使用远程管理中心部署威胁防御

本章对您适用吗？

要查看所有可用的应用和管理器，请参阅哪种应用和管理器适合您？。本章适用于威胁防御和管理中心。

本章介绍如何管理位于中央总部的威胁防御和管理中心。对于本地部署，其中管理中心位于本地管理网络上，请参阅使用管理中心部署威胁防御。

关于防火墙

硬件可以运行威胁防御软件或 ASA 软件。在威胁防御和 ASA 之间切换需要您对设备进行重新映像。如果您需要不同于当前安装的软件版本，则还应重新映像。请参阅Cisco Secure Firewall ASA 和 Secure Firewall Threat Defense 重新映像指南。

防火墙会运行被称为 Secure Firewall eXtensible 操作系统 (FXOS) 的底层操作系统。防火墙不支持 FXOS Cisco Secure Firewall 机箱管理器；出于故障排除目的，仅支持受限的 CLI。有关详细信息，请参阅适用于具备 Firepower 威胁防御的 Firepower 1000/2100 和 Cisco Secure Firewall 3100/4200 的思科 FXOS 故障排除指南。

隐私收集声明 - 防火墙不要求或主动收集个人身份信息。但是，您可以在配置中使用个人身份信息，例如用户名。在这种情况下，管理员在执行配置或使用 SNMP 时可能会看到此信息。

远程管理的工作原理

要允许管理中心通过互联网管理威胁防御，请使用外部接口而不是管理接口进行管理中心管理。由于大多数远程分支机构都只有一个互联网连接，因此外部管理器访问让集中管理成为了可能。

注	管理连接是信道自身与设备之间的 TLS-1.3 加密的安全通信信道。出于安全目的，您不需要通过额外的加密隧道（例如站点间 VPN）运行此流量。例如，如果 VPN 发生故障，您将失去管理连接，因此我们建议使用简单的管理路径。

在 CLI 预配置威胁防御，然后将威胁防御发送到远程分支机构。
在分支机构，连接电缆并打开威胁防御电源。
使用管理中心完成注册威胁防御。

威胁防御管理器访问接口

本指南涵盖介绍外部接口访问，因为它是远程分支机构最可能遇到的场景。虽然管理器访问发生在外部接口上，但专用管理接口仍然相关。管理接口是一个与威胁防御数据接口分开配置的特殊接口，它有自己的网络设置。

即使您在数据接口上启用了管理器访问，也仍会使用管理接口网络设置。
所有管理流量会继续源自或发往管理接口。
如果在数据接口上启用了管理器访问，威胁防御会将传入管理流量通过背板转发到管理接口。
对于传出管理流量，管理接口会通过背板将流量转发到数据接口。

管理器访问要求

从数据接口进行管理器访问具有以下限制：

只能在物理数据接口上启用管理器访问。不能使用子接口或 EtherChannel。您还可以使用管理中心在单个辅助接口上启用管理器访问，以实现冗余。
此接口不能是仅管理接口。
仅路由防火墙模式，使用路由接口。
不支持 PPPoE。如果您的 ISP 需要 PPPoE，则必须在威胁防御与 WAN 调制解调器之间放入支持 PPPoE 的路由器。
接口只能位于全局 VRF 中。
默认不对数据接口启用 SSH，因此必须稍后使用管理中心来启用 SSH。由于管理接口网关将更改为数据接口，因此您也无法启动从远程网络到管理接口的 SSH 会话，除非您使用 configure network static-routes 命令为管理接口添加静态路由。
您不能使用单独的管理接口和仅事件接口。
不支持集群技术。在这种情况下，必须使用管理接口。

高可用性要求

将数据接口与设备高可用性配合使用时，请参阅以下要求。

在两台设备上使用相同的数据接口进行管理器访问。
不支持冗余管理器访问数据接口。
不能使用 DHCP；仅支持静态 IP 地址。无法使用依赖 DHCP 的功能，包括 DDNS 和零接触调配。
在同一子网中有不同的静态 IP 地址。
使用 IPv4 或 IPv6；不能同时设置。
使用相同的管理器配置（configure manager add 命令）确保连接相同。
不能将数据接口用作故障转移链路或状态链路。

远程分支机构网络

下图显示了防火墙的典型网络部署，其中：

管理中心位于中央总部。
威胁防御使用外部接口进行管理员访问。
威胁防御或管理中心需要公共 IP 地址或主机名以允许入站管理连接；您需要知道该 IP 地址以进行初始设置。您还可以选择为外部接口配置动态 DNS (DDNS)，以适应不断变化的 DHCP IP 分配。

