《思科 Firepower Management Center Virtual 快速入门指南》

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

《思科 Firepower Management Center Virtual 快速入门指南》

Chapter Title

在 AWS 云上部署虚拟 Firepower 管理中心

Results

已更新:
2022年1月11日

Chapter: 在 AWS 云上部署虚拟 Firepower 管理中心

在 AWS 云上部署虚拟 Firepower 管理中心

Amazon 虚拟私有云 (Amazon VPC) 使您可以在自定义的虚拟网络中启动 Amazon Web 服务 (AWS) 资源。此虚拟网络非常类似于您可能在自有数据中心内运行的传统网络,并且具有使用 AWS 可扩展基础设施所带来的优势。

您可以在 AWS 云上部署虚拟 Firepower 管理中心 (FMCv)。

关于 FMCv 部署和 AWS

FMCv 需要 28 GB RAM 用于升级 (6.6.0+)

FMCv 平台在升级期间引入了新的内存检查。如果为虚拟设备分配的 RAM 少于 28 GB,FMCv 升级到 6.6.0+ 版本时将会失败。


重要

从版本 6.6.0 开始,基于云的 FMCv 部署(AWS、Azure)低内存实例类型已被完全弃用。您不能使用它们建新的 FMCv 实例,即使是早期 Firepower 版本也不例外。您可以继续运行现有实例。请参阅表 1

由于此内存检查,我们将无法在支持的平台上支持较低内存实例。

下表汇总了 FMCv 支持的 AWS 实例类型、版本 6.5.x 及更早版本支持的 AWS 实例类型,以及版本 6.6.0+ 支持的 AWS 实例类型。


Firepower 版本 6.6 加入了对下表中所示 C5 实例类型的支持。较大的实例类型可为 AWS 虚拟机提供更多 CPU 资源,从而提高性能,有些则提供更多网络接口。
表 1. 不同版本受 AWS 支持的实例FMCv

平台

版本 6.6.0+

版本 6.5.x 及更早版本*

FMCv

c3.4xlarge:16 个 vCPU,30 GB

c3.xlarge:4 个 vCPU,7.5 GB

c4.4xlarge:16 个 vCPU,30 GB

c3.2xlarge:8 个 vCPU,15 GB

c5.4xlarge:16 个 vCPU,32 GB

c4.xlarge:4 个 vCPU,7.5 GB

-

c4.2xlarge:8 个 vCPU,15 GB

*请注意,FMCv 自版本 6.6.0 发布后将不再支持这些实例类型。从版本 6.6.0 开始,您必须使用至少具有 28 GB RAM 的实例部署 FMCv(任何版本)。请参阅调整实例大小
表 2. FMCv 300 的 AWS 支持实例

平台

版本 7.1.0+

FMCv 300

c5.9xlarge:36 vCPUs,72 GB

SSD 存储:2000 GB

已弃用的实例

您可以继续运行您当前的版本 6.5.x 及更早版本的 FMCv 部署,但无法使用以下实例启动新的 FMCv 部署(任何版本):

  • c3.xlarge - 4 个 vCPU,7.5 GB(版本 6.6.0+ 之后为 FMCv 禁用)

  • c3.2xlarge - 8 个 vCPU,15 GB(版本 6.6.0+ 之后为 FMCv 禁用)

  • c4.xlarge - 4 个 vCPU,7.5 GB(版本 6.6.0+ 之后为 FMCv 禁用)

  • c4.2xlarge - 8 个 vCPU,15 GB(版本 6.6.0+ 之后为 FMCv 禁用)

调整实例大小

由于从任何早期版本的 FMCv(6.2.x、6.3.x、6.4.x 和 6.5.x)升级到版本 6.6.0 的升级路径包括 28 GB RAM 内存检查,因此需要将当前实例类型的大小调整为支持版本 6.6.0 的大小(请参阅表 1)。

如果当前实例类型与所需的新实例类型兼容,则可以调整实例的大小。对于 FMCv 部署:

  • 将任何 c3.xlarge 或 c3.2xlarge 的大小调整为 c3.4xlarge 实例类型。

  • 将任何 c4.xlarge 或 c4.2xlarge 的大小调整为 c4.4xlarge 实例类型。

在调整实例大小之前,请注意以下事项:

  • 您必须先停止实例,然后再更改实例类型。

  • 验证当前实例类型是否与您选择的新实例类型兼容。

  • 如果此实例具有实例存储卷,则停止该实例后,其上的所有数据都将丢失。在调整大小之前迁移实例存储支持的实例。

  • 如果不使用弹性 IP 地址,则在停止实例时会释放公共 IP 地址。

有关如何调整实例大小的说明,请参阅 AWS 文档《更改实例类型》(https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-resize.html)。

AWS 解决方案概述

AWS 是由 Amazon.com 提供并构成云计算平台的一系列远程计算服务(也称为 Web 服务)。这些服务遍布全球 11 个地区。一般情况下,您在部署 FMCv 时,应熟悉以下 AWS 服务:

  • Amazon 弹性计算云 (EC2) - 使您能够通过租用虚拟计算机,在 Amazon 数据中心启动和管理自己的应用和服务(例如防火墙)的 Web 服务。

  • Amazon 虚拟私有云 (VPC) - 使您能够配置 Amazon 公共云中的隔离专用网络的 Web 服务。您可以在 VPC 内运行自己的 EC2 实例。

  • Amazon 简单存储服务 (S3) - 提供数据存储基础设施的 Web 服务。

您可以在 AWS 上创建账户,设置 VPC 和 EC2 组件(使用 AWS 向导或手动配置), 并选择 Amazon 系统映像 (AMI) 实例。AMI 是一种模板,其中包含启动您的实例所需的软件配置。


AMI 映像在 AWS 环境之外不可下载。

AWS 部署准则和限制

支持的功能 (7.1.0+)

  • FMCv 300 for AWS - 新的可扩展 FMCv 映像可在支持管理多达 300 设备的 AWS 平台上使用,具有更高的磁盘容量。

  • 两种 FMCv 型号均支持 FMCv 高可用性:FMCvFMCv 300。

前提条件

在 AWS 上部署 FMCv 需满足以下前提条件:

  • 拥有 Amazon 账户。可以在 aws.amazon.com 创建一个账户。

  • 思科智能账户。可以在思科软件中心 (https://software.cisco.com/) 创建一个账户。

  • 许可 FMCv。有关虚拟平台许可证的一般准则,请参阅Firepower 管理中心虚拟许可证;有关如何管理许可证的更多详细信息,请参阅《Firepower 管理中心配置指南》中的“Firepower 系统许可”。

  • FMCv 接口要求:

    • 管理接口。

  • 通信路径:

    • 通过公共/弹性 IP 地址访问 FMCv

  • 有关 FMCv 与 Firepower 系统的兼容性,请参阅 Cisco Firepower 兼容性指南

准则

在 AWS 上部署 FMCv 适用以下准则:

  • 在虚拟私有云 (VPC) 中部署

  • 增强型联网 (SR-IOV)(若可用)

  • 从 Amazon Marketplace 部署

  • 每个实例最多四个 vCPU

  • 第 3 层网络的用户部署

限制

在 AWS 上部署 FMCv 具有以下限制:

  • 思科虚拟 Firepower 管理中心设备没有序列号。系统 (System) > 配置 (Configuration)页面将会显示无 (None)未指定 (Not Specified),具体取决于虚拟平台。

  • 通过 CLI 或 Firepower 管理中心完成的任何 IP 地址配置必须与 AWS 控制台中创建的内容一致;在部署期间应注意配置。

  • 目前不支持 IPv6。

  • 在启动后无法添加接口。

  • 目前不支持克隆/快照。

配置 AWS 环境

要在 AWS 上部署 FMCv,需要根据部署的特定要求和设置来配置 Amazon VPC。在大多数情况下,设置向导将引导您完成设置过程。AWS 提供在线文档,其中您可以找到与服务(从简介到高级功能)相关的有用信息。有关详细信息,请参阅 AWS 入门

