Cisco Firepower 威脅防禦 (FTD) 設備的高級排錯與配置 Cisco Firepower威胁防御（FTD）设备的高级排错与配置

作者:[美]納茨穆爾·拉傑卜（Nazmul Rajib）譯者:YESLAB工作室
Nazmul Rajib是思科全球技術服務組織的高級工程師和領dao者，專注於下一代安全技術。他領導網絡安全培訓計劃，開發內部培訓計劃，並培訓支持全球思科安全解決方案的當代思科工程師。他還審查設計規範，測試安全軟件，並提供商業關鍵網絡問題的解決方案。Nazmul在Cisco.com和思科支持社區撰寫了大量技術出版物。

Nazmul是Sourcefire公司的工程師，該公司開發了Snort--世界上zui流行的開源入侵防禦系統。他創建並管理了Sourcefire的全球知識庫，並為合作夥伴支持設計了Sourcefire安全認證。Nazmul培訓了來自美國許多託管安全服務提供商（MSSP）的安全工程師。他支持眾多財富500強公司和美國政府機構的網絡。

Nazmul擁有網絡互聯科學碩士學位。他還擁有網絡安全，信息技術和技術交流領域的許多認證。他是Sourcefire認證專家（SFCE）和Sourcefire認證安全工程師（SFCSE）。

