准备工作

在分支安装防火墙,并使用 安全云控制(以前称为 Cisco Defense Orchestrator)在外部接口上对其进行管理。


集群不支持外部管理。在这种情况下,请使用管理接口进行 安全云控制 访问。本指南专门介绍外部管理,但您可以参阅使用 思科安全云控制 中的云交付的防火墙管理中心来管理 Cisco Secure Firewall Threat Defense ,以了解如何使用管理界面进行管理。另请参阅该指南,了解多实例部署。

打开防火墙电源

系统电源由位于防火墙后部的摇杆电源开关控制。摇杆电源开关提供软通知,支持平稳地关闭系统以降低系统软件及数据损坏的风险。


首次启动防火墙时,威胁防御 初始化大约需要 15 到 30 分钟。

开始之前

为防火墙提供可靠的电源(例如,使用不间断电源 (UPS))非常重要。未事先关闭就断电可能会导致严重的文件系统损坏。后台始终有许多进程在运行,因此断电会使得系统无法正常关闭。

过程

步骤 1

将电源线一端连接到防火墙,另一端连接到电源插座。

步骤 2

使用位于机箱背面电源线旁边的摇杆电源开关打开电源。

图 1. 电源按钮
系统和电源 LED

步骤 3

检查防火墙背面的电源 LED;如果该 LED 呈绿色稳定亮起,表示防火墙已接通电源。

图 2. 系统和电源 LED
系统和电源 LED

步骤 4

检查防火墙背面的系统 LED;其呈绿色稳定亮起之后,系统已通过通电诊断。

安装的哪个应用程序:威胁防御还是 ASA?

硬件上支持威胁防御或 ASA 两种应用。连接到控制台端口,并确定出厂时安装的应用。

过程

步骤 1

连接到控制台端口。

图 3. 控制台端口
控制台端口

步骤 2

请参阅 CLI 提示,确定防火墙运行的是威胁防御还是 ASA。

威胁防御

您会看到 Firepower 登录 (FXOS) 提示。您无需登录和设置新密码即可断开连接。如果需要一直登录,请参阅访问威胁防御 CLI


firepower login:

ASA

您将看到 ASA 提示。


ciscoasa>

步骤 3

如果您运行的是错误的应用,请参阅Cisco Secure Firewall ASA 和 Secure Firewall Threat Defense 重新映像指南

访问威胁防御 CLI

您可能需要访问 CLI 进行配置或故障排除。

过程

步骤 1

连接到控制台端口。

图 4. 控制台端口
控制台端口

步骤 2

连接到 FXOS。使用 admin 用户名和密码(默认值为 Admin123)登录 CLI。第一次输入登录时,系统会提示您更改密码。 


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

步骤 3

切换到 威胁防御 CLI。

 
如果要使用 设备管理器 进行初始设置或使用 零接触调配,请不要访问 威胁防御 CLI,否则会启动 CLI 设置。

connect ftd

首次连接到 威胁防御 CLI 时,系统会提示您完成初始设置。

示例:


firepower# connect ftd
>

要退出 威胁防御FTD CLI,请输入 exit logout 命令。此命令会将您重新导向至 FXOS 提示。

示例:


> exit
firepower#

检查版本和重新映像

我们建议您在配置防火墙之前安装目标版本。或者,您也可以在启动并运行后执行升级,但升级(保留配置)可能需要比按照此程序花费更长的时间。

我应该运行什么版本?

思科建议运行软件下载页面上的版本号旁边标有金色星号的 Gold Star 版本。您还可以参考https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html中介绍的发布策略。

过程

步骤 1

连接到控制台端口。

图 5. 控制台端口
控制台端口

步骤 2

FXOS CLI 中,显示正在运行的版本。

scope ssa

show app-instance

示例:


Firepower# scope ssa
Firepower /ssa # show app-instance

Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State
---------------- ------- ----------- ----------------- --------------- --------------- ------------------
ftd              1       Enabled     Online            7.6.0.65        7.6.0.65        Not Applicable

步骤 3

如果要安装新版本,请执行这些步骤。

  1. 默认情况下,管理接口将使用 DHCP。如果需要为管理界面设置静态 IP 地址,请输入以下命令。

    scope fabric-interconnect a

    set out-of-band static ip ip netmask 网络掩码 gw 网关

    commit-buffer

     

    如果遇到以下错误,必须在提交更改之前禁用 DHCP。使用以下命令来禁用 DHCP。 

    firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not
in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

  2. 执行《FXOS 故障排除指南》中的重新映像程序

    您需要从可通过管理接口访问的服务器下载新的映像。

    防火墙重新启动后,您可以再次连接到 FXOS CLI。

  3. FXOS CLI 中,系统会提示您再次设置管理员密码。

    对于低接触调配,当您载入设备时,请务必为密码重置 (Password Reset) 区域选择 否 (No),因为您已设置密码。

  4. 关闭防火墙。请参阅(必要时)关闭防火墙电源

获取许可证

当您从思科或经销商那里购买设备时,您的许可证应该已链接到您的智能软件许可证帐户。如果您没有智能软件管理器账户,请点击链接建立新账户

如果尚未注册,请向智能软件管理器注册 安全云控制。注册需要您在智能软件管理器中生成注册令牌。有关详细说明,请参阅 安全云控制 文档

威胁防御 具有以下许可证:

  • 基础版 — 必需

  • IPS

  • 恶意软件防御

  • URL 过滤

  • Cisco Secure Client

  • 运营商 - Diameter、GTP/GPRS、M3UA、SCTP

  1. 如果您需要自己添加许可证,请前往思科商务工作空间并使用搜索全部 (Search All) 字段。

    图 6. 许可证搜索
    许可证搜索

  2. 搜索以下许可证 PID。

    如果未找到 PID,您可以手动将 PID 添加到订单中。

    • Essentials:

      • 自动包含

    • IPS、恶意软件防御和 URL 组合:

      • L-FPR4215T-TMC=

      • L-FPR4225T-TMC=

      • L-FPR4245T-TMC=

      当您将上述 PID 之一添加到您的订单时,可以选择与以下 PID 之一对应的定期订用:

      • L-FPR4215T-TMC-1Y

      • L-FPR4215T-TMC-3Y

      • L-FPR4215T-TMC-5Y

      • L-FPR4225T-TMC-1Y

      • L-FPR4225T-TMC-3Y

      • L-FPR4225T-TMC-5Y

      • L-FPR4245T-TMC-1Y

      • L-FPR4245T-TMC-3Y

      • L-FPR4245T-TMC-5Y

    • 运营商:

      • L-FPR4200K-FTD-CAR=

    • Cisco Secure 客户端 — 请参阅 Cisco Secure 客户端订购指南

  3. 从结果中选择产品和服务 (Products & Services)

    图 7. 结果
    结果

(必要时)关闭防火墙电源

正确关闭系统非常重要。仅拔掉电源或按下电源开关可能会导致文件系统严重损坏。有许多进程一直在后台运行,拔掉或关闭电源不能正常关闭防火墙系统。

在 CLI 关闭防火墙电源

您可以使用 FXOS CLI 安全地关闭系统并关闭防火墙电源。

过程

步骤 1

连接到控制台端口。

图 8. 控制台端口
控制台端口

步骤 2

FXOS CLI 中,连接到 local-mgmt 模式。

firepower # connect local-mgmt

步骤 3

关闭系统。

firepower(local-mgmt) # shutdown

示例:

firepower(local-mgmt)# shutdown 
This command will shutdown the system.  Continue?
Please enter 'YES' or 'NO': yes
INIT: Stopping Cisco Threat Defense......ok

步骤 4

留意防火墙关闭时的系统提示。关闭完成后,您将看到以下提示。


System is stopped.
It is safe to power off now.
Do you want to reboot instead? [y/N]

步骤 5

您现在可以关闭电源开关并在必要时拔下电源插头以物理方式断开机箱的电源。

使用管理中心关闭防火墙

使用管理中心正确关闭系统。

过程

步骤 1

关闭防火墙。

  1. 选择设备 > 设备管理

  2. 在要重新启动的设备旁边,点击 编辑 (编辑图标)

  3. 点击设备 (Device) 选项卡。

  4. 系统 (System) 部分中点击 关闭设备 (关闭设备图标关闭设备图标)

  5. 出现提示时,确认是否要关闭设备。

步骤 2

如果您与防火墙建立了控制台连接,请在防火墙关闭时留意系统提示。关闭完成后,您将看到以下提示。


System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N]

如果没有控制台连接,请等待大约 3 分钟以确保系统已关闭。

步骤 3

您现在可以关闭电源开关并在必要时拔下电源插头以物理方式断开机箱的电源。