Gestion de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Management Center

Ce chapitre décrit comment déployer un périphérique autonome défense contre les menaces virtuelles géré avec centre de gestion.


Remarque

Ce document couvre les dernières fonctionnalités de la version défense contre les menaces virtuelles. Si vous utilisez une ancienne version du logiciel, consultez les procédures du guide de configuration centre de gestion correspondant à votre version.

À propos de Cisco Secure Firewall Threat Defense Virtual avec Cisco Secure Firewall Management Center

Le Cisco Secure Firewall Threat Defense Virtual est le composant virtualisé de la solution Cisco NGFW. défense contre les menaces virtuelles fournit des services de pare-feu de nouvelle génération, notamment le pare-feu dynamique, le routage, le VPN, le système de prévention des intrusions de nouvelle génération (NGIPS), la visibilité et le contrôle des applications (AVC), le filtrage des URL et la défense contre les logiciels malveillants.

Vous pouvez gérer défense contre les menaces virtuelles à l’aide de centre de gestion un gestionnaire multidispositif complet sur un serveur distinct. défense contre les menaces virtuelles s’enregistre et communique avec centre de gestion sur l’interface de gestion que vous avez attribuée à la machine défense contre les menaces virtuelles.

défense contre les menaces virtuelles s’enregistre et communique avec centre de gestion sur l’interface de gestion que vous avez attribuée à la machine défense contre les menaces virtuelles.

Pour les besoins du dépannage, vous pouvez accéder à l’interface de ligne de commande défense contre les menaces en utilisant SSH dans l’interface de gestion, ou vous pouve vous connecter à défense contre les menaces à partir de l’interface de ligne de commande centre de gestion.

Ce guide décrit comment déployer un périphérique virtuel de défense contre les menaces autonome géré avec le centre de gestion. Pour des informations de configuration détaillées sur centre de gestion, consultez le Guide d’administration du centre de gestion et le Guide de configuration des périphériques du centre de gestion.

Pour en savoir plus sur l’installation de centre de gestion, consultez le Guide d’installation du matériel Cisco Firepower Management Center 1600, 2600 et 4600 ou le Guide de démarrage du centre virtuel.

Connectez-vous au Cisco Secure Firewall Management Center

Utilisez centre de gestion pour configurer et surveiller défense contre les menaces.

Avant de commencer

Pour en savoir plus sur les navigateurs pris en charge, consultez les notes de version pour la version que vous utilisez (voir https://www.cisco.com/go/firepower-notes).

Procédure

Étape 1

À l'aide d'un navigateur pris en charge, entrez l'URL suivante.

https://fmcv_ip_address

fmc_ip_address identifie l’adresse IP ou le nom d’hôte de centre de gestion.

Étape 2

Saisissez votre nom d’utilisateur et votre mot de passe.

Étape 3

Cliquez sur Log In (Ouvrir une session).

Enregistrez l’appareil avec le Cisco Secure Firewall Management Center

Avant de commencer

Assurez-vous que la machine défense contre les menaces virtuelles s’est déployée avec succès, qu’elle est sous tension et qu’elle a effectué ses premières procédures de démarrage.


Remarque

Cette procédure suppose que vous ayez fourni les informations d’enregistrement pour le centre de gestion à l’aide du script day0/de démarrage. Cependant, tous ces paramètres peuvent être modifiés ultérieurement au niveau de l’interface de ligne de commande à l’aide des commandes configure network. Consultez la section Référence des commandes de défense contre les menaces de Cisco Secure Firewall.

Procédure

Étape 1

Choisissez Devices (périphériques) > Device Management (gestion des périphériques).

Étape 2

Dans la liste déroulante Add (ajouter), choisissez l’option pour ajouter un appareil ( Add Device) et entrez les paramètres suivants.

  • Hôte : saisissez l’adresse IP du périphérique que vous souhaitez ajouter.

  • Display Name (nom d’affichage) : saisissez le nom de l’appareil comme vous souhaitez qu’il apparaisse dans centre de gestion.

