使用远程管理中心部署威胁防御

本章对您适用吗？

要查看所有可用的操作系统和管理器，请参阅哪种操作系统和管理器适合您？。本章适用于在中央总部使用管理中心的远程分支机构的威胁防御。

每个威胁防御会控制、检查、监控和分析流量，然后向管理管理中心报告。管理中心通过一个 Web 界面提供集中管理控制台，可在运行中用来执行管理、分析和报告任务，以保护您的本地网络。

中央总部的管理员在 CLI 上或使用设备管理器预配置威胁防御，然后将威胁防御发送到远程分支机构。
分支机构管理员连接并打开威胁防御电源。
中央管理员使用管理中心完成威胁防御的配置。

注	远程分支机构部署要求使用 6.7 或更高版本。

关于防火墙

硬件可以运行威胁防御软件或 ASA 软件。在威胁防御和 ASA 之间切换需要您对设备进行重新映像。如果您需要不同于当前安装的软件版本，则还应重新映像。请参阅重新映像思科 ASA 或 Firepower 威胁防御设备。

防火墙会运行被称为 Secure Firewall eXtensible 操作系统 (FXOS) 的底层操作系统。防火墙不支持 FXOS Cisco Secure Firewall 机箱管理器；出于故障排除目的，仅支持受限的 CLI。有关详细信息，请参阅适用于具备 Firepower 威胁防御的 Firepower 1000/2100 和 Cisco Secure Firewall 3100 的思科 FXOS 故障排除指南。

隐私收集声明 - 防火墙不要求或主动收集个人身份信息。但是，您可以在配置中使用个人身份信息，例如用户名。在这种情况下，管理员在执行配置或使用 SNMP 时可能会看到此信息。

开始之前

部署并执行管理中心的初始配置。请参阅《思科 Firepower 管理中心 1600、2600 和 4600 硬件安装指南》或Cisco Secure Firewall Management Center Virtual 快速入门指南。

端到端程序

请参阅以下任务以在机箱上部署威胁防御和管理中心。


	CLI 或设备管理器（中央管理员）	（可选）检查软件并安装新版本使用 CLI 进行预配置。使用设备管理器进行预配置
	物理设置（分支机构管理员）	安装防火墙。请参阅硬件安装指南。
	物理设置（分支机构管理员）	连接防火墙的电缆。
	物理设置（分支机构管理员）	打开防火墙电源
	管理中心（中央管理员）	登录管理中心。
	Cisco Commerce Workspace （中央管理员）	购买基本许可证和可选功能许可证 (获取管理中心的许可证)。
	智能软件管理器（中央管理员）	为管理中心 (获取管理中心的许可证) 生成许可证令牌。
	管理中心（中央管理员）	向智能许可证服务器 (获取管理中心的许可证) 注册管理中心。
	管理中心（中央管理员）	向管理中心注册威胁防御。
	管理中心（中央管理员）	配置基本安全策略。

远程管理的工作原理

要允许管理中心通过互联网管理威胁防御，请使用外部接口而不是管理接口进行管理中心管理。由于大多数远程分支机构都只有一个互联网连接，因此外部管理中心访问让集中管理成为了可能。

注	管理连接是信道自身与设备之间的 SSL 加密的安全通信信道。出于安全考虑，您无需通过额外的加密隧道（例如站点到站点 VPN）来运行此流量。例如，如果 VPN 发生故障，您将失去管理连接，因此建议使用简单的管理路径。

注	您可以将任何数据接口用于管理器访问，例如，如果您有内部管理中心，则使用内部接口。但是，本指南主要介绍外部接口访问，因为它是远程分支机构最可能遇到的场景。

管理接口是一个与威胁防御数据接口分开配置的特殊接口，它有自己的网络设置。即使您在数据接口上启用了管理器访问，也仍会使用管理接口网络设置。所有管理流量会继续源自或发往管理接口。如果在数据接口上启用了管理器访问，威胁防御会将传入管理流量通过背板转发到管理接口。对于传出管理流量，管理接口会通过背板将流量转发到数据接口。

从数据接口进行管理器访问具有以下限制：

只能在物理数据接口上启用管理器访问。不能使用子接口或 EtherChannel。您还可以使用管理中心在单个辅助接口上启用管理器访问，以实现冗余。
此接口不能是仅管理接口。
仅路由防火墙模式，使用路由接口。
不支持 PPPoE。如果您的 ISP 需要 PPPoE，则必须在威胁防御与 WAN 调制解调器之间放入支持 PPPoE 的路由器。
接口只能位于全局 VRF 中。
默认不对数据接口启用 SSH，因此必须稍后使用管理中心来启用 SSH。由于管理接口网关将更改为数据接口，因此您也无法启动从远程网络到管理接口的 SSH 会话，除非您使用 configure network static-routes 命令为管理接口添加静态路由。
您不能使用单独的管理接口和仅事件接口。
不支持集群技术。在这种情况下，必须使用管理接口。
不支持高可用性。在这种情况下，必须使用管理接口。

下图显示了位于中央总部的管理中心和在外部接口上具有管理器访问权限的威胁防御。

威胁防御或管理中心需要公共 IP 地址或主机名以允许入站管理连接；您需要知道该 IP 地址以进行初始设置。您还可以选择为外部接口配置动态 DNS (DDNS)，以适应不断变化的 DHCP IP 分配。

中央管理员预配置

您需要先手动预配置威胁防御，然后再将其发送到分支机构。

（可选）检查软件并安装新版本

要检查软件版本并在必要时安装不同的版本，请执行以下步骤。我们建议您在配置防火墙之前安装目标版本。或者，您也可以在启动并运行后执行升级，但升级（保留配置）可能需要比按照此程序花费更长的时间。

我应该运行什么版本？

思科建议运行软件下载页面上的版本号旁边标有金色星号的 Gold Star 版本。您还可以参考 https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html 中所述的发布策略；例如，此公告描述短期版本编号（包含最新功能）、长期版本编号（较长时间的维护版本和补丁）或额外长期版本编号（最长期限的维护版本和补丁，用于政府认证）。

过程

步骤 1

连接到控制台端口。有关详细信息，请参阅访问威胁防御和FXOS CLI。

使用用户名 admin 和默认密码 Admin123 登录。

您连接到 FXOS CLI。第一次输入登录时，系统会提示您更改密码。此密码也用于 SSH 的威胁防御登录。

注	如果密码已更改，但您不知道，则必须执行出厂重置以将密码重置为默认值。有关出厂重置程序的信息，请参阅 FXOS 故障排除指南。

示例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

步骤 2

在 FXOS CLI 中，显示正在运行的版本。

scope ssa

show app-instance

示例:


Firepower# scope ssa
Firepower /ssa # show app-instance

Application Name     Slot ID    Admin State     Operational State    Running Version Startup Version Cluster Oper State
-------------------- ---------- --------------- -------------------- --------------- --------------- ------------------
ftd                  1          Enabled         Online               7.2.0.65        7.2.0.65        Not Applicable

