载入 威胁防御 设备
 Attention |
Firepower 设备管理器 (FDM) 支持和功能仅应要求提供。如果您的租户上尚未启用 防火墙设备管理器 支持,则无法管理或部署到 FDM 管理 设备。向支持团队发送请求以启用此平台。通过 TAC 打开提交支持请求 |
有多种方法可以载入 威胁防御 设备。我们建议使用注册密钥方法。
如果您在载入设备时遇到问题,请参阅对使用序列号载入 FDM 管理 设备进行故障排除或由于许可证不足而失败了解详细信息。
将 威胁防御 设备载入 云交付的防火墙管理中心
您可以将运行版本 7.2 及更高版本的 威胁防御 设备载入 云交付的防火墙管理中心。有关详细信息,请参阅将 FTD 载入云交付的防火墙管理中心。
通过序列号载入 威胁防御 设备
此程序是对运行受支持软件版本的 Firepower 1000、Firepower 2100 或 Secure Firewall 3100 系列物理设备进行载入的简化方法。要载入设备,您需要设备的机箱序列号或 PCA 序列号,并确保将设备添加到可以访问互联网的网络中。
您可以将新出厂的设备或已配置的设备载入 CDO。
有关详细信息,请参阅 使用设备的序列号载入 FDM 管理 设备。
使用注册密钥载入 威胁防御 设备。
建议使用注册密钥来载入 威胁防御 设备。如果使用 DHCP 为您的设备分配 IP 地址,这将非常有用。如果该 IP 地址由于某种原因发生变化,则您的 威胁防御 设备将保持连接到 CDO(如果您已使用注册密钥载入设备)。
使用凭证载入 威胁防御 设备
您可以使用设备凭证和设备的外部、内部或管理接口的 IP 地址来载入 威胁防御 设备,具体取决于设备在网络中是如何配置的。要使用凭证载入设备,请参阅 使用用户名、密码和 IP 地址载入 FDM 管理 设备。要使用接口地址来载入,请参阅本文后面的设备寻址。
CDO 需要通过 HTTPS 访问设备才能管理它。如何允许 HTTPS 访问设备要取决于您的设备在网络中是如何配置的,以及您是使用安全设备连接器还是云连接器来载入设备。
Note |
如果您连接到 https://www.defenseorchestrator.eu 并且使用的软件版本 6.4,则必须使用此方法来载入 威胁防御 设备。您不能使用注册密钥方法。 |
使用设备凭证连接 CDO 到设备时,最佳做法是在网络中下载并部署安全设备连接器 (SDC),以管理 CDO 和设备之间的通信。通常,这些设备不是基于边界的,没有公共 IP 地址,或者具有通往外部接口的开放端口。在使用凭证载入后,威胁防御 设备就可以使用 SDC 载入 CDO。
请注意,当使用 威胁防御 设备作为 VPN 连接的前端时,客户将无法使用外部接口来管理设备。
载入 威胁防御 集群
您可以在载入 CDO 之前载入已加入集群的 威胁防御 设备。集群允许您将多个防火墙 威胁防御 单元集合在一起,作为单个逻辑设备来提供全部便捷性(管理、集成到一个网络中),同时还能实现吞吐量增加和多个设备的冗余性。
请参阅 载入集群的 设备。
载入的 FDM 管理 设备配置和必备条件
FDM 管理 设备管理
您只能载入由 Firepower 设备管理器 (FDM) 管理的 威胁防御 设备。由 Firepower 管理中心 管理的 威胁防御 设备无法由 云交付的防火墙管理中心 管理。
如果设备未配置为本地管理,则必须在载入设备之前切换到本地管理。请参阅《适用于 Firepower 设备管理器的 配置指南》的 在本地管理和远程管理之间切换一章。
许可
设备必须至少安装一个许可证才能载入到 CDO,但在某些情况下可以应用智能许可证。
|
载入方法 |
Firepower 设备管理器 软件版本 |
90 天评估许可证是否允许? |
在载入之前,设备是否可以先获得智能许可? |
在载入之前,设备是否可以先在思科云服务中注册? |
|---|---|---|---|---|
|
凭证(用户名和密码) |
全部 |
是 |
是 |
是 |
| 注册密钥 |
6.4 或 6.5 |
是 |
不行。请取消注册智能许可证,然后载入设备。 |
不适用 |
|
注册密钥 |
6.6 或更高版本 |
是 |
是 |
不行。请从思科云服务取消注册设备,然后载入设备。 |
|
低接触调配 |
6.7 或更高版本 |
是 |
是 |
是 |
|
通过序列号载入设备 |
6.7 或更高版本 |
是 |
是 |
是 |
设备编址
最佳实践是使用静态地址来载入 FDM 管理 设备。如果设备的 IP 地址由 DHCP 分配,则最好使用 DDNS(动态域名系统)在设备的新 IP 地址更改时自动使用设备的域名条目进行更新。
Note |
FDM 管理 设备本身不支持 DDNS;您必须配置自己的 DDNS。 |
Important |
如果您的设备从 DHCP 服务器获取 IP 地址,并且您没有使用任何新 IP 地址更新 FDM 管理 设备域名条目的 DDNS 服务器,或者您的设备收到了新地址,您可以更改 CDO 为 维护的 IP 地址设备 ,然后再重新连接设备。更好的方法是使用注册密钥来载入设备。 |
从内部接口管理设备FDM 管理
如果为专用 MGMT 接口分配了在您的组织内不可路由的地址,则可能需要使用内部接口管理设备;例如,它可能只能从您的数据中心或实验中访问。FDM 管理
远程接入 VPN 要求
如果您使用 CDO 管理的设备将管理远程接入 VPN (RA VPN) 连接,则 CDO 必须使用内部接口管理设备。FDM 管理
后续操作:
继续,了解配置设备的程序。从内部接口管理设备FDM 管理FDM 管理
从内部接口管理设备FDM 管理
此配置方法:
-
假定设备尚未自行激活。FDM 管理CDO
-
将数据接口配置为内部接口。
-
配置内部接口以接收 MGMT 流量 (HTTPS)。
-
允许云连接器的地址到达设备的内部接口。
Before you begin
Procedure
|
Step 1 |
登录Firepower 设备管理器。 |
|
Step 2 |
在系统设置菜单中,点击管理访问。 |
|
Step 3 |
点击数据接口选项卡,然后点击创建数据接口。
|
|
Step 4 |
部署更改。您现在可以使用内部接口管理设备。 |
What to do next
如果您使用的是云连接器,该怎么办?
使用上述程序并添加以下步骤:
-
将外部接口 (203.0.113.2)“NAT”添加到内部接口 (192.168.1.1)。
-
在上述程序的步骤 3c 中,“允许的网络”是包含云连接器的公共 IP 地址的网络组对象。
-
添加创建访问控制规则的步骤,允许从云连接器的公共 IP 地址访问外部接口 (203.0.113.2)。
如果您是欧洲、中东或非洲 (EMEA) 的客户,并且连接到 ,则这些是云连接器的公共 IP 地址:CDOhttps://defenseorchestrator.eu/
-
35.157.12.126
-
35.157.12.15
如果您是美国的客户,并且连接到 ,云连接器的这些公共 IP 地址:CDOhttps://defenseorchestrator.com/
-
52.34.234.2
-
52.36.70.147
如果您是亚太地区-日本-中国 (AJPC) 地区的客户,并且您通过 https://www.apj.cdo.cisco.com/ 连接到 CDO,请允许来自以下 IP 地址的入站访问:
-
54.199.195.111
-
52.199.243.0
载入 FDM 管理 设备
推荐的自行激活设备的方法是使用注册令牌自行激活方法。FDM 管理CDO将内部接口配置为允许从云连接器对设备进行管理访问后,使用用户名和密码载入设备。FDM 管理FDM 管理有关详细信息,请参阅使用用户名、密码和 IP 地址载入 FDM 管理 设备。您将使用内部接口的 IP 地址进行连接。在上面的场景中,该地址是 192.168.1.1。
从外部接口管理设备FDM 管理
如果您有一个分配给分支机构的公共 IP 地址,并使用另一个位置的云连接器进行管理,则可能需要从外部接口管理设备。云交付的防火墙管理中心思科防御协调器
此配置并不意味着物理 MGMT 接口不再是设备的管理接口。如果您在设备所在的办公室,您将能够连接到 MGMT 接口的地址并直接管理设备。云交付的防火墙管理中心
远程接入 VPN 要求
如果您管理的设备将管理远程接入 VPN (RA VPN) 连接, 将无法使用外部接口管理设备。云交付的防火墙管理中心云交付的防火墙管理中心云交付的防火墙管理中心请参阅从内部接口管理设备。FDM 管理
后续操作:
继续,了解配置设备的程序。管理设备的外部接口FDM 管理云交付的防火墙管理中心
管理设备的外部接口FDM 管理
此配置方法:
-
假定设备尚未自行激活。FDM 管理CDO
-
将数据接口配置为外部接口。
-
在外部接口上配置管理访问。
-
允许云连接器的公共 IP 地址(通过防火墙进行 NAT 后)到达外部接口。
Before you begin
Procedure
|
Step 1 |
登录Firepower 设备管理器。 |
|
Step 2 |
在系统设置菜单中,点击管理访问。 |
|
Step 3 |
点击数据接口选项卡,然后点击创建数据接口。
|
|
Step 4 |
在 中创建访问控制策略,允许从 SDC 或云连接器的公共 IP 地址到设备外部接口的管理流量 (HTTPS)。Firepower 设备管理器FDM 管理在此场景中,源地址为 203.0.113.2,源协议为 HTTPS;目的地址为 209.165.202.129,协议为 HTTPS。 |
|
Step 5 |
部署更改。您现在可以使用外部接口管理设备。 |
What to do next
如果您使用的是云连接器,该怎么办?
