Einleitung
Dieses Dokument beschreibt die Installation und Konfiguration eines Cisco FirePOWER-Moduls (SFR) auf einer Cisco ASA und die Registrierung des SFR-Moduls bei Cisco FireSIGHT.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Ihr System diese Anforderungen erfüllt, bevor Sie die in diesem Dokument beschriebenen Verfahren durchführen:
Verwendete Komponenten
Zur Installation der FirePOWER Services auf einer Cisco ASA sind folgende Komponenten erforderlich:
- Cisco ASA Software Version 9.2.2 oder höher
- Cisco ASA-Plattformen 5512-X bis 5555-X
- FirePOWER-Softwareversion 5.3.1 oder höher
Anmerkung: Informationen zur Installation von FirePOWER-Services (SFR) auf einem ASA 5585-X-Hardwaremodul finden Sie unter Installieren eines SFR-Moduls auf einem ASA 5585-X-Hardwaremodul.
Für das Cisco FireSIGHT Management Center sind folgende Komponenten erforderlich:
- FirePOWER-Softwareversion 5.3.1 oder höher
- FireSIGHT Management Center FS2000, FS4000 oder virtuelle Appliance
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Das Cisco ASA FirePOWER-Modul (auch bekannt als ASA SFR) stellt Firewall-Services der nächsten Generation bereit, darunter:
- Next-Generation Intrusion Prevention System (NGIPS)
- Application Visibility and Control (AVC)
- Filter-URLs
- Advanced Malware Protection (AMP)
Anmerkung: Sie können das ASA SFR-Modul im Einzel- oder Mehrfachkontextmodus sowie im Modus "Geroutet" oder "Transparent" verwenden.
Vorbereitungen
Berücksichtigen Sie diese wichtigen Informationen, bevor Sie die in diesem Dokument beschriebenen Verfahren durchführen:
- Wenn Sie über eine aktive Dienstrichtlinie verfügen, die den Datenverkehr zu einem IPS- (Intrusion Prevention System)/CX-Modul umleitet (das Sie durch die ASA SFR ersetzt haben), müssen Sie diese entfernen, bevor Sie die ASA SFR-Dienstrichtlinie konfigurieren.
- Sie müssen alle anderen Softwaremodule herunterfahren, die derzeit ausgeführt werden. Ein Gerät kann jeweils ein Softwaremodul ausführen. Dies muss über die ASA CLI erfolgen. Mit diesen Befehlen wird beispielsweise das IPS-Softwaremodul heruntergefahren, deinstalliert und dann die ASA neu geladen:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
- Die Befehle, die zum Entfernen des CX-Moduls verwendet werden, sind identisch, mit der Ausnahme, dass das
cxsc
Schlüsselwort anstelle der folgenden Befehle verwendet wird ips
: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
- Wenn Sie ein neues Image eines Moduls erstellen, verwenden Sie die gleichen Befehle
shutdown
und uninstall
Befehle, die zum Entfernen eines alten SFR-Images verwendet werden. Hier ein Beispiel:
ciscoasa# sw-module module sfr uninstall
- Wenn das ASA SFR-Modul im Multiple-Context-Modus verwendet wird, führen Sie die in diesem Dokument beschriebenen Verfahren innerhalb des Ausführungsbereichs des Systems aus.
Tipp: Um den Status eines Moduls auf dem ASA-Gerät zu ermitteln, geben Sie den show module
Befehl
Install
In diesem Abschnitt wird beschrieben, wie Sie das SFR-Modul auf der ASA installieren und wie Sie das ASA SFR-Boot-Image einrichten.
Installation des SFR-Moduls auf der ASA
Gehen Sie wie folgt vor, um das SFR-Modul auf der ASA zu installieren:
- Laden Sie die ASA SFR-Systemsoftware von Cisco.com auf einen HTTP-, HTTPS- oder FTP-Server herunter, auf den Sie über die ASA SFR-Verwaltungsoberfläche zugreifen können.