第1章Cisco Firepower技術簡介1 
1.1 Sourcefire的歷史1 
1.1.1 Firepower的發展2 
1.1.2 FirePOWER與Firepower 3 
1.2 Firepower威脅防禦（FTD） 5 
1.2.1 FirePOWER服務與Firepower威脅防禦（FTD） 5 
1.2. 2 Firepower系統的軟件組件6 
1.2.3 Firepower系統硬件平台7 
1.2.4 Firepower附件8 
1.3總結9 
第2章ASA 5500 -X系列硬件上的FTD 10 
2.1 ASA重鏡像要點10 
2.2在ASA硬件上安裝FTD的最佳做法11 
2.3安裝和配置FTD 12 
2.3.1滿足前提條件12 
2.3.2更新固件13 
2.3.3安裝啟動鏡像20 
2.3.4安裝系統軟件25 
2.4驗證和排錯工具35 
2.4.1訪問FTD CLI 35 
2.4.2確認安裝的軟件版本37 
2.4.3確認ASA硬件上的空閒硬盤空間37 
2.4.4從存儲設備中刪除一個文件38 
2.4.5確認存儲設備或SSD的可用性38
2.4.6確認ROMMON軟件或固件的版本39 
2.5總結41 
2.6測試題41 
第3章Firepower可擴展操作系統（FXOS）上的FTD 43 
3.1 Firepower 9300和4100系列要點43 
3.1.1架構44 
3.1.2軟件鏡像45 
3.1.3 Web用戶界面47 
3.2在Firepower硬件上安裝FTD的最佳做法48 
3.3安裝和配置FTD 49 
3.3.1滿足前提條件49 
3.3.2安裝FTD 55 
3.4驗證和排錯工具60 
3.4.1訪問FTD CLI 60 
3.4.2驗證FXOS軟件62 
3.4.3驗證安全設備的狀態63 
3.4.4驗證安全模塊、適配器和交換矩陣65 
3.4.5驗證硬件機框67 
3.4.6驗證電源單元（PSU）模塊69 
3.4.7驗證風扇模塊71 
3.5總結73 
3.6測試題73 
第4章Firepower管理中心（FMC）硬件75 
4.1 FMC組件要點75 
4.1.1內建管理器76 
4.1.2外置管理器76 
4.1.3 Cisco集成管理控制器（CIMC） 78
4.1.4 System_Restore鏡像的內部USB存儲80 
4.1.5用戶界面80 
4.2 FMC重鏡像的最佳做法81 
4.2.1安裝前的最佳做法81 
4.2.2安裝後的最佳做法83 
4.3安裝和配置FMC 83 
4.3.1滿足前提條件84 
4.3.2配置步驟85 
4.4驗證和排錯工具94 
4.4.1在機架上識別FMC 94 
4.4.2確認FMC的硬件和軟件詳細信息95 
4.4.3確認RAID電池狀態96 
4.4.4確認電池單元（PSU）的狀態96 
4.4.5驗證風扇99 
4.5總結101 
4.6測試題102 
第5章VMware上的Firepower系統虛擬化103 
5.1 FMC和FTD虛擬化要點103 
5.1.1支持的虛擬環境103 
5.1.2 ESXi與VI 104 
5.1.3源碼包中的VMware安裝包104 
5.1.4硬盤置備選項105 
5.2 Firepower虛擬化設備部署的最佳做法105 
5.2.1部署前的最佳做法105 
5.2 .2部署後的最佳做法107 
5.3安裝和配置Firepower虛擬化設備108 
5.3.1滿足前提條件108
5.3.2創建虛擬化網絡110 
5.3.3部署OVF模板117 
5.3.4初始化應用122 
5.4驗證和排錯工具124 
5.4.1確認資源分配的狀態124 
5.4.2確認網絡適配器的狀態126 
5.4.3更新網絡適配器127 
5.5總結130 
5.6測試題130 
第6章Firepower的管理網絡131 
6.1 Firepower系統管理網絡要點131 
6.1.1 FTD管理接口131 
6.1.2設計Firepower管理網絡133 
6.2管理接口配置的最佳做法136 
6.3在FMC硬件上配置管理網絡136 
6.3.1配置選項136 
6.3.2驗證和排錯工具139 
6.4在ASA硬件上配置管理網絡141 
6.4.1配置141 
6.4.2驗證和排錯工具141 
6.5在Firepower安全設備上配置管理網絡143 
6.5.1配置FXOS管理接口144 
6.5.2驗證FXOS管理接口的配置144 
6.5.3配置FTD管理接口145 
6.5.4驗證FTD管理接口的配置147 
6.6總結150 
6.7測試題150
第7章Firepower的許可和註冊151 
7.1許可證要點151 
7.1.1智能許可證架構151 
7.1.2 Firepower許可證153 
7.2許可證和註冊的最佳做法154 
7.3為Firepower系統安裝許可證154 
7.3.1許可證配置154 
7.3.2驗證智能許可證的問題158 
7.4註冊Firepower系統160 
7.4.1註冊配置160 
7.4.2驗證註冊和連接163 
7.4.3分析加密的SF隧道168 
7.5總結176 
7.6測試題176 
第8章路由模式的Firepower部署177 
8.1路由模式要點177 
8.2路由模式配置的最佳做法178 
8.3配置路由模式178 
8.3.1滿足前提條件179 
8.3.2配置防火牆模式180 
8.3.3配置路由接口180 
8.3. 4 FTD作為DHCP服務器183 
8.3.5 FTD作為DHCP客戶端185 
8.4驗證和排錯工具186 
8.4.1驗證接口的配置186 
8.4.2驗證DHCP的設置189 
8.5總結191 
8.6測試題191
第9章透明模式的Firepower部署192 
9.1透明模式要點192 
9.2透明模式的最佳做法193 
9.3配置透明模式194 
9.3.1滿足前提條件194 
9.3.2更改防火牆模式195 
9.3.3在二層網絡中部署透明模式195 
9.3.4在三層網絡之間部署FTD設備205 
9.3.5為SSH創建訪問規則208 
9.4總結211 
9.5測試題211 
第10章捕獲流量用於高級分析213 
10.1流量捕獲要點213 
10.2捕獲流量的最佳做法214 
10.3配置Firepower系統進行流量分析214 
10.3.1從Firepower引擎捕獲流量214 
10.3.2從防火牆引擎捕獲流量223 
10.3.3從FMC捕獲流量231 
10.4驗證和排錯工具234 
10.4.1添加阻塞ICMP流量的訪問規則234 
10.4.2使用阻塞規則分析數據流236 
10.4.3接口對數據包的處理238 
10.5總結239 
10.6測試題240 
第11章使用在線接口模式阻塞流量241 
11.1在線模式要點241 
11.1 .1在線模式與被動模式242
11.1.2在線模式與透明模式243 
11.1.3追踪丟包243 
11.2配置在線模式的最佳做法245 
11.3配置在線模式245 
11.3.1滿足前提條件246 
11.3.2創建在線集246 
11.3.3啟用容錯特性259 
11.3.4阻塞指定端口262 
11.4總結268 
11.5測試題269 
第12章檢測但不阻塞流量270 
12.1流量檢測要點270 
12.1.1被動監控技術270 
12.1.2在線、在線分流與被動272 
12.2純檢測部署的最佳做法274 
12.3滿足前提條件274 
12.4在線分流模式274 
12.4.1配置在線分流模式274 
12.4.2驗證在線分流模式的配置276 
12.5被動接口模式278 
12.5.1配置被動接口模式278 
12.5.2驗證被動接口模式的配置279 
12.6分析流量監控操作281 
12.6.1分析使用阻塞行為的連接事件282 
12.6.2通過在線結果分析入侵事件285 
12.7總結289 
12.8測試題289 