该过程非常相似,但有两点不同:
-
在上述程序的步骤 3c 中,“允许的网络”是包含云连接器的公共 IP 地址的网络组对象。
-
如果您是欧洲、中东或非洲 (EMEA) 的客户,并且连接到 ,则这些是云连接器的公共 IP 地址:CDOhttps://defenseorchestrator.eu/
-
35.157.12.126
-
35.157.12.15
-
-
如果您是美国的客户,并且连接到 ,则这些是云连接器的公共 IP 地址:CDOhttps://defenseorchestrator.com/
-
52.34.234.2
-
52.36.70.147
-
-
如果您是亚太地区-日本-中国 (AJPC) 地区的客户,并且您通过 https://www.apj.cdo.cisco.com/ 连接到 CDO,请允许来自以下 IP 地址的入站访问:
-
54.199.195.111
-
52.199.243.0
-
-
-
在上述程序的第 4 步中,创建一个允许从云连接器的公共 IP 地址访问外部接口的访问控制规则。
注册令牌自行激活方法是将设备自行激活到的推荐方法。使用注册密钥载入 FDM 管理 设备运行软件版本 6.6+FDM 管理CDO将外部接口配置为允许从云连接器进行管理访问后,载入设备。FDM 管理您将使用外部接口的 IP 地址进行连接。在我们的场景中,该地址是 209.165.202.129。
将 FDM 管理 设备载入 CDO
使用以下程序按照以下方法将 FDM 管理 载入 CDO。
使用用户名、密码和 IP 地址载入 FDM 管理 设备
按照此程序仅使用设备凭证和设备的管理 IP 地址载入 FDM 管理 设备。这是载入 FDM 管理 设备最简单的方法。但是,建议使用注册密钥将 FDM 管理 设备载入 CDO。
Before you begin
Important |
在将 FDM 管理 设备载入 思科防御协调器 之前,请阅读载入 FDM 托管设备和 将 思科防御协调器 连接到托管设备。它们提供了载入设备所需的一般设备要求和载入必备条件。 |
-
使用凭证方法载入 FDM 管理 设备需要以下信息:
-
CDO 将用于连接到设备的设备凭证。
-
用来管理设备的设备接口的 IP 地址。它可以是管理接口、内部接口或外部接口,具体取决于您的网络配置。
-
设备必须由 Firepower 设备管理器 管理,并针对本地管理而配置,以便将其载入 CDO。无法由 Firepower 管理中心 管理。
-
Note |
如果您连接到 https://www.defenseorchestrator.eu ,并且 FDM 管理 设备运行的是 6.4 版本的软件,则必须使用此方法。您只能载入运行 6.5 及更高版本软件的 FDM 管理 设备。 |
Procedure
|
Step 1 |
登录 CDO。 |
||
|
Step 2 |
在导航窗格中,点击 清单 (Inventory) ,然后点击蓝色加号按钮 |
||
|
Step 3 |
点击 FTD。
|
||
|
Step 4 |
在载入向导中,点击使用凭证 (Use Credentials)。 |
||
|
Step 5 |
在设备详细信息步骤中:
|
||
|
Step 6 |
在数据库更新区域中,立即执行安全更新并启用定期更新默认启用。此选项立即触发安全更新并自动安排设备在每周一凌晨 2 点检查是否有额外更新。有关详细信息,请参阅更新 FTD 安全数据库和计划安全数据库更新。 禁用此选项不会影响您通过 FDM 配置的以前计划的任何更新。 点击下一步 (Next)。 |
||
|
Step 7 |
输入设备管理员的用户名和密码,然后点击下一步 (Next)。 |
||
|
Step 8 |
如果设备的 Firepower 设备管理器 上有待处理的更改,您将收到通知,您可以恢复更改或登录管理器并部署待处理的更改。如果 Firepower 设备管理器 上没有待处理的更改,您将不会看到提示。 |
||
|
Step 9 |
(可选)添加设备的标签。有关详细信息,请参阅标签和标签组。 |
以便载入设备。
使用注册密钥载入 FDM 管理 设备运行软件版本 6.4 或 6.5
此程序介绍了如何使用注册码载入 FDM 管理 设备。此方法是将 FDM 管理 设备载入到 思科防御协调器 的推荐方法,如果使用 DHCP 为您的 FDM 管理 设备分配 IP 地址,则此方法非常有用。如果该 IP 地址由于任何原因发生变化,则您的 FDM 管理 设备仍会连接到 CDO。此外,您的 FDM 管理 设备可以在您的局域网上有一个地址,只要它可以访问外部网络,就可以使用此方法载入 CDO。
 Warning |
如果您已有 SecureX 或思科威胁响应 (CTR) 账户,则需要合并 CDO 租户和 SecureX/CTR 账户,以便您的设备能够注册 SecureX。在您的账户合并之前,您将无法在 SecureX 中查看设备的事件或受益于其他 SecureX 功能。我们强烈建议在 SecureX 中创建 CDO 模块之前合并您的账户。您的账户可以通过 SecureX 门户合并。有关说明,请参阅合并账户。 |
载入之前
-
对于运行版本 6.4 的客户,仅美国区域 (defenseorchestrator.com) 支持此载入方法。
-
对于运行版本 6.4 并连接到 EU 区域 (defenseorchestrator.eu) 的客户,他们必须使用设备的用户名、密码和 IP 地址载入设备。
-
运行版本 6.5 或更高版本并连接到美国、欧盟或 APJC 区域 (apj.cdo.cisco.com) 的客户可以使用此载入方法。
-
查看 将 思科防御协调器 连接到托管设备 以了解将 CDO 连接到 FDM 管理 设备所需的网络要求。
-
请确保您的设备由 Firepower 设备管理器 管理,而不是由 Firepower 管理中心 管理。
-
运行版本 6.4 和 6.5 的设备在使用注册密钥载入之前,不得向思科智能软件管理器注册。您需要先取消注册这些 FDM 管理 设备的智能许可证,然后再将其载入 CDO。请参阅下面的“取消注册智能许可 防火墙设备管理器”。
-
设备可能正在使用 90 天的评估许可证。
-
登录 FDM 管理 设备并确保设备上没有等待处理的更改。
-
确保在您的 FDM 管理 设备上正确配置 DNS。
-
请确保在 FDM 管理 设备上正确配置时间服务。
-
请确保 FDM 管理 设备显示正确的日期和时间,否则载入将失败。
后续操作
执行以下两项操作之一:
-
从思科智能软件管理器取消注册您的 FDM 管理 设备(如果它已获得智能许可)。您必须先从智能软件管理器取消注册该设备,然后再使用注册密钥将其载入 CDO。请继续取消注册智能许可的 FDM 管理 设备。
-
如果您的设备尚未获得智能许可,请继续使用注册密钥载入运行软件版本 6.4 或 6.5 的 FDM 管理 设备的程序。
取消注册智能许可的 FDM 管理 设备
如果要载入的设备运行的是版本 6.4 或 6.5,并且已获得智能许可,则该设备可能已向思科智能软件管理器注册。您必须先从智能软件管理器取消注册该设备,然后再使用注册密钥将其载入 CDO。取消注销时,与设备关联的基本许可证和所有可选许可证将在您的虚拟帐户中释放。
注销设备后,该设备中的当前配置和策略将继续按原样运行,但无法进行或部署任何更改。
Procedure
|
Step 1 |
使用 Firepower 设备管理器 登录设备。 |
|
Step 2 |
点击上方选项卡中的设备图标。
|
|
Step 3 |
点击智能许可证 (Smart License) 区域中的 查看配置 (View Configuration)。 |
|
Step 4 |
点击转到云服务 (Go to Cloud Services) 齿轮菜单,然后选择注销设备 (Unregister Device)。
|
|
Step 5 |
阅读警告并点击取消注册 (Unregister),以取消注册该设备。 |
What to do next
如果您已取消注册以便将其载入 CDO,请继续使用注册密钥载入运行软件版本 6.4 或 6.5 的 FDM 管理 设备的程序
使用注册密钥载入运行软件版本 6.4 或 6.5 的 FDM 管理 设备的程序
要使用注册密钥载入 FDM 管理,请遵循此程序:
Before you begin
查看先决条件,如 使用注册密钥载入 FDM 管理 设备运行软件版本 6.4 或 6.5中所讨论。
Procedure
|
Step 1 |
登录 CDO。 |
||
|
Step 2 |
在导航窗格中,点击 清单 (Inventory) ,然后点击蓝色加号按钮 |
||
|
Step 3 |
点击 FTD。
|
||
|
Step 4 |
在载入 FTD 设备 (Onboard FTD Device) 屏幕上,点击使用注册密钥 (Use Registration Key)。 |
||
|
Step 5 |
