Firepower
用戶安裝手冊
版本 1.0
JLEAD Information Co., Ltd.
2F., No.77, Xinhu 1 st Rd., Neihu Dist., Taipei City 11494,
Taiwan ( R.O.C.)
TEL: +886-2-7733-8855
FAX: +886-2-7733-8811
PROPRIETARY NOTICE
This document contains confidential information of JLEAD Information
Co., Ltd,. In consideration of receipt of this document, recipient agrees
not to reproduce or make this information available in any manner to
persons outside the group directly responsible for the evaluation of its
content. Fees and Costs quoted in this document are valid for thirty
days from the date of document.
手冊目錄
1 安裝準備 ......................................................................................................................... 1
2 初始化設定 ...................................................................................................................... 2
3 WEB 設定 ......................................................................................................................... 3
4 接口配置 ......................................................................................................................... 6
5 啟用測試授權 ................................................................................................................ 11
6 防火牆規則配置 ............................................................................................................ 12
7 SECURITY INTELLIGENCE ................................................................................................ 16
8 配置佈署 ....................................................................................................................... 17
9 FMC 安裝 ....................................................................................................................... 19
10 常用設定: ...................................................................................................................... 29
11 DEVICE CONFIG .............................................................................................................. 30
12 NETWORK DISCOVERY ................................................................................................... 33
13 ACCESS CONTROL POLICY(BASIC) ................................................................................... 34
14 INTRUSION PREVENTION SYSTEM .................................................................................. 36
15 FIREPOWER IPS RECOMMENDATIONS............................................................................ 39
16 MALWARE & FILE POLICY ............................................................................................... 41