- Laden Sie das Boot-Image auf das Gerät herunter. Sie können entweder den Cisco Adaptive Security Device Manager (ASDM) oder die ASA CLI verwenden, um das Boot-Image auf das Gerät herunterzuladen.
Anmerkung: Übertragen Sie die Systemsoftware nicht. wird später auf das Solid State Drive (SSD) heruntergeladen.
Gehen Sie wie folgt vor, um das Boot-Image über den ASDM herunterzuladen:
- Laden Sie das Boot-Image auf Ihre Workstation herunter, oder platzieren Sie es auf einem FTP-, TFTP-, HTTP-, HTTPS-, Server Message Block (SMB)- oder Secure Copy (SCP)-Server.
- Wählen
Tools > File Management
Sie im ASDM aus.
- Wählen Sie den entsprechenden Befehl für die Dateiübertragung aus, entweder zwischen lokalem PC und Flash oder zwischen Remote-Server und Flash.
- Übertragen Sie die Boot-Software auf das Flash-Laufwerk (disk0) auf der ASA.
Gehen Sie wie folgt vor, um das Boot-Image über die ASA CLI herunterzuladen:
- Laden Sie das Boot-Image auf einen FTP-, TFTP-, HTTP- oder HTTPS-Server herunter.
- Geben Sie den
copy
Befehl in die CLI ein, um das Boot-Image auf das Flash-Laufwerk herunterzuladen. Hier ist ein Beispiel, das das HTTP-Protokoll verwendet (ersetzen Sie das
durch Ihre Server-IP-Adresse oder Ihren Hostnamen). Für den FTP-Server sieht die URL wie folgt aus:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img
.
ciscoasa# copy http://
/asasfr-5500x-boot-5.3.1-152.img
disk0:/asasfr-5500x-boot-5.3.1-152.img
- Geben Sie den folgenden Befehl ein, um den Speicherort des ASA SFR-Boot-Images im ASA-Flash-Laufwerk zu konfigurieren:
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
Hier ein Beispiel:
ciscoasa# sw-module module sfr recover configure image disk0:
/asasfr-5500x-boot-5.3.1-152.img
- Geben Sie den folgenden Befehl ein, um das ASA SFR-Boot-Image zu laden:
ciscoasa# sw-module module sfr recover boot
Wenn Sie diese Funktion auf debug module-boot
dem ASA-Gerät aktivieren, werden während dieser Zeit die folgenden Fehlerbehebungsschritte ausgegeben:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
- Warten Sie ca. 5 bis 15 Minuten, bis das ASA SFR-Modul hochgefahren ist, und öffnen Sie dann eine Konsolensitzung mit dem funktionsfähigen ASA SFR-Boot-Image.
Einrichten des ASA SFR-Boot-Images
Führen Sie die folgenden Schritte aus, um das neu installierte ASA SFR-Boot-Image einzurichten:
- Drücken Sie
Enter
nach dem Öffnen einer Sitzung die Eingabetaste, um zur Anmeldeaufforderung zu gelangen. Anmerkung: Der Standard-Benutzername lautet admin
. Das Kennwort unterscheidet sich je nach Softwareversion:Adm!n123
für 7.0.1 (neues Gerät nur ab Werk), Admin123
für 6.0 und höher, Sourcefire
für Geräte vor 6.0.
Hier ein Beispiel:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
Tipp: Wenn der ASA SFR-Modulstart nicht abgeschlossen wurde, schlägt der Sitzungsbefehl fehl, und es wird eine Meldung angezeigt, die besagt, dass das System keine Verbindung über TTYS1 herstellen kann. Warten Sie in diesem Fall, bis der Modulstart abgeschlossen ist, und versuchen Sie es erneut.
- Geben Sie den
setup
Befehl ein, um das System so zu konfigurieren, dass Sie das Systemsoftwarepaket installieren können:
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Sie werden dann zur Eingabe dieser Informationen aufgefordert:
Host name
- Der Hostname kann bis zu 65 alphanumerische Zeichen ohne Leerzeichen enthalten. Die Verwendung von Bindestrichen ist zulässig.