  • Registration Key (clé d'enregistrement) : saisissez la clé d'enregistrement que vous avez précisée dans la configuration initiale du programme de démarrage de défense contre les menaces virtuelles.

  • Domain (domaine) : attribuez le périphérique à un domaine feuille si vous avez un environnement multidomaine.

  • Group (groupe) : attribuez-le à un groupe de périphériques si vous utilisez des groupes.

  • Access Control Policy (politique de contrôle d'accès) : choisissez une politique initiale. Sauf si vous avez déjà une politique personnalisée que vous savez que vous devez utiliser, choisissez Create new policy (créer une nouvelle politique) et Block all traffic (bloquer tout le trafic). Vous pourrez modifier ce réglage ultérieurement pour autoriser le trafic; voir Configurer le contrôle d’accès.

  • Smart Licensing (licences Smart) : attribuez les licences Smart dont vous avez besoin pour les fonctionnalités que vous souhaitez déployer : Malware (programmes malveillants) (si vous avez l'intention d'utiliser l'inspection des programmes malveillants), Threat (menace) (si vous avez l'intention d'utiliser la prévention des intrusions), et URL (si vous avez l'intention de mettre en œuvre le filtrage des URL par catégorie).

  • Unique NAT ID (ID NAT unique) : précisez l'ID NAT que vous avez indiquée dans la configuration initiale de démarrage de défense contre les menaces virtuelles.

  • Transfer Packets(transfer des paquets) : permet au périphérique de transférer des paquets vers centre de gestion. Lorsque des événements comme IPS ou Snort sont déclenchés avec cette option activée, l’appareil envoie des informations sur les métadonnées d’événement et des données de paquets vers centre de gestion pour l’inspection. Si vous le désactivez, seules les informations d’événement seront envoyées vers centre de gestion, mais les données de paquets ne sont pas envoyées.

Étape 3

Cliquez sur Register (enregistrer) et confirmez la réussite de l’enregistrement.

Si l'enregistrement réussit, le périphérique est ajouté à la liste. S’il échoue, un message d’erreur s’affiche. Si l'enregistrement de défense contre les menaces virtuelles échoue, vérifiez les éléments suivants :

  • Message Ping : accédez à l’interface de ligne de commande défense contre les menaces (Accéder à l'interface de ligne de commande Cisco Secure Firewall Threat Defense) et envoyez un message ping à l'adresse IP centre de gestion à l'aide de la commande suivante :

    ping system ip_address

  • NTP— Assurez-vous que le serveur NTP centre de gestion correspond au serveur défini sur la page System (système) > Configuration > Time Synchronization (synchronisation du temps).

  • Clé d'enregistrement, ID NAT et adresse IP centre de gestion : assurez-vous que vous utilisez la même clé d'enregistrement et, le cas échéant, le même ID de traduction d’adresses réseau (NAT), sur les deux appareils. Vous pouvez définir la clé d’enregistrement et l’ID NAT sur défense contre les menaces virtuelles à l’aide de la commande configure manager add DONTRESOLVE<registrationkey> <NATID> . Cette commande vous permet également de modifier l’adresse IP centre de gestion.

Configurer une politique de sécurité de base

Cette section décrit comment configurer la politique de sécurité de base au moyen des paramètres importants suivants :

  • Inside and outside interfaces (interfaces internes et externes) : Attribuez une adresse IP statique à l’interface interne et utilisez DHCP pour l’interface externe.

  • DHCP server (serveur DHCP) : Utilisez un serveur DHCP sur l'interface interne pour les clients.

  • Default route (voie de routage par défaut) : Ajoutez une voie de routage par défaut via l'interface externe.

  • NAT : Utilisez l'interface PAT sur l'interface externe.

  • Access control (contrôle d’accès) : Autorisez le trafic de l'intérieur vers l'extérieur.

