Образовательный проект «SnakeProject» Михаила Козлова

⇒ CISCO ⇐

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

Краткое руководство пользователя Cisco ASA FirePOWER (SFR)

Краткое руководство пользователя Cisco ASA FirePOWER (SFR)

Это руководство делалось по статье:
https://internetworksblog.com/2016/05/26/cisco-asa-firepower-sfr-quick-start-guide/

Последние пункты (13,14,15) не выполнял, т.к. сервер FireSight не было варианта установить.
Конфигорировал сервисы после настройки через ASDM

Мне попалась в руки ASA 5516-X with FirePOWER Services

Модуль ASA FirePOWER предоставляет услуги брандмауэра следующего поколения, 
включая систему предотвращения вторжений следующего поколения (NGIPS), 
визуализацию и управление приложениями (AVC), 
фильтрацию URL-адресов и расширенную защиту от вредоносных программ (AMP).

Модуль ASA FirePOWER запускает отдельное приложение от ASA. 
Модуль может быть аппаратным модулем (только на ASA 5585-X) или программным модулем (все остальные модели).

Центр управления FireSight  - может быть размещен на отдельном устройстве Центра управления огнем или в качестве виртуального устройства.

Модуль имеет базовый интерфейс командной строки (CLI) для начальной настройки и устранения неполадок. 

Вы настраиваете и управляете политикой безопасности в модуле ASA FirePOWER одним из следующих способов:
Adaptive Security Device Manager (проверьте совместимость с версией модели). 
Вы можете управлять ASA и модулем с помощью встроенного ASDM.

Перед продолжением лучше обновить asdm и саму ос, я накатил эти с cisco.com(в этой статье процесс обновления не рассматривается):
ciscoasa# dir

Directory of disk0:/
115    -rwx  26916068     00:14:16 Jun 01 2017  asdm-781.bin
116    -rwx  104489760    00:17:14 Jun 01 2017  asa981-lfbff-k8.SPA

1 - Сначала проверьте версии модуля FirePOWER. 
Если он запускает старую версию, обновите ее до более новой версии. 
ciscoasa# dir

Directory of disk0:/
117    -rwx  41846784     00:43:14 Jun 01 2017  asasfr-5500x-boot-6.2.0-2.img

2 - Проверьте страницу загрузки cisco для последней версии Boot Image (требуется логин).
Идем на cisco.com по пути:
Downloads Home 
Products 
Security 
Firewalls 
Next-Generation Firewalls (NGFW) 
ASA 5500-X with FirePOWER Services 
ASA 5516-X with FirePOWER Services 
FirePOWER Services Software for ASA-6.2.0.2

Качаем нечто подобное:
Cisco ASA with FirePOWER Services ASA   Login & Valid Contract Required  
asasfr-5500x-boot-6.2.0-2.img

3 - Загрузите версию (моя: asasfr-5500x-boot-6.2.0-2.img) и скопируйте ее на disk0:/ на ASA через TFTP, HTTP, HTTPS, FTP-сервер.
copy tftp: disk0:

4 - Проверьте загрузочный образ SFR в disk0:/
ciscoasa# show disk0: | i .img
  117  41846784    Jun 01 2017 00:43:14  asasfr-5500x-boot-6.2.0-2.img

5 - Удалите старый образ с disk0:/ или повторно создайте модуль SFR.
sw-module module sfr uninstall
sw-module module sfr recover boot

6 - После повторной визуализации проверьте состояние модуля с помощью команды show module sfr details.
show module sfr details
Getting details from the Service Module, please wait...

Card Type:          FirePOWER Services Software Module
Model:              ASA5516
Hardware version:   N/A
Serial Number:      -------
Firmware version:   N/A
Software version:   6.2.0-362
MAC Address Range:  -------
App. name:          ASA FirePOWER
App. Status:        Up
App. Status Desc:   Normal Operation
App. version:       6.2.0-362
Data Plane Status:  Up
Console session:    Ready
Status:             Up
DC addr:            No DC Configured
Mgmt IP addr:       192.168.1.20
Mgmt Network mask:  255.255.255.0
Mgmt Gateway:       192.168.1.25
Mgmt web ports:     443
Mgmt TLS enabled:   true

7 - Введите приведенную ниже команду, чтобы настроить расположение загрузочного образа на диске Cisco ASA disk0:/ или флэш-накопителя.
sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-6.2.0-2.img

