Gestion de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Device Manager

Ce chapitre décrit comment déployer un périphérique autonome défense contre les menaces virtuelles géré avec gestionnaire d'appareil. Pour déployer une paire à haute accessibilité, consultez le Guide Cisco Secure Firewall Device Manager Configuration.

À propos de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall device manager

Le Cisco Secure Firewall Threat Defense Virtual est le composant virtualisé de la solution Cisco NGFW. défense contre les menaces virtuelles fournit des services de pare-feu de nouvelle génération, notamment le pare-feu dynamique, le routage, le VPN, le système de prévention des intrusions de nouvelle génération (NGIPS), la visibilité et le contrôle des applications (AVC), le filtrage des URL et la défense contre les logiciels malveillants.

Vous pouvez gérer le défense contre les menaces virtuelles à l’aide de Cisco Secure Firewall device manager, un assistant de configuration de périphérique Web inclus sur certains modèles défense contre les menaces. gestionnaire d'appareil vous permet de configurer les fonctions de base du logiciel qui sont le plus souvent utilisées pour les petits réseaux. Il est spécialement conçu pour les réseaux qui comprennent un seul périphérique ou quelques-uns, pour lesquels vous ne souhaitez pas utiliser un gestionnaire de périphériques multiples de grande puissance qui permet de contrôler un grand réseau contenant un grand nombre des périphériques défense contre les menaces.

Si vous gérez un grand nombre d'appareils, ou si vous voulez utiliser les fonctions et configurations plus complexes que permet défense contre les menaces, utilisez centre de gestion pour configurer vos appareils au lieu du gestionnaire d'appareil intégré. Consultez Gestion de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Management Center pour de plus amples renseignements.

Pour les besoins du dépannage, vous pouvez accéder à l’interface de ligne de commande défense contre les menaces en utilisant SSH dans l’interface de gestion, ou vous pouve vous connecter à défense contre les menaces à partir de l’interface de ligne de commande gestionnaire d'appareil.

Configuration par défaut

La configuration par défaut défense contre les menaces virtuelles place l’interface de gestion et l’interface interne sur le même sous-réseau. Vous devez avoir une connectivité Internet sur l’interface de gestion pour utiliser les licences Smart et obtenir des mises à jour des bases de données du système.

Ainsi, la configuration par défaut est conçue pour que vous puissiez connecter les interfaces Gestion 0-0 et le GigabitEthernet 0-1 (interne) au même réseau sur le commutateur virtuel. L’adresse de gestion par défaut utilise l’adresse IP interne comme passerelle. Ainsi, l’interface de gestion passe par l’interface interne, puis par l’interface externe, pour accéder à Internet.

Vous avez également la possibilité d’associer Gestion 0-0 à un sous-réseau différent de celui utilisé pour l’interface interne, tant que vous utilisez un réseau qui a accès à Internet. Assurez-vous que vous configurez l’adresse IP de l’interface de gestion et la passerelle de façon appropriée pour le réseau.

Le défense contre les menaces virtuelles doit être sous tension sur Firstboot avec au moins quatre interfaces.

  • La première interface de la machine virtuelle est l’interface de gestion (Gestion 0-0).

  • La deuxième interface de la machine virtuelle est l’interface de diagnostic (Diagnostic 0-0).

  • La troisième interface de la machine virtuelle (GigabitEthernet 0-0) est l’interface externe.

  • La quatrième interface de la machine virtuelle (GigabitEthernet 0-1) est l’interface interne.

Vous pouvez ajouter jusqu’à six interfaces supplémentaires pour le trafic de données, pour un total de huit interfaces de données. Pour les interfaces de données supplémentaires, assurez-vous que les réseaux sources correspondent aux réseaux de destination appropriés et que chaque interface de données est mappée à un sous-réseau ou à un VLAN unique. Consultez l’information sur la configuration des interfaces VMware.