开始之前

部署并执行管理中心的初始配置。《适用于您的型号的入门指南》

端到端任务

请参阅以下任务以部署威胁防御和管理中心。


	CLI （中央管理员）	（可选）检查软件并安装新版本使用 CLI 进行预配置。
	物理设置（分支机构管理员）	安装防火墙。请参阅硬件安装指南。
	物理设置（分支机构管理员）	连接防火墙的电缆。
	物理设置（分支机构管理员）	打开防火墙电源
	管理中心（中央管理员）	登录管理中心。
	Cisco Commerce Workspace （中央管理员）	购买基本许可证和可选功能许可证 (获取管理中心的许可证)。
	智能软件管理器（中央管理员）	为管理中心 (获取管理中心的许可证) 生成许可证令牌。
	管理中心（中央管理员）	向智能许可证服务器 (获取管理中心的许可证) 注册管理中心。
	管理中心（中央管理员）	向管理中心添加设备。
	管理中心（中央管理员）	配置基本安全策略。

中央管理员预配置

您需要先手动预配置威胁防御，然后再将其发送到分支机构。

（可选）检查软件并安装新版本

要检查软件版本并在必要时安装不同的版本，请执行以下步骤。我们建议您在配置防火墙之前安装目标版本。或者，您也可以在启动并运行后执行升级，但升级（保留配置）可能需要比按照此程序花费更长的时间。

我应该运行什么版本？

思科建议运行软件下载页面上的版本号旁边标有金色星号的 Gold Star 版本。您还可以参考 https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html 中所述的发布策略；例如，此公告描述短期版本编号（包含最新功能）、长期版本编号（较长时间的维护版本和补丁）或额外长期版本编号（最长期限的维护版本和补丁，用于政府认证）。

过程

步骤 1

连接到控制台端口。有关详细信息，请参阅访问威胁防御和FXOS CLI。

使用用户名 admin 和默认密码 Admin123 登录。

您连接到 FXOS CLI。第一次输入登录时，系统会提示您更改密码。此密码也用于 SSH 的威胁防御登录。

注	如果密码已更改，但您不知道，则必须执行出厂重置以将密码重置为默认值。有关出厂重置程序的信息，请参阅 FXOS 故障排除指南。

示例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

步骤 2

在 FXOS CLI 中，显示正在运行的版本。

scope ssa

show app-instance

示例:


Firepower# scope ssa
Firepower /ssa # show app-instance

Application Name     Slot ID    Admin State     Operational State    Running Version Startup Version Cluster Oper State
-------------------- ---------- --------------- -------------------- --------------- --------------- ------------------
ftd                  1          Enabled         Online               7.6.0.65        7.6.0.65        Not Applicable

步骤 3

如果要安装新版本，请执行这些步骤。

如果要为管理接口设置静态 IP 地址，请参阅使用 CLI 进行预配置。默认情况下，管理接口将使用 DHCP。

您需要从可通过管理接口访问的服务器下载新的映像。
执行《FXOS 故障排除指南》中的重新映像程序。

防火墙重新启动后，您可以再次连接到 FXOS CLI。
在 FXOS CLI 中，系统会提示您再次设置管理员密码。

对于零接触调配，当您载入设备时，请务必为密码重置 (Password Reset) 区域选择否...(No...)，因为您已设置密码。
关闭设备. 请参阅在 CLI 关闭防火墙电源。

使用 CLI 进行预配置

使用设置向导设置管理 IP 地址、网关和其他基本网络设置。

Procedure

Step 1

打开防火墙电源。

Note

首次启动威胁防御时，初始化大约需要 15 到 30 分钟。

Step 2

连接到控制台端口上的威胁防御 CLI。

控制台端口连接到 FXOS CLI。

Step 3

使用用户名 admin 和密码 Admin123 登录。

第一次登录 FXOS 时，系统会提示您更改密码。此密码也用于 SSH 的威胁防御登录。

Note

如果密码已更改，但您不知道，则必须重新映像设备以将密码重置为默认值。有关重新映像程序的信息，请参阅 FXOS 故障排除指南。

Example:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

Step 4

连接到威胁防御 CLI。

connect ftd

Example:


firepower# connect ftd
>

Step 5

第一次登录威胁防御时，系统会提示您接受《最终用户许可协议》(EULA)和，如果使用 SSH 连接，则会提示您更改 admin 密码。然后，您将看到管理接口设置的 CLI 设置脚本。

即使您在数据接口上启用了管理器访问，也仍会使用管理接口设置。

Note

除非清除配置，否则无法重复 CLI 安装向导（例如，通过重新建立映像）。但是，可以稍后在 CLI 中使用 configure network 命令更改所有这些设置。请参阅 Cisco Secure Firewall Threat Defense 命令参考。

默认值或以前输入的值会显示在括号中。要接受之前输入的值，请按 Enter 键。

请参阅以下准则：

是否要配置 IPv4？和/或是否要配置 IPv6？-为至少一种地址类型输入 y 。虽然您不打算使用管理接口，但必须设置 IP 地址，例如专用地址。
通过 DHCP 还是手动配置 IPv4？和/或通过 DHCP、路由器还是手动配置 IPv6？- 选择手动。如果管理接口设置为 DHCP，则无法配置数据接口用于管理，因为默认路由（必须是 data-interfaces，请参阅下一个要点）可能会被接收自 DHCP 服务器的路由覆盖。
输入管理接口的 IPv4 默认网关和/或输入管理接口的 IPv6 网关— 将网关设置为 data-interfaces。此设置将在背板上转发管理流量，因此可路由通过管理器访问数据接口。
配置防火墙模式？(Configure firewall mode?) — 输入 routed。只有路由防火墙模式支持外部管理器访问。

