资料下载

思科ASA Firepower威胁防御(FTD):下载和安装/设置ASA 5500-X。 FTD管理选项

由Yasir Irfan撰写。发表于 思科防火墙-ASA&PIX防火墙辽宁十一选五走势图一百期

5 1 1 1 1 1 评分5.00(13投票)
压住他

一台设备–一幅图像 是思科针对其下一代防火墙的目标。为此,思科创建了一​​个统一的软件映像,名为“思科Firepower威胁防御”.  在此FirePOWER系列文章中,我们将介绍 安装Firepower威胁防御(FTD) 在思科 ASA 5500-X 系列安全设备。我们还将说明 管理选项 可用的: 火力管理中心 (FMC)这是旧的 火眼Firepower设备管理器 (FDM)。

思科Firepower威胁防御 (FTD)是一个统一的软件映像,它是 思科ASA思科FirePOWER服务 可以部署在的功能 思科Firepower 4100 火力9300系列 电器以及 ASA 5506-X,ASA 5506H-X, ASA 5506W-X, ASA 5508-XASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X ASA 5555-X。但是,在撰写本文时, 思科Firepower威胁防御 (FTD)统一软件无法部署在 思科ASA 5505 5585-X系列 电器。 

了解思科Firepower威胁防御管理& Capabilities

简化管理操作思科的下一代防火墙 这是思科迁移到互联网的主要原因之一 统一形象 跨防火墙设备。

目前 火力威胁防御 可以通过 火力设备管理 (类似于Cisco的ASDM)和 火力管理中心 (在下面进行分析)。

管理FirePOWER服务和Firepower威胁防御(FTD)的选项

管理FirePOWER服务和Firepower威胁防御(FTD)的选项

应该注意的是 火力设备管理 该软件正在大量开发中,目前尚不能支持所有辽宁十一选五走势图一百期选项。因此,最好依靠 火力管理中心 管理思科 火力威胁防御 系统。

火力管理中心也称为 FMC 要么 火眼可作为专用服务器或虚拟映像设备(基于Linux的VM服务器)连接到 火力 要么 火力威胁防御 并允许您完全管理任何一个系统。多个组织 火力威胁防御 系统或 火力服务 会从 FMC.

另外,用户可以管理 火力威胁防御 (FTD)设备使用 Firepower设备管理器 (FDM)–概念类似于 ASDM.

目前最新思科Firepower威胁防御 (FTD)可用的统一软件映像为6.2.x版。

思科Firepower威胁防御 正在不断扩展其支持的下一代防火墙服务,该服务目前包括:

  • 状态防火墙功能
  • 静态和动态路由。支持RIP,OSPF,BGP,静态路由
  • 下一代入侵防御系统(NGIPS)
  • 网址过滤
  • 应用程序可见性和控制(AVC)
  • 先进的恶意软件防护(AMP)
  • 思科身份服务引擎(Cisco ISE)集成
  • SSL解密
  • 强制门户(访客Web门户)
  • 多域管理
  • 限速
  • 隧道交通政策
  • 站点到站点VPN。仅支持FTD设备与FTD到ASA之间的站点到站点VPN
  • 组播路由共享NAT
  • 受限辽宁十一选五走势图一百期迁移(从ASA到Firepower TD)

而思科 火力威胁防御 正在积极开发并填充一些出色的功能,我们认为将其投入生产环境为时尚早。至少在稳定性方面存在一些问题 FTD图像ASA平台,应该在较新的软件版本中解决。

如果您已经在安装过程中 FTD 然后在ASA上进行测试,然后再将其投入生产。

由于遇到的问题,我们被迫通过重新镜像带有思科ASA和FirePOWER服务映像的ASA 5555-X设备来删除FTD安装。我们相信“思科Firepower威胁防御统一的软件映像非常有前景,但需要更多时间才能达到更加成熟和稳定的版本。

思科Firepower威胁防御遇到的问题/局限性

虽然小型部署可能能够克服许多理想功能的缺失(例如IPSec 虚拟专用网支持),但是企业环境肯定会发现它更具挑战性。

根据环境和安装要求,客户会遇到不同的情况 局限性 要么 问题。例如,在我们的 ASA 5555-X 我们有 重大延误 尝试去 推行新政策 来自 火力管理中心 (FMC)到 新成像的FTD ASA。总共只 实施5条政策 花了 超过2分钟从FMC到FTD .

我们还发现我们 无法辽宁十一选五走势图一百期任何EtherChannel接口。这被认为是一个主要缺点,特别是对于 多个DMZ区域高带宽流量需求。思科对此有正式公告 就在这儿.

除了上述内容,当我们完成 将我们的ASA转换为FTD软件 我们需要打开一个 TAC服务请求 为了得到 转让 我们的 ASA许可证FTD图像,从而增加了不必要的额外开销和混乱。我们认为这应该在安装过程中自动完成。

思科ASA Firepower威胁防御(FTD)安装-快速概述

重新构想Cisco ASA 5555-X设备以安装Cisco 火力威胁防御 一旦您了解需要做什么,图像就非常简单。以下是必须执行的步骤:

下载思科Firepower威胁防御启动& System Image

使用具有必要的软件下载特权的有效CCO帐户,请访问: 下载首页>产品安全>防火墙>下一代防火墙(NGFW)>带有FirePOWER服务的ASA 5500-X 然后选择 Firepower威胁防御软件:

下载Cisco ASA 55xx Firepower威胁防御软件

下载Cisco ASA 55xx Firepower威胁防御软件

或者 点击 在以下URL上: Firepower威胁防御软件下载

下一页, 选择 下载 最新启动映像 系统版本。在我们的示例中,这是版本6.2.0:

下载最新的Firepower威胁防御系统和启动映像

下载最新的Firepower威胁防御系统和启动映像

重新启动ASA,中断启动/启动顺序

准备就绪后,重新启动ASA设备。在启动过程中 打断 要么 退出 中断启动:

强烈建议您先进行ASA辽宁十一选五走势图一百期和软件的完整备份,然后再继续执行下一步,这将删除辽宁十一选五走势图一百期和所有文件

重新启动... 思科公司 BIOS版本:9B2C109A
建立日期:05/15/2013 16:34:44
CPU类型:英特尔(R)至强(R)CPU X3460 @ 2.80GHz,2793 MHz
总内存:16384 MB(DDR3 1333)
系统内存:619 KB,扩展内存:3573 MB
……。<output omitted>
从ROMMON引导
思科系统ROMMON版本(2.1(9)8)#1:2011年10月26日星期三17:14:40
平台ASA 5555-X,带软件,8个GE数据,1个GE管理
采用 打破 要么 退出 中断启动。
使用SPACE立即开始引导。
在10秒钟内启动。

引导中断。
管理0/0
链接已关闭
MAC地址:00f6.63da.e807
采用 ?求助。
rommon#1>

至此,我们已经成功中断了启动过程,可以继续进行下一步。 

上传启动映像并启动ASA防火墙

现在,我们需要在ASA防火墙上辽宁十一选五走势图一百期必要的参数,以下载 思科Firepower威胁防御启动映像。确保您有 FTP / TFTP服务器 已安装并辽宁十一选五走势图一百期为允许防火墙下载映像/系统文件。

现在使用终端访问应用程序连接到ASA控制台端口,例如使用以下串行端口设置辽宁十一选五走势图一百期的腻子:

  • 9600波特
  • 8个数据位
  • 无平价
  • 1个停止位
  • 无流量控制

确保Cisco ASA 5500-X设备正在运行 rommon版本v1.1.8 或更大的使用IOS命令 显示模块 以确保重新成像会成功。如果 rommon版本较早v1.1.8 那么ASA设备需要一个 rommon升级

ciscoasa# 显示模块
.. 输出省略…
模    MAC 地址 Range               Hw Version     Fw Version     Sw Version
---- --------------------------------- ------------- ----------- ---------------
1      7426.aceb.ccea至7426.aceb.ccf2    0.3          1.1.8           9.6(1)
sfr    7426.aceb.cce9至7426.aceb.cce9   N/A         N/A

接下来,为ASA防火墙辽宁十一选五走势图一百期必要的网络设置/变量,以便它可以访问以前下载的图像和系统文件。 ASA 5555-X防火墙使用内置的管理界面,因此无需指定管理界面。

rommon#1> 地址10.32.4.129
rommon#2> 服务器10.32.4.150
rommon#3> 网关10.32.4.150
rommon#4> 文件ftd-boot-9.7.1.0.cdisk
rommon#5>
ROMMON变量设置:
 ADDRESS=10.32.4.129
 SERVER=10.32.4.150
 GATEWAY=10.32.4.150
 PORT=Management0/0
 VLAN=untagged
 IMAGE = ftd-boot-9.7.1.0.cdisk
 CONFIG=
 LINKTIMEOUT=20
 PKTTIMEOUT=4
 RETRY=20

命令说明:

- 地址:ASA防火墙的IP地址
-服务器:ASA将从其下载映像的TFTP服务器
-网关:网络网关的IP地址。即使TFTP服务器在同一逻辑网络内也必须
-文件 :文件名
-设置:显示rommon设置

同步 命令将保存NVRAM参数,有效地“启用”辽宁十一选五走势图一百期更改。建议尝试ping TFTP服务器。这不仅将确认TFTP服务器可访问,而且将填充ASA防火墙的ARP表:

rommon#6> 同步
正在更新NVRAM参数...

rommon#7> ping 10.32.4.150
向10.32.4.150发送20个100字节的ICMP Echo,超时为4秒:
?!!!!!!!!!!!!!!!!!!!
成功率是95%(19/20)

准备好后,发出 ftpdnld 命令以启动引导映像下载到ASA防火墙。下载完成后,系统将自动启动映像文件:

rommon#7> ftpdnld
ROMMON变量设置:
地址= 10.32.4.129
服务器= 10.32.4.150
网关= 10.32.4.150
PORT =管理0/0
VLAN =未标记
IMAGE = ftd-boot-9.7.1.0.cdisk
辽宁十一选五走势图一百期=
LINKTIMEOUT = 20
PKTTIMEOUT = 4
重试= 20

ftp 此电子邮件地址已受到防止垃圾邮件机器人的保护。您需要启用JavaScript才能查看它。 通过10.32.4.150
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!
收到107292672字节

正在启动TFTP映像...

在0x14000执行图像

思科安全设备管理员加载程序(3.0)#0:PST 2017年1月16日星期一09:01:33
平台ASA5555

载入中...
从bigphys 32位请求的IO内存块:125055
INIT:2.88版启动

启动udev
辽宁十一选五走势图一百期网络接口...完成。
填充开发人员缓存
找到设备序列号FCH2023J78M。
找到USB闪存盘/ dev / sdc
找到的硬盘驱动器:/ dev / sda / dev / sdb
来自util-linux 2.23.2的fsck
dosfsck 2.11,2005年3月12日,FAT32,LFN
引导扇区及其备份之间存在差异。
差异:(偏移量:原始/备份)
65:01/00
无法自动修复。
/ dev / sdc1:62个文件,825465/2011044群集
启动引导CLI ...
使用DHCP辽宁十一选五走势图一百期网络接口
调出网络接口。
根据您的网络,使用DHCP可能需要花费几分钟的时间...
ifup:接口lo已辽宁十一选五走势图一百期
使用IPv6地址:fe80 :: 2f6:63ff:feda:e807
未分配IPv4地址。在安装之前运行“安装程序”。
INIT:SwitchingStarting系统消息总线:dbus。
启动OpenBSD 安全 Shell服务器:sshd
正在生成ssh RSA密钥...
正在生成SSH ECDSA密钥...
正在生成ssh DSA密钥...
无法加载主机密钥:/ etc / ssh / ssh_host_ed25519_key
完成。
启动高级辽宁十一选五走势图一百期和电源接口守护程序:acpid。
acpid:启动
acpid:已加载1条规则
acpid:等待事件:关闭事件记录

启动ntpd:完成
正在启动syslog-ng:[2017-03-16T04:08:41.437297]连接失败; fd = '15',服务器='AF_INET(127.128.254.1:514)',本地='AF_INET(0.0.0.0:0)',错误='网络不可达(101)'
[2017-03-16T04:08:41.437321]启动连接失败,正在重新连接; time_reopen = '60'
.
起始crond:确定

     思科FTD引导6.0.0(9.7.1。)
     类型?有关命令列表
FIREWALLCX引导>

(可选)您可以对tftp / ftp服务器执行ping操作,以确认与该服务器仍然存在连接:

FIREWALLCX引导> ping 10.32.4.150
PING 10.32.4.150(10.32.4.150)56(84)个字节的数据。
从10.32.4.150开始的64个字节:icmp_seq = 1 ttl = 128时间= 0.722 ms
从10.32.4.150开始的64个字节:icmp_seq = 2 ttl = 128时间= 0.648 ms
从10.32.4.150开始的64字节:icmp_seq = 2 ttl = 128时间= 0.856 ms
-10.32.4.150 ping统计信息---
传输3个数据包,接收3个数据包,0%数据包丢失,时间2018ms
rtt最小值/平均值/最大值/ mdev = 0.648 / 0.742 / 0.856 / 0.086 ms