在设备名称 (Device Name) 字段中输入设备名称。它可以是设备的主机名或您选择的任何其他名称。 |
||
|
Step 6 |
在数据库更新 (Database Updates) 区域中,立即执行安全更新并启用定期更新 (Immediately perform security updates, and enable recurring updates) 选项会被默认启用。此选项立即触发安全更新并自动安排设备在每周一凌晨 2 点检查是否有额外更新。有关详细信息,请参阅更新 FTD 安全数据库和计划安全数据库更新。
|
||
|
Step 7 |
在创建注册密钥 (Create Registration Key) 区域中,CDO 将生成注册密钥。
|
||
|
Step 8 |
点击复制图标
在清单 (Inventory) 页面中,您会看到设备现在处于连接状态“未提供”(Unprovisioned)。将未调配 (Unprovisioned) 下出现的注册密钥复制到 防火墙设备管理器,以完成载入过程。 |
||
|
Step 9 |
在要载入到 CDO 的设备上登录 Firepower 设备管理器。 |
||
|
Step 10 |
在系统设置 (System Settings)中,点击云服务 (Cloud Services)。 |
||
|
Step 11 |
在 CDO 磁贴中,点击开始 (Get Started)。 |
||
|
Step 12 |
在区域 (Region) 字段中,选择您的租户要分配到的 思科云区域:
|
||
|
Step 13 |
在注册密钥 (Registration Key)字段中,粘贴您在 CDO 中生成的注册密钥。
|
||
|
Step 14 |
点击注册 (Register),然后接受 Cisco 披露声明。 |
||
|
Step 15 |
返回至 CDO。选择所有要应用于设备的许可证。 有关详细信息,请参阅 应用或更新智能许可证。您也可以点击跳过 (Skip) 以使用 90 天评估许可证继续载入。 |
||
|
Step 16 |
返回 CDO,打开清单 (Inventory) 页面,观察设备状态从“未提供”(Unprovisioned) 到“正在定位”(Locating) 到“正在同步”(Syncing) 再到“已同步”(Synced) 的发展过程。 |
以复制注册密钥。
使用注册密钥载入 FDM 管理 设备运行软件版本 6.6+
此程序介绍了如何使用注册码载入运行 6.6+ 版本的 FDM 管理 设备。此方法是将 FDM 管理 设备载入到 思科防御协调器 的推荐方法,如果使用 DHCP 为您的 FDM 托管设备分配 IP 地址,则此方法非常有用。如果该 IP 地址由于任何原因发生变化,则您的 FDM 管理 设备仍会连接到 CDO。此外,您的 FDM 管理 设备可以在您的局域网上有一个地址,只要它可以访问外部网络,就可以使用此方法载入 CDO。
Warning |
如果您已有 SecureX 或思科威胁响应 (CTR) 账户,则需要合并 CDO 租户和 SecureX/CTR 账户,以便您的设备能够注册 SecureX。在您的账户合并之前,您将无法在 SecureX 中查看设备的事件或受益于其他 SecureX 功能。我们强烈建议在 SecureX 中创建 CDO 模块之前合并您的账户。您的账户可以通过 SecureX 门户合并。有关说明,请参阅合并账户。 |
如果要载入运行软件版本 6.4 或 6.5 的 FDM 管理 设备,请参阅使用注册密钥载入运行软件版本 6.4 或 6.5 的 FDM 托管设备。
载入之前
-
此载入方法目前适用于 6.6+ 版本以及连接到 defenseorchestrator.com、defenseorchestrator.eu 和 apj.cdo.cisco.com 的客户。
-
查看 将 思科防御协调器 连接到托管设备 以了解将 CDO 连接到 FDM 管理 设备所需的网络要求。
-
请确保您的设备由 Firepower 设备管理器 管理,而不是由 Firepower 管理中心 管理。
-
设备可以使用 90 天评估许可证,也可以使用智能许可。运行版本 6.6+ 的设备可以使用注册密钥载入到 CDO,而无需取消注册任何已安装的智能许可证。
-
设备不能已注册到 Cisco 云服务。在载入之前,请参阅下面的“从思科云服务取消注册 FDM 管理 设备”。
-
登录设备的 Firepower 设备管理器 UI 并确保设备上没有等待处理的更改。
-
确保在您的 FDM 管理 设备上正确配置 DNS。
-
请确保在 FDM 管理 设备上正确配置时间服务。
-
请确保 FDM 管理 设备显示正确的日期和时间,否则载入将失败。
后续操作:
执行以下操作之一:
-
如果运行版本 6.6+ 的 FDM 管理 设备已注册到思科云服务,则需要先取消注册设备,然后再载入。请继续从思科云服务取消注册 FDM 管理 设备。
-
如果您的设备未注册到思科云服务,请继续 使用注册密钥载入运行软件版本 6.6+ 的 FDM 管理 设备的程序。
从思科云服务取消注册 FDM 管理 设备
以下程序是如何从思科云服务取消注册设备的程序。在使用注册密钥载入和 FDM 管理 设备以 CDO 之前,请使用此方法。
Note |
如果您载入运行 7.0 或更高版本的虚拟 FDM 管理 设备,将虚拟 FDM 管理 设备注册到 CDO 会自动将性能分层智能许可选项重置为 变量,这是默认级别。在载入后,您 必须 通过 Firepower 设备管理器 UI 手动重新选择与设备关联的许可证匹配的层。 |
使用此程序检查并确保它未注册到思科云服务:
Procedure
|
Step 1 |
使用 Firepower 设备管理器 登录设备。 |
|
Step 2 |
点击上方选项卡中的设备图标。 
|
|
Step 3 |
展开系统设置 (System Settings) 菜单,然后点击云服务 (Cloud Services)。 |
|
Step 4 |
在云服务 (Cloud Services) 页面中,点击齿轮菜单,然后选择取消注册云服务 (Unregister Cloud Services)。 
|
|
Step 5 |
阅读警告并点击取消注册 (Unregister),以取消注册该设备。 |
What to do next
使用注册密钥载入运行软件版本 6.6+ 的 FDM 管理 设备的程序
要使用注册密钥载入 FDM 管理 设备,请遵循此程序:
Procedure
|
Step 1 |
登录 CDO。 |
||
|
Step 2 |
在导航窗格中,点击 清单 (Inventory) ,然后点击蓝色加号按钮 |
||
|
Step 3 |
点击 FTD。
|
||
|
Step 4 |
在载入 FTD 设备 (Onboard FTD Device) 屏幕上,点击使用注册密钥 (Use Registration Key)。 |
||
|
Step 5 |
在设备名称 (Device Name) 字段中输入设备名称。它可以是设备的主机名或您选择的任何其他名称。 |
||
|
Step 6 |
在数据库更新 (Database Updates) 区域中,立即执行安全更新并启用定期更新 (Immediately perform security updates, and enable recurring updates) 会被默认启用。此选项立即触发安全更新并自动安排设备在每周一凌晨 2 点检查是否有额外更新。有关详细信息,请参阅更新 FTD 安全数据库和计划安全数据库更新。
|
||
|
Step 7 |
在创建注册密钥步骤中,CDO 将生成注册密钥。
|
||
|
Step 8 |
点击复制图标
在清单 (Inventory) 页面,您会看到设备现在处于连接状态“未提供”。将未调配 (Unprovisioned) 下出现的注册密钥复制到 防火墙设备管理器,以完成 载入过程。 |
||
|
Step 9 |
登录到您要载入的设备的 Firepower 设备管理器。 |
||
|
Step 10 |
在 系统设置下,点击 云服务。 |
||
|
Step 11 |
在区域 (Region) 字段中,选择您的租户要分配到的 思科云区域:
|
||
|
Step 12 |
在注册类型 (Enrollment Type) 区域中,点击安全账户 (Security Account)。
|
||
|
Step 13 |
在注册密钥 (Registration Key)字段中,粘贴您在 CDO 中生成的注册密钥。 |
||
|
Step 14 |
对于在“服务注册”(Service Enrollment) 区域运行版本 6.7 或更高版本的设备,请选中启用 Cisco Defense Orchestrator (Enable Cisco Defense Orchestrator)。 |
||
|
Step 15 |
查看有关思科成功网络注册的信息。如果您不想参与,请取消选中注册思科成功网络 (Enroll Cisco Success Network) 复选框。 |
