Firepower Threat Defense (FTD) 安装与管理-ASA 5500-X系列

前言:通过上一篇文章《Cisco 下一代防火墙产品介绍》,想必大家都为Firepower产品强大的功能所折服吧!!,例如;应用可视化,预防恶意入侵,IP地理位置识别,安装智能设备管控,本地恶意软件检测,....等等。

在我们学习或者生产环境中,要实现Firepower的强大功能集,Cisco 提供了三种形态部署安装FTD服务,分别为:

  • 在ASA 5500-X系列硬件上安装FTD服务

  • 在VMware上安装FTD服务

  • 购买FTD硬件设备,获得服务(Firepower 2100系列,Firepower 4100系列,Firepower 9300系列)

本文将文大家介绍,如何在ASA 5500-X系列硬件上安装FTD服务,下篇文章将为大家介绍,如何在VMware上安装FTD服务。

Chapter 1 让ASA 5500-X系列硬件支持FTD

如果当前ASA将FirePower服务作为一个单独的模块运行,并且您希望在ASA上部署Firepower FTD,则必须使用统一的FTD镜像对ASA进行升级。本文将讨论如何在Cisco ASA 5500-X系列硬件上升级FTD镜像。

一.ASA镜像升级的要点

想要ASA平台支持FTD功能,需要在同一个硬件上使用多种类型的镜像,如下图,所示:

Rommon软件:Rommon软件是ASA的固件。在ASA中,您进入Rommon模式,以便执行从外部服务器复制启动映像所需的所有任务。如果您正在重新镜像低端ASA硬件平台,如ASA 5506-X、5506W-X、5506H-X、5508-X和5516-X,则必须将固件更新到1.1.8或更高版本。如果您正在运行中等ASA硬件平台,如5512-X、5515-X、5525-X、5545-X和5555-X,并且希望将其重新镜像到FTD软件,则不需要更新默认固件。

启动镜像:FTD启动镜像是FTD系统软件中的一部分,在使用FTD启动镜像加载了ASA后,可以使用启动镜像CLI来为ASA下载FTD系统软件,并开始执行启动设置。

系统软件:FTD的所有特性都封装在此软件系统镜像中。

在完整的FTD重镜像过程中,可能需要安装的各种软件类型。

Rommon 软件 启动镜像 系统软件
用途 升级ASA固件 在ASA上加载网络配置,下载系统软件。 安装FTD系统的特性
低端ASA(5506-X,5508-X,5516-X) 需要1.1.8或更高的固件版本,使用*.SPA文件升级固件 使用*.lfbff文件为低端ASA加载FTD启动镜像 使用*.pkg文件安装FTD系统软件包。
中端ASA(5512-X,5515-X,5525-X,5545-X,5555-X) 无需升级默认的固件版本 使用*.cdisk文件为中端ASA加载FTD启动镜像 使用*.pkg文件安装FTD系统软件包。
二.安装和配置FTD

1. 满足前提条件
在开始重新映像之前,必须满足以下要求:

  • 存储
    要安装FTD软件,ASA需要至少3GB的空闲空间和额外的空间来存储FTD引导映像(通常约为100MB)。并且确保ASA安装了SSD

  • 网络
    使用Console线连接需要重镜像的ASA Console端口,确保自己能访问TFTP和HTTP服务器,需要使用TFTP服务器将固件和启动镜像文件复制到ASA,并使用HTTP服务器把FTD系统软件复制到ASA。

如下图所示:

2. 更新固件
按照以下步骤更新低端ASA型号的固件(ROMMON软件):

  • 从思科软件中心下载ROMMON软件并保存到TFTP服务器。

如下图:

  • 使用如下命令将TFTP服务器中的文件拷贝到ASA存储中
ciscoasa# copy tftp://TFTP_server_address/filename disk0:
  • 文件复制成功后,使用以下命令开始执行升级操作:
ciscoasa# upgrade rommon disk0:/asa5500-firmware-1108.SPA

