FTD installeren en upgraden op Firepower-applicaties
Inhoud
Inleiding
In dit document worden de installatie, upgrade en registratie beschreven van FTD-software (Firepower Threat Defence) op FirePOWER-apparaten.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco FirePOWER 4140 security applicatie die FXOS 2.0(1.37) gebruikt
- Firepower Management Center, versie 6.1.0.30
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
FTD is een geünificeerd software-image dat op deze platforms kan worden geïnstalleerd:
- ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X
- ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
- Vuurstroomapparaten (FPR2100, FPR4100, FPR9300)
- VMware (ESXi)
- Amazon Web Services (AWS)
- Op kernen gebaseerde virtuele machine (KVM)
- Geïntegreerde services router (ISR) module
Configureren
Netwerkdiagram
Taak 1. FTD-softwaredownload
Navigeer naar Firewalls van de volgende generatie (NGFW) > FirePOWER 4100 Series > FirePOWER 4140 security applicatie en kies Firepower Threat Defense Software zoals in de afbeelding.
Taak 2. Controleer FXOS-FTD compatibiliteit
Taakvereiste
Controleer of de FXOS-versie die op het chassis draait compatibel is met de FTD-versie die u in de beveiligingsmodule wilt installeren.
Oplossing
Stap 1. Controleer de FXOS-FTD compatibiliteit.
Zorg ervoor dat voordat u een FTD-afbeelding in de module/blade installeert, het Firepower chassis een compatibele FXOS-software gebruikt. Controleer in de FXOS Compatibility Guide de compatibiliteitstabel voor logische apparaten. De minimaal vereiste FXOS-versie voor gebruik van FTD 6.1.x is 1.1(4.95), zoals weergegeven in tabel 2:
Als het FXOS-beeld niet compatibel is met het beoogde FTD-beeld, upgrade dan eerst de FXOS-software.
Controleer het FXOS-beeld
Methode 1. Van Firepower Chassis Manager (FCM) UI - overzichtspagina, zoals in de afbeelding wordt getoond:
Methode 2. Navigeer naar FCM System > Update pagina, zoals in de afbeelding:
Methode 3. Van FXOS CLI:
FPR4100# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.01.35)
Running-Sys-Vers: 5.0(3)N2(4.01.35)
Package-Vers: 2.0(1.37)
Startup-Kern-Vers: 5.0(3)N2(4.01.35)
Startup-Sys-Vers: 5.0(3)N2(4.01.35)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
Taak 3. FTD-afbeelding uploaden naar FirePOWER-applicatie
Taakvereiste
Upload het FTD-beeld naar het FPR4100-chassis.
Oplossing
Methode 1 - Upload het FTD-beeld vanuit de FCM UI.
Log in de FPR4100 Chassis Manager en navigeer naar Systeem > Updates tabblad. Kies Afbeelding uploaden om het bestand te uploaden, zoals in de afbeelding.
Blader om het FTD-beeldbestand te kiezen en klik op Upload, zoals in de afbeelding:
Accepteer de Gebruiksrechtovereenkomst (EULA).
Verificatie vindt plaats zoals in de afbeelding.
Methode 2 - Upload het FTD-beeld vanuit de FXOS CLI
U kunt de FTD-afbeelding uploaden vanuit een FTP-, Secure Copy (SCP), Secure FTP (SFTP) of een TFTP-server.
Voordat de beeldoverdracht wordt gestart, dient u te controleren of de verbinding tussen de interface voor chassisbeheer en de externe server aanwezig is:
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
Om de FTD-afbeelding te downloaden navigeer je naar deze scope en gebruik je de opdracht Afbeelding downloaden:
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.6.1.0.330.SPA.csp
Password:
U kunt als volgt de voortgang van het uploaden van het image controleren:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.6.1.0.330.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.6.1.0.330.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
Gebruik deze opdracht om te controleren of de download geslaagd is:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.6.1.0.330.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
Voor nadere bijzonderheden:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.6.1.0.330.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.6.1.0.330.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-6.1.0-330.sh
Het beeld wordt getoond in de chassisopslagplaats:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 6.1.0.330 N/A cisco Native Application No
Taak 4. FTD-beheer en -gegevensinterfaces configureren
Taakvereiste
Beheer- en gegevensinterfaces voor FTD op het FirePOWER-apparaat configureren en inschakelen.
