在 Firepower 設備上安裝和升級 FTD
簡介
本檔案介紹Firepower裝置上安裝、升級和註冊Firepower威脅防禦(FTD)軟體。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Cisco Firepower 4140安全裝置,運行FXOS 2.0(1.37)
- 運行6.1.0.330的Firepower管理中心
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
FTD是可在以下平台上安裝的整合軟體映像:
- ASA5506-X、ASA5506W-X、ASA5506H-X、ASA5508-X、ASA5516-X
- ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X
- Firepower裝置(FPR2100、FPR4100、FPR9300)
- VMWare (ESXi)
- Amazon Web Services (AWS)
- 基於核心的虛擬機器(KVM)
- 整合服務路由器(ISR)模組
設定
網路圖表
任務1.FTD軟體下載
導覽至Next-Generation Firewalls(NGFW)> FirePOWER 4100 Series > FirePOWER 4140 Security Appliance,然後選擇Firepower威脅防禦軟體,如下圖所示。
任務2.驗證FXOS-FTD相容性
任務需求
驗證機箱上運行的FXOS版本與要在安全模組中安裝的FTD版本是否相容。
解決方案
步驟 1.檢查FXOS-FTD相容性。
將FTD映像安裝到模組/刀鋒之前,請確保Firepower機箱執行相容的FXOS軟體。在《FXOS相容性指南》中,檢查「邏輯裝置相容性」表。運行FTD 6.1.x所需的最低FXOS版本為1.1(4.95),如表2所示:
如果FXOS映像與目標FTD映像不相容,請先升級FXOS軟體。
驗證FXOS映像
方法1.在「Firepower機箱管理器(FCM)UI概述」頁面中,如下圖所示:
方法2. 導覽至FCM System > Update頁面,如下圖所示:
方法3.在FXOS CLI上:
FPR4100# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.01.35)
Running-Sys-Vers: 5.0(3)N2(4.01.35)
Package-Vers: 2.0(1.37)
Startup-Kern-Vers: 5.0(3)N2(4.01.35)
Startup-Sys-Vers: 5.0(3)N2(4.01.35)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
任務3.將FTD映像上傳到Firepower裝置
任務需求
將FTD映像上傳到FPR4100機箱。
解決方案
方法1 — 從FCM UI上傳FTD映像。
登入到FPR4100機箱管理器,然後導航到System > Updates頁籤。選擇Upload Image以上傳檔案,如下圖所示。
瀏覽以選擇FTD映像檔,然後按一下Upload,如下圖所示:
接受終端使用者許可協定(EULA)。
驗證如下圖所示。
方法2 — 從FXOS CLI上傳FTD映像
您可以從FTP、安全複製(SCP)、安全FTP(SFTP)或TFTP伺服器上傳FTD映像。
開始映像傳輸之前,驗證機箱管理介面和遠端伺服器之間的連線:
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
若要下載FTD映像,請導覽至此範圍並使用download image指令:
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.6.1.0.330.SPA.csp
Password:
監控映像上傳進度:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.6.1.0.330.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.6.1.0.330.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
使用以下命令驗證下載是否成功:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.6.1.0.330.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
有關其他詳細資訊:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.6.1.0.330.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.6.1.0.330.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-6.1.0-330.sh
該影象顯示在機箱儲存庫中:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 6.1.0.330 N/A cisco Native Application No
任務4.設定FTD管理和資料介面
任務需求
在Firepower裝置上為FTD配置並啟用管理和資料介面。
解決方案
要建立新介面,請登入到FCM並導航到Interfaces頁籤。顯示當前介面。若要建立新的連線埠通道介面,請選擇Add Port Channel按鈕,如下圖所示:
步驟 1.建立埠通道資料介面。
建立一個新的連線埠通道介面,如下圖所示:
| 埠通道ID |
10 |
| 類型 |
資料 |
| 啟用 |
是 |
| 成員ID |
Ethernet1/1、Ethernet 1/2 |
埠通道ID為1到47之間的值。
驗證如下圖所示。
步驟 2.建立管理介面。
在Interfaces索引標籤上,選擇介面,選擇Edit,然後設定管理介面,如下圖所示:
任務5.建立和配置新的邏輯裝置
任務需求
建立FTD作為獨立邏輯裝置並進行部署。
解決方案
步驟 1.新增邏輯裝置。
導覽至Logical Devices索引標籤,然後選擇Add Device按鈕以建立新的邏輯裝置,如下圖所示:
使用圖中所示的設定設定FTD裝置:
| 裝置名稱 |
FTD |
| 模板 |
Cisco Firepower威脅防禦 |
| 映像版本 |
6.1.0.330 |
步驟 2.引導邏輯裝置。
建立邏輯裝置後,將顯示Provisioning - device_name視窗。選擇裝置圖示以啟動配置,如下圖所示。
設定FTD General Information索引標籤,如下圖所示:
| 管理介面 |
Ethernet1/3 |
| 地址型別 |
僅限IPv4 |
| 管理IP |
10.62.148.84 |
| 網路遮罩 |
255.255.255.128 |
| 網路閘道 |
10.62.148.1 |
設定FTD Settings索引標籤,如下圖所示:
| 註冊金鑰 |
思科 |
| 密碼 |
Pa$$w0rd |
| Firepower管理中心IP |