Network address
- Bei der Netzwerkadresse kann es sich um statische IPv4- oder IPv6-Adressen handeln. Sie können auch DHCP für die automatische IPv4- oder IPv6-Stateless-Konfiguration verwenden.
DNS information
- Sie müssen mindestens einen DNS-Server (Domain Name System) identifizieren, und Sie können auch den Domänennamen und die Suchdomäne festlegen.
NTP information
- Sie können das Network Time Protocol (NTP) aktivieren und die NTP-Server konfigurieren, um die Systemzeit festzulegen.
- Geben Sie den
system install
Befehl ein, um das Systemsoftware-Image zu installieren:
asasfr-boot >system install [noconfirm] url
Fügen Sie die noconfirm
Option hinzu, wenn Sie nicht auf Bestätigungsmeldungen antworten möchten. Ersetzen Sie das url
Schlüsselwort durch den Speicherort der .pkg
Datei. Sie können auch hier einen FTP-, HTTP- oder HTTPS-Server verwenden. Hier ein Beispiel:
asasfr-boot >system install http://
/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Für den FTP-Server sieht die URL wie folgt aus:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg
.
Hinweis Während der Installation befindet sich der SFR im "Recover
"-Status. Die Installation des SFR-Moduls kann bis zu einer Stunde dauern. Nach Abschluss der Installation wird das System neu gestartet. Warten Sie mindestens zehn Minuten, bis die Anwendungskomponenten installiert sind und die ASA SFR-Services gestartet sind. Die Ausgabe des show module sfr
Befehls gibt an, dass alle Prozesse Up
.
Konfigurieren
In diesem Abschnitt wird beschrieben, wie Sie die FirePOWER-Software und das FireSIGHT Management Center konfigurieren und den Datenverkehr zum SFR-Modul umleiten.
Konfigurieren der FirePOWER-Software
Führen Sie die folgenden Schritte aus, um die FirePOWER-Software zu konfigurieren:
- Öffnen Sie eine Sitzung mit dem ASA SFR-Modul.
Anmerkung: Eine andere Anmeldeaufforderung wird jetzt angezeigt, da die Anmeldung auf einem voll funktionsfähigen Modul erfolgt.
Hier ein Beispiel:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
- Melden Sie sich mit Ihrem Benutzernamen an,
admin
und das Kennwort unterscheidet sich je nach Softwareversion:Adm!n123
für 7.0.1 (neues Gerät nur ab Werk), Admin123
für 6.0 und höherSourcefire
, für Geräte vor 6.0.
- Füllen Sie die Systemkonfiguration aus, wie Sie aufgefordert werden. Dies geschieht in der folgenden Reihenfolge:
- Lesen und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung (EULA).
- Ändern Sie das Admin-Kennwort.
- Konfigurieren Sie die Management-Adresse und die DNS-Einstellungen nach Aufforderung.
Anmerkung: Sie können IPv4- und IPv6-Managementadressen konfigurieren.
Hier ein Beispiel:
System initialization in progress. Please stand by. You must change the password
for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
- Warten Sie, bis sich das System selbst neu konfiguriert hat.
Konfigurieren des FireSIGHT Management Center
Um ein ASA SFR-Modul und Sicherheitsrichtlinien zu verwalten, müssen Sie es bei einem FireSIGHT Management Center registrieren. Weitere Informationen finden Sie unter Registrieren eines Geräts bei einem FireSIGHT Management Center. Sie können diese Aktionen nicht mit einem FireSIGHT Management Center ausführen:
- Konfigurieren der ASA SFR-Modulschnittstellen
- Herunterfahren, Neustart oder anderweitiges Verwalten der ASA SFR-Modulprozesse
- Erstellen Sie Backups von den ASA SFR-Modulgeräten, oder stellen Sie Backups auf diesen wieder her
- Erstellen Sie Zugriffskontrollregeln, um den Datenverkehr an die VLAN-Tag-Bedingungen anzupassen.
Umleitung des Datenverkehrs zum SFR-Modul
Um Datenverkehr an das ASA SFR-Modul umzuleiten, müssen Sie eine Dienstrichtlinie erstellen, die bestimmten Datenverkehr identifiziert. Gehen Sie wie folgt vor, um den Datenverkehr an ein ASA SFR-Modul umzuleiten:
- Wählen Sie den Datenverkehr aus, der mit dem
access-list
Befehl identifiziert werden muss. In diesem Beispiel wird der gesamte Datenverkehr von allen Schnittstellen umgeleitet. Dies ist auch für bestimmten Datenverkehr möglich.
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
- Erstellen Sie eine Klassenzuordnung, um den Datenverkehr in einer Zugriffsliste abzugleichen:
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
- Geben Sie den Bereitstellungsmodus an. Sie können das Gerät entweder im passiven (nur Überwachung) oder im Inline (normal)-Bereitstellungsmodus konfigurieren.
Anmerkung: Sie können auf der ASA nicht gleichzeitig einen passiven und einen Inline-Modus konfigurieren. Es ist nur ein Typ von Sicherheitsrichtlinie zulässig.
Warnung: In diesem monitor-only
Modus kann das SFR-Servicemodul schädlichen Datenverkehr nicht verweigern oder blockieren.
Vorsicht: Mit dem Befehl auf Schnittstellenebene kann ein ASA-Gerät im Nur-Monitor-Modus konfiguriert traffic-forward sfr monitor-only
werden. Diese Konfiguration dient jedoch lediglich zu Demonstrationszwecken und darf nicht auf Produktions-ASA-Geräten verwendet werden. Probleme, die in dieser Demonstrationsfunktion festgestellt werden, werden vom Cisco Technical Assistance Center (TAC) nicht unterstützt. Wenn Sie den ASA SFR-Service im passiven Modus bereitstellen möchten, konfigurieren Sie ihn mithilfe einer Richtlinienzuweisung.
- Geben Sie einen Speicherort an, und wenden Sie die Richtlinie an. Sie können eine Richtlinie global oder auf einer Schnittstelle anwenden. Um die globale Richtlinie für eine Schnittstelle zu überschreiben, können Sie eine Dienstrichtlinie auf diese Schnittstelle anwenden.
Das global
Schlüsselwort wendet die Richtlinienzuordnung auf alle Schnittstellen an, und das interface
Schlüsselwort wendet die Richtlinie auf eine Schnittstelle an. Es ist nur eine globale Richtlinie zulässig. In diesem Beispiel wird die Richtlinie global angewendet:
ciscoasa(config)# service-policy global_policy global
Vorsicht: Die Richtlinienzuordnung global_policy
ist eine Standardrichtlinie. Wenn Sie diese Richtlinie verwenden und sie zur Fehlerbehebung auf Ihrem Gerät entfernen möchten, stellen Sie sicher, dass Sie die Auswirkungen kennen.
Überprüfung
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
Fehlerbehebung
- Sie können diesen Befehl (
debug module-boot
) ausführen, um das Debugging zu Beginn der Installation des SFR-Boot-Images zu aktivieren.
- Wenn ASA im Wiederherstellungsmodus feststeckte und die Konsole nicht angezeigt wurde, versuchen Sie es mit diesem Befehl (
sw-module module sfr recover stop
).
- Wenn das SFR-Modul den Wiederherstellungsstatus nicht verlassen konnte, können Sie versuchen, die ASA neu zu laden. (Wenn der Datenverkehr
(reload quick)
weitergeleitet wird, kann dies zu Netzwerkstörungen führen.) Wenn sich Still SFR im Wiederherstellungsstatus befindet, können Sie die ASA und die unplug the SSD
Karte herunterfahren und die ASA starten. Überprüfen Sie den Status des Moduls, und es muss sich um den INIT-Status handeln. Fahren Sie die ASA herunter, insert the SSD
und starten Sie die ASA. Sie können ein Re-Image des ASA SFR-Moduls starten.
Zugehörige Informationen