17 DNS PROTECTION ........................................................................................................... 43
18 AD JOINING .................................................................................................................... 44
19 ACCESS CONTROL POLICY(ADVANCED) .......................................................................... 48
20 SECURITY INTELLIGENCE ................................................................................................ 51
Firepower 用戶安裝手冊 1
1 安裝準備
RS45 網路線*1
PC*1
將網路線連接至如下圖○2 號位置
1 Power LED 2
Gigabit Ethernet management port:
• Firepower Threat Defense—Management 0 (also
referred to as Management 1/1 and Diagnostic 1/1)
• ASA—Management 1/1
3
12 RJ-45 1 G/100 M/10 M auto duplex/auto MDI-X Base-T
ports
Ethernet 1/1 through 1/12 labeled top to bottom, left to right
4 SSD 1 (slot 1)
5 Locator beacon 6 System LEDs
7 Type A USB 2.0 port 8 RJ-45 console port
9 Pullout asset card with chassis serial number 10 4 fixed SFP (1 G) ports
Fiber ports 1/13 through 1/16 labeled left to right
11 SSD (slot 2)
開啟 FirePower 21102 電源
Firepower 用戶安裝手冊 2
2 初始化設定
開啟瀏覽器(建議 Chrome 或 IE)
輸入 https://192.168.45.45 (預設 IP)
預設帳號密碼:admin/Admin123
Firepower 用戶安裝手冊 3
3 Web 設定
進入登入畫面後接受相關條款
系統要求更改密碼
Firepower 用戶安裝手冊 4
第一次進入配置畫面後會直接進入嚮導模式,可以看畫面預設情況下 0/0 是連接到 WAN
的接口,也就是 Outside 接口。
直接往下拉設定 Outside Interface IP。
IPv6 的部分如果不需要可以不設定
修改 DNS IP 及主機名稱(該預設 DNS IP 指向的是思科另外一種
Firepower 用戶安裝手冊 5
Umbrella DNS 服務建議不需修改)
配置地區及 NTP Server,NTP 如果不設定就會採內建的 NTP Server,配置完成後點選
NEXT。
Firepower 用戶安裝手冊 6
從思科 Smart Software Manager account 去產生 Token Key(需有購買授權才能產生 Key)
並貼入下方空格。
如果尚未購買授權則可點選下方 90 天測試授權,最後點選 FINISH。
4 接口配置
當上一步驟 FINISH 後,會跳出另一個嚮導視窗,配置內部接口也就是 Inside 接口,
點選 Configure Interfaces。
Firepower 用戶安裝手冊 7
點選 inside 接口(GI0/1)右方鉛筆圖案進入編輯。
預設情況下 inside 接口為 192.168.45.1/24 並且會啟用 DHCP,所以如果要配置其他網段 IP
必須先將 DHCP 配置刪除,點選右下 Delete。
設定 inside 接口 IP,設定後點選 OK。
Firepower 用戶安裝手冊 8
點選上方 Device 可以看見所有配置的簡易介紹畫面,所有設定也幾乎都是從這畫面
進入。
如果要更改管理 IP 則點選上方 Device 後再點選右方 Management Access
Firepower 用戶安裝手冊 9
切換到 Management Interface 設定管理 IP
如果要做系統資料庫的更新可以點選 Device 後再點選 Updates 可以下載
各種資料庫的更新,如果要做一次性更新直接點選 Update,如果要做排程更新點選
Configure,資料更新是透由管理接口接收,所以管理接口必須可以連至 Internet。
Firepower 用戶安裝手冊 10
例如配置,每天下午三點自動更新
點選 UPDATE NOW 後右上角 Task List 可以看到目前進度
更新成功
如果要配置其他接口則可以點選 Interface,就會回到之前配置 IP 的畫面
Firepower 用戶安裝手冊 11
點選 Monitoring 可以顯示各種不同的統計如系統效能消耗、使用者資料、各種應用程式流量
統計…..都可以在 Monitor 找到。
5 啟用測試授權
點選 Device/Smart License
Firepower 用戶安裝手冊 12
點選 Enable 啟用以下三種授權
Theat:IPS 威脅檢測
Malware:惡意軟體檢測
URL:網址過濾
6 防火牆規則配置
點選上方 Policy ,預設會有一筆 inside to outside 放行的規則
點選右上加號增加規則
設定來源及目的 Zone
Firepower 用戶安裝手冊 13
Application 設定那些 App 可以使用 EX:facebook
URL 可以配置哪網址不能去,點選 URLS 右邊加號
點選 Create New URL