Configuration initiale

Vous devez effectuer une configuration initiale pour que défense contre les menaces virtuelles fonctionne correctement dans votre réseau, qui inclut la configuration des adresses nécessaires pour insérer l’appareil de sécurité dans votre réseau et le connecter à Internet ou à un autre routeur en amont. Vous pouvez effectuer la configuration initiale du système de l’une des deux manières suivantes :

  • À l’aide de l’interface Web gestionnaire d'appareil (méthode recommandée). Gestionnaire d'appareil s’exécute dans votre navigateur Web. Vous utilisez cette interface pour configurer, gérer et surveiller le système.

  • À l’aide de l’assistant de configuration de l’interface de ligne de commande (CLI) (en option). Vous pouvez utiliser l'assistant de configuration de la CLI pour la configuration initiale au lieu de gestionnaire d'appareil, et vous pouvez utiliser l'interface de ligne de commande pour le dépannage. Vous utilisez toujours gestionnaire d'appareil pour configurer, gérer et surveiller le système; consultez la section sur le lancement de l'assistant de l’interface de ligne de commande défense contre les menaces (facultatif).

Les rubriques suivantes expliquent comment utiliser ces interfaces pour effectuer la configuration initiale de votre système.

Lancez Gestionnaire d'appareil

Lorsque vous vous connectez pour la première fois à gestionnaire d'appareil, vous êtes guidé au moyen de l'assistant d'installation de l'appareil pour compléter la configuration initiale du système.

Procédure

Étape 1

Ouvrez un navigateur et connectez-vous à gestionnaire d'appareil. En supposant que vous n’avez pas effectué la configuration initiale dans l’interface de ligne de commande, ouvrez gestionnaire d'appareil à https://FTDv pubic IPv4 address.

Étape 2

Connectez-vous avec le nom d’utilisateur admin et le mot de passe Admin123.

Étape 3

S'il s'agit de la première connexion au système et que vous n'avez pas utilisé l'assistant de configuration au niveau de l’interface de ligne de commande, vous devrez lire et accepter le contrat de licence d’utilisateur final et modifier le mot de passe de l’administrateur. Vous devez suivre ces étapes pour continuer.

Étape 4

Configurez les options suivantes pour l’interface externe et l’interface de gestion, puis cliquez sur Next (suivant).

Remarque

 
Vos paramètres sont déployés sur l’appareil lorsque vous cliquez sur Next (suivant). L'interface sera désignée comme « externe » et sera ajoutée à la zone de sécurité « outside_zone ». Vérifiez que vos paramètres sont corrects.

  1. Interface externe : Il s'agit du port de données que vous avez connecté à votre mode de passerelle et votre routeur. Vous ne pouvez pas sélectionner une autre interface externe lors de la configuration initiale du périphérique. La première interface de données est l’interface externe par défaut.

    Configure IPv4 (configuration de l’adresse IPv4) : l’adresse IPv4 pour l’interface externe. Vous pouvez utiliser le protocole DHCP ou saisir manuellement une adresse IP statique, un masque de sous-réseau et une passerelle. Vous pouvez également sélectionner Off (désactivé) pour choisir de ne pas configurer une adresse IPv4.

  2. Interface de gestion

    DNS Servers (serveurs DNS) : le serveur DNS pour l'adresse de gestion du système. Entrez une ou plusieurs adresses de serveurs DNS pour la résolution de noms. Par défaut, les serveurs DNS publics OpenDNS sont sélectionnés. Si vous modifiez les champs et souhaitez revenir à la valeur par défaut, cliquez sur Use OpenDNS (utiliser OpenDNS) pour recharger les adresses IP appropriées dans les champs.

    Firewall Hostname (nom d’hôte du pare-feu) : le nom d'hôte de l'adresse de gestion du système.

    Remarque

     

    Lorsque vous configurez l'appareil Défense contre les menaces à l'aide de l'assistant de configuration de l'appareil, le système fournit deux règles d’accès par défaut pour le trafic sortant et entrant. Vous pouvez revenir en arrière et modifier ces règles d’accès après la configuration initiale.

