在开始之前
部署并执行 管理中心的初始配置。请参阅《思科 Firepower 管理中心 1600、2600 和 4600 硬件安装指南》或Cisco Secure Firewall Management Center Virtual 快速入门指南。
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章对您适用吗?
本章介绍如何部署使用管理中心管理的独立式威胁防御逻辑设备。要部署高可用性对或集群,请参阅《Firepower 管理中心配置指南》。
在大型网络的典型部署中,要在网段上安装多个托管设备。每个设备控制、检查、监控和分析流量,然后向管理 管理中心 报告。管理中心 通过一个 Web 界面提供集中管理控制台,可在运行中用来执行管理、分析和报告任务,以保护您的本地网络。
对于仅包含单个设备或少数设备、无需使用高性能多设备管理器(如 管理中心)的网络,您可以使用集成的 设备管理器。使用 设备管理器 基于 Web 的设备安装向导可配置小型网络部署常用的基本软件功能。
隐私收集声明 - Firepower 9300 不要求或主动收集个人身份信息。不过,您可以在配置中使用个人身份信息,例如用于用户名。在这种情况下,管理员在执行配置或使用 SNMP 时可能会看到此信息。
部署并执行 管理中心的初始配置。请参阅《思科 Firepower 管理中心 1600、2600 和 4600 硬件安装指南》或Cisco Secure Firewall Management Center Virtual 快速入门指南。
请参阅以下任务以在机箱上部署和配置 威胁防御。
工作空间 |
步骤 |
|
---|---|---|
机箱管理器 |
||
管理中心 |
||
Cisco Commerce Workspace |
获取管理中心的许可证:购买功能许可证。 |
|
智能软件管理器 |
获取管理中心的许可证:为 管理中心 生成许可证令牌。 |
|
管理中心 |
获取管理中心的许可证:向智能许可证服务器注册管理中心。 |
|
管理中心 |
||
管理中心 |
您可以从 Firepower 9300将 威胁防御 部署为本地实例或容器实例。您可以为每个安全模块安全引擎部署多个容器实例,但只能部署一个本机实例。有关每个型号的最大容器实例数,请参阅逻辑设备应用程序实例:容器或本地。可以在某些模块上使用本地实例,在其他模块上使用容器实例。
要添加高可用性对或集群,请参阅《Firepower 管理中心配置指南》。
您可以通过此程序配置逻辑设备特性,包括应用程序使用的引导程序配置。
配置与 威胁防御一起使用的管理接口;请参阅配置接口。管理接口是必需的。在 6.7 和更高版本中,您可以稍后从数据接口启用管理;但必须将管理接口分配给逻辑设备,即使您不打算在启用数据管理后使用该接口。请注意,此管理接口与仅用于机箱管理的机箱管理端口(并且该端口在接口选项卡的顶部显示为 MGMT)不同。
您还必须至少配置一个数据接口。
对于容器实例,如果您不想采用使用最少资源的默认配置文件,请在
上添加资源配置文件。对于容器实例,在您第一次安装容器实例之前,可能需要重新初始化安全模块,以保证磁盘具有正确的格式。如果必须完成此操作,您将无法保存逻辑设备。点击安全模块,然后点击重新初始化图标()。
收集以下信息:
此设备的接口 ID
管理接口 IP 地址和网络掩码
网关 IP 地址
您选择的管理中心 IP 地址和/或 NAT ID
DNS 服务器 IP 地址
步骤 1 |
在 机箱管理器中,选择逻辑设备。 |
步骤 2 |
点击 ,并设置以下参数: |
步骤 3 |
展开数据端口 (Data Ports) 区域,然后点击要分配给设备的每个接口。 您仅可分配先前在接口页面上启用的数据和数据共享接口。稍后您需要在 管理中心 中启用和配置这些接口,包括设置 IP 地址。 仅可向一个容器实例分配最多 10 个数据共享接口。此外,可以将每个数据共享接口分配至最多 14 个容器实例。数据共享接口以共享图标()表示。 具有硬件旁路功能的端口使用以下图标显示:。对于某些接口模块,仅可启用用于内联集接口的硬件旁路功能(有关内联集的信息,请参阅 《Firepower 管理中心配置指南》)。硬件绕行确保流量在断电期间继续在接口对之间流动。在软件或硬件发生故障时,此功能可用于维持网络连接性。如果您未同时分配一个硬件旁路对中的两个接口,则会收到一条警告消息,确认您是故意这样分配。您不需要使用硬件旁路功能,因此如果您愿意,可以分配单个接口。 |
步骤 4 |
点击屏幕中心的设备图标。 系统将显示对话框,可以在该对话框中配置初始引导程序设置。这些设置仅用于仅初始部署或灾难恢复。为了实现正常运行,稍后可以更改应用 CLI 配置中的大多数值。 |
步骤 5 |
在一般信息 (General Information) 页面上,完成下列操作: |
步骤 6 |
在设置选项卡上,完成下列操作: |
步骤 7 |
在协议选项卡上,阅读并接受最终用户许可协议 (EULA)。 |
步骤 8 |
点击确定 (OK) 关闭配置对话框。 |
步骤 9 |
点击保存 (Save)。 机箱通过下载指定软件版本,并将引导程序配置和管理接口设置推送至应用实例来部署逻辑设备。在逻辑设备 (Logical Devices) 页面中,查看新逻辑设备的状态。当逻辑设备将其状态显示为在线时,可以开始在应用中配置安全策略。 |
使用 管理中心配置并监控 威胁防御。
有关受支持浏览器的信息,请参阅您所用版本的发行说明(参阅https://www.cisco.com/go/firepower-notes)。
