP 服务器

该页有两个选项卡。一开始,配置选项卡显示全局参数。

DHCP 服务器选项卡显示已在其上配置 DHCP 服务器的接口、服务器启用启用情况以及服务器的地址池。

步骤 2

配置选项卡上,配置自动配置和全局设置。

DHCP 自动配置使 DHCP 服务器能为 DHCP 客户端提供从运行于指定接口上的 DHCP 客户端获得的 DNS 服务器、域名和 WINS 服务器信息。通常,如果您是在使用 DHCP 获取地址,则会使用自动配置,但您可以选择通过 DHCP 获取其地址的任何接口。如果无法使用自动配置,可以手动定义所需的选项。

  1. 如果要使用自动配置,请点击启用自动配置 > (滑块应位于右侧),然后在源接口中选择正在通过 DHCP 获取其地址的接口。

  2. 如果不启用自动配置,或者如果要覆盖任何一个自动配置的设置,请配置以下全局选项。这些设置将发送到托管 DHCP 服务器的所有接口上的 DHCP 客户端。

    • 主 WINS IP 地址辅助 WINS IP 地址 - Windows Internet Name Service (WINS) 服务器客户端应该用于 NetBIOS 域名解析的地址。

    • 主 DNS IP 地址辅助 DNS IP 地址 - 客户端应该用于域名解析的域名系统 (DNS) 服务器的地址。如果要配置 OpenDNS 公共 DNS 服务器,请点击使用 OpenDNS。点击该按钮会将正确的 IP 地址加载到字段中。

  3. 点击保存
步骤 3

点击 DHCP 服务器选项卡并配置服务器。

  1. 执行以下操作之一:

    • 要为尚未列出的接口配置 DHCP 服务器,请点击 +

    • 要编辑现有的 DHCP 服务器,请点击该服务器的编辑图标 (编辑图标)。

    要删除服务器,请点击该服务器的垃圾桶图标 (删除图标)。

  2. 配置服务器属性:

    • 启用 DHCP 服务器 - 是否启用服务器。您可以配置服务器,但在做好准备开始使用之前,要一直将其禁用。

    • 接口 - 选择您为客户端提供 DHCP 地址的接口。接口必须拥有静态 IP 地址;如果要在接口上运行 DHCP 服务器,则不能使用 DHCP 获取接口。对于桥接组,在网桥虚拟接口 (BVI) 上(而不是成员接口上)配置 DHCP 服务器,并且服务器在所有成员接口上运行。

      您不能在诊断接口上配置 DHCP 服务器,而应在管理接口上配置,它位于设备 > 系统设置 > 管理接口页面。

    • 地址池 - 允许服务器为请求地址的客户端提供的 IP 地址的范围(最低至最高)。指定该池的开始和结束地址,用连字符隔开。例如 10.100.10.12-10.100.10.250。

      该 IP 地址范围必须与所选接口位于同一子网上,并且不能包括接口本身的 IP 地址、广播地址或子网地址。

      FTD设备上地址池的大小不得超过每个池 256 个地址。如果地址池范围大于 253 个地址,则 FTD接口的网络掩码不能为 C 类地址(例如 255.255.255.0)且需要成为更大的地址,例如 255.255.254.0。

  3. 单击 OK

配置 DNS

域名系统 (DNS) 服务器用来将主机名解析到 IP 地址。DNS 服务器的配置在初始系统设置期间执行,并且这些服务器将应用于数据和管理接口。您可以在设置完成后对其进行更改,并对数据和管理接口使用单独的一组服务器。

至少,必须要为管理接口配置 DNS。如果您想要使用基于 FQDN 的访问控制规则,或想要在 CLI 命令(如 ping )中使用主机名,那么还必须要为数据接口配置 DNS。

DNS 的配置分两步完成:配置 DNS 组,然后在接口上配置 DNS。

以下主题更详细地介绍了这一过程。

配置 DNS 组

DNS 组定义 DNS 服务器列表和某些相关联的属性。您可以在管理和数据接口上单独配置 DNS。需要使用 DNS 服务器将完全限定域名 (FQDN) 解析为 IP 地址,例如 www.example.com。

