El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo instalar y configurar un módulo Cisco FirePOWER (SFR) que se ejecute en un Cisco Adaptive Security Appliance (ASA) y cómo registrar el módulo SFR con Cisco FireSIGHT Management Center.
Cisco recomienda que su sistema cumpla estos requisitos antes de intentar los procedimientos descritos en este documento:
enable
en la CLI. Si no se ha establecido una contraseña, pulse Enter
:ciscoasa> enable Password: ciscoasa#
Para instalar FirePOWER Services en un Cisco ASA, se requieren estos componentes:
Nota: Si desea instalar FirePOWER (SFR) Services en un módulo de hardware ASA 5585-X, consulte Instalación de un Módulo SFR en un Módulo de hardware ASA 5585-X.
Estos componentes son necesarios en Cisco FireSIGHT Management Center:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
El módulo Cisco ASA FirePOWER, también conocido como ASA SFR, proporciona servicios de firewall de última generación, como:
Nota: Puede utilizar el módulo ASA SFR en modo de contexto único o múltiple y en modo enrutado o transparente.
Considere esta importante información antes de intentar los procedimientos descritos en este documento:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
cxsc
se utiliza la palabra clave en lugar de ips
: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
shutdown
y uninstall
comandos que se utilizan para quitar una imagen SFR antigua. Aquí tiene un ejemplo:ciscoasa# sw-module module sfr uninstall
Consejo: Para determinar el estado de un módulo en el ASA, ingrese el show module
comando.
Esta sección describe cómo instalar el módulo SFR en el ASA y cómo configurar la imagen de inicio de ASA SFR.
Complete estos pasos para instalar el módulo SFR en el ASA:
Nota: No transferir el software del sistema; se descarga más tarde en la unidad de estado sólido (SSD).
Complete estos pasos para descargar la imagen de inicio a través del ASDM:Tools > File Management
en el ASDM.Complete estos pasos para descargar la imagen de inicio a través de ASA CLI:
copy
en la CLI para descargar la imagen de inicio en la unidad flash. Este es un ejemplo que utiliza el protocolo HTTP (reemplace el
con la dirección IP o el nombre de host del servidor). Para el servidor FTP, la URL es similar a la siguiente:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img
.
ciscoasa# copy http:///asasfr-5500x-boot-5.3.1-152.img disk0:/asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
Aquí tiene un ejemplo:
ciscoasa# sw-module module sfr recover configure image disk0: /asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover boot
Durante este tiempo, si activa debug module-boot
en el ASA, se imprimen estas depuraciones:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
Complete estos pasos para configurar la imagen de inicio SFR de ASA recién instalada:
Enter
después de abrir una sesión para alcanzar el mensaje de inicio de sesión. Nota: El nombre de usuario predeterminado es admin
. La contraseña varía según la versión de software:Adm!n123
7.0.1 (nuevo dispositivo solo de fábrica), Admin123
para 6.0 y posteriores, Sourcefire
para pre-6.0.
Aquí tiene un ejemplo:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
Consejo: Si el arranque del módulo SFR ASA no se ha completado, el comando session falla y aparece un mensaje que indica que el sistema no puede conectarse sobre TTYS1. Si esto ocurre, espere a que se complete el inicio del módulo e inténtelo de nuevo.
setup
para configurar el sistema de modo que pueda instalar el paquete de software del sistema:asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
A continuación, se le solicitará esta información:
Host name
- El nombre de host puede tener hasta 65 caracteres alfanuméricos, sin espacios. Se permite el uso de guiones.Network address
- La dirección de red puede ser direcciones IPv4 o IPv6 estáticas. También puede utilizar DHCP para la configuración automática sin estado de IPv4 o IPv6.DNS information
- Debe identificar al menos un servidor DNS y también puede establecer el nombre de dominio y el dominio de búsqueda.NTP information
- Puede activar el protocolo de tiempo de red (NTP) y configurar los servidores NTP para establecer la hora del sistema. system install
para instalar la imagen del software del sistema:asasfr-boot >system install [noconfirm] url
Incluir noconfirm
si no desea responder a los mensajes de confirmación. Reemplace el url
con la ubicación del .pkg
archivo. Una vez más, puede utilizar un servidor FTP, HTTP o HTTPS. Aquí tiene un ejemplo:
asasfr-boot >system install http:///asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Para el servidor FTP, la URL es similar a la siguiente:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg
.
