De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u een Cisco FirePOWER (SFR)-module op een Cisco ASA installeert en configureert en de SFR-module registreert bij Cisco FireSIGHT.
Cisco raadt aan dat uw systeem aan de volgende vereisten voldoet voordat u de procedures uitvoert die in dit document worden beschreven:
enable
opdracht in de CLI. Als er geen wachtwoord is ingesteld, drukt u op Enter
:ciscoasa> enable Password: ciscoasa#
Om de FirePOWER-services te installeren op een Cisco ASA, zijn de volgende componenten vereist:
N.B.: Als u FirePOWER (SFR) Services op een ASA 5585-X hardwaremodule wilt installeren, raadpleegt u Een SFR-module installeren op een ASA 5585-X hardwaremodule.
De volgende componenten zijn vereist op het Cisco FireSIGHT Management Center:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De Cisco ASA FirePOWER-module, ook bekend als de ASA SFR, biedt next-generation firewallservices, zoals:
Opmerking: u kunt de ASA SFR-module gebruiken in één of meerdere contextmodi en in Routed of Transparent-modus.
Lees de volgende belangrijke informatie voordat u de procedures uitvoert die in dit document worden beschreven:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
cxsc
trefwoord wordt gebruikt in plaats van ips
: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
shutdown
en uninstall
opdrachten die worden gebruikt om een oude SFR-afbeelding te verwijderen. Hierna volgt een voorbeeld:ciscoasa# sw-module module sfr uninstall
Tip: om de status van een module op de ASA te bepalen, voert u de show module
uit.
In deze sectie wordt beschreven hoe u de SFT-module installeert op de ASA en hoe u de ASA SFR-opstart-image configureert.
Voer de volgende stappen uit om de SFR-module op de ASA te installeren:
Opmerking: de systeemsoftware niet overdragen; deze wordt later gedownload naar de Solid State Drive (SSD).
Voer de volgende stappen uit om de opstart-image te downloaden via de ASDM:Tools > File Management
in de ASDM.Voer de volgende stappen uit om de opstart-image te downloaden via de CLI van de ASA:
copy
opdracht in de CLI om het opstartbeeld naar de flash drive te downloaden. Hier is een voorbeeld dat HTTP-protocol gebruikt (vervang de
met uw server (IP-adres of hostnaam). Voor FTP Server ziet de URL er zo uit:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img
.
ciscoasa# copy http:///asasfr-5500x-boot-5.3.1-152.img disk0:/asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
Hierna volgt een voorbeeld:
ciscoasa# sw-module module sfr recover configure image disk0: /asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover boot
Als u tijdens deze periode debug module-boot
op ASA, zijn deze debugs gedrukt:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
Voltooi de volgende stappen om het nieuwe ASA SFR-opstartbeeld in te stellen:
Enter
nadat u een sessie hebt geopend om de inlogprompt te bereiken. Opmerking: de standaardgebruikersnaam is admin
. Het wachtwoord verschilt afhankelijk van de softwarerelease:Adm!n123
voor 7.0.1 (alleen nieuw apparaat uit de fabriek), Admin123
voor 6.0 en hoger, Sourcefire
voor pre-6.0.
Hierna volgt een voorbeeld:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
Tip: Als de ASA SFR-module niet is opgestart, mislukt de sessieopdracht en verschijnt een bericht dat aangeeft dat het systeem geen verbinding kan maken via TTYS1. Wacht in dat geval tot het opstarten van de module is voltooid en probeer het dan opnieuw.
setup
bevel om het systeem te vormen zodat u het pakket van de systeemsoftware kunt installeren:asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Vervolgens wordt om de volgende informatie gevraagd:
Host name
- De hostnaam kan maximaal 65 alfanumerieke tekens bevatten, zonder spaties. Het gebruik van afbreekstreepjes is toegestaan.Network address
- Het netwerkadres kan een statisch IPv4- of IPv6-adres zijn. U kunt ook DHCP gebruiken voor IPv4, of automatische stateless configuratie voor IPv6.DNS information
- U moet ten minste één Domain Name System (DNS)-server identificeren, en u kunt ook de domeinnaam en het zoekdomein instellen.NTP information
- U kunt Network Time Protocol (NTP) inschakelen en de NTP-servers configureren om de systeemtijd in te stellen. system install
opdracht om de installatiekopie van de systeemsoftware te installeren:asasfr-boot >system install [noconfirm] url
Omvat noconfirm
optie als u niet wilt reageren op bevestigingsberichten. Vervang de url
trefwoord met de plaats van de .pkg
bestand. U kunt ook hier een FTP-, HTTP- of HTTPS-server gebruiken. Hierna volgt een voorbeeld:
asasfr-boot >system install http:///asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Voor FTP Server ziet de URL er zo uit:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg
.