步骤 3

如果要安装新版本，请执行这些步骤。

如果要为管理接口设置静态 IP 地址，请参阅使用 CLI 进行预配置。默认情况下，管理接口将使用 DHCP。

您需要从可通过管理接口访问的服务器下载新的映像。
执行《FXOS 故障排除指南》中的重新映像程序。

使用设备管理器进行预配置

连接到设备管理器以执行威胁防御的初始设置。当您使用设备管理器执行初始设置时，如果您切换到管理中心进行管理，除管理接口和管理器访问设置外，在设备管理器中完成的所有接口配置都将保留。请注意，不会保留其他默认配置设置，例如访问控制策略或安全区。使用 CLI 时，只有管理接口和管理器访问设置会被保留（例如，不保留默认的内部接口配置）。

开始之前

部署并执行管理中心的初始配置。请参阅《思科 Firepower 管理中心 1600、2600 和 4600 硬件安装指南》。在设置威胁防御之前，您需要知道管理中心 IP 地址或主机名。
使用 Firefox、Chrome、Safari、Edge 或 Internet Explorer 的当前版本。

过程

步骤 1

将管理计算机连接到内部（以太网 1/2）接口。

步骤 2

打开防火墙电源。

注	首次启动威胁防御时，初始化大约需要 15 到 30 分钟。

步骤 3

登录设备管理器。

在浏览器中输入以下 URL：https://192.168.95.1
使用用户名 admin 和默认密码 Admin123 登录。
系统会提示您阅读和接受“最终用户许可协议”并更改管理员密码。

步骤 4

首次登录设备管理器以完成初始配置时，请使用设置向导。您可以选择通过点击页面底部的跳过设备设置 (Skip device setup) 来跳过安装向导。

完成安装向导后，除了内部接口 (Ethernet1/2)的默认配置外，您还将拥有外部（以太网 1/1）接口的配置，该接口会在您切换到管理中心管理接口时进行维护。

为外部接口和管理接口配置以下选项，然后点击下一步 (Next)。
1. 外部接口地址 (Outside Interface Address) - 此接口通常是互联网网关，并且可用作管理器访问接口。在初始设备设置期间，您不能选择其他外部接口。第一个数据接口是默认的外部接口。
  
  如果要使用与外部（或内部）不同的接口来进行管理器访问，则必须在完成安装向导后手动配置该接口。
  
  配置 IPv4 - 外部接口的 IPv4 地址。可以使用 DHCP，也可以手动输入静态 IP 地址、子网掩码和网关。另外，也可以选择关，不配置 IPv4 地址。您无法使用安装向导配置 PPPoE。如果接口连接到 DSL、电缆调制解调器或 ISP 的其他连接，并且 ISP 使用 PPPoE 来提供 IP 地址，则可能需要使用 PPPoE。您可以在完成向导后配置 PPPoE。
  
  配置 Ipv6 - 外部接口的 Ipv6 地址可以使用 DHCP，也可以手动输入静态 IP 地址、前缀和网关。另外，也可以选择关，不配置 IPv6 地址。
2. 管理接口
  
  如果在 CLI 中执行了初始设置，您将不会看到管理接口设置。
  
  即使您在数据接口上启用了管理器访问，也仍会使用管理接口设置。例如，通过数据接口在背板上路由的管理流量将使用管理接口 DNS 服务器解析 FQDN，而非使用数据接口 DNS 服务器。
  
  DNS 服务器 - 系统管理地址的 DNS 服务器。输入 DNS 服务器的一个或多个地址以解析名称。默认值为 OpenDNS 公共 DNS 服务器。如果您编辑字段并想要恢复默认值，请点击使用 OpenDNS (Use OpenDNS) 以重新将合适的 IP 地址载入字段。
  
  防火墙主机名 (Firewall Hostname) - 系统管理地址的主机名。
配置时间设置 (NTP) (Time Setting [NTP]) 并点击下一步 (Next)。
1. 时区 - 选择系统时区。
2. NTP 时间服务器 - 选择使用默认 NTP 服务器，还是手动输入 NTP 服务器的地址。可以添加多个服务器来提供备份。
选择启动 90 日评估期而不注册。

不要向智能软件管理器注册威胁防御；所有许可均在管理中心上执行。
点击完成。
系统将提示您选择云管理 (Cloud Management) 或独立 (Standalone)。对于管理中心管理，请选择独立 (Standalone)，然后选择知道了 (Got It)。

步骤 5

（可能需要）配置管理接口。请参阅设备 > 接口上的管理接口。

管理接口必须将网关设置为数据接口。默认情况下，管理接口从 DHCP 接收 IP 地址和网关。如果您没有从 DHCP 接收到网关（例如，您没有将此接口连接到网络），则网关将默认为数据接口，并且您无需进行任何配置。如果您从 DHCP 接收到了网关，则需要使用静态 IP 地址配置此接口，并将该网关设置为数据接口。

步骤 6

如果要配置其他接口，包括要用于管理器访问的外部或内部接口，请选择设备 (Device)，然后点击接口 (Interfaces) 摘要中的链接。

有关在设备管理器中配置接口的更多信息，请参阅在设备管理器中配置防火墙。在向管理中心注册设备时，不会保留其他设备管理器配置。

步骤 7

选择设备 > 系统设置 > 集中管理，然后点击继续设置管理中心管理。

步骤 8

配置管理中心/CDO 详细信息。

对于是否知道管理中心/CDO 主机名或 IP 地址，如果您可以使用 IP 地址或主机名访问管理中心，请点击是，如果管理中心位于 NAT 之后或没有公共 IP 地址或主机名，请点击否。

必须至少有一个设备（管理中心或威胁防御设备）具有可访问的 IP 地址，才能在两个设备之间建立双向 SSL 加密的通信通道。
如果您选择是，则输入管理中心/CDO 主机名/IP 地址。
指定管理中心/CDO 注册密钥。

此密钥是您选择的一次性注册密钥，注册威胁防御设备时也要在管理中心上指定它。注册密钥不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。此 ID 可用于将多台设备注册到管理中心。
指定 NAT ID。

此 ID 是您选择的唯一一次性字符串，您还需要在管理中心上指定它。如果仅在其中一台设备上指定 IP 地址，则此字段必填；但建议您即使在知道两台设备的 IP 地址时，仍指定 NAT ID。NAT ID 不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。此 ID 不能用于将任何其他设备注册到管理中心。NAT ID 与 IP 地址结合使用，用于验证连接是否来自正确的设备；只有在对 IP 地址/NAT ID 进行身份验证后，才会检查注册密钥。

步骤 9

配置连接配置。

指定 FTD 主机名。

此 FQDN 将用于外部接口，或您为管理中心/CDO 访问接口 (Management Center/CDO Access Interface) 选择的任何接口。
指定 DNS 服务器组。

选择现有组或创建一个新组。默认 DNS 组名为 CiscoUmbrellaDNSServerGroup，其中包括 OpenDNS 服务器。

此设置设定数据接口 DNS 服务器。您使用安装向导设置的管理 DNS 服务器用于管理流量。数据 DNS 服务器用于 DDNS（如果已配置）或适用于此接口的安全策略。您可能会选择用于管理的相同 DNS 服务器组，因为管理和数据流量都通过外部接口到达 DNS 服务器。

在管理中心上，数据接口 DNS 服务器在您分配给此威胁防御的平台设置策略中配置。当您将威胁防御添加到管理中心时，本地设置将保留，并且 DNS 服务器不会添加到平台设置策略。但是，如果稍后将平台设置策略分配给包含 DNS 配置的威胁防御，则该配置将覆盖本地设置。我们建议您主动配置与此设置匹配的 DNS 平台设置，以使管理中心和威胁防御同步。