Nota El SFR está en un "Recover
" durante el proceso de instalación. Puede tardar hasta una hora en completar la instalación del módulo SFR. Una vez finalizada la instalación, el sistema se reinicia. Espere diez o más minutos para que se inicie la instalación del componente de aplicación y para que se inicien los servicios ASA SFR. El resultado del show module sfr
indica que todos los procesos son Up
.
Esta sección describe cómo configurar el software FirePOWER y el FireSIGHT Management Center, y cómo redirigir el tráfico al módulo SFR.
Complete estos pasos para configurar el software FirePOWER:
Nota: Ahora aparece un mensaje de inicio de sesión diferente porque el login ocurre en un módulo completamente funcional.
Aquí tiene un ejemplo:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
admin
y la contraseña varía según la versión de software:Adm!n123
7.0.1 (nuevo dispositivo solo de fábrica), Admin123
para 6.0 y posteriores,Sourcefire
para pre-6.0.Nota: Puede configurar las direcciones de administración IPv4 e IPv6.
Aquí tiene un ejemplo:
System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 198.51.100.1 Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14 Enter a comma-separated list of search domains or 'none' [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy'
Para administrar un módulo SFR ASA y una política de seguridad, debe registrarlo en FireSIGHT Management Center. Refiérase a Registro de un Dispositivo con FireSIGHT Management Center para obtener más información. No puede realizar estas acciones con FireSIGHT Management Center:
Para redirigir el tráfico al módulo SFR de ASA, debe crear una política de servicio que identifique el tráfico específico. Complete estos pasos para redirigir el tráfico a un módulo ASA SFR:
access-list
comando. En este ejemplo, se redirige todo el tráfico de todas las interfaces. También puede hacer esto para tráfico específico.ciscoasa(config)# access-list sfr_redirect extended permit ip any any
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
Nota: No puede configurar tanto un modo pasivo como el modo en línea al mismo tiempo en el ASA. Solo se permite un tipo de directiva de seguridad.
global_policy
se configura con otra configuración de módulo(show run policy-map global_policy, show run service-policy)
, a continuación, restablezca/elimine primero global_policy para otra configuración de módulo y, a continuación, vuelva a configurar el global_policy
.ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
monitor-only
(como se muestra en el siguiente ejemplo). Si no incluye la palabra clave, el tráfico se envía en modo en línea.ciscoasa(config-pmap-c)# sfr fail-open monitor-only
Advertencia: monitor-only
el modo no permite que el módulo de servicio SFR niegue o bloquee el tráfico malintencionado.
Precaución: Puede ser posible configurar un ASA en modo solo monitor con el uso del nivel de interfaz traffic-forward sfr monitor-only
comando; sin embargo, esta configuración es únicamente para la funcionalidad de demostración y no se debe utilizar en un ASA de producción. Los problemas encontrados en esta función de demostración no son compatibles con Cisco Technical Assistance Center (TAC). Si desea implementar el servicio ASA SFR en modo pasivo, configúrelo con el uso de un policy-map.
global
aplica el policy map a todas las interfaces y el interface
aplica la política a una interfaz. Sólo se permite una política global. En este ejemplo, la política se aplica globalmente:ciscoasa(config)# service-policy global_policy global
Precaución: El mapa de políticas global_policy
es una política predeterminada. Si utiliza esta política y desea eliminarla en su dispositivo para solucionar problemas, asegúrese de comprender su implicación.
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
debug module-boot
) para habilitar el debug al inicio de la instalación de la imagen de inicio SFR. sw-module module sfr recover stop
).(reload quick)
. (Si el tráfico pasa, puede causar perturbaciones en la red). Si Still SFR está atascado en el estado de recuperación, puede apagar el ASA y unplug the SSD
e inicie ASA. Verifique el estado del módulo y debe ser el estado INIT. De nuevo, cierre el ASA, insert the SSD
e inicie ASA. puede iniciar la recreación de imágenes del módulo ASA SFR.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
22-Jun-2022 |
Se agregaron URL para IPS seguro y servidor FTP. Hipervínculos con nuevo formato y ejemplos eliminados. Secciones Instalación editada, Solución de problemas y Configuración. |
1.0 |
04-Nov-2014 |
Versión inicial |