تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تثبيت وحدة Cisco FirePOWER (SFR) وتكوينها على Cisco ASA وتسجيل وحدة SFR النمطية باستخدام Cisco FireSIGHT.
توصي Cisco بأن يلبي نظامك هذه المتطلبات قبل أن تحاول الإجراءات الموضحة في هذا المستند:
enable
الأمر داخل واجهة سطر الأوامر. إذا لم يتم تعيين كلمة مرور، اضغط بعد ذلك Enter
:ciscoasa> enable Password: ciscoasa#
لتثبيت خدمات FirePOWER على Cisco ASA، يلزم وجود هذه المكونات:
ملاحظة: إذا كنت تريد تثبيت خدمات FirePOWER (SFR) على وحدة جهاز ASA 5585-X، فارجع إلى تثبيت وحدة SFR على وحدة جهاز ASA 5585-X.
هذه المكونات مطلوبة على مركز إدارة FireSIGHT من Cisco:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
توفر وحدة Cisco ASA FirePOWER النمطية المعروفة أيضا باسم ASA SFR، خدمات جدار الحماية من الجيل التالي، مثل:
ملاحظة: يمكنك إستخدام وحدة ASA SFR النمطية في وضع سياق واحد أو متعدد، وفي الوضع الموجه أو الشفاف.
فكر في هذه المعلومات المهمة قبل محاولة الإجراءات الموضحة في هذا المستند:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
cxsc
يتم إستخدام الكلمة الأساسية بدلا من ips
: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
shutdown
و uninstall
الأوامر التي يتم إستخدامها لإزالة صورة SFR قديمة. فيما يلي مثال:ciscoasa# sw-module module sfr uninstall
تلميح: لتحديد حالة وحدة نمطية على ASA، أدخل show module
erasecat4000_flash:.
يصف هذا قسم كيف أن يركب ال SFR وحدة نمطية على ال ASA وكيف أن يثبت ال ASA SFR جزمة صورة.
أتمت هذا steps in order to ركبت ال SFR وحدة نمطية على ال ASA:
ملاحظة: لا تقم بنقل برنامج النظام؛ يتم تنزيله لاحقا إلى محرك الأقراص في الحالة الصلبة (SSD).
أتمت هذا steps in order to جلبت الجزمة صورة عن طريق ال ASDM:Tools > File Management
في إدارة قاعدة بيانات المحول (ASDM).أتمت هذا steps in order to جلبت الجزمة صورة عن طريق ال ASA CLI:
copy
أمر داخل ال CLI in order to جلبت الجزمة صورة إلى البرق محرك. هنا مثال يستخدم بروتوكول HTTP (إستبدال
بعنوان IP للخادم أو اسم المضيف). بالنسبة لخادم FTP، يبدو عنوان URL كما يلي:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img
.
ciscoasa# copy http:///asasfr-5500x-boot-5.3.1-152.img disk0:/asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
فيما يلي مثال:
ciscoasa# sw-module module sfr recover configure image disk0: /asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover boot
خلال هذا الوقت، إذا قمت بتمكين debug module-boot
على ASA، تتم طباعة هذه الأخطاء:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
أتمت هذا steps in order to setup ال حديثا يركب ASA SFR جزمة صورة:
Enter
بعد أن تقوم بفتح جلسة للوصول إلى مطالبة تسجيل الدخول. ملاحظة: اسم المستخدم الافتراضي هو admin
. تختلف كلمة المرور استنادا إلى إصدار البرنامج:Adm!n123
ل 7.0.1 (جهاز جديد من المصنع فقط)، Admin123
ل 6.0، وفيما بعد، Sourcefire
لمرحلة ما قبل 6. 0.
فيما يلي مثال:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
تلميح: إذا لم يتم إكمال تمهيد وحدة ASA SFR النمطية، يفشل الأمر session وتظهر رسالة تشير إلى أن النظام غير قادر على الاتصال عبر TTYS1. إذا حدث هذا، فانتظر حتى يكتمل تمهيد الوحدة النمطية ثم حاول مرة أخرى.
setup
أمر in order to شكلت النظام لذلك أنت يستطيع ركبت النظام برمجية حزمة:asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
ثم يطلب منك تقديم هذه المعلومات:
Host name
- يمكن أن يصل اسم المضيف إلى 65 حرفا ورقميا، بدون مسافات. يسمح باستخدام الواصلات.Network address
- يمكن أن يكون عنوان الشبكة إما عناوين IPv4 أو IPv6 ثابتة. يمكنك أيضا إستخدام بروتوكول DHCP للتكوين التلقائي عديم الحالة عبر بروتوكول IPv4 أو بروتوكول IPv6.DNS information
- يجب تحديد خادم واحد على الأقل لنظام أسماء المجالات (DNS)، كما يمكنك تعيين اسم المجال ومجال البحث.NTP information
- يمكنك تمكين بروتوكول وقت الشبكة (NTP) وتكوين خوادم NTP لتعيين وقت النظام. system install
أمر in order to ركبت النظام برمجية صورة:asasfr-boot >system install [noconfirm] url
تضمين noconfirm
الخيار إذا كنت لا تريد الاستجابة إلى رسائل التأكيد. إستبدال url
الكلمة الأساسية مع موقع .pkg
ملف. مرة أخرى، يمكنك إستخدام خادم FTP أو HTTP أو HTTPS. فيما يلي مثال:
asasfr-boot >system install http:///asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
بالنسبة لخادم FTP، يبدو عنوان URL كما يلي:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg
.