10.62.148.50 |
| 搜尋域 |
cisco.com |
| 防火牆模式 |
循路 |
| DNS伺服器 |
192.168.0.1 |
| 完全限定的主機名 |
FTD4100.cisco.com |
| 事件介面 |
- |
確保Agreement被接受,然後選擇OK。
步驟 3.分配資料介面。
展開Data Ports區域,選擇要分配給FTD的每個介面。在此案例中,指派了一個介面(Port-channel10),如下圖所示:
選擇Save以完成配置。
步驟 4.監控安裝過程。
以下為從FCM UI進行監控時FTD安裝進行的方式,如下圖所示:
從Firepower CLI監控安裝過程:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Cisco FTD: CMD=-start, CSP-ID=cisco-ftd.6.1.0.330__ftd_001_JAD19500F7YHCNL7715, FLAG='' Cisco FTD starting ... Registering to process manager ... VNICs requested: 9,22 Cisco FTD started successfully. Cisco FTD initializing ... Firepower-module1>Setting up VNICs ... Found Firepower management vnic 18. No Firepower eventing vnic configured. Updating /ngfw/etc/sf/arc.conf ... Deleting previous CGroup Configuration ... Initializing Threat Defense ... [ OK ] Starting system log daemon... [ OK ] Stopping mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14629]: [14629] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Starting mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14641]: [14641] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Flushing all current IPv4 rules and user defined chains: ...success Clearing all current IPv4 rules and user defined chains: ...success Applying iptables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Flushing all current IPv6 rules and user defined chains: ...success Clearing all current IPv6 rules and user defined chains: ...success Applying ip6tables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Starting nscd... mkdir: created directory '/var/run/nscd' [ OK ] Starting , please wait......complete. Firstboot detected, executing scripts Executing S01virtual-machine-reconfigure [ OK ] Executing S02aws-pull-cfg [ OK ] Executing S02configure_onbox [ OK ] Executing S04fix-httpd.sh [ OK ] Executing S06addusers [ OK ] Executing S07uuid-init [ OK ] Executing S08configure_mysql [ OK ] ************ Attention ********* Initializing the configuration database. Depending on available system resources (CPU, memory, and disk), this may take 30 minutes or more to complete. ************ Attention ********* Executing S09database-init [ OK ] Executing S11database-populate [ OK ] Executing S12install_infodb [ OK ] Executing S15set-locale.sh [ OK ] Executing S16update-sensor.pl [ OK ] Executing S19cert-tun-init [ OK ] Executing S20cert-init [ OK ] Executing S21disable_estreamer [ OK ] Executing S25create_default_des.pl [ OK ] Executing S30init_lights_out_mgmt.pl [ OK ] Executing S40install_default_filters.pl [ OK ] Executing S42install_default_dashboards.pl [ OK ] Executing S43install_default_report_templates.pl [ OK ] Executing S44install_default_app_filters.pl [ OK ] Executing S45install_default_realms.pl [ OK ] Executing S47install_default_sandbox_EO.pl [ OK ] Executing S50install-remediation-modules [ OK ] Executing S51install_health_policy.pl [ OK ] Executing S52install_system_policy.pl [ OK ] Executing S53change_reconciliation_baseline.pl [ OK ] Executing S70remove_casuser.pl [ OK ] Executing S70update_sensor_objects.sh [ OK ] Executing S85patch_history-init [ OK ] Executing S90banner-init [ OK ] Executing S96grow_var.sh [ OK ] Executing S96install_vmware_tools.pl [ OK ] ********** Attention ********** Initializing the system's localization settings. Depending on available system resources (CPU, memory, and disk), this may take 10 minutes or more to complete. ********** Attention ********** Executing S96localize-templates [ OK ] Executing S96ovf-data.pl [ OK ] Executing S97compress-client-resources [ OK ] Executing S97create_platinum_forms.pl [ OK ] Executing S97install_cas [ OK ] Executing S97install_cloud_support.pl [ OK ] Executing S97install_geolocation.pl [ OK ] Executing S97install_ssl_inspection.pl [ OK ] Executing S97update_modprobe.pl [ OK ] Executing S98check-db-integrity.sh [ OK ] Executing S98htaccess-init [ OK ] Executing S98is-sru-finished.sh [ OK ] Executing S99correct_ipmi.pl [ OK ] Executing S99start-system [ OK ] Executing S99z_db_restore [ OK ] Executing S99_z_cc-integrity.sh [ OK ] Firstboot scripts finished. Configuring NTP... [ OK ] insmod: ERROR: could not insert module /lib/modules/kernel/drivers/uio/igb_uio.ko: File exists rw console=ttyS0,38400 loglevel=2 auto kstack=128 reboot=force panic=1 ide_generic.probe_mask=0x1 ide1=noprobe pci=nocrs processor.max_cstate=1 iommu=pt platform=sspxru boot_img=disk0:/fxos-lfbff-k8.9.6.1.150.SPA ciscodmasz=786432 cisconrsvsz=2359296 hugepagesz=1g hugepages=24 ssp_mode=0 Fru Size : 512 bytes Done VNIC command successful VNIC command successful fatattr: FAT_IOCTL_GET_ATTRIBUTES: Inappropriate ioctl for device fatattr: can't open '/mnt/disk0/.private2': No such file or directory fatattr: can't open '/mnt/disk0/.ngfw': No such file or directory Model reconfigure detected, executing scripts Pinging mysql Found mysql is running Executing 45update-sensor.pl [ OK ] Executing 55recalculate_arc.pl [ OK ] Mon Dec 12 17:16:15 UTC 2016 Starting MySQL... Pinging mysql Pinging mysql, try 1 Found mysql is running Detecting expanded storage... Running initializeObjects... Stopping MySQL... Killing mysqld with pid 32651 Wait for mysqld to exit\c done Mon Dec 12 17:16:21 UTC 2016 Starting sfifd... [ OK ] Starting Cisco Firepower 4140 Threat Defense, please wait...No PM running! ...started. Cisco FTD initialization finished successfully. ... output omitted ... Reading from flash... ! Cryptochecksum (changed): b1abfa7e 63faee14 affdddb0 9bc9d8cd INFO: Power-On Self-Test in process. ....................................................................... INFO: Power-On Self-Test complete. INFO: Starting HW-DRBG health test (DRBG 0)... INFO: HW-DRBG health test (DRBG 0) passed. INFO: Starting HW-DRBG health test (DRBG 1)... INFO: HW-DRBG health test (DRBG 1) passed. INFO: Starting SW-DRBG health test... INFO: SW-DRBG health test passed. Firepower-module1>
Firepower-module1>show services status
Services currently running:
Feature | Instance ID | State | Up Since
-----------------------------------------------------------
ftd | 001_JAD19500F7YHCNL7715 | RUNNING | :00:08:07
任務6.將FTD註冊到Firepower管理中心(FMC)
任務需求
在FMC中註冊FTD。
解決方案
步驟 1.驗證FTD和FMC之間的基本連線。
將FTD註冊到FMC之前,請驗證FTD和FMC之間的基本連線:
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> ping system 10.62.148.50
PING 10.62.148.50 (10.62.148.50) 56(84) bytes of data.
64 bytes from 10.62.148.50: icmp_seq=1 ttl=64 time=0.133 ms
64 bytes from 10.62.148.50: icmp_seq=2 ttl=64 time=0.132 ms
64 bytes from 10.62.148.50: icmp_seq=3 ttl=64 time=0.123 ms
由於啟動程式配置,FTD已配置管理器FMC:
> show managers Host : 10.62.148.50 Registration Key : **** Registration : pending RPC Status :
步驟 2.將FTD新增到FMC中。
在FMC上,導覽至Devices> Device Management索引標籤,然後導覽至Add... > Add Device,如下圖所示。
設定FTD裝置設定,如下圖所示:
選擇Register按鈕。
在FMC上,檢查Tasks以檢視註冊進度。除註冊外,FMC還:
- 發現FTD裝置(擷取目前的介面組態)。
- 部署初始策略。
成功註冊如下圖所示:
任務7.升級FTD
任務需求
將FTD從6.1.0.330升級到6.1.0.1。
解決方案
步驟 1.驗證相容性。
檢查FXOS版本說明,確保目標FTD版本與FXOS軟體相容。如果需要,請首先升級FXOS軟體。
步驟 2.升級FTD。
FTD軟體由FMC管理,而不是FCM。若要升級FTD模組,請連線到FMC,導覽至System > Updatespage,然後選擇Upload Update,如下圖所示。
在FTD模組上安裝更新,如下圖所示:
或者,您可以啟動準備情況檢查:
成功的就緒性檢查如下圖所示:
若要開始升級程式,請按一下Install,如下圖所示:
升級需要FTD重新開機,如下圖所示:
與FTD安裝類似,您可以從FMC UI(任務)監控FTD升級程式。升級進度可在FTD CLI(CLISH模式)中追蹤。
升級完成後,將原則部署到FTD,如下圖所示:
驗證
在FMC UI中,如下圖所示:
在FCM UI中,如下圖所示:
在機箱CLI上:
FPR4100# scope ssa FPR4100 /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.1.0.1.53 6.1.0.330 Not Applicable
在FTD CLI上:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit > show version ---------------[ FTD4100.cisco.com ]---------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.1.0.1 (Build 53) UUID : 22c66994-c08e-11e6-a210-931f3c6bbbea Rules update version : 2016-03-28-001-vrt VDB version : 275 ---------------------------------------------------- >
Firepower 2100
Firepower 2100上的FTD使用包含FXOS和FTD映像的單一套件組合。因此,安裝和升級程式與FP4100/FP9300不同。
FP2100上的FTD安裝
有4種不同的過程,具體取決於具體情況:
案例1:使用相同的FTD映像清除配置並重新啟動系統。
案例2:使用新的應用軟體版本重新映像系統。
案例3:將系統重新映像為其出廠預設設定。
案例4:將系統重新映像為其出廠預設設定(管理員密碼恢復)。
有關每個案例及其過程的詳細資訊,請檢視:
案例2為大部分FTD安裝案例服務,而案例3(格式化和從ROMMON啟動)可用於特定案例(例如,系統不穩定或處於啟動環路等)。
FP2100上的FTD升級
由於沒有單獨的FXOS套件,要升級FP2100上的FTD,請執行以下步驟:
步驟 1.驗證相容性。
如果FTD由FMC(盒外管理)管理,請檢查軟體目標FTD版本說明中的「相容性」部分。
步驟 2.如有需要,首先升級FMC。始終運行等於或高於FTD目標軟體版本的FMC軟體版本。
步驟 3.升級FTD。
使用與FP4100/9300相同的步驟。升級FTD前須閱讀的重要檔案:
- FTD版本說明(例如,如果要升級到6.3.0.2版,請檢視6.3.0.2版說明以驗證升級路徑和所有相關詳細資訊。)
- FMC升級指南(章節:升級Firepower威脅防禦:其他裝置)
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
目前尚無特定資訊可用於排解此組態的疑難問題。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
16-Aug-2023 |
更新的PII、機器翻譯、樣式要求、MDF標籤和格式。 |
2.0 |
20-Jul-2022 |
重新認證 |
1.0 |
01-Nov-2017 |
初始版本 |
意見