La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive come installare e configurare un modulo Cisco FirePOWER (SFR) su un'appliance Cisco ASA e registrare il modulo SFR con Cisco FireSIGHT.
Cisco consiglia al sistema di soddisfare i seguenti requisiti prima di provare le procedure descritte in questo documento:
enable
nella CLI. Se non è stata impostata una password, premere Enter
:ciscoasa> enable Password: ciscoasa#
Per installare i servizi FirePOWER su un'appliance Cisco ASA, sono necessari i seguenti componenti:
Nota: se si desidera installare i servizi FirePOWER (SFR) su un modulo hardware ASA 5585-X, consultare il documento sull'installazione di un modulo SFR su un modulo hardware ASA 5585-X.
Questi componenti sono richiesti sul Cisco FireSIGHT Management Center:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Il modulo Cisco ASA FirePOWER, noto anche come ASA SFR, fornisce servizi firewall di nuova generazione, quali:
Nota: è possibile utilizzare il modulo ASA SFR in modalità contesto singolo o multiplo e in modalità instradato o trasparente.
Prendere in considerazione queste informazioni importanti prima di provare le procedure descritte in questo documento:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
cxsc
viene utilizzata una parola chiave anziché ips
: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
shutdown
e uninstall
comandi utilizzati per rimuovere un'immagine SFR precedente. Di seguito è riportato un esempio:ciscoasa# sw-module module sfr uninstall
Suggerimento: per determinare lo stato di un modulo sull'appliance ASA, immettere il show module
Questa sezione descrive come installare il modulo SFR sull'appliance ASA e come configurare l'immagine di avvio di ASA SFR.
Per installare il modulo SFR sull'appliance ASA, completare i seguenti passaggi:
Nota: non trasferire il software di sistema, in quanto viene scaricato in seguito sull'unità a stato solido (SSD).
Per scaricare l'immagine di avvio tramite ASDM, completare la procedura seguente:Tools > File Management
in ASDM.Per scaricare l'immagine di avvio dalla CLI dell'ASA, completare la procedura seguente:
copy
nella CLI per scaricare l'immagine di avvio sull'unità flash. Di seguito è riportato un esempio che utilizza il protocollo HTTP (sostituire
con l'indirizzo IP o il nome host del server). Per il server FTP, l'URL ha il seguente aspetto:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img
.
ciscoasa# copy http:///asasfr-5500x-boot-5.3.1-152.img disk0:/asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
Di seguito è riportato un esempio:
ciscoasa# sw-module module sfr recover configure image disk0: /asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover boot
Durante questo periodo, se si attiva debug module-boot
sull'appliance ASA, vengono stampati i seguenti debug:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
Completare questa procedura per configurare l'immagine di avvio di ASA SFR appena installata:
Enter
dopo aver aperto una sessione per accedere al prompt di accesso. Nota: il nome utente predefinito è admin
. La password varia a seconda della versione del software:Adm!n123
per 7.0.1 (solo dispositivi nuovi in fabbrica), Admin123
6.0 e versioni successive, Sourcefire
per le versioni precedenti alla 6.0.
Di seguito è riportato un esempio:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
Suggerimento: se l'avvio del modulo ASA SFR non è stato completato, il comando session non ha esito positivo e viene visualizzato un messaggio che indica che il sistema non è in grado di connettersi tramite TTYS1. In tal caso, attendere il completamento dell'avvio del modulo e riprovare.
setup
per configurare il sistema in modo da poter installare il pacchetto software del sistema:asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Vengono quindi richieste le seguenti informazioni:
Host name
- Il nome host può contenere fino a 65 caratteri alfanumerici, senza spazi. È consentito l'uso di trattini.Network address
- L'indirizzo di rete può essere un indirizzo IPv4 statico o IPv6. È inoltre possibile utilizzare DHCP per la configurazione automatica IPv4 o IPv6 senza stato.DNS information
- È necessario identificare almeno un server DNS (Domain Name System) ed è inoltre possibile impostare il nome di dominio e il dominio di ricerca.NTP information
- È possibile abilitare il protocollo NTP (Network Time Protocol) e configurare i server NTP per impostare l'ora del sistema. system install
per installare l'immagine software del sistema:asasfr-boot >system install [noconfirm] url
Includere il noconfirm
se non si desidera rispondere ai messaggi di conferma. Sostituire il url
parola chiave con il percorso della .pkg
file. Anche in questo caso, è possibile utilizzare un server FTP, HTTP o HTTPS. Di seguito è riportato un esempio:
asasfr-boot >system install http:///asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Per il server FTP, l'URL ha il seguente aspetto:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg
.
