在 ASA 平台上安裝和設定 FirePOWER 服務模組

下載選項

  • PDF     (445.6 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (84.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (75.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 9 月 27 日
文件 ID:118644

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何在Cisco ASA上安裝並配置Cisco FirePOWER (SFR)模組,以及如何使用Cisco FireSIGHT註冊SFR模組。

    必要條件

    需求

    Cisco建議您在嘗試本文檔中介紹的步驟之前,系統應滿足以下要求:

    • 除了開機軟體的大小外,請確定快閃磁碟機(disk0)上至少有3GB的可用空間。
    • 確保您有權訪問特權執行模式。要訪問特權執行模式,請在CLI中輸入enable命令。如果未設定密碼,則按Enter
      ciscoasa> enable
Password:
ciscoasa#

    採用元件

    要在Cisco ASA上安裝FirePOWER服務,需要以下元件:

    • Cisco ASA軟體版本9.2.2或更高版本
    • Cisco ASA平台5512-X至5555-X
    • FirePOWER軟體5.3.1版或更高版本

    注意:如果要在ASA 5585-X硬體模組上安裝FirePOWER (SFR)服務,請參閱在ASA 5585-X硬體模組上安裝SFR模組

    Cisco FireSIGHT管理中心需要以下元件:

    • FirePOWER軟體5.3.1版或更高版本
    • FireSIGHT管理中心FS2000、FS4000或虛擬裝置

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    Cisco ASA FirePOWER模組(也稱為ASA SFR)提供下一代防火牆服務,例如:

    • 新世代入侵防禦系統(NGIPS)
    • Application Visibility and Control (AVC)
    • 篩選URL
    • 進階惡意軟體防護 (AMP)

    注意:您可以在單情景或多情景模式下以及路由或透明模式下使用ASA SFR模組。

    開始之前

    在嘗試本文檔中介紹的步驟之前,請考慮以下重要資訊:

      • 如果您的活動服務策略將流量重定向到入侵防禦系統(IPS)/情景感知(CX)模組(已由ASA SFR替換),則必須在配置ASA SFR服務策略之前將其刪除。
      • 您必須關閉目前執行的任何其他軟體模組。裝置一次可以運行一個軟體模組。您必須從ASA CLI執行此操作。例如,以下命令關閉並解除安裝IPS軟體模組,然後重新載入ASA:
        ciscoasa# sw-module module ips shutdown
        ciscoasa# sw-module module ips uninstall
        ciscoasa# reload
      • 用於刪除CX模組的命令相同,只是使用cxsc關鍵字而不是ips
        ciscoasa# sw-module module cxsc shutdown
        ciscoasa# sw-module module cxsc uninstall
        ciscoasa# reload
      • 對模組進行重新映像時,請使用與刪除舊SFR映像相同的shutdownuninstall命令。以下是範例:
        ciscoasa# sw-module module sfr uninstall
      • 如果ASA SFR模組用於多情景模式,請在系統執行空間中執行本文檔中介紹的過程。

    提示:為了確定ASA上的模組狀態,請輸入show module命令。

    安裝 

    本節介紹如何在ASA上安裝SFR模組以及如何設定ASA SFR引導映像。

    在ASA上安裝SFR模組

    要在ASA上安裝SFR模組,請完成以下步驟:

    1. 從Cisco.com將ASA SFR系統軟體下載到可從ASA SFR管理介面訪問的HTTP、HTTPS或FTP伺服器。
    2. 將啟動映像下載到裝置。您可以使用Cisco Adaptive Security Device Manager (ASDM)或ASA CLI將引導映像下載到裝置。

      :請勿傳輸系統軟體;稍後會將其下載到固態硬碟(SSD)。

      完成以下步驟,以便透過ASDM下載引導映像:
      1. 將開機映像下載到工作站,或放置在FTP、TFTP、HTTP、HTTPS、伺服器訊息區(SMB)或安全複製(SCP)伺服器上。
      2. 在ASDM中選擇Tools > File Management
      3. 選擇適當的檔案傳輸命令,Between Local PC and FlashBetween Remote Server and Flash
      4. 將引導軟體傳輸到ASA上的快閃記憶體驅動器(disk0)。

      完成以下步驟,以便透過ASA CLI下載引導映像:

      1. 將啟動映像下載到FTP、TFTP、HTTP或HTTPS伺服器上。
      2. 在CLI中輸入copy命令,以便將引導映像下載到快閃記憶體驅動器。

        以下是使用HTTP協定的示例(用您的伺服器IP地址或主機名替換 )。對於FTP伺服器,URL如下所示:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img 

        ciscoasa# copy http:// 
         /asasfr-5500x-boot-5.3.1-152.img
 disk0:/asasfr-5500x-boot-5.3.1-152.img
    3. 輸入以下命令以在ASA快閃記憶體驅動器中配置ASA SFR引導映像位置:
      ciscoasa# sw-module module sfr recover configure image disk0:/file_path

      以下是範例:

      ciscoasa# sw-module module sfr recover configure image disk0:
 /asasfr-5500x-boot-5.3.1-152.img
    4. 輸入以下命令以載入ASA SFR引導映像:
      ciscoasa# sw-module module sfr recover boot