Firepower 用戶安裝手冊 14
如果要設定雅虎不能存取則自訂一個名稱後在下方 URL 輸入雅虎網址
點選剛建立的物件並按下 OK
或是可以用右邊分類的方式設定 EX:有關賭博網站不能存取
User 頁籤使用在用戶認證通常會結合 AD 做使用
Firepower 用戶安裝手冊 15
Intrusion Policy:也就是 IPS 的 Policy,先將 INTRUNSION POLICY 開關打開,在 Level of
intrusion policy 有四種規則。
Connectivity Over Security:以效能為主所以啟用的 IPS 規則比較少。
Balanced Security and Connectivity:系統維持一定效能且 IPS 規則也較適中。
Security Over Connectivity:啟用大量 IPS 規則。
Maximum Detection:除了啟用大量 IPS 規則外同時也執行更細膩的檢測。
在右邊的 Intrusion 可以看到不同等級的 IPS 規則數量
Firepower 用戶安裝手冊 16
File Policy:阻擋惡意檔案上傳或下載
最後設定如果有事件發生就產生 log。
At Beginning and End of Connection:事件發生開始及結束都做 log
At End of Connection:只有活動結束時才做 log
No Connection Logging:不做任何 log
7 Security Intelligence
點選上方 Security Intelligence
Firepower 用戶安裝手冊 17
按下 Blacklist 的加號,選擇要阻擋的殭屍網路 EX:阻擋所有 CNC 的控制網站,點選右方 URL
Object 可以自訂阻擋哪些網站。
Do Not Block 則是放行哪些網站可以去,通常用在如果誤判正常網站為殭屍網路時,可以在此設置
該網站為正常,如果 Block list 及 Do Not Block 都有設定時則 Do Not Block 優先於 Block list 使用。
8 配置佈署
只要有做配置雖然都有 Save 但實際上還未真正佈署到設備上,必須點選上方 佈署按鈕才算是
將配置推送到設備上,點入後再點選 DEPOLY NOW 既可。
Firepower 用戶安裝手冊 18
*如果有購買 FMC 則可以使用以下設定進行操作,如果沒有 FMC 部分可以不須閱讀
Firepower 用戶安裝手冊 19
9 FMC 安裝
登入 ESXi
點選建立/登入虛擬機器
選擇從 OVF 或 OVA 檔案部署虛擬機器
輸入自訂名稱並選擇 FMC OVF 檔案
Firepower 用戶安裝手冊 20
選擇存放的 Datastore
選擇 FMC 的對應網卡
最後的 Summary
Firepower 用戶安裝手冊 21
匯入完成後會自動開啟 FMC 的虛擬機
預設帳號:admin 預設密碼:Admin123
修改 FMC IP
sudo configure-network
Firepower 用戶安裝手冊 22
將 RS232 線材連接至 FTD 並開啟 Putty
輸入帳號,預設帳密 admin/Admin123
輸入 configure manager add <IP> cisco123(自訂字串在 FMC 必須設定相同字串)
在先前已經開啟本機 FDM 管理,如果要加入 FMC 管理必須輸入 Yes 關閉本機管理
Firepower 用戶安裝手冊 23
開啟瀏覽器輸入 FMC IP
預設帳密 admin/Admin123
第一次登入後會出現嚮導
並要求更改密碼
更改 IP 及 DNS 設定
Firepower 用戶安裝手冊 24
NTP 設定
點選 set display Time Zone 右方做區域設定
勾選 install Now
勾選 install Now
Firepower 用戶安裝手冊 25
License 可以先跳過不輸入直接點選 Add/Verify
如果在上頁未設定更新可以在以下路徑設定 System/updates/Rule Updates
System/updates/Geolocation Updates
Firepower 用戶安裝手冊 26
接受 EULA 後要等待一段防火牆初始化時間
配置完成後要等一段時間初始化就會進入 Dashboard
點選 System/Licenses/Smart Licenses
(Classic License 用在舊設備 7000 及 8000 系列)
Firepower 用戶安裝手冊 27
如果有購買授權擇點 Register,沒有則可以啟動 Evaluation Mode 可以測試 90 天,全功
能開放(除 VPN 功能外)。
啟用 Evaluation Mode 後再 Product Registration 會出現試用期限。
在新增設備前要先新增 ACP(Access Control Policy),並將此 ACP 分配給管理設備。
1. 轉跳至 Policies/Access Control/Access Control
2. Add new policy
輸入名稱及選擇 default action 為 Block all traffic 既可
Firepower 用戶安裝手冊 28
加入要管理的 FTD 設備
進入 Device/Device Management 並 add Device
1. 輸入 FTD IP
2. Registration key:自定義的密碼,並在 FTD 輸入相同密碼(以本範例是在 FTD 輸
入 cisco123)
3. Access Control:選擇剛建立的 test Policy
4. 勾選要授權給 FTD 的 Licenses
5. 最後點擊 register
回到 FTD Console 敲入 show network
如果是 pending 代表還未加入 FMC
Completed 代表加入完成
Firepower 用戶安裝手冊 29
在 Device 就可以看到被管理的 FTD
10 常用設定:
如果要更改 FMC 管理 IP 可以到 System/configuration/Management Interfaces
