Configurar a interface de gerenciamento da defesa da ameaça de FirePOWER (FTD)

Documentos relacionados
Permita o acesso ao Internet para o módulo ips ASA 5500-X

Centro de gerenciamento da potência de fogo: Contadores de acertos da política do controle de acesso do indicador

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Promovendo um FTD HA emparelhe em dispositivos da potência de fogo

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Este documento descreve como seguir endereços MAC de uma máquina virtual (VM) e da relação de VMkernel (VMK) a estes níveis de rede:

DHCPv6 usando o exemplo de configuração da característica da delegação do prefixo

Configurando IPSec de IOS para IOS usando criptografia de AES

Configurar um server público com Cisco ASDM

FTD: Como permitir a configuração do desvio do estado TCP usando a política de FlexConfig

Aplicação do aprimoramento de recursos ASA SNMP

Compreendendo e configurando o comando ip unnumbered

Gerenciamento e Interoperabilidade de Redes Prof. João Henrique Kleinschmidt Prática Packet Tracer Configuração de switches e roteadores

Uso do registro de configuração em todos os roteadores Cisco

Mobilidade DHCP interno expresso

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

Policy Routing with Catalyst 3550 Series Switch Configuration Example

Desenvolvimento do centro de gerenciamento de FireSIGHT em VMware ESXi

Configurar o acesso da porta serial a NX-OSv 9000 em VMware ESXi

Configurar o ASA com regras do controle de acesso dos serviços da potência de fogo para filtrar o tráfego do cliente VPN de AnyConnect ao Internet

Configuração automática CUCM para gateways SCCP

Cisco recomenda que você tem o conhecimento do CUCM e dos pontos de acesso da Cisco.

ASA 8.3 e mais atrasado: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo não-padrão usando o ASDM

Multicast UCS L2 com exemplo de configuração dos 5000 e 1000V Series Switch do nexo

ASDM 6.4: Túnel do VPN de Site-para-Site com exemplo de configuração IKEv2

Como instalar, configurar e pesquise defeitos? SORVA o App da câmera de vídeo? s

Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço

Este documento não se restringe a versões de software e hardware específicas.

Curso. Virtualização com vsphere Free

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Autenticação CS com ACS e autorização com exemplo de configuração local RBAC

Laboratório Usar o CLI para reunir informações do dispositivo de rede

Backup da fineza e configuração da elevação com SFTP

As informações neste documento são baseadas nestas versões de software e hardware:

CS-MARS: Adicionar o sensor do ips Cisco como um dispositivo de relatório ao exemplo de configuração CS-MARS

A instalação e configuração do módulo ampère com AnyConnect 4.x e ampère Habilitador

Packet Tracer - Conectar um roteador a uma LAN

Configurar a restauração alternativa da configuração no módulo de FirePOWER com ASDM (o Gerenciamento da Em-caixa)

Configurando o recurso BGP Local-AS

Configuração do acesso remoto VPN de AnyConnect em FTD

A instalação da correção de programa/atualização no módulo de FirePOWER usando ASDM (Gerenciamento da Em-caixa)

Gerenciador de domínio das comunicações unificadas de Cisco (CUCDM) Comunicações unificadas Managers(CUCM) de Cisco

Configurando um roteador

AnyConnect SSL sobre IPv4+IPv6 à configuração ASA

Vazamento de rota em redes MPLS/VPN

Laboratório - Configuração de endereços IPv6 em dispositivos de rede

Configurando um Gateway de Último Recurso Usando Comandos IP

Plataformas suportadas para a configuração original do MAC address nas relações VLAN ou L3 para Catalyst Switches

Switches do 3550/3560 Series do catalizador usando o exemplo de configuração com base na porta do controle de tráfego

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Configurar o ASA 5506W-X com uma configuração não-padrão IP ou de vlan múltiplo

Configurar uma máquina virtual em um server da lâmina UCS como o destino do PERÍODO

Migração da licença da versão 10.x CUCM no exemplo de configuração PLM

Pesquise defeitos edições do Correio de voz visual

VM-FEX com exemplo de configuração hyper-v

Configurar a gravação do atendimento usando MediaSense

D-Link500T. Simulador Site DLINK - Clique Aqui. D-Link500T - Alterar usuário e senha

Índice. Introdução. Pré-requisitos. Requisitos

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Trabalho com captações e Pacote-projétil luminoso da defesa da ameaça de FirePOWER (FTD)

