Cisco Firepower威脅防禦(FTD)設備的高級排錯與配置

《Cisco Firepower威脅防禦（FTD）設備的高級排錯與配置》是一本全面介紹Firepower的實用指南，旨在為讀者解決實際問題提供詳細的方法和指導，進而配置自己的Firepower系統。

《Cisco Firepower威脅防禦（FTD）設備的高級排錯與配置》共分為22章，詳細介紹了Firepower的安裝、部署和排錯方式，內容涵蓋了FTD的安裝和部署、FMC硬體、Firepower系統虛擬、Firepower的管理網路、流控策略、日誌和訊息調試、用戶訪問控制等，附錄中還為讀者提供了使用GUI和CLI界面創建收集排錯的方法。通過閱讀《Cisco Firepower威脅防禦（FTD）設備的高級排錯與配置》，讀者能夠迅速掌握Firepower的實踐方法。

《Cisco Firepower威脅防禦（FTD）設備的高級排錯與配置》適合網路工程師、負責服務提供商網路的運維人員、企業或政府部門中的技術與安全人員閱讀，也可供備考CCIE安全認證考試的考生參考。

第 1章　Cisco Firepower技術簡介 1

1.1　Sourcefire的歷史　1

1.1.1　Firepower的發展　2

1.1.2　FirePOWER與Firepower　3

1.2　Firepower威脅防禦（FTD）　5

1.2.1　FirePOWER服務與Firepower威脅防禦（FTD）　5

1.2.2　Firepower系統的軟體組件　6

1.2.3　Firepower系統硬體平台　7

1.2.4　Firepower附屬檔案　8

1.3　總結　9

第　2章 ASA 5500 -X系列硬體上的FTD　10

2.1　ASA重鏡像要點　10

2.2　在ASA硬體上安裝FTD的最佳做法　11

2.3　安裝和配置FTD　12

2.3.1　滿足前提條件　12

2.3.2　更新固件　13

2.3.3　安裝啟動鏡像　20

2.3.4　安裝系統軟體　25

2.4　驗證和排錯工具　35

2.4.1　訪問FTD CLI　35

2.4.2　確認安裝的軟體版本　37

2.4.3　確認ASA硬體上的空閒硬碟空間　37

2.4.4　從存儲設備中刪除一個檔案　38

2.4.5　確認存儲設備或SSD的可用性　38

2.4.6　確認ROMMON軟體或固件的版本　39

2.5　總結　41

2.6　測試題　41

第3章　Firepower可擴展作業系統 （FXOS）上的FTD　43

3.1　Firepower 9300和4100系列要點　43

3.1.1　架構　44

3.1.2　軟體鏡像　45

3.1.3　Web用戶界面　47

3.2　在Firepower硬體上安裝FTD的最佳做法　48

3.3　安裝和配置FTD　49

3.3.1　滿足前提條件　49

3.3.2　安裝FTD　55

3.4　驗證和排錯工具　60

3.4.1　訪問FTD CLI　60

3.4.2　驗證FXOS軟體　62

3.4.3　驗證安全設備的狀態　63

3.4.4　驗證安全模組、適配器和交換矩陣　65

3.4.5　驗證硬體機框　67

3.4.6　驗證電源單元（PSU）模組　69

3.4.7　驗證風扇模組　71

3.5　總結　73

3.6　測試題　73

第4章　Firepower管理中心（FMC）硬體　75

4.1　FMC組件要點　75

4.1.1　內建管理器　76

4.1.2　外置管理器　76

4.1.3　Cisco集成管理控制器（CIMC）　78

4.1.4　System_Restore鏡像的內部USB存儲　80

4.1.5　用戶界面　80

4.2　FMC重鏡像的最佳做法　81

4.2.1　安裝前的最佳做法　81

4.2.2　安裝後的最佳做法　83

4.3　安裝和配置FMC　83

4.3.1　滿足前提條件　84

4.3.2　配置步驟　85

4.4　驗證和排錯工具　94

4.4.1　在機架上識別FMC　94

4.4.2　確認FMC的硬體和軟體詳細信息　95

4.4.3　確認RAID電池狀態　96

4.4.4　確認電池單元（PSU）的狀態　96

4.4.5　驗證風扇　99

