使用 Cisco Secure Firewall Management Center 来管理 Cisco Secure Firewall Threat Defense Virtual

本章介绍如何部署使用 管理中心 管理的独立式 threat defense virtual 设备。


本文档涵盖最新 threat defense virtual 版本的功能。如果您使用的是旧版本的软件,请参考您的版本的《管理中心 配置指南》中的步骤。

关于具有 Cisco Secure Firewall Management CenterCisco Secure Firewall Threat Defense Virtual

Cisco Secure Firewall Threat Defense Virtual 是思科 NGFW 解决方案的虚拟化组件。threat defense virtual 提供各种下一代防火墙服务,包括状态防火墙、路由、下一代入侵防御系统 (NGIPS)、应用可视性与可控性 (AVC)、URL 过滤,以及恶意软件防护。

您可以使用 管理中心 管理 threat defense virtual,这是一个功能齐全的多设备管理器,位于单独的服务器上。threat defense virtual 向您分配给 threat defense virtual 计算机的管理接口上的 管理中心 注册并与之通信。

threat defense virtual 向您分配给 threat defense virtual 计算机的管理接口上的 管理中心 注册并与之通信。

要进行故障排除,您可以使用管理接口上的 SSH 访问 威胁防御 CLI,也可以从 管理中心 CLI 连接到 威胁防御

本章介绍如何部署使用 管理中心 管理的独立式 Threat Defense Virtual 设备。有关 管理中心 的详细配置信息,请参阅《管理中心管理指南》《管理中心设备配置指南》

有关安装 管理中心 的信息,请参阅《Cisco Firepower Management Center 1600、2600 和 4600 硬件安装指南》《Management Center Virtual 入门指南》

登录至 Cisco Secure Firewall Management Center

使用管理中心配置并监控威胁防御

开始之前

有关受支持浏览器的信息,请参阅您所用版本的发行说明(参阅https://www.cisco.com/go/firepower-notes)。

过程

步骤 1

使用支持的浏览器输入以下 URL。

https://fmcv_ip_address

fmc_ip_address 标识 管理中心 的 IP 地址或主机名。

 

特定于 IPv6 的 https://[fmcv_ipv6_public_address]

步骤 2

输入您的用户名和密码。

步骤 3

点击登录

Cisco Secure Firewall Management Center 注册设备。

开始之前

确保 threat defense virtual 计算机已部署成功、已接通电源并且已首次完成其启动程序。


此过程假定您通过 day0/bootstrap 脚本为 管理中心 提供了的注册信息。但是,可以稍后在 CLI 中使用 configure network 命令更改所有这些设置。请参阅Cisco Secure Firewall Threat Defense 命令参考

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management)

步骤 2

添加 (Add)下拉列表选择添加设备 (Add Device),然后输入以下参数。

  • 主机 - 输入要添加的设备的 IP 地址 (IPv4 和 IPv6)在启用 IPv6 设置的情况下,主机名中可以包含 Ipv4 或 Ipv6。

  • 显示名称 (Display Name) - 输入要在 管理中心 中显示的设备名称。

  • 注册密钥 (Registration Key) - 输入您在 threat defense virtual 引导程序配置中指定的注册密钥。

  • 域 (Domain) - 如果有多域环境,请将设备分配给分叶域。

  • 组 (Group) - 如果在使用组,则将其分配给设备组。

  • 访问控制策略 (Access Control Policy) - 选择初始策略。除非已经拥有您知道自己需要使用的自定义策略,否则选择新建策略 (Create new policy),然后选择阻止所有流量 (Block all traffic)。之后您可以更改此设置以允许流量通过;请参阅配置访问控制

  • 智能许可 (Smart Licensing) - 为要部署的功能分配所需的智能许可证:Malware(如果您打算使用恶意软件防御检查)、Threat(如果您打算使用入侵防御)、URL (如果您打算实施基于类别的 URL 过滤)。

  • 唯一 NAT ID (Unique NAT ID) - 指定您在 threat defense virtual 启动程序配置中指定的 NAT ID。

  • 转移数据包 (Transfer Packets) - 可让设备将数据包传输至 管理中心。如果在启用此选项时触发了 IPS 或 Snort 等事件,设备会将事件元数据信息和数据包数据发送到 管理中心进行检测。如果禁用此选项,只有事件信息会发送到 管理中心,数据包数据不发送。

步骤 3

点击注册 (Register),并确认注册成功。

如果注册成功,设备将添加到列表中。如果注册失败,您会看到一则错误消息。如果 threat defense virtual注册失败,请检查以下项:

  • Ping - 访问 威胁防御 CLI (访问Cisco Secure Firewall Threat Defense CLI),然后使用以下命令 ping 管理中心 IP 地址:

    ping system ip_address

    如果 ping 不成功,使用 show network 命令检查网络设置。如果需要更改 威胁防御IP 地址,使用 configure network {ipv4 | ipv6} manual or DHCP 命令。

  • NTP - 确保 NTP 服务器与系统 (System) > 配置 (Configuration) > 时间同步 (Time Synchronization)页面上的 管理中心 服务器设定一致。

  • 注册密钥、NAT ID 和管理中心 IP 地址 - 确保在两个设备上使用相同的注册密钥和 NAT ID(如有使用)。可以在threat defense virtual使用 configure manager add DONTRESOLVE<registrationkey> <NATID> 命令设定注册密钥和 NAT ID。也可以使用此命令更改 管理中心IP 地址。

配置基本安全策略

本部分介绍如何使用以下设置配置基本安全策略:

  • 内部和外部接口 - 为内部接口分配静态 IP 地址,并将 DHCP 用作外部接口。

  • DHCP 服务器 - 在内部接口上为客户端使用 DHCP 服务器。

  • 默认路由 - 通过外部接口添加默认路由。

  • NAT - 在外部接口上使用接口 PAT。

  • 访问控制 - 允许流量从内部传到外部。

过程

步骤 1

配置接口

步骤 2

配置 DHCP 服务器

步骤 3

添加默认路由

步骤 4

配置 NAT

步骤 5

配置访问控制

步骤 6

部署配置

配置接口

启用 threat defense virtual接口,为其分配安全区域并设置 IP 地址。通常,您必须至少配置两个接口才能让系统传递有意义的流量。通常,您将拥有面向上游路由器或互联网的外部接口,以及组织网络的一个或多个内部接口。其中一些接口可能是“隔离区”(DMZ),您可以在其中放置可公开访问的资产,例如 Web 服务器。

典型的边缘路由情况是通过 DHCP 从 ISP 获取外部接口地址,同时在内部接口上定义静态地址。

以下示例使用 DHCP 在接口内部配置了一个路由模式(含静态地址),并在接口外部配置了一个路由模式。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management),然后点击设备的编辑编辑图标

步骤 2

点击接口 (Interfaces)

步骤 3

点击要用于内部的接口的编辑编辑图标

此时将显示一般 (General) 选项卡。

  1. 输入长度最大为 48 个字符的名称 (Name)

    例如,将接口命名为 inside

  2. 选中启用 (Enabled) 复选框。

  3. 模式 (Mode) 保留为无 (None)

  4. 安全区域 (Security Zone) 下拉列表中选择一个现有的内部安全区域,或者点击新建 (New) 添加一个新的安全区域。

    例如,添加一个名为 inside_zone 的区域。必须将每个接口分配给安全区域和/或接口组。每个接口只能属于一个安全区域,但可以同时属于多个接口组。您可以根据区域或组应用安全策略。例如,您可以将内部接口分配到内部区域,而将外部接口分配到外部区域。然后可以配置访问控制策略,允许流量从内部传到外部,但不允许从外部传入内部。大多数策略仅支持安全区域;您可以在 NAT 策略、预过滤器策略和 QoS 策略中使用区域或接口组。

  5. 点击 IPv4 和/或 IPv6 选项卡。

    • IPv4 - 从下拉列表中选择使用静态 IP (Use Static IP),然后以斜杠表示法输入 IP 地址和子网掩码,或者输入 DHCP 选项。

      例如,输入 192.168.1.1/24

    • IPv6 - 选中无状态自动配置以及 IPv6 DHCP 或静态配置的自动配置 (Autoconfiguration) 复选框以启用接口。

  6. 点击确定 (OK)

步骤 4

点击要用于外部的接口的 编辑编辑图标

此时将显示一般 (General) 选项卡。

  1. 输入长度最大为 48 个字符的 Name

    例如,将接口命名为 outside

  2. 选中启用 (Enabled) 复选框。

  3. 模式 (Mode) 保留为无 (None)

  4. 安全区域 (Security Zone) 下拉列表中选择一个现有的外部安全区域,或者点击新建 (New) 添加一个新的安全区域。

    例如,添加一个名为 outside_zone 的区域。

  5. 点击 IPv4 和/或 IPv6 选项卡。

    • IPv4 - 选择使用 DHCP (Use DHCP),然后配置以下选填参数:

      • 使用 DHCP 获取默认路由 (Obtain default route using DHCP) - 从 DHCP 服务器获取默认路由。

      • DHCP 路由指标 (DHCP route metric) - 分配到所获悉路由的管理距离,介于 1 和 255 之间。获悉的路由的默认管理距离为 1。

    • IPv6 - 为无状态自动配置选中自动配置 (Autoconfiguration) 复选框。

  6. 点击确定 (OK)

步骤 5

点击保存 (Save)

配置 DHCP 服务器

如果要部署到公共云环境(例如 AWS、Azure、GCP、OCI),请跳过此程序。

如果希望客户端使用 DHCP 从 threat defense virtual处获取 IP 地址,请启用 DHCP 服务器。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management),然后点击设备的编辑编辑图标

步骤 2

选择 DHCP > DHCP 服务器 (DHCP Server)

步骤 3

服务器 (Server) 页面上点击添加 (Add),然后配置以下选项:

  • 接口 (Interface) - 从下拉列表中选择接口。

  • 地址池 (Address Pool) - DHCP 服务器使用的 IP 地址的范围(从最低到最高)。IP 地址范围必须与选定接口位于相同的子网上,且不能包括接口自身的 IP 地址。

  • 启用 DHCP 服务器 (Enable DHCP Server) - 在所选接口上启用 DHCP 服务器。

步骤 4

点击确定 (OK)

步骤 5

点击保存 (Save)

添加默认路由

默认路由通常指向可从外部接口访问的上游路由器。如果您将 DHCP 用作外部接口,则您的设备可能已经收到了默认路由。如果需要手动添加路由,则遵照此程序执行。如果收到来自 DHCP 服务器的默认路由,其将显示在设备 (Devices) > 设备管理 (Device Management) > 路由 (Routing) > 静态路由 (Static Route) 页面上的 IPv4 路由 (IPv4 Routes) 或or IPv6 路由 (IPv6 Routes) 表中。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management),然后点击设备的编辑编辑图标

步骤 2

选择路由 (Route) > 静态路由 (Static Route),点击添加路由 (Add Route),然后设置以下项:

  • 类型 (Type) - 根据要添加静态路由的类型,点击 IPv4 IPv6 单选按钮。

  • 接口 (Interface) - 选择出口接口;通常是外部接口。

  • 可用网络 (Available Network) - 为 IPv4 默认路由选择 any-ipv4,或者为 IPv6 默认路由选择 any-ipv6

  • 网关 (Gateway) IPv6 网关 (IPv6 Gateway) - 输入或选择作为此路由的下一个跃点的网关路由器。您可以提供 IP 地址或网络/主机对象。

  • 指标 (Metric) - 输入到目标网络的跃点数。有效值范围为 1 到 255;默认值为 1。

步骤 3

点击确定 (OK)

