De ASA FirePOWER-module, ook bekend als ASA SFR, biedt next-generation firewallservices, waaronder IPS van de volgende generatie (NGIPS), Application Visibility and Control (AVC), URL-filtering en Advanced Malware Protection (AMP). U kunt de module gebruiken in een enkele of meerdere contextmodus, en in een gerouteerde of transparante modus. Dit document beschrijft de vereisten en installatieprocessen van een FirePOWER (SFR)-module op ASA 5585-X hardwaremodule. Het biedt ook de stappen om een SFR-module te registreren bij FireSIGHT Management Center.
De instructies in dit document vereisen toegang tot de geprivilegieerde EXEC-modus. Om tot de bevoorrechte wijze toegang te hebben EXEC, ga in toelaten bevel. Als een wachtwoord niet is ingesteld, drukt u op Enter.
ciscoasa> enable
Password:
ciscoasa#
Om FirePOWER Services op een ASA te installeren, zijn de volgende componenten nodig:
Aangezien een ASA SSM altijd een van de twee sleuven in het ASA 5585-X chassis inneemt, moet de andere module worden verwijderd om ruimte te maken voor de SSP-SFR als u een andere hardwaremodule hebt dan de FirePOWER (SFR) Services SSP, zoals de SSP-CX (Context Aware) of AIP-SSM (Advanced Inspection and Prevention Security). Voordat u een hardwaremodule verwijdert, voert u de volgende opdracht uit om een module af te sluiten:
ciscoasa# hw-module module 1 shutdown
1. Download de eerste bootstrap-afbeelding van de ASA FirePOWER SFR-module van Cisco.com naar een TFTP-server die toegankelijk is via ASA FirePOWER Management Interface. De beeldnaam lijkt op "asfr-boot-5.3.1-152.img"
2. Download de ASA FirePOWER-systeemsoftware van Cisco.com naar een HTTP-, HTTPS- of FTP-server die toegankelijk is via de ASA FirePOWER-beheerinterface.
3. Start de SFR-module opnieuw
Optie 1: Als u geen wachtwoord hebt voor de SFR-module, kunt u de volgende opdracht vanuit de ASA uitvoeren om de module opnieuw te starten.
ciscoasa# hw-module module 1 reload
Reload module 1? [confirm]
Reload issued for module 1
Optie 2: Als u het wachtwoord van de SFR-module hebt, kunt u de sensor direct vanaf de opdrachtregel opnieuw opstarten.
Sourcefire3D login: admin
Password:
Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)
> system reboot
4. Onderbreek het opstartproces van de SFR module met behulp van ESCAPE of de break-sequentie van uw terminal sessie software om de module in ROMMON te plaatsen.
The system is restarting...
CISCO SYSTEMS
Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14
Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014
Platform ASA 5585-X FirePOWER SSP-10, 8GE
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 8 seconds.
Boot interrupted.
Management0/0
Link is UP
MAC Address: xxxx.xxxx.xxxx
Use ? for help.
rommon #0>
5. Configureer de SFR-module met een IP-adres en geef de locatie van de TFTP-server en het TFTP-pad naar de bootstrap-afbeelding aan. Voer de volgende opdrachten in om een IP-adres in de interface in te stellen en de TFTP-afbeelding op te halen:
! Voorbeeld van gebruikte IP-adresinformatie. Update voor uw omgeving.
rommon #1> ADDRESS=198.51.100.3
rommon #2> GATEWAY=198.51.100.1
rommon #3> SERVER=198.51.100.100
rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
rommon #5> sync
Updating NVRAM Parameters...
rommon #6> tftp
ROMMON Variable Settings:
ADDRESS=198.51.100.3
SERVER=198.51.100.100
GATEWAY=198.51.100.1
PORT=Management0/0
VLAN=untagged
IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
<truncated output>
Received 41235627 bytes
Launching TFTP Image...
Execute image at 0x14000
6. Log in op het eerste opstartbeeld. Login als beheerder en met het wachtwoord Admin123
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password:
Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands
7. Gebruik het initiële opstartbeeld om een IP-adres te configureren op de beheerinterface van de module. Typ de opdracht Setup om de wizard te starten. U wordt om de volgende informatie gevraagd:
! Gebruikte voorbeeldinformatie. Update voor uw omgeving.
asasfr-boot>setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [asasfr]: sfr-module-5585
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
Enter an IPv4 address [192.168.8.8]: 198.51.100.3
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 198.51.100.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 198.51.100.15
Do you want to configure Secondary DNS Server? (y/n) [n]: N
Do you want to configure Local Domain Name? (y/n) [n]: N
Do you want to configure Search domains? (y/n) [n]: N
Do you want to enable the NTP service? [Y]: N
Please review the final configuration:
Hostname: sfr-module-5585
Management Interface Configuration
IPv4 Configuration: static
IP Address: 198.51.100.3
Netmask: 255.255.255.0
Gateway: 198.51.100.1
IPv6 Configuration: Stateless autoconfiguration
DNS Configuration:
DNS Server: 198.51.100.15
Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Restarting network services...
Restarting NTP service...
Done.
8. Gebruik het opstartbeeld om het image van de systeemsoftware te trekken en te installeren met behulp van de opdracht system install. Neem de optie noconfirm op als u niet wilt reageren op bevestigingsberichten. Vervang het URL trefwoord door de locatie van het .pkg bestand.
asasfr-boot> system install [noconfirm] url
Voorbeeld,
> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-SFR 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: Y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image ...
Module status tijdens installatie
ciscoasa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from module 1
Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 5.3.1-152
Data Plane Status: Not Applicable
Console session: Not ready
Status: Unresponsive
Modulestatus na succesvolle installatie
ciscoasa# show module 1 details
Getting details from the Service Module, please wait...
Card Type: ASA 5585-X FirePOWER SSP-10, 8GE
Model: ASA5585-SSP-SFR10
Hardware version: 1.0
Serial Number: JAD18400028
Firmware version: 2.0(14)1
Software version: 5.3.1-152
MAC Address Range: 58f3.9ca0.1190 to 58f3.9ca0.119b
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 5.3.1-152
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true
1.U kunt een verbinding met de ASA 5585-X FirePOWER-module maken via een van de volgende externe poorten:
2. Nadat u de FirePOWER-module via de console hebt benaderd, meldt u zich aan met de beheerder van de gebruikersnaam en het wachtwoord Sourcefire.
Sourcefire3D login: admin
Password:
Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0
Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered
trademark of Sourcefire, Inc. All other trademarks are property of their respective
owners.
Sourcefire Linux OS v5.3.1 (build 43)
Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)
Last login: Wed Feb 18 14:22:19 on ttyS0
System initialization in progress. Please stand by.
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
If your networking information has changed, you will need to reconnect.
[1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
[1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
For HTTP Proxy configuration, run 'configure network http-proxy'
This sensor must be managed by a Defense Center. A unique alphanumeric registration
key is always required. In most cases, to register a sensor to a Defense Center,
you must provide the hostname or the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'
However, if the sensor and the Defense Center are separated by a NAT device, you
must enter a unique NAT ID, along with the unique registration key. 'configure
manager add DONTRESOLVE [registration key ] [ NAT ID ]'
Later, using the web interface on the Defense Center, you must use the same
registration key and, if necessary, the same NAT ID when you add this
sensor to the Defense Center.
>
Als u een ASA FirePOWER-module en een beveiligingsbeleid wilt beheren, moet u deze registreren bij een FireSIGHT Management Center. U kunt het volgende niet doen met een FireSIGHT Management Center:
U verwijst verkeer naar de ASA FirePOWER-module door een servicebeleid te maken dat specifiek verkeer identificeert. Om verkeer naar een FirePOWER-module te leiden, volgt u de onderstaande stappen:
Selecteer eerst verkeer met opdracht toegangslijst. In het volgende voorbeeld, richten wij al verkeer van alle interfaces opnieuw. Je zou het ook voor specifiek verkeer kunnen doen.
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
Het volgende voorbeeld toont hoe u een klasse-kaart maakt en het verkeer op een toegangslijst afstemt:
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
U kunt uw apparaat configureren in een passieve ("monitor-only") of inline-implementatie. U kunt niet zowel de beeldschermmodus als de normale inline modus tegelijkertijd configureren op de ASA. Er is slechts één type security beleid toegestaan.
In een inline-uitrol wordt het verkeer, na het laten vallen van het ongewenste verkeer en het nemen van andere acties die door het beleid worden toegepast, teruggestuurd naar de ASA voor verdere verwerking en uiteindelijke transmissie. Het volgende voorbeeld toont hoe u een beleidskaart maakt en de FirePOWER-module in inline modus configureert:
ciscoasa(config)# policy-map global_policy
ciscoasa(config-pmap)# class sfr
ciscoasa(config-pmap-c)# sfr fail-open
In een passieve inzet,
Als u de FirePOWER-module in passieve modus wilt configureren, gebruikt u hieronder het trefwoord alleen voor monitoren. Als u het trefwoord niet opneemt, wordt het verkeer verzonden in de inline modus.
ciscoasa(config-pmap-c)# sfr fail-open monitor-only
De laatste stap is de toepassing van het beleid. U kunt een beleid algemeen of op een interface toepassen. U kunt het globale beleid op een interface met voeten treden door een de dienstbeleid op die interface toe te passen.
Het globale sleutelwoord past de beleidskaart op alle interfaces toe, en de interface past het beleid op één interface toe. Er is slechts één algemeen beleid toegestaan. In het volgende voorbeeld wordt het beleid globaal toegepast:
ciscoasa(config)# service-policy global_policy global
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
18-Feb-2015 |
Eerste vrijgave |