FMC 6.6.1+ — 升級前後的提示

簡介

本檔案介紹將思科安全防火牆管理中心(FMC)升級到6.6.1+版之前和之後要完成的驗證和組態最佳實踐。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 硬體：Cisco FMC 1000
• 軟體：版本7.0.0（內部版本94）

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

FMC升級前要做的幾件事

選擇FMC目標軟體版本

檢視目標版本的Firepower發行說明，並熟悉：

• 相容性
• 特性和功能
• 已解決的問題
• 已知的問題

驗證當前FMC型號和軟體版本

驗證目前的FMC型號和軟體版本：

1. 導航到幫助>關於。
2. 驗證型號和軟體版本。

規劃升級路徑

根據當前和目標FMC軟體版本，可能需要臨時升級。在Cisco Firepower Management Center升級指南中，檢視升級路徑：Firepower管理中心部分並規劃升級路徑。

上傳升級包

若要將升級套件上傳到裝置，請完成以下步驟：

1. 從Software Download頁面下載升級程式包。
2. 在FMC中，導航至System > Updates。
3. 選擇Upload Update。
4. 按一下Upload local software update package單選按鈕。
5. 按一下Browse並選擇包。 
6. 按一下「Upload」。

建立FMC備份

備份是一個重要的災難恢復步驟，在升級發生災難性故障時可以恢復配置。

1. 導覽至System > Tools > Backup/Restore。
2. 選擇Firepower Management Backup。
3. 在「Name」欄位中，輸入備份名稱。
4. 選擇儲存位置和應包括在備份中的資訊。
5. 按一下Start Backup。
6. 在通知>任務中，監視備份建立進度。

提示：強烈建議備份到安全的遠端位置並驗證傳輸成功。可以從「備份管理」頁配置遠端儲存。

有關詳情，請參閱：

• Firepower管理中心配置指南7.0版 — 章節：備份和還原
• Firepower管理中心配置指南7.0版 — 遠端儲存管理

驗證NTP同步

要成功升級FMC，需要NTP同步。要檢查NTP同步，請完成以下步驟：

1. 導覽至System > Configuration > Time。
2. 驗證NTP狀態。

附註：狀態:「正在使用」表示裝置已與NTP伺服器同步。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 時間和時間同步。

驗證磁碟空間

根據FMC型號和目標版本，確保有足夠的可用磁碟空間，否則升級失敗。要檢查可用的FMC磁碟空間，請完成以下步驟：

1. 導航到System > Health > Monitor。
2. 選擇FMC。
3. 展開選單並搜尋磁碟使用情況。
4. 磁碟空間要求可以在時間測試和磁碟空間要求中找到。

部署所有掛起策略更改

在安裝更新或補丁之前，需要將更改部署到感測器中。為了確保部署所有待處理的更改，請完成以下步驟：

1. 導航到部署>部署。
2. 選擇清單中的所有裝置並部署。

注意：Inspect Interruption列指示流量中斷

運行Firepower軟體就緒性檢查

就緒性檢查評估Firepower裝置對軟體升級的準備情況。

要執行軟體就緒檢查，請完成以下步驟：

1. 導覽至System > Updates。
2. 選擇目標版本旁邊的安裝圖示。
3. 選擇FMC並按一下Check Readiness。
4. 在彈出視窗中，按一下OK。
5. 通過Notifications > Tasks監控Readiness Check流程。

有關詳細資訊，請參閱Cisco Firepower管理中心升級指南 — Firepower軟體就緒性檢查。

FMC升級後的首要任務

部署所有掛起策略更改

每次安裝更新或補丁後，必須立即將更改部署到感測器中。為了確保部署所有待處理的更改，請完成以下步驟：

1. 導航到部署>部署。
2. 選擇清單中的所有裝置，然後按一下Deploy。

注意：Inspect Interruption列指示流量中斷

驗證是否已安裝最新的漏洞和指紋資料庫

若要驗證目前的指紋(VDB)版本，請完成以下步驟：

1. 導航到幫助>關於。
2. 驗證VDB版本。

要直接從cisco.com下載VDB更新，需要從FMC到cisco.com的可訪問性。

1. 導航至System > Updates > Product Updates。
2. 選擇Download updates。
3. 安裝可用的最新版本。
4. 之後必須重新部署感測器。