为更好地控制 AWS 设置,以下部分提供有关在启动 FMCv 之前如何配置 VPC 和 EC2 的指南:

创建 VPC

虚拟私有云 (VPC) 是 AWS 账户专用的虚拟网络。该网络逻辑上与 AWS 云中的其他虚拟网络相隔离。您可以在自己的 VPC 中启动 AWS 资源,例如虚拟 Firepower 管理中心实例。您可以配置 VPC,选择其 IP 地址范围,创建子网,并配置路由表、网络网关和安全设置。

开始之前

  • 创建 AWS 账户。

  • 确认存在适用于虚拟 Firepower 管理中心实例的 AMI。

过程

步骤 1

登录到 aws.amazon.com,选择您所在的区域。

AWS 划分为彼此隔离的多个区域。区域显示在屏幕的右上角。一个区域中的资源不会出现在另一个区域中。请定期检查以确保您在预期的区域内。
步骤 2

单击服务 (Services) > VPC
步骤 3

单击VPC 控制面板 (VPC Dashboard) > 您的 VPC (Your VPCs)
步骤 4

单击创建 VPC (Create VPC)
步骤 5

创建 VPC对话框中输入以下信息:

  1. 用于标识 VPC 的用户自定义名称标签

  2. IP 地址 CIDR 块。CIDR(无类别域间路由) 是 IP 地址及其关联路由前缀的紧凑表示。例如,10.0.0.0/24。

  3. 默认的租户设置,以确保在此 VPC 中启动的实例启动时使用指定的租户属性。

步骤 6

单击是,创建 (Yes, Create) 以创建 VPC。

下一步做什么

添加互联网网关到 VPC 中,详见下一部分。

添加互联网网关

您可以添加互联网网关以控制 VPC 与互联网的连接。您可以将 VPC 之外的 IP 地址流量路由至互联网网关。

开始之前

  • FMCv实例创建 VPC。

过程

步骤 1

单击服务 (Services) > VPC
步骤 2

单击VPC 控制面板 (VPC Dashboard) > 互联网网关 (Internet Gateways),然后单击创建互联网网关 (Create Internet Gateway)
步骤 3

输入用户自定义的名称标签以标识网关,然后单击“是,创建”(Yes, Create) 以创建网关。

步骤 4

选择上一步中创建的网关。

步骤 5

单击连接到 VPC (Attach to VPC) 并选择之前创建的 VPC。

步骤 6

单击是,连接 (Yes, Attach),以将网关连接到 VPC。

默认情况下,在创建网关并将其连接到 VPC 之前,在 VPC 上启动的实例无法与互联网通信。

下一步做什么

添加子网到 VPC 中,详见下一部分。

添加子网

您可以将虚拟 Firepower 管理中心可连接的 VPC 分割为多个 IP 地址范围。您可以根据安全和运营需要创建子网,以实现实例的分组。对于虚拟 Firepower 协议防御,您需要创建一个管理子网和一个流量子网。

过程

步骤 1

单击服务 (Services) > VPC
步骤 2

单击VPC 控制面板 (VPC Dashboard) > 子网 (Subnets),然后单击创建子网 (Create Subnet)
步骤 3

创建子网对话框中输入以下信息:

  1. 用于标识子网的用户自定义名称标签

  2. 子网所在的 VPC

  3. 此子网将驻留的可用区域。选择“无首选项”(No Preference),由 Amazon 来选择区域。

  4. IP 地址 CIDR 块。子网 IP 地址范围必须为 VPC 的 IP 地址范围的子集。地址块大小必须介于网络掩码 /16 和 /28 之间。子网大小可以与 VPC 相等。

步骤 4

单击是,创建 (Yes, Create) 以创建子网。

步骤 5

如需多个子网,重复以上步骤。为管理流量创建单独的子网,根据需要为数据流量创建多个子网。

下一步做什么

添加路由表到 VPC 中,详见下一部分。

添加路由表

您可以将路由表连接到为 VPC 配置的网关。您还可以关联多个子网与单个路由表,但子网一次只可以关联一个路由表。

过程

步骤 1

单击服务 (Services) > VPC
步骤 2

单击VPC 控制面板 (VPC Dashboard) > 路由表 (Route Tables),然后单击创建路由表 (Create Route Table)
步骤 3

输入用于标识路由表的用户自定义名称标签
步骤 4

从下拉列表中选择将使用此路由表的 VPC
步骤 5

单击是,创建 (Yes, Create)以创建路由表。

步骤 6

选择刚创建的路由表。

步骤 7

单击路由 (Routes) 选项卡,以在详细信息窗格中显示路由信息。

步骤 8

单击编辑 (Edit),然后单击添加其他路由 (Add another route)

  1. 目的地址列中,输入0.0.0.0/0

  2. 目标 (Target) 列中,选择上面创建的互联网网关。

步骤 9

单击保存 (Save)
步骤 10

单击子网关联 (Subnet Associations) 选项卡,然后单击编辑 (Edit)
步骤 11

选中要用于 FMCv 管理接口的子网对应的复选框,然后单击保存 (Save)

下一步做什么

创建安全组,详见下一部分。

创建安全组

您可以创建安全组,并在安全组中通过规则指定允许的协议、端口和源 IP 地址范围。可以创建具有不同规则的多个安全组;可以将这些规则分配给每个实例。如果您不熟悉此功能,可参阅 AWS 提供的安全组相关的详细文档。

过程

步骤 1

单击服务 (Services) > EC2
步骤 2

单击 EC2 控制面板 > 安全组
步骤 3

单击创建安全组
步骤 4

创建安全组对话框中输入以下信息:

  1. 用于标识安全组的用户自定义安全组名称

  2. 此安全组的说明

  3. 与此安全组关联的 VPC
步骤 5

配置安全组规则

  1. 单击入站 (Inbound) 选项卡,然后单击添加规则 (Add Rule)

     

    如需从 AWS 外部管理 FMCv,则需要 HTTPS 和 SSH 访问权限。您应指定相应的源 IP 地址。此外,如果在 AWS VPC 内同时配置 FMCv 和 FTDv,应允许专用 IP 管理子网访问权限。

  2. 单击出站 (Outbound) 选项卡,然后单击添加规则 (Add Rule) 以添加出站流量规则,或保留所有流量 (All traffic)(作为类型 (Type))和任意位置 (Anywhere)(作为目标 (Destination)) 的默认设置。

步骤 6

单击创建以创建安全组。

下一步做什么

创建网络接口,详见下一部分。

创建网络接口

您可以使用静态 IP 地址为 FMCv 创建网络接口。根据具体部署需要,创建网络接口(外部和内部)。

过程

步骤 1

单击服务 (Services) > EC2
步骤 2

单击 EC2 控制面板 (EC2 Dashboard) > 网络接口 (Network Interfaces)
步骤 3

单击创建网络接口 (Yes, Create)
步骤 4

创建网络接口对话框中输入以下信息:

  1. 网络接口的用户自定义说明(可选)。

  2. 从下拉列表中选择子网 (Subnet)。确保选择要创建 Firepower 实例所在 VPC 的子网。

  3. 输入专用 IP 地址。建议使用静态 IP 地址,而不是选择自动分配 (auto-assign)

  4. 选择一个或多个安全组。确保安全组已打开所有必需的端口。

步骤 5

单击是,创建 (Yes, Create) 以创建网络接口。

步骤 6

选择刚创建的网络接口。

步骤 7

右键单击并选择更改源/目的地址检查
步骤 8

选择禁用 (Disabled),然后单击保存 (Save)