Oplossing
Om een nieuwe interface te maken, logt u in op de FCM en navigeert u naar het tabblad Interfaces. De huidige interfaces worden gezien. Als u een nieuwe interface voor poortkanaal wilt maken, kiest u de knop Poortkanaal toevoegen, zoals in de afbeelding wordt weergegeven:
Stap 1. Maak een poortgegeveninterface voor het kanaal.
Maak een nieuwe poortkanaalinterface, zoals in de afbeelding:
| Poortkanaal-id |
10 |
| Type |
Gegevens |
| Inschakelen |
Ja |
| ID van lid |
Ethernet1/1, Ethernet1/2 |
Voor de Port Channel ID, een waarde van 1 tot 47.
Verificatie vindt plaats zoals in de afbeelding.
Stap 2. Maak een beheerinterface.
Kies op het tabblad Interfaces de interface, selecteer Bewerken en configureer de beheerinterface, zoals in de afbeelding:
Taak 5. Nieuw logisch apparaat maken en configureren
Taakvereiste
Maak een FTD als een standalone logisch apparaat en implementeer het.
Oplossing
Stap 1. Voeg een logisch apparaat toe.
Navigeer naar het tabblad Logische apparaten en kies de knop Apparaat toevoegen om een nieuw logisch apparaat te maken, zoals in de afbeelding:
Configureer een FTD-apparaat met de instellingen die in het beeld worden weergegeven:
| Device Name (Apparaatnaam) |
FTD |
| Modelformulier |
Cisco FirePOWER Threat Defense |
| Versie afbeelding |
6.1.0.330 |
Stap 2. Bootstrap het logische apparaat.
Na het maken van het logische apparaat verschijnt het venster Provisioning - device_name. Kies het apparaatpictogram om de configuratie te starten, zoals in de afbeelding wordt weergegeven.
Configureer het tabblad Algemene informatie van de FTD zoals in de afbeelding:
| Beheerinterface |
Ethernet1/3G |
| Adrestype |
Alleen IPv4 |
| IP-beheer |
10.62.148.84 |
| Netwerkmasker |
255.255.255.128 |
| Netwerkgateway |
10.62.148.1 |
Configureer het tabblad FTD-instellingen zoals in de afbeelding:
| Registratiesleutel |
Cisco |
| Wachtwoord |
Pa$$w0rd |
| Firepower Management Center IP |
10.62.148.50 |
| Zoeken naar domeinen |
cisco.com |
| Firewallmodus |
Verstuurd |
| DNS-servers |
192.168.0.1 |
| Volledig gekwalificeerde Hostname |
FTD4100.cisco.com |
| Event-interface |
- |
Zorg ervoor dat de overeenkomst is geaccepteerd en selecteer OK.
Stap 3. Wijs de data-interfaces toe.
Breid het gebied Data Ports uit en kies elke interface om toe te wijzen aan FTD. In dit scenario is één interface (Port-channel10) toegewezen zoals in de afbeelding:
Kies Opslaan om de configuratie te voltooien.
Stap 4. Controleer het installatieproces.
