简介
本文档介绍如何在Cisco ASA上安装和配置Cisco FirePOWER (SFR)模块,以及如何向Cisco FireSIGHT注册SFR模块。
先决条件
要求
Cisco建议您在尝试本文档中介绍的步骤之前,系统应满足以下要求:
使用的组件
要在Cisco ASA上安装FirePOWER服务,需要以下组件:
- Cisco ASA 软件版本 9.2.2 或更高版本
- Cisco ASA平台5512-X至5555-X
- FirePOWER软件5.3.1版或更高版本
注意:如果要在ASA 5585-X硬件模块上安装FirePOWER (SFR)服务,请参阅在ASA 5585-X硬件模块上安装SFR模块。
Cisco FireSIGHT管理中心需要以下组件:
- FirePOWER软件5.3.1版或更高版本
- FireSIGHT管理中心FS2000、FS4000或虚拟设备
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Cisco ASA FirePOWER模块(也称为ASA SFR)提供下一代防火墙服务,例如:
- 下一代入侵防御系统(NGIPS)
- 应用可视性与可控性(AVC)
- 过滤URL
- 高级恶意软件保护 (AMP)
注意:您可以在单情景或多情景模式以及路由或透明模式下使用ASA SFR模块。
开始使用前
在尝试本文档中介绍的步骤之前,请考虑以下重要信息:
- 如果有将流量重定向到入侵防御系统(IPS)/情景感知(CX)模块(已替换为ASA SFR)的活动服务策略,则必须在配置ASA SFR服务策略之前将其删除。
- 您必须关闭当前运行的任何其他软件模块。设备一次可以运行一个软件模块。您必须从ASA CLI执行此操作。例如,以下命令关闭并卸载IPS软件模块,然后重新加载ASA:
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
- 用于删除CX模块的命令相同,只是使用
cxsc关键字而不是ips: ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
- 对模块进行重新映像时,请使用与删除旧SFR映像相同的
shutdown和uninstall命令。例如:
ciscoasa# sw-module module sfr uninstall
- 如果ASA SFR模块在多情景模式下使用,请在系统执行空间中执行本文档中介绍的过程。
提示:为了确定ASA上的模块状态,请输入show module命令。
Install(安装)
本节介绍如何在ASA上安装SFR模块以及如何设置ASA SFR引导映像。
在ASA上安装SFR模块
要在ASA上安装SFR模块,请完成以下步骤:
- 从Cisco.com将ASA SFR系统软件下载到可从ASA SFR管理接口访问的HTTP、HTTPS或FTP服务器。
- 将启动映像下载到设备。您可以使用Cisco自适应安全设备管理器(ASDM)或ASA CLI将引导映像下载到设备。
注意:请勿传输系统软件;系统软件稍后会下载到固态驱动器(SSD)。
要通过ASDM下载引导映像,请完成以下步骤:
- 将启动映像下载到您的工作站,或者将其放置在FTP、TFTP、HTTP、HTTPS、服务器消息块(SMB)或安全复制(SCP)服务器上。
- 在ASDM中选择
Tools > File Management。
- 选择相应的File Transfer命令,Between Local PC and Flash或Between Remote Server and Flash。
- 将引导软件传输到ASA上的闪存驱动器(disk0)。
要通过ASA CLI下载引导映像,请完成以下步骤:
- 将引导映像下载到FTP、TFTP、HTTP或HTTPS服务器上。
- 在CLI中输入
copy命令,以便将引导映像下载到闪存驱动器。 以下是使用HTTP协议的示例(用您的服务器IP地址或主机名替换
)。对于FTP服务器,URL如下所示:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img 。
ciscoasa# copy http://
/asasfr-5500x-boot-5.3.1-152.img
disk0:/asasfr-5500x-boot-5.3.1-152.img
- 输入以下命令以配置ASA闪存驱动器中的ASA SFR引导映像位置:
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
例如:
ciscoasa# sw-module module sfr recover configure image disk0:
/asasfr-5500x-boot-5.3.1-152.img
- 输入以下命令以加载ASA SFR引导映像:
ciscoasa# sw-module module sfr recover boot
在此期间,如果您在ASA上启用debug module-boot,则会显示以下调试:
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
- 等待大约5到15分钟,使ASA SFR模块启动,然后打开与运行中的ASA SFR引导映像的控制台会话。
设置ASA SFR引导映像
要设置新安装的ASA SFR引导映像,请完成以下步骤:
- 在打开会话后按
Enter键,以便访问登录提示符。 注意:默认用户名是admin。密码因软件版本而异:Adm!n123 7.0.1版(仅限工厂的新设备),Admin123 6.0版,更高版本6.0之前的Sourcefire版。
例如:
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
提示:如果未完成ASA SFR模块引导,则session命令将失败,并显示一条消息,指示系统无法通过TTYS1进行连接。如果发生这种情况,请等待模块启动完成,然后重试。
- 输入
setup命令以配置系统,这样您便可以安装系统软件包:
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
然后,系统将提示您输入以下信息:
Host name - 主机名最多可包含65个字母数字字符,不含空格。允许使用连字符。Network address - 网络地址可以是静态IPv4或IPv6地址。您也可以使用DHCP进行IPv4或IPv6无状态自动配置。DNS information - 您必须至少标识一台域名系统(DNS)服务器,而且您也可以设置域名和搜索域。NTP information - 您可以启用网络时间协议(NTP)并配置NTP服务器以设置系统时间。
- 输入
system install命令以安装系统软件镜像:
asasfr-boot >system install [noconfirm] url
如果您不想回复确认消息,可以包括noconfirm选项。将url关键字替换为.pkg文件的位置。同样,您可以使用FTP、HTTP或HTTPS服务器。例如:
asasfr-boot >system install http://
/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
对于FTP服务器,URL如下所示:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg。
注意:在安装过程中,SFR处于“Recover”状态。完成SFR模块的安装最多可能需要一个小时左右。 安装完成后,系统将重新启动。等待十分钟或更长时间,以便安装应用组件和启动ASA SFR服务。show module sfr命令的输出显示所有进程均为Up。
配置
本节介绍如何配置FirePOWER软件和FireSIGHT管理中心,以及如何将流量重定向至SFR模块。
配置FirePOWER
要配置FirePOWER软件,请完成以下步骤:
- 打开与ASA SFR模块的会话。
注意:现在显示另一个登录提示,因为登录发生在功能齐全的模块上。
例如:
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
- 使用用户名
admin登录,密码因软件版本而异:Adm!n123(7.0.1版(仅限出厂新设备),Admin123 6.0版,更高版本6.0版Sourcefire。
- 按照提示完成系统配置,按以下顺序进行:
- 阅读并接受最终用户许可协议(EULA)。
- 更改管理员密码。
- 根据提示配置管理地址和DNS设置。
注意:您可以配置IPv4和IPv6管理地址。
例如:
System initialization in progress. Please stand by. You must change the password
for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
- 等待系统重新配置自身。
配置FireSIGHT管理中心
要管理ASA SFR模块和安全策略,您必须向FireSIGHT管理中心注册该模块。有关详细信息,请参阅向FireSIGHT管理中心注册设备。您无法通过FireSIGHT管理中心执行这些操作:
- 配置ASA SFR模块接口
- 关闭、重新启动或以其他方式管理ASA SFR模块进程
- 从ASA SFR模块设备创建备份或将备份还原到
- 编写访问控制规则,以便使用VLAN标记条件匹配流量
将流量重定向至SFR模块
要将流量重定向至ASA SFR模块,您必须创建识别特定流量的服务策略。要将流量重定向至ASA SFR模块,请完成以下步骤:
- 选择必须用
access-list命令识别的流量。在本示例中,来自所有接口的所有流量都会被重定向。您还可以对特定流量执行此操作。
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
- 创建类映射以匹配访问列表中的流量:
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
- 指定部署模式。您可以在被动(仅监控)或内联(正常)部署模式下配置设备。
注意:您不能在ASA上同时配置被动模式和内联模式。只允许一种类型的安全策略。
警告:monitor-only模式不允许SFR服务模块拒绝或阻止恶意流量。
注意:使用interface-level traffic-forward sfr monitor-only命令可以将ASA配置为仅监控模式;但是,此配置仅用于演示功能,不能在生产ASA上使用。思科技术支持中心(TAC)不支持此演示功能中发现的任何问题。如果您希望在被动模式下部署ASA SFR服务,请使用策略映射进行配置。
- 指定位置并应用策略。您可以全局应用策略或在接口上应用策略。要覆盖接口上的全局策略,可以将服务策略应用到该接口。
关键字global将策略映射应用于所有接口,关键字interface将策略应用于一个接口。仅允许有一个全局策略。在本示例中,策略全局应用:
ciscoasa(config)# service-policy global_policy global
注意:策略映射global_policy是默认策略。如果您使用此策略并希望将其从您的设备上删除以进行故障排除,请确保您了解其含义。
验证
当前没有可用于此配置的验证过程。
故障排除
- 您可以运行此命令(
debug module-boot)以在SFR引导映像安装开始时启用调试。
- 如果ASA陷入恢复模式而控制台未启动,您将尝试此命令(
sw-module module sfr recover stop)。
- 如果SFR模块无法退出恢复状态,您可以尝试重新加载ASA
(reload quick)。(如果流量通过,则可能导致网络干扰)。如果Still SFR停滞在恢复状态,您可以关闭ASA和unplug the SSD卡,然后启动ASA。检查模块的状态,它必须处于INIT状态。同样,关闭ASA,insert the SSD卡并启动ASA。您可以开始重新映像ASA SFR模块。
相关信息
反馈