配置管理访问
管理访问指能够登录到 威胁防御 设备进行配置和监控。您可以配置以下项目:
-
AAA 用于确定要用于用户访问身份验证的身份源。您可以使用本地用户数据库或外部 AAA 服务器。有关管理用户管理的详细信息,请参阅管理 设备管理器 和 威胁防御 用户访问。
-
针对管理接口和数据接口的访问控制。对于这些接口有单独的访问列表。您可以决定允许哪些 IP 地址访问 HTTPS(用于 设备管理器)和 SSH(用于 CLI)。请参阅配置管理访问列表。
-
管理 Web 服务器证书,用户必须接受它们才能连接到 设备管理器。通过上传网络浏览器已信任的证书,可以避免用户被要求信任未知的证书。请参阅配置 威胁防御 Web 服务器证书。
配置管理访问列表
默认情况下,您可以从任何 IP 地址的管理地址访问设备的 设备管理器 Web 或 CLI 界面。系统访问仅受用户名/密码的保护。但是,您可以配置访问列表以仅允许来自特定 IP 地址或子网的连接,以进一步加强保护。
您还可以开放数据接口以允许 设备管理器 或 SSH 连接至 CLI。然后,无需使用管理地址即可管理设备。例如,您可以允许对外部接口进行管理访问,这样就能远程配置设备。用户名/密码可防止不希望看到的连接。默认情况下,对数据接口的 HTTPS 管理访问会在内部接口上启用而在外部接口上禁用。对于具有默认“内部”网桥组的 Firepower 1010 这意味着可以 设备管理器 通过网桥组中的任意数据接口与网桥组 IP 地址建立连接(默认值为 192.168。95.1)建立 Firepower 设备管理器连接。您可以只在进入设备所通过的接口上开放管理连接。
小心 |
如果只允许访问特定地址,那么您可能很容易将自己锁定在系统之外。如果删除对当前所用 IP 地址的访问,并且没有“任何”地址条目,则在部署策略时将丢失对系统的访问。如果决定配置访问列表,必须非常小心。 |
开始之前
不能在同一接口上为同一 TCP 端口同时配置 设备管理器 访问(HTTPS 访问)和远程访问 SSL VPN。例如,如果在外部接口上配置远程访问 SSL VPN,则也无法在端口 443 上打开 HTTPS 连接的外部接口。如果在同一接口上配置这两个功能,请确保至少更改其中一项服务的 HTTPS 端口,以避免冲突。
过程
步骤 1 |
点击设备,然后点击 链接。 如果您已位于“系统设置”(System Settings) 页面,只需点击目录中的管理访问 (Management Access)。 您还可以在此页面上配置 AAA,允许外部 AAA 服务器中定义的用户进行管理访问。有关详细信息,请参阅管理 设备管理器 和 威胁防御 用户访问。 |
步骤 2 |
要为管理地址创建规则,请执行以下操作: |
步骤 3 |
要为数据接口创建规则,请执行以下操作: |
在数据接口上配置用于管理访问的 HTTPS 端口
默认情况下,出于管理目的进行的设备访问(对于 设备管理器 或 威胁防御 API)会通过端口 TCP/443 进行。您可以更改数据接口的管理访问端口。
如果更改端口,用户必须在 URL 中包含自定义端口才能访问系统。例如,如果数据接口是 ftd.example.com,并且您将端口更改为 4443,则用户必须将 URL 修改为 https://ftd.example.com:4443。
所有数据接口将使用同一端口。不得为每个接口配置不同的端口。
注 |
不得更改管理接口的管理访问端口。管理接口始终使用端口 443。 |
过程
步骤 1 |
点击设备,然后依次点击 链接。 如果您已位于“系统设置”(System Settings) 页面,只需点击目录中的管理访问 (Management Access)。 |
步骤 2 |
点击数据接口选项卡。 |
步骤 3 |
点击 HTTPS 数据端口号。 |
步骤 4 |
在“数据接口设置”对话框中,将 HTTPS 数据端口更改为要使用的端口。 不得指定以下端口号:
|
步骤 5 |
点击确定 (OK)。 |
配置 威胁防御 Web 服务器证书
当您登录到 Web 界面时,系统将使用数字证书来确保使用 HTTPS 的流量安全。默认证书不受您的浏览器信任,所以您会看到不受信任的颁发机构警告,并询问您是否要信任该证书。虽然用户可以将该证书保存到受信任的根证书存储区,但您也可以上传已配置为受浏览器信任的新证书。
过程
步骤 1 |
点击设备,然后依次点击 链接。 如果您已位于“系统设置”(System Settings) 页面,只需点击目录中的管理访问 (Management Access)。 |
步骤 2 |
点击管理 Web 服务器 (Management Web Server) 选项卡。 |
步骤 3 |
在 Web 服务器证书中,选择要用于保护 设备管理器HTTPS 连接的内部证书. 如果尚未上传或创建证书,请点击列表底部的新建内部证书 (Create New Internal Certificate) 链接立即创建。 默认值为预定义的 DefaultWebserverCertificate 对象。 |
步骤 4 |
如果证书不是自签名证书,请将完全信任链中的所有中间证书和根证书添加到受信任链列表。 您最多可以向链中添加 10 个证书。点击 + 添加各个中间证书,最后添加根证书。点击保存 (Save)(然后在警告您 Web 服务器将重启的对话框中点击继续 (Proceed))时,如果证书丢失,您将收到一条错误消息,其中包含链中缺少的下一个证书的通用名称。如果添加不在链中的证书,您也会收到错误消息。仔细检查消息,确定需要添加或删除的证书。 点击 + 后,点击创建新的受信任 CA 证书 (Create New Trusted CA Certificate),即可在此处上传证书。 |
步骤 5 |
点击保存 (Save)。 更改将立即应用,且系统会重新启动 Web 服务器。您无需部署配置。 请等待几分钟,在重启完成后,刷新浏览器。 |