您的组织只能使用符合由美国国防部和其他政府认证机构制定的安全标准的设备和软件。一旦经过相应认证机构的认证，并且按照认证特定的指导文档进行配置，防火墙威胁防御的设计符合以下认证标准：

• 通用标准 (CC)：国际共同标准承认协定建立的全球标准，用于定义对安全产品的要求。

• 国防部信息网络获批产品列表 (DoDIN APL)：符合美国国防信息系统机构 (DISA) 建立的安全要求的产品列表。

  注	美国政府已将统一功能获批产品列表 (UCAPL) 的名称改为 DODIN APL。本文档和 防火墙管理中心Web 接口中对 UCAPL 的引用可以解释为对 DODIN APL 的引用。

• 联邦信息处理标准 (FIPS) 140：针对加密模块的要求规范。

认证指导文档在产品认证完成后将单独提供；本强化指南的发布并不保证完成任何产品认证。

本文档所述的配置设置不能保证严格遵守认证实体的所有最新要求。有关必要强化程序的详细信息，请参阅由认证实体提供的关于此产品的相关规定。

本文档提供有助增强 防火墙威胁防御 安全性的指导，但即使使用本文所述的配置设置，部分 防火墙威胁防御 功能也不支持认证合规性。有关详细信息，请参阅《Cisco安全防火墙管理中心配置指南，版本 7.6》中的“安全证书合规性建议”。我们努力确保此强化指南和《Cisco 安全防火墙管理中心管理指南，版本 7.6》不会与证书特定指导原则发生冲突。如果发现思科文档和认证指南之间出现冲突，请以认证指南为准或者咨询系统所有者。

Cisco 会定期发布 Firepower 软件更新以解决问题并做出改进。保持系统软件为最新状态对于维护强化的系统至关重要。确保系统软件已正确更新。有关详细信息，请参阅 Cisco Secure Firewall Management Center 管理指南 7.6和 Cisco Secure Firewall Management Center 升级指南。

Cisco 还会定期针对 Firepower 用于保护您的网络和资产的数据库发布更新。要提供最佳保护，请确保地理位置、入侵规则和漏洞数据库为最新。防火墙管理中心在更新 Firepower 部署的任何组件之前，您必须阅读更新随附的。这些内容提供版本特定的关键信息，包括兼容性、前提条件、新功能、行为更改和警告。有些更新可能很大，需要一些时间才能完成；您应该在网络使用率较低的时段执行更新，以减少对系统性能的影响。

地理位置数据库

地理位置数据库 (GeoDB) 包含地理数据，例如国家/地区和城市坐标。管理中心检测与已经检测到的 IP 地址匹配的 GeoDB 信息时，您可以查看与 IP 地址关联的地理位置信息。

要从管理中心 Web 接口更新 GeoDB，请使用 系统 () > 内容更新 > 地理位置更新。您可以执行以下操作：

• 在没有互联网访问权限的管理中心上更新 GeoDB。

• 在可访问互联网的管理中心更新 GeoDB。

• 在可访问互联网的管理中心安排 GeoDB 的定期自动更新。

有关详细信息，请参阅 《Cisco 安全防火墙管理中心管理指南 7.6》中的“更新地理位置数据库 (GeoDB)”。

入侵规则

随着新漏洞的暴露，思科 Talos 安全情报和研究小组 (Talos) 会发布可导入到 防火墙管理中心 上的入侵规则更新（亦称为 Snort 规则更新，简称 SRU），然后通过将已更改的配置部署到受管设备进行实施。这些更新会影响入侵规则、预处理器规则和使用这些规则的策略。

Web 界面提供三种方法来更新入侵规则，全部位于系统 () > 内容更新 > 规则更新之下：

• 更新无互联网接入的 防火墙管理中心 上的入侵规则。

• 请更新可以访问互联网的 防火墙管理中心 上的入侵规则。

• 在可以访问互联网的设备 防火墙管理中心 上安排入侵规则的定期自动更新。

有关这些字段的信息，请参阅 Cisco 安全防火墙管理中心管理指南， 7.6 版中 入侵事件字段的部分。

也可以使用系统 () > 内容更新 > 规则更新导入本地入侵规则。可以使用 Snort 用户手册（可在 http://www.snort.org 上获取）中的说明创建本地入侵规则。在将其导入到 防火墙管理中心 之前，请参阅《Cisco 安全防火墙管理中心管理指南，版本 7.6》中的“导入本地入侵规则指引”，确保导入本地入侵规则的过程符合您的安全策略。

漏洞数据库

漏洞数据库 (VDB) 是可能影响主机的已知漏洞以及操作系统指纹、客户端指纹和应用指纹的数据库。系统借助 VDB 来确定某个特定主机是否会增加遭受危害的风险。

防火墙管理中心 Web 界面提供两种更新 VDB 的方法：

• 手动更新 VDB系统 () > 内容更新 > VDB 更新

• 安排 VDB 更新 系统 () > 工具 > 计划

有关详细信息，请参《Cisco 安全防火墙管理指南中的 ，7.6》更新漏洞数据库 。

安全智能列表和源

安全智能 列表 和 源 是 IP 地址，域名和 URL 的集合，可用于快速过滤与列表或源上的条目匹配的流量。

有系统提供的源和预定义列表。您还可以使用自定义源和列表。要查看这些列表和源，请选择 对象 (Objects) > 对象管理 (Object Management) > 安全智能 (Security Intelligence)。作为系统提供源的一部分，Cisco 提供以下源作为安全智能对象：

• 安全智能源定期更新来自以下方面的最新威胁智能：

  • Cisco-DNS-and-URL-Intelligence-Feed（在 DNS 列表和源下）

  • Cisco 智能馈送（对于 IP 地址，在网络列表和馈送下）

  虽然无法删除系统提供的源，但可以更改其更新频率（或禁用更新）。 防火墙管理中心现在可以每 5 或 15 分钟更新一次安全情报数据。

• Cisco-TID-Feed（在网络列表和源下）

  相反，您必须启用并配置 以使用此源，它是 TID 可观察对象数据的集合。

有关详细信息，请参阅《Cisco 安全防火墙管理中心设备设备配置指南 ，版本，7.6》 “自定义安全智能清单和数据”。

要通过单个设置应用多个强化的配置更改，请为 防火墙威胁防御 选择 CC 或 UCAPL 模式。应用该设定通过 防火墙管理中心 web 界面 在防火墙威胁防御 平台设置政策, 能够在设备> 平台设置找到. 在您部署新配置之前，更改不会在 防火墙威胁防御 上生效；有关完整详情，请参阅《Cisco 安全防火墙管理中心管理指南，版本 7.6》中的“启用安全证书合规性”。

选择这些配置选项之一，以使《Firepower 管理中心管理指南，版本 7.6》“安全证书合规性特征”之下所列的更改生效。请注意，您所有的部署中的所有设备都应在相同的安全证书合规性模式下运行。

小心	启用此设置后，您将无法将其禁用。在启用 CC 或 UCAPL 模式之前，请参阅《Firepower 管理中心配置指南，版本 7.6》中的“安全证书合规性”。如果您需要撤消此设置，请与思科 TAC 联系以获取帮助。

注	启用安全认证合规性不保证严格符合所选安全模式的所有要求。本文档介绍了一些额外设置，这些设置可以强化您的部署，使之比 CC 或 UCAPL 模式提供的部署更加强大。有关确保完全合规所需的强化程序的完整信息，请参阅由认证实体提供的此产品的相关规定。

Cisco IOS NetFlow 支持您实时监控网络中的流量。 防火墙威胁防御 可以与某些 NetFlow 功能配合使用，例如查看和重置运行时间计数器。（请参阅 show flow-export counters 和 clear flow-export counters CLI 命令。）

通过 防火墙管理中心 Web 界面，您可以禁用与 NetFlow 捕获的消息冗余的 防火墙威胁防御 系统日志消息。要执行此操作，请在下创建一个 防火墙威胁防御 平台设置策略，然后从菜单中选择系统日志。在系统安全日志设置选项卡上，选中 NetFlow 等效系统日志复选框（使用 show logging flow-export-syslogs CLI 命令确定哪些系统日志消息是冗余的。）

如果您使用 NetFlow 配置网络设备，可以充分利用这些功能。无论流信息是否导出到远程收集器，您都可以根据需要应变性地使用 NetFlow。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南， 7.6》。

您的安全防火墙部署可能会出于多种目的与其他网络资源交互。强化这些其他服务可以保护您的安全防火墙系统以及所有网络资产。要确定需要解决的所有问题，请尝试绘制网络及其组件、资产、防火墙配置、端口配置、数据流和桥接点的图表。

建立并遵守网络的操作安全流程，将安全问题考虑在内。

防火墙威胁防御 设备可使用多个协议与其他网络设备交互；选择网络通信的配置设置，以保护 防火墙威胁防御 设备及其发送和接收的数据。

• 默认情况下，防火墙威胁防御 设备允许每个 IP 数据包最多包含 24 个分段，以及最多 200 个等待重组的分段。如果您有定期对数据包进行分段的应用（如 NFS over UDP），可能需要让分段位于您的网络上。但是，零碎的数据包通常被用于拒绝服务 (DoS) 攻击，因此我们建议您不要允许分段。

  • 要为 防火墙威胁防御 设备配置分段设置，请在设备>平台设置下创建一个 防火墙威胁防御 平台设置策略，然后从左面板中中选择分段设置。

  • 要禁止 防火墙威胁防御 设备处理的网络流量中的片段，请将链（片段）选项设置为 1。

  有关完整说明，请参阅《Cisco 安全防火墙管理中心配置指南，版本 7.6》中的“配置片段处理”。

• 对于 防火墙管理中心管理的 防火墙威胁防御 设备，涉及 防火墙威胁防御 的 HTTPS 连接只能用于下载数据包捕获文件以进行故障排除。

  将 防火墙威胁防御 配置为仅允许应允许下载数据包捕获的 IP 地址进行 HTTPS 访问。 在 防火墙管理中心 Web 界面的设备>平台设置下创建一个 防火墙威胁防御 平台设置策略，然后从目录中选择 HTTP访问。参见《 Cisco 安全防火墙管理中心设备配置指南，7.6》 “HTTP 访问”。

• 默认情况下， 防火墙威胁防御 可以使用 IPv4 或 IPv6 在任何接口上接收 ICMP 数据包，不过有两种情况例外：

  • 防火墙威胁防御 不响应定向至广播地址的 ICMP 回显请求。

  • 防火墙威胁防御 仅响应发送至流量进入的接口的 ICMP 流量；不能通过 防火墙威胁防御 接口将 ICMP 流量发送至远端接口。

  为了保护 防火墙威胁防御 设备免受基于 ICMP 的攻击，您可以使用 ICMP 规则将 ICMP 访问限制为选定主机、网络或 ICMP 类型。在 防火墙管理中心 Web 界面的下创建一个 防火墙威胁防御 平台设置策略，然后从目录中选择 ICMP。了解更多详情，参见《 Cisco 安全防火墙管理中心 设备配置指南，7.6》“ICMP 访问”

• 防火墙威胁防御 可以配置为提供 DHCP 和 DDNS 服务（请参阅《Cisco 安全防火墙管理中心配置指南，版本 7.6》中的“关于 DHCP 和 DDNS 服务”）。根据其性质，这些协议容易受到攻击。如果您选择将 防火墙威胁防御 设备配置为 DHCP 或 DDNS，则务必应用行业最佳实践来确保安全性、为您的网络资产提供物理保护，并强化用户对 防火墙威胁防御 设备的访问。

• 您可以在 Firepower 1000 系列、2100 系列和安全防火墙3100 上启用 LLDP。此功能使 防火墙威胁防御 能够与其启用 LLDP 的对等体交换数据包。默认情况下，端口上禁用 LLDP 传输和接收。通过 LLDP 发送的信息容易受到攻击。如果您选择将 防火墙威胁防御 设备配置为 LLDP，则务必应用行业最佳实践来确保安全性、为您的网络资产提供物理保护，并强化用户对 防火墙威胁防御 设备的访问。我们建议您启用防火墙，仅从其对等体接收 LLDP 数据包，以增强安全性。此操作可确保防火墙获取有关对等设备的信息，而不会向其他对等设备泄露其身份。有关详细信息，请参阅“ Cisco Secure 安全防火墙管理中心设备配置指南，7.6”中的“启用物理接口和配置以太网设置”

您可以配置 防火墙威胁防御 以提供两种虚拟专用网络 (VPN) 服务：远程访问 VPN (RA VPN) 和站点间 VPN。根据您的设备许可证，您可能可以对站点到站点 VPN 传输应用强加密。具有强加密功能的站点到站点 VPN 需要特殊许可；请参阅《Cisco 安全防火墙管理中心配置指南， 7.6》中的“出口控制功能的许可”。

远程访问虚拟专用网络

远程访问虚拟专用网络 (RA VPN) – 要通过 RA VPN 连接保护与远程客户端之间的消息传输，防火墙威胁防御 可以使用传输层安全 (TLS) 或 IPsec_IKEv2。

在您将 RA VPN 配置部署到 防火墙威胁防御之前， 防火墙管理中心 确保满足许可证前提条件。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6 》。

防火墙威胁防御 上的 RA VPN 支持使用 AD、LDAP、 SAML 身份提供程序 和 RADIUS AAA 服务器进行身份验证。当用户为 RA VPN 配置 AAA 设置时，我们建议您使用以下身份验证方法之一以增强安全性：

• 客户端证书和 SAML - 每个用户都使用客户端证书和 AAA 服务器进行身份验证。

• 客户端证书和 AAA - 每个用户都使用客户端证书和 AAA 服务器进行身份验证。

RA VPN 支持本地身份验证和多证书身份验证。

• 本地认证：您可以将此作为主要或辅助身份验证方法，或者在无法访问配置的远程服务器的情况下用作回退。我们建议您使用强密码进行本地身份验证。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》中的 “本地领域的远程访问 VPN 策略”。

• 多证书身份验证：您可以使用此身份验证方法来验证使用单证书身份验证的计算机或设备证书。除了对用户的身份证书进行身份验证以允许 RA VPN 访问之外，这样还可以确保设备是公司颁发的设备。我们建议使用此身份验证方法。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南》的“配置多证书验证”。

站点间虚拟专用网络

站点间虚拟专用网络 – 要通过站点到站点 VPN 连接保护与远程网络之间的消息传输，防火墙威胁防御 可以使用 IPSEC_IKEv1 或 IPSEC_IKEv2。

站点间 VPN 有两种类型：基于策略（加密映射）和基于路由（虚拟隧道接口 (VTI)）。建议您使用基于路由的 VTI VPN 来增强安全性。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南》 “站点间 VPN 传输”。

配置 防火墙威胁防御 VPN IKE 和 IPsec 选项（ 设备 >VPN>站点间站点 >添加 )，然后点击 IKE 或 IPsec 选项卡），我们建议您：

• 选择 IKEv2。

• 使用强密钥作为预共享手动密钥。

• 使用默认 IKEv2 策略。例如，AES-GCM-NULL-SHA-LATEST。

• 选中启用安全关联 (SA) 强度实施复选框

  启用此选项可确保子 IPsec SA 使用的加密算法不比父 IKE SA 更强 (根据密钥中的位数)。

• 选中 Enable Perfect Forward Secrecy 复选框。

  此选项为每个加密交换生成和使用唯一会话密钥。此唯一会话密钥可保护交换免于后续解密。如果选择此选项，也请选择在模数组 (Modulus Group) 列表中生成 PFS 会话密钥时使用的 Diffie-Hellman 密钥导出算法。

有关防火墙威胁防御 VPN IKE 选择的详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》 。

需要配置这些服务，参见《Cisco 安全防火墙管理中心设备配置指南，7.6》“VPN概述”。

防火墙管理中心 支持各种加密和哈希算法，以及可供选择的 Diffie-Hellman 组。选择强加密可能会导致系统性能降低，因此必须在安全性和性能之间实现平衡，在提供充分保护的同时不牺牲效率。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南 7.6》 “VPN该如何安全连接？”

防火墙威胁防御 支持两种类型的用户：

• 内部用户 - 设备在本地数据库中检查用户。

• 外部用户 - 如果本地数据库中没有用户，则系统会查询外部 LDAP 或 RADIUS 身份验证服务器。

您可以考虑通过外部身份验证机制（如 LDAP 或 RADIUS）建立用户访问权限，以将用户管理与网络环境中的现有基础设施集成，或利用双因素身份验证等功能。建立外部身份验证需要在 防火墙管理中心 Web 界面中创建外部身份验证对象；可以共享外部身份验证对象，以便为 防火墙管理中心 和 防火墙威胁防御 验证外部用户。

请注意，如果使用外部身份验证，您必须为部署配置域名服务器。确保遵循适用于 DNS 的强化建议。请参阅保护域名系统 (DNS)

防火墙威胁防御 管理的 防火墙管理中心设备提供单一的用户访问方式：对于物理设备，可以通过 SSH、串行或键盘和显示器连接访问的命令行界面。使用某些配置设置时，这些用户还可以访问 Linux 外壳程序。

要保护系统数据及其可用性，请对您的 防火墙威胁防御 执行定期备份。备份功能显示在 防火墙管理中心 Web 界面中的 系统 >工具 >备份/恢复 中， 《Cisco 安全防火墙管理中心管理指南》7.6中的“备份/恢复”中对此进行了说明。要恢复保存的 防火墙威胁防御 配置，请使用 防火墙威胁防御CLI restore 命令。

防火墙管理中心 提供在远程设备上自动存储备份的功能。不建议对强化的系统使用此功能，因为无法保护 防火墙管理中心 与远程存储设备之间的连接。

如果您在升级后 30 天内获知威胁防御易受攻击，并在升级期间保存了恢复快照，则可以恢复（推荐）。恢复 防火墙威胁防御 可将软件恢复到上次主要或维护升级前的状态。修补后恢复必然也会删除补丁。

有关恢复的更多信息，包括恢复和不恢复的配置、恢复高可用性和集群设备的准则以及任何其他要求，请参阅 防火墙管理中心上当前运行的版本的升级指南。

防火墙威胁防御 CLI 可用于将特定文件从 防火墙威胁防御 下载到本地计算机。此功能旨在帮助您收集信息以便在排除系统故障时提供给思科 TAC，平时不应随便使用。请采取预防措施保护从 防火墙威胁防御 下载的任何文件；下载时选择最安全的选项、保护存储数据的本地计算机的安全，并且在将文件传输到 TAC 时使用最安全的协议。尤为重要的是，使用以下命令时，请注意可能存在的风险：

• show asp inspect-dp snort queue-exhaustion [snapshot snapshot_id] [export location]

  export 选项仅支持 TFTP。

• file copy host_name user_id path filename_1 [filename_2 ... filename_n]

  此命令会使用不安全 FTP 将文件传输到远程主机。

• copy [/noverify] /noconfirm {/pcap capture:/[buffer_name] | src_url | running-config | startup-config} dest_url

  src_url 和 dest_url 的以下选项提供保护复制数据安全的方法：

  • 内部闪存

  • 系统内存

  • 可选的外置闪存驱动器

  • 使用密码保护的 HTTPS

  • 使用密码保护的 SCP，在 SCP 服务器上指定目标接口

  • 使用密码保护的 FTP

  • 使用密码保护的 TFTP，在 TFTP 服务器上指定目标接口

  我们建议您不要在强化的系统中使用 src_url 和 dest_url 选项：

  • SMB UNIX 服务器本地文件系统

  • 群集跟踪文件系统。（启用了安全认证合规性的系统不支持群集。）

• cpu profile dump dest_url

  dest_url 的以下选项提供保护转储数据安全的方法：

  • 内部闪存

  • 可选的外置闪存驱动器

  • 使用密码保护的 HTTPS

  • SMB UNIX 服务器本地文件系统

  • 使用密码保护的 SCP，在 SCP 服务器上指定目标接口

  • 使用密码保护的 FTP

  • 使用密码保护的 TFTP，在 TFTP 服务器上指定目标接口

  我们建议您不要在强化的系统中将群集文件系统用于 src_url 和 dest_url 选项：

• file secure-copy host_name user_id path filename_1 [filename_2 ... filename_n]

  使用 SCP 将文件复制到远程主机。

防火墙威胁防御 可以将系统日志消息发送到外部系统日志服务器；配置系统日志功能时选择安全选项：

1. 在 设备>平台设置下创建一个 防火墙威胁防御 平台设置策略，然后从左侧窗格中选择 系统日志 。在系统日志服务器选项卡下添加系统日志服务器时，确保选择 TCP 协议并选中启用安全系统日志复选框。这些选项适用于 防火墙威胁防御 生成的系统日志消息（如果您未在设备配置中的其他位置覆盖它们）。

   注	默认情况下，启用安全系统日志时，如果使用 TCP 的系统日志服务器关闭，则 防火墙威胁防御 不会前转流量。要覆盖此行为，选中TCP 系统日志服务器关闭时，允许用户流量通过复选框。

使用这两个配置设置时，防火墙威胁防御 系统日志的行为如下：

• 平台设置策略中的系统日志设置适用于与设备和系统运行状况以及网络配置相关的系统日志消息。

• 平台设置中的系统日志设置适用于连接和安全智能事件，除非您在《思科 Firepower 管理中心配置指南，版本 7.6》的“配置和安全情报事件系统日志的配置位置（所有设备）”中列出的任何位置，覆盖访问控制策略的设置。这些覆盖不提供安全的系统日志选项，因此我们建议您不要在安全的环境中使用它们。

• 平台设置策略中的系统日志设置适用于入侵事件系统日志，除非您在《Cisco 安全防火墙管理中心管理指南，版本 7.6》的“安全事件系统日志的配置位置中列出的任何位置，覆盖访问控制策略的设置。这些覆盖不提供安全的系统日志选项，因此我们建议您不要在安全的环境中使用它们。

您可以配置 防火墙威胁防御 设备，使其在用户登录到 CLI 时向他们传递必要的信息。从安全角度来看，登录横幅应阻止未经授权的访问；请考虑下例所示的文本：

• 您已登录到安全设备。如果您无权访问此设备，请立即注销，否则可能面临刑事指控。

要为 防火墙威胁防御 设备配置登录横幅 ，请在设备>平台设置下创建一个 防火墙威胁防御 平台设置策略，然后从左面板中选择横幅。关于全部说明，请参见 Cisco 安全防火墙管理中心设备配置指南，7.6中的“横幅”。

身份策略使用身份源对网络用户进行身份验证，并收集用户数据以便提高用户意识和控制能力。要建立用户身份源，需要在 防火墙管理中心 或受管设备与以下服务器类型之一之间建立连接：

• Microsoft Azure AD

• Microsoft Active Directory

• Linux Open LDAP

• RADIUS

重要	尽管可以从防火墙威胁防御 设置到 LDAP、Microsoft AD 或 RADIUS 服务器的安全连接，但身份验证模块不符合 FIPS 标准。

注	如果选择将 LDAP 或 Microsoft AD 用于外部身份验证，请查看强化外部用户帐户中的信息。

注	防火墙威胁防御 Firepower 使用这些服务器中的每一个来支持可能的用户身份功能的不同组合。有关完整信息，请参阅《Firepower 管理中心配置指南，版本 7.6》中的“关于用户身份源”。

使用 Active Directory 和 LDAP 服务器保护连接的安全：

被称为领域的 Firepower 对象描述与 Active Directory 或 LDAP 服务器上的域关联的连接设置。有关详细信息，请参阅《Cisco Secure Firewall Management Center 设备配置指南，7.6》。

当您创建领域（在 防火墙管理中心 web 界面的集成> 其他集成>领域中）时，请记住以下几点，以确保与 AD 或 LDAP 服务器的连接安全：

对于与 Active Directory 服务器关联的领域：

• 为 AD 加入密码和目录密码选择强密码。

• 将目录添加到 Active Directory 领域时：

  • 为加密模式选择 STARTTLS 或 LDAPS（不要选择无）。

  • 指定用于对 Active Directory 域控制器进行身份验证的 SSL 证书。我们建议使用由全球知名且值得信赖的证书颁发机构生成的证书。

对于与 LDAP 服务器关联的领域：

• 为目录密码选择强密码。

• 将目录添加到 LDAP 领域时：

  • 为加密模式选择 STARTTLS 或 LDAPS（不要选择无）。

  • 指定用于对 LDAP 服务器进行身份验证的 SSL 证书。我们建议使用由全球知名且值得信赖的证书颁发机构生成的证书。

保护与 RADIUS 服务器的连接：

要配置与 RADIUS 服务器的连接，请创建 RADIUS 服务器组对象（在 web 界面的防火墙管理中心），然后将 RADIUS 服务器添加到组。要保护与 RADIUS 服务器的连接，请在新建 RADIUS 服务器对话框中选择以下选项：

• 提供密钥和确认密钥以加密受管设备与 RADIUS 服务器之间的数据。

• 为可以支持安全数据传输的连接指定一个接口。

注	仅当部署中的受管 防火墙威胁防御 设备配置为提供远程访问 VPN（将用作用户身份源）时，Firepower 才会连接到用于用户身份的 RADIUS 服务器。防火墙威胁防御有关配置远程访问 VPN 的信息，请参阅强化网络协议设置。

ASA 支持使用 Enrollment over Secure Transport (EST) 进行证书注册。

您可以通过安全通道为 防火墙威胁防御 配置证书注册。EST-设备使用安全传输注册从 CA 获取身份证书。EST 使用 TLS 进行安全邮件传输。

要配置 EST：

1. 选择对象 > 对象管理 > PKI > 证书注册。

2. 点击 添加证书注册 ，然后点击 “CA 信息” 选项卡。

3. 从注册类型 下拉列表中，选择 EST。

如果您不希望 防火墙威胁防御 验证 EST 服务器证书，建议您不要选中 Ignore EST Server Certificate Validations 复选框。默认情况下， 防火墙威胁防御 验证 EST 服务器证书。EST 注册类型仅支持 RSA 和 ECDSA 密钥，不支持 EdDSA 密钥。有关详细信息，请参阅《Cisco 安全防火墙管理中心设备配置指南，7.6》“证书注册对象 EST 选项”。

在 防火墙管理中心 和 防火墙威胁防御 7.0 及更高版本上，您无法使用 RSA 加密算法注册使用 RSA 密钥大小小于 2048 位的密钥和密钥。要覆盖这些限制，可以使用 启用弱加密 选项 (设备 > 证书)。默认情况下，弱加密选项已禁用。我们不建议允许使用弱加密密钥，因为此类密钥不如具有更大密钥大小的密钥安全。您可以启用弱加密，以允许验证对等证书等。但是，此配置不适用于证书注册。

配置证书验证

您可以使用特定 CA 证书验证 SSL 或 IPSec 客户端，并使用 CA 证书验证来自 SSL 服务器的连接。要配置验证使用类型，请执行以下操作：

1. 在 FMC 中，导航至对象 > 对象管理 > PKI > 证书注册。

2. 点击 添加证书注册 ，然后点击 “CA 信息” 选项卡。

3. 验证使用-选择在 VPN 连接期间验证证书的选项

   • IPsec 客户端 - 验证 IPsec 站点间 VPN 连接的客户端证书。

   • SSL 客户端-在远程访问 VPN 连接尝试期间验证 SSL 客户端证书。

   • SSL 服务器-选择以验证 SSL 服务器证书，例如作为 Cisco Umbrella 服务器证书。

防火墙威胁防御 设备会根据访问规则中使用的任何网络或接口对象的内容，将访问控制规则扩展为多个访问控制列表条目。您可以通过启用对象组搜索（设备>设备管理>设备>高级设置）来减少搜索访问规则所需的内存。启用对象组搜索后，系统不会扩展网络或接口对象，而是根据这些组定义在访问规则中搜索匹配项。

但是，请务必注意，对象组搜索还可能会降低规则查找性能，从而提高 CPU 利用率。您应该在 CPU 影响与降低特定访问控制策略的内存要求之间取得平衡。对于低端 Firepower 设备（例如 1000 系列、2110 和 2120），CPU 利用率的增加会使设备速度变慢。在大多数情况下，启用对象组搜索可提高网络运营性能。默认现在将启用对象组搜索设置。

如果您启用对象组搜索，然后配置并操作设备一段时间，请注意，随后禁用该功能可能会导致不良结果。如果禁用对象组搜索，现有访问控制规则将按照设备的运行配置进行扩展。如果扩展所需的内存超过设备上的可用内存，设备可能会处于不一致状态，并且可能会影响性能。如果设备运行正常，则在启用对象组搜索后不应将其禁用。有关详细信息，请参阅《Cisco 安全防火墙管理中心 设备配置指南，7.6》 “配置对象组搜索”。

。

防火墙威胁防御 软件依赖于复杂的底层固件和操作系统软件。这些底层软件组件自带有必须解决的安全风险：

• 为网络建立操作安全流程，将安全问题考虑在内。

• 对于 防火墙威胁防御 型号 2100、4100 和 9300 设备，确保运行 防火墙威胁防御 的 Firepower 可扩展操作系统的安全。请参阅《思科 FIREPOWER 4100/9300 FXOS 强化指南》。