¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Instale y configure un Módulo de servicios de FirePOWER en una plataforma ASA

Opciones de descarga

  • PDF     (99.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (81.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (83.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:12 de diciembre de 2016
ID del documento:118644
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo instalar y configurar un módulo de Cisco FirePOWER (SFR) que se ejecute en un dispositivo de seguridad adaptante de Cisco (ASA) y cómo registrar el módulo SFR con el centro de administración de Cisco FireSIGHT.

Prerrequisitos

Requisitos

Cisco recomienda que su reunión del sistema estos requisitos antes de que usted intente los procedimientos que se describen en este documento:

  • Asegúrese de que usted tenga por lo menos 3GB del espacio libre en memoria USB (disk0), además del tamaño del software del cargador del programa inicial.
  • Asegúrese de que usted tenga acceso al modo EXEC privilegiado. Para tener acceso al modo EXEC privilegiado, ingrese el comando enable en el CLI. Si una contraseña no fue fijada, después la prensa ingresa:
    ciscoasa> enable
Password:
ciscoasa#

Componentes Utilizados

Para instalar los servicios de FirePOWER en Cisco ASA, se requieren estos componentes:

  • Versión de software 9.2.2 de Cisco ASA o más adelante
  • Plataformas 5512-X de Cisco ASA con 5555-X
  • Versión de software 5.3.1 de FirePOWER o más adelante

Nota: Si usted quiere instalar los servicios de FirePOWER (SFR) en un módulo de hardware ASA 5585-X, lea la instalación de los servicios de FirePOWER (SFR) en el módulo de hardware ASA 5585-X.

Estos componentes se requieren en el centro de administración de Cisco FireSIGHT:

  • Versión de software 5.3.1 de FirePOWER o más adelante
  • Centro de administración FS2000, FS4000 o dispositivo virtual de FireSIGHT

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El módulo de Cisco ASA FirePOWER, también conocido como el ASA SFR, proporciona los servicios del Firewall de la última generación, por ejemplo:

  • Sistema de prevención de intrusiones de la última generación (NGIPS)
  • Visibilidad y control (AVC) de la aplicación
  • Filtrado de URL
  • Protección avanzada de Malware (AMP)

Nota: Usted puede utilizar el módulo ASA SFR en el modo solo o múltiple del contexto, y en encaminado o modo transparente.

Antes de que usted comience

Considere esta información importante antes de que usted intente los procedimientos que se describen en este documento:

  • Si usted tiene una directiva de servicio activo que reoriente el tráfico a un módulo enterado del Sistema de prevención de intrusiones (IPS) /Context (CX) (ese usted substituyó por el ASA SFR), usted debe quitarlo antes de que usted configure la política de servicio ASA SFR.

  • Usted debe cerrar cualquier módulo del otro software que se ejecute actualmente. Un dispositivo puede funcionar con un solo módulo de software al mismo tiempo. Usted debe hacer esto del ASA CLI. Por ejemplo, estos comandos cierran y desinstalan el módulo de software IPS, y después recargan el ASA:
    ciscoasa# sw-module module ips shutdown
    ciscoasa# sw-module module ips uninstall
    ciscoasa# reload

    Los comandos que se utilizan para quitar el módulo CX son lo mismo, a menos que la palabra clave del cxsc se utilice en vez del IPS:


    ciscoasa# sw-module module cxsc shutdown
    ciscoasa# sw-module module cxsc uninstall
    ciscoasa# reload
  • Cuando usted reimage un módulo, utiliza la misma parada normal y desinstala los comandos que se utilizan para quitar una vieja imagen SFR. Aquí tiene un ejemplo:
    ciscoasa# sw-module module sfr uninstall
  • Si el módulo ASA SFR se utiliza en el modo múltiple del contexto, realice los procedimientos que se describen en este documento dentro del espacio de la ejecución del sistema.

Consejo: Para determinar el estatus de un módulo en el ASA, ingrese el comando show module.

Instale

Esta sección describe cómo instalar el módulo SFR en el ASA y cómo poner la imagen del cargador del programa inicial ASA SFR.