Procédure

Étape 1

Interfaces de configuration

Étape 2

Configurer le serveur DHCP

Étape 3

Ajouter la voie de routage par défaut

Étape 4

Configurer la traduction d’adresses réseau (NAT)

Étape 5

Configurer le contrôle d’accès

Étape 6

Déployer la configuration

Interfaces de configuration

Activez les interfaces défense contre les menaces virtuelles, affectez-les aux zones de sécurité et définissez les adresses IP. En règle générale, vous devez configurer au moins deux interfaces pour que le système transmette un trafic significatif. Normalement, vous auriez une interface externe qui fait face à Internet ou au routeur en amont, et une ou plusieurs interfaces internes pour les réseaux de votre entreprise. Certaines de ces interfaces peuvent être des «zones démilitarisées» (DMZ), où vous placez des ressources accessibles au public, comme votre serveur Web.

Une situation typique de routage de périphérie consiste à obtenir l’adresse de l’interface externe via DHCP auprès de votre fournisseur de services Internet, pendant que vous définissez des adresses statiques sur les interfaces internes.

Dans l'exemple suivant, une interface interne est configurée en mode routage avec une adresse statique et une interface externe est configurée en mode routage à l'aide de DHCP.

Procédure

Étape 1

Choisissez Devices (périphériques) > Device Management (gestion de périphériques), puis cliquez sur Modifier (icône modifier) pour le périphérique.

Étape 2

Cliquez sur Interfaces.

Étape 3

Cliquez sur Modifier (icône modifier) pour l'interface que vous souhaitez utiliser à l'intérieur.

L'onglet General (général) s'affiche.

  1. Entrez un nom (Name (nom) renfermant au maximum 48 caractères.

    Par exemple, nommez l’interface interne.

  2. Cochez la case Enabled (activer).

  3. Laissez le Mode défini sur None (aucun).

  4. Dans la liste déroulante Security Zone (zone de sécurité), choisissez une zone de sécurité interne existante ou ajoutez-en une en cliquant sur New (nouveau).

    Par exemple, ajoutez une zone appelée inside_zone (zone interne). Chaque interface doit être affectée à une zone de sécurité ou à un groupe d’interfaces. Une interface ne peut appartenir qu'à une seule zone de sécurité, mais peut également appartenir à plusieurs groupes d'interfaces. Vous appliquez votre politique de sécurité en fonction des zones ou des groupes. Par exemple, vous pouvez affecter l’interface interne à la zone interne; et l’interface externe avec la zone externe. Ensuite, vous pouvez configurer votre politique de contrôle d’accès pour permettre au trafic d’être acheminé de l’intérieur vers l’extérieur, mais pas de l’extérieur vers l’intérieur. La plupart des politiques ne prennent en charge que les zones de sécurité; vous pouvez utiliser des zones ou des groupes d’interface dans les politiques NAT, les politiques de préfiltre et les politiques QOS.

  5. Cliquez sur l'onglet IPv4 ou .

    • IPv4 : Sélectionnez Use Static IP (utiliser une adresse IP statique) dans la liste déroulante et saisissez une adresse IP et un filtre d’adresse locale en notation oblique ou selon l’option DHCP.

      Par exemple, entrez 192.168.1.1/24.

  6. Cliquez sur OK.

Étape 4

Cliquez sur Modifier (icône modifier) pour l'interface que vous souhaitez utiliser à l'extérieur.

L'onglet General (général) s'affiche.

  1. Entrez un nom (Name (nom) renfermant au maximum 48 caractères.

    Par exemple, nommez l’interface externe.

  2. Cochez la case Enabled (activer).

  3. Laissez le Mode défini sur None (aucun).

  4. Dans la liste déroulante Security Zone (zone de sécurité), choisissez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur New (nouveau).

    Par exemple, ajoutez une zone appelée outside_zone.

  5. Cliquez sur l'onglet IPv4 ou .

    • IPv4 : Choisissez Use DHCP (utiliser DHCP) et configurez les paramètres facultatifs suivants :

      • Obtain Default Route Using DHCP (obtenir la voie de routage par défaut en utilisant DHCP) : Obtenir la voie de routage par défaut à partir du serveur DHCP.

      • DHCP route metric (mesure de la voie de routage DHCP) : Attribue une distance administrative à la voie de routage apprise (entre 1 et 255). La distance administrative par défaut pour les routes apprises est de 1.

