在开始之前
部署并执行 FMC的初始配置。请参阅 FMC入门指南。
注 |
Firepower 设备和 FMC 具有相同的默认管理 IP 地址:192.168.45.45。本指南假设您在初始设置期间将为设备设置不同的 IP 地址。 |
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章对您适用吗?
本章介绍如何完成 Firepower 威胁防御(FTD) 设备的初始配置以及如何将设备注册到 Firepower 管理中心 (FMC)。在大型网络的典型部署中,多个受管设备安装在网段上,监控流量以进行分析,并向负责管理的 FMC报告,后者有一个使用 Web 界面的集中式管理控制台,您可以用其来执行管控、管理、分析和报告任务。
对于仅包含单个设备或少数设备、无需使用高性能多设备管理器(如 FMC)的网络,您可以使用集成的 Firepower 设备管理器 (FDM)。使用 FDM 基于 Web 的设备设置向导可配置小型网络部署常用的基本软件功能。
注 |
思科 Firepower 2100 硬件可以运行 FTD 软件或 ASA 软件。在 FTD 和 ASA 之间切换需要您对设备进行重新映像。请参阅重新映像思科 ASA 或 Firepower 威胁防御设备。 |
注 |
隐私收集声明 - Firepower 2100 不要求或主动收集个人身份信息。不过,您可以在配置中使用个人身份信息,例如用于用户名。在这种情况下,管理员在执行配置或使用 SNMP 时可能会看到此信息。 |
部署并执行 FMC的初始配置。请参阅 FMC入门指南。
注 |
Firepower 设备和 FMC 具有相同的默认管理 IP 地址:192.168.45.45。本指南假设您在初始设置期间将为设备设置不同的 IP 地址。 |
请参阅以下任务以在机箱上部署 FTD 和 FMC。
|
配置前准备工作 |
|
配置前准备工作 |
||
配置前准备工作 |
||
FTD CLI |
||
Firepower 管理中心 |
||
思科商务工作空间 |
获取 Firepower 管理中心的许可证:购买功能许可证。 |
|
智能软件管理器 |
获取 Firepower 管理中心的许可证:为 FMC 生成许可证令牌。 |
|
Firepower 管理中心 |
获取 Firepower 管理中心的许可证:向智能许可证服务器注册 FMC。 |
|
Firepower 管理中心 |
||
Firepower 管理中心 |
默认情况下,仅启用管理1/1 接口并为其配置 IP 地址 (192.168.45.45)。此接口最初也会运行 DHCP 服务器;在初始设置过程中选择 FMC 作为管理器时,会禁用 DHCP 服务器。您可以在将 FTD 连接到 FMC 后配置其他接口。
The FMC can only communicate with the FTD on the management interface. 此外, FMC 和 FTD 都需要从管理接口接入互联网以用于许可和更新。
下图显示 Firepower 2100 的一种可能网络部署,其中 FMC 和管理计算机连接到管理网络。管理网络具有互联网接入路径以用于许可和更新。
FMC 只能与管理接口上的 FTD 通信。此外, FMC 和 FTD 都需要从管理接口接入互联网以用于许可和更新。
下图显示 Firepower 2100 的一种可能网络部署,其中 Firepower 2100 充当 FMC 和 FTD 管理的互联网网关。
在下图中,通过经第 2 层交换机将管理 1/1 连接到内部接口,并将 FMC 和管理计算机连接到交换机,Firepower 2100 充当管理接口和 FMC 的互联网网关。(因为管理接口独立于 FTD 上的其他接口,因此这种直接连接是允许的。)
要在 Firepower 2100 上按上述一种方案进行布线,请参阅以下步骤。
注 |
Firepower 2100 和 FMC 具有相同的默认管理 IP 地址:192.168.45.45。本指南假设您在初始设置期间将为设备设置不同的 IP 地址。 |
注 |
也可以使用其他拓扑,而部署情况会因基本逻辑网络连接、端口、地址和配置要求有所不同。 |
步骤 1 |
连接单独管理网络的电缆: |
步骤 2 |
为实施边缘部署进行布线: |
系统电源由位于设备后部的摇杆电源开关控制。电源开关以软通知开关形式实施,支持平稳地关闭系统以降低系统软件及数据损坏的风险。
步骤 1 |
将电源线一端连接到设备,另一端连接到电源插座。 |
||
步骤 2 |
按下设备后部的电源开关。 |
||
步骤 3 |
检查设备前面的 PWD LED;如果该 LED 呈绿色稳定亮起,表示设备已接通电源。 |
||
步骤 4 |
检查设备正面的 SYS LED;在其绿灯常亮后,表示系统已通过启动诊断。
|