此外，仅当在初始注册时发现 DNS 服务器，管理中心才会保留本地 DNS 服务器。
对于管理中心/CDO 访问接口 (Management Center/CDO Access Interface)，请选择外部 (outside)。

您可以选择任何已配置的接口，但本指南假定您使用的是外部接口。

步骤 10

如果您选择了外部之外的其他数据接口，那么请添加默认路由。

您将看到一条消息，要求您检查是否有通过接口的默认路由。如果您选择了外部接口，那么您已经在安装向导中配置了此路由。如果您选择了其他接口，那么需要在连接到管理中心之前手动配置默认路由。有关在设备管理器中配置静态路由的更多信息，请参阅在设备管理器中配置防火墙。

步骤 11

点击添加动态 DNS (DDNS) 方法 (Add a Dynamic DNS [DDNS] method)。

如果威胁防御的 IP 地址发生变化，DDNS 可确保管理中心接通完全限定域名 (FQDN) 内的威胁防御。参阅设备 > 系统设置 > DDNS 服务配置动态 DNS。

如果您在将威胁防御添加到管理中心之前配置 DDNS，则威胁防御会自动为思科受信任根 CA 捆绑包中的所有主要 CA 添加证书，以便威胁防御可以验证用于 HTTPS 连接的 DDNS 服务器证书。威胁防御支持使用 DynDNS 远程 API 规范 (https://help.dyn.com/remote-access-api/) 的任何 DDNS 服务器。

步骤 12

点击连接 (Connect)。注册状态对话框显示切换到管理中心的当前状态。在保存管理中心/CDO 注册设置步骤后，转到管理中心，并添加防火墙。

如果要取消切换到管理中心，请点击取消注册。否则，请在保存管理中心/CDO 注册设置步骤之后关闭设备管理器浏览器窗口。如果这样做，该过程将暂停，并且只有在您重新连接到设备管理器时才会恢复。

如果您在保存管理中心/CDO 注册设置步骤后保持连接到设备管理器，您最终将看到与管理中心的成功连接或 CDO 对话框。您将断开与设备管理器的连接。

使用 CLI 进行预配置

连接到威胁防御 CLI 以执行初始设置。使用 CLI 进行初始配置时，只有管理接口和管理器访问接口设置会被保留。当您使用设备管理器执行初始设置时，如果您切换到管理中心进行管理，除管理接口和管理器访问接口设置外，在设备管理器中完成的所有接口配置都将保留。请注意，不会保留其他默认配置设置，例如访问控制策略。

Before you begin

部署并执行管理中心的初始配置。请参阅《思科 Firepower 管理中心 1600、2600 和 4600 硬件安装指南》。在设置威胁防御之前，您需要知道管理中心 IP 地址或主机名。

Procedure

Step 1

打开防火墙电源。

Note

首次启动威胁防御时，初始化大约需要 15 到 30 分钟。

Step 2

连接到控制台端口上的威胁防御 CLI。

控制台端口连接到 FXOS CLI。

Step 3

使用用户名 admin 和密码 Admin123 登录。

第一次登录 FXOS 时，系统会提示您更改密码。此密码也用于 SSH 的威胁防御登录。

Note

如果密码已更改，但您不知道，则必须重新映像设备以将密码重置为默认值。有关重新映像程序的信息，请参阅 FXOS 故障排除指南。

Example:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

Step 4

连接到威胁防御 CLI。

connect ftd

Example:


firepower# connect ftd
>

Step 5

第一次登录威胁防御时，系统会提示您接受《最终用户许可协议》(EULA)和，如果使用 SSH 连接，则会提示您更改 admin 密码。然后，您将看到管理接口设置的 CLI 设置脚本。

即使您在数据接口上启用了管理器访问，也仍会使用管理接口设置。

Note

除非清除配置，否则无法重复 CLI 安装向导（例如，通过重新建立映像）。但是，可以稍后在 CLI 中使用 configure network 命令更改所有这些设置。请参阅 Cisco Secure Firewall Threat Defense 命令参考。

默认值或以前输入的值会显示在括号中。要接受之前输入的值，请按 Enter 键。

请参阅以下准则：

通过 DHCP 或手动配置 IPv4？(Configure IPv4 via DHCP or manually?)— 选择 manual。虽然您不打算使用管理接口，但必须设置 IP 地址，例如专用地址。如果管理接口设置为 DHCP，则无法配置数据接口用于管理，因为默认路由（必须是 data-interfaces，请参阅下一个要点）可能会被接收自 DHCP 服务器的路由覆盖。
输入管理接口的 IPv4 默认网关 (Enter the IPv4 default gateway for the management interface) — 将网关设置为 data-interfaces。此设置将在背板上转发管理流量，因此可路由通过管理器访问数据接口。
如果您的网络信息已更改，需要重新连接 - 如果您已建立 SSH 连接，则连接将断开。如果您的管理计算机在管理网络上，则可以使用新的 IP 地址和密码来重新连接。由于默认路由更改（通过数据接口），您将无法从远程网络重新连接。控制台连接不会受影响。
本地管理设备？- 输入否以使用管理中心。回答 yes 意味着您将改为使用设备管理器。
配置防火墙模式？(Configure firewall mode?) — 输入 routed。只有路由防火墙模式支持外部管理器访问。

Example:


You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 

System initialization in progress.  Please stand by.
You must change the password for 'admin' to continue.
Enter new password: ********
Confirm new password: ********
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 
Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ... 

Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

Step 6

配置用于管理器访问的外部接口。

configure network management-data-interface

然后，系统会提示您为外部接口配置基本网络设置。请参阅以下有关使用此命令的详细信息：

如果您要使用数据接口进行管理，则管理接口无法使用 DHCP。如果在初始设置期间没有手动设置 IP 地址，则可以使用 configure network {ipv4 | ipv6} manual 命令立即设置它。如果您尚未将管理接口网关设置为 data-interfaces，此命令将立即设置它。
当您将威胁防御添加到管理中心时，管理中心会发现并维护接口配置，包括以下设置：接口名称和 IP 地址、网关静态路由、DNS 服务器和 DDNS 服务器。有关 DNS 服务器配置的详细信息，请参阅下文。在管理中心中，您可以稍后对管理器访问接口配置进行更改，但要确保更改不会阻止威胁防御或管理中心重新建立管理连接。如果管理连接中断，威胁防御将包含 configure policy rollback 命令以恢复以前的部署。
如果配置 DDNS 服务器更新 URL，则威胁防御会自动添加来自 Cisco 受信任根 CA 捆绑包的所有主要 CA 证书，以便威胁防御可以验证用于 HTTPS 连接的 DDNS 服务器证书。威胁防御支持使用 DynDNS 远程 API 规范 (https://help.dyn.com/remote-access-api/) 的任何 DDNS 服务器。
此命令设置数据接口 DNS 服务器。使用设置脚本（或使用 configure network dns servers 命令）设置的管理 DNS 服务器用于管理流量。数据 DNS 服务器用于 DDNS（如果已配置）或适用于此接口的安全策略。