設定管理接口 manager ip、routing、DNS:
設定 SNMP:System/configuration/SNMP
設定語言:
System/configuration/Language
Firepower 用戶安裝手冊 30
設定 NTP:
System/configuration/Time Synchronization
設定 Email:
System/configuration/Email Notification
11 Device Config
點選 Device/Device Management
會進入 FTD 的配置畫面
Firepower 用戶安裝手冊 31
在配置接口 IP 前,先建立 Zone 切換至
Objects/Interface/Add/Security Zone
配置兩個 Zone inside-Zone 及 outside-Zone
Interface Type 設定為 Routed 不須 add 任何設備直接 Save
配置接口 IP 點選至 Device/Device Management
切換至 Interfaces 頁籤選擇欲編輯之端口右方鉛筆圖案
Firepower 用戶安裝手冊 32
切換 Routing 頁籤,該路由指的是傳輸 Data 端口所用的路由,非管理接口的路由。
Firepower 用戶安裝手冊 33
12 Network Discovery
在有 FMC 的管理下可以針對流經 Firepower 的主機做資產管理並針對該主機所使用的協定、應用
程式、使用者帳號、弱點修正進行追蹤。
點選 Policies/Network Discovery/Networks 並點選右方鉛筆編輯
勾選 Users 及 Application
預設情況下只會掃描主機 IP 資訊,勾選後可以對使用者帳號及該主
機使用那些 Application 進行記錄。
Firepower 用戶安裝手冊 34
13 Access Control Policy(Basic)
點選 Policies/Access Control/Access Control
這邊會看到一開始建立的 Policy,並點選右方鉛筆進入編輯
點選 Add Rule
Action 選擇 Allow
加入 source Zone 及 Destination Zone
切換到 Logging 頁籤並點選 Log at End of Connection 後直接點選右下 Add
Firepower 用戶安裝手冊 35
剛建立的 Rule 並點選右上 Save
點選右上 Deploy
勾選 FTD 設備並點選 Deploy
點選綠色的球可以看到佈署進度
此時已經完成最基本的防火牆設定,如果有流量經過則可以
在 Analysis/Connections/Events 可以看見觸發的事件
如果再建立 ACP 沒有勾選 Log 就不會有任何紀錄。
Firepower 用戶安裝手冊 36
14 Intrusion Prevention System
IPS 規則設定後必須在 Access Control Policy 調用,所以必須先將 IPS 規則設定好
1.點擊 Policies/Access Control/Intrusion
2.Create Policy
3.Create and Edit Policy
4.Base Policy 選擇 Balanced Security and Connectivity
不同 Policy 啟用的 IPS 規則數量不一樣
Balanced Security and Connectivity:
97 個規則只會產生事件紀錄
9469 個規則會產生事件紀錄後並將封包丟棄
Firepower 用戶安裝手冊 37
Connectivity Over Security:
10 個規則只會產生事件紀錄
495 個規則會產生事件紀錄後並將封包丟棄
IPS Policy 組成由兩個階層組成 User Layers 及 Built-in Layers
⚫ 點選左側 Policy Layers
⚫ IPS 規則數量由 User Layers 及 Built-in Layers 所加總
⚫ User Layers:只要有變更默認的 IPS 規則,則該規則就會轉成 User
Layers
⚫ Built-in Layer:根據選擇 Base Policy 產生不同的規則數量
Firepower 用戶安裝手冊 38
1.點選 Policy Information/Rules
2.選擇 Category/app-detect
3.勾選 SID 為 37062 的規則並點擊綠色箭頭
更改成 Drop and Generate Events
User Layers 就會有一個被變更的 Rule
在 My Changes 也可以看到有一個 Rule
在 My Changes 下方的 Ruel 也會顯示剛剛的變更
Firepower 用戶安裝手冊 39
回到 Policy Information 也可以看到規則變成 9567,並點選 commit Changes
15 Firepower IPS Recommendations
Firepower Recommendations 可以針對流經 Firepower 的流量類型進行 IPS 規則的自動調整
*要產生建議行為要先有流量經過
在 Policy Information,會多一個 Firepower recommends
Firepower 用戶安裝手冊 40
回到 Firepower Recommendations,點選 Use Recommendations
在 Policy 會多出一個 Firepower recommendations
點選 Policy Layers 也會在 Built-in 多出 Firepower recommendations,所產生的規則就變成 User
Layers+ Firepower recommendations=1,原本選擇內建規則 Balanced Security and Connectivity
就無效。
Firepower 用戶安裝手冊 41
