4100 Firepower 어플라이언스에 FTD 설치
소개
이 문서에서는 Firepower 4100 보안 어플라이언스에 Cisco FTD(Secure Firewall Threat Defense) 소프트웨어를 설치하고 등록하는 방법을 보여줍니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco Firepower 4125 Security Appliance, FXOS 2.16(0.128) 및 FTD 7.6.0 실행
- 7.6.0을 실행하는 Cisco Secure Firewall Management Center
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
FTD는 다음 플랫폼에 설치할 수 있는 통합 소프트웨어 이미지입니다.
-
Cisco 보안 방화벽 디바이스(FPR1xxx, FPR12xx, FPR21xx, FPR31xx, FPR42xx)
-
Firepower 보안 어플라이언스(FPR41xx 및 FPR9300)
- 3000 Series ISA(Industrial Security Appliance)
- ISR(Integrated Service Router) 모듈
- 프라이빗 클라우드:
- VMware(ESXi)
- 커널 기반 KVM(가상 머신)
- OpenStack
- Cisco HyperFlex
- 공용 클라우드:
- Amazon Web Services(AWS)
- Microsoft Azure
- Google 클라우드 플랫폼
- Oracle 클라우드 인프라
- 뉴타닉스 클라우드
- 에퀴닉스
구성
네트워크 다이어그램
작업 1. FTD 소프트웨어 다운로드
Security(보안) > Firewalls(방화벽) > Next-Generation Firewalls(NGFW) > Firepower 4100 Series > Firepower 4125 Security Appliance로 이동하고 이 이미지에 표시된 대로 Firepower Threat Defense Software를 선택합니다.
작업 2. FXOS-FTD 호환성 확인
작업 요구 사항
섀시에서 실행되는 FXOS 버전이 보안 모듈에 설치할 FTD 버전과 호환되는지 확인합니다.
솔루션
1단계. FXOS-FTD 호환성을 확인합니다.
FTD 이미지를 모듈/블레이드에 설치하기 전에 Firepower 섀시에서 호환되는 FXOS 소프트웨어를 실행하는지 확인합니다. FXOS Compatibility Guide에서 Logical Device Compatibility(논리적 디바이스 호환성) 테이블을 확인합니다. FTD 7.6.0을 실행하는 데 필요한 최소 FXOS 버전은 표 1에 나와 있는 것처럼 2.16입니다.
FXOS 이미지가 대상 FTD 이미지와 호환되지 않을 경우 FXOS 소프트웨어를 먼저 업그레이드하십시오.
FXOS 이미지 확인
방법 1. 이 이미지에 표시된 대로 FCM(Firepower Chassis Manager) UI Overview(개요) 페이지에서 다음을 수행합니다.
방법 2. 이 이미지에 표시된 대로 FCM 시스템 > 갱신 페이지로 이동합니다.
방법 3. FXOS CLI에서:
FPR4125# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.160.555)
Running-Sys-Vers: 5.0(3)N2(4.160.555)
Package-Vers: 2.16(0.128)
Startup-Kern-Vers: 5.0(3)N2(4.160.555)
Startup-Sys-Vers: 5.0(3)N2(4.160.555)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
작업 3. Firepower 어플라이언스에 FTD 이미지 업로드
작업 요구 사항
FTD 이미지를 FPR4100 섀시에 업로드합니다.
솔루션
방법 1. FCM UI에서 FTD 이미지를 업로드합니다.
FPR4100 Chassis Manager에 로그인하고 System(시스템) > Updates(업데이트) 탭으로 이동합니다. 다음 이미지에 표시된 대로 Upload Image(이미지 업로드)를 선택하여 파일을 업로드합니다.
이 그림과 같이 FTD 이미지 파일을 찾아 선택하고 Upload(업로드)를 클릭합니다.
EULA(End User License Agreement)에 동의합니다.
확인은 다음 그림과 같습니다.
방법 2. FXOS CLI에서 FTD 이미지를 업로드합니다.