在管理中心上，数据接口 DNS 服务器在您分配给此威胁防御的平台设置策略中配置。当您将威胁防御添加到管理中心时，本地设置将保留，并且 DNS 服务器不会添加到平台设置策略。但是，如果稍后将平台设置策略分配给包含 DNS 配置的威胁防御，则该配置将覆盖本地设置。我们建议您主动配置与此设置匹配的 DNS 平台设置，以使管理中心和威胁防御同步。

此外，仅当在初始注册时发现 DNS 服务器，管理中心才会保留本地 DNS 服务器。例如，如果您使用管理接口注册了设备，但随后使用 configure network management-data-interface 命令配置数据接口，则必须在管理中心中手动配置所有这些设置（包括 DNS 服务器），以便与威胁防御配置匹配。
将威胁防御注册到管理中心后，您可以将该管理接口更改为管理接口或另一数据接口。
您在安装向导中设置的 FQDN 将用于此接口。
您可以通过命令清除整个设备配置；在恢复场景中可使用此选项，但我们不建议您在初始设置或正常操作中使用它。
要禁用数据管理，请输入 configure network management-data-interface disable 命令。

Example:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://deanwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

Example:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

Step 7

(Optional) 限制在特定网络上通过数据接口访问管理中心。

configure network management-data-interface client ip_address netmask

默认情况下，允许所有网络。

Step 8

确定将管理此威胁防御的管理中心。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

{hostname | IPv4_address | IPv6_address | DONTRESOLVE} - 指定管理中心的 FQDN 或 IP 地址。如果管理中心不是直接可寻址的，请使用 DONTRESOLVE。必须至少有一个设备（管理中心或威胁防御）具有可访问的 IP 地址，才能在两个设备之间建立双向 SSL 加密的通信通道。如果在此命令中指定 DONTRESOLVE，则威胁防御必须有可访问的 IP 地址或主机名。
reg_key - 指定您选择的一次性注册密钥，注册威胁防御时也要在管理中心上指定它。注册密钥不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。
nat_id - 指定了您选择的唯一一次性字符串，您还需要在管理中心上指定它。如果使用数据接口进行管理，则必须同时在威胁防御和管理中心上指定注册用的 NAT ID。NAT ID 不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。此 ID 不能用于将任何其他设备注册到管理中心。

Example:


> configure manager add fmc-1.example.com regk3y78 natid56
Manager successfully configured.

Step 9

关闭威胁防御，以便将设备发送到远程分支机构。

正确关闭系统非常重要。仅拔掉电源或按下电源开关可能会导致文件系统严重损坏。请记住，有许多进程一直在后台运行，拔掉或关闭电源不能正常关闭系统。

输入 shutdown 命令。
观察电源 LED 和状态 LED 以验证机箱是否已断电（不亮）。
在机箱成功关闭电源后，您可以在必要时拔下电源插头以物理方式断开机箱的电源。

分支机构安装

收到来自中央总部的威胁防御后，您只用连接并打开防火墙电源，即可从外部接口访问互联网。然后，中央管理员即可完成配置。

连接防火墙的电缆

管理中心和您的管理计算机位于远程总部，可以通过互联网接通威胁防御。要在 Secure Firewall 3100 上进行布线，请参阅以下步骤。

过程

步骤 1	安装机箱。请参阅硬件安装指南。
步骤 2	将外部接口（以太网 1/1）连接到外部路由器。您可以将任何数据接口用于管理器访问，例如，如果您有内部管理中心，则使用内部接口。但是，本指南主要介绍外部接口访问，因为它是远程分支机构最可能遇到的场景。
步骤 3	将内部接口（例如，以太网 1/2）连接到内部交换机或路由器。您可以为内部选择任何接口。
步骤 4	将其他网络连接到其余接口。
步骤 5	(可选) 将管理计算机连接到控制台端口。在分支机构的日常工作中不需要使用控制台连接；但出于故障排除目的，可能需要此连接。

打开防火墙电源

系统电源由位于防火墙后部的摇杆电源开关控制。电源开关以软通知开关形式实施，支持平稳地关闭系统以降低系统软件及数据损坏的风险。

注	首次启动威胁防御时，初始化大约需要 15 到 30 分钟。

开始之前

为防火墙提供可靠的电源（例如，使用不间断电源 (UPS)）非常重要。未事先关闭就断电可能会导致严重的文件系统损坏。后台始终有许多进程在运行，因此断电会使得系统无法正常关闭。

过程

步骤 1

将电源线一端连接到防火墙，另一端连接到电源插座。

步骤 2

使用位于机箱背面电源线旁边的标准摇杆型电源开关打开电源。

步骤 3

检查防火墙背面的电源 LED；如果该 LED 呈绿色稳定亮起，表示防火墙已接通电源。

步骤 4

检查防火墙背面的系统 LED；其呈绿色稳定亮起之后，系统已通过通电诊断。

注	将开关从开切换到关时，系统可能需要几秒钟才会最终关闭。在此期间，机箱前面的电源 LED 将闪烁绿色。在电源 LED 完全关闭之前，请勿拔出电源。

中央管理员后配置

在远程分支机构管理员通过电缆连接威胁防御以便从外部接口访问互联网之后，您可以将威胁防御注册到管理中心并完成设备的配置。

登录管理中心

使用管理中心配置并监控威胁防御。

开始之前

有关受支持浏览器的信息，请参阅您所用版本的发行说明（参阅https://www.cisco.com/go/firepower-notes）。

过程

步骤 1

使用支持的浏览器输入以下 URL。

https://fmc_ip_address

步骤 2

输入您的用户名和密码。

步骤 3

点击登录。

获取管理中心的许可证

所有许可证都由管理中心提供给威胁防御。您可以选择购买以下功能许可证：

基础版-（必需）基础版许可证。
IPS - 安全情报和下一代 IPS
恶意软件防御-恶意软件防御
URL - URL 过滤
Cisco Secure 客户端-Secure Client Advantage、Secure Client Premier 或 Secure Client VPN Only

运营商 - Diameter、GTP/GPRS、M3UA、SCTP

有关思科许可的更详细概述，请访问 cisco.com/go/licensingguide

开始之前

拥有智能软件管理器主帐户。

如果您还没有账户，请点击此链接以设置新账户。通过智能软件管理器，您可以为组织创建一个主帐户。
您的智能软件许可帐户必须符合强加密 (3DES/AES) 许可证的要求，才能使用某些功能（已使用导出合规性标志启用）。

过程

步骤 1

请确保智能许可帐户包含所需的可用许可证。

当您从思科或经销商那里购买设备时，您的许可证应该已链接到您的智能软件许可证帐户。但是，如果您需要自己添加许可证，则请使用Cisco Commerce Workspace上的 Find Products and Solutions 搜索字段。搜索以下许可证 PID：

注	如果未找到 PID，您可以手动将 PID 添加到订单中。

基础版许可证：
- L-FPR3110-BSE=
- L-FPR3120-BSE=
- L-FPR3130-BSE=
- L-FPR3140-BSE=
IPS、恶意软件防御和 URL 许可证组合：
- L-FPR3110T-TMC =
- L-FPR3120T-TMC =
- L-FPR3130T-TMC =
- L-FPR3140T-TMC =
当您将上述 PID 之一添加到您的订单时，可以选择与以下 PID 之一对应的定期订用：
- L-FPR3110T-TMC-1Y
- L-FPR3110T-TMC-3Y
- L-FPR3110T-TMC-5Y
- L-FPR3120T-TMC-1Y
- L-FPR3120T-TMC-3Y
- L-FPR3120T-TMC-5Y
- L-FPR3130T-TMC-1Y
- L-FPR3130T-TMC-3Y
- L-FPR3130T-TMC-5Y
- L-FPR3140T-TMC-1Y
- L-FPR3140T-TMC-3Y
- L-FPR3140T-TMC-5Y
Cisco Secure 客户端-请参阅思科安全客户端订购指南。