升级过程中ASA会自动重启多次,不要手动重启ASA。

  • 升级完成后,ASAROMMON版本会更新为指定版本(可通过show module命令查看)。
Rom image verified correctly 
Cisco Systems ROMMON, Version 1.1.14, RELEASE SOFTWARE 
Copyright (c) 1994-2015 by Cisco Systems, Inc. 
Compiled Thu 06/18/2015 12:15:56.43 by builders
  1. 安装启动镜像
  • 根据ASA硬件从思科软件中心下载适当启动镜像如下图所示:
  • 重新启动ASA,并按ESC键打断启动进程,进入ROMMON模式。
Rom image verified correctly 

Cisco Systems ROMMON, Version 1.1.8, RELEASE SOFTWARE 
Copyright (c) 1994-2015 by Cisco Systems, Inc. 
Compiled Thu 06/18/2015 12:15:56.43 by builders 

Current image running: Boot ROM1 
Last reset cause: PowerCycleRequest 
DIMM Slot 0 : Present 

Platform ASA5506 with 4096 Mbytes of main memory 
MAC Address: a4:6c:2a:e4:6b:bf 
Using default Management Ethernet Port: 0 

Use BREAK or ESC to interrupt boot. 
Use SPACE to begin boot immediately. 
Boot in 7 seconds. 
Boot interrupted. 
rommon 1 >
  • 在ROMMON模式中配置FTD IP地址,网管和TFTP服务器地址
rommon 2 > address 10.1.1.21 
rommon 3 > netmask 255.255.255.0 
rommon 4 > gateway 10.1.1.1 
rommon 5 > server 10.1.1.4
  • 从TFTP服务器下载文件
    测试FTD到TFTP的连通性,OK后,从TFTP服务器下载启动镜像。
rommon 7 > file ftd-boot-9.6.2.0.lfbff 
rommon 8 > sync 
rommon 9 > tftpdnld 
    ADDRESS: 10.1.1.21 
    NETMASK: 255.255.255.0 
    GATEWAY: 10.1.1.1 
    SERVER: 10.1.1.4 
    IMAGE: ftd-boot-9.6.2.0.lfbff 
    MACADDR: a4:6c:2a:e4:6b:bf 
    VERBOSITY: Progress 
    RETRY: 20 
    PKTTIMEOUT: 60 
    BLKSIZE: 1460 
    CHECKSUM: Yes 
    PORT: GbE/1 
    PHYMODE: Auto Detect 

Receiving ftd-boot-9.6.2.0.lfbff from 
10.1.1.4!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
 File reception completed.

ASA会使用FTD引导CLI自动启动。

Cisco FTD Boot 6.0.0 (9.6.2.) 
     Type ? for list of commands 
ciscoasa-boot> 
ciscoasa-boot> ? 
    show => Display system information. Enter show ? for options 
    system => Control system operation 
    setup => System Setup Wizard 
    support => Support information for TAC 
    delete => Delete files 
    ping => Ping a host to check reachability 
    traceroute => Trace the route to a remote host 
    exit => Exit the session 
    help => Get help on command syntax 
ciscoasa-boot>

4. 安装系统软件

  • 从思科软件中心下载指定系统软件如图5,所示
  • 设置FTD网络使其能正常从TFTP下载系统软件(此处可参考“安装启动镜像”部分),当设备产生提示时,输入“Y”键,开始执行更新进程。
ciscoasa-boot> setup

Welcome to Cisco FTD Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [ciscoasa]:
Do you want to configure IPv4 address on management interface?(y/n) [Y]:
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]:
Enter an IPv4 address [10.1.1.21]:
Enter the netmask [255.255.255.0]:
Enter the gateway [10.1.1.1]:
Do you want to configure static IPv6 address on management interface?(y/n) [N]:
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 10.1.1.8
Do you want to configure Secondary DNS Server? (y/n) [n]:
Do you want to configure Local Domain Name? (y/n) [n]:
Do you want to configure Search domains? (y/n) [n]:
Do you want to enable the NTP service? [Y]:
Enter the NTP servers separated by commas: 10.1.1.9


ciscoasa-boot> system install http://10.1.1.4/ftd-6.1.0-330.pkg
######################## WARNING ############################
# The content of disk0: will be erased during installation! #
#############################################################
Do you want to continue? [y/N] Y
Erasing disk0 ...
Verifying
Downloading...

此过程大概须要20分钟,中途会提示按下回车键执行重启。。

  • 初始化完成后,输入用户名和密码登陆(默认用户名:admin,密码:Admin123)
firepower login: admin 
Password: Admin123

在系统提示End User License Agreement(接受终端用户许可协定,EULA)页面时,按回车键显示和接受。

You must accept the EULA to continue.
Press <ENTER> to display the EULA:
END USER LICENSE AGREEMENT
.
.
!The EULA messages are omitted for brevity
.
.
.Please enter 'YES' or press <ENTER> to AGREE to the EULA:
  • 首次登陆对网络进行配置
ciscoasa-boot> setup

Welcome to Cisco FTD Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [ciscoasa]:
Do you want to configure IPv4 address on management interface?(y/n) [Y]:
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]:
Enter an IPv4 address [10.1.1.21]:
Enter the netmask [255.255.255.0]:
System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.1.1.21
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface [192.168.45.1]: 10.1.1.1
Enter a fully qualified hostname for this system [firepower]:
Enter a comma-separated list of DNS servers or 'none' []:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy

注意,每次安装相应软件前都需要进行网路的设置,因为安装完软件后,系统配置会丢失。

  • 配置部署类型和模式
    在询问本地管理(on-box management)的问题时,输入no,并根据实际情况选择防火墙部署模式。(本例为路由模式)
Manage the device locally? (yes/no) [yes]: no 
Configure firewall mode? (routed/transparent) [routed]: 
Configuring firewall mode ... 
Update policy deployment information 
- add device configuration 
- add network discovery 
- add system policy
三.验证

访问FTD

1. 访问FTD CLI
FTD软件安装完成后,会自动显示出“>”提示符,此提示符模式与传统提示符(ciscoasa>)不同,FTD可以支持进入不同的Console或Shell,如下:

  • FTD Default Shell: 可以配置大多数必需的项,并使用此shell查看它们的状态。
  • ASA Console: 执行用于诊断目的的高级命令。
  • Firepower Linux Shell: 可进入操作系统后台,Cisco使用此Shell来执行高级排错任务。

各种Shell切换关系如下图所示:

2. 查看安装的软件版本

> show version 
-------------------[ firepower ]-------------------- 
Model :** Cisco ASA5506-X Threat Defense (75) Version 6.1.0 (Build 330)** 
UUID : c84ceb32-7ea7-11e6-a7ad-94bcd8f36790 
Rules update version : 2016-03-28-001-vrt 
VDB version : 270 
* ---------------------------------------------------- 
>
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,445评论 6 478
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,889评论 2 381
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,047评论 0 337
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,760评论 1 276
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,745评论 5 367
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,638评论 1 281
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,011评论 3 398
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,669评论 0 258
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,923评论 1 299
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,655评论 2 321
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,740评论 1 330
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,406评论 4 320
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,995评论 3 307
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,961评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,023评论 2 350
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,483评论 2 342

推荐阅读更多精彩内容

  • ONIE:设计规格(3)
    3.操作系统设计 3.1.Linux内核配置 ONIE提供了一个网络操作系统(NOS)安装镜像可以运行的环境。因此...
    半天妖阅读 2,393评论 0 0
  • drbd指南
    feisky云计算、虚拟化与Linux技术笔记posts - 1014, comments - 298, trac...
    不排版阅读 3,813评论 0 5
  • LINUX系统管理
    观其大纲 第1部分Linux的基础知识第1章Linux概述第2章Linux系统的安装KickStart开始自动安装...
    周少言阅读 1,457评论 1 10
  • 极迅云课(服务端教案)
    一、Python简介和环境搭建以及pip的安装 4课时实验课主要内容 【Python简介】: Python 是一个...
    _小老虎_阅读 5,719评论 0 10
  • 嫉妒
    午休,闯进一老妇人 小脚,三寸金莲 脑后挽一发髻 精悍之色,见于眉眼 瘦小身材更显精神 面带嗔怒 开口质问 “你有...
    刘海波a阅读 393评论 21 75