您的组织只能使用符合由美国国防部和其他政府认证机构制定的安全标准的设备和软件。一旦经过相应认证机构的认证，并且按照认证特定的指导文档进行配置，防火墙威胁防御 设备的设计符合以下认证标准：

• 通用标准 (CC)：国际共同标准承认协定建立的全球标准，用于定义对安全产品的要求。

• 国防部信息网络获批产品列表 (DoDIN APL)：符合美国国防信息系统机构 (DISA) 建立的安全要求的产品列表。

  注	美国政府已将统一功能获批产品列表 (UCAPL) 的名称改为 DODIN APL。Firepower 文档和 Firepower 管理中心 Web 界面中对 UCAPL 的引用可以解释为对 DoDIN APL 的引用。

• 联邦信息处理标准 (FIPS) 140：加密模块的要求规范

认证指导文档在产品认证完成后将单独提供；本强化指南的发布并不保证完成任何产品认证。

本文档所述的配置设置不能保证严格遵守认证实体的所有最新要求。有关必要强化程序的详细信息，请参阅由认证实体提供的关于此产品的相关规定。

本文档提供有助增强 防火墙管理中心 安全性的指导，但即使使用本文所述的配置设置，部分 防火墙管理中心 功能也不支持认证合规性。有关详细信息，请参阅《Cisco 安全防火墙管理中心管理指南，版本 7.6》中的“安全证书合规性建议”。我们努力确保此强化指南和《 Cisco 安全防火墙管理中心管理指南，版本 7.6》不会与证书特定指导原则发生冲突。如果发现思科文档和认证指南之间出现冲突，请以认证指南为准或者咨询系统所有者。

Cisco 会定期发布 Firepower 软件更新以解决问题并做出改进。保持系统软件为最新状态对于维护强化的系统至关重要。确保系统软件已正确更新。有关详细信息，请参阅 Cisco Secure Firewall Management Center 管理指南 7.6和 Cisco Secure Firewall Management Center 升级指南。

Cisco 还会定期针对 Firepower 用于保护您的网络和资产的数据库发布更新。要提供最佳保护，请确保地理位置、入侵规则和漏洞数据库为最新。在更新 Firepower 部署的任何组件之前，您必须阅读更新随附的。https://www.cisco.com/c/en/us/support/security/defense-center/products-release-notes-list.html这些内容提供版本特定的关键信息，包括兼容性、前提条件、新功能、行为更改和警告。有些更新可能很大，需要一些时间才能完成；您应该在网络使用率较低的时段执行更新，以减少对系统性能的影响。

地理位置数据库

地理位置数据库 (GeoDB) 包含地理数据（例如国家/地区和城市坐标）。Firepower 检测与已经检测到的 IP 地址匹配的 GeoDB 信息时，您可以查看与 IP 地址关联的地理位置信息。

要从管理中心 Web 接口更新 GeoDB，请使用 系统 () > 内容更新 > 地理位置更新。您可以执行以下操作：

• 更新无法访问互联网的 防火墙管理中心 上的 GeoDB。

• 更新可以访问互联网的 防火墙管理中心 上的 GeoDB。

• 安排可访问互联网的 防火墙管理中心 上 GeoDB 定期自动更新。

有关详细信息，请参阅 《Cisco 安全防火墙管理中心管理指南，7.6》中的“更新地理位置数据库”。

入侵规则

随着新漏洞的暴露，思科 Talos 安全情报和研究小组 (Talos) 会发布可导入到 防火墙管理中心 上的入侵规则更新（亦称为 Snort 规则更新，简称 SRU），然后通过将已更改的配置部署到受管设备进行实施。这些更新会影响入侵规则、预处理器规则和使用这些规则的策略。