Configurar a infraestrutura de software VRFciente (VASI) NAT em IOS-XE

Proxy da autenticação da Web em um exemplo da configuração de controle do Wireless LAN

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

Chave manual do IPsec entre o exemplo de configuração do Roteadores

Exemplo de configuração do refletor da rota de BGP do IPv6

Como distribuir um serviço virtual em CSP 2100

As informações neste documento são baseadas nestas versões de software:

Cisco Jabber para Windows no exemplo de configuração expresso do CallManager

Índice. Introdução. As limitações da autenticação remota central UCS incluem:

Índice. Introdução. Pré-requisitos. Requisitos. Componentes Utilizados

Laboratório 1. Laboratório 1

Procedimento de migração para CUACA (10.5.X a 11.X.X)

Aborto do Módulo de serviços TLS NGFW erros devido ao erro da falha ou da validação certificada do aperto de mão

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

SEGURANÇA APLICADA MATERIAL 19

As agendas de telefones TMS pesquisam defeitos o guia

Se você usa um telefone IP de Cisco 88XX, assegure-se de que você configure a característica da conferência Me Encontre no template de telefone.

Mude a definição do server CUCM do endereço IP ou nome do host ao formato FQDN

As informações neste documento são baseadas nestas versões de software e hardware:

Comportamento do protocolo cisco discovery entre o Roteadores e o Switches

Manual de configuração móvel do IPv6 do proxy do Cisco Wireless

Pontos de acesso Aironet autônomos e SSID múltiplos no exemplo da configuração do IOS da Cisco

Configurando um roteador como uma ALMOFADA para o XOT a um host assíncrono

Configurando um Cisco 1700/2600/3600 ADSL WIC para Suportar Clientes PPPoE, Terminando em um Cisco 6400 UAC

As informações neste documento são baseadas nestas versões de software e hardware:

Como resolver valores-limite principais da duplicata do acreditação da Colaboração de Cisco (PCA)

Distribuição de segurança da Web de AnyConnect com o ASA

Este documento não se restringe a versões de software e hardware específicas.

Como obter a informação sobre os usuários conectados ao TTY usando o SNMP

Senhas Telnet, Console e de Portas AUX no Exemplo de Configuração de Roteadores da Cisco

TRANSPORTE DE PREFIXOS VIA VPNV4

Exemplo de Configuração de Ponto de Acesso como Ponte de Grupo de Trabalho

Laboratório - Configuração de um endereço de gerenciamento do switch

Configurar o Access point de pouco peso como um suplicante do 802.1x

Transcrição:

Configurar a interface de gerenciamento da defesa da ameaça de FirePOWER (FTD) Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de Apoio Configurar Interface de gerenciamento em dispositivos ASA 5500-X Arquitetura da interface de gerenciamento Registro FTD Controle FTD com FDM (o Gerenciamento da Em-caixa) Interface de gerenciamento em ferramentas de hardware FTD FirePOWER Integre FTD com FMC - Encenações do Gerenciamento Encenação 1. FTD e FMC na mesma sub-rede. Encenação 2. FTD e FMC em sub-redes diferentes. O controle plano não atravessa o FTD. Informações Relacionadas Introdução Este documento descreve a operação e a configuração da interface de gerenciamento na defesa da ameaça de FirePOWER (FTD). Pré-requisitos Requisitos Não existem requisitos específicos para este documento. Componentes Utilizados FTD que é executado na ferramenta de hardware ASA5508-X FTD que é executado na ferramenta de hardware ASA5512-X FTD que é executado na ferramenta de hardware FPR9300 FMC que executa 6.1.0 (construção 330) As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any.

Informações de Apoio FTD é uma imagem do software unificada que possa ser instalada nas seguintes Plataformas: ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X FPR4100, FPR9300 VMware (ESXi) Serviços de Web das Amazonas (AW) KVM Módulo de roteador ISR A finalidade deste documento é demonstrar: Arquitetura da interface de gerenciamento FTD em dispositivos ASA5500-X Interface de gerenciamento FTD quando FDM for usado Interface de gerenciamento FTD no FP41xx/FP9300 Series Encenações da integração do centro de gerenciamento FTD/Firepower (FMC) Configurar Interface de gerenciamento em dispositivos ASA 5500-X A interface de gerenciamento em dispositivos ASA5506/08/16-X e ASA5512/15/25/45/55-X. Esta é a imagem de ASA5506-X: Esta é a imagem de ASA5508-X: Esta é a imagem de ASA5555-X:

Quando uma imagem FTD é instalada em 5506/08/16 a interface de gerenciamento está mostrada como Management1/1. Nos dispositivos 5512/15/25/45/55-X este transforma-se Management0/0. Do comando line interface(cli) FTD isto pode ser verificado na saída do tecnologia-apoio da mostra. Conecte ao console FTD e execute o comando: > show tech-support -----------------[ BSNS-ASA5508-1 ]----------------- Model : Cisco ASA5508-X Threat Defense (75) Version 6.1.0 (Build 330) UUID : 04f55302-a4d3-11e6-9626-880037a713f3 Rules update version : 2016-03-28-001-vrt VDB version : 270 ---------------------------------------------------- Cisco Adaptive Security Appliance Software Version 9.6(2) Compiled on Tue 23-Aug-16 19:42 PDT by builders System image file is "disk0:/os.img" Config file at boot was "startup-config" firepower up 13 hours 43 mins Hardware: ASA5508, 8192 MB RAM, CPU Atom C2000 series 2000 MHz, 1 CPU (8 cores) Internal ATA Compact Flash, 8192MB BIOS Flash M25P64 @ 0xfed01000, 16384KB Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1) Number of accelerators: 1 1: Ext: GigabitEthernet1/1 : address is d8b1.90ab.c852, irq 255 2: Ext: GigabitEthernet1/2 : address is d8b1.90ab.c853, irq 255 3: Ext: GigabitEthernet1/3 : address is d8b1.90ab.c854, irq 255 4: Ext: GigabitEthernet1/4 : address is d8b1.90ab.c855, irq 255 5: Ext: GigabitEthernet1/5 : address is d8b1.90ab.c856, irq 255 6: Ext: GigabitEthernet1/6 : address is d8b1.90ab.c857, irq 255 7: Ext: GigabitEthernet1/7 : address is d8b1.90ab.c858, irq 255 8: Ext: GigabitEthernet1/8 : address is d8b1.90ab.c859, irq 255 9: Int: Internal-Data1/1 : address is d8b1.90ab.c851, irq 255 10: Int: Internal-Data1/2 : address is 0000.0001.0002, irq 0 11: Int: Internal-Control1/1 : address is 0000.0001.0001, irq 0 12: Int: Internal-Data1/3 : address is 0000.0001.0003, irq 0 13: Ext: Management1/1 : address is d8b1.90ab.c851, irq 0 14: Int: Internal-Data1/4 : address is 0000.0100.0001, irq 0 ASA5512-X: > show tech-support -------------------[ FTD5512-1 ]-------------------- Model : Cisco ASA5512-X Threat Defense (75) Version 6.1.0 (Build 330) UUID : 8608e98e-f0e9-11e5-b2fd-b649ba0c2874 Rules update version : 2016-03-28-001-vrt VDB version : 270

---------------------------------------------------- Cisco Adaptive Security Appliance Software Version 9.6(2) Compiled on Fri 18-Aug-16 15:08 PDT by builders System image file is "disk0:/os.img" Config file at boot was "startup-config" firepower up 4 hours 37 mins Hardware: ASA5512, 4096 MB RAM, CPU Clarkdale 2793 MHz, 1 CPU (2 cores) ASA: 1764 MB RAM, 1 CPU (1 core) Internal ATA Compact Flash, 4096MB BIOS Flash MX25L6445E @ 0xffbb0000, 8192KB Encryption hardware device: Cisco ASA Crypto on-board accelerator (revision 0x1) Boot microcode : CNPx-MC-BOOT-2.00 SSL/IKE microcode : CNPx-MC-SSL-SB-PLUS-0005 IPSec microcode : CNPx-MC-IPSEC-MAIN-0026 Number of accelerators: 1 Baseboard Management Controller (revision 0x1) Firmware Version: 2.4 0: Int: Internal-Data0/0 : address is a89d.21ce.fde6, irq 11 1: Ext: GigabitEthernet0/0 : address is a89d.21ce.fdea, irq 10 2: Ext: GigabitEthernet0/1 : address is a89d.21ce.fde7, irq 10 3: Ext: GigabitEthernet0/2 : address is a89d.21ce.fdeb, irq 5 4: Ext: GigabitEthernet0/3 : address is a89d.21ce.fde8, irq 5 5: Ext: GigabitEthernet0/4 : address is a89d.21ce.fdec, irq 10 6: Ext: GigabitEthernet0/5 : address is a89d.21ce.fde9, irq 10 7: Int: Internal-Control0/0 : address is 0000.0001.0001, irq 0 8: Int: Internal-Data0/1 : address is 0000.0001.0003, irq 0 9: Ext: Management0/0 : address is a89d.21ce.fde6, irq 0 Arquitetura da interface de gerenciamento A interface de gerenciamento é dividida em 2 interfaces lógica: br1 (management0 nos dispositivos FPR2100/4100/9300) e diagnóstico: Propósito Gerenciamento - br1/management0 Gerenciamento - Diagnóstico Esta relação é usada a fim atribuir o IP FTD Fornece o Acesso remoto (por que é usado para uma comunicação exemplo SNMP) ao motor ASA.

