带有 CDO 的 Cisco Cisco Secure Firewall Threat Defense 轻松部署指南

本文档为使用 零接触调配 的客户提供有关使用 云交付的防火墙管理中心 轻松部署 FTD 设备的信息。



对于 本地管理中心 零接触调配,请参阅适用于您的型号的入门指南。


本文档适用于以下设备型号:

型号

版本

Firepower 1000

7.2 或更高版本

Cisco Secure Firewall 1210/1220

7.6 或更高版本

Firepower 2100

7.2、7.3 或 7.4

Cisco Secure Firewall 3100

 

软件版本 7.3 或更高版本支持 Cisco Secure Firewall 3105。

7.2 或更高版本

分支机构经理:准备新的 威胁防御 设备并将其连接到您的网络

零接触调配 允许您将新的 威胁防御 设备连接到网络,这样 IT 部门就可以将设备载入 云交付的防火墙管理中心 并进行远程配置。

确保设备未配置或设置为新设备。零接触调配 仅适用于新设备。根据您的设置,预配置可以阻止 零接触调配

是否需要重新映像设备?

如果您的设备尚未运行版本 7.2 或更高版本,您可以重新映像设备以支持 零接触调配。请参阅适用于您设备型号的入门指南:

将新 FTD 连接到您的网络

如果您的分支机构收到了设备,并且您的工作是将其插入网络, 请观看此视频。

该视频介绍了您的设备以及设备上指示设备状态的 LED 序列。您可以通过查看 LED 向 IT 部门确认设备的状态。以下是视频中描述的步骤:

  1. 查看设备的装运箱。上面应该有一个简单的白色标签,用于标识设备上安装的软件。软件包编号应与下表中的一个类似:

    支持 零接触调配 的型号 支持的软件版本 软件包
    Firepower 1000 系列设备型号:1010、1120、1140、1150 7.2 或更高版本

    SF-F1K-TDx.x-K9

    例如,SF-F1K-TD7.2-K9

    Cisco Secure Firewall 1210/1220 7.6 或更高版本

    SF-F1200-TDx.x-K9

    例如,SF-F1200-TD7.6-K9

    Firepower 2100 系列设备型号:2110、2120、2130、2140 7.2、7.3 或 7.4

    SF-F2K-TDx.x-K9

    例如,SF-F2K-TD7.2-K9

    Cisco Secure Firewall 3100 系列设备型号:3110、3120、3130、3140 7.2 或更高版本

    SF-F3K-TDx.x-K9

    例如,SF-F3K-TD7.2-K9

    Cisco Secure Firewall 3100 系列设备型号:3105 7.3 或更高版本

    SF-F3K-TDx.x-K9

    例如,SF-F3K-TD7.3-K9

  2. 在将设备放入机架或丢弃装运箱之前,请记录设备的序列号并将其发送给 IT 部门。他们需要它来管理设备。设备的序列号位于设备的装运箱和贴在设备上的标签上。有关详细信息,请参阅查找设备的序列号

  3. 打开包装并清点内容物。在设备插入电源、连接到网络且设备已成功连接到思科云之前,请保留发货箱。

  4. 将设备连接到电源。

  5. 将网线从以太网 1/1 接口连接到 WAN 调制解调器。WAN 调制解调器是分支机构与互联网的连接,也是设备与互联网的路由。



    请勿将网络电缆从设备的管理接口连接到 WAN。


    图 1. Firepower 1010 布线
    图 2. Firepower 1100 布线
    图 3. Cisco Secure Firewall 1210/1220 布线
    图 4. Firepower 2100 布线
    图 5. Cisco Secure Firewall 3100 布线
  6. 观察 S(系统)、SYS 或 M(管理)LED 指示灯(取决于您的型号),以确定设备是否已访问思科云。下表提供了 LED 状态及其在连接以太网电缆后出现的大概时间。根据网络条件和您使用的防火墙型号,防火墙到达思科云可能需要更多时间或更少时间。

    LED 状态 说明 设备通电后的时间 (分钟:秒)
    绿色快速闪烁

    SYSFirepower 2100

    S — 所有其他型号

    设备正确启动。 01:00
    琥珀色快速闪烁

    SYSFirepower 2100

    S — 所有其他型号

    设备无法正确启动。 01:00
    绿灯常亮

    SYSFirepower 2100

    S — 所有其他型号

    应用已加载到设备上。 10:00
    黄灯常亮

    SYSFirepower 2100

    S — 所有其他型号

    应用无法在设备上正确加载。 10:00
    绿色慢速闪烁

    SYSFirepower 2100

    SFirepower 1000

    MCisco Secure Firewall 3100 Cisco Secure Firewall 1210/1220

    设备已连接思科云。 15:00
    绿色和琥珀色交替闪烁

    SYSFirepower 2100

    SFirepower 1000

    M - Cisco Secure Firewall 3100 Cisco Secure Firewall 1210/1220

    设备无法连接到思科云。 15:00

完成此任务后,找到设备的序列号并将其提供给 IT 管理员。IT 管理员将远程配置防火墙。

查找设备的序列号

IT 部门需要您的设备序列号才能连接到设备并对其进行远程管理。您可以在三个不同的位置找到序列号。

发货箱上的标签

序列号印在安装设备的包装箱的标签上。示例如下:

纸箱上的序列号

机箱上的标签

Firepower 1010:序列号位于设备底部的标签上。

Firepower 1010 背面及序列号

Firepower 1100:序列号位于设备背面或设备底部的标签上。

Firpower 1100 背面

Firepower 2100:序列号位于设备正面的拉片上。

Firepower 2100 序列号选项卡

Cisco Secure Firewall 3100:序列号位于设备正面的拉片上。

安全防火墙 3100 序列号选项卡

使用控制台电缆连接到设备控制台

您可以将控制台电缆从笔记本电脑等设备连接到防火墙,打开终端窗口,然后输入几个命令来显示设备的序列号。



此程序使用控制台电缆将计算机连接到防火墙,以便检索设备的序列号,适用于熟悉命令行界面并可能在笔记本电脑上安装软件驱动程序的高级用户。


  1. 有关如何使用控制台电缆将笔记本电脑连接到设备的说明,请参阅适用于您的设备型号的硬件安装指南

    有关详细信息,请参阅特定型号的入门指南。

  2. 管理员用户身份登录设备。如果这是您首次尝试登录,则需要输入默认密码:Admin123。然后系统会提示您更改密码。

  3. firepower# 提示符后,输入 show chassis detail。以下是 1010 系列设备的输出示例。您的设备型号将在序列号 (SN) (Serial Number [SN]) 字段中列出:

    firepower# show chassis detail 
    
    Chassis:
        Chassis: 1
        Overall Status: Operable
        Oper qualifier: N/A
        Operability: Operable
        Product Name: Cisco Firepower 1010 Security Appliance
        PID: FPR-1010
        VID: V01
        Vendor: Cisco Systems, Inc
        Serial (SN): JMX2405X0R9
        HW Revision: 0.6
        PCB Serial Number: JAD24040S6L
        Power State: Ok
        Thermal Status: Ok
        Boot Status: OK
        Current Task:
    firepower# 

    输出显示两个序列号。您 必须 向 IT 部门报告序列号 (SN) 字段的值,才能完成激活流程。

  4. 当您载入设备时,请务必为密码重置 (Password Reset) 区域选择 否 (No),因为您已设置密码。

使用 零接触调配 将设备载入 云交付的防火墙管理中心

如果您是 云交付的防火墙管理中心 管理员,并且分支机构的某个人已将设备连接到其网络,请按照本节中所述的零接触调配方法进行操作。



如果要载入完整配置的新设备,请使用 CLI 注册密钥方法载入设备。有关详细信息,请参阅使用序列号将 威胁防御 载入云交付的防火墙管理 云交付的防火墙管理中心


过程


步骤 1

登录 CDO

步骤 2

点击 FTD 磁贴。

步骤 3

管理模式 (Management Mode) 下,确保选择 FTD

步骤 4

点击使用序列号 (Use Serial Number) 磁贴。

步骤 5

选择 FMC (Select FMC) 下拉列表中,选择云交付 FMC (Cloud-Delivered FMC) ,然后点击下一步 (Next)

步骤 6

连接 (Connection) 区域中,输入设备序列号 (Device Serial Number)设备名称 (Device Name)。选择下一步

步骤 7

密码重置 (Password Reset) 区域中,根据设备是否已登录并更改密码来选择选项:

  • 默认密码 - 点击是,此新设备从未登录或配置管理器 (Yes, this new device has never been logged into or configured for a manager)

  • 已更改密码 - 点击否,此设备已登录并配置为管理器 (No, this device has been logged into and configured for a manager).

步骤 8

点击下一步

步骤 9

策略分配 (Policy Assignment) 步骤中,使用下拉菜单选择在设备载入后要部署的访问控制策略。如果未配置策略,请选择默认访问控制策略 (Default Access Control Policy)

步骤 10

选择要应用于设备的订用许可证。点击下一步

步骤 11

完成 (Done) 区域中,点击转到清单 (Go to Inventory)


下一步做什么

在设备同步后,从清单 (Inventory) 页面中选择您刚刚载入的设备,然后选择位于右侧的设备管理 (Device Management) 窗格下列出的任何选项。我们强烈建议您执行以下操作:
  • 如果还没有创建,请创建自定义访问控制策略,以自定义环境的安全性。有关详细信息,请参阅《使用 思科防御协调器中的云交付防火墙管理中心来管理防火墙威胁防御》中的访问控制概述

  • 启用思科安全分析和日志记录 (SAL) 以在 CDO 控制面板中查看事件将设备注册到 Firepower 管理中心 以进行安全分析。有关详细信息,请参阅《使用 思科防御协调器中的云交付防火墙管理中心来管理防火墙威胁防御》中的思科安全分析和日志记录