Nota La SFR si trova in un "Recover
" durante il processo di installazione. L'installazione del modulo SFR può richiedere all'incirca un'ora. Al termine dell'installazione, il sistema si riavvia. Attendere dieci o più minuti per l'installazione del componente applicativo e l'avvio dei servizi ASA SFR. L'output del show module sfr
indica che tutti i processi sono Up
.
Questa sezione descrive come configurare il software FirePOWER e il centro di gestione FireSIGHT e come reindirizzare il traffico al modulo SFR.
Completare questi passaggi per configurare il software FirePOWER:
Nota: viene visualizzato un prompt di accesso diverso perché l'accesso viene eseguito su un modulo completamente funzionante.
Di seguito è riportato un esempio:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
admin
e la password varia a seconda della versione del software:Adm!n123
per 7.0.1 (solo dispositivi nuovi in fabbrica), Admin123
6.0 e versioni successive,Sourcefire
per le versioni precedenti alla 6.0.Nota: è possibile configurare indirizzi di gestione IPv4 e IPv6.
Di seguito è riportato un esempio:
System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 198.51.100.1 Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14 Enter a comma-separated list of search domains or 'none' [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy'
Per gestire un modulo ASA SFR e la policy di sicurezza, è necessario registrarlo su un centro di gestione FireSIGHT. Per ulteriori informazioni, fare riferimento a Registrazione di un dispositivo con un centro di gestione FireSIGHT. Non è possibile eseguire queste operazioni con un centro di gestione FireSIGHT:
Per reindirizzare il traffico al modulo ASA SFR, è necessario creare una policy del servizio che identifichi il traffico specifico. Per reindirizzare il traffico su un modulo ASA SFR, completare la procedura seguente:
access-list
Nell'esempio, tutto il traffico proveniente da tutte le interfacce viene reindirizzato. Questa operazione può essere effettuata anche per un traffico specifico.ciscoasa(config)# access-list sfr_redirect extended permit ip any any
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
Nota: non è possibile configurare contemporaneamente la modalità passiva e la modalità inline sull'appliance ASA. È consentito un solo tipo di criterio di protezione.
global_policy
è configurato con un'altra configurazione di modulo(show run policy-map global_policy, show run service-policy)
, quindi reimpostare/rimuovere prima global_policy per un'altra configurazione di modulo e riconfigurare global_policy
.ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
monitor-only
come illustrato nell'esempio seguente. Se non si include la parola chiave, il traffico viene inviato in modalità inline.ciscoasa(config-pmap-c)# sfr fail-open monitor-only
Avviso: monitor-only
Questa modalità non consente al modulo del servizio SFR di negare o bloccare il traffico dannoso.
Attenzione: è possibile configurare un'ASA in modalità solo monitor usando il livello di interfaccia traffic-forward sfr monitor-only
; tuttavia, questa configurazione è solo a scopo dimostrativo e non deve essere utilizzata su un'appliance ASA di produzione. I problemi rilevati in questa funzionalità dimostrativa non sono supportati dal Cisco Technical Assistance Center (TAC). Se si desidera distribuire il servizio ASA SFR in modalità passiva, configurarlo con l'uso di una mappa dei criteri.
global
la parola chiave applica la mappa dei criteri a tutte le interfacce e interface
la parola chiave applica il criterio a un'interfaccia. È consentito un solo criterio globale. In questo esempio, il criterio viene applicato globalmente:ciscoasa(config)# service-policy global_policy global
Attenzione: mappa dei criteri global_policy
è un criterio predefinito. Se si utilizza questo criterio e si desidera rimuoverlo dal dispositivo per la risoluzione dei problemi, verificare di averne compreso le implicazioni.
Attualmente non è disponibile una procedura di verifica per questa configurazione.
debug module-boot
) per attivare il debug all'inizio dell'installazione dell'immagine di avvio SFR. sw-module module sfr recover stop
).(reload quick)
. (se il traffico attraversa la rete, può causare disturbi alla rete). Se Still SFR è bloccato nello stato di ripristino, è possibile arrestare l'ASA e unplug the SSD
e avviare l'appliance ASA. Verificare lo stato del modulo e che sia INIT. Anche in questo caso, spegnere l'appliance ASA, insert the SSD
e avviare l'ASA. È possibile avviare la re-immagine del modulo ASA SFR.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
3.0 |
11-Jul-2023 |
Certificazione |
2.0 |
22-Jun-2022 |
Aggiunti URL per IPS protetto e server FTP. Collegamenti ipertestuali riformattati ed esempi rimossi. Sezioni Modificate Installazione, Risoluzione dei problemi e Configurazione. |
1.0 |
04-Nov-2014 |
Versione iniziale |