运营商许可证：
- L-FPR3K-FTD-CAR=

步骤 2

如果尚未注册，请向智能软件管理器注册管理中心。

注册需要您在智能软件管理器中生成注册令牌。有关详细指示，请参阅管理中心配置指南。对低接触调配，您必须在向智能软件管理器注册时或在注册后启用低接触调配的云协助 (Cloud Assistance for Low-Touch Provisioning)。请参阅系统 (System) > 许可证 (Licenses) > 智能许可证 (Smart Licenses) 页面。

向管理中心注册威胁防御

使用设备 IP 地址或主机名将威胁防御手动注册到管理中心。

开始之前

收集您在威胁防御初始配置中设置的以下信息：
- 威胁防御管理 IP 地址或主机名，以及 NAT ID
- 管理中心注册密钥

过程

步骤 1

在管理中心上，选择设备 (Devices) > 设备管理 (Device Management)。

步骤 2

从添加下拉列表中，选择添加设备。

设置以下参数：

主机 (Host) - 输入要添加的威胁防御的 IP 地址或主机名。如果在威胁防御初始配置中同时指定了管理中心 IP 地址和 NAT ID，可以将此字段留空。

注	在 HA 环境中，当两个管理中心都位于 NAT 之后时，则可以在主管理中心中注册威胁防御而无需主机 IP 或名称。但是，要在辅助管理中心中注册威胁防御，则必须提供威胁防御的 IP 地址或主机名。

显示名称 (Display Name) - 输入要在管理中心中显示的威胁防御的名称。
注册密钥 (Registration Key) - 输入您在威胁防御初始配置中指定的注册密钥。
域 (Domain) - 如果有多域环境，请将设备分配给分叶域。
组 (Group) - 如果在使用组，则将其分配给设备组。
访问控制策略 (Access Control Policy) - 选择初始策略。除非已经拥有您知道自己需要使用的自定义策略，否则选择新建策略 (Create new policy)，然后选择阻止所有流量 (Block all traffic)。之后您可以更改此设置以允许流量通过；请参阅允许流量从内部传到外部。

图 8. 新建策略
智能许可 (Smart Licensing) - 为要部署的功能分配所需的智能许可证：Malware（如果您打算使用恶意软件检查）、Threat（如果您打算使用入侵防御）、URL （如果您打算实施基于类别的 URL 过滤）。注意：在添加设备后，您可以从系统 > 许可证 > 智能许可证页面应用 Secure Client 远程访问 VPN 许可证。
唯一 NAT ID (Unique NAT ID) - 指定您在威胁防御初始配置中指定的 NAT ID。
转移数据包 (Transfer Packets) - 可让设备将数据包传输至管理中心。如果在启用此选项时触发了 IPS 或 Snort 等事件，设备会将事件元数据信息和数据包数据发送到管理中心进行检测。如果禁用此选项，只有事件信息会发送到管理中心，数据包数据不发送。

步骤 3

点击注册 (Register)，，并确认注册成功。

如果注册成功，设备将添加到列表中。如果注册失败，您会看到一则错误消息。如果威胁防御注册失败，请检查以下项：

Ping - 访问威胁防御 CLI，然后使用以下命令 ping 管理中心 IP 地址：

ping system ip_address

如果 ping 不成功，使用 show network 命令检查网络设置。如果需要更改威胁防御管理 IP 地址，请使用 configure network management-data-interface 命令。
注册密钥、NAT ID 和管理中心 IP 地址 - 确保在两个设备上使用相同的注册密钥和 NAT ID（如有使用）。可以在威胁防御使用 configure manager add 命令设定注册密钥和 NAT ID。

有关更多故障排除信息，请参阅 https://cisco.com/go/fmc-reg-error。

配置基本安全策略

本部分介绍如何使用以下设置配置基本安全策略：

内部和外部接口 - 为内部接口分配静态 IP 地址。您在管理器访问设置中配置了外部接口的基本设置，但仍需要将其分配给安全区域。
DHCP 服务器 - 在内部接口上为客户端使用 DHCP 服务器。
NAT - 在外部接口上使用接口 PAT。
访问控制 - 允许流量从内部传到外部。
SSH - 在管理器访问接口上启用 SSH。

配置接口

启用威胁防御接口，为其分配安全区域并设置 IP 地址。通常，您必须至少配置两个接口才能让系统传递有意义的流量。通常，您将拥有面向上游路由器或互联网的外部接口，以及组织网络的一个或多个内部接口。其中一些接口可能是“隔离区”(DMZ)，您可以在其中放置可公开访问的资产，例如 Web 服务器。

典型的边缘路由情况是通过 DHCP 从 ISP 获取外部接口地址，同时在内部接口上定义静态地址。

以下示例使用 DHCP 在接口内部配置了一个路由模式（含静态地址），并在接口外部配置了一个路由模式。

过程

步骤 1	选择设备 (Devices) > 设备管理 (Device Management)，然后点击防火墙的编辑（）。
步骤 2	点击接口 (Interfaces)。
步骤 3	要从 40-Gb 接口（部分型号上可用）创建 4 x 10-Gb 分支接口，请点击接口的分支图标。如果您已经在配置中使用了 40-Gb 接口，则必须在继续创建分支之前删除该配置。
步骤 4	点击要用于内部的接口的编辑（）。此时将显示一般 (General) 选项卡。输入长度最大为 48 个字符的名称 (Name)。例如，将接口命名为 inside。选中启用 (Enabled) 复选框。将模式 (Mode) 保留为无 (None)。从安全区域 (Security Zone) 下拉列表中选择一个现有的内部安全区域，或者点击新建 (New) 添加一个新的安全区域。例如，添加一个名为 inside_zone 的区域。必须将每个接口分配给安全区域和/或接口组。每个接口只能属于一个安全区域，但可以同时属于多个接口组。您可以根据区域或组应用安全策略。例如，您可以将内部接口分配到内部区域，而将外部接口分配到外部区域。然后可以配置访问控制策略，允许流量从内部传到外部，但不允许从外部传入内部。大多数策略仅支持安全区域；您可以在 NAT 策略、预过滤器策略和 QoS 策略中使用区域或接口组。点击 IPv4 和/或 IPv6 选项卡。 IPv4 - 从下拉列表中选择使用静态 IP (Use Static IP)，然后以斜杠表示法输入 IP 地址和子网掩码。例如，输入 192.168.1.1/24 IPv6 - 为无状态自动配置选中自动配置 (Autoconfiguration) 复选框。点击确定 (OK)。
步骤 5	点击要用于外部的接口的编辑（）。此时将显示一般 (General) 选项卡。您已经为该接口预配置了管理器访问，因此该接口就已经命名、启用和寻址。您不应更改任何这些基本设置，因为这样做会中断管理中心管理连接。您仍然必须在此屏幕上为直通流量策略配置安全区域。从安全区域 (Security Zone) 下拉列表中选择一个现有的外部安全区域，或者点击新建 (New) 添加一个新的安全区域。例如，添加一个名为 outside_zone 的区域。点击确定 (OK)。
步骤 6	点击保存 (Save)。