||
|
Step 16 |
点击注册 (Register),然后点击接受 (Accept) 以接受思科披露声明。Firepower 设备管理器 会将注册请求发送至 CDO。 |
||
|
Step 17 |
返回到 CDO,在创建注册密钥 (Create Registration Key) 区域中,点击下一步 (Next)。 |
||
|
Step 18 |
选择所有要应用于设备的许可证。点击下一步。 |
||
|
Step 19 |
返回 CDO,打开清单 (Inventory) 页面,观察设备状态从“未提供”(Unprovisioned) 到“正在定位”(Locating) 到“正在同步”(Syncing) 再到“已同步”(Synced) 的发展过程。 |
使用设备的序列号载入 FDM 管理 设备
此程序是设置 FDM 管理 设备并将其载入到 思科防御协调器 的简化方法。您只需要设备的机箱序列号或 PCA 序列号。在载入设备时,您可以申请智能许可证或使用 90 天评估许可证。
在执行载入步骤之前,请确保通读使用案例以了解概念。
Important |
这些载入 FDM 管理 设备的方法仅适用于运行版本 6.7 或更高版本的设备。 |
使用案例
-
使用设备的序列号载入 FDM 管理 设备:载入被添加到网络并从互联网访问的新出厂 FDM 管理 设备。在设备上未完成初始安装向导。
-
使用设备的序列号载入已配置的 FDM 管理 设备:载入已配置的 FDM 管理 设备或已添加到网络并从互联网访问的已升级设备。在设备上完成初始设置向导。
Important |
如果要使用此方法载入在设备支持的较旧软件版本上运行的设备,则需要在该设备上执行软件的全新安装(重新映像),而不是升级。 |
使用低接触调配载入 FDM 管理 设备的工作流程和必备条件
低接触调配功能允许自动调配和配置新出厂的 Firepower 1000、Firepower 2100 或 Secure Firewall 3100 系列设备,从而消除将设备载入到 CDO 所涉及的大多数手动任务。低接触调配适用于远程办公室或员工不太熟悉网络设备的其他位置。
要使用低接触调配流程,您必须将设备载入 CDO,将其连接到可以访问互联网的网络,然后打开设备电源。有关详细信息,请参阅 使用设备的序列号载入已配置的 FDM 管理 设备。
Note |
您可以在将设备载入 CDO 之前或之后启动设备。我们建议您先将设备载入 CDO,然后再启动设备,再将其连接到分支机构网络。当您在 CDO 中载入设备时,该设备将与思科云中的 CDO 租户关联,并且 CDO 会自动同步设备。 |
您还可以使用此程序载入从外部供应商处购买的设备,或者载入已由其他区域中的其他云租户管理的设备。但是,如果设备已注册到外部供应商的云租户或其他区域的云租户,则 CDO 不会载入设备,但会显示 “设备序列号已申领 (Device serial number already claimed)” 错误消息。在这种情况下,CDO 管理员必须从其先前的云租户中取消注册设备的序列号,然后在自己的租户中申领 CDO 设备。请参阅故障排除一章中的已申领设备序列号。
设备连接 (Connectivity) 状态更改为“在线”(Online), 配置 (Configuration) 状态更改为“已同步”(Synced)。FDM 管理 设备已被载入 CDO。
您可以看到硬件后面板上的状态 LED (Firepower 1010)、SYS LED (Firepower 2100) 或 S LED (Secure Firewall 3100) 呈绿色闪烁。连接到云时,设备 LED 会继续闪烁绿色。如果设备无法连接到思科云或在连接后失去连接,您可以看到状态 LED (Firepower 1010)、SYS LED (Firepower 2100) 或 M LED (Secure Firewall 3100) 交替闪烁绿色和琥珀色。
请参阅此视频:使用低接触调配安装思科 Firepower 防火墙视频,以便了解 LED 指示灯。
Important |
如果您已登录 FDM 管理 设备控制台、SSH 或 Firepower Threat Defense,您将在首次登录时更改设备的密码。您仍然可以使用低接触调配流程来使用 CDO 载入设备。登录 Firepower Threat Defense 后,请勿完成配置外部接口的设备安装向导步骤。如果完成此步骤,则设备将从云中注销,并且您无法使用低接触调配。 |
当您登录 Firepower Threat Defense 时,您将在控制面板上看到以下屏幕。
无需在 Firepower Threat Defense UI 上继续操作,转至序列号载入向导并载入设备。在这里,您必须选择默认密码已更改 (Default Password Changed),因为设备密码已更改。
前提条件
软件和硬件要求
FDM 管理 设备必须运行支持序列号载入的软件。使用下表作为指南:
| 支持低接触调配的防火墙型号 |
支持的防火墙软件版本 |
软件包 |
|---|---|---|
|
Firepower 1000 系列设备型号:1010、1120、1140、1150 |
6.7 或更高版本 |
SF-F1K-TDx.x-K9 |
|
Firepower 2100 系列设备型号:2110、2120、2130、2140 |
6.7 或更高版本 |
SF-F2K-TDx.x-K9 |
|
Secure Firewall 3100 系列设备型号:3110、3120、3130、3140 |
7.1 或更高版本 |
SF-F3K-TDx.x-K9 |
确认管理平台运行的是正确的版本。
| 管理器 |
支持的版本 |
|---|---|
|
Firepower 设备管理器 |
7.0 或更高版本 |
|
本地防火墙管理中心 |
7.2 或更高版本 |
|
云交付的防火墙管理中心 |
不适用 |
硬件安装的配置前提条件
-
分支机构的网络无法使用 192.168.1.0/24 地址空间。以太网 1/1(外部)上的网络无法使用 192.168.1.0/24 地址空间。运行 FDM 6.7 的 1000 和 2100 系列设备上的以太网 1/2“内部”接口的默认 IP 地址为 192.168.1.1,如果它在该子网上,则可能与 WAN 调制解调器分配的 DHCP 地址冲突。
-
内部 - 以太网 1/2,IP 地址 192.168.1.1
-
外部 - 以太网 1/1、来自 DHCP 的 IP 地址或在设置过程中指定的地址
如果无法更改外部接口设置,请使用 Firepower 设备管理器 更改以太网 1/2“内部”接口设置上的子网,以避免冲突。例如,您可以更改为以下子网设置:
-
IP 地址:192.168.95.1
-
DHCP 服务器范围:192.168.95.5-192.168.95.254
要了解配置物理接口的步骤,请参阅 《思科防火墙设备管理器配置指南》。在“接口”一章中,请参阅“配置物理接口”部分。
-
-
威胁防御 设备必须已安装并连接到思科云。
-
设备的外部或管理接口必须连接到提供 DHCP 寻址的网络。通常,设备在外部或管理接口上有一个默认的 DHCP 客户端。
Note
如果管理接口连接到具有 DHCP 服务器的网络,则它优先于 Linux 堆栈发起的流量的外部接口。
-
需要访问您的外部或管理接口才能访问以下 安全服务交换 域以便使用串行载入方法。
-
美国地区
-
api-sse.cisco.com
-
est.sco.cisco.com(跨地域通用)
-
mx*.sse.itd.cisco.com(目前仅 mx01.sse.itd.cisco.com)
-
dex.sse.itd.cisco.com(客户成功案例)
-
eventing-ingest.sse.itd.cisco.com (CTR 和 CDO)
-
registration.us.sse.itd.cisco.com(允许设备注册到思科区域云)
-
-
欧盟地区
-
api.eu.sse.itd.cisco.com
-
est.sco.cisco.com(跨地域通用)
-
mx*.eu.sse.itd.cisco.com(目前仅 mx01.eu.sse.itd.cisco.com)
-
dex.eu.sse.itd.cisco.com(客户成功案例)
-
eventing-ingest.eu.sse.itd.cisco.com(CTR 和 CDO)
-
registration.eu.sse.itd.cisco.com(允许设备注册到思科区域云)
-
-
亚太地区
-
api.apj.sse.itd.cisco.com
-
est.sco.cisco.com(跨地域通用)
-
mx*.apj.sse.itd.cisco.com(目前仅 mx01.apj.sse.itd.cisco.com)
-
dex.apj.sse.itd.cisco.com(客户成功案例)
-
eventing-ingest.apj.sse.itd.cisco.com(CTR 和 CDO)
-
http://registration.apj.sse.itd.cisco.com(允许设备注册到思科区域云)http://registration.apj.sse.itd.cisco.com/
-
-
-
设备的外部接口必须具有对思科 Umbrella DNS 的 DNS 访问权限。
在 CDO 中申领设备之前
在 CDO 中申领设备之前,请确保您拥有以下信息:
-
威胁防御 设备的机箱序列号或 PCA 编号。您可以在硬件机箱的底部或装运设备的包装箱上找到此信息。在下面的示例图片中,您可以看到 Firepower 1010 机箱底部的序列号“*******X0R9”。
-
设备的默认密码。
-
从思科智能软件管理器生成以用于其他功能的智能许可证。但是,您可以使用 90 天评估许可证来完成设备载入,然后再申请智能许可证。
通过低接触调配载入FDM 管理设备
 Caution |
在 思科防御协调器 中载入设备时,我们建议您不要使用 Firepower 设备管理器 来执行设备简易设置。这会导致 CDO 出现临时错误。 |
Before you begin
如果您载入设备并打算使用 本地管理中心 对其进行管理,则 本地管理中心 必须运行 7.4 及更高版本。较早的版本不支持低接触调配。
Procedure
|
Step 1 |
如果要载入从外部供应商处购买的设备,则必须先重新映像设备。有关更多信息,请参阅《思科 FXOS 故障排除指南》中的“重新映像程序”一章。 |
||
|
Step 2 |
登录 CDO。 |
||
|
Step 3 |
在导航窗格中,点击 清单 (Inventory) ,然后点击蓝色加号按钮 |
||
|
Step 4 |
点击 FTD 磁贴。
|
||
|
Step 5 |
在载入 FTD 设备 (Onboard FTD Device) 屏幕上,点击使用序列号 (Use Serial Number)。 |
||
|
Step 6 |
在选择 FMC 步骤中,使用下拉菜单选择已被载入 CDO 的 本地管理中心。点击下一步。 本地管理中心 必须运行 7.4 或更高版本。如果您没有载入的 本地管理中心,请点击“+ 载入本地 FMC”(+Onboard On-Prem FMC) 以查看载入向导。 |
||
|
Step 7 |
在连接 (Connection) 步骤中,输入设备的序列号和设备名称。点击下一步。 |
||
|
Step 8 |
对于低接触调配,设备必须是全新的或已重新映像。对于密码重置 (Password Reset),确保选择是,此新设备从未登录或配置管理器 (Yes, this new device has never been logged into or configured for a manager)。输入设备的新密码并确认新密码,,然后点击下一步 (Next)。 |
||
|
Step 9 |
对于策略分配 (Policy Assignment),使用下拉菜单选择在设备载入后要部署的访问控制策略。如果没有自定义策略,CDO 会自动选择默认访问控制策略。点击下一步。 |
||
|
Step 10 |
选择所有要应用于设备的许可证。点击下一步。 |
||
|
Step 11 |
(可选)为设备添加标签。CDO 会在设备成功载入后应用这些标签。 |
What to do next
CDO 会开始申领设备,您将在右侧看到正在申领 (Claiming) 消息。CDO 会持续轮询一小时,以确定设备是否在线并已注册到云。注册到云后,CDO 将开始初始调配并成功载入设备。当设备上的 LED 状态呈绿色闪烁时,可以确认设备注册。如果设备在连接后无法连接到思科云或失去连接,您可以看到状态 LED (Firepower 1000) 或 SYS LED (Firepower 2100) 交替闪烁绿色和琥珀色。
如果设备在前一小时内仍未注册到云,则会发生超时,现在 CDO 会每隔 10 分钟定期轮询一次,以确定设备状态并保持正在申领 (Claiming) 状态。当设备打开并连接到云时,您无需等待 10 分钟即可了解其载入状态。您可以随时点击检查状态 (Check Status) 链接查看状态。CDO 会开始初始调配并成功载入设备。
Important |
假设您已完成设备安装向导(请参阅 载入已配置的 FDM 托管设备),设备已从云中取消注册,在这种情况下,CDO 仍处于正在申领 (Claiming) 状态。您需要从 Firepower 设备管理器 完成手动注册,才能将其添加到 CDO。(在 Firepower 设备管理器 中,转至系统设置 (System Settings) > 云服务 (Cloud Services) ,然后选择通过思科防御协调器自动注册租用 (Auto-enroll with Tenancy from Cisco Defense Orchestrator) 选项并点击注册 (Register))。然后,点击检查状态 (Check Status)。 |
使用设备的序列号载入已配置的 FDM 管理 设备
此程序适用于已配置为进行管理的设备。由于设备安装向导是在已配置的 FDM 管理 设备上完成的,因此设备将从云中取消注册,并且您无法使用低接触调配过程将此类设备载入 CDO。
如果您的设备是全新的,并且从未进行过管理或配置,您可以通过低接触调配来载入设备。有关详细信息,请参阅 通过低接触调配载入FDM 管理设备。
Note |
当设备未连接到思科云时,您可以看到状态 LED(Firepower 1000)、SYS LED(Firepower 2100)或 M LED(Secure Firewall 3100)交替闪烁绿色和琥珀色。 |
您可能已完成设备安装向导以执行以下任务:
-
设备必须运行版本 6.7 或更高版本。
-
在设备的管理接口上配置静态 IP 地址。如果接口无法获取必要的动态 IP 地址,或者 DHCP 服务器不提供网关路由,则需要配置静态 IP 地址。
-
使用 PPPoE 获取地址并配置外部接口。
-
使用 Firepower 设备管理器 或 Firepower 管理中心 来管理运行 6.7 或更高版本的设备。
Important |
您可以将 Secure Firewall Threat Defense 设备的管理器从 Firepower 设备管理器 切换为 Firepower 管理中心,也可以切换为其他方式。对于设备运行的版本,执行《适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南》的“系统管理”一章的在本地管理和远程管理之间切换部分中介绍的步骤。 |
如果要载入设备,请执行以下操作:
Procedure
|
Step 1 |
有关载入的前提条件,请查看此处的使用设备序列号载入 FDM 托管设备的程序。 |
|
Step 2 |
在 Firepower 设备管理器 UI 中,请转至 ,然后选 通过 Cisco 防御协调器自动注册租用 选项并点击 注册。 |
|
Step 3 |
登录 CDO。 |
|
Step 4 |
在导航窗格中,点击 清单 (Inventory) ,然后点击蓝色加号按钮 |
|
Step 5 |
点击 FTD 磁贴。 |
|
Step 6 |
在载入 FTD 设备 (Onboard FTD Device) 屏幕上,点击使用序列号 (Use Serial Number)。 |
|
Step 7 |
在选择 FMC 步骤中,使用下拉菜单选择已被载入 CDO 的 本地管理中心。点击下一步。 本地管理中心 必须运行 7.4 或更高版本。如果您没有载入的 本地管理中心,请点击“+ 载入本地 FMC”(+Onboard On-Prem FMC) 以查看载入向导。 |
|
Step 8 |
在连接 (Connection) 步骤中,输入设备的序列号和设备名称。点击下一步。 |
|
Step 9 |
如果设备并非全新的,并且已配置为进行管理,请选择是,此新设备从未登录或为管理器配置 (Yes, this new device has never been logged into or configured for a manager) 以进行密码重置。点击下一步。 |
|
Step 10 |
对于策略分配 (Policy Assignment),使用下拉菜单选择在设备载入后要部署的访问控制策略。如果没有自定义策略,CDO 会自动选择默认访问控制策略。点击下一步。 |
|
Step 11 |
选择所有要应用于设备的许可证。点击下一步。 |
CDO 将设备连接 (Connectivity) 状态更改为“在线”(Online),并将配置 (Configuration) 状态更改为“已同步”(Synced) 状态。FDM 管理 设备已被载入 CDO。您可以看到硬件后面板上的状态 LED (Firepower 1000)、SYS LED (Firepower 2100) 或 M LED 呈绿色闪烁。当设备连接到思科云时,设备 LED 会继续闪烁绿色。如果设备无法连接到思科云或在连接后失去连接,您可以看到相同的状态 LED 交替闪烁绿色和琥珀色。
载入 FDM 管理 高可用性对
要将 Secure Firewall Threat Defense HA 对载入 CDO,必须单独载入该对中的每台设备。一对设备中的两个对等设备均已被载入后,CDO 会自动将其合并为清单 (Inventory) 页面中的单个条目。使用设备登录凭证或注册密钥载入设备。我们建议使用相同的方法载入两台设备。另请注意,如果您首先载入处于备用模式的设备,则 CDO 会禁用从该设备进行部署或读取的功能。您只能读取或部署到 HA 对中的主用设备。
注 |
CDO 强烈建议使用注册密钥来载入设备。对于运行特定版本的 FTD 设备,使用注册密钥载入略有不同。有关详细信息,请参阅载入运行版本 6.4 或版本 6.5 的 FDM 管理 HA 对和载入运行版本 6.6 或版本 6.7 及更高版本的 FDM 管理 HA 对。 |
在将 FTD HA 对载入 CDO 之前,请查看以下内容:
-
您的 HA 对会在载入到 CDO 之前形成。
-
两台设备均处于正常状态。该对可以是主/主用和辅助/备用模式, 或 主/备用和辅助/主用模式。运行状况不佳的设备将无法成功同步到 CDO。
-
您的 HA 对由 Firepower 设备管理器 管理,而不是由 Firepower 管理中心 管理。
-
您的云连接器连接到 CDO ,https://www.defenseorchestrator.com。
使用注册密钥载入 FDM 管理高可用性对
在使用注册密钥载入 FDM 管理高可用性 (HA) 对之前,请注意以下前提条件:
-
仅美国区域 (defenseorchestrator.com) 支持使用注册密钥载入 6.4 版本的设备。要连接到欧盟区域 (defenseorchestrator.eu),则必须使用用户名、密码和 IP 地址载入其 HA 对。
-
运行版本 6.5 或更高版本并连接到美国、欧盟或 APJC 的客户可以使用此载入方法。
-
运行版本 6.4 和 6.5 的设备在使用注册密钥载入之前,不得向思科智能软件管理器注册。您需要先取消注册这些 FDM 管理 设备的智能许可证,然后再将其载入 CDO。有关详细信息,请参阅取消注册智能许可的 FDM 管理 设备。
载入运行版本 6.4 或版本 6.5 的 FDM 管理 HA 对
要载入运行软件版本 6.4 或 6.5 的 FDM 管理 HA 对,您必须一次载入一个设备。载入的设备是主设备还是辅助设备并不重要。
Note |
如果使用注册密钥载入 HA 对的任一台设备,则必须以相同的方法载入另一台对等设备。 |
使用以下步骤来载入运行版本 6.4 或 6.5 的 HA 对:
Procedure
|
Step 1 |
载入对等设备。请参阅使用注册密钥载入运行软件版本 6.4 或 6.5 的 FDM 托管设备以载入对中的第一台设备。 |
||
|
Step 2 |
在导航窗格中,点击清单 (Inventory)。 |
||
|
Step 3 |
点击 设备 选项卡,找到您的设备。 |
||
|
Step 4 |
点击 FTD 选项卡。设备同步后,请选择设备,使其突出显示。在设备详细信息 (Device Details) 正下方的操作窗格中,点击载入设备 (Onboard Device)。 |
||
|
Step 5 |
输入已载入的对等设备的 HA 对等体设备名称。点击下一步。 |
||
|
Step 6 |
如果您为第一台设备提供了智能许可证,CDO 会重新填充该许可证,以便您可以使用它来载入此当前设备。点击下一步。
|
||
|
Step 7 |
CDO 会自动为您准备载入的设备生成该注册密钥。点击复制图标 |
||
|
Step 8 |
登录到您要载入的设备的 Firepower 设备管理器 UI。 |
||
|
Step 9 |
在系统设置 (System Settings)中,点击云服务 (Cloud Services)。 |
||
|
Step 10 |
在 CDO 磁贴中,点击开始 (Get Started)。 |
||
|
Step 11 |
在注册密钥 (Registration Key)字段中,粘贴您在 CDO 中生成的注册密钥。 
|
||
|
Step 12 |
在区域 (Region) 字段中,选择您的租户要分配到的 思科云区域:
|
||
|
Step 13 |
点击注册 (Register),然后接受 Cisco 披露声明。 |
||
|
Step 14 |
返回到 CDO,然后在创建注册密钥 (Create Registration Key) 区域中,点击下一步 (Next)。 |
||
|
Step 15 |
点击转至清单 (Go to Inventory)。CDO 会自动载入设备并将其合并为一个条目。与您载入的第一个对等设备类似,设备状态会从“未调配”(Unprovisioned) 依次变为“正在查找”(Locating)、“正在同步”(Syncing)、“已同步”(Synced)。 |
载入运行版本 6.6 或版本 6.7 及更高版本的 FDM 管理 HA 对
要载入运行版本 6.6 或 6.7 的 FDM 管理 HA 对,必须一次载入一个设备。载入的设备是主设备还是辅助设备并不重要。
Note |
如果使用注册密钥载入 HA 对的任一台设备,则必须以相同的方法载入另一台对等设备。 使用以下步骤载入运行版本 6.6 或 6.7 的 HA 对: |
Procedure
|
Step 1 |
载入对等设备。有关详细信息,请参阅使用注册密钥载入运行软件版本 6.6+ 的 FDM 托管设备。 |
||
|
Step 2 |
在导航窗格中,点击清单 (Inventory)。 |
||
|
Step 3 |
点击 设备 选项卡,找到您的设备。 |
||
|
Step 4 |
点击 FTD 选项卡。设备同步后,请选择设备,使其突出显示。在设备详细信息 (Device Details) 正下方的操作窗格中,点击载入设备 (Onboard Device)。 |
||
|
Step 5 |
输入已被载入的对等设备的 HA 对等设备名称。点击下一步。 |
||
|
Step 6 |
如果您为第一台设备提供了智能许可证,CDO 会重新填充该许可证,以便您可以使用它来载入此当前设备。点击下一步。 |
||
|
Step 7 |
CDO 会自动为您准备载入的设备生成该注册密钥。点击复制图标 |
||
|
Step 8 |
在要载入到 CDO 的设备上登录 Firepower 设备管理器。 |
||
|
Step 9 |
在系统设置 (System Settings) 下,点击云服务 (Cloud Services)。 |
||
|
Step 10 |
在注册类型 (Enrollment Type) 区域中,点击安全/CDO 账户 (Security/CDO Account)。
|
||
|
Step 11 |
在区域 (Region) 字段中,选择您的租户要分配到的 思科云区域:
|
||
|
Step 12 |
在注册密钥 (Registration Key)字段中,粘贴您在 CDO 中生成的注册密钥。 |
||
|
Step 13 |
对于在“服务注册”(Service Enrollment) 区域运行版本 6.7 或更高版本的设备,请选中启用思科防御协调器 (Enable Cisco Defense Orchestrator)。 |
||
|
Step 14 |
查看有关思科成功网络注册的信息。如果您不想参与,请取消选中注册思科成功网络 (Enroll Cisco Success Network) 复选框。 |
||
|
Step 15 |
点击注册 (Register),然后接受 Cisco 披露声明。FDM 将注册请求发送到 CDO。 |
||
|
Step 16 |
返回到 CDO,在创建注册密钥 (Create Registration Key) 区域中,点击下一步 (Next)。 |
||
|
Step 17 |
在智能许可证 (Smart License) 区域中,您可以将智能许可证应用于 FDM 管理 设备,然后点击下一步 (Next),也可以点击跳过 (Next) 以使用 90 天评估许可证继续载入,或者如果设备已获得智能许可。有关详细信息,请参阅 应用或更新智能许可证。
|
||
|
Step 18 |
返回到 CDO,点击转至清单 (Go to Inventory)。CDO 会自动载入设备并将其合并为一个条目。与您载入的第一个对等设备类似,设备状态会从“未调配”(Unprovisioned) 依次变为“正在查找”(Locating)、“正在同步”(Syncing)、“已同步”(Synced)。 |
载入 FDM 管理 高可用性对
注 |
无论您使用什么方法来载入 HA 对的第一台设备,都必须以相同的方法载入另一台对等设备。 |
要载入在 CDO 外部创建的 FDM 管理 HA 对,请执行以下程序:
过程
|
步骤 1 |
|
|
步骤 2 |
在设备同步后,在清单 (Inventory) 页面中,点击设备 (Devices) 选项卡。 |
|
步骤 3 |
点击 FTD 选项卡。 |
|
步骤 4 |
选择设备。在设备详细信息 (Device Details) 正下方的操作窗格中,点击载入设备 (Onboard Device)。 |
|
步骤 5 |
在弹出窗口中,输入 HA 对等体的设备名称和位置。 |
|
步骤 6 |
点击载入设备 (Onboard Device)。两台设备成功同步到 CDO 后,HA 对在清单 (Inventory) 页面中显示为单个实体。 |
载入 FTD 集群
载入集群的 设备
按照以下程序载入已加入集群的 威胁防御 设备:
开始之前
以下设备支持集群:
-
Secure Firewall 3100 设备
-
Firepower 4100 设备
-
Firepower 9300 设备
-
FTDv 设备(AWS、Azure、VMware、KVM、GCP)
请注意集群设备的以下限制:
-
设备必须至少运行 6.4 版本。
-
设备必须由物理或虚拟 Firepower 管理中心 管理。
-
Firepower 4100 和 Firepower 9300 设备都必须通过设备的机箱管理器进行集群。
-
Secure Firewall 3100 设备、KVM 和 VMware 环境必须通过 UI 进行集群。
-
Azure、AWS 和 GCP 环境集群必须通过各自的环境创建并载入 Cisco Secure Firewall Management Center。
过程
|
步骤 1 |
登录 CDO。 |
|
步骤 2 |
在导航窗格中,点击 清单 (Inventory) ,然后点击蓝色加号按钮 |
|
步骤 3 |
点击 FTD。 |
|
步骤 4 |
在 管理模式下,确保选择 FTD 。 通过选择 FTD,您将保留 作为管理平台。如果选择 FDM,这会将管理器从 切换到本地管理器,例如 防火墙设备管理器 或 云交付的防火墙管理中心。请注意,交换管理器会重置除接口配置以外的所有现有策略配置,并且您必须在载入设备后重新配置策略。 |
|
步骤 5 |
在载入 FTD 设备 (Onboard FTD Device) 屏幕上,点击使用 CLI 注册密钥 (Use Registration Key)。 |
|
步骤 6 |
在设备名称 (Device Name) 字段中输入设备名称。它可以是设备的主机名或您选择的任何其他名称。 |
|
步骤 7 |
在策略分配步骤中,使用下拉菜单选择在设备载入后要部署的访问控制策略。如果未配置策略,请选择默认访问控制策略 (Default Access Control Policy)。 |
|
步骤 8 |
指定要载入的设备是物理设备还是虚拟设备。如果要载入虚拟设备,则必须从下拉菜单中选择设备的性能级别。 |
|
步骤 9 |
选择要应用于设备的基础版许可证。点击下一步。 |
|
步骤 10 |
CDO 使用注册密钥生成命令。将整个注册密钥按原样粘贴到设备的 CLI 中。 |
|
步骤 11 |
设备开始载入。作为可选步骤,您可以向设备添加标签,以帮助对“清单”(Inventory) 页面进行排序和过滤。输入标签,然后选择蓝色加号按钮。。 |
下一步做什么
设备同步后,CDO 会自动检测到设备已加入集群。在这里,请从“清单”(Inventory) 页面选择您刚刚载入的设备,然后选择位于右侧的“管理”(Management) 窗格下列出的任何选项。我们强烈建议您执行以下操作:
-
如果还没有创建,请创建自定义访问控制策略,以自定义环境的安全性。有关详细信息,请参阅FDM 管理 访问控制策略。
-
启用思科安全分析和日志记录 (SAL) 以在 CDO 控制面板中查看事件, 或将设备注册到 Cisco Secure Firewall Management Center 以进行安全分析。
应用或更新智能许可证
将新的智能许可证应用于 FDM 管理 设备
执行以下程序之一,以智能许可 Firepower 威胁防御 (FTD) 设备:
-
使用注册密钥载入 FDM 管理 设备时为设备提供智能许可证。
-
在使用注册密钥或管理员凭证载入设备后,为 FDM 管理 设备授予智能许可证。
Note |
FDM 管理 设备可能使用的是 90 天评估许可证,也可能是未注册的许可证。 |
在使用注册密钥载入时为 FDM 管理设备提供智能许可
Procedure
|
Step 1 |
登录思科智能软件管理器并生成新的智能许可证密钥。https://software.cisco.com/software/csws/ws/platform/home?locale=en_US#SmartLicensing-Inventory复制新生成的密钥。您可以观看生成智能许可视频了解详细信息。
|
|
Step 2 |
使用注册密钥开始载入 FDM 管理设备。有关详细信息,请参阅使用注册密钥载入运行软件版本 6.6+ 的 FDM 托管设备或使用注册密钥载入运行软件版本 6.4 或 6.5 的 FDM 托管设备。 |
|
Step 3 |
在自行激活向导的第 4 步中,在此处的智能许可证框中,将智能许可证粘贴到激活字段中,然后点击下一步。
|
|
Step 4 |
点击转到清单页面 (Go to Inventory page)。 |
|
Step 5 |
点击 FTD 选项卡,查看自行激活过程的进度。设备开始同步并应用智能许可证。 您应该会看到设备现在处于在线连接状态。如果设备未处于在线连接状态,请查看右侧的设备操作窗格,然后点击管理许可证刷新许可证以更新连接状态。 |
|
Step 6 |
将智能许可证成功应用于设备后,点击管理许可证。FDM 管理设备状态显示“已连接,许可证充足”。您可以启用或禁用可选许可证。有关详细信息,请参阅设备智能许可类型。FDM 管理
|
使用注册密钥或凭据载入设备后,为 FDM 管理设备授予智能许可证
Procedure
|
Step 1 |
在导航窗格中,点击清单 (Inventory)。 |
|
Step 2 |
点击设备 (Devices) 选项卡以找到设备。 |
|
Step 3 |
点击 FTD 选项卡,然后选择要许可的设备。 |
|
Step 4 |
在右侧的设备操作窗格中,点击管理许可证。
|
|
Step 5 |
按照屏幕说明输入从思科智能软件管理器生成的智能许可证。 |
|
Step 6 |
将新的许可证密钥粘贴到框中,然后点击注册设备 (Register Device)。与设备同步后,连接状态变为“在线”。成功将智能许可证应用到 FDM 管理设备后,设备状态将显示“已连接,许可证足够 (Connected, Sufficient License)”。您可以启用或禁用可选许可证。有关详细信息,请参阅设备智能许可类型。FDM 管理 |
更新 FTD 设备的现有智能许可证
您可以将新的智能许可证应用于智能许可的 FTD 设备。根据您选择的设备载入方法,选择适当的程序:
更改应用于使用注册密钥载入的 FDM 管理设备的智能许可证
Procedure
|
Step 1 |
从 思科防御协调器 中删除相应的 FDM 管理设备。 |
|
Step 2 |
登录到该设备的 Firepower 设备管理器 并注销智能许可证。有关详细信息,请参阅注销智能许可 FDM 管理设备。 |
|
Step 3 |
在 CDO 中,使用注册密钥再次载入 FDM 管理设备。有关详细信息,请参阅使用注册密钥载入 FDM 托管设备。使用注册密钥载入 FDM 管理 设备运行软件版本 6.6+ |
|
Step 4 |
点击设备 (Devices) 选项卡以找到设备。 |
|
Step 5 |
点击选项卡。 |
|
Step 6 |
在载入过程中或通过查看右侧的设备操作 (Device Actions) 窗格并点击管理许可证 (Manage Licenses) 来应用新的智能许可证。
|
更改应用于使用其凭证载入的 FDM 管理 设备的智能许可证
Procedure
|
Step 1 |
登录到该设备的 Firepower 设备管理器 并注销智能许可证。有关详细信息,请参阅使用注册密钥载入 FDM 托管设备。 |
|
Step 2 |
将新的智能许可证应用于 Firepower 设备管理器 中的 FDM 管理 设备。
|
|
Step 3 |
在 CDO 中的清单 (Inventory) 页面上,点击设备 (Devices) 选项卡。 |
|
Step 4 |
点击 FTD 设备。检查 FDM 管理 设备配置是否有更改,以便 CDO 可以复制 FDM 管理 设备的已部署配置并将其保存到 CDO 数据库。有关详细信息,请参阅读取、丢弃、检查和部署配置更改。 |
对 FDM 管理设备的 DHCP 寻址的 CDO 支持
如果我的 FDM 管理设备使用的 IP 地址发生更改会怎样?