完成设备设置向导后,您将有一个或两个系统定义的以下 DNS 组:

  • CiscoUmbrellaDNSServerGroup - 此组包括思科 Umbrella 所搭配 DNS 服务器的 IP 地址。如果您在初始设置期间选择了这些服务器,此组便是系统定义的唯一组。您无法更改此组中的名称或服务器列表,但您可以编辑其他属性。

  • CustomDNSServerGroup - 如果您不在设备设置期间选择 Umbrella 服务器,系统将使用您的服务器列表创建此组。您可以编辑此组中的任何属性。

过程

步骤 1

选择对象,然后从目录中选择 DNS 组
步骤 2

执行以下操作之一:

  • 要创建组,请点击添加组 (添加组按钮。) 按钮。

  • 要编辑组,请点击该组的编辑图标 (编辑图标)。

要删除未引用的对象,请点击该对象的垃圾桶图标 (删除图标)。

步骤 3

配置以下属性:

  • 名称 - DNS 服务器组的名称。保留 DefaultDNS 名称:不能使用该名称。

  • DNS IP 地址 - 输入 DNS 服务器的 IP 地址。点击添加另一个 DNS IP 地址配置多个服务器。如果您想要删除服务器地址,请点击该地址的删除图标 (删除图标)。

    列表采用优先顺序:始终使用列表中的第一个服务器,只有当从前面的服务器收不到响应时,才使用后面的服务器。您最多可以配置 6 个服务器。但是,仅数据接口上支持 6 个服务器。管理接口仅使用前面的 3 个服务器。

  • 域搜索名称 - 为您的网络输入域名,例如 example.com。此域将被添加到非完全限定的主机名,例如 serverA 而不是 serverA.example.com。名称必须不能超过 63 个字符以使用数据接口组。

  • 重试次数 - 系统接收不到响应时,重试 DNS 服务器列表的次数,介于 0 和 10 次之间。默认值为 2。此设置仅适用于数据接口上使用的 DNS 组。

  • 超时 (Timeout) - 尝试下一个 DNS 服务器之前要等待的秒数,介于 1 和 30 秒之间。默认值为 2 秒。每次系统重试服务器列表,此超时将加倍。此设置仅适用于数据接口上使用的 DNS 组。

步骤 4

单击 OK

为数据和管理接口配置 DNS

域名系统 (DNS) 服务器用来将主机名解析到 IP 地址。最初,数据和管理 DNS 配置基于设备设置向导中配置的 DNS 服务器。可以使用以下过程更改默认设置。

您还可以在 CLI 中使用 configure network dns servers configure network dns searchdomains 命令更改 DNS 配置。如果数据和管理接口使用相同的 DNS 组,组将更新,且所做的更改也会在下一个部署中应用到数据接口。

如果您无法进行 DNS 解析,请参阅:

过程

步骤 1

点击设备,然后点击系统设置 > DNS 服务器链接。

如果已经位于“系统设置”页面中,只需点击目录中的 DNS 服务器
步骤 2

为数据接口配置 DNS。

  1. (可选。)点击 + 并选择要用来执行 DNS 查找的接口

    默认和推荐的值为任何,以便(基于路由表)在所有接口上进行查找。请仅在您知道应通过这些接口访问的 DNS 服务器时,选择特定接口。请仅在您为其配置了 IP 地址时,选择诊断接口。如果现有路由不足以将流量定向到服务器,您可能需要为 DNS 服务器配置静态路由。

  2. 选择定义在数据接口上使用的服务器的 DNS 组。如果组尚不存在,请点击创建新的 DNS 组立即创建组。如果您想要阻止在数据接口上进行查找,请选择

  3. (可选。)如果在访问控制规则中使用 FQDN 网络对象,配置 FQDN DNS 设置

    仅解析 FQDN 对象时使用这些选项,任何其他类型的 DNS 解析都将忽略这些选项。

    • 轮询时间 - 将 FQDN 网络对象解析为 IP 地址的轮询周期,以分钟为单位。仅在访问控制策略中使用 FQDN 对象时,解析这些对象。计时器决定两次解析之间的最长时间;DNS 条目的生存时间 (TTL) 值也用于确定更新 IP 地址解析的时间,因此,解析单个 FQDN 的频率可能大于轮询周期。默认设置为 240(4 个小时)。范围为 1 至 65535 分钟。