配置 DHCP 服务器

如果希望客户端使用 DHCP 从威胁防御处获取 IP 地址，请启用 DHCP 服务器。

过程

步骤 1	选择设备 (Devices) > 设备管理 (Device Management)，然后点击设备的编辑（）。
步骤 2	选择 DHCP > DHCP 服务器 (DHCP Server)。
步骤 3	在服务器 (Server）页面上点击添加 (Add)，然后配置以下选项：接口 (Interface) - 从下拉列表中选择接口。地址池 (Address Pool) - DHCP 服务器使用的 IP 地址的范围（从最低到最高）。IP 地址范围必须与选定接口位于相同的子网上，且不能包括接口自身的 IP 地址。启用 DHCP 服务器 (Enable DHCP Server) - 在所选接口上启用 DHCP 服务器。
步骤 4	点击确定 (OK)。
步骤 5	点击保存 (Save)。

配置 NAT

典型的 NAT 规则会将内部地址转换为外部接口 IP 地址上的端口。这类 NAT 规则称为接口端口地址转换 (PAT)。

过程

步骤 1

选择设备 (Devices) > NAT，然后点击新建策略 (New Policy) > 威胁防御 NAT (Threat Defense NAT)。

步骤 2

为策略命名，选择要使用策略的设备，然后点击Save。

策略即已添加管理中心。您仍然需要为策略添加规则。

步骤 3

点击添加规则 (Add Rule)。

Add NAT Rule 对话框将显示。

步骤 4

配置基本规则选项：

NAT 规则 (NAT Rule) - 选择自动 NAT 规则 (Auto NAT Rule)。
类型 (Type) - 选择动态 (Dynamic)。

步骤 5

在 Interface Objects 页面，将 Available Interface Objects 区域中的外部区域添加到 Destination Interface Objects 区域。

步骤 6

在转换 (Translation) 页面上配置以下选项：

原始源 - 点击添加（添加图标）为所有 IPv4 流量添加网络对象 (0.0.0.0/0)。

注	您不能使用系统定义的 any-ipv4 对象，因为自动 NAT 规则在对象定义过程中添加 NAT，并且您无法编辑系统定义的对象。

转换的源 (Translated Source) - 选择目标接口 IP (Destination Interface IP)。

步骤 7

点击保存 (Save) 以添加规则。

规则即已保存至 Rules 表。

步骤 8

点击 NAT 页面上的保存 (Save) 以保存更改。

允许流量从内部传到外部

如果您在注册威胁防御时创建了基本的封锁所有流量访问控制策略，则需要向策略添加规则以允许流量通过设备。以下程序可添加规则以允许从内部区域到外部区域的流量。如有其他区域，请务必添加允许流量到适当网络的规则。

过程

步骤 1	选择策略 (Policy) > 访问策略 (Access Policy) > 访问策略 (Access Policy)，然后点击分配给威胁防御的访问控制策略的编辑（）。
步骤 2	点击添加规则 (Add Rule) 并设置以下参数：名称 (Name) - 为此规则命名，例如 inside_to_outside。源区域 (Source Zones) - 从可用区域 (Available Zones) 中选择内部区域，然后点击添加到源 (Add to Source)。目标区域 (Destination Zones) - 从可用区域 (Available Zones）中选择外部区域，然后点击添加到目标 (Add to Destination)。其他设置保留原样。
步骤 3	点击添加 (Add)。规则即已添加至 Rules 表。
步骤 4	点击保存 (Save)。

在管理器访问数据接口上配置 SSH

如果在数据接口（例如外部）上启用了管理中心访问，则应使用此程序在该接口上启用 SSH。本节介绍如何启用威胁防御上一个或多个数据接口的 SSH 连接。诊断逻辑接口上不支持 SSH。

注	管理接口上默认已启用 SSH，但此屏幕不会影响管理 SSH 访问。

管理接口与设备上的其他接口分离。它用于设置设备并将其注册到管理中心。数据接口的 SSH 与管理接口的 SSH 共用内部和外部用户列表。其他设置单独进行配置：对于数据接口，使用此屏幕启用 SSH 和访问列表；数据接口的 SSH 流量使用常规路由配置，并不是所有静态路由均在设置时或 CLI 中配置。

对于管理接口，要配置 SSH 访问列表，请参阅 Cisco Secure Firewall Threat Defense 命令参考中的 configure ssh-access-list 命令。要配置静态路由，请参阅 configure network static-routes 命令。默认情况下，在初始设置时通过管理接口配置默认路由。

要使用 SSH，您也不需要允许主机 IP 地址的访问规则。您只需按照本部分配置 SSH。

您只能 SSH 到可访问接口；如果 SSH 主机位于外部接口上，则只能直接向外部接口发起管理连接。

注	在您连续三次尝试使用 SSH 登录 CLI 失败后，设备会终止 SSH 连接。

开始之前

可以使用 configure user add 命令。默认情况下，有一个您在初始设置期间为其配置密码的 admin 用户。还可以通过在平台设置中配置外部身份验证，在 LDAP 或 RADIUS 上配置外部用户。

您需要定义允许与设备建立 SSH 连接的主机或网络网络对象。您可以在此过程中添加对象，但如果要使用对象组标识一组 IP 地址，请确保规则中所需的组已经存在。选择对象 > 对象管理以配置对象。

注	不能使用系统提供的 any 网络对象。而是使用 any-ipv4 或 any-ipv6。

过程

步骤 1	选择设备 > 平台设置，并创建或编辑威胁防御策略。
步骤 2	选择安全外壳 (Secure Shell)。
步骤 3	标识允许 SSH 连接的接口和 IP 地址。使用此表可以限制哪些接口将接受 SSH 连接，以及允许建立这些连接的客户端的 IP 地址。您可以使用网络地址而不是单个 IP 地址。点击添加 (Add) 以添加新规则，或点击编辑 (Edit) 以编辑现有规则。配置规则属性： IP 地址-用于标识允许建立 HTTPS 连接的主机或网络的网络对象或组。从下拉列表中选择一个对象，或者点击 + 以添加新的网络对象。安全区域 (Security Zones) - 添加包含将允许进行 SSH 连接的接口的区域。对于不在区域中的接口，可以在所选安全区域 (Selected Security Zones) 列表下方的字段中键入接口名称，然后点击添加 (Add)。仅当设备包含所选接口或区域时，才会将这些规则应用于该设备。点击确定 (OK)。
步骤 4	点击保存 (Save)。此时，您可以转至部署 > 部署并将策略部署到所分配的设备。在部署更改之后，更改才生效。

部署配置

将配置更改部署到威胁防御；在部署之前，您的所有更改都不会在设备上生效。

过程

步骤 1

点击右上方的部署 (Deploy)。

步骤 2

点击全部部署 (Deploy All) 以部署到所有设备，或点击高级部署 (Advanced Deploy) 以部署到选择的设备。

步骤 3

确保部署成功。点击菜单栏中部署 (Deploy) 按钮右侧的图标可以查看部署状态。

访问威胁防御和FXOS CLI

使用命令行界面 (CLI) 可设置系统以及对系统进行基本的故障排除。无法通过 CLI 会话配置策略。可以连接到控制台端口以访问 CLI。

也可以访问FXOS CLI以进行故障排除。

注	您也可以通过 SSH 连接到威胁防御设备的管理接口。与控制台会话不同，SSH 会话默认使用威胁防御 CLI，由此可使用 connect fxos 命令连接到 FXOS CLI。如果您为 SSH 连接打开某个数据接口，稍后可以连接到该接口上的地址。默认情况下，禁用 SSH 数据接口访问。此程序介绍控制台端口的访问（默认使用 FXOS CLI）。

过程

步骤 1

要登录 CLI，请将管理计算机连接到控制台端口。Secure Firewall 3100 配有一条 DB-9 转 RJ-45 串行电缆，所以您需要第三方串行转 USB 电缆进行连接。确保为您的操作系统安装必要的 USB 串行驱动程序（请参阅 Secure Firewall 3100 硬件指南)。控制台端口默认为 FXOS CLI。使用以下串行设置：

9600 波特率
8 个数据位
无奇偶校验
1 个停止位

您连接到 FXOS CLI。使用 admin 用户名和初始设置时设置的密码（默认值为 Admin123）登录 CLI。

示例:


firepower login: admin
Password:
Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0
Successful login attempts for user 'admin' : 1

firepower#

步骤 2

访问威胁防御 CLI。

connect ftd

示例:


firepower# connect ftd
>

登录后，如需了解 CLI 中可用命令的相关信息，请输入 help 或 ? 。有关使用信息，请参阅Cisco Secure Firewall Threat Defense 命令参考。

步骤 3

要退出威胁防御FTD CLI，请输入 exit 或 logout 命令。

此命令会将您重新导向至 FXOS CLI 提示。有关 FXOS CLI 中可用命令的相关信息，请输入 ? 。

示例:


> exit
firepower#

排除数据接口上的管理连接故障

当使用数据接口进行管理器访问而不是使用专用管理接口时，必须注意在管理中心中更改威胁防御的接口和网络设置，以免中断连接。如果在将威胁防御添加到管理中心后更改管理接口类型（从数据到管理，或从管理到数据），如果接口和网络设置未正确配置，则可能会丢失管理连接。

本主题可帮助您排除管理连接丢失的问题。

查看管理连接状态

在管理中心中，在设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > 连接状态 (Connection Status) 页面上检查管理连接状态。

在威胁防御 CLI，输入 sftunnel-status-brief 命令以查看管理连接状态。您还可以使用 sftunnel-status 查看更完整的信息。

请参阅以下有关关闭连接的输出示例；没有显示“连接至“信息，也没有显示心跳信息：


> sftunnel-status-brief
PEER:10.10.17.202
Registration: Completed.
Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC
Last disconnect time : Mon Jun 15 09:19:09 2020 UTC
Last disconnect reason : Both control and event channel connections with peer went down

请参阅以下关于已建立连接的输出示例，其中显示了对等信道和心跳信息：


> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

查看威胁防御网络信息

在威胁防御 CLI 上，查看管理和管理器访问数据接口网络设置：

show network


> show network
===============[ System Information ]===============
Hostname                  : 5516X-4
DNS Servers               : 208.67.220.220,208.67.222.222
Management port           : 8305
IPv4 Default route
  Gateway                 : data-interfaces
IPv6 Default route
  Gateway                 : data-interfaces

======================[ br1 ]=======================
State                     : Enabled
Link                      : Up
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : 28:6F:7F:D3:CB:8D
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.99.10.4
Netmask                   : 255.255.255.0
Gateway                   : 10.99.10.1
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

===============[ Proxy Information ]================
State                     : Disabled
Authentication            : Disabled

======[ System Information - Data Interfaces ]======
DNS Servers               :
Interfaces                : GigabitEthernet1/1

===============[ GigabitEthernet1/1 ]===============
State                     : Enabled
Link                      : Up
Name                      : outside
MTU                       : 1500
MAC Address               : 28:6F:7F:D3:CB:8F
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.89.5.29
Netmask                   : 255.255.255.192
Gateway                   : 10.89.5.1
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

检查向管理中心注册威胁防御

在威胁防御 CLI 中，检查管理中心注册是否已完成。请注意，此命令不会显示管理连接的当前状态。

show managers


> show managers
Type                      : Manager
Host                      : 10.10.1.4
Display name              : 10.10.1.4
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed
Management type           : Configuration

Ping 管理中心

在威胁防御 CLI 上，使用以下命令从数据接口对管理中心执行 ping 操作：

ping fmc_ip

在威胁防御 CLI 上，使用以下命令从管理接口对管理中心执行 ping 操作，该接口应通过背板路由到数据接口：

ping system fmc_ip

捕获威胁防御内部接口上的数据包

在威胁防御 CLI 上，捕获内部背板接口 (nlp_int_tap) 上的数据包，以查看是否发送了管理数据包：

capture 名称 interface nlp_int_tap trace detail match ip any any

show capturename trace detail

检查内部接口状态，统计信息和数据包计数

在威胁防御 CLI 上，查看有关内部背板接口 nlp_int_tap 的信息：

show interace detail


> show interface detail
[...]
Interface Internal-Data0/1 "nlp_int_tap", is up, line protocol is up
  Hardware is en_vtun rev00, BW Unknown Speed-Capability, DLY 1000 usec
	(Full-duplex), (1000 Mbps)
	Input flow control is unsupported, output flow control is unsupported
	MAC address 0000.0100.0001, MTU 1500
	IP address 169.254.1.1, subnet mask 255.255.255.248
	37 packets input, 2822 bytes, 0 no buffer
	Received 0 broadcasts, 0 runts, 0 giants
	0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
	0 pause input, 0 resume input
	0 L2 decode drops
	5 packets output, 370 bytes, 0 underruns
	0 pause output, 0 resume output
	0 output errors, 0 collisions, 0 interface resets
	0 late collisions, 0 deferred
	0 input reset drops, 0 output reset drops
	input queue (blocks free curr/low): hardware (0/0)
	output queue (blocks free curr/low): hardware (0/0)
  Traffic Statistics for "nlp_int_tap":
	37 packets input, 2304 bytes
	5 packets output, 300 bytes
	37 packets dropped
      1 minute input rate 0 pkts/sec,  0 bytes/sec
      1 minute output rate 0 pkts/sec,  0 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 0 pkts/sec,  0 bytes/sec
      5 minute output rate 0 pkts/sec,  0 bytes/sec
      5 minute drop rate, 0 pkts/sec
  Control Point Interface States:
	Interface number is 14
	Interface config status is active
	Interface state is active

检查路由和 NAT

在威胁防御 CLI 中，检查是否已添加默认路由 (S *)，以及管理接口 (nlp_int_tap) 是否存在内部 NAT 规则。

show route


> show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF
Gateway of last resort is 10.89.5.1 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via 10.89.5.1, outside
C        10.89.5.0 255.255.255.192 is directly connected, outside
L        10.89.5.29 255.255.255.255 is directly connected, outside

>

show nat


> show nat

Auto NAT Policies (Section 2)
1 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_intf3 interface  service tcp 8305 8305
    translate_hits = 0, untranslate_hits = 6
2 (nlp_int_tap) to (outside) source static nlp_server_0_ssh_intf3 interface  service tcp ssh ssh
    translate_hits = 0, untranslate_hits = 73
3 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_ipv6_intf3 interface ipv6  service tcp 8305 8305
    translate_hits = 0, untranslate_hits = 0
4 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf3 interface
    translate_hits = 174, untranslate_hits = 0
5 (nlp_int_tap) to (outside) source dynamic nlp_client_0_ipv6_intf3 interface ipv6
    translate_hits = 0, untranslate_hits = 0
>

检查其他设置

请参阅以下命令以检查是否存在所有其他设置。您还可以在管理中心的设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > CLI 输出 (CLI Output) 页面上看到许多这些命令。

show running-config sftunnel


> show running-config sftunnel
sftunnel interface outside
sftunnel port 8305

show running-config ip-client


> show running-config ip-client
ip-client outside

show conn address fmc_ip


> show conn address 10.89.5.35
5 in use, 16 most used
Inspect Snort:
        preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect

TCP nlp_int_tap  10.89.5.29(169.254.1.2):51231 outside  10.89.5.35:8305, idle 0:00:04, bytes 86684, flags UxIO
TCP nlp_int_tap  10.89.5.29(169.254.1.2):8305 outside  10.89.5.35:52019, idle 0:00:02, bytes 1630834, flags UIO
>

检查 DDNS 更新是否成功

在威胁防御 CLI 中，检查 DDNS 更新是否成功：

debug ddns


> debug ddns
DDNS update request = /v3/update?hostname=domain.example.org&myip=209.165.200.225
Successfuly updated the DDNS sever with current IP addresses
DDNS: Another update completed, outstanding = 0
DDNS: IDB SB total = 0

如果更新失败，请使用 debug http 和 debug ssl 命令。对于证书验证失败，请检查是否已在设备上安装根证书：

show crypto ca certificates trustpoint_name

要检查 DDNS 操作，请执行以下操作：

show ddns update interface fmc_访问_ifc_name


> show ddns update interface outside

Dynamic DNS Update on outside:
    Update Method Name Update Destination
    RBD_DDNS not available

Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020
Status : Success
FQDN : domain.example.org
IP addresses : 209.165.200.225

检查管理中心日志文件

请参阅 https://cisco.com/go/fmc-reg-error。

如果管理中心断开连接，则回滚配置

如果将威胁防御上的数据接口用于管理器访问，并从管理中心部署影响网络连接的配置更改，则可以将威胁防御上的配置回滚到上次部署的配置，以便恢复管理连接。然后，您可以调整管理中心中的配置设置，以便保持网络连接并重新部署。即使没有丢失连接，也可以使用回滚功能；它不仅限于此故障排除情况。

请参阅以下准则：

只有以前的部署可以在威胁防御上本地提供；您无法回滚到任何较早的部署。
支持回滚以实现高可用性，但不支持集群部署。
回滚只会影响您可以在管理中心中设置的配置。例如，回滚不会影响与专用管理接口相关的任何本地配置，您只能在威胁防御 CLI 中进行配置。请注意，如果您在上次管理中心部署后使用 configure network management-data-interface 命令更改了数据接口设置，然后使用了回滚命令，则这些设置将不会保留；它们将回滚到上次部署的管理中心设置。
UCAPL/CC 模式无法回滚。
无法回滚上一次部署期间更新的带外 SCEP 证书数据。
在回滚期间，连接将被丢弃，因为当前配置将被清除。

过程

步骤 1

在威胁防御 CLI 中，回滚到之前的配置。

configure policy rollback

回滚后，威胁防御会通知管理中心已成功完成回滚。在管理中心中，部署屏幕将显示一条横幅，说明配置已回滚。

注	如果回滚失败且管理中心管理已恢复，请参阅https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw-virtual/215258-troubleshooting-firepower-threat-defense.html以了解常见的部署问题。在某些情况下，恢复管理中心管理访问权限后回滚可能会失败；在这种情况下，您可以解决管理中心配置问题，并从管理中心重新部署。

示例:

对于使用数据接口进行管理器访问的威胁防御：


> configure policy rollback

The last deployment to this FTD was on June 1, 2020 and its status was Successful.
Do you want to continue [Y/N]?

Y

Rolling back complete configuration on the FTD. This will take time.
.....................
Policy rollback was successful on the FTD.
Configuration has been reverted back to transaction id: 
Following is the rollback summary:
...................
....................
>

步骤 2

检查管理连接是否已重新建立。

在威胁防御 CLI，输入 sftunnel-status-brief 命令以查看管理连接状态。

如果重新建立连接需要 10 分钟以上，则应排除连接故障。请参阅排除数据接口上的管理连接故障。

使用管理中心关闭防火墙电源

正确关闭系统非常重要。仅拔掉电源或按下电源开关可能会导致文件系统严重损坏。请记住，有许多进程一直在后台运行，拔掉或关闭电源不能正常关闭防火墙。

您可以使用管理中心正确关闭系统。

过程

步骤 1	选择设备 > 设备管理。
步骤 2	在要重新启动的设备旁边，点击编辑图标 ()。
步骤 3	点击设备 (Device) 选项卡。
步骤 4	点击系统 (System) 部分中的关闭设备图标 ()。
步骤 5	出现提示时，确认是否要关闭设备。
步骤 6	如果您与防火墙建立了控制台连接，请在防火墙关闭时留意系统提示。您将看到以下提示： `System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N]` 如果没有控制台连接，请等待大约 3 分钟以确保系统已关闭。
步骤 7	您现在可以关闭电源开关并在必要时拔下电源插头以物理方式断开机箱的电源。

后续步骤

要继续配置威胁防御，请参阅适用于您的软件版本的文档：导航思科 Firepower 文档。

有关使用管理中心的信息，请参阅《Firepower 管理中心配置指南》。

Cisco Secure Firewall 3100 入门指南

非歧视性语言

当地语言翻译版本说明

Results

Chapter: 使用远程管理中心部署威胁防御

使用远程管理中心部署威胁防御

开始之前

端到端程序

远程管理的工作原理

中央管理员预配置

（可选）检查软件并安装新版本

过程

示例:

示例:

使用设备管理器进行预配置

开始之前

过程

使用 CLI 进行预配置

Before you begin

Procedure

Example:

Example:

Example:

Example:

Example:

Example:

分支机构安装

连接防火墙的电缆

过程

打开防火墙电源

开始之前

过程

中央管理员后配置

登录管理中心

开始之前

过程

获取管理中心的许可证

开始之前

过程

向管理中心注册威胁防御

开始之前

过程

配置基本安全策略

配置接口

过程

配置 DHCP 服务器

过程

配置 NAT

配置 NAT

过程

允许流量从内部传到外部

过程

在管理器访问数据接口上配置 SSH

开始之前

过程

部署配置

过程

访问威胁防御和FXOS CLI

过程

示例:

示例:

示例:

排除数据接口上的管理连接故障

如果管理中心断开连接，则回滚配置

过程

示例:

使用管理中心关闭防火墙电源

过程

后续步骤

此文档是否有帮助?

联系我们