Instale el módulo SFR en el ASA

Complete estos pasos para instalar el módulo SFR en el ASA:

  1. Descargue el software del sistema ASA SFR de Cisco.com a un HTTP, a un HTTPS, o a un ftp server que sea accesible de la interfaz de administración ASA SFR.
  2. Descargue la imagen del cargador del programa inicial al dispositivo. Usted puede utilizar el Cisco Adaptive Security Device Manager (ASDM) o el ASA CLI para descargar la imagen del cargador del programa inicial al dispositivo.

    Nota: No transfiera el software del sistema; se descarga más adelante a la unidad de estado sólido (SSD).

    Complete estos pasos para descargar la imagen del cargador del programa inicial vía el ASDM:
    1. Descargue la imagen del cargador del programa inicial a su puesto de trabajo, o póngala en un servidor FTP, TFTP, HTTP, HTTPS, del Bloque de mensaje del servidor (SMB), o del Secure Copy (SCP).
    2. Elija las herramientas > la administración de archivos en el ASDM.
    3. Elija el comando apropiado de la transferencia de archivos, o en medio PC local y el flash o entre el servidor remoto y el flash.
    4. Transfiera el software del cargador del programa inicial a memoria USB (disk0) en el ASA.

    Complete estos pasos para descargar la imagen del cargador del programa inicial vía el ASA CLI:

    1. Descargue la imagen del cargador del programa inicial en un FTP, un TFTP, un HTTP, o un servidor HTTPS.
    2. Ingrese el comando copy en el CLI para descargar la imagen del cargador del programa inicial a la unidad de destello.

      Aquí está un ejemplo que utiliza el protocolo HTTP (substituya el <HTTP_Server> por su dirección IP o nombre de host del servidor):

      ciscoasa# copy http://<HTTP_SERVER>/asasfr-5500x-boot-5.3.1-152.img
 disk0:/asasfr-5500x-boot-5.3.1-152.img
  3. Ingrese este comando para configurar la Ubicación de la imagen del cargador del programa inicial ASA SFR en la unidad del flash ASA:
    ciscoasa# sw-module module sfr recover configure image disk0:/file_path

    Aquí tiene un ejemplo:


    ciscoasa# sw-module module sfr recover configure image disk0:
 /asasfr-5500x-boot-5.3.1-152.img
  4. Ingrese este comando para cargar la imagen del cargador del programa inicial ASA SFR:
    ciscoasa# sw-module module sfr recover boot

    Durante este tiempo, si usted activa el arranque del módulo de la depuración en el ASA, se imprimen estas depuraciones:


    Mod-sfr 788> *** EVENT: Creating the Disk Image...
    Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
    Mod-sfr 790> ***
    Mod-sfr 791> ***
    Mod-sfr 792> *** EVENT: The module is being recovered.
    Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
    Mod-sfr 794> ***
    ...
    Mod-sfr 795> ***
    Mod-sfr 796> *** EVENT: Disk Image created successfully.
    Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
    Mod-sfr 798> ***
    Mod-sfr 799> ***
    Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
     ISO: -cdrom /mnt/disk0
    Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
     Mgmt MAC: A4:4C:11:29:
    Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
     cache=none,if=virtio,
    Mod-sfr 803> Dev
    Mod-sfr 804> ***
    Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
     32MB, Cmd Op: r, Shared M
    Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
     Sock: /dev/ttyS1_vm3,
    Mod-sfr 807>  Mem-Path: -mem-path /hugepages
    Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
    Mod-sfr 809> ***
    Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
     key is 8061, size is 6
    ...
    Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
     acpid.
    Mod-sfr 240> acpid: starting up with proc fs
    Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
    Mod-sfr 242> starting Busybox inetd: inetd... done.
    Mod-sfr 243> Starting ntpd: done
    Mod-sfr 244> Starting syslogd/klogd: done
    Mod-sfr 245>
    Cisco ASA SFR Boot Image 5.3.1
  5. Espere aproximadamente 5 a 15 minutos el módulo ASA SFR a arrancar, y después para abrir a una sesión de consola en la imagen operativa del cargador del programa inicial ASA SFR.