对于创建的任何网络接口,都要重复此操作。

下一步做什么

创建弹性 IP 地址,详见下一部分。

创建弹性 IP 地址

创建实例时,实例会关联一个公共 IP 地址。停止和启动实例时,该公共 IP 地址会自动更改。要解决此问题,可使用弹性 IP 地址为实例分配一个永久性的公共 IP 地址。弹性 IP 地址是用于远程访问 FMCv 及其他实例的保留公共 IP 地址。如果您不熟悉此功能,可参阅 AWS 提供的弹性 IP 相关的详细文档。


至少需要为 FMCv 创建一个弹性 IP 地址,为虚拟 Firepower 威胁防御的管理和诊断接口创建两个弹性 IP 地址。

过程

步骤 1

单击服务 (Services) > EC2
步骤 2

单击 EC2 控制面板 (EC2 Dashboard) > 弹性 IP (Elastic IPs)
步骤 3

单击分配新地址 (Allocate New Address)

根据弹性/公共 IP 地址分配需要,重复此步骤。

步骤 4

单击是,分配 (Yes, Allocate) 以创建弹性 IP 地址。

步骤 5

根据部署需要,重复上述步骤以创建其他弹性 IP 地址。

下一步做什么

部署 FMCv,详见下一部分。

部署虚拟 Firepower 管理中心实例

开始之前

  • 配置 AWS VPC 和 EC2 要素,详见配置 AWS 环境

  • 确认可供 FMCv 实例使用的 AMI。


除非您在初始部署期间使用用户数据(高级详细信息 (Advanced Details) > 用户数据 (User Data))来定义默认密码,否则默认管理员密码为 AWS 实例 ID。

过程

步骤 1

前往 https://aws.amazon.com/marketplace(Amazon Marketplace) 并登录。

步骤 2

登录到 Amazon Marketplace 后,单击为虚拟 Firepower 管理中心提供的链接。

 

如果之前已登录 AWS,您可能需要注销并重新登录,以确保链接有效。
步骤 3

单击继续 (Continue),然后单击手动启动 (Manual Launch) 选项卡。

步骤 4

单击接受条款 (Accept Terms)
步骤 5

在期望的区域单击使用 EC2 控制台启动 (Launch with EC2 Console)
步骤 6

选择虚拟 Firepower 管理中心支持的实例类型;有关支持的实例类型,请参阅关于 AWS 云上的部署
步骤 7

单击屏幕底部的下一步:配置实例详细信息 (Next: Configure Instance Details) 按钮:

  1. 更改网络,以匹配先前创建的 VPC。

  2. 更改子网,以匹配先前创建的管理子网。您可以指定 IP 地址或使用自动生成。

  3. 高级详细信息 (Advanced Details) > 用户数据 (User Data),添加默认的登录信息。

    修改以下示例,以满足设备名称和密码要求。

    示例配置:

    
#FMC
{
"AdminPassword": "<enter_your_password>",
"Hostname": "<Hostname-vFMC>"
}
    小心 

    高级详细信息字段输入数据时,请使用纯文本。如果从文本编辑器复制此信息,请确保仅以纯文本形式复制。如果将任何 Unicode 数据(包括空格)复制到高级详细信息字段,可能会造成实例损坏,然后您必须终止此实例并重新创建实例。

    在 7.0 及更高版本中,除非您在初始部署期间使用用户数据(高级详细信息 (Advanced Details) > 用户数据 (User Data))来定义默认密码,否则默认管理员密码为 AWS 实例 ID。

    在早期版本中,默认管理员密码为 Admin123
步骤 8

单击下一步:添加存储 (Next: Add Storage),以配置存储设备设置。

编辑根卷设置,使得卷大小 (GiB) 为 250 GiB。不支持卷大小低于 250 GiB,否则会限制事件存储。
步骤 9

单击下一步:标记实例 (Next: Tag Instance)