Dit is hoe de FTD-installatie vordert wanneer deze wordt bewaakt vanuit de FCM UI, zoals wordt getoond in de afbeeldingen:
Bewaak het installatieproces vanaf de Firepower CLI:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Cisco FTD: CMD=-start, CSP-ID=cisco-ftd.6.1.0.330__ftd_001_JAD19500F7YHCNL7715, FLAG='' Cisco FTD starting ... Registering to process manager ... VNICs requested: 9,22 Cisco FTD started successfully. Cisco FTD initializing ... Firepower-module1>Setting up VNICs ... Found Firepower management vnic 18. No Firepower eventing vnic configured. Updating /ngfw/etc/sf/arc.conf ... Deleting previous CGroup Configuration ... Initializing Threat Defense ... [ OK ] Starting system log daemon... [ OK ] Stopping mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14629]: [14629] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Starting mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14641]: [14641] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Flushing all current IPv4 rules and user defined chains: ...success Clearing all current IPv4 rules and user defined chains: ...success Applying iptables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Flushing all current IPv6 rules and user defined chains: ...success Clearing all current IPv6 rules and user defined chains: ...success Applying ip6tables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Starting nscd... mkdir: created directory '/var/run/nscd' [ OK ] Starting , please wait......complete. Firstboot detected, executing scripts Executing S01virtual-machine-reconfigure [ OK ] Executing S02aws-pull-cfg [ OK ] Executing S02configure_onbox [ OK ] Executing S04fix-httpd.sh [ OK ] Executing S06addusers [ OK ] Executing S07uuid-init [ OK ] Executing S08configure_mysql [ OK ] ************ Attention ********* Initializing the configuration database. Depending on available system resources (CPU, memory, and disk), this may take 30 minutes or more to complete. ************ Attention ********* Executing S09database-init [ OK ] Executing S11database-populate [ OK ] Executing S12install_infodb [ OK ] Executing S15set-locale.sh [ OK ] Executing S16update-sensor.pl [ OK ] Executing S19cert-tun-init [ OK ] Executing S20cert-init [ OK ] Executing S21disable_estreamer [ OK ] Executing S25create_default_des.pl [ OK ] Executing S30init_lights_out_mgmt.pl [ OK ] Executing S40install_default_filters.pl [ OK ] Executing S42install_default_dashboards.pl [ OK ] Executing S43install_default_report_templates.pl [ OK ] Executing S44install_default_app_filters.pl [ OK ] Executing S45install_default_realms.pl [ OK ] Executing S47install_default_sandbox_EO.pl [ OK ] Executing S50install-remediation-modules [ OK ] Executing S51install_health_policy.pl [ OK ] Executing S52install_system_policy.pl [ OK ] Executing S53change_reconciliation_baseline.pl [ OK ] Executing S70remove_casuser.pl [ OK ] Executing S70update_sensor_objects.sh [ OK ] Executing S85patch_history-init [ OK ] Executing S90banner-init [ OK ] Executing S96grow_var.sh [ OK ] Executing S96install_vmware_tools.pl [ OK ] ********** Attention ********** Initializing the system's localization settings. Depending on available system resources (CPU, memory, and disk), this may take 10 minutes or more to complete. ********** Attention ********** Executing S96localize-templates [ OK ] Executing S96ovf-data.pl [ OK ] Executing S97compress-client-resources [ OK ] Executing S97create_platinum_forms.pl [ OK ] Executing S97install_cas [ OK ] Executing S97install_cloud_support.pl [ OK ] Executing S97install_geolocation.pl [ OK ] Executing S97install_ssl_inspection.pl [ OK ] Executing S97update_modprobe.pl [ OK ] Executing S98check-db-integrity.sh [ OK ] Executing S98htaccess-init [ OK ] Executing S98is-sru-finished.sh [ OK ] Executing S99correct_ipmi.pl [ OK ] Executing S99start-system [ OK ] Executing S99z_db_restore [ OK ] Executing S99_z_cc-integrity.sh [ OK ] Firstboot scripts finished. Configuring NTP... [ OK ] insmod: ERROR: could not insert module /lib/modules/kernel/drivers/uio/igb_uio.ko: File exists rw console=ttyS0,38400 loglevel=2 auto kstack=128 reboot=force panic=1 ide_generic.probe_mask=0x1 ide1=noprobe pci=nocrs processor.max_cstate=1 iommu=pt platform=sspxru boot_img=disk0:/fxos-lfbff-k8.9.6.1.150.SPA ciscodmasz=786432 cisconrsvsz=2359296 hugepagesz=1g hugepages=24 ssp_mode=0 Fru Size : 512 bytes Done VNIC command successful VNIC command successful fatattr: FAT_IOCTL_GET_ATTRIBUTES: Inappropriate ioctl for device fatattr: can't open '/mnt/disk0/.private2': No such file or directory fatattr: can't open '/mnt/disk0/.ngfw': No such file or directory Model reconfigure detected, executing scripts Pinging mysql Found mysql is running Executing 45update-sensor.pl [ OK ] Executing 55recalculate_arc.pl [ OK ] Mon Dec 12 17:16:15 UTC 2016 Starting MySQL... Pinging mysql Pinging mysql, try 1 Found mysql is running Detecting expanded storage... Running initializeObjects... Stopping MySQL... Killing mysqld with pid 32651 Wait for mysqld to exit\c done Mon Dec 12 17:16:21 UTC 2016 Starting sfifd... [ OK ] Starting Cisco Firepower 4140 Threat Defense, please wait...No PM running! ...started. Cisco FTD initialization finished successfully. ... output omitted ... Reading from flash... ! Cryptochecksum (changed): b1abfa7e 63faee14 affdddb0 9bc9d8cd INFO: Power-On Self-Test in process. ....................................................................... INFO: Power-On Self-Test complete. INFO: Starting HW-DRBG health test (DRBG 0)... INFO: HW-DRBG health test (DRBG 0) passed. INFO: Starting HW-DRBG health test (DRBG 1)... INFO: HW-DRBG health test (DRBG 1) passed. INFO: Starting SW-DRBG health test... INFO: SW-DRBG health test passed. Firepower-module1>
Firepower-module1>show services status
Services currently running:
Feature | Instance ID | State | Up Since
-----------------------------------------------------------
ftd | 001_JAD19500F7YHCNL7715 | RUNNING | :00:08:07
Taak 6. Registreer FTD in het Firepower Management Center (FMC)
Taakvereiste
Registreer FTD in het VCC.
Oplossing
Stap 1. Controleer de basisconnectiviteit tussen het FTD en het FMC.
Alvorens het FTD bij het FMC te registreren, moet u de basisconnectiviteit tussen het FTD en het FMC controleren:
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> ping system 10.62.148.50
PING 10.62.148.50 (10.62.148.50) 56(84) bytes of data.
64 bytes from 10.62.148.50: icmp_seq=1 ttl=64 time=0.133 ms
64 bytes from 10.62.148.50: icmp_seq=2 ttl=64 time=0.132 ms
64 bytes from 10.62.148.50: icmp_seq=3 ttl=64 time=0.123 ms
Wegens bootstrap configuratie, FTD heeft de manager FMC reeds gevormd:
> show managers Host : 10.62.148.50 Registration Key : **** Registration : pending RPC Status :
Stap 2. Voeg het FTD toe aan het VCC.
Navigeer in het VCC naar het tabblad Apparaten> Apparaatbeheer en navigeer naar Add... > Add Device, zoals in de afbeelding.
Configureer de instellingen van het FTD-apparaat, zoals in de afbeelding:
Kies de knop Registreren.
Controleer in het VCC de taken om te zien hoe de registratie verloopt. Behalve de registratie moet het VCC ook:
- Ontdekt het FTD-apparaat (haal huidige interfaceconfiguratie op).
- Stelt het initiële beleid in.
De registratie is geslaagd, zoals in de afbeelding wordt weergegeven:
Taak 7. Upgrade FTD
Taakvereiste
Upgrade de FTD van 6.1.0.30 naar 6.1.0.1.
Oplossing
Stap 1. Controleer de compatibiliteit.
Controleer of de FXOS Release Notes compatibel zijn met de FXOS-software. Indien nodig, eerst upgrade de FXOS software.
Stap 2. Upgrade de FTD.
De FTD-software wordt beheerd door het VCC en niet door het FCM. Om de FTD-module te upgraden, maakt u verbinding met het VCC, navigeert u naar de pagina Systeem > Updatespagina en kiest u Upload Update, zoals in de afbeelding.