لاحظ أن SFR فيRecover
" أثناء عملية التثبيت. قد يستغرق الأمر ما يصل إلى ساعة أو نحو ذلك لإكمال تثبيت وحدة SFR. عند اكتمال التثبيت، تتم إعادة تمهيد النظام. اسمح بعشر دقائق أو أكثر لتثبيت مكون التطبيق ولبدء تشغيل خدمات ASA SFR. الناتج من show module sfr
الأمر يشير إلى أن جميع العمليات Up
.
يوضح هذا القسم كيفية تكوين برنامج FirePOWER و FireSIGHT Management Center، وكيفية إعادة توجيه حركة مرور البيانات إلى وحدة SFR.
أكمل الخطوات التالية لتكوين برنامج FirePOWER:
ملاحظة: تظهر الآن مطالبة تسجيل دخول مختلفة لأن تسجيل الدخول يحدث على وحدة ذات أداء وظيفي كامل.
فيما يلي مثال:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
admin
وتختلف كلمة المرور استنادا إلى إصدار البرنامج:Adm!n123
ل 7.0.1 (جهاز جديد من المصنع فقط)، Admin123
ل 6.0، وفيما بعد،Sourcefire
لمرحلة ما قبل 6. 0.ملاحظة: يمكنك تكوين كل من عنواني إدارة IPv4 و IPv6.
فيما يلي مثال:
System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 198.51.100.1 Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14 Enter a comma-separated list of search domains or 'none' [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy'
من أجل إدارة وحدة ASA SFR ونهج الأمان، يجب عليك تسجيلها باستخدام مركز إدارة FireSIGHT. راجع تسجيل جهاز باستخدام FireSIGHT Management Center للحصول على مزيد من المعلومات. لا يمكنك تنفيذ هذه الإجراءات باستخدام FireSIGHT Management Center:
لإعادة توجيه حركة المرور إلى وحدة ASA SFR النمطية، يجب عليك إنشاء سياسة خدمة تحدد حركة مرور معينة. أتمت هذا steps in order to أعدت حركة مرور إلى ASA SFR وحدة نمطية:
access-list
erasecat4000_flash:. في هذا المثال، تتم إعادة توجيه جميع حركات المرور من جميع الواجهات. يمكنك القيام بذلك لحركة مرور معينة كذلك.ciscoasa(config)# access-list sfr_redirect extended permit ip any any
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
ملاحظة: لا يمكنك تكوين كل من الوضع الخامل والوضع الداخلي في نفس الوقت على ASA. يسمح بنوع واحد فقط من نهج الأمان.
global_policy
تم تكوينه بتكوين وحدة نمطية أخرى(show run policy-map global_policy, show run service-policy)
ثم قم أولا بإعادة ضبط/إزالة global_policy لتكوين وحدة نمطية أخرى ثم أعد تكوين global_policy
.ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
monitor-only
الكلمة الأساسية (كما هو موضح في المثال التالي). إن لا يتضمن أنت الكلمة المفتاح، الحركة مرور أرسلت في أسلوب داخل.ciscoasa(config-pmap-c)# sfr fail-open monitor-only
تحذير: monitor-only
لا يسمح الوضع لوحدة خدمة SFR برفض حركة المرور الضارة أو حظرها.
تحذير: يمكن تكوين ASA في وضع المدرب فقط باستخدام مستوى الواجهة traffic-forward sfr monitor-only
أمر؛ ومع ذلك، فإن هذا التكوين مخصص فقط لوظيفة العرض التوضيحي ويجب عدم إستخدامه على ASA خاص بالإنتاج. أي مشاكل أن يكون وجدت في هذا عرض سمة لا يساند ب cisco مساعدة التقنية مركز (TAC). إذا كنت ترغب في نشر خدمة ASA SFR في الوضع الخامل، فقم بتكوينها باستخدام خريطة السياسة.
global
تقوم الكلمة الأساسية بتطبيق خريطة السياسة على جميع الواجهات، و interface
تطبق الكلمة الأساسية السياسة على واجهة واحدة. يتم السماح بسياسة عمومية واحدة فقط. في هذا المثال، يتم تطبيق السياسة بشكل عام:ciscoasa(config)# service-policy global_policy global
تحذير: خريطة السياسة global_policy
هو نهج افتراضي. إذا أستخدمت هذا النهج وتريد إزالته على جهازك لاستكشاف الأخطاء وإصلاحها، فتأكد من فهمك لمضمونه.
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
debug module-boot
) لتمكين تصحيح الأخطاء في بداية تثبيت صورة تمهيد SFR. sw-module module sfr recover stop
).(reload quick)
. (إذا مرت حركة المرور، فيمكن أن تتسبب في اضطراب الشبكة). إذا كان لا يزال SFR عالقا في حالة الاسترداد، يمكنك إيقاف تشغيل ASA و unplug the SSD
بطاقة وبدء ASA. تحقق من حالة الوحدة النمطية ويجب أن تكون حالة INIT. مرة أخرى، إغلاق ASA، insert the SSD
بطاقة وبدء ASA. يمكنك بدء إعادة صورة من ASA SFR وحدة.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
3.0 |
11-Jul-2023 |
تقويم |
2.0 |
22-Jun-2022 |
عناوين URL المضافة لخادم IPS و FTP الآمن. روابط تشعبية معاد تنسيقها وأمثلة مزال. أقسام التثبيت المحررة واستكشاف الأخطاء وإصلاحها والتكوين. |
1.0 |
04-Nov-2014 |
الإصدار الأولي |