Example:


You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA:

System initialization in progress.  Please stand by.
You must configure the network to continue.
Configure at least one of IPv4 or IPv6 unless managing via data interfaces.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [y]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.61]: 10.89.5.17
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]:
Enter a fully qualified hostname for this system [firepower]: 1010-3
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220,2620:119:35::35]:
Enter a comma-separated list of search domains or 'none' []: cisco.com
If your networking information has changed, you will need to reconnect.
Disabling IPv6 configuration: management0
Setting DNS servers: 208.67.222.222,208.67.220.220,2620:119:35::35
Setting DNS domains:cisco.com
Setting hostname as 1010-3
Setting static IPv4: 10.89.5.17 netmask: 255.255.255.192 gateway: data on management0
Updating routing tables, please wait...
All configurations applied to the system. Took 3 Seconds.
Saving a copy of running network configuration to local disk.
For HTTP Proxy configuration, run 'configure network http-proxy'


DHCP server is already disabled
DHCP Server Disabled
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ...


Device is in OffBox mode - disabling/removing port 443 from iptables.
Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

Step 6

配置用于管理器访问的外部接口。

configure network management-data-interface

然后，系统会提示您为外部接口配置基本网络设置。请参阅以下有关使用此命令的详细信息：

如果您要使用数据接口进行管理，则管理接口无法使用 DHCP。如果在初始设置期间没有手动设置 IP 地址，则可以使用 configure network {ipv4 | ipv6} manual 命令之前设置它。如果您尚未将管理接口网关设置为 data-interfaces，此命令将立即设置它。
当您将威胁防御添加到管理中心时，管理中心会发现并维护接口配置，包括以下设置：接口名称和 IP 地址、网关静态路由、DNS 服务器和 DDNS 服务器。有关 DNS 服务器配置的详细信息，请参阅下文。在管理中心中，您可以稍后对管理器访问接口配置进行更改，但要确保更改不会阻止威胁防御或管理中心重新建立管理连接。如果管理连接中断，威胁防御将包含 configure policy rollback 命令以恢复以前的部署。
如果配置 DDNS 服务器更新 URL，则威胁防御会自动添加来自 Cisco 受信任根 CA 捆绑包的所有主要 CA 证书，以便威胁防御可以验证用于 HTTPS 连接的 DDNS 服务器证书。威胁防御支持使用 DynDNS 远程 API 规范 (https://help.dyn.com/remote-access-api/) 的任何 DDNS 服务器。
此命令设置数据接口 DNS 服务器。使用设置脚本（或使用 configure network dns servers 命令）设置的管理 DNS 服务器用于管理流量。数据 DNS 服务器用于 DDNS（如果已配置）或适用于此接口的安全策略。

在管理中心上，数据接口 DNS 服务器在您分配给此威胁防御的平台设置策略中配置。当您将威胁防御添加到管理中心时，本地设置将保留，并且 DNS 服务器不会添加到平台设置策略。但是，如果稍后将平台设置策略分配给包含 DNS 配置的威胁防御，则该配置将覆盖本地设置。我们建议您主动配置与此设置匹配的 DNS 平台设置，以使管理中心和威胁防御同步。

此外，仅当在初始注册时发现 DNS 服务器，管理中心才会保留本地 DNS 服务器。例如，如果您使用管理接口注册了设备，但随后使用 configure network management-data-interface 命令配置数据接口，则必须在管理中心中手动配置所有这些设置（包括 DNS 服务器），以便与威胁防御配置匹配。
将威胁防御注册到管理中心后，您可以将该管理接口更改为管理接口或另一数据接口。
您在安装向导中设置的 FQDN 将用于此接口。
您可以通过命令清除整个设备配置；在恢复场景中可使用此选项，但我们不建议您在初始设置或正常操作中使用它。
要禁用数据管理，请输入 configure network management-data-interface disable 命令。

Example:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://dwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

Example:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

Step 7

(Optional) 限制在特定网络上通过数据接口访问管理中心。

configure network management-data-interface client ip_address netmask

默认情况下，允许所有网络。

Step 8

确定将管理此威胁防御的管理中心。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

{hostname | IPv4_address | IPv6_address | DONTRESOLVE} - 指定管理中心的 FQDN 或 IP 地址。如果管理中心不是直接可寻址的，请使用 DONTRESOLVE。必须至少有一个设备（管理中心或威胁防御）具有可访问的 IP 地址，才能在两个设备之间建立双向 SSL 加密的通信通道。如果在此命令中指定 DONTRESOLVE，则威胁防御必须有可访问的 IP 地址或主机名。
reg_key - 指定您选择的一次性注册密钥，注册威胁防御时也要在管理中心上指定它。注册密钥不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。
nat_id - 指定了您选择的唯一一次性字符串，您还需要在管理中心上指定它。如果使用数据接口进行管理，则必须同时在威胁防御和管理中心上指定注册用的 NAT ID。NAT ID 不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。此 ID 不能用于将任何其他设备注册到管理中心。

Example:


> configure manager add fmc-1.example.com regk3y78 natid56
Manager successfully configured.