第13章處理封裝流量290
13.1封裝和預過濾策略要點290 
13.2添加預過濾規則的最佳做法292 
13.3滿足前提條件292 
13.4情景1：分析封裝的流量295 
13.4.1配置策略來分析封裝流量295 
13.4.2驗證配置和連接297 
13.4.3分析數據包流300 
13.5情景2：阻塞封裝的流量305 
13.5.1配置策略來阻塞封裝流量305 
13.5.2驗證配置和連接306 
13.5.3分析數據包流309 
13.6情景3：繞過檢測310 
13.6.1配置策略來繞過檢測310 
13.6.2驗證配置和連接314 
13.6.3分析數據包流316 
13.7總結318 
13.8測試題318 
第14章繞過檢測和信任流量320 
14.1繞過檢測和信任流量要點320 
14.1.1快速路徑規則320 
14.1.2信任規則321 
14.2繞過檢測的最佳做法321 
14.3滿足前提條件321 
14.4通過預過濾策略實施快速路徑323 
14.4.1配置流量旁路323 
14.4.2驗證預過濾規則的配置329 
14.4.3分析快速路徑行為331
14.5通過訪問策略建立信任335 
14.5.1使用訪問策略配置信任335 
14.5.2驗證信任規則的配置336 
14.5.3為高級分析啟用相應工具337 
14.5.4分析信任行為339 
14.5.5使用允許行為進行對比346 
14.6總結347 
14.7測試題348 
第15章流量限速349 
15.1限速要點349 
15.2 QoS規則的最佳做法351 
15.3滿足前提條件351 
15.4配置速率限制352 
15.5驗證文件傳輸的速率限制356 
15.6分析QoS事件和統計數據359 
15.7總結363 
15.8測試題363 
第16章使用安全智能特性拉黑可疑地址364 
16.1安全智能要點364 
16.2拉黑的最佳做法367 
16.3滿足前提條件367 
16.4配置黑名單369 
16.4.1使用Cisco智能Feed實現自動拉黑369 
16.4.2使用自定義智能列表手動拉黑372 
16.4.3使用連接事件立即拉黑374 
16.4.4監控黑名單376 
16.4.5繞過黑名單377 
16.5驗證和排錯工具380
16.5.1驗證最新文件的下載381 
16.5.2驗證內存中加載的地址383 
16.5.3在列表中找到指定地址385 
16.5.4驗證基於URL的安全智能規則386 
16.6總結388 
16.7測試題388 
第17章阻塞域名系統（DNS）查詢390 
17.1 Firepower DNS策略的要點390 
17.1.1域名系統（DNS） 390 
17.1.2使用Firepower系統阻塞DNS查詢391 
17.1.3 DNS規則行為392 
17.1.4智能的信息源395 
17.2阻塞DNS查詢的最佳做法397 
17.3滿足前提條件397 
17.4配置DNS查詢阻塞398 
17.4.1添加新DNS策略398 
17.4.2引用DNS策略400 
17.5驗證和排錯工具400 
17.5.1驗證DNS策略的配置400 
17.5.2驗證DNS策略的操作404 
17.6總結409 
17.7測試題409 
第18章基於類別、風險和信譽過濾URL 410 
18.1 URL過濾要點410 
18.1.1信譽索引410 
18.1.2運行體系結構412 
18.2滿足前提條件412
18.3 URL過濾配置的最佳做法414 
18.4阻塞特定類別的URL 416 
18.4.1為URL過濾配置訪問規則416 
18.4.2驗證和排錯工具416 
18.5放行指定URL 422 
18.5.1配置FTD放行指定URL 422 
18.5 .2驗證和排錯工具423 
18.6向雲查詢未分類URL 426 
18.6.1配置FMC執行查詢427 
18.6.2驗證和排錯工具429 
18.7總結431 
18.8測試題432 
第19章發現網絡應用及控制應用流量433 
19.1應用發現要點433 
19.1.1應用檢測器433 
19.1.2運行架構435 
19.2網絡發現配置的最佳做法435 
19.3滿足前提條件437 
19.4發現應用439 
19.4.1配置網絡發現策略439 
19.4.2驗證和排錯工具441 
19.5阻塞應用446 
19.5.1配置應用阻塞446 
19.5.2驗證和排錯工具447 
19.6總結450 
19.7測試題450 
第20章控製文件傳輸並阻塞惡意軟件的傳播451 
20.1文件策略要點451
20.1.1文件類型檢測技術451 
20.1.2惡意軟件分析技術453 
20.1.3許可證容量454 
20.2文件策略部署的最佳做法456 
20.3滿足前提條件457 
20.4配置文件策略457 
20.4.1創建文件策略457 
20.4 .2應用文件策略461 
20.5驗證和排錯工具464 
20.5.1分析文件事件464 
20.5.2分析惡意軟件事件468 
20.6覆蓋惡意軟件傾向性478 
20.7總結482 
20.8測試題482 
第21章通過阻塞入侵嘗試防禦網絡攻擊483 
21.1 Firepower GNIPS要點483 
21.1.1網絡分析策略和預處理器483 
21.1.2入侵策略和Snort規則485 
21.1.3系統提供的變量488 
21.1.4系統提供的策略490 
21.2入侵策略部署的最佳做法495 
21.3 GNIPS配置498 
21.3.1配置網絡分析策略499 
21.3.2配置入侵策略502 
21.3.3配置訪問控制策略508 
21.4驗證和排錯工具511 
21.5總結519 
21.6測試題519
第22章偽裝內部主機的原始IP地址520 
22.1 NAT的核心概念520 
22.1.1 NAT類別522 
22.1.2 NAT規則的類型523 
22.2部署NAT的最佳做法524 
22.3滿足前提條件525 
22.4配置NAT 527 
22.4. 1偽裝源地址（向出向連接實施源NAT） 527 
22.4.2連接偽裝目的（向入向連接實施目的NAT） 542 
22.5總結551 
22.6測試題552 
附錄A測試題答案553 
附錄B使用GUI界面創建和收集排錯文件555 
附錄C使用CLI界面創建和收集排錯文件558