防火墙管理中心 Web 界面提供三种方法来更新入侵规则，全部位于系统 () > 内容更新 > 规则更新之下：

• 更新无互联网接入的 防火墙管理中心 上的入侵规则。

• 更新具有互联网访问权限的管理中心防火墙管理中心 上的入侵规则。

• 在可以访问互联网的设备 防火墙管理中心 上安排入侵规则的定期自动更新。

有关这些字段的信息，请参阅 Cisco 安全防火墙管理中心管理指南， 7.6 版中 更新入侵规则 的部分。

也可以使用系统 () > 内容更新 > 规则更新导入本地入侵规则。可以使用 Snort 用户手册（可在 http://www.snort.org 上获取）中的说明创建本地入侵规则。在将其导入到 之前，请参阅《Firepower 管理中心配置指南，版本 7.6》中的“导入本地入侵规则指引”，确保导入本地入侵规则的过程符合您的安全策略。https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html

漏洞数据库

漏洞数据库 (VDB) 是可能影响主机的已知漏洞以及操作系统指纹、客户端指纹和应用指纹的数据库。系统借助 VDB 来确定某个特定主机是否会增加遭受危害的风险。

Web 界面提供两种更新 VDB 的方法：

• 手动更新 VDB（系统 () > 内容更新 > VDB 更新）。

• 安排 VDB 更新（ 系统 () > 工具 > 计划）。

有关详细信息，请参阅 Cisco 安全防火墙管理中心管理指南，7.6 的 更新漏洞数据库 。

安全智能列表和源

安全智能 列表 和 源 是 IP 地址，域名和 URL 的集合，可用于快速过滤与列表或源上的条目匹配的流量。

有系统提供的源和预定义列表。您还可以使用自定义源和列表。要查看这些列表和源，请选择 对象 (Objects) > 对象管理 (Object Management) > 安全智能 (Security Intelligence)。作为系统提供反馈的一部分，Cisco 提供以下源作为安全智能对象：

• 安全智能源定期更新来自以下方面的最新威胁智能：

  • Cisco-DNS-and-URL-Intelligence-Feed（在 DNS 列表和源下）

  • Cisco 智能馈送（对于 IP 地址，在网络列表和馈送下）

  虽然无法删除系统提供的源，但可以更改其更新频率（或禁用更新）。管理中心现在可以每 5 或 15 分钟更新一次 Cisco-Intelligence-Feed 数据。

• Cisco-TID-Feed（在网络列表和源下）

  相反，您必须启用并配置 以使用此源，它是 TID 可观察对象数据的集合。

有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》“个性定制安全智能清单和数据源”。

要通过单个设置应用多个强化的配置更改，请为 防火墙管理中心 选择 CC 或 UCAPL 模式。此设置显示在 防火墙管理中心 Web 界面中的 系统 (System)、配置 (Configuration)、UCAPL/CC 合规性 (UCAPL/CC Compliance) 下。

选择这些配置选项之一，以使《Firepower 管理中心配置指南，版本 7.6》“安全证书合规性特征”之下所列的更改生效。请注意，安全防火墙部署中的所有设备都应在相同的安全证书合规性模式下运行。

小心	启用此设置后，您将无法将其禁用。在启用 CC 或 UCAPL 模式之前，请参阅《Firepower 管理中心配置指南，版本 7.6》中的“安全证书合规性”。如果您需要撤消此设置，请与思科 TAC 联系以获取帮助。

注	启用安全认证合规性不保证严格符合所选安全模式的所有要求。本文档介绍了一些额外设置，这些设置可以强化您的部署，使之比 CC 或 UCAPL 模式提供的部署更加强大。有关确保完全合规所需的强化程序的完整信息，请参阅由认证实体提供的此产品的相关规定。

您的安全防火墙部署可能会出于多种目的与其他网络资源交互。强化这些其他服务可以保护您的安全防火墙系统以及所有网络资产。要确定需要解决的所有问题，请尝试绘制网络及其组件、资产、防火墙配置、端口配置、数据流和桥接点的图表。

建立并遵守网络的操作安全流程，将安全问题考虑在内。

内部和外部用户

防火墙管理中心 支持两种类型的用户：

• 内部用户 - 系统检查本地数据库以进行用户身份验证。

• 外部用户 - 如果本地数据库中没有用户，则系统会查询外部 LDAP 或 RADIUS 身份验证服务器。

您可以考虑通过外部身份验证机制（如 LDAP 或 RADIUS）建立用户访问权限，以将用户管理与网络环境中的现有基础设施集成，或利用双因素身份验证等功能。建立外部身份验证需要在 防火墙管理中心 Web 界面中创建外部身份验证对象；可以共享外部身份验证对象，以便为 防火墙管理中心 及其受管设备验证外部用户。