Étape 5

Configurez les paramètres d'heure du système et cliquez sur Next (suivant).

  1. Time Zone (fuseau horaire) : sélectionnez le fuseau horaire pour le système.

  2. NTP Time Server (serveur horaire NTP) : sélectionnez cette option pour utiliser les serveurs NTP par défaut ou pour saisir manuellement les adresses de vos serveurs NTP. Vous pouvez ajouter plusieurs serveurs pour fournir des sauvegardes.

Étape 6

Configurez les licences Smart pour le système.

Vous devez avoir un compte de licence Smart pour obtenir et appliquer les licences requises par le système. Au départ, vous pouvez utiliser la licence d’évaluation de 90 jours, puis configurer les licences Smart ultérieurement.

Pour enregistrer le périphérique dès maintenant, cliquez sur le lien pour vous connecter à votre compte Smart Software Manager, générez un nouveau jeton et copiez-le dans la zone d'édition.

Pour utiliser la licence d’évaluation, sélectionnez Start 90 day evaluation period without registration (commencer la période d’évaluation de 90 jours sans inscription). Pour enregistrer ultérieurement l’appareil et obtenir des licences Smart, cliquez sur le nom de l’appareil dans le menu pour accéder au Device Dashboard (tableau de bord de l’appareil), puis cliquez sur le lien dans le groupe des licences Smart (Smart Licenses).

Étape 7

Cliquez sur Finish (terminer).

Prochaine étape

Comment configurer l'appareil dans Cisco Secure Firewall Device Manager

Après avoir terminé la configuration avec l’assistant, vous devriez avoir un périphérique qui fonctionne avec quelques règles de base en place :

  • Zones de sécurité pour les interfaces interne et externe.

  • Une règle d’accès qui fait confiance au trafic interne et externe.

  • Une règle d’interface NAT qui traduit tout le trafic interne vers externe vers des ports uniques sur l’adresse IP de l’interface externe.

  • Un serveur DHCP fonctionnant sur l’interface interne ou sur le groupe de ponts.

Les étapes suivantes donnent un aperçu des fonctionnalités supplémentaires que vous pourriez souhaiter configurer. Veuillez cliquer sur le bouton d'aide (?) dans une page pour obtenir des renseignements détaillés sur chaque étape.

Procédure

Étape 1

Choisissez Device (appareil), cliquez sur View Configuration dans le groupe des licences Smart.

Cliquez sur Enable (activer) pour chacune des licences facultatives que vous souhaitez utiliser : IPS, protection contre les programmes malveillants, filtrage des URL. Si vous avez enregistré l’appareil pendant la configuration, vous pouvez également activer la licence VPN RA souhaitée. Lisez l’explication sur chaque licence si vous ne savez pas si vous en avez besoin.

Si vous n’êtes pas enregistré, vous pouvez le faire à partir de cette page. Cliquez sur Request Register (demander l’enregistrement) et suivez les instructions. Veuillez vous inscrire avant l’expiration de la licence d’évaluation.

Par exemple, uneIPS activée devrait se présenter comme suit :

Illustration 1. Enabled IPS License

Étape 2

Si vous avez configuré d’autres interfaces, sélectionnez Device (périphérique), puis cliquez sur View Configuration (afficher la configuration) dans le groupe Interfaces et configurez chaque interface.

Vous pouvez créer un groupe de ponts pour les autres interfaces, configurer des réseaux distincts ou une combinaison des deux. Cliquez sur l'icône de modification () pour chaque interface afin de définir le mode, l’adresse IP et d'autres paramètres.

Dans l’exemple suivant, une interface est configurée pour être utilisée comme « zone démilitarisée » (DMZ), où vous placez des ressources accessibles au public, comme votre serveur Web. Lorsque vous avez terminé, cliquez sur Save (enregistrer).

Illustration 2. Modifier l’interface

Étape 3

Si vous avez configuré de nouvelles interfaces, sélectionnez Objects (objets), puis Security Zones (zones de sécurité) dans la table des matières.

