配置基本策略

使用以下设置配置基本安全策略:

  • 内部和外部接口 - 为内部接口分配静态 IP 地址,并将 DHCP 用作外部接口。

  • DHCP 服务器 - 在内部接口上为客户端使用 DHCP 服务器。

  • 默认路由 - 通过外部接口添加默认路由。

  • NAT - 在外部接口上使用接口 PAT。

  • 访问控制 - 允许流量从内部传到外部。

您还可以自定义安全策略,以包括更高级的检查。

配置 DHCP 服务器

如果希望客户端使用 DHCP 从防火墙获取 IP 地址,请启用 DHCP 服务器。

过程


步骤 1

选择设备 (Devices) > 设备管理 (Device Management),然后点击设备的编辑 (编辑图标)

步骤 2

选择 DHCP > DHCP 服务器 (DHCP Server)

图 1. DHCP 服务器
DHCP 服务器

步骤 3

服务器 (Server) 区域中,点击添加 (Add) 并配置以下选项。

图 2. 添加服务器
添加服务器
  • 接口 (Interface) - 从下拉列表中选择接口名称。

  • 地址池 (Address Pool) - 设置 IP 地址的范围。IP 地址必须与选定接口位于相同的子网上,且不能包括接口自身的 IP 地址。

  • 启用 DHCP 服务器 (Enable DHCP Server) - 在所选接口上启用 DHCP 服务器。

步骤 4

点击确定 (OK)

步骤 5

点击保存 (Save)


配置 NAT

此步骤将为内部客户端创建一条 NAT 规则,以便将内部地址转换为外部接口 IP 地址上的端口。这类 NAT 规则称为接口端口地址转换 (PAT)

过程


步骤 1

选择设备 (Devices) > NAT,然后点击新建策略 (New Policy)

步骤 2

为策略命名,选择要使用策略的设备,然后点击保存 (Save)

图 3. 新建策略
新建策略

策略即已添加 FMC。您仍然需要为策略添加规则。

图 4. NAT 策略
NAT 策略

步骤 3

点击添加规则 (Add Rule)

步骤 4

配置基本规则选项:

图 5. 基本规则选项
基本规则选项
  • NAT 规则 (NAT Rule) - 选择自动 NAT 规则 (Auto NAT Rule)

  • 类型 (Type) - 选择动态 (Dynamic)

步骤 5

Interface Objects 页面,将 Available Interface Objects 区域中的外部区域添加到 Destination Interface Objects 区域。

图 6. 接口对象
接口对象

步骤 6

转换 (Translation) 页面上配置以下选项:

图 7. 转换
转换
  • 原始源-点击 添加 (添加图标) 为所有 IPv4 流量添加网络对象 (0.0.0.0/0)。

    图 8. 新的网络对象
    新的网络对象

     

    您不能使用系统定义的 any-ipv4 对象,因为自动 NAT 规则在对象定义过程中添加 NAT,并且您无法编辑系统定义的对象。

  • 转换的源 (Translated Source) - 选择目标接口 IP (Destination Interface IP)

步骤 7

点击保存 (Save) 以添加规则。

规则即已保存至 Rules 表。

步骤 8

点击 NAT 页面上的保存 (Save) 以保存更改。


配置访问控制规则

如果您在注册设备时创建了基本的封锁所有流量访问控制策略,则需要向策略添加规则以允许流量通过设备。访问控制策略可包括按顺序评估的多个规则。

此过程将创建一个访问控制规则,以允许从内部区域到外部区域的所有流量。

过程


步骤 1

选择 策略 > 访问控制标题 > 访问控制,然后点击分配给设备的访问控制策略对应的 编辑 (编辑图标)

步骤 2

点击添加规则 (Add Rule) 并设置以下参数。

图 9. 源区域
源区域

1. 为此规则命名,例如 inside-to-outside

2.区域 (Zones) 中选择内部区域

3. 点击添加源区域 (Add Source Zone)

图 10. 目标区域
目标区域

4.区域 (Zones) 中选择外部区域。

5. 点击添加目标区域 (Add Destination Zone)

其他设置保留原样。

步骤 3

(可选) 点击数据包流程图中的策略类型,以便自定义相关策略。

预过滤器、解密、安全智能和身份策略在访问控制规则之前应用。不需要自定义这些策略,但在了解网络需求后,这些策略可通过快速路由受信任流量(绕过处理)或阻止流量以避免进一步处理,从而提高网络性能。

图 11. 在访问控制之前应用政策
在访问控制之前应用政策
  • 预过滤器规则 - 默认预过滤器策略通过所有流量,以便其他规则执行操作(分析)。您可以对默认策略进行的唯一更改是阻止隧道流量。否则,您可以创建新的预过滤器策略,以便与可以分析(传递)、快速路径(绕过进一步检查)或阻止的访问控制策略关联。

    预过滤功能可在流量到达更远的地方之前,通过拦截或快速路径来处理流量,从而提高性能。在新策略中,您可以添加隧道规则和预过滤器规则。通过隧道规则,您可以对明文(非加密)直通隧道进行快速路由、阻止或重新分区。预过滤器规则可让您快速路由或阻止通过 IP 地址、端口和协议识别的非隧道流量。

    例如,如果知道要阻止网络上的所有 FTP 流量,但不阻止来自管理员的快速 SSH 流量,则可以添加一个新的预过滤器策略。

  • 解密 - 默认情况下不应用解密。解密是让网络流量接受深度检查的一种方法。大多数情况下都不要对流量进行解密,只有在法律允许的情况下才能这样做。为了最大限度地保护网络,对于前往关键服务器或来自不信任网段的流量,解密策略可能是一个好主意。

  • 安全智能 -(需要 IPS 许可证)默认启用安全智能。安全智能是在将连接传递到访问控制策略进行进一步处理之前应用的另一项针对恶意活动的早期防御措施。安全智能使用信誉情报快速阻止与思科威胁情报组织 Talos 提供的 IP 地址、URL 和域名之间的连接。您可以根据需要添加或删除其他 IP 地址、URL 或域。

     

    如果没有 IPS 许可证,即使访问控制策略中显示该策略已启用,也不会部署该策略。

  • 身份 - 默认情况下不应用身份。在允许访问控制策略处理流量之前,可以要求用户进行身份验证。

步骤 4

(可选) 添加在访问控制规则之后应用的入侵策略。

入侵策略是一组已定义的入侵检测和防御配置,用于检查流量是否违反安全规定。FMC 包括许多系统提供的策略,您可以按原样启用或自定义这些策略。此步骤可启用系统提供的策略。

  1. 点击入侵策略 (Intrusion Policy) 下拉列表。

    图 12. 系统提供的入侵策略
    系统提供的入侵策略
  2. 从列表中选择一个系统提供的策略。

步骤 5

(可选) 添加在访问控制规则之后应用的文件策略。

  1. 点击文件策略 (File Policy) 下拉列表,然后选择现有策略或通过选择打开文件策略列表 (Open File Policy List) 添加一个策略。

    图 13. 文件策略
    文件策略

    对于新策略,系统将在单独的选项卡中打开策略 (Policies) > 恶意软件和文件 (Malware & File) 页面。

  2. 有关创建策略的详细信息,请参阅《适用于 Firepower 设备的 Cisco Firepower Threat Defense 配置指南》

  3. 返回添加规则 (Add Rule) 页面,从下拉列表中选择新创建的策略。

步骤 6

点击应用 (Apply)

规则即已添加至 Rules 表。

步骤 7

点击保存 (Save)


部署配置

将配置更改部署到设备;在部署之前,您的所有更改都不会在设备上生效。

过程


步骤 1

点击右上方的部署 (Deploy)

图 14. 部署
部署

步骤 2

要快速部署,请选中特定设备,然后点击部署 (Deploy)

图 15. 部署所选
部署所选

或者,点击全部部署 (Deploy All) 以部署到所有设备。

图 16. 全部部署
全部部署

否则,对于其他部署选项,请点击高级部署 (Advanced Deploy)

图 17. 高级部署
高级部署

步骤 3

确保部署成功。点击菜单栏中部署 (Deploy) 按钮右侧的图标可以查看部署状态。

图 18. 部署状态
部署状态