Step 9

关闭威胁防御，以便将设备发送到远程分支机构。

正确关闭系统非常重要。仅拔掉电源或按下电源开关可能会导致文件系统严重损坏。请记住，有许多进程一直在后台运行，拔掉或关闭电源不能正常关闭系统。

输入 shutdown 命令。
观察电源 LED 和状态 LED 以验证机箱是否已断电（不亮）。
在机箱成功关闭电源后，您可以在必要时拔下电源插头以物理方式断开机箱的电源。

分支机构安装

收到来自中央总部的威胁防御后，您只用连接并打开防火墙电源，即可从外部接口访问互联网。然后，中央管理员即可完成配置。

连接防火墙的电缆

管理中心和您的管理计算机位于远程总部，可以通过互联网接通威胁防御。要连接 Cisco Secure Firewall 4200，请参阅以下步骤。

开始之前

将 SFP 安装到数据接口端口 - 内置端口是需要 SFP 模块的 1/10/25-Gb SFP 端口。
（可选）获取控制台电缆 - 默认情况下，防火墙不随附控制台电缆，因此您需要购买第三方 USB 转 RJ-45 串行电缆。

过程

步骤 1	安装机箱。请参阅硬件安装指南。
步骤 2	将外部接口（例如，以太网 1/1）连接到外部路由器。
步骤 3	将内部接口（例如，以太网 1/2）连接到内部交换机或路由器。
步骤 4	将其他网络连接到其余接口。
步骤 5	(可选) 将管理计算机连接到控制台端口。在分支机构的日常工作中不需要使用控制台连接；但出于故障排除目的，可能需要此连接。

打开防火墙电源

系统电源由位于防火墙后部的摇杆电源开关控制。电源开关以软通知开关形式实施，支持平稳地关闭系统以降低系统软件及数据损坏的风险。

注	首次启动威胁防御时，初始化大约需要 15 到 30 分钟。

开始之前

为防火墙提供可靠的电源（例如，使用不间断电源 (UPS)）非常重要。未事先关闭就断电可能会导致严重的文件系统损坏。后台始终有许多进程在运行，因此断电会使得系统无法正常关闭。

过程

步骤 1

将电源线一端连接到防火墙，另一端连接到电源插座。

步骤 2

使用位于机箱背面电源线旁边的标准摇杆型电源开关打开电源。

步骤 3

检查防火墙背面的电源 LED；如果该 LED 呈绿色稳定亮起，表示防火墙已接通电源。

步骤 4

检查防火墙背面的系统 LED；其呈绿色稳定亮起之后，系统已通过通电诊断。

注	将开关从开切换到关时，系统可能需要几秒钟才会最终关闭。在此期间，机箱前面的电源 LED 将闪烁绿色。在电源 LED 完全关闭之前，请勿拔出电源。

中央管理员后配置

在远程分支机构管理员通过电缆连接威胁防御以便从外部接口访问互联网之后，您可以将威胁防御注册到管理中心并完成设备的配置。

登录管理中心

使用管理中心配置并监控威胁防御。

过程

步骤 1

使用支持的浏览器输入以下 URL。

https://fmc_ip_address

步骤 2

输入您的用户名和密码。

步骤 3

点击登录。

获取管理中心的许可证

所有许可证都由管理中心提供给威胁防御。您可以选择购买以下功能许可证：

基础版-（必需）基础版许可证。
IPS - 安全情报和下一代 IPS
恶意软件防御-恶意软件防御
URL 过滤—URL 过滤
Cisco Secure 客户端-Secure Client Advantage、Secure Client Premier 或 Secure Client VPN Only
运营商 - Diameter、GTP/GPRS、M3UA、SCTP

有关思科许可的更详细概述，请访问 cisco.com/go/licensingguide

开始之前

拥有一个智能软件管理器帐户。

如果您还没有账户，请点击此链接以设置新账户。通过思科智能软件管理器，您可以为组织创建一个账户。
您的智能软件许可帐户必须符合强加密 (3DES/AES) 许可证的要求，才能使用某些功能（已使用导出合规性标志启用）。

过程

步骤 1

请确保智能许可帐户包含所需的可用许可证。

当您从思科或经销商那里购买设备时，您的许可证应该已链接到您的智能软件许可证帐户。但是，如果您需要自己添加许可证，则请使用思科商务工作空间上的搜索全部 (Search All) 字段。

从结果中选择产品和服务 (Products & Services)。

搜索以下许可证 PID：

注	如果未找到 PID，您可以手动将 PID 添加到订单中。

基础版许可证：
- L-FPR4215-BSE=
- L-FPR4225-BSE=
- L-FPR4245-BSE=
IPS、恶意软件防御和 URL 许可证组合：
- L-FPR4215T-TMC=
- L-FPR4225T-TMC=
- L-FPR4245T-TMC=
当您将上述 PID 之一添加到您的订单时，可以选择与以下 PID 之一对应的定期订用：
- L-FPR4215T-TMC-1Y
- L-FPR4215T-TMC-3Y
- L-FPR4215T-TMC-5Y
- L-FPR4225T-TMC-1Y
- L-FPR4225T-TMC-3Y
- L-FPR4225T-TMC-5Y
- L-FPR4245T-TMC-1Y
- L-FPR4245T-TMC-3Y
- L-FPR4245T-TMC-5Y
运营商许可证：
- L-FPR4200K-FTD-CAR=
Cisco Secure 客户端-请参阅思科安全客户端订购指南。

步骤 2

如果尚未注册，请向智能软件管理器注册管理中心。

注册需要您在智能软件管理器中生成注册令牌。有关详细指示，请参阅管理中心配置指南。

向管理中心添加设备

使用设备 IP 地址或主机名及注册密钥将威胁防御手动注册到管理中心。

过程

步骤 1

在管理中心上，选择设备 (Devices) > 设备管理 (Device Management)。

步骤 2

从添加下拉列表中，选择添加设备。

默认情况下会选择注册密钥方法。

设置以下参数：

主机 (Host) - 输入要添加的威胁防御的 IP 地址或主机名。如果在威胁防御初始配置中同时指定了管理中心 IP 地址和 NAT ID，可以将此字段留空。

注	在 HA 环境中，当两个管理中心都位于 NAT 之后时，则可以在主管理中心中注册威胁防御而无需主机 IP 或名称。但是，要在辅助管理中心中注册威胁防御，则必须提供威胁防御的 IP 地址或主机名。

显示名称 (Display Name) - 输入要在管理中心中显示的威胁防御的名称。
注册密钥 (Registration Key) - 输入您在威胁防御初始配置中指定的注册密钥。
域 (Domain) - 如果有多域环境，请将设备分配给分叶域。
组 (Group) - 如果在使用组，则将其分配给设备组。
访问控制策略 (Access Control Policy) - 选择初始策略。除非已经拥有您知道自己需要使用的自定义策略，否则选择新建策略 (Create new policy)，然后选择阻止所有流量 (Block all traffic)。之后您可以更改此设置以允许流量通过；请参阅允许流量从内部传到外部。

图 8. 新建策略
智能许可—为要部署的功能分配所需的智能许可证。注意： 在添加设备后，您可以从系统 > 许可证 > 智能许可证页面应用 Secure Client 远程访问 VPN 许可证。
唯一 NAT ID (Unique NAT ID) - 指定您在威胁防御初始配置中指定的 NAT ID。
转移数据包 (Transfer Packets) - 可让设备将数据包传输至管理中心。如果在启用此选项时触发了 IPS 或 Snort 等事件，设备会将事件元数据信息和数据包数据发送到管理中心进行检测。如果禁用此选项，只有事件信息会发送到管理中心，数据包数据不发送。

步骤 3

单击注册 (Register)，并确认注册成功。

如果注册成功，设备将添加到列表中。如果注册失败，您会看到一则错误消息。如果威胁防御注册失败，请检查以下项：

Ping - 访问威胁防御 CLI，然后使用以下命令 ping 管理中心 IP 地址：

ping system ip_address

如果 ping 不成功，使用 show network 命令检查网络设置。如果需要更改威胁防御管理 IP 地址，请使用 configure network management-data-interface 命令。
注册密钥、NAT ID 和管理中心 IP 地址 - 确保在两个设备上使用相同的注册密钥和 NAT ID（如有使用）。可以在威胁防御使用 configure manager add 命令设定注册密钥和 NAT ID。

有关更多故障排除信息，请参阅 https://cisco.com/go/fmc-reg-error。

配置基本安全策略

本部分介绍如何使用以下设置配置基本安全策略：

内部和外部接口 - 为内部接口分配静态 IP 地址。您在管理器访问设置中配置了外部接口的基本设置，但仍需要将其分配给安全区域。
DHCP 服务器 - 在内部接口上为客户端使用 DHCP 服务器。
NAT - 在外部接口上使用接口 PAT。
访问控制 - 允许流量从内部传到外部。
SSH - 在管理器访问接口上启用 SSH。

配置接口

启用威胁防御接口，为其分配安全区域并设置 IP 地址。还要配置分支接口。。

以下示例使用 DHCP 在接口内部配置了一个路由模式（含静态地址），并在接口外部配置了一个路由模式。

过程

步骤 1	选择设备 (Devices) > 设备管理 (Device Management)，然后点击防火墙的编辑（）。
步骤 2	点击接口 (Interfaces)。图 9. 接口
步骤 3	要从 40-Gb 接口（部分型号上可用）创建 4 x 10-Gb 分支接口，请点击接口的分支图标。如果您已经在配置中使用了 40-Gb 接口，则必须在继续创建分支之前删除该配置。
步骤 4	点击要用于内部的接口的编辑（）。此时将显示一般 (General) 选项卡。图 10. “常规”选项卡输入长度最大为 48 个字符的名称 (Name)。例如，将接口命名为 inside。选中启用 (Enabled) 复选框。将模式 (Mode) 保留为无 (None)。从安全区域 (Security Zone) 下拉列表中选择一个现有的内部安全区域，或者点击新建 (New) 添加一个新的安全区域。例如，添加一个名为 inside_zone 的区域。必须将每个接口分配给安全区域和/或接口组。每个接口只能属于一个安全区域，但可以同时属于多个接口组。您可以根据区域或组应用安全策略。例如，您可以将内部接口分配到内部区域，而将外部接口分配到外部区域。然后可以配置访问控制策略，允许流量从内部传到外部，但不允许从外部传入内部。大多数策略仅支持安全区域；您可以在 NAT 策略、预过滤器策略和 QoS 策略中使用区域或接口组。点击 IPv4 和/或 IPv6 选项卡。 IPv4 - 从下拉列表中选择使用静态 IP (Use Static IP)，然后以斜杠表示法输入 IP 地址和子网掩码。例如，输入 192.168.1.1/24 图 11. IPv4 选项卡 IPv6 - 为无状态自动配置选中自动配置 (Autoconfiguration) 复选框。图 12. IPv6 选项卡点击确定 (OK)。
步骤 5	点击要用于外部的接口的编辑（）。此时将显示一般 (General) 选项卡。图 13. “常规”选项卡您已经为该接口预配置了管理器访问，因此该接口就已经命名、启用和寻址。您不应更改任何这些基本设置，因为这样做会中断管理中心管理连接。您仍然必须在此屏幕上为直通流量策略配置安全区域。从安全区域 (Security Zone) 下拉列表中选择一个现有的外部安全区域，或者点击新建 (New) 添加一个新的安全区域。例如，添加一个名为 outside_zone 的区域。点击确定 (OK)。
步骤 6	点击保存 (Save)。

配置 DHCP 服务器

如果希望客户端使用 DHCP 从威胁防御处获取 IP 地址，请启用 DHCP 服务器。

过程

步骤 1	选择设备 (Devices) > 设备管理 (Device Management)，然后点击设备的编辑（）。
步骤 2	选择 DHCP > DHCP 服务器 (DHCP Server)。图 14. DHCP 服务器
步骤 3	在服务器 (Server）页面上点击添加 (Add)，然后配置以下选项：图 15. 添加服务器接口 (Interface) - 从下拉列表中选择接口。地址池 (Address Pool) - DHCP 服务器使用的 IP 地址的范围（从最低到最高）。IP 地址范围必须与选定接口位于相同的子网上，且不能包括接口自身的 IP 地址。启用 DHCP 服务器 (Enable DHCP Server) - 在所选接口上启用 DHCP 服务器。
步骤 4	点击确定 (OK)。
步骤 5	点击保存 (Save)。

配置 NAT

典型的 NAT 规则会将内部地址转换为外部接口 IP 地址上的端口。这类 NAT 规则称为接口端口地址转换 (PAT)。

过程

步骤 1

选择设备 (Devices) > NAT，然后点击新建策略 (New Policy) > 威胁防御 NAT (Threat Defense NAT)。

步骤 2

为策略命名，选择要使用策略的设备，然后点击Save。

策略即已添加管理中心。您仍然需要为策略添加规则。

步骤 3

点击添加规则 (Add Rule)。

Add NAT Rule 对话框将显示。

步骤 4

配置基本规则选项：

NAT 规则 (NAT Rule) - 选择自动 NAT 规则 (Auto NAT Rule)。
类型 (Type) - 选择动态 (Dynamic)。

步骤 5

在 Interface Objects 页面，将 Available Interface Objects 区域中的外部区域添加到 Destination Interface Objects 区域。

步骤 6

在转换 (Translation) 页面上配置以下选项：

原始源-点击添加（添加图标）为所有 IPv4 流量添加网络对象 (0.0.0.0/0)。

注	您不能使用系统定义的 any-ipv4 对象，因为自动 NAT 规则在对象定义过程中添加 NAT，并且您无法编辑系统定义的对象。

转换的源 (Translated Source) - 选择目标接口 IP (Destination Interface IP)。

步骤 7

点击保存 (Save) 以添加规则。

规则即已保存至 Rules 表。

步骤 8

点击 NAT 页面上的保存 (Save) 以保存更改。

允许流量从内部传到外部

如果您在注册威胁防御时创建了基本的封锁所有流量访问控制策略，则需要向策略添加规则以允许流量通过设备。以下程序可添加规则以允许从内部区域到外部区域的流量。如有其他区域，请务必添加允许流量到适当网络的规则。

过程

步骤 1	选择策略 (Policy) > 访问策略 (Access Policy) > 访问策略 (Access Policy)，然后点击分配给威胁防御的访问控制策略的编辑（）。
步骤 2	点击添加规则 (Add Rule) 并设置以下参数：图 22. 添加规则名称 (Name) - 为此规则命名，例如 inside-to-outside。所选择的源 (Selected Sources) - 从区域 (Zones)中选择内部区域，然后点击添加到源 (Add to Source)。所选择目标区域 (Selected Destination Zones) - 从区域 (Zones)中选择外部区域，然后点击添加到目标 (Add to Destination)。其他设置保留原样。
步骤 3	点击应用 (Apply)。规则即已添加至 Rules 表。
步骤 4	点击保存 (Save)。

在管理器访问数据接口上配置 SSH

如果在数据接口（例如外部）上启用了管理中心访问，则应使用此程序在该接口上启用 SSH。本节介绍如何启用威胁防御上一个或多个数据接口的 SSH 连接。

注	管理接口上默认已启用 SSH，但此屏幕不会影响管理 SSH 访问。

管理接口与设备上的其他接口分离。它用于设置设备并将其注册到管理中心。数据接口的 SSH 与管理接口的 SSH 共用内部和外部用户列表。其他设置单独进行配置：对于数据接口，使用此屏幕启用 SSH 和访问列表；数据接口的 SSH 流量使用常规路由配置，并不是所有静态路由均在设置时或 CLI 中配置。

对于管理接口，要配置 SSH 访问列表，请参阅 Cisco Secure Firewall Threat Defense 命令参考中的 configure ssh-access-list 命令。要配置静态路由，请参阅 configure network static-routes 命令。默认情况下，在初始设置时通过管理接口配置默认路由。

要使用 SSH，您也不需要允许主机 IP 地址的访问规则。您只需按照本部分配置 SSH。

您只能 SSH 到可访问接口；如果 SSH 主机位于外部接口上，则只能直接向外部接口发起管理连接。

SSH 支持以下密码和密钥交换：

Encryption—aes128-cbc, aes192-cbc, aes256-cbc, aes128-ctr, aes192-ctr, aes256-ctr
Integrity—hmac-sha2-256
Key exchange—dh-group14-sha256

注	在您连续三次尝试使用 SSH 登录 CLI 失败后，设备会终止 SSH 连接。

开始之前

可以使用 configure user add 命令。默认情况下，有一个您在初始设置期间为其配置密码的 admin 用户。还可以通过在平台设置中配置外部身份验证，在 LDAP 或 RADIUS 上配置外部用户。

您需要定义允许与设备建立 SSH 连接的主机或网络网络对象。您可以在此过程中添加对象，但如果要使用对象组标识一组 IP 地址，请确保规则中所需的组已经存在。选择对象 > 对象管理以配置对象。

注	不能使用系统提供的 any 网络对象。而是使用 any-ipv4 或 any-ipv6。

过程

步骤 1	选择设备 > 平台设置，并创建或编辑威胁防御策略。
步骤 2	选择SSH 访问 (SSH Access)。
步骤 3	标识允许 SSH 连接的接口和 IP 地址。使用此表可以限制哪些接口将接受 SSH 连接，以及允许建立这些连接的客户端的 IP 地址。您可以使用网络地址而不是单个 IP 地址。点击添加 (Add) 以添加新规则，或点击编辑 (Edit) 以编辑现有规则。配置规则属性： IP 地址-用于标识允许建立 HTTPS 连接的主机或网络的网络对象或组。从下拉列表中选择一个对象，或者点击 + 以添加新的网络对象。可用区域/接口 (Available Zones/Interfaces) - 添加包含将允许进行 SSH 连接的接口的区域。对于不在区域中的接口，可以在所选区域/接口 (Selected Zones/Interfaces) 列表下方的字段中键入接口名称，然后点击添加 (Add)。您还可以添加环回接口。仅当设备包含所选接口或区域时，才会将这些规则应用于该设备。点击确定 (OK)。
步骤 4	点击保存 (Save)。此时，您可以转至部署 > 部署并将策略部署到所分配的设备。在部署更改之后，更改才生效。

部署配置

将配置更改部署到威胁防御；在部署之前，您的所有更改都不会在设备上生效。

过程

步骤 1

点击右上方的部署 (Deploy)。

步骤 2

要快速部署，请选中特定设备，然后点击部署 (Deploy)，或者点击全部部署 (Deploy All) 以部署到所有设备。否则，对于其他部署选项，请点击高级部署 (Advanced Deploy)。

步骤 3

确保部署成功。点击菜单栏中部署 (Deploy) 按钮右侧的图标可以查看部署状态。

访问威胁防御和FXOS CLI

使用命令行界面 (CLI) 可设置系统以及对系统进行基本的故障排除。无法通过 CLI 会话配置策略。可以连接到控制台端口以访问 CLI。

也可以访问FXOS CLI以进行故障排除。

注	您也可以通过 SSH 连接到威胁防御设备的管理接口。与控制台会话不同，SSH 会话默认使用威胁防御 CLI，由此可使用 connect fxos 命令连接到 FXOS CLI。如果您为 SSH 连接打开某个数据接口，稍后可以连接到该接口上的地址。默认情况下，禁用 SSH 数据接口访问。此程序介绍控制台端口的访问（默认使用 FXOS CLI）。