Modifiez ou créez de nouvelles zones, selon le cas. Chaque interface doit appartenir à une zone, car vous configurez les politiques en fonction des zones de sécurité et non des interfaces. Vous ne pouvez pas placer les interfaces dans des zones lors de leur configuration. Par conséquent, vous devez toujours modifier les objets des zones après avoir créé de nouvelles interfaces ou modifié le but des interfaces existantes.

L'exemple suivant montre comment créer une nouvelle zone dmz pour l'interface dmz.

Illustration 3. Objet de zone de sécurité

Étape 4

Si vous souhaitez que les clients internes utilisent le protocole DHCP pour obtenir une adresse IP du périphérique, sélectionnez Device (appareil) > System Settings (paramètres système) > DHCP Server (serveur DHCP), puis sélectionnez l’onglet des serveurs DHCP (DHCP Servers).

Un serveur DHCP est déjà configuré pour l’interface interne, mais vous pouvez modifier l’ensemble des adresses ou même le supprimer. Si vous avez configuré d’autres interfaces internes, il est très courant de configurer un serveur DHCP pour ces interfaces. Cliquez sur le signe plus (+) pour configurer le serveur et l’ensemble d’adresses pour chaque interface interne.

Vous pouvez également affiner la liste WINS et DNS fournie aux clients dans l’onglet Configuration. L'exemple suivant montre comment configurer un serveur DHCP sur l'interface interne 2 avec l’ensemble d'adresses 192.168.4.50-192.168.4.240.

Illustration 4. Serveur DHCP

Étape 5

Sous Device (périphérique), cliquez sur View Configuration (afficher la configuration) (ou Create First Static Route pour créer la première voie de routage statique) dans le groupe Routing (routage) et configurez le routage par défaut.

La voie de routage par défaut s’oriente normalement vers le routeur ISP (ou en amont) qui se trouve à côté de l’interface externe. Une voie de routage IPv4 par défaut est configuré sur any-ipv4 (0.0.0.0/0). Créez le routage pour chaque version IP que vous utilisez. Si vous utilisez le protocole DHCP pour obtenir une adresse pour l’interface externe, vous avez peut-être déjà accès au routage par défaut dont vous avez besoin.

Remarque

 

Les voies de routage que vous définissez sur cette page concernent uniquement les interfaces de données. Elles n’ont aucun impact sur l’interface de gestion. Définissez la passerelle de gestion sous Device (appareil) > System Settings (paramètres système) > Management Interface (interface de gestion).

L'exemple suivant montre une voie de routage par défaut pour IPv4. Dans cet exemple, la passerelle isp-gateway est un objet réseau qui identifie l’adresse IP de la passerelle du fournisseur de services Internet (vous devez obtenir l’adresse de votre fournisseur de services Internet). Vous pouvez créer cet objet en cliquant sur Create New Network (créer un nouveau réseau) au bas du menu déroulant Gateway (passerelle).

Illustration 5. Routage par défaut

Étape 6

Sélectionnez les politiques sous Policies et configurez les politiques de sécurité pour le réseau.

L’assistant de configuration de périphérique active le flux du trafic entre la zone interne et la zone externe ainsi que la NAT d’interface pour toutes les interfaces vers l’interface externe. Même si vous configurez de nouvelles interfaces, si vous les ajoutez à l’objet dans la zone interne, la règle de contrôle d’accès s’applique automatiquement à celles-ci.

Cependant, si vous avez plusieurs interfaces internes, vous avez besoin d’une règle de contrôle d’accès pour permettre la circulation du trafic d’une zone interne à une autre. Si vous ajoutez d’autres zones de sécurité, vous avez besoin de règles pour autoriser le trafic en provenance et à destination de ces zones. Il s’agit de vos modifications minimales.