路由即已添加至静态路由表。

步骤 4

点击保存 (Save)

配置 NAT

典型的 NAT 规则会将内部地址转换为外部接口 IP 地址上的端口。这类 NAT 规则称为接口端口地址转换 (PAT)

过程

步骤 1

选择设备 (Devices) > NAT,然后点击新策略 (New Policy) > 威胁防御 NAT (Threat Defense NAT)

步骤 2

为策略命名,选择要使用策略的设备,然后点击Save

策略即已添加 管理中心。您仍然需要为策略添加规则。

步骤 3

点击添加规则 (Add Rule)

Add NAT Rule 对话框将显示。

步骤 4

配置基本规则选项:

  • NAT 规则 (NAT Rule) - 选择自动 NAT 规则 (Auto NAT Rule)

  • 类型 (Type) - 选择动态 (Dynamic)

步骤 5

Interface Objects 页面,将 Available Interface Objects 区域中的外部区域添加到 Destination Interface Objects 区域。

步骤 6

转换 (Translation) 页面上配置以下选项:

  • 原始源 (Original Source) - 点击添加添加图标 为所有 IPv4 流量添加网络对象 (0.0.0.0/0)。

     

    您不能使用系统定义的 any-ipv4 对象,因为自动 NAT 规则在对象定义过程中添加 NAT,并且您无法编辑系统定义的对象。

    同样,您也可以为所有 IPv6 流量创建默认主机网络 [::/0] 的 NAT 策略。

  • 转换的源 (Translated Source) - 选择目标接口 IP (Destination Interface IP)

步骤 7

点击保存 (Save) 以添加规则。

规则即已保存至 Rules 表。

步骤 8

点击 NAT 页面上的保存 (Save) 以保存更改。

配置访问控制

如果您在使用 管理中心注册 threat defense virtual 时创建了基本的封锁所有流量访问控制策略,则需要向策略添加规则以允许流量通过设备。以下程序可添加规则以允许从内部区域到外部区域的流量。如有其他区域,请务必添加允许流量到适当网络的规则。

请参阅《防火墙管理中心配置指南》《 配置指南》以配置更高级的安全设置和规则。

过程

步骤 1

选择策略 (Policy) > 访问策略 (Access Policy) > 访问策略 (Access Policy),然后点击分配给 威胁防御 的访问控制策略的 编辑编辑图标

步骤 2

点击添加规则 (Add Rule) 并设置以下参数:

  • 名称 (Name) - 为此规则命名,例如 inside_to_outside

  • 源区域 (Source Zones) - 从可用区域 (Available Zones) 中选择内部区域,然后点击添加到源 (Add to Source)

  • 目标区域 (Destination Zones) - 从可用区域 (Available Zones) 中选择外部区域,然后点击添加到目标 (Add to Destination)

其他设置保留原样。

步骤 3

点击添加 (Add)

规则即已添加至 Rules 表。

步骤 4

点击保存 (Save)

部署配置

将配置更改部署到 threat defense virtual;在部署之前,您的所有更改都不会在设备上生效。

过程

步骤 1

点击右上方的部署 (Deploy)

步骤 2

选择部署策略 (Deploy Policies) 对话框中的设备,然后点击部署 (Deploy)

步骤 3

确保部署成功。点击菜单栏中部署 (Deploy) 按钮右侧的图标可以查看部署状态。

访问Cisco Secure Firewall Threat Defense CLI

您可以使用 threat defense virtualCLI 更改管理接口参数并进行故障排除。要访问 CLI,可以使用管理接口上的 SSH,也可以从 VMware 控制台连接。

过程

步骤 1

(选项 1)通过 SSH 直接连接到 threat defense virtual 管理接口的 IP 地址。

在部署虚拟机时,您需要设置管理 IP 地址。使用 admin 帐户和初始部署期间设定的密码登录 threat defense virtual

步骤 2

(选项 2)打开 VMware 控制台并使用默认用户名 admin 帐户和初始部署期间设定的密码登录。