Ponga la imagen del cargador del programa inicial ASA SFR

Complete estos pasos para poner el imagen nuevamente instalada del cargador del programa inicial ASA SFR:

  1. La prensa ingresa después de que usted abra una sesión para alcanzar el prompt de inicio de sesión.

    Nota: El username de valor por defecto es admin, y la contraseña de valor por defecto es Admin123.

    Aquí tiene un ejemplo:


    ciscoasa# session sfr console
    Opening console session with module sfr.
    Connected to module sfr. Escape character sequence is 'CTRL-^X'.

    Cisco ASA SFR Boot Image 5.3.1
    asasfr login: admin
    Password: Admin123

    Consejo: Si el arranque del módulo ASA SFR no ha completado, el comando session falla y un mensaje aparece indicar que el sistema no puede conectar sobre TTYS1. Si ocurre esto, espere el arranque del módulo para completar y para intentar otra vez.

  2. Ingrese el comando setup para configurar el sistema de modo que usted pueda instalar el paquete del software del sistema:
    asasfr-boot> setup
                             Welcome to SFR Setup
                              [hit Ctrl-C to abort]
                            Default values are inside []

    Le entonces incitan para esta información:

    • Nombre de host - El nombre de host puede ser hasta 65 caracteres alfanuméricos, sin los espacios. El uso de los guiones se permite.
    • Dirección de red - La dirección de red puede ser direccionamientos estáticos IPv4 o del IPv6. Usted puede también utilizar el DHCP para IPv4, o la autoconfiguración apátrida del IPv6.
    • Información DNS - Usted debe identificar por lo menos un servidor del Domain Name System (DNS), y usted puede también fijar el Domain Name y buscar el dominio.
    • Información de NTP - Usted puede activar el Network Time Protocol (NTP) y configurar a los servidores NTP para fijar el Tiempo del sistema.
  3. Ingrese el comando install del sistema para instalar la imagen del software del sistema:
    asasfr-boot >system install [noconfirm] url

    Incluya la opción del noconfirm si usted no quiere responder a los mensajes de confirmación. Substituya la palabra clave URL por la ubicación del fichero .package. Aquí tiene un ejemplo:


    asasfr-boot >system install http://<HTTP_SERVER>/asasfr-sys-5.3.1-152.pkg
    Verifying
    Downloading
    Extracting


    Package Detail
            Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
            Requires reboot: Yes

    Do you want to continue with upgrade? [y]: y
    Warning: Please do not interrupt the process or turn off the system. Doing so
     might leave system in unusable state.

    
Upgrading
    Starting upgrade process ...
    Populating new system image
    
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
    (press Enter)

    Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
    The system is going down for reboot NOW!
    Console session with module sfr terminated.

Nota: Cuando la instalación es completa, el sistema reinicia. Permita que diez o más minutos para la Instalación del componente de la aplicación y para que los servicios ASA SFR comiencen. La salida del comando del sfr del módulo de la demostración debe indicar que todos los procesos están para arriba.

Configurar

Esta sección describe cómo configurar el software de FirePOWER y el centro de administración de FireSIGHT, y cómo reorientar el tráfico al módulo SFR.

Configure el software de FirePOWER

Complete estos pasos para configurar el software de FirePOWER:

  1. Abra una sesión en el módulo ASA SFR.

    Nota: Un diverso prompt de inicio de sesión ahora aparece porque la clave ocurre en un módulo lleno-funcional.

    Aquí tiene un ejemplo:


    ciscoasa# session sfr
    Opening command session with module sfr.
    Connected to module sfr. Escape character sequence is 'CTRL-^X'.
    Sourcefire ASA5555 v5.3.1 (build 152)
    Sourcefire3D login:
  2. Ábrase una sesión con el nombre del usuario administrador y la contraseña Admin123.
  3. Complete la configuración del sistema según lo incitado, que ocurre en esta orden:
    1. Lea y valide el acuerdo de licencia de usuario final (EULA).
    2. Cambie la clave del administrador.
    3. Configure la dirección de administración y las configuraciones DNS, según lo incitado.

      Nota: Usted puede configurar a las direcciones de administración IPv4 y del IPv6.

    Aquí tiene un ejemplo:


    System initialization in progress. Please stand by. You must change the password
 for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
     198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
  4. Espera para que el sistema se configure de nuevo.

