In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Installation und Konfiguration eines Cisco FirePOWER-Moduls (SFR) auf einer Cisco ASA und die Registrierung des SFR-Moduls bei Cisco FireSIGHT.
Cisco empfiehlt, dass Ihr System diese Anforderungen erfüllt, bevor Sie die in diesem Dokument beschriebenen Verfahren durchführen:
enable
Befehl in die CLI ein. Wenn kein Kennwort festgelegt wurde, drücken Sie Enter
:ciscoasa> enable Password: ciscoasa#
Zur Installation der FirePOWER Services auf einer Cisco ASA sind folgende Komponenten erforderlich:
Anmerkung: Informationen zur Installation von FirePOWER-Services (SFR) auf einem ASA 5585-X-Hardwaremodul finden Sie unter Installieren eines SFR-Moduls auf einem ASA 5585-X-Hardwaremodul.
Für das Cisco FireSIGHT Management Center sind folgende Komponenten erforderlich:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Das Cisco ASA FirePOWER-Modul (auch bekannt als ASA SFR) stellt Firewall-Services der nächsten Generation bereit, darunter:
Anmerkung: Sie können das ASA SFR-Modul im Einzel- oder Mehrfachkontextmodus sowie im Modus "Geroutet" oder "Transparent" verwenden.
Berücksichtigen Sie diese wichtigen Informationen, bevor Sie die in diesem Dokument beschriebenen Verfahren durchführen:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
cxsc
Schlüsselwort anstelle der folgenden Befehle verwendet wird ips
: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
shutdown
und uninstall
Befehle, die zum Entfernen eines alten SFR-Images verwendet werden. Hier ein Beispiel:ciscoasa# sw-module module sfr uninstall
Tipp: Um den Status eines Moduls auf dem ASA-Gerät zu ermitteln, geben Sie den show module
Befehl
In diesem Abschnitt wird beschrieben, wie Sie das SFR-Modul auf der ASA installieren und wie Sie das ASA SFR-Boot-Image einrichten.
Gehen Sie wie folgt vor, um das SFR-Modul auf der ASA zu installieren:
Anmerkung: Übertragen Sie die Systemsoftware nicht. wird später auf das Solid State Drive (SSD) heruntergeladen.
Gehen Sie wie folgt vor, um das Boot-Image über den ASDM herunterzuladen:Tools > File Management
Sie im ASDM aus.Gehen Sie wie folgt vor, um das Boot-Image über die ASA CLI herunterzuladen:
copy
Befehl in die CLI ein, um das Boot-Image auf das Flash-Laufwerk herunterzuladen. Hier ist ein Beispiel, das das HTTP-Protokoll verwendet (ersetzen Sie das
durch Ihre Server-IP-Adresse oder Ihren Hostnamen). Für den FTP-Server sieht die URL wie folgt aus:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img
.
ciscoasa# copy http:///asasfr-5500x-boot-5.3.1-152.img disk0:/asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
Hier ein Beispiel:
ciscoasa# sw-module module sfr recover configure image disk0: /asasfr-5500x-boot-5.3.1-152.img
ciscoasa# sw-module module sfr recover boot
Wenn Sie diese Funktion auf debug module-boot
dem ASA-Gerät aktivieren, werden während dieser Zeit die folgenden Fehlerbehebungsschritte ausgegeben:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
Führen Sie die folgenden Schritte aus, um das neu installierte ASA SFR-Boot-Image einzurichten:
Enter
nach dem Öffnen einer Sitzung die Eingabetaste, um zur Anmeldeaufforderung zu gelangen. Anmerkung: Der Standard-Benutzername lautet admin
. Das Kennwort unterscheidet sich je nach Softwareversion:Adm!n123
für 7.0.1 (neues Gerät nur ab Werk), Admin123
für 6.0 und höher, Sourcefire
für Geräte vor 6.0.
Hier ein Beispiel:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
Tipp: Wenn der ASA SFR-Modulstart nicht abgeschlossen wurde, schlägt der Sitzungsbefehl fehl, und es wird eine Meldung angezeigt, die besagt, dass das System keine Verbindung über TTYS1 herstellen kann. Warten Sie in diesem Fall, bis der Modulstart abgeschlossen ist, und versuchen Sie es erneut.
setup
Befehl ein, um das System so zu konfigurieren, dass Sie das Systemsoftwarepaket installieren können:asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Sie werden dann zur Eingabe dieser Informationen aufgefordert:
Host name
- Der Hostname kann bis zu 65 alphanumerische Zeichen ohne Leerzeichen enthalten. Die Verwendung von Bindestrichen ist zulässig.Network address
- Bei der Netzwerkadresse kann es sich um statische IPv4- oder IPv6-Adressen handeln. Sie können auch DHCP für die automatische IPv4- oder IPv6-Stateless-Konfiguration verwenden.DNS information
- Sie müssen mindestens einen DNS-Server (Domain Name System) identifizieren, und Sie können auch den Domänennamen und die Suchdomäne festlegen.NTP information
- Sie können das Network Time Protocol (NTP) aktivieren und die NTP-Server konfigurieren, um die Systemzeit festzulegen. system install
Befehl ein, um das Systemsoftware-Image zu installieren:asasfr-boot >system install [noconfirm] url
Fügen Sie die noconfirm
Option hinzu, wenn Sie nicht auf Bestätigungsmeldungen antworten möchten. Ersetzen Sie das url
Schlüsselwort durch den Speicherort der .pkg
Datei. Sie können auch hier einen FTP-, HTTP- oder HTTPS-Server verwenden. Hier ein Beispiel:
asasfr-boot >system install http:///asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
Für den FTP-Server sieht die URL wie folgt aus:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg
.
Hinweis Während der Installation befindet sich der SFR im "Recover
"-Status. Die Installation des SFR-Moduls kann bis zu einer Stunde dauern. Nach Abschluss der Installation wird das System neu gestartet. Warten Sie mindestens zehn Minuten, bis die Anwendungskomponenten installiert sind und die ASA SFR-Services gestartet sind. Die Ausgabe des show module sfr
Befehls gibt an, dass alle Prozesse Up
.
In diesem Abschnitt wird beschrieben, wie Sie die FirePOWER-Software und das FireSIGHT Management Center konfigurieren und den Datenverkehr zum SFR-Modul umleiten.
Führen Sie die folgenden Schritte aus, um die FirePOWER-Software zu konfigurieren:
Anmerkung: Eine andere Anmeldeaufforderung wird jetzt angezeigt, da die Anmeldung auf einem voll funktionsfähigen Modul erfolgt.
Hier ein Beispiel:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
admin
und das Kennwort unterscheidet sich je nach Softwareversion:Adm!n123
für 7.0.1 (neues Gerät nur ab Werk), Admin123
für 6.0 und höherSourcefire
, für Geräte vor 6.0.Anmerkung: Sie können IPv4- und IPv6-Managementadressen konfigurieren.
Hier ein Beispiel:
System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: <new password> Confirm new password: <repeat password> You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 198.51.100.1 Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14 Enter a comma-separated list of search domains or 'none' [example.net]: example.com If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy'
Um ein ASA SFR-Modul und Sicherheitsrichtlinien zu verwalten, müssen Sie es bei einem FireSIGHT Management Center registrieren. Weitere Informationen finden Sie unter Registrieren eines Geräts bei einem FireSIGHT Management Center. Sie können diese Aktionen nicht mit einem FireSIGHT Management Center ausführen:
Um Datenverkehr an das ASA SFR-Modul umzuleiten, müssen Sie eine Dienstrichtlinie erstellen, die bestimmten Datenverkehr identifiziert. Gehen Sie wie folgt vor, um den Datenverkehr an ein ASA SFR-Modul umzuleiten:
access-list
Befehl identifiziert werden muss. In diesem Beispiel wird der gesamte Datenverkehr von allen Schnittstellen umgeleitet. Dies ist auch für bestimmten Datenverkehr möglich.ciscoasa(config)# access-list sfr_redirect extended permit ip any any
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
Anmerkung: Sie können auf der ASA nicht gleichzeitig einen passiven und einen Inline-Modus konfigurieren. Es ist nur ein Typ von Sicherheitsrichtlinie zulässig.
global_policy
mit einer anderen Modulkonfiguration(show run policy-map global_policy, show run service-policy)
konfiguriert ist, setzen Sie zunächst global_policy für die andere Modulkonfiguration zurück bzw. entfernen Sie diese, und konfigurieren Sie anschließend die global_policy
.ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
monitor-only
Schlüsselwort (wie im nächsten Beispiel gezeigt). Wenn Sie das Schlüsselwort nicht angeben, wird der Datenverkehr im Inline-Modus gesendet.ciscoasa(config-pmap-c)# sfr fail-open monitor-only
Warnung: In diesem monitor-only
Modus kann das SFR-Servicemodul schädlichen Datenverkehr nicht verweigern oder blockieren.
Vorsicht: Mit dem Befehl auf Schnittstellenebene kann ein ASA-Gerät im Nur-Monitor-Modus konfiguriert traffic-forward sfr monitor-only
werden. Diese Konfiguration dient jedoch lediglich zu Demonstrationszwecken und darf nicht auf Produktions-ASA-Geräten verwendet werden. Probleme, die in dieser Demonstrationsfunktion festgestellt werden, werden vom Cisco Technical Assistance Center (TAC) nicht unterstützt. Wenn Sie den ASA SFR-Service im passiven Modus bereitstellen möchten, konfigurieren Sie ihn mithilfe einer Richtlinienzuweisung.
global
Schlüsselwort wendet die Richtlinienzuordnung auf alle Schnittstellen an, und das interface
Schlüsselwort wendet die Richtlinie auf eine Schnittstelle an. Es ist nur eine globale Richtlinie zulässig. In diesem Beispiel wird die Richtlinie global angewendet:ciscoasa(config)# service-policy global_policy global
Vorsicht: Die Richtlinienzuordnung global_policy
ist eine Standardrichtlinie. Wenn Sie diese Richtlinie verwenden und sie zur Fehlerbehebung auf Ihrem Gerät entfernen möchten, stellen Sie sicher, dass Sie die Auswirkungen kennen.
Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.
debug module-boot
) ausführen, um das Debugging zu Beginn der Installation des SFR-Boot-Images zu aktivieren. sw-module module sfr recover stop
).(reload quick)
weitergeleitet wird, kann dies zu Netzwerkstörungen führen.) Wenn sich Still SFR im Wiederherstellungsstatus befindet, können Sie die ASA und die unplug the SSD
Karte herunterfahren und die ASA starten. Überprüfen Sie den Status des Moduls, und es muss sich um den INIT-Status handeln. Fahren Sie die ASA herunter, insert the SSD
und starten Sie die ASA. Sie können ein Re-Image des ASA SFR-Moduls starten.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
4.0 |
27-Sep-2024 |
Rezertifizierung |
2.0 |
22-Jun-2022 |
URLs für Secure IPS und FTP-Server hinzugefügt. Hyperlinks neu formatiert und Beispiele entfernt. Abschnitte "Installation", "Fehlerbehebung" und "Konfiguration" bearbeitet. |
1.0 |
04-Nov-2014 |
Erstveröffentlichung |