通过FDM在FTD上配置SSH和HTTPS的管理访问
简介
本文档介绍在本地或远程管理的FTD上配置和验证SSH和HTTPS的管理访问列表的过程。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
- 运行由FDM管理的7.4.1版本的思科安全防火墙威胁防御。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
FTD可以使用FDM本地管理,也可以通过FMC管理。本文档重点介绍通过FDM和CLI进行的管理访问。使用CLI,您可以对方案FDM和FMC进行更改。
警告:配置SSH或HTTPS访问列表,一次配置一个,以避免会话锁定。首先,更新并部署一个协议,验证访问,然后继续执行另一个协议。
FDM步骤:
步骤 1:登录到Firepower设备管理器(FDM),然后导航到系统设置>管理访问>管理接口。
默认情况下,允许SSH和HTTPS的管理端口访问any-ipv4
第2步:点击+图标以打开添加网络的窗口。
点击右上角的Add按钮。
第3步:添加网络对象以具有SSH或HTTPS访问权限。如果需要创建新网络,请选择Create new Network选项。您可以在管理访问中为网络或主机添加多个条目。
选择网络。
第4步(可选):Create new Network选项将打开Add Network Object窗口。
根据您的要求创建主机网络。
第5步:验证所做的更改并部署。
HTTPS管理访问已更改,任何ipv4已删除。
在FDM上部署
第6步(可选):验证之前对HTTPS所做的更改后,对SSH重复相同的操作。
添加了SSH和HTTPS的网络对象。
步骤 7:最后,部署更改并验证您从允许的网络和主机对FTD的访问。
CLISH步骤:
CLI步骤可用于FDM或FMC管理的情况。
要将设备配置为接受来自指定IP地址或网络的HTTPS或SSH连接,请使用configure https-access-listconfigure ssh-access-list命令。
-
必须在单个命令中包含所有受支持的主机或网络。此命令中指定的地址将覆盖各个访问列表的当前内容。
-
如果设备是本地管理的高可用性组中的设备,则您的更改会在下一次主用设备部署配置更新时覆盖。如果这是主用设备,则更改会在部署期间传播到对等设备。
> configure https-access-list x.x.x.x/x,y.y.y.y/y
The https access list was changed successfully.
> show https-access-list
ACCEPT tcp -- x.x.x.x/x anywhere state NEW tcp dpt:https
ACCEPT tcp -- y.y.y.y/y anywhere state NEW tcp dpt:https
注意:x.x.x.x/x和y.y.y.y/y表示带CIDR表示法的ipv4地址。
同样地,对于SSH连接,请使用configure ssh-access-list命令,并将一个或多个命令分开。
> configure ssh-access-list x.x.x.x/x
The ssh access list was changed successfully.
> show ssh-access-list
ACCEPT tcp -- x.x.x.x/x anywhere state NEW tcp dpt:ssh注意:可以使用命令configure disable-https-access或configure disable-ssh-access分别禁用HTTPS或SSH访问。确保您了解这些更改,因为这会使您无法参与会话。
验证
要从CLISH进行验证,您可以使用命令:
> show ssh-access-list
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
> show https-access-list
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
参考
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
20-Mar-2025
|
初始版本 |
反馈