安装Firepower威胁防御系统软件 

至此,我们的防火墙已成功下载并启动了 启动映像 并准备接受 系统映像。在提示符下键入 设定 并简单地跟随弹跳球。设置过程将为FTD设备收集重要的辽宁十一选五走势图一百期参数,例如主机名,IP地址,子网掩码,网关,DNS服务器等。

许多辽宁十一选五走势图一百期问题涉及是/否答案。将参数保留为空白并按Enter键时将选择的默认值在方括号中标记 []:

FIREWALLCX引导> 设定

                     欢迎使用Cisco FTD设置
                     [按Ctrl-C可中止]
                     默认值在[]之内

输入主机名[FIREWALLCX]: 防火墙
是否要在管理界面上辽宁十一选五走势图一百期IPv4地址?(y / n)[Y]:y
是否要在管理接口上启用DHCP分配IPv4地址?(y / n)[Y]:n
输入一个IPv4地址: 10.32.4.129
输入网络掩码: 255.255.255.0
输入网关: 10.32.4.150
是否要在管理接口上辽宁十一选五走势图一百期静态IPv6地址?(y / n)[N]:n
IPv6地址将启用无状态自动辽宁十一选五走势图一百期
输入主要的DNS服务器IP地址: 10.32.4.150
您要辽宁十一选五走势图一百期辅助DNS服务器吗? (y / n)[n]:n
您要辽宁十一选五走势图一百期本地域名吗? (y / n)[n]:y
输入本地域名: 防火墙
您要辽宁十一选五走势图一百期搜索域吗? (y / n)[n]:n
是否要启用NTP服务? [Y]:n
请查看最终辽宁十一选五走势图一百期:

主机名:                             FIREWALLCXFTD
管理界面辽宁十一选五走势图一百期

IPv4辽宁十一选五走势图一百期:                静态的
           IP 地址:                 10.32.4.129
           Netmask:                    255.255.255.0
           Gateway:                    10.32.4.150

IPv6辽宁十一选五走势图一百期:                无状态自动辽宁十一选五走势图一百期
DNS辽宁十一选五走势图一百期:
           Domain:                      防火墙
           DNS Server:                10.32.4.150

NTP辽宁十一选五走势图一百期:                  禁用

警告:
您选择了IPv6无状态自动辽宁十一选五走势图一百期,该辽宁十一选五走势图一百期将分配一个全局地址
基于网络前缀和设备标识符。虽然这个地址不太可能
进行更改,如果确实发生更改,系统将停止正常运行。
我们建议您改用静态寻址。

是否应用更改?(y,n)[Y]: Y
辽宁十一选五走势图一百期保存成功!
正在申请...
重新启动网络服务...
做完了
按ENTER继续...

至此,设备的初始辽宁十一选五走势图一百期阶段已完成,可以开始下载 FTD系统映像

要启动图像下载,请使用 system install ftp://10.32.4.150/ftd-6.2.0-362.pkg 并将IP地址部分替换为FTP服务器的IP地址。

在安装过程中,该过程将要求提供必要的凭据以对FTP服务器进行身份验证。在无法返回之前,系统会要求您 最终确认 删除之前 设备的磁盘开始升级。当。。。的时候 系统映像安装完成,系统将要求用户 点击进入 重启.

不必要的输出例如点(....)已从日志中删除,以便于阅读和理解。

FIREWALLCX引导> system install ftp://10.32.4.150/ftd-6.2.0-362.pkg

######################## 警告 ######################### ###
#disk0:的内容将在安装过程中删除! #
############################################### ###########

你要继续吗? [是/否]: y
擦除磁盘0 ...
提取...
验证中。 …

输入凭据以对ftp服务器进行身份验证
用户名: 防火墙
密码: $ etmeup!
验证中。 ……
正在下载。 ……
提取。 ……

包装细节
           Description:                  Cisco ASA-FTD 6.2.0-362系统安装
           Requires 重启:           Yes

您要继续升级吗? [y]: y
警告:请不要中断该过程或关闭系统。
这样做可能会使系统处于无法使用状态。

正在启动升级过程..…..…。
填充新的系统映像。 …..…。

需要重新启动才能完成升级。按 '输入以重新启动系统。

来自root @ 防火墙(ttyS0)的广播消息(2017年3月16日星期四05:46:03):
系统现在要重新启动!

ASA FTD设备现在将重新启动。在此过程进行期间,您将在关闭和启动期间看到很多信息。首次引导进入FTD系统映像时 正常 看到一些 错误/警告消息 –不要惊慌。

系统成功启动后,将要求您使用默认用户名登录(管理员) & password (思科123),然后要求您 按Enter 提供思科的EULA,最后必须接受 紧迫 再次 输入 键或 输入是:

思科ASA5555-X威胁防御v6.2.0(内部版本362)
火力登录: 管理员
密码: 思科123
您必须接受EULA才能继续。
按<输入>显示EULA:
终止用户许可协议
重要信息:请仔细阅读此最终用户许可协议。
………………………………..
产品保修条款和适用于Cisco产品的其他信息是
available at 的 following URL: http://www.cisco.com/go/warranty.

请输入 ''或按<输入>同意EULA:

最后,最后一步涉及 改变默认管理员密码 并再次辽宁十一选五走势图一百期系统的网络设置。

虽然在FTD引导映像和系统映像安装过程中辽宁十一选五走势图一百期网络设置三遍似乎是重复的和毫无意义的,但是这允许公司在隔离的环境中执行这些必要的准备任务,例如:实验室,使设备准备好在生产环境中进行最终部署。

与前面的步骤类似,按 输入 将接受括号[]之间显示的默认值:

正在进行系统初始化。请稍等
您必须更改“ 管理员”的密码才能继续。
输入新密码: $ etmeup!
确认新密码: $ etmeup!
您必须辽宁十一选五走势图一百期网络才能继续。
您必须至少辽宁十一选五走势图一百期IPv4或IPv6之一。
您要辽宁十一选五走势图一百期IPv4吗? (y / n)[y]: y
您要辽宁十一选五走势图一百期IPv6吗? (y / n)[n]: n
通过DHCP还是手动辽宁十一选五走势图一百期IPv4? (dhcp / 手册)[manual]: 手册
输入管理接口[192.168.45.45]的IPv4地址:[输入]
输入管理接口[255.255.255.0]的IPv4子网掩码:[输入]
输入管理接口[数据接口]的IPv4默认网关:[输入]
输入此系统的标准主机名[firepower]: 防火墙
输入以逗号分隔的DNS服务器列表或“无” [208.67.222.222,208.67.220.220]:[输入]
输入逗号分隔的搜索域列表或“无” []:[输入]
如果您的网络信息已更改,则需要重新连接。

使用池启用了DHCP服务器:192.168.45.46-192.168.45.254。您可以使用 辽宁十一选五走势图一百期网络ipv4 dhcp-server-disable 对于HTTP代理辽宁十一选五走势图一百期,请运行“辽宁十一选五走势图一百期网络http代理'

在本地管理设备? (是/否)[是]:
将防火墙模式辽宁十一选五走势图一百期为路由器更新策略部署信息-添加设备辽宁十一选五走势图一百期已成功执行Firepower设备管理器的Fireboot威胁防御的firstboot初始辽宁十一选五走势图一百期步骤。
>

大于“>符号表示FTD设置已完成且正在运行。

有关的更多信息 思科Firepower威胁防御, 包含 安装升级指南,可以在以下Cisco URL找到:

http://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html

您现在可以登录 思科Firepower设备管理器 通过在Web浏览器中输入ASA防火墙设备IP地址:

思科Firepower设备管理器登录屏幕

思科Firepower设备管理器登录屏幕

登录后,您可以按照分步设置进行操作 设备设置向导 它将采取必要的步骤来初始辽宁十一选五走势图一百期新的ASA FTD设备:

思科公司 FTD的设备设置页面

思科公司 FTD的设备设置页面 

有经验的 火力威胁防御 用户可以 点击跳过设备设置 链接位于屏幕下部。

概要

思科的Firepower威胁防御(FTD) 是个下一代防火墙 该解决方案最终将取代著名的ASA软件。而 FTD 仍处于早期阶段,它已被全球各地的组织迅速采用。在将FTD投入生产环境之前,必须了解FTD当前的局限性。例如,重要功能如 站点到站点VPN 目前尚不支持,但是它确实具有一个非常简洁直观的GUI界面!

对于许多人来说,安装 思科的Firepower威胁防御 ASA防火墙 设备可能是一个令人困惑的任务。我们的 思科Firepower威胁防御(FTD)安装指南 旨在 简化流程 通过提供 分步说明 呈现在 易于理解的格式 同时也涵盖 思科Firepower威胁防御管理选项.

返回Cisco ASA防火墙部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 理解DMVPN
  • GRE / IPSec辽宁十一选五走势图一百期
  • 站点到站点IPSec 虚拟专用网
  • IPSec 模es

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置