步骤 1 |
使用支持的浏览器输入以下 URL。 https://fmc_ip_address |
步骤 2 |
输入您的用户名和密码。 |
步骤 3 |
点击登录。 |
所有许可证都由 管理中心提供给 威胁防御。您可以购买下列许可证:
IPS胁-安全情报和下一代 IPS
恶意软件 防御-恶意软件 防御
URL - URL 过滤
Cisco Secure 客户端-Secure Client Advantage、Secure Client Premier 或 Secure Client VPN Only
运营商 - Diameter、GTP/GPRS、M3UA、SCTP
有关思科许可的更详细概述,请访问 cisco.com/go/licensingguide
步骤 1 |
请确保智能许可帐户包含所需的可用许可证。 当您从思科或经销商那里购买设备时,您的许可证应该已链接到您的智能软件许可证帐户。但是,如果您需要自己添加许可证,则请使用Cisco Commerce Workspace上的 Find Products and Solutions 搜索字段。搜索以下许可证 PID:
|
||
步骤 2 |
如果尚未执行此操作,请向智能许可服务器注册管理中心。 注册需要您在智能软件管理器中生成注册令牌。有关详细说明,请参阅 《Cisco Secure Firewall Management Center 管理指南》 。 |
将每个逻辑设备分别注册到同一个 管理中心。
确保 机箱管理器 逻辑设备 (Logical Devices)页面上 威胁防御 逻辑设备的状态 (Status) 为在线 (online)。
收集您在 威胁防御 初始引导程序配置中设置的以下信息(请参阅机箱管理器:添加威胁防御逻辑设备);
威胁防御管理 IP 地址或主机名,以及 NAT ID
管理中心注册密钥
在 6.7 和更高版本中,如果要使用数据接口进行管理,请在 威胁防御 CLI 上使用 configure network management-data-interface 命令。有关详细信息,请参阅 Cisco Secure Firewall Threat Defense 命令参考。
步骤 1 |
在 管理中心 上,选择 。 |
||
步骤 2 |
从添加下拉列表中,选择添加设备。 设置以下参数:
|
||
步骤 3 |
点击注册 (Register),或者如果要添加另一台设备,请点击注册并添加其他 (Register and Add Another),并确认注册成功。 如果注册成功,设备将添加到列表中。如果注册失败,您会看到一则错误消息。如果 威胁防御注册失败,请检查以下项:
有关更多故障排除信息,请参阅 https://cisco.com/go/fmc-reg-error。 |
本部分介绍如何使用以下设置配置基本安全策略:
内部和外部接口 - 为内部接口分配静态 IP 地址,并将 DHCP 用作外部接口。
DHCP 服务器 - 在内部接口上为客户端使用 DHCP 服务器。
默认路由 - 通过外部接口添加默认路由。
NAT - 在外部接口上使用接口 PAT。
访问控制 - 允许流量从内部传到外部。
要配置基本安全策略,需完成以下任务。
配置接口。 |
|
部署配置。 |
启用 威胁防御接口,为其分配安全区域并设置 IP 地址。通常,您必须至少配置两个接口才能让系统传递有意义的流量。通常,您将拥有面向上游路由器或互联网的外部接口,以及组织网络的一个或多个内部接口。其中一些接口可能是“隔离区”(DMZ),您可以在其中放置可公开访问的资产,例如 Web 服务器。
典型的边缘路由情况是通过 DHCP 从 ISP 获取外部接口地址,同时在内部接口上定义静态地址。
以下示例使用 DHCP 在接口内部配置了一个路由模式(含静态地址),并在接口外部配置了一个路由模式。
步骤 1 |
选择编辑( )。 ,然后点击防火墙的 |
||
步骤 2 |
点击接口 (Interfaces)。 |
||
步骤 3 |
点击要用于内部的接口的编辑( )。 此时将显示一般 (General) 选项卡。 |
||
步骤 4 |
点击要用于外部的接口的 编辑( )。 此时将显示一般 (General) 选项卡。
|
||
步骤 5 |
点击保存。 |
如果希望客户端使用 DHCP 从 威胁防御处获取 IP 地址,请启用 DHCP 服务器。
步骤 1 |
选择编辑( )。 ,然后点击设备的 |
步骤 2 |
选择 。 |
步骤 3 |
在服务器 (Server) 页面上点击添加 (Add),然后配置以下选项:
|
步骤 4 |
点击确定 (OK)。 |
步骤 5 |
点击保存。 |
默认路由通常指向可从外部接口访问的上游路由器。如果您将 DHCP 用作外部接口,则您的设备可能已经收到了默认路由。如果需要手动添加路由,则遵照此程序执行。如果收到来自 DHCP 服务器的默认路由,其将显示在IPv4 路由 (IPv4 Routes) 或 IPv6 路由 (IPv6 Routes) 表中。
页面上的
步骤 1 |
选择编辑( )。 ,然后点击设备的 |
步骤 2 |
选择添加路由 (Add Route),然后设置以下项: ,点击
|
步骤 3 |
点击确定 (OK)。 路由即已添加至静态路由表。 |
步骤 4 |
点击保存。 |
典型的 NAT 规则会将内部地址转换为外部接口 IP 地址上的端口。这类 NAT 规则称为接口端口地址转换 (PAT)。
步骤 1 |
选择 ,然后点击 。 |
||
步骤 2 |