  6. Cliquez sur OK.

Étape 5

Cliquez sur Save (enregistrer).

Configurer le serveur DHCP


Remarque

Ignorez cette procédure si vous procédez à un déploiement dans un environnement de nuage public tel qu’AWS, Azure, GCP, OCI.

Activez le serveur DHCP si vous souhaitez que les clients utilisent DHCP pour obtenir des adresses IP à partir de défense contre les menaces virtuelles.

Procédure

Étape 1

Choisissez Devices (périphériques) > Device Management (gestion de périphériques), puis cliquez sur Modifier (icône modifier) pour le périphérique.

Étape 2

Choisissez DHCP > DHCP Server.

Étape 3

Dans la page Server (serveur), cliquez sur Add (ajouter) puis configurez les options suivantes :

  • Interface : Choisissez une interface dans la liste déroulante.

  • Address Pool (ensemble des adresses) : Définissez la plage d'adresses IP (de la plus basse à la plus élevée) qu’utilise le serveur DHCP. La plage d'adresses IP doit se trouver sur le même sous-réseau que l'interface sélectionnée et elle ne peut pas inclure l'adresse IP de l'interface elle-même.

  • Enable DHCP Server : Activez le serveur DHCP sur l'interface sélectionnée.

Étape 4

Cliquez sur OK.

Étape 5

Cliquez sur Save (enregistrer).

Ajouter la voie de routage par défaut

La voie de routage par défaut s’oriente normalement vers le routeur en amont accessible de l’interface externe. Si vous utilisez DHCP pour l’interface externe, votre appareil a peut-être déjà reçu une voie de routage par défaut. Si vous devez ajouter la route manuellement, procédez comme suit.

Procédure

Étape 1

Choisissez Devices (périphériques) > Device Management (gestion de périphériques), puis cliquez sur Modifier (icône modifier) pour le périphérique.

Étape 2

Choisissez Routing (routage) > Static Route (routage statique), cliquez sur Add Route (ajouter une voie de routage), puis définissez les paramètres suivants :

  • Type : Cliquez sur le bouton radio IPv4 selon le type de routage statique que vous ajoutez.

  • Interface : Sélectionnez l’interface de sortie; il s’agit généralement de l’interface externe.

  • Available Network (réseau disponible) : Choisissez any-ipv4 pour une voie de routage IPv4 par défaut.

  • Gateway (passerelle)  : Saisissez ou choisissez le routeur de passerelle qui est le prochain saut sur cette voie de routage. Vous pouvez fournir une adresse IP ou un objet réseaux/hôtes.

  • Metric (nombre) : Saisissez le nombre de sauts sur le réseau de destination. Les valeurs valides vont de 1 à 255; la valeur par défaut est 1.

Étape 3

Cliquez sur OK.

La voie est ajoutée à la table de routage statique.

Étape 4

Cliquez sur Save (enregistrer).

Configurer la traduction d’adresses réseau (NAT)

Une règle de NAT typique convertit les adresses internes en un port sur l’adresse IP de l’interface externe. Ce type de règle de NAT est appelé interface Port Address Translation (PAT).

Procédure

Étape 1

Choisissez Devices (périphériques) > NAT et cliquez sur New Policy (nouvelle politique) > Threat Defense NAT (NAT de défense contre les menaces).

Étape 2

Nommez la politique, sélectionnez le ou les périphériques pour lesquels vous souhaitez utiliser la politique et cliquez sur Save (enregistrer).

La politique est ajoutée le centre de gestion. Vous devez encore ajouter des règles à la politique.

Étape 3

Cliquez sur Add Rule (ajouter une règle).

La boîte de dialogue Add NAT Rule (ajouter une règle NAT) apparaît.

Étape 4

Configurez les options des règles de base :

  • NAT Rule (règle NAT) : Choisissez la règle NAT automatique (Auto NAT Rule).

  • Type : Choisissez Dynamic (dynamique).

Étape 5

Dans la page Interface Objects (objets d'interface), ajoutez la zone externe du champ Available Interface Objects (objets d'interface disponibles) dans la zone Destination Interface Objects (objets d'interface de destination).

