平台设置

设置日期和时间

使用 NTP 页面在系统上配置网络时间协议 (NTP),手动设置日期和时间,或者查看当前系统时间。

NTP 设置在 Firepower 4100/9300 机箱与机箱上安装的任何逻辑设备之间自动同步。


如果您在 Firepower 4100/9300 机箱上部署 威胁防御,则必须在 Firepower 4100/9300 机箱上配置 NTP,使智能许可正常工作并确保设备注册的时间戳正确。您应对 Firepower 4100/9300 机箱管理中心 使用相同的 NTP 服务器,但请注意,您不能使用 管理中心 作为 Firepower 4100/9300 机箱 的 NTP 服务器。

如果您使用的是 NTP,则可以在当前时间 (Current Time) 选项卡上查看整体同步状态,或者也可以通过时间同步 (Time Synchronization) 选项卡上 NTP 服务器 (NTP Server) 表中的“服务器状态 (Server Status)”字段查看每个已配置的 NTP 服务器的同步状态。如果系统无法与特定 NTP 服务器同步,您可以将光标悬停在“服务器状态 (Server Status)”旁边的信息图标上获取更多信息。

查看配置的日期和时间

过程

步骤 1

选择平台设置 (Platform Settings) > NTP

步骤 2

点击当前时间 (Current Time) 选项卡。

系统显示设备上配置的日期、时间和时区。

如果您使用 NTP,您还可以在当前时间 (Current Time) 选项卡上查看整体同步状态。您可以通过时间同步 (Time Synchronization) 选项卡上的 NTP 服务器 (NTP Server) 表中的“服务器状态 (Server Status)”字段查看每台已配置的 NTP 服务器的同步状态。如果系统无法与特定 NTP 服务器同步,您可以将光标悬停在“服务器状态 (Server Status)”旁边的信息图标上获取更多信息。

设置时区

过程

步骤 1

选择平台设置 (Platform Settings) > NTP

步骤 2

点击当前时间 (Current Time) 选项卡。

步骤 3

时区 (Time Zone) 下拉列表中为机箱选择适当的时区。

使用 NTP 设置日期和时间

NTP 用于实施分层服务器系统,可在网络系统中提供精确的同步时间。时间敏感性操作需要这种精确度,例如验证 CRL,其包括精确时间戳。您最多可以配置 4 个 NTP 服务器。


  • FXOS 使用 NTP 版本 3。

  • 如果外部 NTP 服务器的层值为13 或更大,则应用程序实例无法同步到 FXOS 机箱上的 NTP 服务器。每次 NTP 客户端同步到 NTP 服务器时,层值就会增加 1。

    如果您已设置自己的 NTP 服务器,则可以在服务器上的 /etc/ntp.conf 文件中找到它的层值。如果 NTP 服务器的层值大于或等于 13,则可以更改 ntp.conf 文件中的层值并重新启动服务器,或者使用其他 NTP 服务器(例如:pool.ntp.org)。

开始之前

如果您要将主机名用于 NTP 服务器,则必须配置 DNS 服务器。请参阅 配置 DNS 服务器

过程

步骤 1

选择平台设置 (Platform Settings) > NTP

默认情况下,将选择时间同步 (Time Synchronization) 选项卡。

步骤 2

设置时间来源 (Set Time Source) 下面,点击使用 NTP 服务器 (Use NTP Server)

步骤 3

(可选) 如果您需要使用 NTP 服务器进行身份验证,选中 NTP 服务器身份验证: 启用复选框。

点击以要求身份验证密钥 ID 和值。

仅支持使用 SHA1 进行 NTP 服务器身份验证。

步骤 4

点击添加以通过 IP 地址或主机名标识最多 4 个 NTP 服务器。

步骤 5

(可选) 输入 NTP 服务器的身份验证密钥 ID 和身份验证值

从 NTP 服务器获取密钥 ID 和值。例如,要在安装了 OpenSSL 的 NTP 服务器 4.2.8p8 版或更高版本上生成 SHA1 密钥,请输入 ntp-keygen -M 命令,然后在 ntp.keys 文件中查看密钥 ID 和值。密钥用于告知客户端和服务器在计算消息摘要时要使用哪个值。

步骤 6

点击保存

您可以通过 NTP 服务器 (NTP Server) 表中的“服务器状态 (Server Status)”字段查看每台服务器的同步状态。如果系统无法与特定 NTP 服务器同步,您可以将光标悬停在“服务器状态 (Server Status)”旁边的信息图标上获取更多信息。

 

如果系统时间修改超过 10 分钟,系统会将您注销,稍后,您需要再次登录 机箱管理器

 

当无法访问服务器状态时,会出现 NTP 警告 unreachable or Invalid NTP server 。您可以等待 10 到 15 分钟,然后再尝试另一个服务器连接。

删除 NTP 服务器

过程

步骤 1

选择平台设置 (Platform Settings) > NTP

步骤 2

点击时间同步 (Time Synchronization) 选项卡。

步骤 3

对于您要删除的每台 NTP 服务器,请在 NTP 服务器 (NTP Server) 表中点击该服务器所对应的删除 (Delete) 图标。

步骤 4

点击保存 (Save)

手动设置日期和时间

本部分介绍如何在机箱上手动设置日期和时间。请注意,手动设置机箱日期和时间后,更改可能需要一些时间才能反映在已安装的逻辑设备中。

过程

步骤 1

选择平台设置 (Platform Settings) > NTP

步骤 2

点击时间同步 (Time Synchronization) 选项卡。

步骤 3

设置时间来源 (Set Time Source) 下面,点击手动设置时间 (Set Time Manually)

步骤 4

点击日期 (Date) 下拉列表,显示日历,然后使用日历中的可用控件设置日期。

步骤 5

使用对应的下拉列表将时间指定为小时、分钟和 AM/PM。

提示

 

您可以点击获取系统时间 (Get System Time),设置日期和时间,以匹配您正在用来连接到 机箱管理器的系统上所配置的日期和时间。

步骤 6

点击保存 (Save)

使用指定的日期和时间配置机箱。

 

如果系统时间修改超过 10 分钟,系统会将您注销,稍后,您需要再次登录 机箱管理器

配置 SSH

以下程序介绍如何启用或禁用使用 SSH 访问机箱、如何将 FXOS 机箱作为 SSH 客户端启用,以及如何配置 SSH 用于 SSH 服务器和 SSH 客户端加密、密钥交换和消息身份验证的各种算法 。

默认情况下,SSH 处于启用状态。

过程

步骤 1

依次选择平台设置 > SSH > SSH 服务器

步骤 2

要启用到机箱的 SSH 访问,请选中启用 SSH (Enable SSH) 复选框。要禁用 SSH 访问,请取消勾选启用 SSH (Enable SSH) 复选框。

步骤 3

对于服务器加密算法,请勾选每个允许的加密算法的复选框。

 

  • 在通用标准模式下不支持以下加密算法:

    • 3des-cbc

    • chacha20-poly1305@openssh.com

  • chacha20-poly1305@openssh.com 在 FIPS 中不受支持。如果在 FXOS 机箱上启用了 FIPS 模式,则不能使用 chacha20-poly1305@openssh.com 作为加密算法。

  • 以下加密算法默认不会启用:
    aes128-cbc
aes192-cbc
aes265-cbc

步骤 4

对于服务器密钥交换算法,请勾选每个允许的 Diffie-Hellman (DH) 密钥交换的复选框。DH 密钥交换提供无法由任何一方单独确定的共享密钥。密钥交换与签名和主机密钥配合使用,以提供主机身份验证。此密钥交换方法提供显式服务器身份验证。有关使用 DH 密钥交换方法的详细信息,请参阅 RFC 4253。

 

  • 在通用标准模式下不支持以下密钥交换算法:

    • diffie-hellman-group14-sha256

    • curve25519-sha256

    • curve25519-sha256@libssh.org

  • 在 FIPS 模式下不支持以下密钥交换算法:

    • curve25519-sha256

    • curve25519-sha256@libssh.org

步骤 5

对于服务器 Mac 算法 (Mac Algorithm),请勾选允许的每种完整性算法所对应的复选框。

步骤 6

对于服务器主机密钥,请输入 RSA 密钥对的模块大小。

模数值(以位为单位)应为 8 的倍数,且介于 1024 到 2048 之间。指定的密钥模块大小越大,生成 RSA 密钥对所需的时间就越长。建议值为 2048。

步骤 7

对于服务器密钥更新数量限制,请设置 FXOS 断开会话连接之前连接上允许的流量(以 KB 为单位)。

步骤 8

对于服务器密钥更新时间限制,请设置 FXOS 断开会话连接之前允许的 SSH 会话空闲时间(以分钟为单位)。

步骤 9

点击保存 (Save)

步骤 10

点击 SSH 客户端 (SSH Client) 选项卡,以自定义 FXOS 机箱 SSH 客户端。

步骤 11

对于严格主机密钥检查,可选择启用禁用提示来控制 SSH 主机密钥检查。

  • 启用 - 如果 FXOS 已知的主机文件中未包含主机密钥,连接将被拒绝。您必须在 FXOS CLI 中使用系统/服务范围的 enter ssh-host 命令手动添加主机。

  • 提示 - 对于机箱中未存储的主机密钥,系统会提示您接受或拒绝该主机密钥。

  • 禁用 -(默认)机箱将自动接受以前未存储的主机密钥。

步骤 12

对于客户端加密算法,请勾选每个允许的加密算法的复选框。

 

  • 在通用标准模式下不支持以下加密算法:

    • 3des-cbc

    • chacha20-poly1305@openssh.com

    如果在 FXOS 机箱上启用了通用标准模式,则不能使用 3des-cbc 作为加密算法。

  • chacha20-poly1305@openssh.com 在 FIPS 中不受支持。如果在 FXOS 机箱上启用了 FIPS 模式,则不能使用 chacha20-poly1305@openssh.com 作为加密算法。

  • 以下加密算法默认不会启用:
    aes128-cbc
aes192-cbc
aes265-cbc

步骤 13

对于客户端密钥交换算法,请勾选每个允许的 Diffie-Hellman (DH) 密钥交换的复选框。DH 密钥交换提供无法由任何一方单独确定的共享密钥。密钥交换与签名和主机密钥配合使用,以提供主机身份验证。此密钥交换方法提供显式服务器身份验证。有关使用 DH 密钥交换方法的详细信息,请参阅 RFC 4253。

 

  • 在通用标准模式下不支持以下密钥交换算法:

    • diffie-hellman-group14-sha256

    • curve25519-sha256

    • curve25519-sha256@libssh.org

  • 在 FIPS 模式下不支持以下密钥交换算法:

    • curve25519-sha256

    • curve25519-sha256@libssh.org

步骤 14

对于客户端 Mac 算法,请勾选每个允许的完整性算法的复选框。

步骤 15

对于客户端密钥更新数量限制,请设置 FXOS 断开会话连接之前连接上允许的流量(以 KB 为单位)。

步骤 16

对于客户端密钥更新时间限制,请设置 FXOS 断开会话连接之前允许的 SSH 会话空闲时间(以分钟为单位)。

步骤 17

点击保存 (Save)

配置 TLS

传输层安全 (TLS) 协议在两个通信的应用之间确保隐私安全和数据完整性。您可以使用 FXOS CLI 来配置 FXOS 机箱与外部设备通信时允许的最低 TLS 版本。较新的 TLS 版本可提供更安全的通信,而较旧的 TLS 版本则能向后兼容较旧的应用。

例如,如果您的 FXOS 机箱上配置的最低 TLS 版本为 1.1 版,而且客户端浏览器配置为仅运行 1.0 版,那么客户端将无法通过 HTTPS 打开与 FXOS 机箱管理器的连接。因此,必须适当地配置对等应用和 LDAP 服务器。

以下程序显示了如何配置和查看 FXOS 机箱与外部设备之间的通信所允许的最低 TLS 版本。

  • 截至 FXOS 2.3(1) 版本,FXOS 机箱的默认最低 TLS 版本为 v1.1。

过程

步骤 1

进入系统模式:

Firepower-chassis# scope system

步骤 2

查看您的系统中可用的 TLS 版本选项:

Firepower-chassis /system # set services tls-ver

示例:

Firepower-chassis /system #
Firepower-chassis /system # set services tls-ver
    v1_0  v1.0   
    v1_1  v1.1   
    v1_2  v1.2

步骤 3

设置最低 TLS 版本:

Firepower-chassis /system # set services tls-ver version

示例:

Firepower-chassis /system #
Firepower-chassis /system # set services tls-ver v1_2

步骤 4

提交配置:

Firepower-chassis /system # commit-buffer

步骤 5

显示在您的系统上配置的最低 TLS 版本:

Firepower-chassis /system # scope services

Firepower-chassis /system/services # show

示例:

Firepower-chassis /system/services # show
Name: ssh
    Admin State: Enabled
    Port: 22
Kex Algo: Diffie Hellman Group1 Sha1,Diffie Hellman Group14 Sha1
Mac Algo: Hmac Sha1,Hmac Sha1 96,Hmac Sha2 512,Hmac Sha2 256
Encrypt Algo: 3des Cbc,Aes256 Cbc,Aes128 Cbc,Aes192 Cbc,Aes256 Ctr,Aes128 Ctr,Ae
s192 Ctr
Auth Algo: Rsa
    Host Key Size: 2048
Volume: None Time: None
Name: telnet
    Admin State: Disabled
    Port: 23
Name: https
    Admin State: Enabled
    Port: 443
    Operational port: 443
    Key Ring: default
    Cipher suite mode: Medium Strength
    Cipher suite: ALL:!ADH:!EXPORT40:!EXPORT56:!LOW:!RC4:!MD5:!IDEA:+HIGH:+MEDIU
M:+EXP:+eNULL
    Https authentication type: Cert Auth
    Crl mode: Relaxed
TLS:
    TLS version: v1.2

配置 Telnet

以下程序介绍如何启用或禁用对机箱的 Telnet 访问。默认情况下,Telnet 处于禁用状态。


目前,Telnet 配置只有在使用 CLI 时才可使用。

过程

步骤 1

进入系统模式:

Firepower-chassis # scope system

步骤 2

进入系统服务模式:

Firepower-chassis /system # scope services

步骤 3

要配置对机箱的 Telnet 访问,请执行以下操作之一:

  • 要允许对机箱进行 Telnet 访问,请输入以下命令:

    Firepower-chassis /system/services # enable telnet-server

  • 要禁止对机箱进行 Telnet 访问,请输入以下命令:

    Firepower-chassis /system/services # disable telnet-server

步骤 4

将任务提交到系统配置:

Firepower /system/services # commit-buffer

示例

以下示例启用 Telnet 并且提交任务: 

Firepower-chassis# scope system
Firepower-chassis /system # scope services
Firepower-chassis /services # enable telnet-server
Firepower-chassis /services* # commit-buffer
Firepower-chassis /services #

配置 SNMP

使用 SNMP 页面,在机箱上配置简单网络管理协议 (SNMP)。有关详细信息,请参阅以下主题:

关于 SNMP

简单网络管理协议 (SNMP) 是一个应用层协议,用于为 SNMP 管理器和代理之间的通信提供消息格式。SNMP 提供用于监控和管理网络中的设备的标准化框架和通用语言。

SNMP 框架由三个部分组成:

  • SNMP 管理器 - 用于通过 SNMP 来控制和监控网络设备的活动的系统。

  • SNMP 代理 - 机箱内的软件组件,用于维护机箱的数据并根据需要向 SNMP 管理器报告数据。机箱包含代理和 MIB 集合。要启用 SNMP 代理并创建管理器和代理之间的关系,请在 机箱管理器或 FXOS CLI 中启用并配置 SNMP。

  • 管理信息库 (MIB) - SNMP 代理上的受管对象集合。

机箱支持 SNMPv1、SNMPv2c 和 SNMPv3。SNMPv1 和 SNMPv2c 都使用基于社区形式的安全性。有关 SNMP 的定义,请参阅以下标准:


请注意,SNMP 版本 1 和 2c 具有严重的已知安全问题:它们以不加密的方式传输所有信息,包括社区字符串,该字符串充当这些版本中唯一的身份验证形式。

SNMP 通知

SNMP 的一个关键功能是能够生成来自 SNMP 代理的通知。这些通知不要求从 SNMP 管理器发送请求。通知可以指示不恰当的用户验证、重新启动、连接断开、到相邻路由器的连接丢失或其他重要事件。

机箱将 SNMP 通知生成为陷阱或通知。陷阱不如通知可靠,因为 SNMP 管理器在收到陷阱时不发送任何确认,并且机箱无法确定是否已收到陷阱。收到通告请求的 SNMP 管理器使用一个 SNMP 响应协议数据单元 (PDU) 来确认消息。如果机箱不接收 PDU,则其可以再次发送通知请求。

但是,通知仅可配合 SNMPv2c 使用,这被认为不安全,因此不建议使用。

重新引导 FXOS 后,使用 SNMP 的接口上的 ifindex 顺序不会变化。但是,当您重新引导 FXOS 时,FXOS 磁盘使用 OID 上的索引号会发生变化。

SNMP 安全级别和权限

SNMPv1、SNMPv2c 和 SNMPv3 分别表示不同的安全模型。安全模型与所选安全级别结合来确定处理 SNMP 消息时应用的安全机制。

安全级别确定查看与 SNMP 陷阱关联的消息时所需的权限。权限级别确定是否需要防范消息泄露或免受身份验证。受支持的安全级别取决于实施的安全模式。SNMP 安全级别支持以下一个或多个权限:

  • noAuthNoPriv - 无身份验证或加密

  • authNoPriv - 身份验证,但无加密

  • authPriv - 身份验证和加密

SNMPv3 同时提供了安全模型和安全级别。安全模型是为用户和用户所处的角色设置的身份验证策略。安全级别是安全模型中允许的安全级别。安全模型和安全级别相结合来确定在处理 SNMP 数据包时采用的安全机制。

支持的 SNMP 安全模型和级别组合

下表确定安全模型和级别的组合含义。

表 1. SNMP 安全模型和级别

型号

级别

身份验证

加密

状况

v1

noAuthNoPriv

社区字符串

使用社区字符串匹配进行身份验证。

v2c

noAuthNoPriv

社区字符串

使用社区字符串匹配进行身份验证。

V3

noAuthNoPriv

用户名

使用用户名匹配进行身份验证。

 

虽然可以配置,但 FXOS 不支持将 noAuthNoPriv 与 SNMP 第 3 版配合使用。

V3

authNoPriv

HMAC-SHA

提供基于 HMAC 安全散列算法 (SHA) 的身份验证。

V3

authPriv

HMAC-SHA

DES

提供基于 HMAC-SHA 算法的身份验证。除基于密码块链 (CBC) DES (DES-56) 标准的身份验证外,还提供数据加密标准 (DES) 56 位加密。

SNMPv3 安全功能

SNMPv3 通过将在网络上对帧进行身份验证和加密相结合来提供对设备的安全接入。SNMPv3 仅按已配置的用户来授权管理操作,并会加密 SNMP 消息。SNMPv3 基于用户的安全模型 (USM) 是指 SNMP 消息级别安全,并提供以下服务:

  • 消息完整性 - 确保消息未在未经授权的情况下进行修改或销毁,并且数据序列未修改至超出可以非恶意形式出现的程度。

  • 消息来源身份验证 - 确保对用户(系统代表该用户发出此已接收数据)的声明身份进行确认。

  • 消息机密性和加密 - 确保不向未经授权的个人、实体或流程提供或披露信息。

SNMP 支持

机箱为 SNMP 提供下列支持:

针对 MIB 的支持

机箱支持对 MIB 的只读访问。

有关可用的特定 MIB 和在何处获取这些 MIB 的信息,请参阅《思科 FXOS MIB 参考指南 》

适用于 SNMPv3 用户的身份验证协议

机箱针对 SNMPv3 用户支持 HMAC-SHA-96 (SHA) 身份验证协议。

适用于 SNMPv3 用户的 AES 隐私协议

机箱使用高级加密标准 (AES) 作为用于 SNMPv3 消息加密的隐私协议之一并符合 RFC 3826。

隐私密码或 priv 选项提供对 DES 或 128 位 AES 加密的选择,以进行 SNMP 安全加密。如果启用 AES-128 配置并包含 SNMPv3 用户的隐私密码,则机箱使用该隐私密码来生成 128 位 AES 密钥。AES 隐私密码至少可具有八个字符。如果口令用明文指定,您可以指定最多 64 个字符。

启用 SNMP 并配置 SNMP 属性

过程

步骤 1

选择平台设置 (Platform Settings) > SNMP

步骤 2

SNMP 区域中,填写以下字段:

名称 说明

管理实例下拉菜单

如果 MIO 是经理,则默认情况下显示 Native。要配置 SNMP 统一,请从下拉列表中选择威胁防御实例或 ASA(如有)。

 

当您选择本地 (Native) (MIO) 以外的威胁防御实例或 ASA 作为管理器时,此页面上的所有字段都将灰显。

重要

 

配置 SNMP 统一后,请等待 5 分钟,然后继续 SNMP 投票。

管理状态 (Admin State) 复选框

SNMP 已启用还是已禁用。仅当系统包含与 SNMP 服务器的集成时才启用此服务。

端口字段

机箱与 SNMP 主机通信时使用的端口。无法更改默认端口。

社区/用户名 (Community/Username) 字段

(可选)在 SNMP v1 和 v2 中用于轮询的社区字符串。

当您指定 SNMP 社区名称时,也会自动为来自 SNMP 远程管理器的轮询请求启用 SNMP 版本 1 和 2c。此字段不适用于 SNMP v3。

请注意,SNMP 版本 1 和 2c 具有严重的已知安全问题:它们以不加密的方式传输所有信息,包括社区字符串,该字符串充当这些版本中唯一的身份验证形式。

输入介于 1 和 32 个字符之间的字母数字字符串。请勿使用 @(at 符号)、&(与符号)、? (问号)或空格。默认值为 public

如果已设置社区/用户名字段,空字段右侧会显示文本已设置:是。如果社区/用户名 (Community/Username) 字段尚未填充值,空字段右侧会显示文本已设置:否 (Set: No)

 

您可以使用 CLI 命令 set snmp community 删除现有社区字符串,从而为来自 SNMP 远程管理器的轮询请求禁用 SNMP 版本 1 和 2c。

系统管理员名称 (System Administrator Name) 字段

负责 SNMP 实施的联系人。

输入一个字符串,最多 255 个字符,例如邮件地址或姓名和电话号码。

位置字段

SNMP 代理(服务器)运行所在的主机的位置。

输入一个字母数字字符串,最多 510 个字符。

步骤 3

点击保存 (Save)

下一步做什么

创建 SNMP 陷阱和用户。

创建 SNMP 陷阱

以下步骤介绍如何创建 SNMP 陷阱。

最多可以定义八个 SNMP 陷阱。

过程

步骤 1

选择平台设置 (Platform Settings) > SNMP

步骤 2

SNMP 陷阱 (SNMP Traps) 区域中,点击添加 (Add)

步骤 3

添加 SNMP 陷阱 (Add SNMP Trap) 对话框中,填写以下字段:

名称 说明

主机名 (Host Name) 字段

机箱应向其发送陷阱的 SNMP 主机的主机名或 IP 地址。

社区/用户名 (Community/Username) 字段

输入允许访问陷阱目标所需的 SNMPv1/v2c 社区字符串或 SNMPv3 用户名。这必须与为 SNMP 服务配置的社区或用户名相同。

输入介于 1 和 32 个字符之间的字母数字字符串。请勿使用 @(at 号)、\(反斜线)、"(双引号)、? (问号)或空格。

端口字段

机箱与 SNMP 主机通信以布设陷阱时使用的端口。

输入一个介于 1 和 65535 之间的整数。

版本 字段

用于陷阱的 SNMP 版本和型号。这可以是以下其中一项:

  • V1

  • V2

  • V3

 

请注意,SNMP 版本 1 和 2c 具有严重的已知安全问题:它们以不加密的方式传输所有信息,包括社区字符串,该字符串充当这些版本中唯一的身份验证形式。

类型字段

指定要发送的陷阱类型:

  • 陷阱

  • 通知(仅在版本V2 时有效)

v3 权限 (v3 Privilege) 字段

如果选择 V3 版本,请指定与陷阱相关的权限级别:

  • Auth - 身份验证但不加密。

  • Noauth - 没有身份验证或加密。请注意,虽然可以选择,但 FXOS 不支持与 SNMPv3 配合使用此安全级别。

  • Priv - 身份验证和加密。

步骤 4

点击确定 (OK),可关闭添加 SNMP 陷阱 (Add SNMP Trap) 对话框。

步骤 5

点击保存 (Save)

删除 SNMP 陷阱

过程

步骤 1

选择平台设置 (Platform Settings) > SNMP

步骤 2

SNMP 陷阱 (SNMP Traps) 区域中,在与您想要删除的陷阱对应的表的行中点击删除 (Delete) 图标。

创建 SNMPv3 用户

过程

步骤 1

选择平台设置 (Platform Settings) > SNMP

步骤 2

SNMP 用户 (SNMP Users) 区域中,点击添加 (Add)

步骤 3

添加 SNMP 用户 (Add SNMP User) 对话框中,填写以下字段:

名称 说明

名称字段

分配给 SNMPv3 用户的名称。

最多输入 32 个字符。名称必须以字母开头。有效字符包括字母、数字、_(下划线)、. (句点)、@(邮箱符号)和 -(连字符)。

授权类型 (Auth Type) 字段

授权类型:SHA

使用 AES-128 (Use AES-128) 复选框

如果选中此复选框,则此用户使用 AES-128 加密。

 
SNMPv3 不支持 DES。如果未选中 AES-128 框,则不会进行隐私加密,任何配置的隐私密码都不会生效。

密码字段

此用户的密码。

FXOS 拒绝任何不满足以下要求的密码:

  • 必须包含最少 8 个字符,最多 80 个字符。

  • 必须仅包含字母、数字和以下字符:

    ~`!@#%^&*()_-+{}[]|\:;"'<,>./

  • 不得包含以下符号:$(美元符号)、? (问号)或 =(等号)。

  • 必须包含至少 5 个不同的字符。

  • 不得包含过多连续递增或递减数字或字母。例如,字符串“12345”包含四个此类字符,字符串“ZYXW”包含三个此类字符。如果此类字符的总数超过某个限值(通常约大于 4 至 6 个字符),则简单性检查将会失败。

     
    在使用的非递增或递减字符数介于两者之间时,系统不会重置连续递增或递减字符计数。例如,abcd&!21 将致使密码检查失败,但 abcd&!25 不会。

确认密码 (Confirm Password) 字段

用于再次确认的密码。

隐私密码 (Privacy Password) 字段

此用户的隐私密码。

FXOS 拒绝任何不满足以下要求的密码:

  • 必须包含最少 8 个字符,最多 80 个字符。

  • 必须仅包含字母、数字和以下字符:

    ~`!@#%^&*()_-+{}[]|\:;"'<,>./

  • 不得包含以下符号:$(美元符号)、? (问号)或 =(等号)。

  • 必须包含至少 5 个不同的字符。

  • 不得包含过多连续递增或递减数字或字母。例如,字符串“12345”包含四个此类字符,字符串“ZYXW”包含三个此类字符。如果此类字符的总数超过某个限值(通常约大于 4 至 6 个字符),则简单性检查将会失败。

     
    在使用的非递增或递减字符数介于两者之间时,系统不会重置连续递增或递减字符计数。例如,abcd&!21 将致使密码检查失败,但 abcd&!25 不会。

确认隐私密码 (Confirm Privacy Password) 字段

用于再次确认的隐私密码。

步骤 4

点击确定 (OK),可关闭添加 SNMP 用户 (Add SNMP User) 对话框。

步骤 5

点击保存 (Save)

删除 SNMPv3 用户

过程

步骤 1

选择平台设置 (Platform Settings) > SNMP

步骤 2

SNMP 用户 (SNMP Users) 区域中,在与您想要删除的用户对应的表的行中点击删除 (Delete) 图标。

配置 HTTPS

本节介绍如何在 Firepower 4100/9300 机箱上配置 HTTPS。


您可以使用 机箱管理器或 FXOS CLI 更改 HTTPS 端口。所有其他 HTTPS 配置仅可使用 FXOS CLI 完成。

证书、密钥环和受信任点

HTTPS 使用公钥基础设施 (PKI) 的组件在两个设备(例如客户端浏览器和 Firepower 4100/9300 机箱)之间建立安全通信。

加密密钥和密钥环

每个 PKI 设备具有一对非对称 Rivest-Shamir-Adleman (RSA) 加密密钥(其中一个保持为私有,另一个公开),存储在内部密钥环中。用任一密钥加密的消息均可用另一密钥解密。要发送加密消息,发送方使用接收方的公钥加密消息,接收方使用自己的私钥解密消息。发送方也可以通过使用其自有私钥加密(也称为“签名”)已知消息来证明其对公钥的所有权。如果接收方可使用上述公钥成功解密消息,则发送方对相应私钥的所有权得以证明。加密密钥长度可以不同,典型的长度为 512 位至 2048 位。一般来说,秘钥长度越长,安全性就越高。FXOS提供一个默认密钥环,带有 2048 位的初始密钥对,并允许创建更多密钥环。

如果群集名称更改或证书过期,则必须手动重新生成默认密钥环证书。

证书

作为安全通信前的准备,两台设备首先会交换数字证书。证书是包含设备的公钥以及有关设备身份的签名信息的文件。要仅支持加密通信,设备可生成自己的密钥对和自签名证书。远程用户连接至显示自签名证书的设备时,用户无法轻易验证设备身份,且用户浏览器最初会显示身份验证警告。默认情况下,FXOS 包含内置的自签名证书,其中包含来自默认密钥环的公钥。

受信任点

要为 FXOS 提供更强的身份验证,您可从受信任来源或信任点获取并安装确认设备身份的第三方证书。第三方证书由颁发证书的受信任点签署,该受信任点可以是根证书颁发机构 (CA),也可以是中间 CA 或信任锚(通向根 CA 的信任链一部分)。要获取新证书,您必须通过 FXOS 生成证书请求,并将请求提交至受信任点。


重要

证书必须采用 Base64 编码 X.509 (CER) 格式。

创建密钥环

FXOS 最多支持 8 个密钥环,包括默认密钥环。

过程

步骤 1

进入安全模式:

Firepower-chassis # scope security

步骤 2

创建并命名密钥环:

Firepower-chassis # create keyring keyring-name

步骤 3

设置 SSL 密钥长度(以位为单位):

Firepower-chassis # set modulus {mod1024 | mod1536 | mod2048 | mod512}

步骤 4

提交任务:

Firepower-chassis # commit-buffer

示例

以下示例创建密钥大小为 1024 位的密钥环:

Firepower-chassis# scope security
Firepower-chassis /security # create keyring kr220
Firepower-chassis /security/keyring* # set modulus mod1024
Firepower-chassis /security/keyring* # commit-buffer
Firepower-chassis /security/keyring #

下一步做什么

创建该密钥环证书请求。为该密钥环创建证书请求。

重新生成默认密钥环

如果群集名称更改或证书过期,则必须手动重新生成默认密钥环证书。

默认密钥环仅供 FXOS 上的 FCM 使用。

过程

步骤 1

进入安全模式:

Firepower-chassis # scope security

步骤 2

进入默认密钥环的密钥环安全模式:

Firepower-chassis /security # scope keyring default

步骤 3

重新生成默认密钥环:

Firepower-chassis /security/keyring # set regenerate yes

步骤 4

提交任务:

Firepower-chassis # commit-buffer

示例

以下示例重新生成默认密钥环:

Firepower-chassis# scope security
Firepower-chassis /security # scope keyring default
Firepower-chassis /security/keyring* # set regenerate yes
Firepower-chassis /security/keyring* # commit-buffer
Firepower-chassis /security/keyring #

创建密钥环的证书请求

使用基本选项创建密钥环证书请求使用基本选项创建密钥环的证书请求

过程

步骤 1

进入安全模式:

Firepower-chassis # scope security

步骤 2

进入密钥环配置模式:

Firepower-chassis /security # scope keyring keyring-name

步骤 3

使用指定 IPv4 或 IPv6 地址或交换矩阵互联的名称创建证书请求。系统将提示您输入证书请求的密码。

Firepower-chassis /security/keyring # create certreq {ip [ipv4-addr | ipv6-v6] | subject-name name}

步骤 4

提交任务:

Firepower-chassis /security/keyring/certreq # commit-buffer

步骤 5

显示您可以复制并发送至信任锚或证书颁发机构的证书请求:

Firepower-chassis /security/keyring # show certreq

示例

以下示例使用基本选项为密钥环创建并显示具有 IPv4 地址的证书请求:

Firepower-chassis# scope security
Firepower-chassis /security # scope keyring kr220
Firepower-chassis /security/keyring # create certreq ip 192.168.200.123 subject-name sjc04
Certificate request password: 
Confirm certificate request password:
Firepower-chassis /security/keyring* # commit-buffer
Firepower-chassis /security/keyring # show certreq
Certificate request subject name: sjc04
Certificate request ip address: 192.168.200.123
Certificate request e-mail name: 
Certificate request country name: 
State, province or county (full name): 
Locality (eg, city): 
Organization name (eg, company): 
Organization Unit name (eg, section): 
Request:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Firepower-chassis /security/keyring #

下一步做什么

  • 复制证书请求文本(包括开始 [BEGIN] 和结束 [END] 行),并将其保存到文件中。将带有证书请求的文件发送至信任锚或证书颁发机构,以获取密钥环证书。

  • 创建受信任点并设置从信任锚接收的信任证书的证书链。创建受信任点并为从信任锚接收的信任证书设置证书链。

使用高级选项创建密钥环的证书请求

过程

步骤 1

进入安全模式:

Firepower-chassis # scope security

步骤 2

进入密钥环配置模式:

Firepower-chassis /security # scope keyring keyring-name

步骤 3

创建证书请求:

Firepower-chassis /security/keyring # create certreq

步骤 4

指定公司所在国家/地区的国家/地区代码:

Firepower-chassis /security/keyring/certreq* # set country country name

步骤 5

指定与请求相关联的域名服务器 (DNS) 地址:

Firepower-chassis /security/keyring/certreq* # set dns DNS Name

步骤 6

指定与证书请求相关联的邮件地址:

Firepower-chassis /security/keyring/certreq* # set e-mail E-mail name

步骤 7

指定 Firepower 4100/9300 机箱的 IP 地址:

Firepower-chassis /security/keyring/certreq* # set ip {certificate request ip-address|certificate request ip6-address }

步骤 8

指定请求此证书的公司总部所在的城市或城镇:

Firepower-chassis /security/keyring/certreq* # set locality locality name (eg, city)

步骤 9

指定请求证书的组织:

Firepower-chassis /security/keyring/certreq* # set org-name organization name

步骤 10

指定组织单位:

Firepower-chassis /security/keyring/certreq* # set org-unit-name organizational unit name

步骤 11

为证书请求指定可选密码:

Firepower-chassis /security/keyring/certreq* # set password certificate request password

步骤 12

指定请求此证书的公司总部所在的省、市或自治区:

Firepower-chassis /security/keyring/certreq* # set state state, province or county

步骤 13

指定 Firepower 4100/9300 机箱的完全限定域名:

Firepower-chassis /security/keyring/certreq* # set subject-name certificate request name

步骤 14

提交任务:

Firepower-chassis /security/keyring/certreq # commit-buffer

步骤 15

显示您可以复制并发送至信任锚或证书颁发机构的证书请求:

Firepower-chassis /security/keyring # show certreq

示例

对于 2.7 之前的版本,我们建议不要使用不带 FQDN 的“set dns”或“ set subject-name”来提交缓冲区。如果您尝试使用非 FQDN 的 DNS 或使用者名称来创建认证要求,则会导致错误。

以下示例使用高级选项为密钥环创建并显示具有 IPv4 地址的证书请求:

Firepower-chassis# scope security
Firepower-chassis /security # scope keyring kr220
Firepower-chassis /security/keyring # create certreq
Firepower-chassis /security/keyring/certreq* # set "ip 192.168.200.123"
Firepower-chassis /security/keyring/certreq* #  set subject-name "sjc04"
Firepower-chassis /security/keyring/certreq* # set country "US"
Firepower-chassis /security/keyring/certreq* # set dns "bg1-samc-15A"
Firepower-chassis /security/keyring/certreq* # set email "test@cisco.com"
Firepower-chassis /security/keyring/certreq* # set locality "new york city"
Firepower-chassis /security/keyring/certreq* # set org-name "Cisco Systems"
Firepower-chassis /security/keyring/certreq* # set org-unit-name "Testing"
Firepower-chassis /security/keyring/certreq* # set state "new york"
Firepower-chassis /security/keyring/certreq* # commit-buffer
Firepower-chassis /security/keyring/certreq # show certreq
Certificate request subject name: sjc04
Certificate request ip address: 192.168.200.123
Certificate request e-mail name: test@cisco.com
Certificate request country name: US
State, province or county (full name): New York
Locality name (eg, city): new york city
Organization name (eg, company): Cisco
Organization Unit name (eg, section): Testing
Request:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Firepower-chassis /security/keyring/certreq #

下一步做什么

  • 复制证书请求文本(包括开始 [BEGIN] 和结束 [END] 行),并将其保存到文件中。将带有证书请求的文件发送至信任锚或证书颁发机构,以获取密钥环证书。

  • 创建受信任点并设置从信任锚接收的信任证书的证书链。创建受信任点并为从信任锚接收的信任证书设置证书链。

创建受信任点

过程

步骤 1

进入安全模式:

Firepower-chassis # scope security

步骤 2

创建受信任点:

Firepower-chassis /security # create trustpoint name

步骤 3

为此受信任点指定证书信息:

Firepower-chassis /security/trustpoint # set certchain [certchain ]

如果不在命令中指定证书信息,系统将提示您输入证书或信任点列表,定义到根证书授权 (CA) 的证书路径。在您输入信息的下一行,键入 ENDOFBUF 以完成操作。

重要

 

证书必须采用 Base64 编码 X.509 (CER) 格式。

步骤 4

提交任务:

Firepower-chassis /security/trustpoint # commit-buffer

示例

以下示例创建受信任点并提供为受信任点提供证书:

Firepower-chassis# scope security
Firepower-chassis /security # create trustpoint tPoint10
Firepower-chassis /security/trustpoint* # set certchain 
Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort.
Trustpoint Certificate Chain:
> -----BEGIN CERTIFICATE-----
> MIIDMDCCApmgAwIBAgIBADANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJVUzEL
> BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT
> ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG
> 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ
> AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU
> ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl
> GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq
> hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD
> gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU
> Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6
> jtcEMyZ+f7+3yh421ido3nO4MIGeBgNVHSMEgZYwgZOAFLlNjtcEMyZ+f7+3yh42
> 1ido3nO4oXikdjB0MQswCQYDVQQGEwJVUzELMAkGA1UECBMCQ0ExFDASBgNVBAcT
> C1NhbnRhIENsYXJhMRswGQYDVQQKExJOdW92YSBTeXN0ZW1zIEluYy4xFDASBgNV
> BAsTC0VuZ2luZWVyaW5nMQ8wDQYDVQQDEwZ0ZXN0Q0GCAQAwDAYDVR0TBAUwAwEB
> /zANBgkqhkiG9w0BAQQFAAOBgQAhWaRwXNR6B4g6Lsnr+fptHv+WVhB5fKqGQqXc
> wR4pYiO4z42/j9Ijenh75tCKMhW51az8copP1EBmOcyuhf5C6vasrenn1ddkkYt4
> PR0vxGc40whuiozBolesmsmjBbedUCwQgdFDWhDIZJwK5+N3x/kfa2EHU6id1avt
> 4YL5Jg==
> -----END CERTIFICATE-----
> ENDOFBUF
Firepower-chassis /security/trustpoint* # commit-buffer
Firepower-chassis /security/trustpoint #