      在此期間,如果您在ASA上啟用debug module-boot,系統會顯示以下調試:

      Mod-sfr 788> *** EVENT: Creating the Disk Image...
      Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
      Mod-sfr 790> ***
      Mod-sfr 791> ***
      Mod-sfr 792> *** EVENT: The module is being recovered.
      Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
      Mod-sfr 794> ***
      ...
      Mod-sfr 795> ***
      Mod-sfr 796> *** EVENT: Disk Image created successfully.
      Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
      Mod-sfr 798> ***
      Mod-sfr 799> ***
      Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
       ISO: -cdrom /mnt/disk0
      Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
       Mgmt MAC: A4:4C:11:29:
      Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
       cache=none,if=virtio,
      Mod-sfr 803> Dev
      Mod-sfr 804> ***
      Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
       32MB, Cmd Op: r, Shared M
      Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
       Sock: /dev/ttyS1_vm3,
      Mod-sfr 807>  Mem-Path: -mem-path /hugepages
      Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
      Mod-sfr 809> ***
      Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
       key is 8061, size is 6
      ...
      Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
       acpid.
      Mod-sfr 240> acpid: starting up with proc fs
      Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
      Mod-sfr 242> starting Busybox inetd: inetd... done.
      Mod-sfr 243> Starting ntpd: done
      Mod-sfr 244> Starting syslogd/klogd: done
      Mod-sfr 245>
      Cisco ASA SFR Boot Image 5.3.1
    5. 等待大約5到15分鐘,使ASA SFR模組啟動,然後打開運行中的ASA SFR引導映像的控制檯會話。

    設定ASA SFR引導映像

    要設定新安裝的ASA SFR引導映像,請完成以下步驟:

    1. 在您打開會話後按Enter可進入登入提示符。

      注意:預設使用者名稱是admin。密碼因軟體版本而異:Adm!n123 7.0.1版(僅限出廠時的新裝置),Admin123 6.0版及更高版本,Sourcefire 6.0之前的版本。

      以下是範例:

      ciscoasa# session sfr console
      Opening console session with module sfr.
      Connected to module sfr. Escape character sequence is 'CTRL-^X'.

      Cisco ASA SFR Boot Image 5.3.1
      asasfr login: admin
      Password: Admin123

      提示:如果未完成ASA SFR模組引導,則會話命令將失敗,並顯示一條消息,指示系統無法通過TTYS1進行連線。如果發生這種情況,請等候模組開機完成,然後再試一次。

    2. 輸入setup命令配置系統,以便您可以安裝系統軟體套件:
      asasfr-boot> setup
                               Welcome to SFR Setup
                                [hit Ctrl-C to abort]
                              Default values are inside []

      然後系統會提示您輸入以下資訊:

      • Host name - 主機名最多可以包含65個字母數字字元,且不能包含空格。允許使用連字型大小。
      • Network address - 網路地址可以是靜態IPv4或IPv6地址。您也可以使用DHCP進行IPv4或IPv6無狀態自動配置。
      • DNS information - 您必須辨識至少一個網域名稱系統(DNS)伺服器,而且您也可以設定網域名稱與搜尋網域。
      • NTP information - 您可以啟用網路時間協定(NTP)並配置NTP伺服器以設定系統時間。
    3. 輸入命令system install安裝系統軟體映象:
      asasfr-boot >system install [noconfirm] url

      如果您不想對確認消息做出響應,請包括noconfirm選項。用url檔案的位置替換.pkg關鍵字。同樣,您可以使用FTP、HTTP或HTTPS伺服器。以下是範例:


      asasfr-boot >system install http:// 
       /asasfr-sys-5.3.1-152.pkg
      Verifying
      Downloading
      Extracting


      Package Detail
              Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
              Requires reboot: Yes

      Do you want to continue with upgrade? [y]: y
      Warning: Please do not interrupt the process or turn off the system. Doing so
       might leave system in unusable state.

      
Upgrading
      Starting upgrade process ...
      Populating new system image
      
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
      (press Enter)

      Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
      The system is going down for reboot NOW!
      Console session with module sfr terminated.

    對於FTP伺服器,URL如下所示:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg

    注意:在安裝過程中SFR處於「Recover」狀態。完成SFR模組的安裝可能需要一個小時左右。   安裝完成後,系統重新啟動。為應用程式元件安裝和ASA SFR服務啟動留出10分鐘或更長時間。show module sfr命令的輸出表明所有進程都是Up

    設定

    本節介紹如何配置FirePOWER軟體和FireSIGHT管理中心,以及如何將流量重定向到SFR模組。

    配置FirePOWER軟體

    要配置FirePOWER軟體,請完成以下步驟:

    1. 打開ASA SFR模組的會話。

      :現在顯示另一個登入提示,因為此登入發生在功能完整的模組上。

      以下是範例:


      ciscoasa# session sfr
      Opening command session with module sfr.
      Connected to module sfr. Escape character sequence is 'CTRL-^X'.
      Sourcefire ASA5555 v5.3.1 (build 152)
      Sourcefire3D login:
    2. 使用使用者名稱admin登入和密碼因軟體版本而異:7.0.1版Adm!n123(僅限出廠時的新裝置)Admin123,6.0版及更高版本Sourcefire(6.0之前版本)。
    3. 按照提示完成系統配置,配置順序如下:
      1. 閱讀並接受終端使用者許可協定(EULA)。
      2. 更改管理員密碼。
      3. 根據提示組態管理地址和DNS設定。

        注意:您可以配置IPv4和IPv6管理地址。

      以下是範例:


      System initialization in progress. Please stand by. You must change the password
 for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
       198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
    4. 等待系統重新配置自身。

    配置FireSIGHT管理中心

    要管理ASA SFR模組和安全策略,您必須向FireSIGHT管理中心註冊該模組。有關詳細資訊,請參閱向FireSIGHT管理中心註冊裝置。您無法使用FireSIGHT管理中心執行這些操作:

    • 配置ASA SFR模組介面
    • 關閉、重新啟動或以其他方式管理ASA SFR模組進程
    • 從ASA SFR模組裝置建立備份或將備份還原到
    • 編寫訪問控制規則,以便使用VLAN標籤條件匹配流量

    將流量重定向至SFR模組

    要將流量重定向到ASA SFR模組,您必須建立用於辨識特定流量的服務策略。完成以下步驟以將流量重定向至ASA SFR模組:

    1. 選擇必須用access-list命令辨識的流量。在本例中,來自所有介面的所有流量都將被重定向。您也可以針對特定流量執行此操作。
      ciscoasa(config)# access-list sfr_redirect extended permit ip any any
    2. 建立類對映以匹配訪問清單上的流量:
      ciscoasa(config)# class-map sfr
      ciscoasa(config-cmap)# match access-list sfr_redirect
    3. 指定部署模式。您可以在被動(僅監控)或內聯(正常)部署模式下配置裝置。

      注意:您不能在ASA上同時配置被動模式和內聯模式。只允許一種安全策略。

      • 在內聯部署中,SFR模組根據訪問控制策略檢查流量,並提供判定給ASA對流量流採取適當的操作(允許、拒絕等)。此示例顯示如何在內聯模式下建立策略對映並配置ASA SFR模組。 
      • 請驗證當前global_policy是否配置了其他模組配置(show run policy-map global_policy, show run service-policy),然後首先重置/刪除其他模組配置的global_policy,然後重新配置global_policy

        ciscoasa(config)# policy-map global_policy
        ciscoasa(config-pmap)# class sfr
        ciscoasa(config-pmap-c)# sfr fail-open
      • 在被動部署中,流量的副本被傳送到SFR服務模組,但不會返回到ASA。被動模式允許您檢視SFR模組在流量方面應完成的操作。它還允許您評估流量的內容,而不會對網路產生影響。

        如果您想在被動模式下配置SFR模組,請使用monitor-only關鍵字(如下例所示)。如果不包括關鍵字,則以內聯模式傳送流量。
        ciscoasa(config-pmap-c)# sfr fail-open monitor-only

      警告monitor-only模式不允許SFR服務模組拒絕或阻止惡意流量。

      注意:使用interface-level traffic-forward sfr monitor-only命令可以將ASA配置為monitor-only模式;但是,此配置僅用於演示功能,不能用於生產ASA。思科技術支援中心(TAC)不支援在此演示功能中發現的任何問題。如果您希望以被動模式部署ASA SFR服務,請使用策略對映進行配置。

    4. 指定位置並應用策略。您可以全局應用策略或在介面上應用策略。要覆蓋介面上的全局策略,可以將服務策略應用到該介面。

      關鍵字global將策略對映應用於所有介面,關鍵字interface將策略應用於一個介面。只允許一個全局策略。在本示例中,策略全局應用:
      ciscoasa(config)# service-policy global_policy global

      注意:策略對映global_policy是預設策略。如果您使用此策略並希望將其刪除以進行故障排除,請確保您瞭解其含義。

    驗證

    目前沒有適用於此組態的驗證程序。

    疑難排解

    • 您可以運行此命令(debug module-boot),以便在SFR引導映像安裝開始時啟用調試。 
    • 如果ASA在恢復模式中受阻,而控制檯沒有啟動,那麼您會嘗試此命令(sw-module module sfr recover stop)。
    • 如果SFR模組無法脫離恢復狀態,則可以嘗試重新載入ASA (reload quick)。(如果流量通過,則可能導致網路干擾)。如果Still SFR停滯在恢復狀態,您可以關閉ASA和unplug the SSD卡並啟動ASA。檢查模組的狀態,它必須是INIT狀態。再次關閉ASA,insert the SSD card並啟動ASA。您可以開始重新映像ASA SFR模組。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    4.0
    27-Sep-2024
    重新認證
    2.0
    22-Jun-2022
    已增加安全IPS和FTP伺服器的URL。已重新格式化超連結並刪除了示例。已編輯安裝、故障排除和配置部分。
    1.0
    04-Nov-2014
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Nazmul Rajib
      Cisco Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品