Obrigatório Configurar FTD/FMC. Termina o sftunnel entre FMC/FTD. Usado como uma fonte para Syslog baseados em regras. Fornece o acesso SSH e HTTPS à caixa FTD. Sim, desde que é usado para uma comunicação FTD/FMC (o sftunnel termina nele) Esta relação é configurada durante a instalação FTD (instalação). Mais tarde você pode alterar os ajustes br1 como segue: >configure network ipv4 manual 10.1.1.2 255.0.0.0 10.1.1.1 Setting IPv4 network configuration. Network settings changed. > Etapa 2. Atualize o IP FTD em FMC. Usado como uma fonte para Syslog do Lina-nível, mensagens AAA, SNMP etc. Nenhum e ele não é recomendado a configurar-lo. A recomendação é usar-se um instead* da interface de dados (verifique a nota abaixo) A relação pode ser configurada de FMC GUI: Navegue aos dispositivos > ao Gerenciamento de dispositivos, Selecione o botão Edit e navegue às relações Acesso de limitação Àrevelia, somente o usuário admin pode conectar à subinterface FTD br1. O SSH de limitação alcança é feito usando o CLISH CLI >configure network ipv4 manual 10.1.1.2 255.0.0.0 10.1.1.1 Setting IPv4 network configuration. Network settings changed. O acesso à relação diagnóstica pode ser controlado por FTD Dispositivos > ajustes da plataforma > Secure Shell e Dispositivos > plataforma Settings> HTTP respectivamente >

Verificar Método 1 - De FTD CLI: > show network... =======[ br1 ]======= State : Enabled Channels : Management & Events Mode : MDI/MDIX : Auto/MDIX MTU : 1500 MAC Address : 18:8B:9D:1E:CA:7B ----------------------[ IPv4 ]----- Configuration : Manual Address : 10.1.1.2 Netmask : 255.0.0.0 Broadcast : 10.1.1.255 ----------------------[ IPv6 ]----- Método 2 De FMC GUI Dispositivos > Gerenciamento de dispositivos > dispositivo > Gerenciamento Método 1 - De LINA CLI: firepower# show interface ip brief.. Management1/1 192.168.1.1 YES unset up up firepower# show run interface m1/1! interface Management1/1 management-only nameif diagnostic security-level 0 ip address 192.168.1.1 255.255.255.0 Método 2 De FMC GUI Navegue aos dispositivos > ao Gerenciamento de dispositivos, selecione o botão Edit e navegue às relações * trecho tomado do Guia do Usuário FTD 6.1 Registro FTD

Quando um usuário configura FTD que registra dos ajustes da plataforma, o FTD gerencie mensagens do syslog (mesmos que no ASA clássico) e pode usar toda a interface de dados como uma fonte (que inclui o diagnóstico). Um exemplo de um mensagem do syslog que seja gerado nesse caso: firepower# show interface ip brief.. Management1/1 192.168.1.1 YES unset up up firepower# show run interface m1/1! interface Management1/1 management-only nameif diagnostic security-level 0 ip address 192.168.1.1 255.255.255.0 Por outro lado, quando o registro do Regra-nível da política do controle de acesso (ACP) é permitido o FTD origina estes logs através da interface lógica br1 como uma fonte. Os logs são originados da subinterface FTD br1: Controle FTD com FDM (o Gerenciamento da Em-caixa) Como da versão 6.1, um FTD que seja instalado em dispositivos ASA5500-X pode ser controlado por FMC (Gerenciamento da fora-caixa) ou pelo gerenciador de dispositivo de FirePOWER (FDM) (Gerenciamento da em-caixa). Saída de FTD CLISH quando o dispositivo for controlado por FDM: > show managers Managed locally. > FDM usa a interface lógica br1. Isto pode ser visualizado como:

De FDM UI a interface de gerenciamento é acessível do IP do painel > das configurações de sistema > do Gerenciamento de dispositivos do dispositivo: Interface de gerenciamento em ferramentas de hardware FTD FirePOWER

FTD pode igualmente ser instalado em ferramentas de hardware de FirePOWER 2100, 4100 e 9300. O chassi de FirePOWER executa seu próprio OS chamado FXO quando o FTD for instalado em um módulo/lâmina. Dispositivo FPR21xx Dispositivo FPR41xx Dispositivo FPR9300 Em FPR4100/9300 esta relação é somente para o Gerenciamento do chassi e não pode ser usada/compartilhado com o software FTD que é executado dentro do módulo FP. Para o módulo FTD atribua uma relação dos dados separados que para o Gerenciamento FTD. Em FPR2100 esta relação é compartilhada entre o chassi (FXO) e o dispositivo lógico FTD: > show network ===============[ System Information ]=============== Hostname : ftd623 Domains : cisco.com DNS Servers : 173.38.200.100 8.8.8.8 Management port : 8305 IPv4 Default route Gateway : 10.62.148.129 ==================[ management0 ]=================== State : Enabled Channels : Management & Events Mode : Non-Autonegotiation MDI/MDIX : Auto/MDIX MTU : 1500

MAC Address : 70:DF:2F:18:D8:00 ----------------------[ IPv4 ]---------------------- Configuration : Manual Address : 10.62.148.179 Netmask : 255.255.255.128 Broadcast : 10.62.148.255 ----------------------[ IPv6 ]---------------------- Configuration : Disabled > connect fxos Cisco Firepower Extensible Operating System (FX-OS) Software... firepower# Este tiro de tela é do gerente do chassi de FirePOWER (FCM) UI em FPR4100 onde uma interface separada para o Gerenciamento FTD é atribuída. Neste exemplo Ethernet1/3 é escolhido como a interface de gerenciamento FTD: p1 Isto pode igualmente ser visto dos dispositivos lógicos tab:p2 Em FMC a relação é mostrada como o diagnóstico: p3

Verificação CLI FP4100# connect module 1 console Firepower-module1>connect ftd Connecting to ftd console... enter exit to return to bootcli > > show interface output omitted Interface Ethernet1/3 "diagnostic", is up, line protocol is up Hardware is EtherSVI, BW 10000 Mbps, DLY 1000 usec MAC address 5897.bdb9.3e0e, MTU 1500 IP address unassigned Traffic Statistics for "diagnostic": 1304525 packets input, 63875339 bytes 0 packets output, 0 bytes 777914 packets dropped 1 minute input rate 2 pkts/sec, 101 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 1 pkts/sec 5 minute input rate 2 pkts/sec, 112 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 1 pkts/sec Management-only interface. Blocked 0 through-the-device packets output omitted > Integre FTD com FMC - Encenações do Gerenciamento São dadas algumas das opções de distribuição que reservam controlar FTD que é executado em dispositivos ASA5500-X de FMC. Encenação 1. FTD e FMC na mesma sub-rede. Este é o desenvolvimento o mais simples. Enquanto se pode ver na figura, o FMC está na mesma sub-rede como a relação FTD br1:

Encenação 2. FTD e FMC em sub-redes diferentes. O controle plano não atravessa o FTD. Neste desenvolvimento o FTD deve ter uma rota para o FMC e vice-versa. Em FTD o salto seguinte é um dispositivo L3 (roteador): Informações Relacionadas Notas da versão de sistema de FirePOWER, versão 6.1.0 Nova imagem Cisco ASA ou dispositivo da defesa da ameaça de FirePOWER Manual de configuração da defesa da ameaça de Cisco FirePOWER para o gerenciador de dispositivo de FirePOWER, versão 6.1 Suporte Técnico e Documentação - Cisco Systems

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback