使用 云交付的防火墙管理中心 来管理 Cisco Secure Firewall Threat Defense Virtual

本章介绍如何部署使用 云交付的防火墙管理中心 管理的 threat defense virtual 设备。

载入概述

云交付的防火墙管理中心 在运行 Cisco Secure Firewall 版本 7.0.3、7.2.0 及更高版本的 Threat Defense Virtual 设备上受支持。要查看所有支持的版本和产品兼容性,请参阅《Cisco Secure Firewall Threat Defense 兼容性指南》以了解详细信息。

在三种不同类型的场景中,您可以将 Threat Defense Virtual 设备载入云交付的 Firewall Management Center:

  • 载入新的 Threat Defense Virtual 设备

  • 载入当前由设备管理器管理的 Threat Defense Virtual 设备

    如果您将设备管理器管理的设备载入 云交付的防火墙管理中心,则无法再使用设备管理器来管理设备。

  • 载入当前由本地管理中心管理的 Threat Defense Virtual 设备。有关详细信息,请参阅将安全防火墙威胁防御迁移到云

    将设备移动或迁移到 云交付的防火墙管理中心 时会发生以下情况:

    • 如果您从本地管理中心或 Cisco Secure Firewall Threat Defense 设备管理器中删除要载入 云交付的防火墙管理中心 的设备,则管理器的更改会擦除通过本地管理中心配置的任何策略。

    • 如果将设备从本地管理中心迁移到 云交付的防火墙管理中心,则该设备将保留您之前配置的大多数策略。

    如果您不知道您的设备是否已由备用管理器管理,请在设备的 CLI 中使用 show managers 命令。

本指南提供有关使用 云交付的防火墙管理中心 来管理 Threat Defense Virtual 的基础知识。有关 安全云控制的更多详细信息,请参阅 思科安全云控制

将设备载入 云交付的防火墙管理中心的前提条件

载入限制和要求

将设备载入 云交付的防火墙管理中心时,请注意以下限制:

  • 设备 必须 运行 7.0.3 版本或 7.2 或更高版本。我们 强烈 建议使用 7.2 或更高版本。

  • 您可以按照 迁移 FTD 到云交付的防火墙管理中心 流程来迁移由 本地防火墙管理中心 管理的 HA 对。在迁移之前,确认两个对等体都处于正常状态。

  • 只有配置为本地管理且由 设备管理器 管理的设备才能使用序列号和 零接触调配 方法载入。

  • 如果设备由 本地管理中心管理,您可以将设备载入或迁移到 云交付的防火墙管理中心 。迁移会保留任何现有策略和对象,而载入设备会删除大多数策略和所有对象。有关详细信息,请参阅 将 FTD 迁移到云交付的防火墙管理中心

  • 如果您的设备当前由 设备管理器管理,请在将设备载入之前取消注册所有智能许可证。即使您切换了设备管理,思科智能软件管理器仍将保留智能许可证。

  • 如果您之前载入了由 设备管理器 管理的设备,并从 安全云控制 中删除了该设备,以便重新载入以进行云管理,则 必须 在删除设备后将 设备管理器 注册到 安全服务交换 云。请参阅《Firepower 和思科 SecureX 威胁响应集成指南》中的“访问安全服务交换”章节。


提示

将设备载入到 云交付的防火墙管理中心 会删除通过上一个管理器配置的任何策略和大多数对象。如果您的设备当前由 本地管理中心管理,则可以迁移设备并保留您的策略和对象。有关详细信息,请参阅 将 FTD 迁移到云交付的防火墙管理中心

网络要求

在载入设备之前,请确保以下端口具有外部和出站访问权限。确认允许设备上的以下端口。如果通信端口被防火墙阻止,则载入设备可能会失败。

您无法在 安全云控制 UI 中配置这些端口。您必须通过设备的 SSH 来启用这些端口。

表 1. 设备端口要求

端口

 协议/功能

详细信息

443/tcp

HTTPS

发送和接收来自互联网的数据。

443

HTTPS

与 AMP 云(公共或私有)通信

8305/tcp

设备通信

在同一部署中的设备之间安全地进行通信。

管理和数据接口

确保您的设备已正确配置管理或数据接口。

创建 安全云控制 租户

您可以调配新的 安全云控制 租户以载入和管理您的设备。如果您使用 本地防火墙管理中心 7.2 及更高版本,并希望将其与思科安全云集成,则还可以在集成工作流程中创建 安全云控制 租户。

操作步骤

  1. 转至https://us.manage.security.cisco.com/provision

  2. 选择要调配 安全云控制 租户的区域并点击登录 (Sign Up)

  3. Security Cloud Sign On 页面上,提供您的凭据。

  4. 如果您没有 安全云登录 帐户并想创建一个,请点击立即注册 (Sign up now)

    1. 提供创建账户所需的信息。

      我们为您提供了以下提示:

      • 电子邮件:输入您最终将用于登录 安全云控制 的邮箱地址。

      • 密码:输入强密码。

    2. 点击登录 (Sign up)。Cisco 会将验证电子邮件发送到您注册的地址。

    3. 打开邮件并点击 Security Cloud Sign On 页面上的激活账户 (Activate account)

    4. 在您选择的设备上使用 Duo 配置多重身份验证,然后点击通过 Duo 登录 (Log in with Duo)完成 (Finish)

      我们建议您在手机上安装 Duo Security 应用。如果您对于如何安装 Duo 有疑问,请查看 Duo 双因素身份验证指南:注册指南
  5. 为租户提供名称,然后点击创建新帐户 (Create new account)

  6. 在您选择的区域中创建了一个新的 安全云控制 租户;您还将收到有关正在创建的 安全云控制 租户的电子邮件,其中包含详细信息。如果您已与多个 安全云控制 租户关联,请在选择租户 (Choose a tenant) 页面上,选择您刚刚创建的租户以登录该租户。如果您是第一次创建新的 安全云控制 租户,则会直接登录到您的租户。

使用 CLI 注册密钥载入设备

使用以下程序通过 CLI 注册密钥为 云交付的防火墙管理中心 载入设备。


如果您的设备当前由 本地管理中心管理,则载入设备将失败。您可以从 本地管理中心 删除设备并作为没有策略或对象的全新设备载入,也可以迁移设备并保留现有策略和对象。有关详细信息,请参阅将 FTD 迁移到云交付防火墙管理中心

开始之前

在载入设备之前,请务必完成以下任务:

  • 已为您的租户启用 云交付的防火墙管理中心

  • 设备必须运行版本 7.0.3 或 7.2.0 以及更高版本。

过程

步骤 1

登录 安全云控制

步骤 2

在左侧窗格中,点击 。

步骤 3

点击右上角的 载入)。

步骤 4

点击 FTD 磁贴。

步骤 5

管理模式 (Management Mode) 下,确保选择 FTD。在管理模式 (Management Mode) 下选择 FTD ,您将无法使用之前的管理平台来管理设备。除接口配置外,所有现有策略配置都会被重置。载入设备后,您必须重新配置策略。

步骤 6

选择使用 CLI 注册密钥 (Use CLI Registration Key) 作为载入方法。

步骤 7

设备名称 字段中输入设备名称,然后点击 下一步

步骤 8

策略分配 (Policy Assignment) 步骤中,使用下拉菜单选择在设备载入后要部署的访问控制策略。如果未配置策略,请选择默认访问控制策略 (Default Access Control Policy)

步骤 9

指定要载入的设备是物理设备还是虚拟设备。如果要载入虚拟设备,则必须从下拉菜单中选择设备的性能级别。

步骤 10

选择要应用于设备的订用许可证。点击下一步

步骤 11

安全云控制 使用注册密钥生成命令。使用 SSH 连接到您要载入的设备。以“admin”或具有同等管理员权限的用户身份登录,并将整个注册密钥按原样粘贴到设备的 CLI 中。

注意:对于 Firepower 1000Firepower 2100ISA 3000threat defense virtual 设备,打开与设备的 SSH 连接并以 admin 登录。复制整个注册命令,并在提示符后将其粘贴到设备的 CLI 界面中。在 CLI 中,输入 Y 完成注册。如果您的设备以前由 设备管理器管理,请输入 是 (Yes) 以确认提交。

步骤 12

安全云控制 载入向导中点击 下一步 (Next)

步骤 13

(可选)向设备添加标签,以帮助对 安全设备 (Security Devices) 页面进行排序和过滤。输入标签,然后选择蓝色加号按钮。标签会在设备载入 安全云控制后应用到设备。

下一步做什么

在设备同步后,从安全设备 (Security Devices) 页面中选择您刚刚载入的设备,然后选择位于右侧的设备管理 (Device Management) 窗格下列出的任何选项。我们强烈建议您执行以下操作:

  • 如果还没有创建,请创建自定义访问控制策略,以自定义环境的安全性。有关详细信息,请参阅《使用 思科安全云控制中的云交付防火墙管理中心来管理防火墙威胁防御》中的访问控制概述

  • 启用思科安全分析和日志记录 (SAL) 以在 安全云控制 控制面板中查看事件将设备注册到 Cisco Secure Firewall Management Center 以进行安全分析。有关详细信息,请参阅《使用 思科安全云控制中的云交付防火墙管理中心来管理防火墙威胁防御》中的思科安全分析和日志记录

配置基本安全策略

本部分介绍如何使用以下设置配置基本安全策略:

  • 内部和外部接口 - 为内部接口分配静态 IP 地址,并将 DHCP 用作外部接口。

  • DHCP 服务器 - 在内部接口上为客户端使用 DHCP 服务器。

  • 默认路由 - 通过外部接口添加默认路由。

  • NAT - 在外部接口上使用接口 PAT。

  • 访问控制 - 允许流量从内部传到外部。

过程

步骤 1

配置接口

步骤 2

配置 DHCP 服务器

步骤 3

添加默认路由

步骤 4

配置 NAT

步骤 5

配置访问控制

步骤 6

部署配置

配置接口

启用 threat defense virtual接口,为其分配安全区域并设置 IP 地址。通常,您必须至少配置两个接口才能让系统传递有意义的流量。通常,您将拥有面向上游路由器或互联网的外部接口,以及组织网络的一个或多个内部接口。其中一些接口可能是“隔离区”(DMZ),您可以在其中放置可公开访问的资产,例如 Web 服务器。

典型的边缘路由情况是通过 DHCP 从 ISP 获取外部接口地址,同时在内部接口上定义静态地址。

以下示例使用 DHCP 在接口内部配置了一个路由模式(含静态地址),并在接口外部配置了一个路由模式。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management),然后点击设备的编辑编辑图标

步骤 2

点击接口 (Interfaces)

步骤 3

点击要用于内部的接口的编辑编辑图标

此时将显示一般 (General) 选项卡。

  1. 输入长度最大为 48 个字符的名称 (Name)

    例如,将接口命名为 inside

  2. 选中启用 (Enabled) 复选框。

  3. 模式 (Mode) 保留为无 (None)

  4. 安全区域 (Security Zone) 下拉列表中选择一个现有的内部安全区域,或者点击新建 (New) 添加一个新的安全区域。

    例如,添加一个名为 inside_zone 的区域。必须将每个接口分配给安全区域和/或接口组。每个接口只能属于一个安全区域,但可以同时属于多个接口组。您可以根据区域或组应用安全策略。例如,您可以将内部接口分配到内部区域,而将外部接口分配到外部区域。然后可以配置访问控制策略,允许流量从内部传到外部,但不允许从外部传入内部。大多数策略仅支持安全区域;您可以在 NAT 策略、预过滤器策略和 QoS 策略中使用区域或接口组。

  5. 点击 IPv4 和/或 IPv6 选项卡。

    • IPv4 - 从下拉列表中选择使用静态 IP (Use Static IP),然后以斜杠表示法输入 IP 地址和子网掩码,或者输入 DHCP 选项。

      例如,输入 192.168.1.1/24

    • IPv6 - 选中无状态自动配置以及 IPv6 DHCP 或静态配置的自动配置 (Autoconfiguration) 复选框以启用接口。

  6. 点击确定 (OK)

步骤 4

点击要用于外部的接口的 编辑编辑图标

此时将显示一般 (General) 选项卡。

  1. 输入长度最大为 48 个字符的 Name

    例如,将接口命名为 outside

  2. 选中启用 (Enabled) 复选框。

  3. 模式 (Mode) 保留为无 (None)

  4. 安全区域 (Security Zone) 下拉列表中选择一个现有的外部安全区域,或者点击新建 (New) 添加一个新的安全区域。

    例如,添加一个名为 outside_zone 的区域。

  5. 点击 IPv4 和/或 IPv6 选项卡。

    • IPv4 - 选择使用 DHCP (Use DHCP),然后配置以下选填参数:

      • 使用 DHCP 获取默认路由 (Obtain default route using DHCP) - 从 DHCP 服务器获取默认路由。

      • DHCP 路由指标 (DHCP route metric) - 分配到所获悉路由的管理距离,介于 1 和 255 之间。获悉的路由的默认管理距离为 1。

    • IPv6 - 为无状态自动配置选中自动配置 (Autoconfiguration) 复选框。

  6. 点击确定 (OK)

步骤 5

点击保存 (Save)

配置 DHCP 服务器

如果要部署到公共云环境(例如 AWS、Azure、GCP、OCI),请跳过此程序。

如果希望客户端使用 DHCP 从 threat defense virtual处获取 IP 地址,请启用 DHCP 服务器。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management),然后点击设备的编辑编辑图标

步骤 2

选择 DHCP > DHCP 服务器 (DHCP Server)

步骤 3

服务器 (Server) 页面上点击添加 (Add),然后配置以下选项:

  • 接口 (Interface) - 从下拉列表中选择接口。

  • 地址池 (Address Pool) - DHCP 服务器使用的 IP 地址的范围(从最低到最高)。IP 地址范围必须与选定接口位于相同的子网上,且不能包括接口自身的 IP 地址。

  • 启用 DHCP 服务器 (Enable DHCP Server) - 在所选接口上启用 DHCP 服务器。

步骤 4

点击确定 (OK)

步骤 5

点击保存 (Save)