回到 Policy Information 也會看到只啟用 1 個規則,下方 Firepower Change 則是代表在 Firepower
recommendations 修改了多少規則數量。
也就是在 Built-in Layers Firepower recommendations 的三種 events 的總和
16 Malware & File Policy
1.點選 Policy/Access Control/Malware & File
2.Add a new Policy
3 輸入 Policy Name
4.Save
5.Add Rule
Firepower 用戶安裝手冊 42
Detect Files:檢測檔案傳輸並存為 event
Block File:如果為選定檔案的格式(EX:pdf)則阻擋
Malware Cloud Lookup:將檔案上傳到雲端檢測有沒有毒,但不阻擋
Block Malware:將檔案上傳到雲端檢測有沒有毒,並阻擋
Spero Analysis for MSEXE:檢測微軟的 EXE 檔
Dynamic Analysis:送到沙箱分析
Capacity Handling:如果無法將檔案送至雲端檢測可以先暫存在本地硬碟
Local Malware Analysis:只在本地分析
Reset Connection:重置連線
Firepower 用戶安裝手冊 43
Advanced:
Inspect Archives :檢測壓縮檔
Bloc Encrypted Archives:如果有加密的壓縮檔就阻擋
Block Uninspectable Archives:阻擋無法檢測的壓縮檔
Max Archive Depth :如果壓縮檔內還是壓縮檔最多可以檢測幾層壓縮檔
17 DNS Protection
1.點選 Policies/Access Control/DNS
2.Add DNS Policy
3.輸入 Policy 名稱
Global 的 List 無法編輯,點選 Add DNS Rule
Firepower 用戶安裝手冊 44
Whitelist:如果有某個網站被列入惡意名單可以在這之前新增一個 Rule 並設定為 Whitelist
讓該網站可以存取
Monitor:只監控不阻擋
Domain Not Found:會在 Events 紀錄為 Domain Not Found
Drop:丟棄該封包
Sinkhole:回傳假的 DNS IP 給客戶端(必須先在 objects/sinkhole 設定一個回傳的假 IP
*如果黑白名單都有設定則白名單為優先使用
18 AD Joining
點選 system/Integration/Realms 並 Add a new realm
填入相關資料(Test AD Join 原則上都會失敗,不用理會)
Firepower 用戶安裝手冊 45
點選 Directory 的頁籤並 add directory
輸入 AD IP
點擊 test 只要可以聯繫就會成功
切換到 User Download 頁籤並勾選 Download users and groups
然後點選右上 save
Firepower 用戶安裝手冊 46
回到 Realm 階層打開 State 的開關狀態為打勾
點選右方下載的箭頭下載 AD 資料,之後在點選右方鉛筆
下載完成右上會出現提示
切換到 User Download 並選取 AD group 至右方 Group to Include,然後 Save
Firepower 用戶安裝手冊 47
點選 Policies/Access Control/Identify 並 Add a Policy
選擇 Passive Authentication
切換到 Realm & Settings 並將 Realm 只到剛設定的 Realm,規則設定
完記得點選右上 Save
Firepower 用戶安裝手冊 48
19 Access Control Policy(Advanced)
1.回到 Policies/Access Control/Access Control(在 add Device 時有新增一個 ACP
所以這邊可以點選該 ACP)
2.將 Identify Policy 換成剛剛設定的 Identify Policy 代表調用 AD 資料
3.Save
4.點選鉛筆編輯
Network:配置那些 IP 可以通過
VLAN Tags:配置那些 VLAN 可以通過
Firepower 用戶安裝手冊 49
Users:整合 AD 帳號並允許那些帳號可以通過(如果 Identify Policy 沒有調用這邊就看不到帳號)
Application:在 Application Filter 以不同類來過濾可是別 App
Available Applications:在各個分類底下所能是別的 App
Port:允許來源目的端口號
Firepower 用戶安裝手冊 50
URLs:可針對不同類別的 URL 進行阻擋或是放行
如果 ACP 規則設定為 allow 則會放行比該規則更安全的 URL,如圖分類為 Gambling 且是風險 3
為 allow,則風險 3-5 全放。
如果 ACP 設定為 block 則阻擋該等級及比該等級更不安全的,如圖分類為 Gambling 且是風險 3
為 block,則風險 1-3 全阻擋。
SGT/ISE
SGT:透由網路設備並將其流量打上標籤透由標籤來阻擋特定流量
ISE:由 ISE 下發的政策決定流量
切換到 Inspection 選擇 IPS 政策及選擇檔案類型阻擋政策
Firepower 用戶安裝手冊 51
Log 要打勾不然不會有 event 產生
20 Security Intelligence
1.Access Control Policy/Access Control Policy
2.切換到 Security Intelligence 頁籤
3.設定畫面跟 DNS 保護設定類似,Network 是針對網段阻擋 URL 就是網址阻擋
4.白名單優先於黑名單
5.右上方可以調用 DNS 的 Policy
6.DNS Policy 有調用要記得點選右方文件圖案勾選 Log