O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como instalar e configurar um módulo Cisco FirePOWER (SFR) em um Cisco ASA e registrar o módulo SFR no Cisco FireSIGHT.
A Cisco recomenda que seu sistema atenda a esses requisitos antes de tentar os procedimentos descritos neste documento:
enable
no CLI. Se uma senha não tiver sido definida, pressione Enter
:ciscoasa> enable Password: ciscoasa#
Para instalar o FirePOWER Services em um Cisco ASA, estes componentes são necessários:
Observação: para instalar o FirePOWER (SFR) Services em um módulo de hardware ASA 5585-X, consulte Instalação de um módulo SFR em um módulo de hardware ASA 5585-X.
Estes componentes são necessários no Cisco FireSIGHT Management Center:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O módulo Cisco ASA FirePOWER, também conhecido como ASA SFR, oferece serviços de firewall de próxima geração, como:
Observação: você pode usar o módulo ASA SFR no modo de contexto único ou múltiplo e no modo roteado ou transparente.
Considere essas informações importantes antes de tentar os procedimentos descritos neste documento:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
cxsc
palavra-chave é usada em vez de ips
: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
shutdown
e uninstall
que são usados para remover uma imagem SFR antiga. Aqui está um exemplo:ciscoasa# sw-module module sfr uninstall
Dica: para determinar o status de um módulo no ASA, digite o comando show module
comando.
Esta seção descreve como instalar o módulo SFR no ASA e como configurar a imagem de inicialização do ASA SFR.
Conclua estas etapas para instalar o módulo SFR no ASA:
Nota: Não transfira o software do sistema; ele será baixado posteriormente para a Unidade de Estado Sólido (SSD).
Conclua estas etapas para fazer download da imagem de inicialização por meio do ASDM:Tools > File Management
no ASDM.Conclua estas etapas para fazer o download da imagem de inicialização através da CLI do ASA:
copy
na CLI para baixar a imagem de inicialização para a unidade flash. Aqui está um exemplo que usa o protocolo HTTP (substitua o
com o endereço IP ou nome de host do seu servidor). Para o servidor FTP, o URL é semelhante a este:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img
.
ciscoasa# copy http:///asasfr-5500x-boot-5.3.1-152.img disk0:/asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
Aqui está um exemplo:
ciscoasa# sw-module module sfr recover configure image disk0: /asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover boot
Durante esse período, se você ativar debug module-boot
no ASA, estas depurações são impressas:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
Conclua estas etapas para configurar a imagem de inicialização do ASA SFR recém-instalada:
Enter
depois de abrir uma sessão para acessar o prompt de login. Observação: o nome de usuário padrão é admin
. A senha difere de acordo com a versão do software:Adm!n123
for 7.0.1 (novo dispositivo da fábrica apenas), Admin123
para 6.0 e posterior, Sourcefire
para versões anteriores à 6.0.
Aqui está um exemplo:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
Dica: se a inicialização do módulo ASA SFR não tiver sido concluída, o comando session falhará e uma mensagem será exibida para indicar que o sistema não consegue se conectar via TTYS1. Se isso ocorrer, aguarde a conclusão da inicialização do módulo e tente novamente.
setup
para configurar o sistema de modo que você possa instalar o pacote de software do sistema:asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Em seguida, você será solicitado a fornecer estas informações:
Host name
- O nome do host pode ter até 65 caracteres alfanuméricos, sem espaços. O uso de hífens é permitido.Network address
- O endereço de rede pode ser IPv4 ou IPv6 estático. Você também pode usar DHCP para IPv4 ou configuração automática sem monitoração de estado IPv6.DNS information
- Você deve identificar pelo menos um servidor DNS (Domain Name System) e também pode definir o nome de domínio e o domínio de pesquisa.NTP information
- Você pode habilitar o Network Time Protocol (NTP) e configurar os servidores NTP para definir a hora do sistema. system install
para instalar a imagem do software do sistema:asasfr-boot >system install [noconfirm] url
Inclua o noconfirm
se não quiser responder a mensagens de confirmação. Substitua o url
palavra-chave com o local do .pkg
arquivo. Novamente, você pode usar um servidor FTP, HTTP ou HTTPS. Aqui está um exemplo:
asasfr-boot >system install http:///asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Para o servidor FTP, o URL é semelhante a este:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg
.