附註：如果FMC無法訪問Internet，則可以直接從software.cisco.com下載VDB包。

建議安排執行自動VDB包下載和安裝的任務。

作為一種好的做法，每天檢查VDB更新，並在週末將其安裝在FMC上。

若要從www.cisco.com每天檢查VDB，請完成以下步驟：

1. 導航到System > Tools > Scheduling。
2. 按一下Add Task。
3. 在「Job Type」下拉式清單中選擇「Download Latest Update」。
4. 要運行計畫任務，請按一下Recurring單選按鈕.
   
5. 每天重複此任務，並在凌晨3:00或工作時間以外運行它。
6. 對於更新專案，請選中Vulnerability Database覈取方塊.
   

為了將最新的VDB安裝到FMC中，請設定每週定期任務：

1. 導航到System > Tools > Scheduling。
2. 按一下Add Task。
3. 在「Job Type」下拉選單中，選擇「Install Latest Update」。
4. 要運行計畫任務，請按一下Recurring單選按鈕。
5. 每1週重複此任務，並在凌晨5:00或工作時間以外運行它。
6. 對於更新專案，請選中Vulnerability Database覈取方塊。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 更新漏洞資料庫(VDB)

驗證Snort規則和輕型安全包當前版本

若要驗證目前的Snort規則(SRU)、輕量型安全套件(LSP)和地理定位版本，請完成以下步驟：

1. 導航到幫助>關於。
2. 驗證規則更新版本和LSP版本。

要直接從www.cisco.com下載SRU和LSP，需要從FMC訪問www.cisco.com。

1. 導航到System > Updates > Rule Updates。
2. 在One-Time Rule Update/Rules Import頁籤中，選擇Download new rule update from the Support Site。
3. 選擇Import。
4. 之後將配置部署到感測器。

附註：如果FMC無法訪問Internet，則可以從software.cisco.com直接下載SRU和LSP軟體包。

入侵規則更新是累積性的，建議始終匯入最新更新。

若要啟用snort規則更新(SRU/LSP)的每週下載和部署，請完成以下步驟：

1. 導航到System > Updates > Rule Updates。
2. 在Recurring Rule Update Imports頁籤中，選中Enable Recurring Rule Update Imports from the Support Site覈取方塊。
3. 將匯入頻率選擇為每週，選擇每週一天和下午晚些時間進行下載和策略部署。
4. 按一下「Save」。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 更新入侵規則。

驗證地理位置更新當前版本

要驗證當前的地理定位版本，請完成以下步驟：

1. 導航到幫助>關於。
2. 驗證地址更新版本。

要直接從www.cisco.com下載地理位置更新，需要從FMC訪問www.cisco.com。

1. 導航到System > Updates > Geolocation Updates。
2. 在One-Time Geolocation Update頁籤中，選擇Download and install geolocation update from the Support Site。
3. 按一下「Import」（匯入）。

附註：如果FMC無法訪問Internet，則可直接從software.cisco.com下載Geolocation Updates軟體包。

若要啟用自動地理位置更新，請完成以下步驟：

1. 導航到System > Updates > Geolocation Updates。
2. 在Recurring Geolocation Updates部分，選中Enable Recurring Weekly Updates from the Support Site覈取方塊。
3. 選擇匯入頻率為每週，選擇星期一的午夜。
4. 按一下「Save」。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 更新地理位置資料庫(GeoDB)。

通過計畫任務自動更新URL過濾資料庫

為了確保URL過濾的威脅資料是最新的，系統必須從思科綜合安全情報(CSI)雲獲取資料更新。要自動執行此過程，請執行以下步驟：

1. 導航到System > Tools > Scheduling。
2. 按一下Add Task。
3. 在「Job Type」下拉選單中，選擇Update URL Filtering Database。
4. 要運行計畫任務，請按一下Recurring單選按鈕。
5. 每週重複此任務，並在星期日晚上8:00或工作時間以外運行它。
6. 按一下「Save」。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 使用計畫任務自動進行URL過濾更新。

配置定期備份

作為災難恢復計畫的一部分，建議執行定期備份。

1. 確保您位於全域性域中。
2. 建立FMC備份配置檔案。有關更多資訊，請參閱建立FMC備份部分。
3. 導航到System > Tools > Scheduling。
4. 按一下Add Task。
5. 在「Job Type」下拉式清單中選擇「Backup」。
6. 要運行計畫任務，請按一下Recurring單選按鈕。
   必須調整備份頻率以適應組織的需要。建議在維護時段或其他使用率較低的時段建立備份。
7. 對於Backup Type，請按一下Management Center單選按鈕。
   
8. 在「Backup Profile」下拉式清單中選擇「Backup Profile」。
9. 按一下「Save」。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 章節：備份和還原。

確保已註冊智慧許可證

若要使用思科智慧軟體管理器註冊思科防火牆管理中心，請完成以下步驟：

1. 在https://software.cisco.com中，導覽至Smart Software Manager > Manage licenses。
2. 導航到Inventory > General頁籤，然後建立New Token。
3. 在FMC UI中，導航至System > Licenses > Smart Licenses。
4. 按一下「Register」。
5. 插入在思科智慧軟體許可門戶中生成的令牌。
6. 確保Cisco Success Network已啟用。
7. 按一下「Apply Changes」。
8. 驗證智慧許可證狀態。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 註冊智慧許可證。

檢視變數集的配置

確保HOME_NET變數僅包含組織中的內部網路/子網。變數集定義不當會對防火牆的效能產生負面影響。

1. 導航到對象>變數集。
2. 編輯入侵策略使用的變數集。允許每個具有不同設定的入侵策略設定一個變數。
3. 根據您的環境調整變數，然後按一下Save。

其他重要的變數是DNS_SERVERS或HTTP_SERVERS。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 變數集。

驗證雲服務啟用

為了利用不同的雲服務，n導航到System > Integration > Cloud Services。

URL篩選

1. 啟用URL過濾並允許自動更新，開啟Query Cisco Cloud for Unknown URL。
   更頻繁的快取URL過期需要對雲進行更多查詢，這會導致Web載入速度變慢。
   
2. 保存更改。

提示：對於快取URL過期，請保留預設值Never。如果需要更嚴格的網路重新分類，可以相應地修改此設定。

AMP網路版

1. 確保兩個設定均開啟：啟用自動本地惡意軟體檢測更新並與思科共用惡意軟體事件的URI。
2. 在FMC 6.6.X中，停用用於網路的AMP的舊版連線埠32137，因此使用的TCP連線埠為443。
   
3. 保存更改。

附註：FMC 7.0+中不再提供此設定，並且埠始終為443。

思科雲端區域

1. 雲區域需要與SecureX組織區域相匹配。如果未建立SecureX組織，請選擇接近FMC安裝的區域：  APJ地區、EU地區或US地區。
2. 保存更改。

思科雲端事件組態

對於FMC 6.6.x

1. 確保全部三個選項：選擇向雲傳送高優先順序連線事件、向雲傳送檔案和惡意軟體事件以及向雲傳送入侵事件等。
2. 保存更改。

適用於FMC 7.0+

1. 確保同時選擇了兩個選項：將入侵事件傳送到雲並將檔案及惡意軟體事件傳送到雲。
2. 對於連線事件的型別，如果正在使用安全分析和日誌記錄解決方案，請選擇All。對於SecureX，僅選擇Security Events。
3. 保存更改。

啟用SecureX整合

通過SecureX整合，您可以即時瞭解思科安全產品的威脅形勢。要連線SecureX並啟用功能區，請執行以下步驟：

整合SecureX功能區

附註：此選項可用於FMC 7.0+版。

1. 登入到SecureX並建立API客戶端： 
   • 在「Client Name」欄位中，輸入FMC的描述性名稱。例如，FMC 7.0 API客戶端。
   • 按一下「Oauth Code Clients」索引標籤。
   • 在「Client Preset」下拉選單中，選擇「Ribbon」。它選擇範圍：案例手冊，豐富：閱讀，全球英特爾：閱讀，檢查：閱讀，通知，軌道，專用英特爾，配置檔案，響應，遙測：寫入。
   • 新增在FMC中顯示的兩個重新導向URL:

     重定向URL:<FMC_URL>/securex/oauth/callback

     第二個重定向URL:<FMC_URL>/securex/testcallback

1. • 在「Availability」下拉選單中，選擇「Organization」。
   • 按一下「Add New Client」。

2.從FMC導航至System > SecureX。

3.開啟右上角的切換按鈕，並確認顯示的區域與SecureX組織匹配。

4.複製使用者端ID和使用者端密碼，然後將其貼上到FMC中。

5.選擇測試配置。

6.登入到SecureX以授權API客戶端。

7.儲存更改並刷新瀏覽器，以檢視底部顯示的功能區。

8.展開Ribbon並選擇Get SecureX。如果出現提示，請輸入SecureX憑據。

9. SecureX功能區現已對您的FMC使用者完全正常工作。

5YVPsGdzrkX8q8q0yYl-tDitezO6p_17MtH6NATx68fUZ5u9T3qOEQ

附註：如果任何其他FMC使用者需要訪問功能區，則該使用者需要使用SecureX憑據登入功能區。

將連線事件傳送到SecureX

1. 在FMC中，導覽至System > Integration > Cloud Services，並確保Cisco Cloud Event Configuration傳送入侵、檔案和惡意軟體事件，如啟用雲服務一節所述。
   
2. 確保FMC已註冊到智慧許可證，如註冊智慧許可證部分所述。
   
3. 記下System > Licenses > Smart Licenses下的Assigned virtual Account名稱，該名稱顯示在FMC中。
4. 在SecureX中註冊FMC:
   • 在SecureX中，導航到管理>裝置。
   • 選擇Manage Devices。
   • 確保瀏覽器中允許彈出視窗。
   • 登入到安全服務交換(SSE)。
   • 導航到工具選單>連結智慧/虛擬帳戶。
   • 選擇Link more accounts。
   • 選擇分配給FMC的虛擬帳戶（步驟3）。
   • 選擇Link Smart/Virtual Accounts。

• 確保「Devices（裝置）」中列出了FMC裝置。
  
• 導航到Cloud Services頁籤，啟用Cisco SecureX威脅響應和Eventing 功能。
• 選擇Eventing功能旁邊的Additional service settings（齒輪圖示）。
• 在General頁籤中，選擇Share event data with Talos。
• 在「自動升級事件」頁籤的「按事件型別」部分中，選擇所有可用的事件型別和儲存。

5.在SecureX主門戶中，導航到整合模組> Firepower，然後新增Firepower整合模組。

6.建立新儀表板。

7.新增與Firepower相關的磁貼。

整合安全終端（面向終端的AMP）

要啟用與您的Firepower部署的安全終端（面向終端的AMP）整合，請執行以下步驟：

1. 導覽至AMP > AMP Management。
2. 選擇Add AMP Cloud Connection。
3. 選擇雲和註冊。

附註：狀態Enabled表示已建立與雲的連線。

整合 安全惡意軟體分析(Threat Grid)

預設情況下，Firepower管理中心可以連線到公共Cisco Threat Grid雲以進行檔案提交和報告檢索。無法刪除此連線。儘管如此，還是建議選擇最接近您的部署雲的位置：

1. 導航到AMP > Dynamic Analysis Connections。
2. 在「操作」部分中按一下編輯（鉛筆圖示）。
   
3. 選擇正確的雲名稱。
4. 要將Threat Grid帳戶與詳細報告和高級沙盒功能相關聯，請按一下Associate圖示。

有關詳細資訊，請參閱Firepower管理中心配置指南7.0版 — 在公共雲中啟用對動態分析結果的訪問。

有關內部部署執行緒網格裝置整合，請參閱Firepower管理中心配置指南7.0版 — 動態分析內部部署裝置(Cisco Threat Grid)。