Opmerking De SFR is in een "Recover
" status tijdens het installatieproces. Het kan tot een uur of zo duren om de installatie van de SFR module te voltooien. Wanneer de installatie is voltooid, start het systeem opnieuw op. Wacht tien minuten of langer tot de toepassingscomponent is geïnstalleerd en de ASA SFR-services zijn gestart. De output van de show module sfr
aangegeven dat alle processen Up
.
In deze sectie wordt beschreven hoe u de FirePOWER-software en het FireSIGHT Management Center configureert en verkeer omleidt naar de SFR-module.
Voer de volgende stappen uit om de FirePOWER-software te configureren:
Opmerking: er verschijnt nu een andere inlogprompt omdat de inlognaam op een volledig functionele module voorkomt.
Hierna volgt een voorbeeld:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
admin
en het wachtwoord verschilt afhankelijk van de softwarerelease:Adm!n123
voor 7.0.1 (alleen nieuw apparaat uit de fabriek), Admin123
voor 6.0 en hoger,Sourcefire
voor pre-6.0.Opmerking: u kunt IPv4- en IPv6-beheeradressen configureren.
Hierna volgt een voorbeeld:
System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 198.51.100.1 Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14 Enter a comma-separated list of search domains or 'none' [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy'
Om een ASA SFR-module en security beleid te beheren, moet u deze registreren bij een FireSIGHT Management Center. Raadpleeg Een apparaat registreren bij een FireSIGHT Management Center voor meer informatie. U kunt de volgende acties niet uitvoeren met een FireSIGHT Management Center:
Om verkeer naar de ASA SFR-module om te leiden, moet u een servicebeleid opzetten dat specifiek verkeer identificeert. Voer de volgende stappen uit om verkeer om te leiden naar een ASA SFR-module:
access-list
uit. In dit voorbeeld wordt al het verkeer afkomstig van alle interfaces omgeleid. U kunt dit ook voor specifiek verkeer doen.ciscoasa(config)# access-list sfr_redirect extended permit ip any any
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
Opmerking: op de ASA kunt u zowel een passieve als een inline modus niet tegelijkertijd configureren. Er is slechts één type security beleid toegestaan.
global_policy
wordt geconfigureerd met een andere moduleconfiguratie(show run policy-map global_policy, show run service-policy)
, stel dan eerst de global_policy voor een andere moduleconfiguratie opnieuw in/verwijder vervolgens de global_policy
.ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
monitor-only
trefwoord (zoals in het volgende voorbeeld). Als u het trefwoord niet opneemt, wordt het verkeer verzonden in de inline modus.ciscoasa(config-pmap-c)# sfr fail-open monitor-only
Waarschuwing: het monitor-only
de modus staat de SFR-servicemodule niet toe kwaadaardig verkeer te ontkennen of te blokkeren.
Waarschuwing: het kan mogelijk zijn een ASA te configureren in de modus alleen voor monitoren met behulp van de interface-level traffic-forward sfr monitor-only
commando; deze configuratie is echter uitsluitend bedoeld voor demonstratiefuncties en mag niet worden gebruikt op een ASA voor productie. Eventuele problemen met deze demonstratiefunctie worden niet ondersteund door het Cisco Technical Assistance Center (TAC). Om de ASA SFR-service in passieve modus te implementeren, moet deze worden geconfigureerd met behulp van een beleidstoewijzing.
global
het sleutelwoord past de beleidskaart op alle interfaces toe, en interface
het sleutelwoord past het beleid op één interface toe. Er is slechts één algemeen beleid toegestaan. In dit voorbeeld wordt het beleid algemeen toegepast:ciscoasa(config)# service-policy global_policy global
Waarschuwing: De beleidskaart global_policy
is een standaardbeleid. Als u dit beleid gebruikt en het op uw apparaat wilt verwijderen om problemen op te lossen, zorg ervoor dat u de implicatie ervan begrijpt.
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
debug module-boot
) om de debug aan het begin van de installatie van het SFR-opstartbeeld in te schakelen. sw-module module sfr recover stop
).(reload quick)
. (Als het verkeer door gaat, kan dit netwerkverstoring veroorzaken). Als nog steeds SFR vastzit in de hersteltoestand, kunt u de ASA afsluiten en unplug the SSD
kaart en start de ASA. Controleer de status van de module en dit moet de INIT-status zijn. Nogmaals, de ASA afsluiten. insert the SSD
kaart & start de ASA. u kunt de ASA SFR-module opnieuw in beeld brengen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
3.0 |
11-Jul-2023 |
Hercertificering |
2.0 |
22-Jun-2022 |
Toegevoegde URL's voor beveiligde IPS en FTP server. Opgemaakte hyperlinks en verwijderde voorbeelden. Bewerkte secties Installatie, Probleemoplossing en Configuratie. |
1.0 |
04-Nov-2014 |
Eerste vrijgave |