8 - Введите команду ниже для загрузки загрузочного образа ASA SFR и отладки модуля-загрузки для событий модуля. 
Подождите 5-15 минут, чтобы завершить восстановление.
sw-module module sfr recover boot
debug module-boot

9 - Настройте базовую конфигурацию через консоль (Логин: admin Пароль: Admin123) модуля FirePOWER.
session sfr console

Проверьте версию:
show version

Запустите мастер:
setup

Выйти: ctrl + shift + alt + 6 и после нажать x

10 - Теперь загрузите пакет установки SFR для той же версии загрузочного образа с cisco.com. (Требуется логин)
Downloads Home 
Products 
Security 
Firewalls 
Next-Generation Firewalls (NGFW) 
ASA 5500-X with FirePOWER Services 
ASA 5516-X with FirePOWER Services 
FirePOWER Services Software for ASA-6.2.0.2

Я взял это:
Cisco ASA with FirePOWER Services Install Package   Login & Valid Contract Required  
asasfr-sys-6.2.0-362.pkg

11 - Установите этот пакет, используя HTTP или FTP, в модуль ASA SFR, используя команду установки системы.
asasfr-boot>system intall ftp://192.168.1.X/asasfr-sys-6.2.0-362.pkg

Это займет 10-20 минут.

12 - Проверьте статус модуля с помощью команды show module sfr details в ASA.
show module sfr details
Getting details from the Service Module, please wait...

Card Type:          FirePOWER Services Software Module
Model:              ASA5516
Hardware version:   N/A
Serial Number:      -----
Firmware version:   N/A
Software version:   6.2.0-362
MAC Address Range:  -----
App. name:          ASA FirePOWER
App. Status:        Up
App. Status Desc:   Normal Operation
App. version:       6.2.0-362
Data Plane Status:  Up
Console session:    Ready
Status:             Up
DC addr:            No DC Configured
Mgmt IP addr:       192.168.1.20
Mgmt Network mask:  255.255.255.0
Mgmt Gateway:       192.168.1.25
Mgmt web ports:     443
Mgmt TLS enabled:   true

Проверьте тип карты, версию программного обеспечения, приложение. 
Имя, версия и т. Д. В представлении show. 
Вы должны снова настроить параметры сети, поскольку они теперь находятся в состоянии по умолчанию.
session sfr console

Проверьте версию:
show version

Запустите мастер:
setup

Настроим ASA так, чтоб трафик проходил через модуль SourceFire
Заходим через ASDM, далее Configuration - Firewall - Service Policy Rules, после Add - Service Policy Rule - Next
Жмем вкладку ASA FirePOWER Inspection, отмечаем галку Enable ASA FirePOWER

Service Policy Rules можно и сделать в принципе через терминал что-то вроде такого выйдет:

class-map inspection_default
 match default-inspection-traffic
class-map firepower_class_map
 match any
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
 class firepower_class_map
  sfr fail-open
!
service-policy global_policy global

А дальше можно испытать например на icmp простой пример (ip адреса изменены из листинга установки):

Есть к примеру два компьютера и аса, схема +- поиграться:

________                     --- 192.168.101.201 (sfr)     Manage1/1   _______                                                     _________

|             |                    --- 192.168.101.200 (asdm) Manage1/1   |            |                                                    |               |

| KOMP1 | 192.168.1.2 --- 192.168.1.1 Ge1/1                             | ASA    | Ge 1/2 192.168.2.1 --- 192.168.2.2 | KOMP2   |

|             |                                                                               |            |                                                    |               |

________                                                                                _______                                                     _________

Ну и давайте попробуем пример с запретомразрешением ICMP

Идем в ASDM - Configuration - Policies - Device Management -Interfaces 

Создаем там две зоны (На каждый из двух интерфейсов)

Идем в ASDM - Configuration - Policies - Acces Control Policies

Default Action делаем Access Control: Block All Traffic

Создаем новое правило кнопкой Add Rule

Назовем icmp, засунем в Standard Rules, source и dest zone добавим наши зоны обе в оба направления

В Applications выбираем ICMP

Action - Trust или Allow

Сохраняем - Store ASA FirePower Changes - Deploy - Deploy FirePower Changes

Ждем немного, пинги проходят.

Изменяем Action - Block

Сохраняем - Store ASA FirePower Changes - Deploy - Deploy FirePower Changes

Ждем немного, пинги отвалились.

Комментарии пользователей