Installeer de update op de FTD-module, zoals in de afbeeldingen:
U kunt desgewenst een gereedheidscontrole starten:
In het beeld wordt een succesvolle leesbaarheidscontrole weergegeven:
Als u het upgradeproces wilt starten, klikt u op Installeren, zoals in het afbeelding wordt weergegeven:
De upgrade vereist een FTD-reboot, zoals in de afbeelding wordt getoond:
Net als bij de FTD-installatie kan het FTD-upgradeproces worden gevolgd vanuit de FMC UI (Tasks). De voortgang van de upgrade kan worden gevolgd vanaf de FTD CLI (CLISH-modus).
Nadat de upgrade is voltooid, implementeert u een beleid op de FTD, zoals in de afbeelding wordt getoond:
Verificatie
Van de FMC UI, zoals weergegeven in de afbeelding:
Vanuit de FCM UI, zoals in de afbeelding:
Vanaf het chassis CLI:
FPR4100# scope ssa FPR4100 /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.1.0.1.53 6.1.0.330 Not Applicable
Van de FTD CLI:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit > show version ---------------[ FTD4100.cisco.com ]---------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.1.0.1 (Build 53) UUID : 22c66994-c08e-11e6-a210-931f3c6bbbea Rules update version : 2016-03-28-001-vrt VDB version : 275 ---------------------------------------------------- >
Firepower 2100
De FTD op Firepower 2100 gebruikt één bundel die zowel FXOS- als FTD-afbeeldingen bevat. De installatie- en upgradeprocedures verschillen derhalve van die voor FP4100/FP9300.
FTD-installatie op FP2100
Er zijn 4 verschillende procedures, die van geval afhankelijk zijn:
Case 1: Wis de configuratie en start het systeem opnieuw op met hetzelfde FTD-beeld.
Geval 2: Maak een nieuwe image van het systeem met behulp van een nieuwe versie van de software.
Geval 3: Herstel het systeem aan zijn fabrieksstandaardinstellingen.
Case 4: Herstel het systeem naar de standaardinstellingen van de fabriek (admin wachtwoordherstel).
Voor details die relevant zijn voor elk geval en de procedure, zie:
Case 2 dient de meeste FTD-installatiecases, terwijl Case 3 (format en boot van ROMMON) in specifieke gevallen kan worden gebruikt (bijvoorbeeld, het systeem is instabiel of in een bootlus, enzovoort).
FTD-upgrade op FP210
Omdat er geen afzonderlijke FXOS bundel is, om een FTD op FP2100 te bevorderen, doe de vermelde stappen:
Stap 1. Controleer de compatibiliteit.
Indien het FTD wordt beheerd door het FMC (off-box management), controleer dan de sectie Compatibiliteit in de opmerkingen bij de FTD release.
Stap 2. Indien nodig moet eerst het VCC worden bijgewerkt. Voer altijd de FMC-softwareversie uit die gelijk is aan of hoger is dan de FTD-doelsoftwareversie.
Stap 3. Upgrade de FTD.
Gebruik dezelfde procedure als voor FP4100/9300. Belangrijke documenten die u moet lezen vóór een upgrade van de FTD:
- FTD release Notes (als u bijvoorbeeld wilt upgraden naar versie 6.3.0.2, controleer dan de 6.3.0.2 Release Notes om de upgradepaden en alle relevante details te verifiëren.)
- FMC Upgrade Guide (Hoofdstuk: Upgrade Firepower Threat Defence: Andere apparaten)
Cisco Firepower Management Center upgrade-handleiding, versie 6.0-7.0
Verifiëren
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Problemen oplossen
Er is momenteel geen specifieke informatie beschikbaar om deze configuratie problemen op te lossen.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
16-Aug-2023 |
Bijgewerkt PII, machinevertaling, Stijl Vereisten, MDF-tags en Opmaak. |
2.0 |
20-Jul-2022 |
Hercertificering |
1.0 |
01-Nov-2017 |
Eerste vrijgave |
Feedback