快速入门:基本设置
Firepower 功能集足够强大且灵活,可以支持基本和高级配置。使用以下部分快速设置 Cisco Secure Firewall Management Center及其受管设备,以开始控制和分析流量。
在物理设备上安装和执行初始设置
过程
使用设备的文档在所有物理设备上安装和执行初始设置:
|
部署虚拟设备
如果您的部署包括虚拟设备,请按照下列步骤操作。使用文档路线图查找下面列出的文档:http://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html。
过程
步骤 1 |
确定将用于管理中心和设备的支持虚拟平台(可能不相同)。请参阅《思科 Firepower 兼容性指南》。 |
步骤 2 |
使用您的环境文档部署虚拟 Firepower 管理中心:
|
步骤 3 |
使用设备的文档部署虚拟设备:
|
首次登录
在首次登录新的 管理中心 之前,请按照 在物理设备上安装和执行初始设置 或 部署虚拟设备中的说明准备设备。
第一次登录到新的 管理中心 (或新恢复为出厂默认设置的 管理中心 )时,请使用 CLI 或 Web 界面的 管理员 账户,并按照您的 管理中心 型号的 思科 Firepower 管理中心入门指南 中的说明进行操作。完成初始配置过程后,系统将配置以下方面:
-
两个 管理员 账户(一个用于 Web 接口访问,另一个用于 CLI 访问)的密码将设置为相同的值, 符合 FMC 用户帐户的指南和限制中所述的强密码要求。系统仅在初始配置过程中同步两个 管理员 账户的密码。如果您在此后更改任一 管理员 账户的密码,两个密码将不再相同,并且强密码要求可以从 Web 接口 管理员 账户中删除。(请参阅 添加内部用户。)
-
管理中心 用于通过其管理接口 (eth0) 进行网络通信的以下网络设置将设置为默认值或您提供的值:
-
完全限定域名 (
<主机名称>.<域>
) -
用于 IPv4 配置的启动协议 (DHCP 或 静态/手动)
-
IPv4 地址
-
网络掩码
-
网关
-
DNS 服务器
-
NTP 服务器
可以通过 管理中心 Web 接口查看和更改这些设置的值;有关详细信息,请参阅 修改 管理中心 管理接口 和 时间与时间同步 。
-
-
作为初始配置的一部分, 系统配置每周的自动 GeoDB 更新。如果配置更新失败且 管理中心 可以访问互联网,我们建议您配置常规 GeoDB 更新,如 安排 GeoDB 更新.
-
作为初始配置的一部分,系统安排每周下载最新软件的任务。如果任务计划失败且 管理中心 有互联网访问权限,我们建议您安排一个周期性任务来下载软件更新,如 自动执行软件下载.
重要
此任务仅将软件更新下载到 管理中心。您负责安装此任务下载的任何更新。
-
作为初始配置的一部分, 系统安排每周执行本地存储的仅配置 管理中心 备份的任务。如果任务计划失败,我们建议您安排定期任务来执行备份,如其中所述。 计划 管理中心 备份.
-
作为初始配置的一部分, 系统从 思科支持和下载站点支持站点下载并安装最新的漏洞数据库 (VDB) 更新。这是一次性操作。为使系统保持最新状态,如果 管理中心 已接入互联网,我们建议您安排自动定期下载和安装 VDB 更新的任务,如 漏洞数据库更新自动化.
-
作为初始配置的一部分,系统配置每日从 思科支持和下载站点自动更新入侵规则。(系统在下次部署受影响的策略时向受影响的受管设备部署自动化入侵规则更新。)如果配置更新失败且 管理中心 可以访问互联网,我们建议您配置定期入侵规则更新,如 计划入侵规则更新.
完成 管理中心 初始配置后,Web 接口将显示设备管理页面,如 《Cisco Secure Firewall Management Center 设备配置指南》中所述。
(这只是 管理员 用户首次登录时的默认登录页面。 管理员 或任何用户后续登录时,默认登录页面将按 指定主页中所述确定。)
一旦完成初始配置,通过按照设置基本策略和配置中的说明配置基本策略,开始控制和分析流量。
设置基本策略和配置
必须配置和部署基本策略,才能在控制面板、情景管理器和事件表中查看数据。
注 |
这些并非是对策略或特性功能的全面讨论。有关其他功能和更高级配置的指南,请参阅本指南的其余部分。 |
开始之前
-
使用 Web 界面或 CLI 的 管理员 账户登录 Web 接口,并按照适用于您的硬件型号的 思科 Firepower 管理中心入门指南 中所述执行初始配置,可从 https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-guides-list.html获取。
过程
步骤 1 |
为此账户 设置时区,如 设置默认时区中所述。 |
步骤 2 |
如果需要,请按照 许可证中的说明添加许可证。 |
步骤 3 |
如 将设备添加到 中的 FMC《Cisco Secure Firewall Management Center 设备配置指南》中所述,将受管设备添加到部署。 |
步骤 4 |
按照以下说明配置受管设备:
|
步骤 5 |
配置访问控制策略,如在 《Cisco Secure Firewall Management Center 设备配置指南》中 创建基本访问控制策略 中所述。
|
步骤 6 |
按照应用运行状况策略中的说明应用系统提供的默认运行状况策略。 |
步骤 7 |
自定义一些系统配置设置:
|
步骤 8 |
自定义网络发现策略,如在 中配置网络发现策略《Cisco Secure Firewall Management Center 设备配置指南》中所述。默认情况下,网络发现策略将分析网络上的所有流量。在大多数情况下,思科建议将发现限制在 RFC 1918 中的地址。 |
步骤 9 |
请考虑自定义如下其他常见设置:
|
步骤 10 |
部署配置更改;请参阅 《Cisco Secure Firewall Management Center 设备配置指南》中的 部署配置更改 。 |
下一步做什么
-
查看并考虑配置功能和本指南其余部分中描述的其他功能。