Configure el centro de administración de FireSIGHT

Para manejar un módulo y la política de seguridad ASA SFR, usted debe registrarla con un centro de administración de FireSIGHT. Usted no puede realizar estas acciones con un centro de administración de FireSIGHT:

  • Configure las interfaces de módulo ASA SFR
  • Cierre, recomience, o maneje de otra manera los procesos del módulo ASA SFR
  • Cree las salvaguardias, o restablezca las salvaguardias, a los dispositivos de módulo ASA SFR
  • Escriba las reglas del control de acceso para hacer juego el tráfico con el uso de las condiciones de la etiqueta del VLA N

Reoriente el tráfico al módulo SFR

Para reorientar el tráfico al módulo ASA SFR, usted debe crear una política de servicio que identifique el tráfico específico. Complete estos pasos para reorientar el tráfico a un módulo ASA SFR:

  1. Seleccione el tráfico que se debe identificar con el comando access-list. En este ejemplo, todo el tráfico de todos los interfaces se reorienta. Usted puede hacer esto para el tráfico específico también.
    ciscoasa(config)# access-list sfr_redirect extended permit ip any any
  2. Cree una clase-correspondencia para hacer juego el tráfico en una lista de acceso:
    ciscoasa(config)# class-map sfr
    ciscoasa(config-cmap)# match access-list sfr_redirect
  3. Especifique el modo del despliegue. Usted puede configurar su dispositivo en un modo (normal) pasivo (monitor-solamente) o en línea del despliegue.

    Nota: Usted no puede configurar un modo pasivo y el modo en línea al mismo tiempo en el ASA. Solamente un tipo de política de seguridad se permite.

    • En un despliegue en línea, después de que se caiga el tráfico indeseado y cualquier otra acción que sea aplicada por la directiva se realizan, el tráfico se vuelve al ASA para el procesamiento adicional y la última transmisión. Este ejemplo muestra cómo crear una directiva-correspondencia y configurar el módulo ASA SFR en el modo en línea:
      ciscoasa(config)# policy-map global_policy
      ciscoasa(config-pmap)# class sfr
      ciscoasa(config-pmap-c)# sfr fail-open

    • En un despliegue pasivo, una copia del tráfico se envía al módulo de servicio SFR, pero no se vuelve al ASA. El modo pasivo permite que usted vea las acciones que el módulo SFR habría completado con respecto al tráfico. También permite que usted evalúe el contenido del tráfico, sin un impacto a la red.

      Si usted quiere configurar el módulo SFR en el modo pasivo, utilice la palabra clave del monitor-solamente (tal y como se muestra en del próximo ejemplo). Si usted no incluye la palabra clave, el tráfico se envía en el modo en línea.
      ciscoasa(config-pmap-c)# sfr fail-open monitor-only

    Advertencia: El modo de monitor-solamente no permite que el módulo de servicio SFR niegue o bloquee el tráfico malévolo.

    Precaución: Puede ser que sea posible configurar un ASA en el modo de monitor-solamente con el uso del comando de monitor-solamente tráfico-delantero del sfr del interfaz-nivel; sin embargo, esta configuración está puramente para las funciones de la demostración y no se debe utilizar en una producción ASA. Ninguna problemas que se encuentran en esta característica de la demostración no son utilizados por el centro de la asistencia técnica de Cisco (TAC). Si usted desea de desplegar el servicio ASA SFR en el modo pasivo, configurelo con el uso de una directiva-correspondencia.

  4. Especifique una ubicación y aplique la directiva. Usted puede aplicar una directiva global o en un interfaz. Para reemplazar la política global en un interfaz, usted puede aplicar una política de servicio a ese interfaz.

    La palabra clave global aplica la correspondencia de la directiva a todos los interfaces, y la palabra clave del interfaz aplica la directiva a un interfaz. Se permite solamente una política global. En este ejemplo, la directiva se aplica global:
    ciscoasa(config)# service-policy global_policy global

    Precaución: El global_policy de la correspondencia de la directiva es una directiva predeterminada. Si usted utiliza esta directiva y quiere quitarla en su dispositivo para resolver problemas los propósitos, asegúrese de que usted entienda su implicación.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Nazmul Rajib
    Ingeniero de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros