المقدمة
يوضح هذا المستند كيفية تثبيت وحدة Cisco FirePOWER (SFR) وتكوينها على Cisco ASA وتسجيل وحدة SFR النمطية باستخدام Cisco FireSIGHT.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن يلبي نظامك هذه المتطلبات قبل أن تحاول الإجراءات الموضحة في هذا المستند:
المكونات المستخدمة
لتثبيت خدمات FirePOWER على Cisco ASA، يلزم وجود هذه المكونات:
- برنامج ASA الإصدار 9.2.2 أو إصدار أحدث من Cisco
- الأنظمة الأساسية Cisco ASA من 5512-X إلى 5555-X
- برنامج FirePOWER الإصدار 5.3.1 أو إصدار أحدث
ملاحظة: إذا كنت تريد تثبيت خدمات FirePOWER (SFR) على وحدة جهاز ASA 5585-X، فارجع إلى تثبيت وحدة SFR على وحدة جهاز ASA 5585-X.
هذه المكونات مطلوبة على مركز إدارة FireSIGHT من Cisco:
- برنامج FirePOWER الإصدار 5.3.1 أو إصدار أحدث
- FireSIGHT Management Center FS2000 أو FS4000 أو جهاز افتراضي
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
توفر وحدة Cisco ASA FirePOWER النمطية المعروفة أيضا باسم ASA SFR، خدمات جدار الحماية من الجيل التالي، مثل:
- نظام الحماية من التطفل الجيل الجديد (NGIPS)
- إمكانية رؤية التطبيقات والتحكم فيها (AVC)
- تصفية عناوين URL
- الحماية المتقدمة من البرامج الضارة
ملاحظة: يمكنك إستخدام وحدة ASA SFR النمطية في وضع سياق واحد أو متعدد، وفي الوضع الموجه أو الشفاف.
قبل البدء
فكر في هذه المعلومات المهمة قبل محاولة الإجراءات الموضحة في هذا المستند:
- إذا كان لديك سياسة خدمة نشطة تعمل على إعادة توجيه حركة مرور البيانات إلى وحدة نظام منع التسلل (IPS)/مدركة للسياق (CX) (التي تم إستبدالها بوحدة ASA SFR)، فيجب عليك إزالتها قبل تكوين نهج خدمة ASA SFR.
- يجب إيقاف تشغيل أي وحدات برمجية أخرى قيد التشغيل حاليا. يمكن للجهاز تشغيل وحدة برمجية واحدة في كل مرة. يجب أن تفعل هذا من ASA CLI. على سبيل المثال، تقوم هذه الأوامر بإيقاف تشغيل وحدة برنامج IPS وإلغاء تثبيتها، ثم إعادة تحميل ASA:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
- الأوامر التي يتم إستخدامها لإزالة وحدة CX النمطية هي نفسها، باستثناء
cxsc يتم إستخدام الكلمة الأساسية بدلا من ips: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
- عندما تقوم بإعادة تكوين وحدة نمطية، أستخدم نفس
shutdown و uninstall الأوامر التي يتم إستخدامها لإزالة صورة SFR قديمة. فيما يلي مثال:
ciscoasa# sw-module module sfr uninstall
- إذا تم إستخدام الوحدة النمطية ASA SFR في وضع سياق متعدد، فقم بتنفيذ الإجراءات الموضحة في هذا المستند داخل مساحة تنفيذ النظام.
تلميح: لتحديد حالة وحدة نمطية على ASA، أدخل show module erasecat4000_flash:.
الأمر Install
يصف هذا قسم كيف أن يركب ال SFR وحدة نمطية على ال ASA وكيف أن يثبت ال ASA SFR جزمة صورة.
تثبيت وحدة SFR النمطية على ASA
أتمت هذا steps in order to ركبت ال SFR وحدة نمطية على ال ASA:
- قم بتنزيل برنامج ASA SFR System من Cisco.com إلى خادم HTTP أو HTTPS أو FTP يمكن الوصول إليه من واجهة إدارة ASA SFR.