    • 过期 - DNS 条目过期(即,超出从 DNS 服务器获得的 TTL)后,从 DNS 查找表中删除该条目前等待的分钟数。删除条目要求重新编译表,使频繁删除能够增加设备上的处理负载。因为某些 DNS 条目可以有非常短的 TTL(短至 3 秒),所以您能够使用此设置实际上延长 TTL。默认设置为 1 分钟(即,TTL 过去后 1 分钟,会删除条目)。范围为 1 至 65535 分钟。

  4. 点击保存。您还必须部署配置,将更改应用到设备。

步骤 3

为管理接口配置 DNS。

  1. 选择定义在管理接口上使用的服务器的 DNS 组。如果组尚不存在,请点击创建新的 DNS 组立即创建组。

  2. 点击保存。所做的更改会立即应用到设备。不需要运行部署作业来应用此更改。

常规 DNS 问题故障排除

必须为管理和数据接口单独配置 DNS 服务器。某些功能通过这两类接口中的其中一类接口,而不是这两类接口,解析域名。有时,给定的功能将使用不同的解析方法,具体取决于您如何使用该功能。

例如,ping hostname ping interface interface_name hostname 命令使用数据接口 DNS 服务器解析域名,而 ping system hostname 命令使用管理接口 DNS 服务器。这使您可以通过特定接口和路由表测试连接。

故障排除主机名查找问题时,请记住这一点。

有关排除管理接口 DNS 故障的信息,另请参阅为管理接口排除 DNS 故障

未发生域名解析

如果根本没有发生域名解析,可参照以下故障排除提示。

  • 验证您是否已为管理和数据接口均配置 DNS 服务器。对于数据接口,对接口使用“任何”设置。仅当可以通过这些接口访问 DNS 服务器时,明确指定接口。

  • 如果您在数据接口上将诊断接口用于查找,请确认您在此接口上配置了 IP 地址。查找需要此接口具备 IP 地址。

  • 执行 ping 操作,以验证是否可访问每个 DNS 服务器的 IP 地址。使用 system interface 关键字测试特定接口。如果 ping 操作不成功,请检查您的静态路由和网关。您可能需要为服务器添加静态路由。

  • 如果 ping 操作成功,但域名解析失败,请检查访问控制规则。验证您是否允许连接服务器的接口的 DNS 流量 (UDP/53)。此流量也可能被系统和 DNS 服务器之间的设备阻止,因此您可能需要使用不同的 DNS 服务器。

  • 如果 ping 操作成功、路由充足,并且访问控制规则不是症结所在,请考虑 DNS 服务器是否存在 FQDN 映射。您可能需要使用不同的服务器。

域名解析错误

如果进行了域名解析,但名称的 IP 地址不是最新地址,可能存在缓存问题。此问题仅影响基于数据接口的功能,例如访问控制规则中使用的 FQDN 网络对象。

系统有从前期查找中获得的 DNS 信息的本地缓存。需要新的查询时,系统首先在本地缓存中查找。如果本地缓存中有该信息,则将返回生成的 IP 地址。如果本地缓存无法解析该请求,则将 DNS 查询发送至 DNS 服务器。如果外部 DNS 服务器解析请求,则生成的 IP 地址与其相应的主机名一起存储在本地缓存中。

每个查找都有一个生存时间值,该值由 DNS 服务器定义并自动从缓存到期。此外,系统会为访问控制规则中使用的 FQDN 定期刷新该值。至少,系统会按照轮询时间间隔(默认情况下,每 4 小时一次)刷新,不过可根据该条目的生存时间值,增加刷新频率。

使用 show dns-hosts show dns 命令检查本地缓存。如果 FQDN 的 IP 地址错误,可以使用dns update [host hostname] 命令强制系统刷新信息。如果在使用此命令时没有指定主机,系统会刷新所有主机名。