首次访问 CLI 时,设置向导会提示您提供设置 Firepower 威胁防御设备和注册 Firepower 管理中心 (FMC) 所需的基本网络配置参数。请注意,以后无法在 FMC 中配置这些设置;只能在 CLI 中更改它们。
步骤 1 |
通过控制台端口或使用 SSH 连接至管理接口 192.168.45.45,从而连接至 FTD CLI。 |
||||||
步骤 2 |
使用用户名 admin 和密码 Admin123 登录。 |
||||||
步骤 3 |
当Firepower 威胁防御系统启动时,设置向导会提示您输入 FTD 管理接口的网络信息,以便与 FMC 通信。 默认值或以前输入的值会显示在括号中。要接受之前输入的值,请按 Enter 键。 请参阅以下准则:
示例:
|
||||||
步骤 4 |
将 Firepower 威胁防御设备注册到负责管理的 FMC。 configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]
示例:
如果 Firepower 威胁防御设备和 FMC 由一台 NAT 设备隔开,请随注册密钥一起输入一个唯一的 NAT ID,并指定 DONTRESOLVE 而非主机名,例如: 示例:
FMC和设备使用注册密钥和 NAT ID(而不是 IP 地址)对初始注册进行身份验证和授权。NAT ID 必须在用于注册受管理设备的所有 NAT ID 中唯一,以便为初始通信建立信任并查找正确的注册密钥。
|
将设备注册到 FMC。
使用 FMC配置并监控 FTD。
有关受支持浏览器的信息,请参阅您所用版本的发行说明(参阅https://www.cisco.com/go/firepower-notes)。
步骤 1 |
使用支持的浏览器输入以下 URL。 https://fmc_ip_address |
步骤 2 |
输入您的用户名和密码。 |
步骤 3 |
单击 Log In。 |
所有许可证都由 FMC提供给 FTD。您可以选择购买以下功能许可证:
威胁 - 安全情报和思科 Firepower 下一代 IPS
恶意软件 - 适用于网络的高级恶意软件防护 (AMP)
URL - URL 过滤
RA VPN - AnyConnect Plus、AnyConnect Apex 或仅 AnyConnect VPN。
除上述许可证外,您还需要订阅相关内容以获取 1 年、3 年或 5 年的更新。
步骤 1 |
请确保智能许可帐户包含所需的可用许可证。 当您从思科或经销商那里购买设备时,您的许可证应该已链接到您的智能软件许可证帐户。但是,如果您需要自己添加许可证,则请使用思科商务工作空间上的 Find Products and Solutions 搜索字段。搜索以下许可证 PID:
|
||
步骤 2 |
如果尚未执行此操作,请向智能许可服务器注册 FMC。 注册需要您在智能软件管理器中生成注册令牌。有关详细指示,请参阅 FMC配置指南。 |
将 FTD注册到 FMC。
收集您在 FTD 初始配置中设置的以下信息;
FTD管理 IP 地址和/或 NAT ID
FMC 注册密钥
步骤 1 |
在 FMC中,选择 。 |
步骤 2 |
从 Add 下拉列表选择 Add Device,然后输入以下参数。
|
步骤 3 |
单击 Register,并确认注册成功。 如果注册成功,设备将添加到列表中。如果注册失败,您会看到一则错误消息。如果 FTD注册失败,请检查以下项:
|
本部分介绍如何使用以下设置配置基本安全策略:
内部和外部接口 - 为内部接口分配静态 IP 地址,并将 DHCP 用作外部接口。
DHCP 服务器 - 在内部接口上为客户端使用 DHCP 服务器。
默认路由 - 通过外部接口添加默认路由。
NAT - 在外部接口上使用接口 PAT。
访问控制 - 允许流量从内部传到外部。
要配置基本安全策略,需完成以下任务。
配置接口。 |
|
部署配置。 |
启用 FTD接口,为其分配安全区域并设置 IP 地址。通常,您必须至少配置两个接口才能让系统传递有意义的流量。通常,您将拥有面向上游路由器或互联网的外部接口,以及组织网络的一个或多个内部接口。其中一些接口可能是“隔离区”(DMZ),您可以在其中放置可公开访问的资产,例如 Web 服务器。
典型的边缘路由情况是通过 DHCP 从 ISP 获取外部接口地址,同时在内部接口上定义静态地址。
以下示例使用 DHCP 在接口内部配置了一个路由模式(含静态地址),并在接口外部配置了一个路由模式。
步骤 1 |
选择 编辑图标()。 ,然后单击设备的 |
步骤 2 |
单击 Interfaces。 |
步骤 3 |
单击要用于内部的接口的编辑图标()。 General 选项卡将显示。 |
步骤 4 |
单击要用于外部的接口的 编辑图标()。 General 选项卡将显示。 |
步骤 5 |
点击保存。 |
如果希望客户端使用 DHCP 从 FTD处获取 IP 地址,请启用 DHCP 服务器。
步骤 1 |
选择 编辑图标()。 ,然后单击设备的 |
步骤 2 |
选择 。 |
步骤 3 |
在 Server 页面上单击 Add,然后配置以下选项:
|
步骤 4 |
点击确定。 |
步骤 5 |
点击保存。 |
默认路由通常指向可从外部接口访问的上游路由器。如果您将 DHCP 用作外部接口,则您的设备可能已经收到了默认路由。如果需要手动添加路由,则遵照此程序执行。如果收到来自 DHCP 服务器的默认路由,其将显示在 IPv4 Routes 或 IPv6 Routes 表中。
页面上的步骤 1 |
选择 编辑图标()。 ,然后单击设备的 |
步骤 2 |
选择 Add Route,然后设置以下项: ,单击
|
步骤 3 |
单击 OK。 路由即已添加至静态路由表。 |
步骤 4 |
点击保存。 |
典型的 NAT 规则会将内部地址转换为外部接口 IP 地址上的端口。这类 NAT 规则称为接口端口地址转换 (PAT)。
步骤 1 |
选择 ,然后单击 。 |
||
步骤 2 |
为策略命名,选择要使用策略的设备,然后单击 Save。 策略即已添加 FMC。您仍然需要为策略添加规则。 |
||
步骤 3 |
单击 Add Rule。 Add NAT Rule 对话框将显示。 |
||
步骤 4 |
配置基本规则选项:
|
||
步骤 5 |
在 Interface Objects 页面,将 Available Interface Objects 区域中的外部区域添加到 Destination Interface Objects 区域。 |
||
步骤 6 |
在 Translation 页面上配置以下选项:
|
||
步骤 7 |
单击 Save 以添加规则。 规则即已保存至 Rules 表。 |
||
步骤 8 |
单击 NAT 页面上的 Save 以保存更改。 |
如果您在使用 FMC注册 FTD 时创建了基本的封锁所有流量访问控制策略,则需要向策略添加规则以允许流量通过设备。以下程序可添加规则以允许从内部区域到外部区域的流量。如有其他区域,请务必添加允许流量到适当网络的规则。
请参阅 FMC配置指南以配置更高级的安全设置和规则。
步骤 1 |
选择 FTD 的访问控制策略的编辑图标()。 ,然后单击分配给 |
步骤 2 |
单击 Add Rule 并设置以下参数:
其他设置保留原样。 |
步骤 3 |
单击 Add。 规则即已添加至 Rules 表。 |
步骤 4 |
点击保存。 |
将配置更改部署到 FTD;在部署之前,您的所有更改都不会在设备上生效。
步骤 1 |
单击右上方的 Deploy。 |
步骤 2 |
选择 Deploy Policies 对话框中的设备,然后单击 Deploy。 |
步骤 3 |
确保部署成功。单击菜单栏中 Deploy 按钮右侧的图标可以查看部署状态。 |
使用命令行界面 (CLI) 可设置系统以及对系统进行基本的故障排除。无法通过 CLI 会话配置策略。可以连接到控制台端口以访问 CLI。
可以通过 SSH 连接到 FTD 设备的管理接口。如果您为 SSH 连接打开某个数据接口,您也可以连接到该接口上的地址。默认情况下,禁用 SSH 数据接口访问。
也可以从 FTD CLI 访问 FXOS CLI,以便进行故障排除。
步骤 1 |
要登录 CLI,请将管理计算机连接到控制台端口。有关控制台电缆的详细信息,请参阅设备的硬件指南。使用以下串行设置:
|
||
步骤 2 |
在出现提示时,登录 FXOS CLI。 示例:
|
||
步骤 3 |
访问 FTD CLI。 connect ftd 示例:
登录后,如需了解 CLI 中可用命令的相关信息,请输入 help 或 ? 。有关使用信息,请参阅 Firepower 威胁防御命令参考。 |
||
步骤 4 |
要退出 FTD CLI, 请输入 exit 或 logout 命令。 示例:
|
使用 FMC 正确关闭系统非常重要。仅拔掉电源或按下电源开关可能会导致文件系统严重损坏。请记住,有许多进程一直在后台运行,拔掉或关闭电源不能正常关闭 Firepower 系统。
步骤 1 |
选择。 |
步骤 2 |
在要重新启动的设备旁边,点击编辑图标 ()。 |
步骤 3 |
点击设备 (Device) 选项卡。 |
步骤 4 |
单击系统部分中的关闭设备图标 ()。 |
步骤 5 |
出现提示时,确认是否要关闭设备。 |
步骤 6 |
观察电源 LED 和状态 LED 以验证机箱是否已断电(不亮)。 |
步骤 7 |
在机箱成功关闭电源后,您可以在必要时拔下电源插头以物理方式断开机箱的电源。 |
要继续配置 FTD,请参阅适用于您的软件版本的文档:导航思科 Firepower 文档。
有关使用 FMC 的信息,请参阅 《Firepower 管理中心配置指南》。