用户访问类型

防火墙管理中心 支持两种类型的用户访问：

• 这可用于内部和外部用户帐户。

• 使用 SSH、串行或键盘和显示器连接进行命令行访问 - 可供 CLI/外壳访问 管理员 账户使用，并可供外部用户使用。

在 防火墙管理中心 上，可以使用访问列表限制 IP 地址和端口对系统的访问。默认情况下，可为任何 IP 地址启用以下端口：

• 443 (HTTPS) – 用于 Web 界面访问

• 22 (SSH) – 用于 CLI/外壳程序访问

也可以在端口 161 上添加轮询 SNMP 信息的访问权限。

重要	虽然您可以从 防火墙管理中心设置与 SNMP 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

要在更安全的环境中运行，请将您的

允许这些形式的访问仅限于特定的 IP 地址，并禁用允许 HTTPS 或 SSH 访问任何 IP 地址的默认规则。这些选项位于 Web 界面的系统 > 配置 > 访问列表之下。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》的“访问列表”。

修复是防火墙管理中心为响应关联策略违规而启动的程序。您可以在 防火墙管理中心 上配置多种修复类型，但它们都要求 防火墙管理中心 以不安全的方式与 Firepower 外部的实体通信。因此，我们建议不要配置强化的 防火墙管理中心以使用补救措施。了解更多信息, 参见Cisco 安全防火墙管理中心管理指南, 7.6的“修复”。

使用客户端和服务器 HTTPS 证书保护 防火墙管理中心 与本地计算机之间传输的信息，进而保护 防火墙管理中心 与运行 Web 界面的浏览器之间的连接。防火墙管理中心 使用默认的自签证书，但我们建议将其替换为由全球知名且值得信赖的证书颁发机构生成的证书。

要为 防火墙管理中心配置的 HTTPS 证书，请在 防火墙管理中心 Web 界面中使用 系统>配置>HTTPS 证书；请参阅《Cisco 安全防火墙管理中心配置指南，版本 7.6》中的“HTTPS 证书”。

您可以锁定访问控制策略，以防止其他管理员对其进行编辑。锁定策略可确保在您保存更改之前，如果其他管理员编辑策略并保存更改，您的更改不会失效。在不锁定的情况下，如果多个管理员同时编辑策略，则以保存更改的第一个用户为准，而所有其他用户的更改都会被清除。此锁定用于访问控制策略，不适用于策略中使用的对象。策略被锁定时，其他管理员对该策略具有只读访问权限。但是，其他管理员可以将已锁定的策略分配给托管设备。我们建议您在编辑策略时锁定访问控制策略：

1. 选择 策略 > 访问控制。

2. 点击要锁定或解锁的访问控制策略旁边的编辑图标 。

3. 点击策略名称旁边的锁定图标可锁定或解锁策略。

但是，解锁被其他管理员锁定的策略的能力受以下权限控制： 策略 (Policies) 访问控制 (Access Control)访问控制策略 (Access Control Policy)修改访问控制策略 (Modify Access Control Policy)覆盖访问控制策略锁定 (Override Access Control Policy Lock)。默认情况下，会为管理员用户角色启用此权限。建议您不要启用此权限。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》中的 访问控制策略的日志记录设置。

要保护系统数据及其可用性，请对您的 防火墙管理中心 执行定期备份。备份功能显示在 防火墙管理中心 Web 界面中的 “系统”(System)”“工具”(Tools)”“备份/恢复”(Backup/Restore) 下。了解更多信息, 参见在 《Cisco 安全防火墙管理中心管理指南》, 7.6.中的备份防火墙管理中心。

防火墙管理中心 提供在远程设备上自动存储备份的功能。不建议对强化的系统使用此功能，因为无法保护 防火墙管理中心 与远程存储设备之间的连接。

如果您在升级后 30 天内获知威胁防御易受攻击，并在升级期间保存了恢复快照，则可以恢复（推荐）。恢复 防火墙威胁防御 可将软件恢复到上次主要或维护升级前的状态。修补后恢复必然也会删除补丁。