标签由区分大小写的键值对组成。例如,您可以按照“Key = 名称”和“Value = 管理”的格式定义标签。

步骤 10

选择下一步:配置安全组 (Next: Configure Security Group)
步骤 11

单击选择现有安全组 (Select an existing Security Group) 并选择先前配置的安全组,或创建新的安全组;有关创建安全组的详细信息,请参阅 AWS 文档。

步骤 12

单击检查和启动 (Review and Launch)
步骤 13

单击启动 (Launch)
步骤 14

选择现有的密钥对或创建新的密钥对。

 

您可以选择现有的密钥对或者创建新的密钥对。密钥对由 AWS 存储的一个公共密钥和用户存储的一个专用密钥文件组成。两者共同确保安全连接到实例。请务必将密钥对保存到已知位置,以备连接到实例之需。
步骤 15

单击启动实例 (Launch Instances)
步骤 16

单击 EC2 控制面板 (EC2 Dashboard) > 弹性 IP (Elastic IPs),找到之前分配的 IP 地址,或分配一个新地址。

步骤 17

选择弹性 IP 地址,右键单击并选择关联地址 (Associate Address)

找到要选择的实例或网络接口,然后单击“关联”(Associate)。

步骤 18

单击 EC2 控制面板 (EC2 Dashboard) > 实例 (Instances)
步骤 19

几分钟后,FMCv 实例状态将显示为"运行",状态检查中"2/2 检查"将显示为通过。但是,部署和初始设置过程大约需要花费 30 到 40 分钟。要查看实例状态,右键单击此实例,然后选择实例设置 (Settings) > 获取实例屏幕截图 (Get Instance Screenshot)

设置完成后(大约 30 到 40 分钟后),实例屏幕截图应显示一条类似于“Cisco Firepower Management Center for AWS vW.X.Y (build ZZ)”的消息,后面可能跟着一些其他的输出行。

然后您应该能够通过 SSH 或 HTTPS 登录到新创建的 FMCv。实际部署时间可能有所差异,具体取决于您所在地区的 AWS 负载。

您可以通过 SSH 访问 FMCv


ssh -i <key_pair>.pem admin@<Public_Elastic_IP>

SSH 身份验证由密钥对处理。不需要密码。如果系统提示您输入密码,则表明设置仍在运行。

您还可以通过 HTTPS 访问 FMCv


https//<Public_Elastic_IP>
 

如果看到“系统启动进程仍在运行”消息,则表明设置尚未完成。

如果未得到 SSH 或 HTTPS 响应,请检查以下项目:

  • 确保部署已完成。FMCv VM 实例屏幕截图应显示一条类似于“适CiscoFirepower Management Center for AWS vW.X.Y (build ZZ)”的消息,后面可能跟着一些其他的输出行。

  • 确保拥有弹性 IP 地址,已将该地址关联 Firepower 管理中心的管理网络接口 (eni),并且正连接到该 IP 地址。

  • 确保 VPC 已关联互联网网关 (igw)。

  • 确保管理子网已关联路由表。

  • 确保管理子网关联的路由表具有指向互联网网关 (igw) 的路由(目的地址为“0.0.0.0/0”)。

  • 确保安全组允许传入连接所用 IP 地址产生的 SSH 和/或 HTTPS 流量。

下一步做什么

配置策略和设备设置

安装虚拟 Firepower 威胁防御并将设备添加到管理中心后,您可以使用 Firepower 管理中心用户界面为 AWS 上运行的虚拟 Firepower 威胁防御配置设备管理设置,还可以使用该界面配置并应用访问控制策略和其他相关策略,以利用虚拟 Firepower 威胁防御设备管理流量。安全策略可控制虚拟 Firepower 威胁防御提供的服务(例如下一代 IPS 过滤和应用过滤)。您可以通过 Firepower 管理中心在虚拟 Firepower 威胁防御上配置安全策略。有关如何配置安全策略的详细信息,请参阅《Firepower 配置指南》或 Firepower 管理中心中的在线帮助。

此文档是否有帮助?

Feedback反馈

联系我们