思科 Firepower 管理中心强化指南，版本 6.4

安全认证合规性

您的组织只能使用符合由美国国防部和其他政府认证机构制定的安全标准的设备和软件。一旦经过相应认证机构的认证，并且按照认证特定的指导文档进行配置，Firepower 的设计符合以下认证标准：

通用标准 (CC)：国际共同标准承认协定建立的全球标准，用于定义对安全产品的要求。

国防部信息网络获批产品列表 (DoDIN APL)：符合美国国防信息系统机构 (DISA) 建立的安全要求的产品列表。

注	美国政府已将统一功能获批产品列表 (UCAPL) 的名称改为 DODIN APL。Firepower 文档和 Firepower 管理中心 Web 界面中对 UCAPL 的引用可以解释为对 DoDIN APL 的引用。

联邦信息处理标准 (FIPS) 140：针对加密模块的要求规范。

认证指导文档在产品认证完成后将单独提供；本强化指南的发布并不保证完成任何产品认证。

本文档所述的 Firepower 配置设置不能保证严格遵守认证实体的所有最新要求。有关必要强化程序的详细信息，请参阅由认证实体提供的关于此产品的相关规定。

本文档提供有助增强 FMC 安全性的指导，但即使使用本文所述的配置设置，部分 FMC 功能也不支持认证合规性。有关详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“安全证书合规性建议”。我们努力确保此强化指南和《Firepower 管理中心配置指南，版本 6.4》不会与证书特定指导原则发生冲突。如果发现思科文档和认证指南之间出现冲突，请以认证指南为准或者咨询系统所有者。

监控思科安全公告及对策

思科产品安全事件响应团队 (PSIRT) 负责发布有关思科产品安全相关问题的 PSIRT 建议。对于不太严重的问题，思科还会发布思科安全响应。安全建议和响应将发布在思科安全建议和警报页面上。有关这些沟通工具的更多信息，请参阅思科安全漏洞策略。

要确保网络的安全，必须了解思科安全建议和响应。这些资料提供了评估漏洞对网络构成的威胁所需的信息。如需获取与此评估流程相关的帮助，请参阅安全漏洞公告风险分类。

保持系统更新

思科会定期发布 Firepower 软件更新以解决问题并做出改进。保持系统软件为最新状态对于维护强化的系统至关重要。要确保您的系统软件正确更新，请使用《Firepower 管理中心配置指南，版本 6.4》“系统软件更新”章节以及《Firepower 管理中心升级指南》中的信息。

思科还会定期针对 Firepower 用于保护您的网络和资产的数据库发布更新。要提供最佳保护，请确保地理位置、入侵规则和漏洞数据库为最新。在更新 Firepower 部署的任何组件之前，您必须阅读更新随附的思科 Firepower 发行说明。这些内容提供版本特定的关键信息，包括兼容性、必备条件、新功能、行为更改和警告。有些更新可能很大，需要一些时间才能完成；您应该在网络使用率较低的时段执行更新，以减少对系统性能的影响。

地理位置数据库 (GeoDB)

此数据库包含与可路由 IP 地址关联的地理数据（例如国家/地区、城市坐标）和连接相关数据（例如互联网服务提供商、域名、连接类型）。Firepower 检测与已经检测到的 IP 地址匹配的 GeoDB 信息时，您可以查看与 IP 地址关联的地理位置信息。要查看除国家/地区或大洲以外的任何地理位置详细信息，必须在系统上安装 GeoDB。要从 FMC Web 界面更新 GeoDB，请使用系统 > 更新 > 地理位置更新，然后选择以下方法之一：

要在没有 Internet 访问权限的 FMC 上更新 GeoDB，请按照《Firepower 管理中心配置指南，版本 6.4》“手动更新 GeoDB（无 Internet 连接）”中的说明操作。
要在具有 Internet 访问权限的 FMC 上更新 GeoDB，请按照《Firepower 管理中心配置指南，版本 6.4》“手动更新 GeoDB（Internet 连接）”中的说明操作。
要在具有 Internet 访问权限的 FMC 上安排自动周期性更新 GeoDB，请按照《Firepower 管理中心配置指南，版本 6.4》“安排 GeoDB 更新”中的说明操作。

入侵规则

随着新漏洞的暴露，思科 Talos 安全情报和研究小组 (Talos) 会发布可导入到 FMC 上的入侵规则更新（亦称为 Snort 规则更新，简称 SRU），然后通过将已更改的配置部署到受管设备进行实施。这些更新会影响入侵规则、预处理器规则和使用这些规则的策略。FMC Web 界面提供三种方法来更新入侵规则，全部位于系统 > 更新 > 规则更新之下：

要在没有 Internet 访问权限的 FMC 上更新入侵规则，请按照《Firepower 管理中心配置指南，版本 6.4》“一次性手动更新入侵规则”中的说明操作。
要在具有 Internet 访问权限的 FMC 上更新入侵规则，请按照《Firepower 管理中心配置指南，版本 6.4》“一次性自动更新入侵规则”中的说明操作。
要在具有 Internet 访问权限的 FMC 上安排自动周期性更新入侵规则，请按照《Firepower 管理中心配置指南，版本 6.4》“配置周期性入侵规则更新”中的说明操作。

也可以使用系统 > 更新 > 规则更新导入本地入侵规则。可以使用 Snort 用户手册（可在 http://www.snort.org 上获取）中的说明创建本地入侵规则。在将其导入到 FMC 之前，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“导入本地入侵规则指引”，确保导入本地入侵规则的过程符合您的安全策略。

漏洞数据库 (VDB)

此数据库包含主机可能易受感染的已知漏洞，以及操作系统、客户端和应用程序指纹。系统借助 VDB 来确定某个特定主机是否会增加遭受危害的风险。FMC Web 界面提供两种更新 VDB 的方法：

使用系统 > 更新 > 产品更新并遵照《Firepower 管理中心配置指南，版本 6.4》“手动更新漏洞数据库 (VDB)”中的说明操作。
如《Firepower 管理中心配置指南，版本 6.4》中的“配置周期性任务”所述，使用系统 > 工具 > 计划并安排周期性任务以下载和安装 VDB 更新。

启用 CC 或 UCAPL 模式

要通过单个设置应用多个强化的配置更改，请为 FMC 选择 CC 或 UCAPL 模式。这些信息将显示在 FMC Web 界面的系统 > 配置 > UCAPL/CC 合规性下。

选择这些配置选项之一，以使《Firepower 管理中心配置指南，版本 6.4》“安全证书合规性特征”之下所列的更改生效。请注意，Firepower 部署中的所有设备都应在相同的安全证书合规性模式下运行。

小心	启用此设置后，您将无法将其禁用。在启用 CC 或 UCAPL 模式之前，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“安全证书合规性”。如果您需要撤消此设置，请与思科 TAC 联系以获取帮助。

注	启用安全认证合规性不保证严格符合所选安全模式的所有要求。本文档介绍了一些额外设置，这些设置可以强化您的部署，使之比 CC 或 UCAPL 模式提供的部署更加强大。有关确保完全合规所需的强化程序的完整信息，请参阅由认证实体提供的此产品的相关规定。

保护本地网络基础设施

Firepower 部署可能会出于多种目的与其他网络资源交互。强化这些其他服务可以保护您的 Firepower 系统以及所有网络资产。要确定需要解决的所有问题，请尝试绘制网络及其组件、资产、防火墙配置、端口配置、数据流和桥接点的图表。

建立并遵守网络的操作安全流程，将安全问题考虑在内。

保护网络时间协议服务器

要使 Firepower 成功运行，必须在 FMC 及其受管设备上同步系统时间。我们强烈建议使用安全和值得信赖的网络时间协议 (NTP) 服务器来同步 FMC 及其所管理的设备上的系统时间。从 FMC Web 界面使用系统 > 配置 > 时间同步并使用《Firepower 管理中心配置指南，版本 6.4》“使用网络 NTP 服务器同步时间”中的说明。

小心	如果 FMC和受管设备之间的时间不同步，可能会导致意外后果。为确保正确同步，请将 FMC 及其管理的所有设备配置为使用相同的 NTP 服务器。

保护域名系统 (DNS)

网络环境中相互通信的计算机依赖于 DNS 协议来提供 IP 地址和主机名之间的映射。如适用于您的硬件型号的《思科 Firepower 管理中心入门指南》中所述，配置 FMC 以连接本地域名系统服务器是初始配置过程的一部分。

DNS 可能容易受到特定类型的攻击，这些攻击会利用 DNS 服务器中未配置安全防护措施的薄弱点。确保您的本地 DNS 服务器配置符合行业建议的安全最佳实践；思科在此文档中提供了指导原则：http://www.cisco.com/c/en/us/about/security-center/dns-best-practices.html。

保护 SNMP 轮询

您可以按照《Firepower 管理中心配置指南，版本 6.4》中的“SNMP 轮询”所述，使用 SNMP 轮询监控 FMC。如果选择使用 SNMP 轮询，则应注意 SNMP 管理信息库 (MIB) 中包含可用于攻击部署的系统详细信息，例如联系人、管理、位置和服务信息；IP 寻址和路由信息；以及传输协议使用统计信息。因此，您应选择配置选项以保护系统免受基于 SNMP 的威胁。

在配置 SNMP 轮询时（在 FMC Web 界面的系统 > 配置 > SNMP下），使用以下选项在 Firepower 部署中强化 SNMP：

选择仅支持使用 AES128 和只读用户加密的 SNMPv3。
为网络管理访问配置身份验证密码字段时，使用强密码。

此外，您应将 SNMP 访问权限的访问列表限制为将被用于轮询 MIB 的特定主机。（此选项显示在 FMC Web 界面的系统 > 配置 > 访问列表之下。请参阅《Firepower 管理中心配置指南，版本 6.4》中的“配置系统的访问列表”。)

FMC 还支持向 SNMP 服务器发送外部警报。要保护此功能，请参阅安全外部警报。

重要	虽然您可以从 Firepower 建立与 SNMP 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

保护网络地址转换 (NAT)

网络计算机通常使用网络地址转换 (NAT) 重新分配网络流量中的来源或目标 IP 地址。要保护 Firepower 部署以及整个网络基础架构免受基于 NAT 的攻击，请根据行业最佳实践以及 NAT 提供商的建议在网络中配置 NAT 服务。

有关配置您的 Firepower 部署以在 NAT 环境中运行的信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“NAT 环境”。建立部署时，请在两个阶段使用以下信息：

按照《思科 Firepower 管理中心入门指南》中关于您的硬件型号的说明，执行 FMC 的初始设置。
如《Firepower 管理中心配置指南，版本 6.4》中的“向 Firepower 管理中心添加设备”所述，向 FMC 注册受管设备时。

保护受管设备访问权限

您的 Firepower 部署包括由 FMC 管理的安全设备，每个提供不同的访问方式。这些设备会与 FMC 交换信息，其安全性对于整个部署的安全非常重要。在部署中分析这些设备并根据需要应用强化配置，例如保护用户访问权限以及关闭不需要的通信端口。

强化 FMC 用户访问

内部和外部用户

FMC 支持两种类型的用户：

内部用户 - 系统检查本地数据库以进行用户身份验证。
外部用户 - 如果本地数据库中没有用户，则系统会查询外部 LDAP 或 RADIUS 身份验证服务器。

您可以考虑通过外部身份验证机制（如 LDAP 或 RADIUS）建立用户访问权限，以将用户管理与网络环境中的现有基础设施集成，或利用双因素身份验证等功能。建立外部身份验证需要在 FMC Web 界面中创建外部身份验证对象；可以共享外部身份验证对象，以便为 FMC 及其受管设备验证外部用户。

用户访问类型

FMC 支持两种类型的用户访问：

Web 界面 (HTTP)。这可用于内部和外部用户帐户。
使用 SSH、串行或键盘和显示器连接进行命令行访问。此功能可用于 CLI/外壳程序访问 admin 帐户，可供外部用户使用。

有关用户管理的讨论指 Firepower 版本 6.4 中可用的功能；并非本部分谈及的所有用户帐户配置功能都适用于所有 Firepower 版本。有关您系统的特定信息，请参阅您的版本的《Firepower 管理中心配置指南》。

限制管理权限

FMC 支持两个 admin 帐户：

一个 admin 帐户用于通过 Web 界面 (HTTP) 访问 FMC。
一个 admin 帐户用于使用 SSH、串行或键盘和显示器连接进行 CLI/外壳程序访问。在默认配置中，此帐户可直接访问 Linux 外壳程序。您可以将此帐户配置为访问 FMC 辅助 CLI，而不是 Linux 外壳程序（请参阅限制外壳程序访问）。在 FMC CLI 内，此帐户可以使用 CLI expert 命令直接访问 Linux 外壳程序（除非您禁用 expert 命令；同样，请参阅限制外壳程序访问）。

注	在 FMC 初始配置中，这两个 admin 帐户的密码相同，但它们并非同一个帐户，系统会对照不同的数据库验证这些密码。

admin 帐户拥有与其他用户相同的配置权限，包括创建具有相同权限的其他帐户的权限。在选择授予哪些用户访问具有管理权限的帐户时，请慎重考虑。

有关详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“执行管理访问的用户帐户”。

限制外壳程序访问

默认情况下，具有命令行访问权限的用户在登录时可以直接访问 Linux 外壳程序。管理员可以使用 Web 界面选项系统 > 配置 > 控制台配置 > 启用 CLI 访问，配置这些帐户在登录时初次访问 FMC CLI。启用 FMC CLI 后，CLI/外壳程序用户必须执行额外的操作，输入 CLI expert 命令才能访问 Linux 外壳程序。

注	在所有设备上，当用户连续三次尝试通过 SSH 登录 CLI 或外壳失败时，系统会终止 SSH 连接。

小心	在所有设备上，具有 CLI/外壳程序访问权限的用户可以在外壳程序中获取 root 权限，这可能构成安全风险。出于系统安全原因，我们强烈建议：如果您建立外部身份验证，请确保对具有 CLI/外壳访问权限的用户列表进行适当的限制。请勿直接在外壳程序中添加用户；请按照您的版本的《Firepower 管理中心配置指南》中的步骤创建新帐户。请勿使用外壳出现或 CLI expert 模式访问 FMC，除非在思科 TAC 的指示下进行此操作。

有关 FMC 访问类型的详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“Web 界面、CLI 或外壳程序访问”。

对于 FMC 的 Linux 外壳程序访问，您可以采取的最安全的强化操作是阻止对外壳程序的所有访问：

使用系统 > 配置 > 控制台配置 > 启用 CLI 访问从 Web 界面启用 FMC CLI。
使用 SSH、串行或键盘和显示器连接登录 FMC（请参阅您的 FMC 型号的入门指南。）
输入 system lockdown 命令。（请参阅《Firepower 管理中心配置指南，版本 6.4》中的附录 C。）

系统锁定完成后，任何使用命令行凭证登录 FMC 的用户都只能访问 FMC CLI 命令。这可能是一个重要的强化操作，但请仔细考虑使用，因为只能通过思科 TAC 的修补程序才能撤消此操作。

有关 FMC CLI 的详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的附录 C。

使用多租户对受管设备、配置和事件的用户访问进行分段。

管理员可以将 Firepower 部署中的受管设备、配置和事件分组到域中，并根据自己的需要授予 FMC 用户访问所选域的权限。除了用户角色所施加的访问限制之外，用户还在其域分配所施加的访问限制内运行。例如，您可以在一个域内授予选定帐户完全管理员访问权限，在另一个域内授予安全分析员访问权限，并且不允许其访问第三个域。

使用系统 > 域菜单选项从 FMC Web 界面创建和管理域。有关实施多租户的完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“域管理”。

使用 FMC 通过系统 > 用户 > 用户 Web 界面在域内分配用户权限；有关完整详情，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“在 Web 界面中添加内部用户”。

强化内部用户帐户

内部用户只能通过 Web 界面访问 FMC。管理员可以使用系统 > 用户 > 用户下的以下设置通过 Web 界面登录机制强化系统以抵御攻击：

限制帐户锁定并必须由管理员重新激活的 Web 界面登录最大失败次数
实施最短密码长度
设置密码的有效天数
要求强密码
不要将用户从 Web 界面会话超时中豁免
分配仅适用于帐户所需访问类型的用户角色
分配适合用户所需访问类型的域
强制用户下次登录时重置帐户密码。

有关这些设置的详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“执行管理访问的用户帐户”。

管理员还可以在系统 > 配置 > 用户配置下为所有内部 Web 界面用户全局配置以下设置：

限制密码重复使用
跟踪成功登录
暂时阻止登录尝试次数达到选定值的用户访问 Web 界面

有关这些设置的详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“全局用户配置设置”。

强化外部用户帐户

FMC 根据存储在外部服务器（LDAP 或 RADIUS）上的用户数据库对外部用户帐户进行身份验证。

注	如果您选择使用外部身份验证，请查看保护到支持网络用户权威登录、意识和控制的服务器的连接中的信息。

注	要使用外部身份验证，FMC 必须使用 DNS。通常在初始配置过程中配置 FMC 使用 DNS。确保您的本地 DNS 配置符合行业建议的安全最佳实践；请参阅保护域名系统 (DNS)。

重要	尽管可以从 Firepower 设置到 LDAP 或 RADIUS 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

要为 FMC 用户身份验证配置外部服务器，您必须在系统 > 用户 > 外部身份验证下创建外部身份验证对象。在外部身份验证对象中使用以下选项可通过外部验证的用户帐户强化 FMC 以防止可能的攻击：

请谨慎限制用户对具有外壳程序访问权限的帐户的访问权限。外壳程序用户可以获得 root 权限，带来安全风险。
授予帐户的访问权限不要超过所需的权限：
- 如果使用 LDAP，将相应的 Firepower 用户角色与 LDAP 用户或用户组关联。
- 如果使用 RADIUS，将适当的 Firepower 用户角色与 RADIUS 属性关联。
如果使用 LDAP，则配置外部身份验证对象时，请在高级选项下配置 TLS 或 SSL 加密。

有关详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“配置外部身份验证”。

建立会话超时

限制帐户登录会话的长度可以减少未经授权的用户利用无人参与会话的机会。

要在 FMC 上设置会话超时，请使用系统 > 配置 > 外壳超时。在此您可以配置以下接口超时值（以分钟为单位）：

浏览器会话超时：FMCWeb 界面会话超时。
外壳程序超时：CLI/外壳程序访问超时。

这些设置适用于内部和外部帐户，无论其访问角色为何。请参阅《Firepower 管理中心配置指南，版本 6.4》中的“会话超时”。

禁用 REST API 访问

Firepower REST API 提供轻量级接口，以供第三方应用使用 REST 客户端和标准 HTTP 方法查看和管理设备配置。有关 Firepower REST API 的详细信息，请参阅您的版本的《Firepower 管理中心 REST API 快速入门指南》。

默认情况下，FMC使用 REST API 允许来自应用的请求。为强化 FMC，您应禁用此访问权限；在 FMC web 界面中选择系统 > 配置 > REST API 首选项并取消选中启用 REST API 复选框。有关完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“REST API 首选项”。

限制远程访问

在 FMC 上，可以使用访问列表限制 IP 地址和端口对系统的访问。默认情况下，可为任何 IP 地址启用以下端口：

443 (HTTPS) – 用于 Web 界面访问
22 (SSH) – 用于 CLI/外壳程序访问

也可以在端口 161 上添加轮询 SNMP 信息的访问权限。

重要	虽然您可以从 Firepower 设置与 SNMP 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

要在更安全的环境中操作，请配置 FMC 允许这些形式的访问仅限于特定的 IP 地址，并禁用允许 HTTPS 或 SSH 访问任何 IP 地址的默认规则。这些选项位于 FMC Web 界面的系统 > 配置 > 访问列表之下。有关详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“访问列表”。

不使用补救措施

补救措施是 Firepower 为响应关联策略违规而启动的程序。您可以在 FMC 上配置多种类型的补救措施，但它们都要求 FMC 以不安全的方式与 Firepower 外部的实体通信。因此，我们建议不要配置强化的 Firepower 系统以使用补救措施。有关详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“补救措施”。