为策略命名,选择要使用策略的设备,然后点击Save。 策略即已添加 管理中心。您仍然需要为策略添加规则。 |
||
步骤 3 |
点击添加规则 (Add Rule)。 Add NAT Rule 对话框将显示。 |
||
步骤 4 |
配置基本规则选项:
|
||
步骤 5 |
在 Interface Objects 页面,将 Available Interface Objects 区域中的外部区域添加到 Destination Interface Objects 区域。 |
||
步骤 6 |
在转换 (Translation) 页面上配置以下选项:
|
||
步骤 7 |
点击保存 (Save) 以添加规则。 规则即已保存至 Rules 表。 |
||
步骤 8 |
点击 NAT 页面上的保存 (Save) 以保存更改。 |
如果您在注册 威胁防御 时创建了基本的封锁所有流量访问控制策略,则需要向策略添加规则以允许流量通过设备。以下程序可添加规则以允许从内部区域到外部区域的流量。如有其他区域,请务必添加允许流量到适当网络的规则。
步骤 1 |
选择威胁防御 的访问控制策略的 编辑( )。 ,然后点击分配给 |
步骤 2 |
点击添加规则 (Add Rule) 并设置以下参数:
其他设置保留原样。 |
步骤 3 |
点击添加 (Add)。 规则即已添加至 Rules 表。 |
步骤 4 |
点击保存。 |
将配置更改部署到 威胁防御;在部署之前,您的所有更改都不会在设备上生效。
步骤 1 |
点击右上方的部署 (Deploy)。 |
步骤 2 |
点击全部部署 (Deploy All) 以部署到所有设备,或点击高级部署 (Advanced Deploy) 以部署到选择的设备。 |
步骤 3 |
确保部署成功。点击菜单栏中部署 (Deploy) 按钮右侧的图标可以查看部署状态。 |
您可以使用 威胁防御CLI 更改管理接口参数并进行故障排除。要访问 CLI,可以使用管理接口上的 SSH,也可以从 FXOS CLI 连接。
步骤 1 |
(选项 1)通过 SSH 直接连接到 威胁防御管理接口的 IP 地址。 在部署逻辑设备时,您需要设置管理 IP 地址。使用 admin 帐户和初始部署期间设定的密码登录威胁防御。 如果忘记密码,可以通过编辑 机箱管理器 中的逻辑设备来更改密码。 |
步骤 2 |
(选项 2)从 FXOS CLI,使用控制台连接或 Telnet 连接以连接到模块 CLI。 |
以下示例连接至安全模块 1威胁防御上的 ,然后退回到 FXOS CLI 的管理引擎层。
Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
CISCO Serial Over LAN:
Close Network Connection to Exit
Firepower-module1>connect ftd FTD_Instance1
============================= ATTENTION ==============================
You are connecting to ftd from a serial console. Please avoid
executing any commands which may produce large amount of output.
Otherwise, data cached along the pipe may take up to 12 minutes to be
drained by a serial console at 9600 baud rate after pressing Ctrl-C.
To avoid the serial console, please login to FXOS with ssh and use
'connect module <slot> telnet' to connect to the security module.
======================================================================
Connecting to container ftd(FTD_Instance1) console... enter "exit" to return to bootCLI
> ~
telnet> quit
Connection closed.
Firepower#
要继续配置 威胁防御,请参阅适用于您的软件版本的文档:导航思科 Firepower 文档。
有关使用 管理中心的信息,请参阅《Firepower 管理中心配置指南》。
功能名称 |
版本 |
功能信息 |
||
---|---|---|---|---|
支持在同一个 Firepower 9300 上使用独立的 ASA 和 威胁防御 模块 |
6.4 |
您现在可以在同一个 Firepower 9300 上同时部署 ASA 和 威胁防御 逻辑设备。
|
||
Firepower 4100/9300 上 威胁防御 的多实例功能 |
6.3.0 |
您现在可以在单个安全引擎/模块上部署多个逻辑设备,每台逻辑设备都设 威胁防御 容器实例。以前,您仅可部署单个本地应用实例。 要确保灵活使用物理接口,可以在 FXOS 中创建 VLAN 子接口,还可以在多个实例之间共享接口。资源管理允许您自定义每个实例的性能。 您可以使用在 2 个独立机箱上使用一个容器实例的高可用性。不支持集群。
新增/修改的 管理中心菜单项:
新增/修改的 机箱管理器屏幕:
|