可以使用 clear dns [host fqdn] clear dns-hosts cache 命令删除缓存的信息。

配置管理接口

管理接口是连接到物理管理端口的虚拟接口。该物理端口名为诊断接口,可在“接口”页面上使用其他物理端口进行配置。Firepower 威胁防御虚拟上,即使两个接口都是虚拟接口,这种双重性也保持不变。

管理接口有两种用途:

  • 您可以与该 IP 地址建立 Web 连接和 SSH 连接,并通过该接口配置设备。

  • 系统通过此 IP 地址获取智能许可和数据库更新。

如果使用 CLI 安装向导,则在初始系统配置期间,为设备配置管理地址和网关。如果使用 Firepower 设备管理器安装向导,管理地址和网关将保留默认值。

如果需要,可以通过 Firepower 设备管理器更改这些地址。您还可以在 CLI 中使用 configure network ipv4 manual configure network ipv6 manual 命令更改管理地址和网关。

您可以定义静态地址,也可以在管理网络中有另一台设备用作 DHCP 服务器时,通过 DHCP 获取地址。默认情况下,管理地址是静态的,而且 DHCP 服务器通常在端口上运行Firepower 威胁防御虚拟除外,它没有 DHCP 服务器)。因此,您可以将设备直接连接到管理端口并为工作站获取 DHCP 地址。这种方法可以十分方便地连接和配置设备。


小心

如果更改当前连接的地址,则当保存更改时,由于这些更改会立即应用,您将丢失对 Firepower 设备管理器(或 CL)的访问。您需要重新连接到设备。确保新地址有效且在管理网络中可用。

过程

步骤 1

点击设备,然后依次点击系统设置 > 管理接口链接。

如果已经位于“系统设置”页面中,只需点击目录中的管理接口

步骤 2

选择要如何定义管理网关。

网关确定系统如何访问互联网,以获取智能许可证、数据库更新(例如 VDB、规则、地理位置、URL)以及访问管理 DNS 和 NTP 服务器。从以下选项中选择:

  • 使用数据接口作为网关 - 如果没有单独的管理网络连接到物理管理接口,请选择此选项。流量根据路由表路由到互联网,通常经过外部接口。这是默认选项。但是,Firepower 威胁防御虚拟设备不支持此选项。

  • 为管理接口使用独特网关 - 如果您有单独的管理网络连接到管理接口,请为 IPv4 和 IPv6 指定独特网关(如下所示)。

步骤 3

配置管理地址、子网掩码或 IPv6 前缀,并根据需要配置 IPv4 和/或 IPv6 的网关。

必须配置至少一组属性。将一组设置留空将会禁用该寻址方法。

依次选择类型 > DHCP,通过 DHCP 或 IPv6 自动配置功能获取地址和网关。但是,如果使用数据接口作为网关,则不能使用 DHCP。在此情况下,必须使用静态地址。

步骤 4

(可选。)如果配置的是静态 IPv4 地址,请在该端口上配置 DHCP 服务器。

如果在管理端口上配置 DHCP 服务器,则直接连接的客户端或管理网络中的客户端可从 DHCP 池获取其地址。Firepower 威胁防御虚拟设备不支持此选项。

  1. 依次点击启用 DHCP 服务器 >

  2. 输入服务器的地址池

    地址池是允许服务器为请求地址的客户端提供的 IP 地址的范围(最低至最高)。该 IP 地址范围必须与管理地址位于同一子网上,并且不能包括接口本身的 IP 地址、广播地址或子网地址。指定该池的开始和结束地址,用连字符隔开。例如 192.168.45.46-192.168.45.254。

步骤 5

点击保存,阅读警告,然后点击确定

配置设备主机名

可以更改设备主机名。

您还可以在 CLI 中使用 configure network hostname 命令更改主机名。


小心

如果更改连接到系统所用的主机名,由于这些更改会立即应用,因此您将丢失对 Firepower 设备管理器的访问。您需要重新连接到设备。

过程

步骤 1

点击 设备,然后点击系统设置 > 主机名链接。

如果已经位于“系统设置”页面中,只需点击目录中的主机名

步骤 2

输入新主机名。

步骤 3

点击保存

主机名更改随后立即应用到某些系统进程。但是,您必须部署更改以完成更新,以便所有系统进程都使用相同的名称。

配置网络时间协议 (NTP)