保护 FMC 与 Web 浏览器之间的通信

使用客户端和服务器 HTTPS 证书保护 FMC 与本地计算机之间传输的信息，进而保护 FMC 与运行 Web 界面的浏览器之间的连接。FMC 使用默认的自签证书，但我们建议将其替换为由全球知名且值得信赖的证书颁发机构生成的证书。

要为 FMC 配置的 HTTPS 证书，请在 FMC Web 界面中使用系统 > 配置 > HTTPS 证书；请参阅《Firepower 管理中心配置指南，版本 6.4》中的“HTTPS 证书”。

保护备份

要保护系统数据及其可用性，请对您的 FMC 执行定期备份。备份功能显示在 FMC Web 界面的系统 > 工具 > 备份/恢复之下，《Firepower 管理中心配置指南，版本 6.4》的“备份 Firepower 管理中心”对此功能进行了介绍。

FMC 提供在远程设备上自动存储备份的功能。不建议对强化的系统使用此功能，因为无法保护 FMC 与远程存储设备之间的连接。

保护配置导出/导入

FMC 提供了将大量系统配置（例如策略、自定义表和报告模板）导出到文件的功能，然后可以使用该文件将这些相同的配置导入到运行相同 Firepower 版本的另一个 FMC。当管理员向部署添加新设备时，此功能可帮助节省时间，但必须谨慎使用它以防止安全漏洞。在使用导出/导入功能时，请记住以下注意事项：

确保 FMC 与 Web 浏览器之间的通信安全，以保护正在传输的配置信息。请参阅保护 FMC 与 Web 浏览器之间的通信。
安全访问存储导出的配置文件的本地计算机；保护此文件对于确保 Firepower 部署的安全性非常重要。
如果导出使用包含私钥的 PKI 对象的配置，系统会在导出之前解密私钥；导出的私钥以明文形式存储。导入时，系统会使用随机生成的密钥加密密钥。

配置导出和导入功能位于 FMC Web 界面的系统 > 工具 > 导入/导出之下。有关此功能的完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“配置导入和导出”。

保护报告

Firepower 系统提供多种类型的报告，所有报告都包含敏感信息，您应该防止未经授权的人员访问。此处讨论的所有报告类型都可以从 FMC 以未加密的形式下载到本地计算机。在下载报告之前，请确保 FMC 与 web 浏览器之间的通信安全，以保护正在传输的信息。（请参阅“保护 FMC 与 Web 浏览器之间的通信”。）此外，安全访问存储任何报告的本地计算机。

标准报告是有关系统所有方面的详细可自定义报告，以 HTML、CSV 和 PDF 格式提供。风险报告是组织中发现的风险的 HTML 格式摘要。

在 FMC web 界面上，标准和风险报告都位于概述 > 报告下。对于这些报告，除本地下载外，Firepower 还提供两种存储选项，每种都存在安全风险：
- 您可以自动通过电子邮件将报告发送到选定的服务器。不建议在强化的系统中使用此功能，因为无法确保电子邮件安全。
- 您可以在远程设备上自动存储报告。不建议对强化的系统使用此功能，因为无法保护 FMC 与远程存储设备之间的连接。
有关设计和生成标准报告和风险报告的完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“使用报告”。
用于故障排除的运行状况监控报告包含思科 TAC 可用于诊断系统问题的信息。要从 FMC Web 界面生成这些报告，请使用系统 > 运行状况 > 监控器，然后按照《Firepower 管理中心配置指南，版本 6.4》中“用于故障排除的运行状况监控报告”下的说明操作。FMC 会生成 .tar.gz 格式的故障排除文件。
策略报告是 PDF 文件，提供有关策略当前保存配置的详细信息。要生成策略报告，请访问要为其生成报告的策略的管理页面，然后单击报告图标 ()。有关支持报告的策略的完整列表，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“生成最新策略报告”。
使用比较报告来检查策略更改，以确保符合组织的标准或优化系统性能。您可以检查两个策略之间或者已保存策略与正在运行的配置之间的差异。要生成比较报告（仅适用于 PDF 格式），请访问要比较的策略类型的管理页面，然后选择比较策略。（请参阅《Firepower 管理中心配置指南，版本 6.4》中的“比较策略”。
事件报告可包含有关涉嫌违反安全策略事件的信息，例如与您添加到事故的事件相关的摘要、状态和信息。这些报告可以设置为 HTML、PDF 或 CSV 格式。在 FMC Web 界面，从分析 > 入侵 > 事故的事故分析页面按照《Firepower 管理中心配置指南，版本 6.4》“生成事故报告”中的说明生成这些报告。
入侵事件剪贴板是一个保留区域，在这里，您可从任何入侵事件视图复制入侵事件并以 HTML、PDF 或 CSV 格式生成有关这些事件的报告。在 FMC Web 界面，必须先将事件添加到剪贴板，然后才能使用分析 > 入侵 > 剪贴板生成这些报告。请参阅《Firepower 管理中心配置指南，版本 6.4》中的“入侵事件剪贴板”。

保护外部警报

您可以配置 FMC 以在发生选定事件时，向外部服务器发出被称为警报响应的通知。虽然这些警报在监控系统活动时非常有用，但如果无法保证与外部服务器的连接，会带来安全风险。

FMC 支持以三种不同的形式发送警报响应：

无法保障发送到系统日志的警报响应。（FMC Web 界面的策略 > 操作 > 警报 > 创建警报 > 创建系统日志警报）；我们不建议将 FMC 配置为在强化的环境中发送此类警报。
如果您配置与邮件中继主机的连接以使用加密（TLS 或 SSLv3）并且要求提供用户名和密码，则可以保护 FMC 通过电子邮件发送到外部服务器的信息。通过 FMC Web 界面使用系统 > 配置 > 邮件中继主机执行此操作。有关详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“配置邮件中继主机和通知地址”。

一旦保障与邮件中继主机的连接，这将保护 FMC 使用以下功能传输的数据：
- 电子邮件警报响应，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“创建电子邮件警报响应”。（在 FMC Web 界面中使用策略 > 操作 > 警报 > 创建警报 > 创建电子邮件警报完成此配置。）
- 数据修剪通知，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“配置数据库事件限制”。（在 FMC Web 界面的系统 > 配置 > 数据库下完成此配置。）
可以在 FMC Web 界面的策略 > 操作 > 警报 > 创建警报 > 创建 SNMP 警报下使用以下选项保护发送到 SNMP 服务器的警报：
- 对版本使用 SNMP v3。此协议仅支持使用 AES128 和只读用户加密。
- 选择用于保护连接（MD5 或 SHA）安全并提供密码的身份验证协议。
- 为隐私协议选择 DES 并提供密码。
- 提供系统将用于对消息进行编码的引擎 ID。我们建议您使用十六进制版本的 FMC IP 地址。例如，如果 FMC 的 IP 地址为 10.1.1.77，请使用 0a01014D0。
此外，您应该限制访问列表，以便对 FMC 将向其发送 SNMP 警报的特定主机进行 SNMP 访问。（此选项显示在 FMC Web 界面的系统 > 配置 > 访问列表之下。请参阅《Firepower 管理中心配置指南，版本 6.4》中的“为系统配置访问列表”。）

FMC 还支持 SNMP 轮询。要保护此功能，请参阅“保护 SNMP 轮询”。

重要	虽然您可以从 Firepower 设置与 SNMP 或 SMTP 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

有关外部警报的完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4中的“带有警报响应的外部警报”。

保护审核日志

FMC 维护只读的用户活动日志，通过系统 > 配置 > 审核日志配置。为节省 FMC 上的内存资源，您可以将这些日志存储在外部（流式传输到系统日志或 HTTP 服务器）。但是，这样做会带来安全风险，除非您通过启用 TLS 并使用 TLS 证书建立相互身份验证来保护审核日志流式传输通道；有关详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“如何从 FMC 安全地流式传输审核日志”。

保护到 eStreamer 的连接

通过 Event Streamer (eStreamer)，您可以将几种事件数据从 FMC 传输到自定义开发的客户端应用。有关详细信息，请参阅您的版本的 Firepower eStreamer 集成指南。如果您的组织选择创建和使用 eStreamer 客户端，请采取以下预防措施：

使用行业最佳安全实践开发应用程序
配置 FMC 与 eStreamer 客户端之间的连接，以便数据传输安全。在 FMC Web 界面的系统 > 集成 > eStreamer > 创建客户端下方，提供密码以将保护与运行 eStreamer 客户端之主机的连接的证书文件加密，以完成此操作。请参阅《Firepower 管理中心配置指南，版本 6.4》中的“配置 eStreamer 客户端通信”。

阻止第三方访问数据库

确保第三方客户端应用程序没有 FMC 数据库的访问权限；在 FMC Web 界面的系统 > 配置 > 外部数据库访问下方，确保未选中允许外部数据库访问复选框。有关详细信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“外部数据库访问设置”。

自定义登录横幅

无论是否获得 FMC 的访问权限，用户都有可能看到系统登录页面。自定义登录横幅，使其仅显示适合所有人看到的信息。在 FMC Web 界面上，使用系统 > 配置 > 登录横幅。有关完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“登录横幅”。

保护到支持网络用户权威登录、意识和控制的服务器的连接

Firepower 身份策略使用身份源对网络用户进行身份验证，并收集用户数据以便提高用户意识和控制能力。要建立用户身份源，需要在 FMC 或受管设备与以下服务器类型之一之间建立连接：

Microsoft Active Directory
Linux Open LDAP
RADIUS

重要	尽管可以从 Firepower 设置到 LDAP、Microsoft AD 或 RADIUS 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

注	如果选择将 LDAP 或 Microsoft AD 用于外部身份验证，请查看强化外部用户帐户中的信息。

注	Firepower 使用这些服务器中的每一个来支持可能的用户身份功能的不同组合。有关完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“关于用户身份源”。

注	Firepower 还可以使用 RADIUS 服务器为您的网络提供 VPN 功能。有关完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“Firepower 威胁防御 VPN”。

使用 Active Directory 和 LDAP 服务器保护连接的安全：

被称为领域的 Firepower 对象描述与 Active Directory 或 LDAP 服务器上的域关联的连接设置。有关配置领域的完整信息，请参阅《Firepower 管理中心配置指南，版本 6.4》中的“创建和管理领域”。

当您创建领域（在 FMC web 界面的系统 > 集成 > 领域中）时，请记住以下几点，以确保与 AD 或 LDAP 服务器的连接安全：

对于与 Active Directory 服务器关联的领域：

为 AD 加入密码和目录密码选择强密码。
将目录添加到 Active Directory 领域时：
- 为加密模式选择 STARTTLS 或 LDAPS（不要选择无）。
- 指定用于对 Active Directory 域控制器进行身份验证的 SSL 证书。我们建议使用由全球知名且值得信赖的证书颁发机构生成的证书。

对于与 LDAP 服务器关联的领域：

为目录密码选择强密码。
将目录添加到 LDAP 领域时：
- 为加密模式选择 STARTTLS 或 LDAPS（不要选择无）。
- 指定用于对 LDAP 服务器进行身份验证的 SSL 证书。我们建议使用由全球知名且值得信赖的证书颁发机构生成的证书。

保护与 RADIUS 服务器的连接：

要配置与 RADIUS 服务器的连接，请创建 RADIUS 服务器组对象（在 FMC web 界面的对象 > 对象管理 > RADIUS 服务器组），然后将 RADIUS 服务器添加到组。要保护与 RADIUS 服务器的连接，请在新建 RADIUS 服务器对话框中选择以下选项：

提供密钥和确认密钥以加密受管设备与 RADIUS 服务器之间的数据。
为可以支持安全数据传输的连接指定一个接口。

强化支持组件

FMC 软件依赖于复杂的底层固件和操作系统软件。这些底层软件组件自带有必须解决的安全风险：

为网络建立操作安全流程，将安全问题考虑在内。
对于 FMC 型号 1000、1600、2000、2500、2600、4000、4500 和 4600，要强化作为 FMC 软件基础的硬件设备的组件，请参阅《思科 UCS 强化指南》。

思科 Firepower 管理中心 强化指南，版本 6.4

下载选项

非歧视性语言

当地语言翻译版本说明

《思科 Firepower 管理中心强化指南，版本 6.4》