FTP, HTTP, HTTPS, SCP(Secure Copy), SFTP(Secure FTP), TFTP 또는 USB를 통해 FTD 이미지를 업로드할 수 있습니다(이 예에서는 FTP가 사용됨).
FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ?
ftp: Location of the image file
http: Location of the image file
https: Location of the image file
scp: Location of the image file
sftp: Location of the image file
tftp: Location of the image file
usbA: Location of the image file
이미지 전송이 시작되기 전에 섀시 관리 인터페이스와 원격 서버 간의 연결을 확인합니다.
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
FTD 이미지를 다운로드하려면 이 범위로 이동하여 download image 명령을 사용합니다.
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.7.6.0.113.SPA.csp
Password:
이미지 업로드 진행률을 모니터링하려면
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.7.6.0.113.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.7.6.0.113.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)이 명령을 사용하여 성공적인 다운로드를 확인합니다.
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.7.6.0.113.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
자세한 내용은 다음을 참조하십시오.
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.7.6.0.113.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.7.6.0.113.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-7.6.0-113.sh이 이미지는 섀시 리포지토리에 표시됩니다.
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 7.6.0.113 N/A cisco Native Application No
작업 4. FTD 관리 및 데이터 인터페이스 구성
작업 요구 사항
firepower 어플라이언스에서 FTD에 대한 관리 및 데이터 인터페이스를 구성하고 활성화합니다.
솔루션
새 인터페이스를 생성하려면 FCM에 로그인하고 Interfaces(인터페이스) 탭으로 이동합니다. 현재 인터페이스가 표시됩니다. 새 포트 채널 인터페이스를 생성하려면 이미지에 표시된 대로 Add New(새로 추가) > Port Channel(포트 채널) 버튼을 선택합니다.
1단계. 포트 채널 데이터 인터페이스를 생성합니다.
이 이미지에 표시된 대로 새 포트 채널 인터페이스를 생성합니다.
|
포트 채널 ID |
1 |
|
유형 |
데이터 |
|
Enable |
예 |
|
멤버 ID |
이더넷 1/2, 이더넷 1/3 |
Port Channel ID의 경우 1~47 사이의 값.
확인은 다음 그림과 같습니다.
2단계. 관리 인터페이스를 생성합니다.
Interfaces(인터페이스) 탭에서 인터페이스를 선택하고 Edit(편집)를 선택한 다음 이 이미지에 표시된 대로 Management(관리) 인터페이스를 구성합니다.
작업 5. 새 논리 장치 만들기 및 구성
작업 요구 사항
FTD를 독립형 논리적 디바이스로 생성하고 구축합니다.
솔루션
1단계. 논리적 디바이스를 추가합니다.
다음 이미지에 표시된 대로 Logical Devices(논리적 디바이스) 탭으로 이동하고 Add Device(디바이스 추가) 버튼을 선택하여 새 논리적 디바이스를 생성합니다.
이 이미지에 표시된 설정으로 FTD 디바이스를 구성합니다.
|
디바이스 이름 |
FPR4125-1 |
|
템플릿 |
Cisco Secure Firewall 위협 방어 |
|
이미지 버전 |
7.6.0.113 |
2단계. 논리적 디바이스를 부트스트랩합니다.
논리적 디바이스를 생성한 후 Provisioning - device_name 창이 표시됩니다. 이 이미지에 표시된 대로 디바이스 아이콘을 선택하여 컨피그레이션을 시작합니다.
다음 이미지에 표시된 것처럼 FTD General Information(FTD 일반 정보) 탭을 구성합니다.
|
관리 인터페이스 |
이더넷1/1 |
|
주소 유형 |
IPv4만 |
|
관리 IP |
10.62.148.226 |
|
네트워크 마스크 |
255.255.255.128 |
|
네트워크 게이트웨이 |
10.62.148.129 |
다음 이미지에 표시된 대로 FTD Settings(FTD 설정) 탭을 구성합니다.
|
등록 키 |
시스코 |
|
암호 |
Pa$$w0rd |
|
Cisco Secure Firewall Management Center IP |
10.62.148.43 |
|
도메인 검색 |
cisco.com |
|
방화벽 모드 |
라우팅됨 |
|
DNS 서버 |
192.168.0.2 |
|
정규화된 호스트 이름 |
FPR4125-1.cisco.com |
|
이벤트 인터페이스 |
- |
계약이 수락되었는지 확인하고 확인을 선택합니다.
3단계. 데이터 인터페이스를 할당합니다.
Data Ports(데이터 포트) 영역을 확장하고 FTD에 할당할 각 인터페이스를 선택합니다. 이 시나리오에서는 이 이미지에 표시된 대로 하나의 인터페이스(Port-channel1)가 할당되었습니다.
컨피그레이션을 완료하려면 Save를 선택합니다.
4단계. 설치 프로세스 모니터링
다음 그림과 같이 FCM UI에서 모니터링할 때 FTD 설치가 진행되는 방법입니다.
firepower CLI에서 설치 프로세스를 모니터링합니다.
FPR4100# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
Firepower-module1>show services status all
Services currently running:
Application Type | Identifier | Oper State | Up Since | Instance ID
---------------- | ---------- | ---------- | -------- | -----------
ftd (native) | FPR4125-1 | RUNNING | 00:01:56 | ftd_001_JAD22360004VWC84030
과제 6. Cisco FMC(Secure Firewall Management Center)에 FTD 등록
작업 요구 사항
FTD를 FMC에 등록합니다.
솔루션
1단계. FTD와 FMC 간의 기본 연결을 확인합니다.
FTD를 FMC에 등록하기 전에 FTD와 FMC 간의 기본 연결을 확인합니다.
Firepower-module1>connect ftd
Connecting to ftd(FPR4125-1) console... enter exit to return to bootCLI
> ping system 10.62.148.43
PING 10.62.148.43 (10.62.148.43) 56(84) bytes of data.
64 bytes from 10.62.148.43: icmp_seq=1 ttl=63 time=0.254 ms
64 bytes from 10.62.148.43: icmp_seq=2 ttl=63 time=0.283 ms
64 bytes from 10.62.148.43: icmp_seq=3 ttl=63 time=0.217 ms
부트스트랩 컨피그레이션으로 인해 FTD에는 관리자 FMC가 이미 구성되어 있습니다.
> show managers
Type : Manager
Host : 10.62.148.43
Display name : 10.62.148.43
Identifier : 10.62.148.43
Registration : Pending
2단계. FTD를 FMC에 추가합니다.
다음 이미지에 표시된 대로 FMC에서 Devices(디바이스) > Device Management(디바이스 관리) 탭으로 이동하여 Add...(추가...) > Add Device(디바이스 추가)로 이동합니다.
다음 이미지와 같이 FTD 디바이스 설정을 구성합니다.
등록 버튼을 선택합니다.
FMC에서 Tasks(작업)를 선택하여 등록이 진행되는 방식을 확인합니다. FMC는 등록 외에도 다음과 같은 작업을 수행합니다.
- FTD 디바이스를 검색합니다(현재 인터페이스 컨피그레이션 검색).
- 초기 정책을 구축합니다.
성공적인 등록은 다음 이미지와 같습니다.
등록과 관련하여 문제가 발생할 경우 다음 문서를 참조하십시오.
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
5.0 |
14-Mar-2025
|
소프트웨어 버전 및 스크린샷 업데이트 대체 텍스트를 편집했습니다. |
4.0 |
06-Sep-2024
|
서식, 간격, 스타일을 업데이트했습니다. |
3.0 |
16-Aug-2023
|
업데이트된 PII, 기계 번역, 스타일 요구 사항, MDF 태그 및 서식. |
2.0 |
20-Jul-2022
|
재인증 |
1.0 |
01-Nov-2017
|
최초 릴리스 |
피드백