过程

步骤 1

要登录 CLI，请将管理计算机连接到控制台端口。默认情况下，安全防火墙 4200 不随附控制台电缆，因此您需要购买第三方 USB 转 RJ-45 串行电缆。确保为操作系统安装任何必要的 USB 串行驱动程序。控制台端口默认为 FXOS CLI。使用以下串行设置：

9600 波特率
8 个数据位
无奇偶校验
1 个停止位

您连接到 FXOS CLI。使用 admin 用户名和初始设置时设置的密码（默认值为 Admin123）登录 CLI。

示例:


firepower login: admin
Password:
Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0
Successful login attempts for user 'admin' : 1

firepower#

步骤 2

访问威胁防御 CLI。

connect ftd

示例:


firepower# connect ftd
>

登录后，如需了解 CLI 中可用命令的相关信息，请输入 help 或 ? 。有关使用信息，请参阅Cisco Secure Firewall Threat Defense 命令参考。

步骤 3

要退出威胁防御FTD CLI，请输入 exit 或 logout 命令。

此命令会将您重新导向至 FXOS CLI 提示。有关 FXOS CLI 中可用命令的相关信息，请输入 ? 。

示例:


> exit
firepower#

关闭防火墙电源

正确关闭系统非常重要。仅拔掉电源或按下电源开关可能会导致文件系统严重损坏。请记住，有许多进程一直在后台运行，拔掉或关闭电源不能正常关闭防火墙系统。

您可以使用管理中心设备管理页面来关闭设备电源，也可以使用FXOS CLI。

使用管理中心关闭防火墙电源

正确关闭系统非常重要。仅拔掉电源或按下电源开关可能会导致文件系统严重损坏。请记住，有许多进程一直在后台运行，拔掉或关闭电源不能正常关闭防火墙。

您可以使用管理中心正确关闭系统。

过程

步骤 1	选择设备 > 设备管理。
步骤 2	在要重新启动的设备旁边，点击编辑（）。
步骤 3	点击设备 (Device) 选项卡。
步骤 4	在系统 (System) 部分中点击关闭设备（）。
步骤 5	出现提示时，确认是否要关闭设备。
步骤 6	如果您与防火墙建立了控制台连接，请在防火墙关闭时留意系统提示。您将看到以下提示： `System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N]` 如果没有控制台连接，请等待大约 3 分钟以确保系统已关闭。
步骤 7	您现在可以关闭电源开关并在必要时拔下电源插头以物理方式断开机箱的电源。

在 CLI 关闭防火墙电源

您可以使用 FXOS CLI 安全地关闭系统并关闭设备。您可以通过连接到控制台端口来访问 CLI；请参阅访问威胁防御和FXOS CLI。

过程

步骤 1	在 FXOS CLI 中，连接到 local-mgmt： firepower # connect local-mgmt
步骤 2	发出 shutdown 命令： firepower(local-mgmt) # shutdown 示例: `firepower(local-mgmt)# shutdown This command will shutdown the system. Continue? Please enter 'YES' or 'NO': yes INIT: Stopping Cisco Threat Defense......ok`
步骤 3	留意防火墙关闭时的系统提示。您将看到以下提示： `System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N]`
步骤 4	您现在可以关闭电源开关并在必要时拔下电源插头以物理方式断开机箱的电源。

后续步骤

要继续配置威胁防御，请参阅适用于您的软件版本的文档：浏览 Cisco Secure Firewall Threat Defense 文档。

有关使用管理中心的信息，请参阅《Cisco Secure Firewall Management Center 设备配置指南》。

《Cisco Secure Firewall 4200 入门指南》

非歧视性语言

当地语言翻译版本说明

Results

Chapter: 使用远程管理中心部署威胁防御

使用远程管理中心部署威胁防御

远程管理的工作原理

威胁防御管理器访问接口

远程分支机构网络

开始之前

端到端任务

中央管理员预配置

（可选）检查软件并安装新版本

过程

示例:

示例:

使用 CLI 进行预配置

Procedure

Example:

Example:

Example:

Example:

Example:

Example:

分支机构安装

连接防火墙的电缆

开始之前

过程

打开防火墙电源

开始之前

过程

中央管理员后配置

登录管理中心

过程

获取管理中心的许可证

开始之前

过程

向 管理中心添加设备

过程

配置基本安全策略

配置接口

过程

配置 DHCP 服务器

过程

配置 NAT

过程

允许流量从内部传到外部

过程

在管理器访问数据接口上配置 SSH

开始之前

过程

部署配置

过程

访问威胁防御和FXOS CLI

过程

示例:

示例:

示例:

关闭防火墙电源

使用管理中心关闭防火墙电源

过程

在 CLI 关闭防火墙电源

过程

示例:

后续步骤

此文档是否有帮助?

联系我们

向管理中心添加设备