添加默认路由

默认路由通常指向可从外部接口访问的上游路由器。如果您将 DHCP 用作外部接口,则您的设备可能已经收到了默认路由。如果需要手动添加路由,则遵照此程序执行。如果收到来自 DHCP 服务器的默认路由,其将显示在设备 (Devices) > 设备管理 (Device Management) > 路由 (Routing) > 静态路由 (Static Route) 页面上的 IPv4 路由 (IPv4 Routes) 或or IPv6 路由 (IPv6 Routes) 表中。

过程

步骤 1

选择设备 (Devices) > 设备管理 (Device Management),然后点击设备的编辑编辑图标

步骤 2

选择路由 (Route) > 静态路由 (Static Route),点击添加路由 (Add Route),然后设置以下项:

  • 类型 (Type) - 根据要添加静态路由的类型,点击 IPv4 IPv6 单选按钮。

  • 接口 (Interface) - 选择出口接口;通常是外部接口。

  • 可用网络 (Available Network) - 为 IPv4 默认路由选择 any-ipv4,或者为 IPv6 默认路由选择 any-ipv6

  • 网关 (Gateway) IPv6 网关 (IPv6 Gateway) - 输入或选择作为此路由的下一个跃点的网关路由器。您可以提供 IP 地址或网络/主机对象。

  • 指标 (Metric) - 输入到目标网络的跃点数。有效值范围为 1 到 255;默认值为 1。

步骤 3

点击确定 (OK)

路由即已添加至静态路由表。

步骤 4

点击保存 (Save)

配置 NAT

典型的 NAT 规则会将内部地址转换为外部接口 IP 地址上的端口。这类 NAT 规则称为接口端口地址转换 (PAT)

过程

步骤 1

选择设备 (Devices) > NAT,然后点击新策略 (New Policy) > 威胁防御 NAT (Threat Defense NAT)

步骤 2

为策略命名,选择要使用策略的设备,然后点击Save

策略即已添加 管理中心。您仍然需要为策略添加规则。

步骤 3

点击添加规则 (Add Rule)

Add NAT Rule 对话框将显示。

步骤 4

配置基本规则选项:

  • NAT 规则 (NAT Rule) - 选择自动 NAT 规则 (Auto NAT Rule)

  • 类型 (Type) - 选择动态 (Dynamic)

步骤 5

Interface Objects 页面,将 Available Interface Objects 区域中的外部区域添加到 Destination Interface Objects 区域。

步骤 6

转换 (Translation) 页面上配置以下选项:

  • 原始源 (Original Source) - 点击添加添加图标 为所有 IPv4 流量添加网络对象 (0.0.0.0/0)。

     

    您不能使用系统定义的 any-ipv4 对象,因为自动 NAT 规则在对象定义过程中添加 NAT,并且您无法编辑系统定义的对象。

    同样,您也可以为所有 IPv6 流量创建默认主机网络 [::/0] 的 NAT 策略。

  • 转换的源 (Translated Source) - 选择目标接口 IP (Destination Interface IP)

步骤 7

点击保存 (Save) 以添加规则。

规则即已保存至 Rules 表。

步骤 8

点击 NAT 页面上的保存 (Save) 以保存更改。

配置访问控制

如果您在使用 管理中心注册 threat defense virtual 时创建了基本的封锁所有流量访问控制策略,则需要向策略添加规则以允许流量通过设备。以下程序可添加规则以允许从内部区域到外部区域的流量。如有其他区域,请务必添加允许流量到适当网络的规则。

请参阅《防火墙管理中心配置指南》《 配置指南》以配置更高级的安全设置和规则。

过程

步骤 1

选择策略 (Policy) > 访问策略 (Access Policy) > 访问策略 (Access Policy),然后点击分配给 威胁防御 的访问控制策略的 编辑编辑图标

步骤 2

点击添加规则 (Add Rule) 并设置以下参数:

  • 名称 (Name) - 为此规则命名,例如 inside_to_outside

  • 源区域 (Source Zones) - 从可用区域 (Available Zones) 中选择内部区域,然后点击添加到源 (Add to Source)

  • 目标区域 (Destination Zones) - 从可用区域 (Available Zones) 中选择外部区域,然后点击添加到目标 (Add to Destination)

其他设置保留原样。

步骤 3

点击添加 (Add)

规则即已添加至 Rules 表。

步骤 4

点击保存 (Save)

部署配置

将配置更改部署到 threat defense virtual;在部署之前,您的所有更改都不会在设备上生效。

过程

步骤 1

点击右上方的部署 (Deploy)

步骤 2

选择部署策略 (Deploy Policies) 对话框中的设备,然后点击部署 (Deploy)

步骤 3

确保部署成功。点击菜单栏中部署 (Deploy) 按钮右侧的图标可以查看部署状态。