必须配置网络时间协议 (NTP) 服务器才能在系统上定义时间。NTP 服务器在初始系统设置期间配置,但您可以使用以下步骤程序对其进行更改。如果您无法连接到 NTP,请参阅排除 NTP 故障

过程

步骤 1

点击 设备,然后点击系统设置 > NTP链接。

如果已经位于“系统设置”页面中,只需点击目录中的 NTP

步骤 2

NTP 时间服务器中,选择使用您自己的时间服务器还是思科时间服务器。

  • 默认 NTP 时间服务器 - 如果选择此选项,服务器列表会显示用于 NTP 的服务器名称。

  • 用户定义的 NTP 服务器 - 如果选择此选项,则输入您要使用的 NTP 服务器的完全限定域名或 IP 地址。例如 ntp1.example.com 或 10.100.10.10。如果您有多个 NTP 服务器,请点击添加另一个 NTP 时间服务器并输入地址。

步骤 3

点击保存

配置URL 过滤首选项

系统从思科综合安全情报 (CSI)获取 URL 类别和信誉数据库。这些首选项控制数据库更新和系统如何处理类别或信誉未知的 URL。必须启用 URL 过滤许可证,才能设置这些首选项。

过程

步骤 1

点击 设备,然后点击系统设置 > URL 过滤首选项链接。

如果已经位于“系统设置”页面中,只需依次点击目录中的URL 过滤首选项

步骤 2

配置以下选项:

  • 启用自动更新 - 允许系统自动检查和下载更新的 URL 数据,这些数据中包括类别和信誉信息。系统每 30 分钟检查一次更新,不过数据通常每天更新一次。默认会启用更新。如果取消选中该选项,并且在使用类别和信誉过滤,请定期启用该功能以获得新的 URL 数据。
  • 通过思科 CSI 查询未知 URL - 对在本地 URL 过滤数据库中不含类别和信誉数据的 URL,是否通过思科 CSI 查询其更新的信息。如果查询在合理的时间限制内返回此信息,则在根据 URL 标准选择访问规则是使用。否则,URL 将匹配未分类的类别。对因内存限制而安装较小 URL 数据库的低端系统而言,选择此选项非常重要。
  • URL 生存时间(选择对未知 URL 查询思科 CSI 时可用)- 特定 URL 的类别和信誉查找值的缓存时间。生存时间到期时,下一个 URL 访问尝试将导致新的类别/信誉查找。更短的时间会产生更准确的 URL 过滤,较长的时间会给未知 URL 带来更好的表现。您可以将 TTL 设置为 2、4、8、12、24 或 48 小时、一周或从不(默认)。
步骤 3

点击保存

配置云服务

使用“云服务”页面从设备端管理设备使用的基于云的服务。注册某些服务后,需从云端进行管理。

您可以点击页面顶部的云服务门户链接以转到思科云服务,并管理基于云的服务。

以下主题介绍云服务选项。

配置云管理(思科防御协调器)

您可以使用思科 Defense Orchestrator 基于云的门户来管理设备。使用思科 Defense Orchestrator,您可以通过以下方法来进行设备管理:

  • 下载初始配置 - 在此方法中,您从思科 Defense Orchestrator 下载初始设备配置,但之后使用 Firepower 设备管理器在本地配置设备。


    使用 Firepower 设备管理器配置设备后,如果您决定要通过云管理设备,请确保在基于云的配置中复制本地更改。

  • 通过云进行远程配置管理 - 在此方法中,您使用思科 Defense Orchestrator 创建和更新设备配置。使用此方法时,不要对配置进行本地更改,因为在每个云部署中,云中定义的配置将替换设备上的本地配置。如果进行了本地更改,请确保在基于云的配置中重复此配置以保存更改。

有关云管理原理的更多信息,请参阅思科 Defense Orchestrator 门户 (http://www.cisco.com/go/cdo) 或咨询您的经销商或合作伙伴。