4.5　總結　101

4.6　測試題　102

第5章　VMware上的Firepower系統虛擬化　103

5.1　FMC和FTD虛擬化要點　103

5.1.1　支持的虛擬環境　103

5.1.2　ESXi與VI　104

5.1.3　源碼包中的VMware安裝包　104

5.1.4　硬碟置備選項　105

5.2　Firepower虛擬化設備部署的最佳做法　105

5.2.1　部署前的最佳做法　105

5.2.2　部署後的最佳做法　107

5.3　安裝和配置Firepower虛擬化設備　108

5.3.1　滿足前提條件　108

5.3.2　創建虛擬化網路　110

5.3.3　部署OVF模板　117

5.3.4　初始化套用　122

5.4　驗證和排錯工具　124

5.4.1　確認資源分配的狀態　124

5.4.2　確認網路適配器的狀態　126

5.4.3　更新網路適配器　127

5.5　總結　130

5.6　測試題　130

第6章　Firepower的管理網路　131

6.1　Firepower系統管理網路要點　131

6.1.1　FTD管理接口　131

6.1.2　設計Firepower管理網路　133

6.2　管理接口配置的最佳做法　136

6.3　在FMC硬體上配置管理網路　136

6.3.1　配置選項　136

6.3.2　驗證和排錯工具　139

6.4　在ASA硬體上配置管理網路　141

6.4.1　配置　141

6.4.2　驗證和排錯工具　141

6.5　在Firepower安全設備上配置管理網路　143

6.5.1　配置FXOS管理接口　144

6.5.2　驗證FXOS管理接口的配置　144

6.5.3　配置FTD管理接口　145

6.5.4　驗證FTD管理接口的配置　147

6.6　總結　150

6.7　測試題　150

第7章　Firepower的許可和註冊　151

7.1　許可證要點　151

7.1.1　智慧型許可證架構　151

7.1.2　Firepower許可證　153

7.2　許可證和註冊的最佳做法　154

7.3　為Firepower系統安裝許可證　154

7.3.1　許可證配置　154

7.3.2　驗證智慧型許可證的問題　158

7.4　註冊Firepower系統　160

7.4.1　註冊配置　160

7.4.2　驗證註冊和連線　163

7.4.3　分析加密的SF隧道　168

7.5　總結　176

7.6　測試題　176

第8章　路由模式的Firepower部署　177

8.1　路由模式要點　177

8.2　路由模式配置的最佳做法　178

8.3　配置路由模式　178

8.3.1　滿足前提條件　179

8.3.2　配置防火牆模式　180

8.3.3　配置路由接口　180

8.3.4　FTD作為DHCP伺服器　183

8.3.5　FTD作為DHCP客戶端　185

8.4　驗證和排錯工具　186

8.4.1　驗證接口的配置　186

8.4.2　驗證DHCP的設定　189

8.5　總結　191

8.6　測試題　191

第9章　透明模式的Firepower部署　192

9.1　透明模式要點　192

9.2　透明模式的最佳做法　193

9.3　配置透明模式　194

9.3.1　滿足前提條件　194

9.3.2　更改防火牆模式　195

9.3.3　在二層網路中部署透明模式　195

9.3.4　在三層網路之間部署FTD設備　205

9.3.5　為SSH創建訪問規則　208

9.4　總結　211

9.5　測試題　211

第　10章 捕獲流量用於高級分析　213

10.1　流量捕獲要點　213

10.2　捕獲流量的最佳做法　214

10.3　配置Firepower系統進行流量分析　214

10.3.1　從Firepower引擎捕獲流量　214

10.3.2　從防火牆引擎捕獲流量　223

10.3.3　從FMC捕獲流量　231

10.4　驗證和排錯工具　234

10.4.1　添加阻塞ICMP流量的訪問規則　234

10.4.2　使用阻塞規則分析數據流　236

10.4.3　接口對數據包的處理　238

10.5　總結　239

10.6　測試題　240

第　11章 使用線上接口模式阻塞流量　241

11.1　線上模式要點　241

11.1.1　線上模式與被動模式　242

11.1.2　線上模式與透明模式　243

11.1.3　追蹤丟包　243

11.2　配置線上模式的最佳做法　245

11.3　配置線上模式　245

11.3.1　滿足前提條件　246

11.3.2　創建線上集　246

11.3.3　啟用容錯特性　259

11.3.4　阻塞指定連線埠　262

11.4　總結　268

11.5　測試題　269

第　12章 檢測但不阻塞流量　270

12.1　流量檢測要點　270

12.1.1　被動監控技術　270

12.1.2　線上、線上分流與被動　272

12.2　純檢測部署的最佳做法　274

12.3　滿足前提條件　274

12.4　線上分流模式　274

12.4.1　配置線上分流模式　274

12.4.2　驗證線上分流模式的配置　276

12.5　被動接口模式　278

12.5.1　配置被動接口模式　278

12.5.2　驗證被動接口模式的配置　279

12.6　分析流量監控操作　281

12.6.1　分析使用阻塞行為的連線事件　282

12.6.2　通過線上結果分析入侵事件　285

12.7　總結　289

12.8　測試題　289

第　13章 處理封裝流量　290

13.1　封裝和預過濾策略要點　290

13.2　添加預過濾規則的最佳做法　292

13.3　滿足前提條件　292

13.4　情景1：分析封裝的流量　295

13.4.1　配置策略來分析封裝流量　295

13.4.2　驗證配置和連線　297

13.4.3　分析數據包流　300

13.5　情景2：阻塞封裝的流量　305

13.5.1　配置策略來阻塞封裝流量　305

13.5.2　驗證配置和連線　306

13.5.3　分析數據包流　309

13.6　情景3：繞過檢測　310

13.6.1　配置策略來繞過檢測　310

13.6.2　驗證配置和連線　314

13.6.3　分析數據包流　316

13.7　總結　318

13.8　測試題　318

第　14章 繞過檢測和信任流量　320

14.1　繞過檢測和信任流量要點　320

14.1.1　快速路徑規則　320

14.1.2　信任規則　321

14.2　繞過檢測的最佳做法　321

14.3　滿足前提條件　321

14.4　通過預過濾策略實施快速路徑　323

14.4.1　配置流量旁路　323

14.4.2　驗證預過濾規則的配置　329

14.4.3　分析快速路逕行為　331

14.5　通過訪問策略建立信任　335

14.5.1　使用訪問策略配置信任　335

14.5.2　驗證信任規則的配置　336

14.5.3　為高級分析啟用相應工具　337

14.5.4　分析信任行為　339

14.5.5　使用允許行為進行對比　346

14.6　總結　347

14.7　測試題　348

第　15章 流量限速　349

15.1　限速要點　349

15.2　QoS規則的最佳做法　351

15.3　滿足前提條件　351

15.4　配置速率限制　352

15.5　驗證檔案傳輸的速率限制　356

15.6　分析QoS事件和統計數據　359

15.7　總結　363

15.8　測試題　363

第　16章 使用安全智慧型特性拉黑可疑地址　364

16.1　安全智慧型要點　364

16.2　拉黑的最佳做法　367

16.3　滿足前提條件　367

16.4　配置黑名單　369

16.4.1　使用Cisco智慧型Feed實現自動拉黑　369

16.4.2　使用自定義智慧型列表手動拉黑　372

16.4.3　使用連線事件立即拉黑　374

16.4.4　監控黑名單　376

16.4.5　繞過黑名單　377

16.5　驗證和排錯工具　380

16.5.1　驗證最新檔案的下載　381

16.5.2　驗證記憶體中載入的地址　383

16.5.3　在列表中找到指定地址　385

16.5.4　驗證基於URL的安全智慧型規則　386

16.6　總結　388

16.7　測試題　388

第　17章 阻塞域名系統（DNS）查詢　390

17.1　Firepower DNS策略的要點　390

17.1.1　域名系統（DNS）　390

17.1.2　使用Firepower系統阻塞DNS查詢　391

17.1.3　DNS規則行為　392

17.1.4　智慧型的信息源　395

17.2　阻塞DNS查詢的最佳做法　397

17.3　滿足前提條件　397

17.4　配置DNS查詢阻塞　398

17.4.1　添加新DNS策略　398

17.4.2　引用DNS策略　400

17.5　驗證和排錯工具　400

17.5.1　驗證DNS策略的配置　400

17.5.2　驗證DNS策略的操作　404

17.6　總結　409

17.7　測試題　409

第　18章 基於類別、風險和信譽過濾URL　410

18.1　URL過濾要點　410

18.1.1　信譽索引　410

18.1.2　運行體系結構　412

18.2　滿足前提條件　412

18.3　URL過濾配置的最佳做法　414

18.4　阻塞特定類別的URL　416

18.4.1　為URL過濾配置訪問規則　416

18.4.2　驗證和排錯工具　416

18.5　放行指定URL　422

18.5.1　配置FTD放行指定URL　422

18.5.2　驗證和排錯工具　423

18.6　向雲查詢未分類URL　426

18.6.1　配置FMC執行查詢　427

18.6.2　驗證和排錯工具　429

18.7　總結　431

18.8　測試題　432

第　19章 發現網路套用及控制套用流量　433

19.1　套用發現要點　433

19.1.1　套用檢測器　433

19.1.2　運行架構　435

19.2　網路發現配置的最佳做法　435

19.3　滿足前提條件　437

19.4　發現套用　439

19.4.1　配置網路發現策略　439

19.4.2　驗證和排錯工具　441

19.5　阻塞套用　446

19.5.1　配置套用阻塞　446

19.5.2　驗證和排錯工具　447

19.6　總結　450

19.7　測試題　450

第　20章 控制檔案傳輸並阻塞惡意軟體的傳播　451

20.1　檔案策略要點　451

20.1.1　檔案類型檢測技術　451

20.1.2　惡意軟體分析技術　453

20.1.3　許可證容量　454

20.2　檔案策略部署的最佳做法　456

20.3　滿足前提條件　457

20.4　配置檔案策略　457

20.4.1　創建檔案策略　457

20.4.2　套用檔案策略　461

20.5　驗證和排錯工具　464

20.5.1　分析檔案事件　464

20.5.2　分析惡意軟體事件　468

20.6　覆蓋惡意軟體傾向性　478

20.7　總結　482

20.8　測試題　482

第　21章 通過阻塞入侵嘗試防禦網路攻擊　483

21.1　Firepower GNIPS要點　483

21.1.1　網路分析策略和預處理器　483

21.1.2　入侵策略和Snort規則　485

21.1.3　系統提供的變數　488

21.1.4　系統提供的策略　490

21.2　入侵策略部署的最佳做法　495

21.3　GNIPS配置　498

21.3.1　配置網路分析策略　499

21.3.2　配置入侵策略　502

21.3.3　配置訪問控制策略　508

21.4　驗證和排錯工具　511

21.5　總結　519

21.6　測試題　519

第　22章 偽裝內部主機的原始IP位址　520

22.1　NAT的核心概念　520

22.1.1　NAT類別　522

22.1.2　NAT規則的類型　523

22.2　部署NAT的最佳做法　524

22.3　滿足前提條件　525

22.4　配置NAT　527

22.4.1　偽裝源地址（向出向連線實施源NAT）　527

22.4.2　連線偽裝目的（向入向連線實施目的NAT）　542

22.5　總結　551

22.6　測試題　552

附錄A　測試題答案　553

附錄B　使用GUI界面創建和收集排錯檔案　555

附錄C　使用CLI界面創建和收集排錯檔案　558