下一步做什么

从信任锚或证书颁发机构获取密钥环证书并将其导入密钥环。

将证书导入密钥环

开始之前

  • 配置包含密钥环证书的证书链的信任点。

  • 从信任锚或证书颁发机构获取密钥环证书。

如果更改已在 HTTPS 上配置的密钥环中的证书,您必须重新启动 HTTPS 才能使新证书生效。有关详细信息,请参阅:重新启动 HTTPS

过程

步骤 1

进入安全模式:

Firepower-chassis # scope security

步骤 2

进入将接收证书的密钥环的配置模式:

Firepower-chassis /security # scope keyring keyring-name

步骤 3

为从其中获取密钥环证书的信任锚或证书颁发机构指定受信任点:

Firepower-chassis /security/keyring # set trustpoint name

步骤 4

启动用于输入和上传密钥环证书的对话框:

Firepower-chassis /security/keyring # set cert

在提示符后,粘贴从信任锚或证书颁发机构接收到的证书文本。在证书后的下一行,键入 ENDOFBUF 完成证书输入。

重要

 

证书必须采用 Base64 编码 X.509 (CER) 格式。

步骤 5

提交任务:

Firepower-chassis /security/keyring # commit-buffer

示例

以下示例指定信任点并将证书导入密钥环:

Firepower-chassis# scope security
Firepower-chassis /security # scope keyring kr220
Firepower-chassis /security/keyring # set trustpoint tPoint10
Firepower-chassis /security/keyring* # set cert
Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort.
Keyring certificate:
> -----BEGIN CERTIFICATE-----
> MIIB/zCCAWgCAQAwgZkxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEVMBMGA1UE
> BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT
> ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG
> 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ
> AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU
> ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl
> GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq
> hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD
> gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU
> Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6
> mK3Ku+YiORnv6DhxrOoqau8r/hyI/L43l7IPN1HhOi3oha4=
> -----END CERTIFICATE-----
> ENDOFBUF
Firepower-chassis /security/keyring* # commit-buffer
Firepower-chassis /security/keyring #

下一步做什么

使用密钥环配置 HTTPS 服务。

配置 HTTPS


小心

完成 HTTPS 配置(包括更改将由 HTTPS 使用的端口和密钥环)后,一旦保存或提交任务,所有当前 HTTP 和 HTTPS 会话都将关闭,而不显示警告。

过程

步骤 1

进入系统模式:

Firepower-chassis# scope system

步骤 2

进入系统服务模式:

Firepower-chassis /system # scope services

步骤 3

启用 HTTPS 服务:

Firepower-chassis /system/services # enable https

步骤 4

(可选) 指定要用于 HTTPS 连接的端口:

Firepower-chassis /system/services # set https port port-num

步骤 5

(可选) 指定创建用于 HTTPS 的密钥环名称:

Firepower-chassis /system/services # set https keyring keyring-name

步骤 6

(可选) 指定域使用的 Cipher Suite 安全级别:

Firepower-chassis /system/services # set https cipher-suite-mode cipher-suite-mode

cipher-suite-mode 可以是以下关键字之一:

  • high-strength

  • medium-strength

  • low-strength

  • custom - 允许您指定用户定义的 Cipher Suite 规格规范字符串。

步骤 7

(可选) 如果将 cipher-suite-mode 设为custom ,请指定域的 Cipher Suite 安全性自定义级别:

Firepower-chassis /system/services # set https cipher-suite cipher-suite-spec-string

cipher-suite-spec-string 可以包含最多 256 个字符,并且必须符合 OpenSSL Cipher Suite 规范。不得使用任何空格或特殊字符,! (感叹号)、+(加号)、-(连字符)和 :(冒号)除外。有关详细信息,请参阅 http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite

例如,默认情况下,FXOS 使用的中强度规范字符串为: ALL:!ADH:!EXPORT56:!LOW:RC4+RSA:+HIGH:+MEDIUM:+EXP:+eNULL

 

如果将 cipher-suite-mode 设置为除custom 之外的任何其他值,则忽略此选项。

步骤 8

将任务提交到系统配置:

Firepower-chassis /system/services # commit-buffer

示例

以下示例启用 HTTPS,将端口号设置为 443,将密钥环名称设为 kring7984,将 Cipher Suite 安全级别设置为高,并提交任务:

Firepower-chassis# scope system
Firepower-chassis /system # scope services
Firepower-chassis /system/services # enable https
Firepower-chassis /system/services* # set https port 443
Warning: When committed, this closes all the web sessions.
Firepower-chassis /system/services* # set https keyring kring7984
Firepower-chassis /system/services* # set https cipher-suite-mode high
Firepower-chassis /system/services* # commit-buffer
Firepower-chassis /system/services #

更改 HTTPS 端口

默认情况下,在端口 443 上启用 HTTPS 服务。您无法禁用 HTTPS,但可以更改端口,将其用于 HTTPS 连接。

过程

步骤 1

选择平台设置 (Platform Settings) > HTTPS

步骤 2

端口 (Port) 字段中输入要用于 HTTPS 连接的端口。指定一个介于 1 和 65535 之间的整数。默认情况下,在端口 443 上启用此服务。

步骤 3

点击保存 (Save)

使用指定的 HTTPS 端口配置机箱。

更改 HTTPS 端口后,所有当前 HTTPS 会话都将关闭。用户需要使用新端口重新登录 机箱管理器,如下所示:

https://<chassis_mgmt_ip_address>:<chassis_mgmt_port>

其中 <chassis_mgmt_ip_address> 是您在初始配置期间输入的机箱的 IP 地址或主机名,<chassis_mgmt_port> 是您刚刚配置的 HTTPS 端口。

重新启动 HTTPS

如果更改已在 HTTPS 上配置的密钥环中的证书,您必须重新启动 HTTPS 才能使新证书生效。使用以下程序重置具有更新密钥环的 HTTPS。

过程

步骤 1

进入系统模式:

Firepower-chassis# scope system

步骤 2

进入系统服务模式:

Firepower-chassis /system # scope services

步骤 3

将 HTTPS 密钥环恢复为其默认值:

Firepower-chassis /system/services # set https keyring default

步骤 4

将任务提交到系统配置:

Firepower-chassis /system/services # commit-buffer

步骤 5

等待五秒钟。

步骤 6

使用您创建的密钥环来设置 HTTPS:

Firepower-chassis /system/services # set https keyring keyring-name

步骤 7

将任务提交到系统配置:

Firepower-chassis /system/services # commit-buffer

删除密钥环

过程

步骤 1

进入安全模式:

Firepower-chassis # scope security

步骤 2

删除指定密钥环:

Firepower-chassis /security # delete keyring name

步骤 3

提交任务:

Firepower-chassis /security # commit-buffer

示例

以下示例删除密钥环:

Firepower-chassis# scope security
Firepower-chassis /security # delete keyring key10
Firepower-chassis /security* # commit-buffer
Firepower-chassis /security #

删除受信任点

开始之前

确保密钥环未使用受信任点。

过程

步骤 1

进入安全模式:

Firepower-chassis# scope security

步骤 2

删除指定受信任点:

Firepower-chassis /security # delete trustpoint name

步骤 3

提交任务:

Firepower-chassis /security # commit-buffer

示例

以下示例删除受信任点:

Firepower-chassis# scope security
Firepower-chassis /security # delete trustpoint tPoint10
Firepower-chassis /security* # commit-buffer
Firepower-chassis /security #

禁用 HTTPS

过程

步骤 1

进入系统模式:

Firepower-chassis# scope system

步骤 2

进入系统服务模式:

Firepower-chassis /system # scope services

步骤 3

禁用 HTTPS 服务:

Firepower-chassis /system/services # disable https

步骤 4

将任务提交到系统配置:

Firepower-chassis /system/services # commit-buffer

示例

以下示例禁用 HTTPS 并提交任务:

Firepower-chassis# scope system
Firepower-chassis /system # scope services
Firepower-chassis /system/services # disable https
Firepower-chassis /system/services* # commit-buffer
Firepower-chassis /system/services #

配置 AAA

本部分介绍身份验证、授权和记账。有关详细信息,请参阅以下主题:

关于 AAA

验证、授权和记帐 (AAA) 是一组服务,用于控制对网络资源的访问、实施策略、评估使用情况并提供对服务进行计费所需的信息。身份验证用于识别用户。授权用于实施策略,这些策略确定经过身份验证的用户能够访问哪些资源和服务。记账对时间和数据资源进行追踪,这些资源用于计费和分析。这些过程对于高效进行网络管理和安全性而言至关重要。

身份验证

身份验证提供了一种识别每个用户的方法,这种方法通常先请用户输入有效用户名和有效密码,然后再授予访问权限。AAA 服务器会将用户提供的凭证与数据库中存储的用户凭证进行比较。如果凭证匹配,则允许用户访问网络。如果凭证不匹配,则身份验证失败,并拒绝网络访问。

您可以将 Firepower 4100/9300 机箱配置对机箱的管理连接进行身份验证,包括以下会话:

  • HTTPS

  • SSH

  • 串行控制台

授权

授权是执行策略的过程:确定允许每个用户访问哪些类型的活动、资源或服务。进行身份验证后,可能会授权用户执行各种类型的访问或活动。

会计

记账用于测量用户在访问期间使用的资源量,这可以包括系统时间长度或者用户在会话期间发送或接收的数据量。记账是通过记录会话统计信息和使用量信息来执行的,这些信息用于进行授权控制、计费、趋势分析、资源利用率和容量规划活动。

身份验证、授权和记账之间的交互

您可以单独使用身份验证功能,也可以将其与授权和记帐功能配合使用。授权始终要求先对用户进行身份验证。您可以单独使用记账功能,也可以将其与身份验证和授权功能配合使用。

支持的身份验证类型

FXOS 支持以下类型的用户身份验证:

  • 远程 - 支持以下网络 AAA 服务:

    • LDAP

    • RADIUS

    • TACACS+

  • 本地 – 机箱维护一个可用用户配置文件填充的本地数据库。您可以使用此本地数据库代替 AAA 服务器来提供用户身份验证、授权和记帐。

用户角色

FXOS 支持以用户角色分配的形式进行本地和远程授权。可以分配的角色包括:

  • 管理员 - 完成对整个系统的读写访问。默认情况,下会向默认管理员账户分配此角色,并且不能对其进行更改。

  • AAA 管理员 - 对用户、角色和 AAA 配置进行读写访问。对系统其余部分的读取访问。

  • 操作 - 对 NTP 配置、用于智能许可的 Smart Call Home 配置和系统日志(包括系统日志服务器和故障)进行读写访问。对系统其余部分的读取访问。

  • 只读 - 对系统配置进行只读访问,但无权修改系统状态。

有关本地用户和角色分配的详细信息,请参阅用户管理

设置 AAA

这些步骤提供了在 Firepower 4100/9300 设备上设置身份验证、授权和记帐 (AAA) 的基本大纲。

  1. 配置所需的用户身份验证类型:

  2. 指定默认身份验证方式 - 这也是用户管理的一部分。


    如果默认身份验证和控制台身份验证都设置为使用相同的远程身份验证协议(RADIUS、TACACS+ 或 LDAP),不更新这些用户设置就无法更改该服务器配置的某些方面(例如,删除该服务器或更改其分配顺序)。

配置 LDAP 提供程序

配置 LDAP 提供程序的属性

在此任务中配置的属性对于此类型的所有提供程序连接而言是默认设置。如果单个提供程序包括任何这些属性的设置,则 FXOS将使用该设置并忽略默认设置。

如果使用 Active Directory 作为 LDAP 服务器,请在 Active Directory 服务器中创建用户账户以绑定 FXOS。此账户应具有永不过期的密码。

过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 LDAP 选项卡。

步骤 3

属性 (Properties) 区域中,填写以下字段:

名称 说明

超时字段

在系统超时之前,系统尝试连接 LDAP 数据库时将花费的时间长度(以秒为单位)。

请输入一个介于 1 到 60 秒的整数。默认值为 30 秒。该属性为必填项。

属性字段

LDAP 属性,存储用户角色值和区域设置值。此属性始终是一个名称值对。系统会在用户记录中查询匹配此属性的值。

请注意,shell:roles="admin,aaa" 属性值在为 LDAP 提供程序配置属性时是必需的。

基础 DN 字段

LDAP 层级结构中的特定标识名,当远程用户登录并且系统尝试根据其用户名获取用户的 DN 时,服务器应当开始搜索。基础 DN 的长度最大可以是 255 个字符减去 CN=$userid 的长度,其中,$userid 标识尝试使用 LDAP 身份验证访问机箱的远程用户。

此属性是 LDAP 提供程序所必需的。如果没有在此选项卡上指定基础 DN,则必须为自己定义的每个 LDAP 提供程序指定一个基础 DN。

过滤器字段

输入要与 LDAP 服务器一起使用的过滤器属性,例如 cn=$useridsAMAccountName=$userid。LDAP 搜索仅限于那些匹配已定义过滤器的用户名。过滤器必须包含 $userid

该属性为必填项。如果您没有在此选项卡上指定过滤器,则必须为自己定义的每个 LDAP 提供程序指定一个过滤器。

步骤 4

点击保存 (Save)
下一步做什么

创建 LDAP 提供程序。

创建 LDAP 提供程序

按照以下步骤定义和配置 LDAP 提供程序,即为此设备提供基于 LDAP 的 AAA 服务的特定远程服务器。

FXOS最多支持 16 个 LDAP 提供程序。

开始之前

如果使用 Active Directory 作为 LDAP 服务器,请在 Active Directory 服务器中创建用户账户以绑定 FXOS。此账户应具有永不过期的密码。

过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 LDAP 选项卡。

步骤 3

对于要添加的每个 LDAP 提供程序:

  1. LDAP 提供程序 (LDAP Providers) 区域中,点击添加 (Add)

  2. 添加 LDAP 提供程序 (Add LDAP Provider) 对话框中,填写以下字段:

    名称 说明

    主机名/FDQN(或 IP 地址)字段

    LDAP 服务器的主机名或 IP 地址。如果启用了 SSL,此字段必须精确匹配 LDAP 数据库安全认证中的通用名称 (CN)。

    顺序字段

    FXOS使用此提供程序对用户进行身份验证的顺序。

    输入一个介于 1 和 16 之间的整数,或者输入最低可用值0(零),前提是您想让 FXOS根据在 机箱管理器或 FXOS CLI 中定义的其他提供程序分配下一个可用顺序。

    绑定 DN 字段

    LDAP 数据库账户的区别名 (DN),对基础 DN 下的所有对象拥有读取和搜索权限。

    支持的最大字符串长度为 255 个 ASCII 字符。

    基础 DN 字段

    LDAP 层级结构中的特定标识名,当远程用户登录并且系统尝试根据其用户名获取用户的 DN 时,服务器应当开始搜索。基础 DN 的长度可以设置为最大长度 255 个字符减去 CN=$userid 的长度,其中 $userid 标识尝试使用 LDAP 身份验证访问 机箱管理器或 FXOS CLI的远程用户。

    该值为必填项,除非已在 LDAP 选项卡上设置了默认基础 DN。

    端口字段

    机箱管理器或 FXOS CLI与 LDAP 数据库进行通信所使用的端口。标准端口号为 389。

    启用 SSL 复选框

    如果选中,需要对与 LDAP 数据库之间的通信进行加密。如果取消选中,身份验证信息将以明文发送。

    LDAP 使用 STARTTLS。这允许使用端口 389 进行加密通信。

     

    STARTTLS 操作需要在 FXOS 证书链上安装 LDAP 提供程序的 CA 证书。

    过滤器字段

    输入要与 LDAP 服务器一起使用的过滤器属性,例如 cn=$useridsAMAccountName=$userid。LDAP 搜索仅限于那些匹配已定义过滤器的用户名。过滤器必须包含 $userid

    该值为必填项,除非已在 LDAP 选项卡上设置了默认过滤器。

    属性字段

    LDAP 属性,存储用户角色值和区域设置值。此属性始终是一个名称值对。系统在用户记录中查询匹配此属性名称的值。

    该值为必填项,除非已在 LDAP 选项卡上设置了默认属性。

    密钥字段

    绑定 DN (Bind DN) 字段中指定的 LDAP 数据库账户的密码。您可以输入任意标准 ASCII 字符,但空格、§(分节号)、? (问号)或 =(等号)除外。

    确认密钥字段

    重复 LDAP 数据库密码进行确认。

    超时字段

    在系统超时之前,系统尝试连接 LDAP 数据库时将花费的时间长度(以秒为单位)。

    输入一个介于 1 和 60 秒之间的整数,或者输入 0(零),以使用在 LDAP 选项卡上指定的全局超时值。默认值为 30 秒。

    供应商字段

    此选择标识提供 LDAP 提供程序或服务器详细信息的供应商:

    • 如果 LDAP 提供程序是 Microsoft Active Directory,请选择 MS AD

    • 如果 LDAP 提供程序不是 Microsoft Active Directory,请选择打开 LDAP (Open LDAP)

    默认值为打开 LDAP (Open LDAP)

  3. 点击确定 (OK),可关闭添加 LDAP 提供程序 (Add LDAP Provider) 对话框。

步骤 4

点击保存 (Save)

步骤 5

(可选)启用证书吊销列表检查:

Firepower-chassis /security/ldap/server # set revoke-policy {strict | relaxed}

 
此配置仅在启用 SSL 连接后才生效。
删除 LDAP 提供程序
过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 LDAP 选项卡。

步骤 3

LDAP 提供程序 (LDAP Providers) 区域中,在与您想要删除的 LDAP 提供程序对应的表的行中点击删除 (Delete) 图标。

配置 RADIUS 提供程序

配置 RADIUS 提供程序的属性

在此任务中配置的属性对于此类型的所有提供程序连接而言是默认设置。如果单个提供程序包括任何这些属性的设置,则 FXOS 将使用该设置并忽略默认设置。

过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 RADIUS 选项卡。

步骤 3

属性 (Properties) 区域中,填写以下字段:

名称 说明

超时字段

在系统超时之前,系统尝试连接 RADIUS 数据库时将花费的时间长度(以秒为单位)。

请输入一个介于 1 到 60 秒的整数。默认值为 5 秒。

该属性为必填项。

重试字段

请求被视为失败之前的连接重试次数。

步骤 4

点击保存 (Save)
下一步做什么

创建 RADIUS 提供程序。

创建 RADIUS 提供程序

按照以下步骤定义和配置 RADIUS 提供程序,即为此设备提供基于 RADIUS 的 AAA 服务的特定远程服务器。

FXOS最多支持 16 个 RADIUS 提供程序。

过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 RADIUS 选项卡。

步骤 3

对于要添加的每个 RADIUS 提供程序:

  1. RADIUS 提供程序 (RADIUS Providers) 区域中,点击添加 (Add)

  2. 添加 RADIUS 提供程序 (Add RADIUS Provider) 对话框中,填写以下字段:

    名称 说明

    主机名/FDQN(或 IP 地址)字段

    RADIUS 服务器的主机名或 IP 地址。

    顺序字段

    FXOS使用此提供程序对用户进行身份验证的顺序。

    输入一个介于 1 和 16 之间的整数,或者输入最低可用值0(零),前提是您想让 FXOS根据在 机箱管理器或 FXOS CLI 中定义的其他提供程序分配下一个可用顺序。

    密钥字段

    数据库 SSL 加密密钥。您可以输入任意标准 ASCII 字符,但空格、§(分节号)、? (问号)或 =(等号)除外。

    确认密钥字段

    重复 SSL 加密密钥进行确认。

    授权端口字段

    机箱管理器或 FXOS CLI 与 RADIUS 数据库进行通信所使用的端口。有效范围为 1 至 65535。标准端口号为 1700。

    超时字段

    在系统超时之前,系统尝试连接 RADIUS 数据库时将花费的时间长度(以秒为单位)。

    输入一个介于 1 和 60 秒之间的整数,或者输入 0(零),使用在 RADIUS 选项卡上指定的全局超时值。默认值为 5 秒。

    重试字段

    请求被视为失败之前的连接重试次数。

    如果需要,请输入一个介于 0 和 5 之间的整数。如果不指定该值,Cisco Secure Firewall 机箱管理器将使用在 RADIUS 选项卡上指定的值。

  3. 点击确定 (OK),可关闭添加 RADIUS 提供程序 (Add RADIUS Provider) 对话框。

步骤 4

点击保存 (Save)
删除 RADIUS 提供程序
过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 RADIUS 选项卡。

步骤 3

RADIUS 提供程序 (RADIUS Providers) 区域中,在与您想要删除的 RADIUS 提供程序对应的表的行中点击删除 (Delete) 图标。

配置 TACACS+ 提供程序

配置 TACACS+ 提供程序的属性

在此任务中配置的属性对于此类型的所有提供程序连接而言是默认设置。如果单个提供程序配置包括任何这些属性的设置,则 FXOS 将使用该设置并忽略默认设置。


FXOS 机箱不支持终端访问控制器访问控制系统增强型 (TACACS+) 协议的命令审计。
过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 TACACS 选项卡。

步骤 3

属性 (Properties) 区域中,填写以下字段:

名称 说明

超时字段

在系统超时之前,系统尝试连接 TACACS+ 数据库时将花费的时间长度(以秒为单位)。

请输入一个介于 1 到 60 秒的整数。默认值为 5 秒。

该属性为必填项。

步骤 4

点击保存 (Save)
下一步做什么

创建 TACACS+ 提供程序。

创建 TACACS+ 提供程序

按照以下步骤定义和配置 TACACS+ 提供程序,即为此设备提供基于 TACACS 的 AAA 服务的特定远程服务器。

FXOS最多支持 16 个 TACACS+ 提供程序。

过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 TACACS 选项卡。

步骤 3

对于您要添加的每个 TACACS+ 提供程序:

  1. TACACS 提供程序 (TACACS Providers) 区域中,点击添加 (Add)

  2. 添加 TACACS 提供程序 (Add TACACS Provider) 对话框中,填写以下字段:

    名称 说明

    主机名/FDQN(或 IP 地址)字段

    TACACS+ 服务器的主机名或 IP 地址。

    顺序字段

    FXOS使用此提供程序对用户进行身份验证的顺序。

    输入一个介于 1 和 16 之间的整数,或者输入最低可用值0(零),前提是您想让 FXOS根据在 机箱管理器或 FXOS CLI 中定义的其他提供程序分配下一个可用顺序。

    密钥字段

    数据库 SSL 加密密钥。您可以输入任意标准 ASCII 字符,但空格、§(分节号)、? (问号)或 =(等号)除外。

    确认密钥字段

    重复 SSL 加密密钥进行确认。

    端口字段

    机箱管理器或 FXOS CLI 与此 TACACS+ 服务器进行通信所使用的端口。

    输入一个介于 1 和 65535 之间的整数。默认端口为 49。

    超时字段

    在系统超时之前,系统尝试连接 TACACS+ 数据库时将花费的时间长度(以秒为单位)。

    输入一个介于 1 和 60 秒之间的整数,或者输入 0(零),以使用在 TACACS+ 选项卡上指定的全局超时值。默认值为 5 秒。

  3. 点击确定 (OK),可关闭添加 TACACS 提供程序 (Add TACACS Provider) 对话框。

步骤 4

点击保存 (Save)
删除 TACACS+ 提供程序
过程

步骤 1

选择平台设置 (Platform Settings) > AAA

步骤 2

点击 TACACS 选项卡。

步骤 3

TACACS 提供程序 (TACACS Providers) 区域中,在与您想要删除的 TACACS+ 提供程序对应的表的行中点击删除 (Delete) 图标。

配置系统日志

系统日志记录是将来自设备的消息收集到运行系统日志后台守护程序的服务器的方法。将信息记录到中央系统日志服务器有助于汇聚日志和提醒。系统日志服务接受消息并将其存储在文件中,或者根据简单配置文件打印消息。以这种形式记录日志可为日志提供受保护的长期存储。日志对常规故障排除及事件处理均有帮助。

过程

步骤 1

选择平台设置 (Platform Settings) > 系统日志 (Syslog)

步骤 2

配置本地目的:

  1. 点击本地目的 (Local Destinations) 选项卡。

  2. 本地目的 (Local Destinations) 选项卡上,填写以下字段:

    名称 说明

    控制台 (Console) 部分

    管理状态 (Admin State) 字段

    机箱是否在控制台上显示系统日志消息。

    如果您想在控制台上显示系统日志消息并将这些日志消息添加到日志中,请选中启用 (Enable) 复选框。如果取消选中启用 (Enable) 复选框,系统日志消息将会添加到日志中,但不会显示在控制台上。

    级别 (Level) 字段

    如果选中了控制台 - 管理状态 (Console - Admin State)启用 (Enable) 复选框,请选择您想在控制台上显示的最低消息级别。机箱在控制台上显示此级别及以上消息。这可以是以下其中一项:

    • 紧急

    • 提醒

    • 严重

    监视器 (Monitor) 部分

    管理状态 (Admin State) 字段

    机箱是否在监视器上显示系统日志消息。

    如果您想在监视器上显示系统日志消息并将这些日志消息添加到日志中,请选中启用 (Enable) 复选框。如果取消选中启用 (Enable) 复选框,系统日志消息将会添加到日志中,但不会显示在监视器上。

    级别 (Level) 下拉列表

    如果选中了监视器 - 管理状态 (Monitor - Admin State)启用 (Enable) 复选框,请选择您想在监视器上显示的最低消息级别。系统在监视器上显示此级别及以上消息。这可以是以下其中一项:

    • 紧急

    • 提醒

    • 严重

    • 错误

    • 警告

    • 通知

    • 信息

    • 调试

  3. 点击保存 (Save)

步骤 3

配置远程目的:

  1. 点击远程目的 (Remote Destinations) 选项卡。

  2. 远程目的 (Remote Destinations) 选项卡上,为最多三个外部日志填写下列字段,这些日志可以存储机箱生成的消息:

    通过将系统日志消息发送到远程目的,您可以根据外部系统日志服务器上的可用磁盘空间存档消息,并在保存日志记录数据后对其进行处理。例如,可以指定在记录特定类型的系统日志消息后要执行的操作,从日志提取数据并将记录保存到其他文件以进行报告,或者使用特定于站点的脚本跟踪统计信息。

    名称 说明

    管理状态 (Admin State) 字段

    如果您想在远程日志文件中存储系统日志消息,请选中启用 (Enable) 复选框。

    级别 (Level) 下拉列表

    选择您想让系统存储的最低消息级别。系统在远程文件中存储此级别及以上消息。这可以是以下其中一项:

    • 紧急

    • 提醒

    • 严重

    • 错误

    • 警告

    • 通知

    • 信息

    • 调试

    主机名/IP 地址 (Hostname/IP Address) 字段

    远程日志文件所驻留的主机名或 IP 地址。

     

    如果使用主机名而不使用 IP 地址,必须配置 DNS 服务器。

    设备 (Facility) 下拉列表

    为系统日志服务器选择要用作文件消息基础的系统日志设备。这可以是以下其中一项:

    • Local0

    • Local1

    • Local2

    • Local3

    • Local4

    • Local5

    • Local6

    • Local7

  3. 点击保存 (Save)

步骤 4

配置本地来源:

  1. 点击本地来源 (Local Sources) 选项卡。

  2. 本地源 (Local Sources) 选项卡上,填写以下字段:

    名称 说明

    故障管理状态 (Faults Admin State) 字段

    是否启用系统故障日志记录。如果选中启用 (Enable) 复选框,机箱将记录所有系统故障。

    审核管理状态 (Audits Admin State) 字段

    是否启用审核日志记录。如果选中启用 (Enable) 复选框,机箱将记录所有审核日志事件。

    事件管理状态 (Events Admin State) 字段

    是否启用系统事件日志记录。如果选中 启用 (Enable) 复选框,机箱将记录所有系统事件。

  3. 点击保存 (Save)

配置 DNS 服务器

如果系统要求将主机名解析为 IP 地址,您需要指定 DNS 服务器。例如,如果不配置 DNS 服务器,当您在机箱上配置设置时,不能使用 www.cisco.com 等名称。您可能需要使用服务器的 IP 地址,其可以是 IPv4 或 IPv6 地址。您最多可以配置 4 个 DNS 服务器。


配置多个 DNS 服务器时,系统仅以任意随机顺序搜索服务器。如果本地管理命令要求 DNS 服务器查询,它只能以随机顺序搜索 3 个 DNS 服务器。

过程

步骤 1

选择平台设置 (Platform Settings) > DNS

步骤 2

选中启用 DNS 服务器 (Enable DNS Server) 复选框。

步骤 3

对于您要添加的每个 DNS 服务器(最多 4 个),请在 DNS 服务器 (DNS Server) 字段中输入 DNS 服务器的 IP 地址,点击添加 (Add)

步骤 4

点击保存 (Save)

启用 FIPS 模式

执行以下步骤,以在 Firepower 4100/9300 机箱上启用 FIPS 模式。

过程

步骤 1

以管理员用户身份登录 Firepower 4100/9300 机箱

步骤 2

选择Platform Settings 以打开“平台设置”页面。

步骤 3

选择 FIPS/CC mode以打开“FIPS 和常用标准”窗口。

步骤 4

选中 FIPS 所对应的Enable 复选框。

步骤 5

点击Save 保存配置。

步骤 6

按照提示重新启动系统。

如果已启用 FIPS 模式,则会限制允许的密钥大小和算法。MIO 会使用 CiscoSSL 和 FIPS 对象模块 (FOM) 来满足其加密需求。与 ASA 的专有加密库实施和硬件加速相比,它会让 FIPS 验证变得更容易。

下一步做什么

在 FXOS 版本 2.0.1 之前,首次设置设备时创建的现有 SSH 主机密钥被硬编码为 1024 位。要符合 FIPS 和 Common Criteria 认证需求,您必须销毁此旧主机密钥,并使用生成 SSH 主机密钥中的详细操作步骤生成新的主机密钥。如果不执行这些附加步骤,则在 FIPS 模式启用的情况下,设备重新启动后,将无法使用 SSH 连接到主控管理引擎。如果您使用 FXOS 2.0.1 或更高版本执行初始设置,则无需生成新的主机密钥。

启用通用标准模式

执行以下步骤,在 Firepower 4100/9300 机箱上启用通用标准模式。

过程

步骤 1

以管理员用户身份登录 Firepower 4100/9300 机箱

步骤 2

选择Platform Settings 以打开“平台设置”页面。

步骤 3

选择 FIPS/CC mode以打开“FIPS 和常用标准”窗口。

步骤 4

选中“通用标准”所对应的Enable 复选框。

步骤 5

点击Save 保存配置。

步骤 6

按照提示重新启动系统。

通用标准是计算机安全的国际标准。CC 侧重于证书、审核、日志记录、密码、TLS、SSH 等。它基本上假设达到 FIPS 合规性要求。与 FIPS 类似,思科与 NIST 认证的实验室供应商签订合同,以便执行测试并提交至 NIAP。

启用 CC 模式时,它会限制需要支持的算法、密码套件和功能的列表。根据网络设备协作保护配置文件 (NDcPP) 来评估 MIO。CiscoSSL 只能执行部分要求,其中大部分要求在《CC 合规性指南》中均有介绍。

下一步做什么

在 FXOS 版本 2.0.1 之前,首次设置设备时创建的现有 SSH 主机密钥被硬编码为 1024 位。要符合 FIPS 和 Common Criteria 认证需求,您必须销毁此旧主机密钥,并使用生成 SSH 主机密钥中的详细操作步骤生成新的主机密钥。如果不执行这些附加步骤,则在“通用标准 (Common Criteria)”模式启用的情况下,设备重新启动后,将无法使用 SSH 连接到管理引擎。如果您使用 FXOS 2.0.1 或更高版本执行初始设置,则无需生成新的主机密钥。

配置 IP 访问列表

默认情况下,Firepower 4100/9300 机箱拒绝对本地 Web 服务器的所有访问。您必须使用每个 IP 块的允许服务列表配置 IP 访问列表。

IP 访问列表支持以下协议:

  • HTTPS

  • SNMP

  • SSH

对于各 IP 地址块(v4 或 v6),可为各服务配置最多 100 个不同子网。子网 0 和前缀 0 允许无限制无限访问服务。

过程

步骤 1

以管理员用户身份登录 Firepower 4100/9300 机箱

步骤 2

选择Platform Settings 以打开“平台设置”页面。

步骤 3

选择 Access List,以打开“访问列表”区域。

步骤 4

在此区域中,您可以查看、添加和删除 IP 访问列表中列出的 IPv4 和 IPv6 地址。

要添加 IPv4 块,必须输入有效的 IPv4 IP 地址(前缀 [0-32] 长度)并选择协议。

要添加 IPv6 块,必须输入有效的 IPv6 IP 地址(前缀 [0-128] 长度)并选择协议。

为容器实例接口添加 MAC 池前缀,并查看其 MAC 地址

FXOS 机箱会自动为容器实例接口自动生成 MAC 地址,以确保各个实例中的共享接口使用唯一的 MAC 地址。FXOS 机箱使用以下格式生成 MAC 地址:

A2xx.yyzz.zzzz

其中, xx.yy 是用户定义的前缀或系统定义的前缀,zz.zzzz 是由机箱生成的内部计数器。系统定义的前缀与已在 IDPROM 中编程的烧录 MAC 地址池中的第一个 MAC 地址的 2 个低位字节相匹配。使用 connect fxos ,然后通过 show module 查看 MAC 地址池。例如,如果显示的适用于模块 1 的 MAC 地址范围为 b0aa.772f.f0b0 至 b0aa.772f.f0bf,则系统前缀将是 f0b0。

有关详细信息,请参阅容器实例接口的自动 MAC 地址

此程序介绍如何查看 MAC 地址,以及如何选择性地定义生成所使用的前缀。

如果您在部署逻辑设备后更改了 MAC 地址前缀,则可能会遇到流量中断现象。

过程

步骤 1

选择平台设置 > MAC 池

此页面显示以及容器实例和使用 MAC 地址的接口生成的 MAC 地址。

步骤 2

(可选) 添加生成 MAC 地址时所使用的 MAC 地址前缀。

  1. 点击添加前缀

    系统将显示设置 MAC 池前缀对话框。

  1. 输入一个介于 1 和 65535 之间的十进制值。此前缀会转换为一个四位数的十六进制数字,并用作 MAC 地址的一部分。

    如何使用前缀的示例如下:如果将前缀设置为 77,则机箱会将 77 转换为十六进制值 004D (yyxx)。在 MAC 地址中使用时,该前缀会反转 (xxyy),以便与机箱的本地形式匹配:

    A24D.00zz.zzzz

    对于前缀 1009 (03F1),MAC 地址为:

    A2F1.03zz.zzzz

  2. 点击确定

    系统会生成并分配使用该前缀的新 MAC 地址。当前前缀和生成的十六进制值则显示在表格上方。

为容器实例添加资源配置文件

要指定每个容器实例的资源使用情况,请创建一个或多个资源配置文件。部署逻辑设备/应用实例时,请指定想要使用的资源配置文件。资源配置文件会设置 CPU 核心数量;系统会根据核心数量动态分配 RAM,并将每个实例的磁盘空间设为 40 GB。

  • 最小核心数量为 6。

    与具有较大内核数量的实例相比,具有较小核心数量的实例可能具有相对更高的 CPU 利用率。具有较小核心数量的实例对流量负载变化更敏感。如果出现流量丢弃情况,请尝试分配更多核心。

  • 您可以分配偶数(6、8、10、12、14 等)个核心,乃至最大值。

  • 最大可用核心数取决于安全模块/机箱型号,请参阅容器实例的要求和前提条件

机箱包括一个命名为 "Default-Small" 的默认资源配置文件,此文件包括最小核心数。您可以更改此配置文件定义,甚至可在未使用情况下将其删除。请注意,此配置文件在机箱重新加载且系统上不存在任何其他配置文件时创建而成。

如果当前正在使用,则无法更改资源配置文件设置。必须禁用使用此文件的任何实例,然后更改资源配置文件,最后重新启用该实例。如果调整已建立高可用性对或集群中实例的大小,稍后应尽可能快地确保所有成员大小一致。

如果在将威胁防御实例添加到管理中心后更改资源配置文件设置,稍后应在管理中心 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 系统 (System) > 清单 (Inventory) 对话框上更新每个设备的清单。

过程

步骤 1

选择平台设置 (Platform Settings) > 资源配置文件 (Resource Profiles),然后点击添加 (Add)

系统将显示添加资源配置文件对话框。

步骤 2

设置以下参数。

  • Name - 设置介于 1 和 64 个字符之间的配置文件名称。请注意,此配置文件名称添加后无法更改。

  • Description - 设置最多 510 个字符的配置文件说明。

  • Number of Cores - 设置介于 6 和最大值之间的配置文件核心数(偶数),具体取决于机箱。

步骤 3

点击确定 (OK)

配置网络控制策略

为允许发现非思科设备,FXOS 支持链路层发现协议 (LLDP),这是一个独立于供应商的设备发现协议,在 IEEE 802.1ab 标准中定义。LLDP 允许网络设备将自身信息通告给网络中的其他设备。此协议在数据链路层上运行,它使运行不同网络的两个系统可以了解彼此。

LLDP 是一种单向协议,它传输设备及其接口的功能和当前状态信息。LLDP 设备使用该协议来仅从其他 LLDP 设备请求信息。

要在 FXOS 机箱上启用此功能,您可以配置网络控制策略,用于指定 LLDP 传输和接收行为。网络控制策略创建后,需要分配至接口。您可以启用包括非模块化端口、EPM 端口、端口通道和分支端口在内的任何前接口上的 LLDP。

  • 无法在专用管理端口上配置 LLDP。

  • 连接到刀片的内部背板端口默认启用 LLDP 且未设禁用选项。所有其他端口均默认禁用 LLDP。

过程

步骤 1

选择平台设置 (Platform Settings) > 网络控制策略 (Network Control Policy)

步骤 2

点击添加 (Add)

步骤 3

在“网络控制策略”(Network Control Policy) 对话框中,编辑以下字段:

名称 说明

名称字段

网络控制策略的唯一名称。

LLDP 接收复选框

使 FXOS 能够接收 LLDP 数据包。

LLDP 传输

复选框

使 FXOS 能够传输 LLDP 数据包。

说明字段

网络控制策略说明。

步骤 4

点击保存 (Save)。创建网络控制策略后,必须将其分配给接口。有关使用网络控制策略编辑和配置接口的步骤,请参阅配置物理接口

配置机箱 URL

可以指定管理 URL,以便直接从 管理中心 轻松打开 威胁防御 实例的 机箱管理器。如果未指定机箱管理 URL,则使用机箱名称。

如果在将 威胁防御 实例添加到 管理中心 后更改机箱 URL 设置,稍后应在设备 > 设备管理 > 设备 > 系统 > 库存对话框上更新每个设备的库存。

过程

步骤 1

选择平台设置 > 机箱 URL

步骤 2

设置以下参数。

  • 机箱名称 - 设置介于 1 至 60 个字符之间的机箱名称。

  • 机箱 URL - 设置 管理中心 应该用于连接到 机箱管理器威胁防御 实例的 URL。URL 必须以 https:// 开头。如果未指定机箱管理 URL,则使用机箱名称。

步骤 3

点击更新