开始之前

获取思科防御协调器的注册密钥。

如果您已向思科智能软件管理器 (CSSM) 注册该设备,我们强烈建议您首先从智能许可页面注销设备。您可以在使用令牌启用思科防御协调器后重新注册。

此外,请确保设备有到互联网的路由。


如果您想要配置高可用性,则必须注册您要在高可用性组中使用的两台设备。

过程

步骤 1

点击设备,然后依次点击系统设置 > 云服务链接。

如果已经位于“系统设置”页面,只需点击目录中的云服务
步骤 2

思科 Defense Orchestrator中点击开始
步骤 3

注册密钥然后点击连接

注册请求将发送到云门户。如果密钥有效,并且有通往互联网的路由,则设备会成功注册到门户。然后,您便可以开始使用门户来管理设备了。

如果您决定不想再使用云管理,可以点击禁用按钮。

连接到思科成功网络

注册设备时,需决定是否启用与思科成功网络之间的连接。请参阅注册设备

通过启用思科成功网络,可以向思科提供使用信息和统计信息,这对思科为您提供技术支持至关重要。通过此信息,思科还可以改进产品,并使您获悉未使用的可用功能,以便您能够在网络中将产品的价值最大化。

启用连接时,设备将与思科云建立安全连接,以确保设备可以参与思科提供的其他服务(例如技术支持服务、云管理和监控服务)。您的设备将随时建立并维护此安全连接。有关从云完全断开连接的信息,请参阅禁用思科云服务注册

注册设备后,可以更改思科成功网络设置。


系统向思科发送数据时,任务列表会显示一项遥测作业。

开始之前

要启用思科成功网络,必须向云注册设备。要注册该设备,请使用思科智能软件管理器(在“智能许可”页面上)注册该设备,或者通过输入注册密钥使用思科 Defense Orchestrator 进行注册。


如果您在高可用性组的主用设备上启用思科成功网络,也会在备用设备上启用该连接。

过程

步骤 1

点击设备,然后点击系统设置 > 云服务链接。

如果已经位于“系统设置”页面,只需点击目录中的云服务
步骤 2

点击思科成功网络功能的启用/禁用控件,可以根据需要更改设置。

可以点击样本数据链接,查看发送给思科的信息类型。

启用该连接时,请阅读披露的信息并点击接受

禁用思科云服务注册

向思科防御协调器注册设备后,请启用思科成功网络,或向思科智能软件管理器注册设备,设备会注册思科云服务。即使禁用所有云服务,设备仍会保持注册状态。

启用连接时,设备将与思科云服务建立安全连接,以确保设备可以参与思科提供的其他服务(例如技术支持服务、云管理和监控服务)。您的设备将随时建立并维护此安全连接。

您可能希望删除设备的思科云服务注册,以便可以在不同的智能许可账户下注册,或者从服务中删除设备。

过程

步骤 1

设备 > 系统设置 > 云服务页面上禁用所有云服务。

步骤 2

从齿轮下拉列表中选择设备 > 智能许可证并选择注销设备
步骤 3

如果要向云重新注册设备,请执行以下操作之一:

  • 要使用思科安全账户,请选择设备 > 系统设置 > 云服务,并使用令牌向思科防御协调器重新注册。然后,可以转至设备 > 智能许可证并重新注册设备。

  • 要使用智能许可证账户,请在设备 > 智能许可证页面上注册设备。现在,可以返回至“云服务”页面并重新启用所需服务。

启用或禁用网络分析

启用网络分析可根据页面点击量向思科提供匿名产品使用情况信息。这类信息包括查看的页面、在页面上花费的时间、浏览器版本、产品版本、设备主机名等。此信息可帮助思科确定功能使用模式,帮助思科改进产品。所有使用情况数据均为匿名数据,且不会传输敏感数据。

默认启用网络分析。

过程

步骤 1

点击设备,然后点击系统设置 > 云服务链接。

如果已经位于“系统设置”页面,只需点击目录中的云服务
步骤 2

点击网络分析功能的启用/禁用控件,根据需要更改设置。

此文档是否有帮助?

Feedback反馈

联系我们