- قم بتنزيل صورة التمهيد إلى الجهاز. يمكنك إستخدام مدير أجهزة الأمان المعدلة (ASDM) من Cisco أو ASA CLI لتنزيل صورة التمهيد إلى الجهاز.
ملاحظة: لا تقم بنقل برنامج النظام؛ يتم تنزيله لاحقا إلى محرك الأقراص في الحالة الصلبة (SSD).
أتمت هذا steps in order to جلبت الجزمة صورة عن طريق ال ASDM:
- قم بتنزيل صورة التمهيد إلى محطة العمل لديك، أو وضعها على خادم FTP أو TFTP أو HTTP أو HTTPS أو كتلة رسائل الخادم (SMB) أو Secure Copy (SCP).
- نختار
Tools > File Management في إدارة قاعدة بيانات المحول (ASDM).
- أختر الأمر المناسب لنقل الملفات، إما بين جهاز الكمبيوتر المحلي وذاكرة Flash (الذاكرة المؤقتة) أو بين الخادم البعيد وذاكرة Flash (الذاكرة المؤقتة).
- قم بنقل برنامج التمهيد إلى محرك أقراص الذاكرة المؤقتة (disk0) على ASA.
أتمت هذا steps in order to جلبت الجزمة صورة عن طريق ال ASA CLI:
- قم بتنزيل صورة التمهيد على خادم FTP أو TFTP أو HTTP أو HTTPS.
- أدخل
copy أمر داخل ال CLI in order to جلبت الجزمة صورة إلى البرق محرك. هنا مثال يستخدم بروتوكول HTTP (إستبدال
بعنوان IP للخادم أو اسم المضيف). بالنسبة لخادم FTP، يبدو عنوان URL كما يلي:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img .
ciscoasa# copy http://
/asasfr-5500x-boot-5.3.1-152.img
disk0:/asasfr-5500x-boot-5.3.1-152.img
- دخلت هذا أمر in order to شكلت ال ASA SFR جزمة صورة موقع في ال ASA flash محرك:
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
فيما يلي مثال:
ciscoasa# sw-module module sfr recover configure image disk0:
/asasfr-5500x-boot-5.3.1-152.img
- دخلت هذا أمر in order to حملت ال ASA SFR جزمة صورة:
ciscoasa# sw-module module sfr recover boot
خلال هذا الوقت، إذا قمت بتمكين debug module-boot على ASA، تتم طباعة هذه الأخطاء:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
- انتظر حوالي من 5 إلى 15 دقيقة حتى يتم تمهيد وحدة ASA SFR، ثم افتح جلسة عمل لوحدة التحكم على صورة تمهيد ASA SFR التشغيلية.
إعداد صورة تمهيد ASA SFR
أتمت هذا steps in order to setup ال حديثا يركب ASA SFR جزمة صورة:
- صحافة
Enter بعد أن تقوم بفتح جلسة للوصول إلى مطالبة تسجيل الدخول. ملاحظة: اسم المستخدم الافتراضي هو admin. تختلف كلمة المرور استنادا إلى إصدار البرنامج:Adm!n123 ل 7.0.1 (جهاز جديد من المصنع فقط)، Admin123 ل 6.0، وفيما بعد، Sourcefire لمرحلة ما قبل 6. 0.
فيما يلي مثال:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
تلميح: إذا لم يتم إكمال تمهيد وحدة ASA SFR النمطية، يفشل الأمر session وتظهر رسالة تشير إلى أن النظام غير قادر على الاتصال عبر TTYS1. إذا حدث هذا، فانتظر حتى يكتمل تمهيد الوحدة النمطية ثم حاول مرة أخرى.
- أدخل
setup أمر in order to شكلت النظام لذلك أنت يستطيع ركبت النظام برمجية حزمة:
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
ثم يطلب منك تقديم هذه المعلومات:
Host name - يمكن أن يصل اسم المضيف إلى 65 حرفا ورقميا، بدون مسافات. يسمح باستخدام الواصلات.Network address - يمكن أن يكون عنوان الشبكة إما عناوين IPv4 أو IPv6 ثابتة. يمكنك أيضا إستخدام بروتوكول DHCP للتكوين التلقائي عديم الحالة عبر بروتوكول IPv4 أو بروتوكول IPv6.DNS information - يجب تحديد خادم واحد على الأقل لنظام أسماء المجالات (DNS)، كما يمكنك تعيين اسم المجال ومجال البحث.NTP information - يمكنك تمكين بروتوكول وقت الشبكة (NTP) وتكوين خوادم NTP لتعيين وقت النظام.
- أدخل
system install أمر in order to ركبت النظام برمجية صورة:
asasfr-boot >system install [noconfirm] url
تضمين noconfirm الخيار إذا كنت لا تريد الاستجابة إلى رسائل التأكيد. إستبدال url الكلمة الأساسية مع موقع .pkg ملف. مرة أخرى، يمكنك إستخدام خادم FTP أو HTTP أو HTTPS. فيما يلي مثال:
asasfr-boot >system install http://
/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
بالنسبة لخادم FTP، يبدو عنوان URL كما يلي:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg.
لاحظ أن SFR فيRecover" أثناء عملية التثبيت. قد يستغرق الأمر ما يصل إلى ساعة أو نحو ذلك لإكمال تثبيت وحدة SFR. عند اكتمال التثبيت، تتم إعادة تمهيد النظام. اسمح بعشر دقائق أو أكثر لتثبيت مكون التطبيق ولبدء تشغيل خدمات ASA SFR. الناتج من show module sfr الأمر يشير إلى أن جميع العمليات Up.
التكوين
يوضح هذا القسم كيفية تكوين برنامج FirePOWER و FireSIGHT Management Center، وكيفية إعادة توجيه حركة مرور البيانات إلى وحدة SFR.
تكوين برنامج FirePOWER
أكمل الخطوات التالية لتكوين برنامج FirePOWER:
- افتح جلسة إلى ال ASA SFR وحدة نمطية.
ملاحظة: تظهر الآن مطالبة تسجيل دخول مختلفة لأن تسجيل الدخول يحدث على وحدة ذات أداء وظيفي كامل.
فيما يلي مثال:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
- تسجيل الدخول باسم المستخدم
admin وتختلف كلمة المرور استنادا إلى إصدار البرنامج:Adm!n123 ل 7.0.1 (جهاز جديد من المصنع فقط)، Admin123 ل 6.0، وفيما بعد،Sourcefire لمرحلة ما قبل 6. 0.
- قم بإكمال تكوين النظام كما هو موضح، والذي يحدث بهذا الترتيب:
- قراءة إتفاقية ترخيص المستخدم النهائي (EULA) وقبولها.
- قم بتغيير كلمة مرور المسؤول.
- قم بتكوين عنوان الإدارة وإعدادات DNS، كما هو موضح.
ملاحظة: يمكنك تكوين كل من عنواني إدارة IPv4 و IPv6.
فيما يلي مثال:
System initialization in progress. Please stand by. You must change the password
for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
- انتظر حتى يتمكن النظام من إعادة تكوين نفسه.
تكوين مركز إدارة FireSIGHT
من أجل إدارة وحدة ASA SFR ونهج الأمان، يجب عليك تسجيلها باستخدام مركز إدارة FireSIGHT. راجع تسجيل جهاز باستخدام FireSIGHT Management Center للحصول على مزيد من المعلومات. لا يمكنك تنفيذ هذه الإجراءات باستخدام FireSIGHT Management Center:
- تكوين واجهات وحدة ASA SFR النمطية
- إيقاف تشغيل عمليات الوحدة النمطية ASA SFR أو إعادة تشغيلها أو إدارتها بطريقة أخرى
- إنشاء نسخ إحتياطية من أجهزة الوحدة النمطية ASA SFR أو استعادتها
- كتابة قواعد التحكم في الوصول لمطابقة حركة المرور باستخدام شروط علامة VLAN
إعادة توجيه حركة المرور إلى وحدة SFR النمطية
لإعادة توجيه حركة المرور إلى وحدة ASA SFR النمطية، يجب عليك إنشاء سياسة خدمة تحدد حركة مرور معينة. أتمت هذا steps in order to أعدت حركة مرور إلى ASA SFR وحدة نمطية:
- حدد حركة المرور التي يجب تعريفها ب
access-list erasecat4000_flash:. في هذا المثال، تتم إعادة توجيه جميع حركات المرور من جميع الواجهات. يمكنك القيام بذلك لحركة مرور معينة كذلك.
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
- قم بإنشاء خريطة فئة لمطابقة حركة المرور في قائمة الوصول:
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
- حدد وضع النشر. يمكنك تكوين الجهاز إما في وضع نشر خامل (monitor-only) أو داخل السطر (عادي).
ملاحظة: لا يمكنك تكوين كل من الوضع الخامل والوضع الداخلي في نفس الوقت على ASA. يسمح بنوع واحد فقط من نهج الأمان.
تحذير: monitor-only لا يسمح الوضع لوحدة خدمة SFR برفض حركة المرور الضارة أو حظرها.
تحذير: يمكن تكوين ASA في وضع المدرب فقط باستخدام مستوى الواجهة traffic-forward sfr monitor-only أمر؛ ومع ذلك، فإن هذا التكوين مخصص فقط لوظيفة العرض التوضيحي ويجب عدم إستخدامه على ASA خاص بالإنتاج. أي مشاكل أن يكون وجدت في هذا عرض سمة لا يساند ب cisco مساعدة التقنية مركز (TAC). إذا كنت ترغب في نشر خدمة ASA SFR في الوضع الخامل، فقم بتكوينها باستخدام خريطة السياسة.
- حدد موقعا وقم بتطبيق السياسة. يمكنك تطبيق سياسة بشكل عام أو على واجهة. لتجاوز السياسة العامة على واجهة، يمكنك تطبيق سياسة خدمة على تلك الواجهة.
يعرض الأمر global تقوم الكلمة الأساسية بتطبيق خريطة السياسة على جميع الواجهات، و interface تطبق الكلمة الأساسية السياسة على واجهة واحدة. يتم السماح بسياسة عمومية واحدة فقط. في هذا المثال، يتم تطبيق السياسة بشكل عام:
ciscoasa(config)# service-policy global_policy global
تحذير: خريطة السياسة global_policy هو نهج افتراضي. إذا أستخدمت هذا النهج وتريد إزالته على جهازك لاستكشاف الأخطاء وإصلاحها، فتأكد من فهمك لمضمونه.
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
- يمكنك تشغيل هذا الأمر (
debug module-boot) لتمكين تصحيح الأخطاء في بداية تثبيت صورة تمهيد SFR.
- إذا علق ASA في وضع الاسترداد ولم تظهر وحدة التحكم، فعليك تجربة هذا الأمر (
sw-module module sfr recover stop).
- إذا لم تكن وحدة SFR النمطية قادرة على الخروج من حالة الاسترداد، فيمكنك محاولة إعادة تحميل ASA
(reload quick). (إذا مرت حركة المرور، فيمكن أن تتسبب في اضطراب الشبكة). إذا كان لا يزال SFR عالقا في حالة الاسترداد، يمكنك إيقاف تشغيل ASA و unplug the SSD بطاقة وبدء ASA. تحقق من حالة الوحدة النمطية ويجب أن تكون حالة INIT. مرة أخرى، إغلاق ASA، insert the SSD بطاقة وبدء ASA. يمكنك بدء إعادة صورة من ASA SFR وحدة.
معلومات ذات صلة
التعليقات