O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como instalar e configurar um módulo Cisco FirePOWER (SFR) executado em um Cisco Adaptive Security Appliance (ASA) e como registrar o módulo SFR no Cisco FireSIGHT Management Center.
A Cisco recomenda que seu sistema atenda a esses requisitos antes de tentar os procedimentos descritos neste documento:
enable
no CLI. Se não tiver sido definida uma senha, prima Enter
:ciscoasa> enable Password: ciscoasa#
Para instalar o FirePOWER Services em um Cisco ASA, esses componentes são necessários:
Note: Se quiser instalar o FirePOWER (SFR) Services em um módulo de hardware ASA 5585-X, consulte Instalar um módulo SFR em um módulo de hardware ASA 5585-X.
Esses componentes são necessários no Cisco FireSIGHT Management Center:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O módulo Cisco ASA FirePOWER, também conhecido como ASA SFR, fornece serviços de firewall de próxima geração, como:
Note: Você pode usar o módulo ASA SFR no modo de contexto único ou múltiplo e no modo roteado ou transparente.
Considere estas informações importantes antes de tentar os procedimentos descritos neste documento:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
cxsc
palavra-chave é usada em vez de ips
: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
shutdown
e uninstall
comandos usados para remover uma imagem antiga do SFR. Aqui está um exemplo:ciscoasa# sw-module module sfr uninstall
Tip: Para determinar o status de um módulo no ASA, insira o comando show module
comando.
Esta seção descreve como instalar o módulo SFR no ASA e como configurar a imagem de inicialização do ASA SFR.
Conclua estes passos para instalar o módulo SFR no ASA:
Note: Não transfira o software do sistema; é baixado posteriormente na unidade de estado sólido (SSD).
Conclua estes passos para fazer o download da imagem de inicialização por meio do ASDM:Tools > File Management
no ASDM.Conclua estes passos para fazer o download da imagem de inicialização através da CLI do ASA:
copy
na CLI para baixar a imagem de inicialização na unidade flash. Aqui está um exemplo que usa o protocolo HTTP (substitua o
com o endereço IP do servidor ou o nome do host). Para o servidor FTP, a URL é semelhante a esta:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img
.
ciscoasa# copy http:///asasfr-5500x-boot-5.3.1-152.img disk0:/asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
Aqui está um exemplo:
ciscoasa# sw-module module sfr recover configure image disk0: /asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover boot
Durante esse período, se você habilitar debug module-boot
no ASA, essas depurações são impressas:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
Conclua estes passos para configurar a imagem de inicialização do ASA SFR recém-instalada:
Enter
depois de abrir uma sessão para acessar o prompt de login. Note: O nome de usuário padrão é admin
. A senha difere com base na versão do software:Adm!n123
para 7.0.1 (novo dispositivo apenas de fábrica), Admin123
para 6.0 e posterior, Sourcefire
para pré-6.0.
Aqui está um exemplo:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
Tip: Se a inicialização do módulo ASA SFR não tiver sido concluída, o comando session falhará e uma mensagem será exibida para indicar que o sistema não consegue se conectar via TTYS1. Se isso ocorrer, aguarde a inicialização do módulo ser concluída e tente novamente.
setup
para configurar o sistema de modo que você possa instalar o pacote de software do sistema:asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Você será solicitado a fornecer essas informações:
Host name
- O nome do host pode ter até 65 caracteres alfanuméricos, sem espaços. É permitida a utilização de hífens.Network address
- O endereço de rede pode ser endereços IPv4 ou IPv6 estáticos. Você também pode usar DHCP para configuração automática de IPv4 ou IPv6 stateless.DNS information
- Você deve identificar pelo menos um servidor DNS (Domain Name System) e também pode definir o nome de domínio e o domínio de pesquisa.NTP information
- Você pode ativar o Network Time Protocol (NTP) e configurar os servidores NTP para definir a hora do sistema. system install
para instalar a imagem do software do sistema:asasfr-boot >system install [noconfirm] url
Incluir o noconfirm
se não desejar responder a mensagens de confirmação. Substitua o url
palavra-chave com a localização do .pkg
arquivo. Novamente, você pode usar um servidor FTP, HTTP ou HTTPS. Aqui está um exemplo:
asasfr-boot >system install http:///asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Para o servidor FTP, a URL é semelhante a esta:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg
.