Observação O SFR está em um "Recover
" durante o processo de instalação. Pode levar mais ou menos uma hora para concluir a instalação do módulo SFR. Quando a instalação estiver concluída, o sistema será reinicializado. Aguarde dez minutos ou mais para que a instalação do componente do aplicativo e os serviços ASA SFR sejam iniciados. A saída do comando show module sfr
indica que todos os processos estão Up
.
Esta seção descreve como configurar o software FirePOWER e o FireSIGHT Management Center e como redirecionar o tráfego para o módulo SFR.
Conclua estas etapas para configurar o software FirePOWER:
Observação: um prompt de login diferente agora aparece porque o login ocorre em um módulo totalmente funcional.
Aqui está um exemplo:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
admin
e a senha difere de acordo com a versão do software:Adm!n123
for 7.0.1 (novo dispositivo da fábrica apenas), Admin123
para 6.0 e posterior,Sourcefire
para versões anteriores à 6.0.Observação: você pode configurar endereços de gerenciamento IPv4 e IPv6.
Aqui está um exemplo:
System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 198.51.100.1 Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14 Enter a comma-separated list of search domains or 'none' [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy'
Para gerenciar um módulo ASA SFR e uma política de segurança, você deve registrá-lo em um FireSIGHT Management Center. Consulte Registrar um dispositivo com um FireSIGHT Management Center para obter mais informações. Não é possível executar estas ações com um FireSIGHT Management Center:
Para redirecionar o tráfego para o módulo ASA SFR, você deve criar uma política de serviço que identifique o tráfego específico. Conclua estas etapas para redirecionar o tráfego para um módulo ASA SFR:
access-list
comando. Neste exemplo, todo o tráfego de todas as interfaces é redirecionado. Você pode fazer isso para tráfego específico também.ciscoasa(config)# access-list sfr_redirect extended permit ip any any
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
Observação: não é possível configurar um modo passivo e um modo em linha ao mesmo tempo no ASA. Apenas um tipo de política de segurança é permitido.
global_policy
está configurado com outra configuração de módulo(show run policy-map global_policy, show run service-policy)
, em seguida redefina/remova primeiro a global_policy para a configuração de outro módulo e depois reconfigure a global_policy
.ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
monitor-only
palavra-chave (conforme mostrado no próximo exemplo). Se você não incluir a palavra-chave, o tráfego será enviado no modo em linha.ciscoasa(config-pmap-c)# sfr fail-open monitor-only
Aviso: O monitor-only
não permite que o módulo de serviço SFR negue ou bloqueie tráfego mal-intencionado.
Cuidado: pode ser possível configurar um ASA no modo somente monitor com o uso do nível de interface traffic-forward sfr monitor-only
; no entanto, essa configuração é apenas para funcionalidade de demonstração e não deve ser usada em um ASA de produção. Quaisquer problemas encontrados neste recurso de demonstração não são suportados pelo Cisco Technical Assistance Center (TAC). Se desejar implantar o serviço ASA SFR no modo passivo, configure-o com o uso de um mapa de políticas.
global
aplica o mapa de política a todas as interfaces e a palavra-chave interface
palavra-chave aplica a política a uma interface. Somente uma política global é permitida. Neste exemplo, a política é aplicada globalmente:ciscoasa(config)# service-policy global_policy global
Cuidado: o mapa de políticas global_policy
é uma política padrão. Se você usar essa política e quiser removê-la do seu dispositivo para solucionar problemas, certifique-se de que você entende sua implicação.
No momento, não há procedimento de verificação disponível para esta configuração.
debug module-boot
) para ativar a depuração no início da instalação da imagem de inicialização do SFR. sw-module module sfr recover stop
).(reload quick)
. (Se o tráfego passar, ele poderá causar perturbações na rede). Se ainda assim o SFR estiver preso no estado de recuperação, você pode desligar o ASA e unplug the SSD
placa e iniciar o ASA. Verifique o status do módulo e ele deve estar no estado INIT. Novamente, desligue o ASA, insert the SSD
placa e iniciar o ASA. você pode iniciar a recriação do módulo ASA SFR.
Revisão | Data de publicação | Comentários |
---|---|---|
3.0 |
11-Jul-2023 |
Recertificação |
2.0 |
22-Jun-2022 |
URLs adicionadas para IPS seguro e servidor FTP. Hiperlinks reformatados e exemplos removidos. Seções de instalação, solução de problemas e configuração editadas. |
1.0 |
04-Nov-2014 |
Versão inicial |