En outre, vous pouvez configurer d’autres politiques pour fournir des services supplémentaires et affiner la NAT et les règles d’accès afin d’obtenir les résultats requis par votre organisation. Vous pouvez configurer les politiques suivantes :

  • Déchiffrement SSL : Si vous souhaitez inspecter les connexions chiffrées (comme HTTPS) pour détecter les intrusions, les logiciels malveillants, etc., vous devez déchiffrer les connexions. Utilisez la politique de déchiffrement SSL pour déterminer les connexions qui doivent être déchiffrées. Le système rechiffre la connexion après l'avoir inspectée.

  • Identité : Si vous souhaitez corréler l'activité du réseau à des utilisateurs individuels ou contrôler l'accès au réseau en fonction de l'utilisateur ou de l'appartenance à un groupe d'utilisateurs, utilisez la politique d'identité pour déterminer l'utilisateur associé à une adresse IP source donnée.

  • Renseignements de sécurité : Utilisez la politique sur les renseignements de sécurité pour supprimer rapidement les connexions en provenance des adresses IP ou des URL de la liste noire ou vers celles-ci. En inscrivant sur la liste noire les mauvais sites connus, vous n’avez pas besoin de les prendre en compte dans votre politique de contrôle d’accès. Cisco fournit des flux régulièrement mis à jour d’adresses et d’adresses URL incorrectes afin que la liste noire issue des renseignements de sécurité se mette à jour de façon dynamique. En utilisant les flux, vous n’avez pas besoin de modifier la politique pour ajouter ou supprimer des éléments dans la liste noire.

  • NAT (traduction d’adresses réseau) : Utilisez le protocole NAT pour convertir les adresses IP internes en adresses de routage externe.

  • Contrôle d'accès : Utilisez la politique de contrôle d'accès pour déterminer les connexions autorisées sur le réseau. Vous pouvez procéder au filtrage selon la zone de sécurité, l’adresse IP, le protocole, le port, l’application, l’adresse URL, l’utilisateur ou le groupe d’utilisateurs. Vous pouvez aussi appliquer également des politiques en lien avec la prévention des intrusions et avec la présence de fichiers (logiciels malveillants) en utilisant des règles de contrôle d’accès. Utilisez cette politique pour mettre en œuvre le filtrage d’URL.

  • Intrusion : Utilisez les politiques de prévention des intrusions pour rechercher les menaces connues. Bien que vous appliquiez des politiques de prévention des intrusions à l’aide de règles de contrôle d’accès, vous pouvez modifier lesdites politiques pour activer ou désactiver sélectivement des règles de prévention précises en lien avec les intrusions.

L'exemple suivant montre comment autoriser le trafic entre la zone interne et la zone dmz dans la politique de contrôle d'accès. Dans cet exemple, aucune option n’est définie sous les autres onglets, à l’exception de la journalisation (Logging), pour laquelle l’option At End of Connection (à la fin de la connexion) est sélectionnée.

Illustration 6. Politique de contrôle d’accès

Étape 7

Choisissez Device (appareil), puis cliquez sur View Configuration (afficher la configuration) sous Updates (mises à jour) et configurez les calendriers de mise à jour pour les bases de données système.

Si vous utilisez des politiques de prévention des intrusions, configurez des mises à jour régulières pour les règles et pour les bases de données de vulnérabilités (VDB). Si vous utilisez des flux de renseignements de sécurité, définissez un calendrier de mise à jour pour ceux-ci. Si vous utilisez la géolocalisation comme critères de correspondance dans toute politique de sécurité, définissez un calendrier de mise à jour pour cette base de données.

Étape 8

Cliquez sur le bouton Deploy (déployer) dans le menu, puis cliquez sur le bouton Deploy Now () pour déployer immédiatement vos modifications sur le périphérique.

Les modifications ne sont actives sur le périphérique que lorsque vous les déployez.

Prochaine étape

Pour en savoir plus sur la gestion de défense contre les menaces virtuelles avec gestionnaire d'appareil, consultez le Guide de configuration de Cisco Secure Firewall Threat Defense pour Secure firewall Device Manager ou l'aide en ligne Cisco Secure Firewall device manager.