有关恢复的更多信息，包括恢复和不恢复的配置、恢复高可用性和集群设备的准则以及任何其他要求，请参阅 防火墙管理中心上当前运行的版本的升级指南。

防火墙管理中心 提供了将大量系统配置（例如策略、自定义表和报告模板）导出到文件的功能，然后可以使用该文件将这些相同的配置导入到运行相同 Firepower 版本的另一个 。您可以将这些配置导入另一个运行相同版本的 防火墙管理中心 。当管理员向部署添加新设备时，此功能可帮助节省时间，但必须谨慎使用它以防止安全漏洞。在使用导出/导入功能时，请记住以下注意事项：

• 确保 FMC 与 Web 浏览器之间的通信安全，以保护正在传输的配置信息。防火墙管理中心请参阅保护 防火墙管理中心 与 Web 浏览器之间的通信。

• 安全访问存储导出的配置文件的本地计算机；保护此文件对于确保 Firepower 部署的安全性非常重要。

• 如果导出使用包含私钥的 PKI 对象的配置，系统会在导出之前解密私钥；导出的私钥以明文形式存储。导入时，系统会使用随机生成的密钥加密密钥。

配置导出和导入功能位于 防火墙管理中心 Web 界面的之下。系统>工具>导入/导出有关此功能的详细信息，请参阅 《Cisco 安全防火墙管理中心管理指南 7.6》中的“导入/导出”。

如果部署导致管理中心和威胁防御之间的管理连接断开，您现在就可以启用配置的自动回滚。如果您使用数据接口进行管理中心访问，并且错误配置了数据接口，则会发生部署的自动回滚。

我们建议您使用 设备 /设备管理/设备/ 部署设置上启用自动回滚设置，并配置连接监控间隔。高可用性或集群部署不支持回滚。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》。

防火墙管理中心 提供多种类型的报告，所有报告都包含敏感信息，您应该防止未经授权的人员访问。此处讨论的所有报告类型都可以从 防火墙管理中心 以未加密的形式下载到本地计算机。在下载报告之前，请确保 防火墙管理中心 与 web 浏览器之间的通信安全，以保护正在传输的信息。请参阅保护 防火墙管理中心 与 Web 浏览器之间的通信。）此外，安全访问存储任何报告的本地计算机。

• 标准报告是有关系统所有方面的详细可自定义报告，以 HTML、CSV 和 PDF 格式提供。风险报告是组织中发现的风险的 HTML 格式摘要。

  在 防火墙管理中心 web 界面上，标准和风险报告都位于下。对于这些报告，除本地下载外，Firepower 还提供两种存储选项，每种都存在安全风险：

  • 您可以自动通过电子邮件将报告发送到选定的服务器。不建议在强化的系统中使用此功能，因为无法确保电子邮件安全。

  • 您可以在远程设备上自动存储报告。不建议对强化的系统使用此功能，因为无法保护 防火墙管理中心 与远程存储设备之间的连接。

  有关设计和生成标准报告和风险报告的完整信息，请参阅《Firepower 管理中心配置指南，版本 7.6》中的“使用报告”。

• 用于故障排除的运行状况监控报告包含思科 TAC 可用于诊断系统问题的信息。要从 防火墙管理中心 Web 界面生成这些报告，请使用 系统>状况>监控 ，然后按照《 Cisco 安全防火墙管理中心配置指南，版本 7.6》中“用于故障排除的运行状况监控报告”下的说明操作。防火墙管理中心 会生成 .tar.gz 格式的故障排除文件。

• 策略报告是 PDF 文件，提供有关策略当前保存配置的详细信息。

• 使用比较报告来检查策略更改，以确保符合组织的标准或优化系统性能。您可以检查两个策略之间或者已保存策略与正在运行的配置之间的差异。要生成比较报告（仅适用于 PDF 格式），请访问要比较的策略类型的管理页面，然后选择比较策略。参见Cisco 安全防火墙管理中心设备配置指南, 7.6的“比较政策”。

您可以配置 防火墙管理中心 以在发生选定事件时，向外部服务器发出被称为警报响应的通知。虽然这些警报在监控系统活动时非常有用，但如果无法保证与外部服务器的连接，会带来安全风险。

防火墙管理中心 支持以三种不同的形式发送警报响应：

• 无法保障发送到系统日志的警报响应。（防火墙管理中心 Web 界面的 防火墙管理中心）；我们不建议将 配置为在强化的环境中发送此类警报。

• 如果您配置与邮件中继主机的连接以使用加密（TLS 或 SSLv3）并且要求提供用户名和密码，则可以保护 防火墙管理中心 通过电子邮件发送到外部服务器的信息。通过 防火墙管理中心 Web 界面，使用 系统 > 配置>邮件通知执行此操作。有关详细信息，请参阅《Cisco 安全防火墙管理中心管理指南 7.6》中的“配置邮件中继主机和通知地址”。

  一旦保障与邮件中继主机的连接，这将保护 防火墙管理中心 使用以下功能传输的数据：

  • 电子邮件警报响应，请参阅《Firepower 管理中心配置指南，版本 7.6》中的“创建电子邮件警报响应”。(使用 防火墙管理中心 Web 界面中的 策略 >操作>警告>创建警告 配置该设置。)

  • 数据修剪通知，请参阅《Firepower 管理中心配置指南，版本 7.6》中的“配置数据库事件限制”。(在 防火墙管理中心 Web 界面中的 系统>配置>数据库 下配置此设置。）

• Alerts sent to an SNMP server can be secured by using the following options under Policies > Actions > Alerts > Create Alert > Create SNMP Alert in the 防火墙管理中心 web interface:

  • 对版本使用 SNMP v3。此协议支持：

    • 身份验证算法，例如 SHA、SHA224、SHA256 和 SHA384。

    • 使用 AES256、AES192 和 AES128 加密。

    • 只读用户

  • 选择用于保护连接（MD5 或 SHA）安全并提供密码的身份验证协议。

  • 为隐私协议选择 DES ， AES，或 AES128，并提供密码。密钥越长，其提供的安全性就越高，但性能会随之降低。

  • 提供系统将用于对消息进行编码的引擎 ID。我们建议您使用十六进制版本的 防火墙管理中心 IP 地址。例如，如果 防火墙管理中心 的 IP 地址为 10.1.1.77，请使用 0a01014D0。

  您应该限制访问列表，以便对 防火墙管理中心 将向其发送 SNMP 警报的特定主机进行 SNMP 访问。选择系统>配置>访问列表参见 Cisco 安全防火墙中心管理指南管理指南，7.6 “配置一个访问列表。”。

  防火墙管理中心 还支持 SNMP 轮询。要保护此功能，请参阅 保护 SNMP 轮询。

重要	虽然您可以从防火墙管理中心设置与 SNMP 或 SMTP 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

有关外部警报的完整信息，请参阅《Cisco 安全防火墙管理中心管理指南，版本 7.6中的“带有警报响应的外部警报”。

防火墙管理中心 维护只读的用户活动日志，通过配置。为节省 防火墙管理中心 上的内存资源，您可以将这些日志存储在外部（流式传输到系统日志或 HTTP 服务器）。但是，这样做会带来安全风险，除非您通过启用 TLS 并使用 TLS 证书建立相互身份验证来保护审核日志流式传输通道。有关详细信息，请参阅 《Cisco 安全防火墙管理中心管理指南 7.6》中的“安全流审核日志”。

通过 Event Streamer (eStreamer)，您可以将几种事件数据从 防火墙管理中心 传输到自定义开发的客户端应用。有关详细信息，请参阅您的版本的 Firepower eStreamer 集成指南。如果您的组织选择创建和使用 eStreamer 客户端，请采取以下预防措施：

• 使用行业最佳安全实践开发应用程序

• 配置 防火墙管理中心 与 eStreamer 客户端之间的连接，以便数据传输安全。选择 集成>其他集成>eStreamer>创建客户提供密码以将保护与运行 eStreamer 客户端之主机的连接的证书文件加密，以完成此操作。有关详细信息，请参阅 《Cisco 安全防火墙管理中心管理指南，7.6》中的“配置 eStreamer 客户端通信”。

您可以使用 Cisco 安全分析和日志记录（本地）存储防火墙管理中心防火墙事件数据，以便在更长的保留期内增加存储量。

从 防火墙管理中心 到 Cisco 安全网络分析管理器的查询是通过 TLS 加密连接进行的。默认情况下，安全分析和日志记录使用 防火墙管理中心 可以自动下载的自签名证书。为保护与安全分析和日志记录的连接，我们建议您：

• 通过安全通道手动传输证书并将其上传到 防火墙管理中心。

• 使用由全球知名且值得信赖的证书颁发机构生成的证书。

Cisco Security Analytics and Logging（本地部署）：使用事件查看器确保在配置系统日志功能时选择安全选项。

确保第三方客户端应用程序没有 防火墙管理中心 数据库的访问权限；在 防火墙管理中心 Web 界面的下方，确保未选中允许外部数据库访问复选框。有关详细信息，请参阅 Cisco 安全防火墙管理中心指南，版本 7.6 中的“外部数据库访问” 。

有权和无权访问 防火墙管理中心 的用户都可以查看系统登录页面。自定义登录横幅，使其仅显示适合所有人看到的信息。在 防火墙管理中心 Web 界面上，选择 系统>配置>登录横幅。了解更多信息, 参见Cisco 安全防火墙管理中心管理指南, 7.6的“日志标识”。

防火墙管理中心 身份策略使用身份源对网络用户进行身份验证，并收集用户数据以便提高用户意识和控制能力。要建立用户身份源，需要在 防火墙管理中心 或受管设备与以下服务器类型之一之间建立连接：

• Microsoft Azure AD

• Microsoft Active Directory

• Linux Open LDAP

• RADIUS

重要	尽管可以从 防火墙管理中心设置到 LDAP、Microsoft AD 或 RADIUS 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

注	如果选择将 LDAP 或 Microsoft AD 用于外部身份验证，请查看强化外部用户帐户中的信息。

注	防火墙管理中心 使用这些服务器中的每一个来支持可能的用户身份功能的不同组合。有关完整信息，请参阅《Cisco 安全防火墙管理中心配置指南，版本 7.6》中的“关于用户身份源”。

注	防火墙管理中心 Firepower 还可以使用 RADIUS 服务器为您的网络提供 VPN 功能。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》“VPN 概述”。

使用 Active Directory 和 LDAP 服务器保护连接的安全：

被称为领域的 防火墙管理中心对象描述与 Active Directory 或 LDAP 服务器上的域关联的连接设置。有关配置领域的完整信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，版本 7.6》中的“创建和管理领域”。

当您创建一个域 (集成 > 其他集成 > 领域 在 防火墙管理中心 web 界面) 时，记住 将 AD 或 LDAP 服务器进行安全连接:

对于与 Active Directory 服务器关联的领域：

• 为 AD 加入密码和目录密码选择强密码。

• 将目录添加到 Active Directory 领域时：

  • 为加密模式选择 STARTTLS 或 LDAPS（不要选择无）。

  • 指定用于对 Active Directory 域控制器进行身份验证的 SSL 证书。我们建议使用由全球知名且值得信赖的证书颁发机构生成的证书。

对于与 LDAP 服务器关联的领域：

• 为目录密码选择强密码。

• 将目录添加到 LDAP 领域时：

  • 为加密模式选择 STARTTLS 或 LDAPS（不要选择无）。

  • 指定用于对 LDAP 服务器进行身份验证的 SSL 证书。我们建议使用由全球知名且值得信赖的证书颁发机构生成的证书。

保护与 RADIUS 服务器的连接：

要配置与 RADIUS 服务器的连接，请创建 RADIUS 服务器组对象（在 web界面的的 防火墙管理中心 对象>对象管理>AAA服务器>RADIUS 服务器组 ），然后将 RADIUS 服务器添加到组。要保护与 RADIUS 服务器的连接，请在新建 RADIUS 服务器对话框中选择以下选项：

• 提供密钥和确认密钥以加密受管设备与 RADIUS 服务器之间的数据。

• 为可以支持安全数据传输的连接指定一个接口。

• Microsoft Azure AD

ASA 支持使用 Enrollment over Secure Transport (EST) 进行证书注册。

您可以通过安全通道为 防火墙威胁防御 配置证书注册。EST-设备使用安全传输注册从 CA 获取身份证书。EST 使用 TLS 进行安全邮件传输。

要配置 EST：

1. 选择对象 > 对象管理 > PKI > 证书注册。

2. 点击 添加证书注册 ，然后点击 “CA 信息” 选项卡。

3. 从注册类型 下拉列表中，选择 EST。

如果您不希望 防火墙威胁防御 验证 EST 服务器证书，建议您不要选中 Ignore EST Server Certificate Validations 复选框。默认情况下， 防火墙威胁防御 验证 EST 服务器证书。EST 注册类型仅支持 RSA 和 ECDSA 密钥，不支持 EdDSA 密钥。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》“证书注册对象 EST 选项”。

在 防火墙管理中心 和 防火墙威胁防御 7.0 及更高版本上，您无法使用 RSA 加密算法注册使用 RSA 密钥大小小于 2048 位的密钥和密钥。要覆盖这些限制，可以使用 启用弱加密 选项 (设备 > 证书)。默认情况下，弱加密选项已禁用。我们不建议允许使用弱加密密钥，因为此类密钥不如具有更大密钥大小的密钥安全。您可以启用弱加密，以允许验证对等证书等。但是，此配置不适用于证书注册。

配置证书验证

您可以使用特定 CA 证书验证 SSL 或 IPSec 客户端，并使用 CA 证书验证来自 SSL 服务器的连接。要配置验证使用类型，请执行以下操作：

1. 在 FMC 中，导航至对象 > 对象管理 > PKI > 证书注册。

2. 点击 添加证书注册 ，然后点击 “CA 信息” 选项卡。

3. 验证使用-选择在 VPN 连接期间验证证书的选项

   • IPsec 客户端 - 验证 IPsec 站点间 VPN 连接的客户端证书。

   • SSL 客户端-在远程访问 VPN 连接尝试期间验证 SSL 客户端证书。

   • SSL 服务器-选择以验证 SSL 服务器证书，例如作为 Cisco Umbrella 服务器证书。

防火墙威胁防御 设备会根据访问规则中使用的任何网络或接口对象的内容，将访问控制规则扩展为多个访问控制列表条目。您可以通过启用对象组搜索（设备>设备管理>设备>高级设置）来减少搜索访问规则所需的内存。启用对象组搜索后，系统不会扩展网络或接口对象，而是根据这些组定义在访问规则中搜索匹配项。

但是，请务必注意，对象组搜索还可能会降低规则查找性能，从而提高 CPU 利用率。您应该在 CPU 影响与降低特定访问控制策略的内存要求之间取得平衡。对于低端 Firepower 设备（例如 1000 系列、2110 和 2120），CPU 利用率的增加会使设备速度变慢。在大多数情况下，启用对象组搜索可提高网络运营性能。默认现在将启用对象组搜索设置。

如果您启用对象组搜索，然后配置并操作设备一段时间，请注意，随后禁用该功能可能会导致不良结果。如果禁用对象组搜索，现有访问控制规则将按照设备的运行配置进行扩展。如果扩展所需的内存超过设备上的可用内存，设备可能会处于不一致状态，并且可能会影响性能。如果设备运行正常，则在启用对象组搜索后不应将其禁用。有关详细信息，请参阅《Cisco 安全防火墙管理中心 设备配置指南，7.6》 “配置对象组搜索”。

。

防火墙管理中心 软件依赖于复杂的底层固件和操作系统软件。这些底层软件组件自带有必须解决的安全风险：

• 为网络建立操作安全流程，将安全问题考虑在内。

• 对于 防火墙管理中心 型号 1000、1600、2000、2500、2600、4000、4500 和 4600，要强化作为 防火墙管理中心 软件基础的硬件设备的组件，请参阅《Cisco UCS 强化指南》。