Observação O SFR está em um "Recover
" durante o processo de instalação. Pode levar cerca de uma hora para concluir a instalação do módulo SFR. Quando a instalação estiver concluída, o sistema será reinicializado. Aguarde dez ou mais minutos para a instalação do componente do aplicativo e para que os serviços ASA SFR sejam iniciados. A saída do comando show module sfr
indica que todos os processos são Up
.
Esta seção descreve como configurar o software FirePOWER e o FireSIGHT Management Center e como redirecionar o tráfego para o módulo SFR.
Conclua estes passos para configurar o software FirePOWER:
Note: Um prompt de login diferente agora é exibido porque o login ocorre em um módulo totalmente funcional.
Aqui está um exemplo:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
admin
e a senha difere com base na versão do software:Adm!n123
para 7.0.1 (novo dispositivo apenas de fábrica), Admin123
para 6.0 e posterior,Sourcefire
para pré-6.0.Note: Você pode configurar os endereços de gerenciamento IPv4 e IPv6.
Aqui está um exemplo:
System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 198.51.100.1 Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14 Enter a comma-separated list of search domains or 'none' [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy'
Para gerenciar um módulo ASA SFR e uma política de segurança, você deve registrá-lo em um FireSIGHT Management Center. Consulte Registrar um dispositivo com um FireSIGHT Management Center para obter mais informações. Não é possível executar essas ações com um FireSIGHT Management Center:
Para redirecionar o tráfego para o módulo ASA SFR, você deve criar uma política de serviço que identifique o tráfego específico. Conclua estes passos para redirecionar o tráfego para um módulo ASA SFR:
access-list
comando. Neste exemplo, todo o tráfego de todas as interfaces é redirecionado. Você também pode fazer isso para tráfego específico.ciscoasa(config)# access-list sfr_redirect extended permit ip any any
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
Note: Não é possível configurar um modo passivo e um modo em linha ao mesmo tempo no ASA. Somente um tipo de política de segurança é permitido.
global_policy
está configurado com outra configuração de módulo(show run policy-map global_policy, show run service-policy)
, primeiro redefina/remova a política_global para a configuração de outro módulo e, em seguida, reconfigure a global_policy
.ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
monitor-only
palavra-chave (como mostrado no próximo exemplo). Se você não incluir a palavra-chave, o tráfego será enviado no modo em linha.ciscoasa(config-pmap-c)# sfr fail-open monitor-only
aviso: O monitor-only
o modo não permite que o módulo de serviço SFR negue ou bloqueie o tráfego mal-intencionado.
Caution: Pode ser possível configurar um ASA no modo somente monitor com o uso do nível de interface traffic-forward sfr monitor-only
comando; no entanto, essa configuração é meramente para funcionalidade de demonstração e não deve ser usada em um ASA de produção. Quaisquer problemas encontrados neste recurso de demonstração não são suportados pelo Cisco Technical Assistance Center (TAC). Se desejar implantar o serviço ASA SFR no modo passivo, configure-o com o uso de um mapa de políticas.
global
a palavra-chave aplica o mapa de política a todas as interfaces e interface
a palavra-chave aplica a política a uma interface. Apenas uma política global é permitida. Neste exemplo, a política é aplicada globalmente:ciscoasa(config)# service-policy global_policy global
Caution: O mapa de políticas global_policy
é uma política padrão. Se você usar essa política e quiser removê-la no dispositivo para solucionar problemas, certifique-se de que entendeu sua implicação.
No momento, não há procedimento de verificação disponível para esta configuração.
debug module-boot
) para ativar a depuração no início da instalação da imagem de inicialização do SFR. sw-module module sfr recover stop
).(reload quick)
. (Se o tráfego passa, ele pode causar distúrbios na rede). Se Ainda houver um SFR preso no estado de recuperação, você poderá desligar o ASA e unplug the SSD
e inicie o ASA. Verifique o status do módulo e ele deve estar no estado INIT. Novamente, desligue o ASA, insert the SSD
e inicie o ASA. você pode iniciar a reimagem do módulo ASA SFR.
Revisão | Data de publicação | Comentários |
---|---|---|
2.0 |
22-Jun-2022 |
URLs adicionados para IPS seguro e servidor FTP. Hiperlinks reformatados e exemplos removidos. Seções Instalação, solução de problemas e configuração editadas. |
1.0 |
04-Nov-2014 |
Versão inicial |