Étape 6

Dans la page Translation (traduction), configurez les options suivantes :

  • Original Source (source d’origine) : Cliquez sur Ajoutez (ajouter l’icône) pour ajouter un objet réseau pour l’ensemble du trafic IPv4 (0.0.0.0/0).

    Remarque

     

    Vous ne pouvez pas utiliser l’objetany-ipv4 défini par le système, car les règles de NAT automatiques ajoutent la NAT dans la définition de l’objet, et vous ne pouvez pas modifier les objets définis par le système.

  • Translated Source (source traduite) : Choisissez l’adresse IP de l’interface de destination (Destination Interface IP).

Étape 7

Cliquez sur Save (enregistrer) pour ajouter la règle.

La règle est enregistrée dans le tableau Rules (règles).

Étape 8

Cliquez sur Save pour enregistrer vos modifications dans la page NAT.

Configurer le contrôle d’accès

Si vous avez créé une politique de contrôle d’accès de base de blocage de tout le trafic (Block all traffic) lors de votre inscription de défense contre les menaces virtuelles au centre de gestion, vous devez ajouter des règles à la politique pour autoriser le trafic sur l’appareil. La procédure suivante ajoute une règle pour autoriser le trafic de la zone intérieure vers la zone extérieure. Si vous avez d’autres zones, assurez-vous d’ajouter des règles autorisant le trafic vers les réseaux appropriés.

Consultez le Guide de configuration de Firepower Management Centerpour configurer des paramètres et des règles de sécurité plus avancés.

Procédure

Étape 1

Choisissez Policy (politique) > Access Policy (politique d'accès) > Access Policy (politique d'accès), et cliquez sur Modifier (icône modifier) pour la politique de contrôle d'accès assignée à défense contre les menaces.

Étape 2

Cliquez sur Add Rule (ajouter une règle) et définissez les paramètres suivants :

  • Name (nom) : Nommez cette règle, par exemple inside_to_outside.

  • Source Zones (zones source) : Sélectionnez la zone intérieure sous Available Zones (zones disponibles), et cliquez sur Add to Source pour l’ajouter.

  • Destination Zones (zones de destination) : Sélectionnez la zone extérieure sous Available Zones (zones disponibles), et cliquez sur Add to Destination pour l’ajouter.

Laissez les autres paramètres tels quels.

Étape 3

Cliquez sur Add (ajouter).

La règle est ajoutée dans le tableau Rules (règles).

Étape 4

Cliquez sur Save (enregistrer).

Déployer la configuration

Déployez les modifications de configuration sur défense contre les menaces virtuelles; aucune de vos modifications n’est active sur l’appareil tant que vous ne les avez pas déployées.

Procédure

Étape 1

Cliquez sur Deploy (déployer) dans le coin supérieur droit.

Étape 2

Sélectionnez le périphérique dans la boîte de dialogue Deploy Policies (déployer des politiques), puis cliquez sur Deploy pour exécuter le déploiement.

Étape 3

Assurez-vous que le déploiement réussit. Cliquez sur l'icône à droite du bouton Deploy (déployer) dans la barre de menus pour voir l'état des déploiements.

Accéder à l'interface de ligne de commande Cisco Secure Firewall Threat Defense

Vous pouvez utiliser l’interface de ligne de commande de défense contre les menaces virtuelles pour modifier les paramètres de l’interface de gestion et à des fins de dépannage. Vous pouvez accéder à l’interface de ligne de commande en utilisant SSH sur l’interface de gestion, ou en vous connectant à partir de la console VMware.

Procédure

Étape 1

(Option 1) SSH directement lié à l'adresse IP de l'interface de gestion de défense contre les menaces virtuelles.

Vous avez défini l’adresse IP de gestion lorsque vous avez déployé la machine virtuelle. Connectez-vous à défense contre les menaces virtuelles avec le compte administrateur et le mot de passe que vous avez définis lors du déploiement initial.

Étape 2

(Option 2) Ouvrez la console VMware et utilisez le nom d’utilisateur par défaut admin et le mot de passe que vous avez définis lors du déploiement initial.