Cisco Defense Orchestrator (CDO) 有许多自适应安全设备 (ASA) 和 FDM 管理设备客户,这些客户会使用其服务提供商使用 DHCP 提供的 IP 地址载入设备。
如果设备的 IP 地址因任何原因发生更改,无论是静态 IP 地址更改还是 DHCP 导致的 IP 地址更改,您都可以更改 CDO 用于连接到设备的 IP 地址,然后重新连接设备。
该字段表达了对由 CDO 管理的分支机构部署 FDM 管理设备的情况的担忧,FDM 管理设备的外部接口上需要静态 IP,在某些 SE 看来,当 FDM 管理设备具有为外部接口配置的 DHCP 地址。
但是,这种情况不会影响拥有通往远程分支机构防火墙的 VPN 隧道的客户,并且我们知道,绝大多数客户都拥有从分支机构到数据中心的站点到站点隧道。在使用站点间 VPN 从设备连接到中心站点的情况下,外部接口上的 DHCP 不是问题,因为 CDO(和任何管理平台)可以通过其内部静态寻址的接口(如已配置)连接到 FW。这是建议的做法,我们的 CDO 客户有许多(+1000)设备都采用此部署模式。
此外,通过 DHCP 发布接口 IP 地址这一事实并不妨碍客户使用该 IP 来管理设备。同样,这并非最佳选择,但在 CDO 中必须定期更改 IP 地址的体验并未被视为对客户的障碍。这种情况并非 CDO 独有,任何使用外部接口(包括 ASDM、FDM 或 SSH)的管理器都存在这种情况。
FDM 管理 设备许可类型
智能许可证类型
下表介绍了 FDM 管理 设备可用的许可证。
购买 FDM 管理 设备会自动附带基本许可证。其他所有许可证均是可选的。
|
许可证 |
持续时间 |
授予的功能 |
|---|---|---|
|
许可证(自动包含) |
永久 |
订用期限的许可证中未包括的所有功能。 您还必须还指定是否在使用此令牌注册的产品上允许出口控制功能。仅在您的国家/地区满足出口控制标准时,才可以选择此选项。此选项控制您对高级加密和需要高级加密的功能的使用。 |
|
基于期限 |
入侵检测和防御 (Intrusion detection and prevention) - 入侵策略用于分析网络流量是否存在入侵和漏洞利用,或者丢弃攻击性数据包。 文件控制 (File control) - 文件策略用于检测和选择性地阻止用户上传(发送)或下载(接收)特定类型的文件。通过面向 Firepower 的 AMP(需要恶意软件许可证),您可以检查和阻止包含恶意软件的文件。必须拥有 许可证才可使用任何类型的文件策略。 安全情报过滤 (Security Intelligence filtering) - 将选定流量丢弃后,通过访问控制规则对流量进行分析。动态源可用于根据最新情报立即丢弃连接。 |
|
|
恶意软件 |
基于期限 |
检查恶意软件的文件策略,将思科高级恶意软件保护 (AMP) 与适用于 Firepower 的 AMP(基于网络的高级恶意软件保护)和思科 Threat Grid 结合使用。 文件策略可以检测和阻止通过网络传输的文件中的恶意软件。 |
|
URL 许可证 |
基于期限 |
基于类别和信誉的 URL 过滤。 您可以对单个 URL 执行 URL 过滤,而不使用此许可证。 |
|
基于期限或永久,取决于许可证类型 |
远程接入 VPN 配置。您的基础版许可证必须允许出口控制功能,以便配置远程接入 RA VPN。在注册设备时,您需要选择是否满足出口要求。 Firepower 设备管理器可以使用任何有效的 AnyConnect 许可证。可用功能不因许可证类型不同而不同。如果尚未购买,请参阅《远程访问 VPN 的许可要求》。 此外,请参阅《思科 AnyConnect 订购指南》 http://www.cisco.com/c/dam/en/us/products/security/anyconnect-og.pdf。 |
虚拟 FDM 管理设备分层许可证
7.0 版引入了基于吞吐量要求和 RA VPN 会话限制的虚拟 FDM 管理设备性能分层智能许可支持。当虚拟 FDM 管理设备获得其中一个可用性能许可证的许可时,会出现两种情况:RA VPN 的会话限制由安装的虚拟 FDM 管理设备平台授权层确定,并通过速率限制器实施。
CDO 目前不完全支持分层智能许可;请参阅以下限制:
-
您无法通过 CDO 来修改分层许可证。您必须在 Firepower 设备管理器 UI 中进行更改。
-
如果注册由 云交付的防火墙管理中心 管理的虚拟 FDM 管理设备,则分层许可证选择会自动重置为可变,这是默认级别。
-
如果上载运行 7.0 或更高版本的虚拟 FDM 管理设备,并在上载过程中选择了非默认许可证的许可证,则分层许可证选择会自动重置为默认层级可变。
我们强烈建议您在载入设备后选择虚拟 FDM 管理设备许可证级别,以避免上述问题。有关详细信息,请参阅管理智能许可证。
查看设备的智能许可证
Procedure
|
Step 1 |
在导航栏中,点击清单 (Inventory)。 |
|
Step 2 |
点击设备 (Devices) 选项卡以找到设备。 |
|
Step 3 |
点击 FTD 选项卡。 |
|
Step 4 |
选择 FDM 管理设备以查看其当前许可证状态。 |
|
Step 5 |
在右侧的设备操作窗格中,点击管理许可证。管理许可证 (Manage Licenses) 屏幕提供以下信息:
|
启用或禁用可选许可证
您可以在使用 90 天评估许可证或完整许可证的 FDM 管理设备上启用(注册)可选许可证。只有启用许可证后,才能使用该许可证控制的功能。
如果您不想再使用某个可选期限许可证包含的功能,可以禁用(解除)该许可证。禁用许可证会在思科智能软件管理器账户中将其释放,以便可将其应用到其他设备。
在评估模式下,您还可以启用可选许可证的评估版本并执行所有操作。在该模式下,只有注册设备,许可证才会注册到思科智能软件管理器。
Note |
您无法在评估模式下启用许可证。 |
Before you begin
在禁用许可证之前,请确保它不在使用中。重写或删除需要该许可证的任何策略。
对于在高可用性配置中运行的设备,只需在主用设备上上启用或禁用许可证。当备用设备请求(或释放)必要许可证时,更改会在下一次部署配置时反映在备用设备上。启用许可证时,必须确保思科智能软件管理器账户具有足够的许可证,否则可能会造成一台设备合规,而另一台设备不合规。
要启用或禁用可选许可证,请执行以下程序:
Procedure
|
Step 1 |
在清单 (Inventory)页面中,选择所需的 FDM 管理设备,然后点击设备操作 (Device Actions) 窗格中的管理许可证 (Manage Licenses),系统将显示管理许可证 (Manage Licenses) 屏幕。 |
|
Step 2 |
根据需要,点击每个可选许可证的滑块控件。一旦启用,许可证的状态显示为“正常”(OK)。
|
|
Step 3 |
点击 Save 保存所做的更改。 |
可选许可证过期或被禁用的影响
如果可选许可证过期,您可以继续使用需要该许可证的功能。但是,该许可证将被标记为不合规,您需要购买许可证并将其添加到您的账户,才能使该许可证恢复合规状态。
如果禁用了某个可选许可证,系统将做出如下反应:
-
恶意软件许可证 (Malware license):系统会停止查询 AMP 云,还会停止确认从 AMP 云发送的追溯性事件。如果现有访问控制策略包括的文件策略会应用恶意软件检测,则无法重新部署现有访问控制策略。请注意,在禁用恶意软件许可证后的很短时间内,系统可以使用现有缓存文件处置情况。在时间窗过期后,系统将向这些文件分配不可用的处置情况。
-
:系统将不再应用入侵或文件控制策略。对于安全情报策略,系统不再应用策略并停止下载情报源更新。您无法重新部署需要该许可证的现有策略。
-
URL:带有 URL 类别条件的访问控制规则会立即停止过滤 URL,且系统不会再下载对 URL 数据的更新。如果现有访问控制策略包括的规则带有基于类别和信誉的 URL 条件,则不能重新部署现有的访问控制策略。
-
:您不能编辑远程访问 VPN 配置,但可以将其删除。用户仍可使用 RA VPN 配置进行连接。但是,如果您更改设备注册,致使系统不再符合导出规定,则远程访问 VPN 配置会立即停止,且所有远程用户都无法通过 VPN 进行连接。
创建和导入 防火墙设备管理器 模型
思科防御协调器 提供将 CDO 租户上 FDM 管理设备的完整配置导出为 JSON 文件格式的功能。然后,您可以将此文件作为一个 防火墙设备管理器 模型导入到另一个租户,并将其应用于该租户上的新设备。当您想要在您管理的不同租户上使用 FDM 管理设备的配置时,此功能非常有用。
Note |
如果 FDM 管理设备包含规则集,则在导出配置时,与规则集关联的共享规则将被修改为本地规则。稍后,当模型导入到另一个租户并应用于 FDM 管理设备时,您将在设备中看到本地规则。 |
导出 FDM 管理设备配置
如果您的 FDM 管理设备具有以下配置,则导出配置功能不可用:
-
高可用性
-
Snort 3 已启用
Procedure
|
Step 1 |
在导航栏中,点击资产 (Inventory)。 |
|
Step 2 |
点击 设备 (Devices) 选项卡以查找设备,或点击 模板 (Templates) 选项卡以查找型号设备。 |
|
Step 3 |
点击 FTD 选项卡。 |
|
Step 4 |
选择一个 FDM 管理设备,然后在右侧窗格的设备操作 (Device Actions) 中,点击导出配置 (Export Configuration)。 |
导入 FDM 管理 设备配置
Procedure
|
Step 1 |
在清单 (Inventory) 页面中,点击蓝色加号 ( |
||
|
Step 2 |
点击导入 (Import) 以便导入配置进行离线管理。 |
||
|
Step 3 |
选择设备类型作为 FTD。 |
||
|
Step 4 |
点击浏览 (Browse) 并选择要上传的配置文件(JSON 格式)。 |
||
|
Step 5 |
验证配置后,系统会提示您为设备或服务添加标签。有关详细信息,请参阅标签和标签组。 |
||
|
Step 6 |
标记型号设备后,您可以在清单 (Inventory) 列表中查看它。
|
按钮更改为“下载备份映像”。
。
反馈