這次講Firepower系列，主要是ASA比較熟悉了，不會(huì)的也能查文檔。FMC很多操作真是慢慢熟悉。

專注于為中小企業(yè)提供網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)臨夏州免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了近千家企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

一些基本的操作之前有講：
https://blog.51cto.com/9272543/2397002

使用腳本修改FMC的IP地址
sudo /usr/local/sf/bin/configure-network

FTD使用configure network和configure manager。

一： License

先說license，一種是傳統(tǒng)license （classic license），NGIPSv， ASA with FirePOWER使用這些license。
而新的FTD全部使用smart license。

Smart license 組成部分：Base， Threat， Malware， URLfiltering。

其中Base license，包括了user認(rèn)證，應(yīng)用識(shí)別。
Threat license，包括IPS 策略（這是firepower最核心的東西）
Malware：其實(shí)就是AMP，還有可以結(jié)合殺毒軟件的AMP Threat Grid。
URL filter：網(wǎng)頁鏈接過濾，沒啥好說的。

二：整體策略結(jié)構(gòu)

那么多思科文檔，連這個(gè)都沒有！只有一個(gè)這個(gè)

但完全沒說security intelligence， SSL policy等。

初學(xué)的話簡(jiǎn)直沒法看，qyt總結(jié)的非常好。

Security Intelligence --> SSL policy (optional if you want to decrypt traffic) --> Network Analysis policy --> Access Control Policy --> Network Discovery Policy --> File policy --> Intrusion policy ---> Default action intrusion policy

如果你光看FMC的配置界面，你是完全想不到是這個(gè)邏輯順序的。。。

一個(gè)個(gè)看過來，Security Intelligence，是思科提供的一個(gè)黑白名單功能。
其實(shí)沒有什么可以配置的，只要FMC能訪問到因特網(wǎng)，他就能自動(dòng)下載這個(gè)名單。

Access Control Policy

User Base Authentication
Active Directory Integration

記住Firepower是需要手動(dòng)download這些用戶信息的。

為FMC申請(qǐng)證書，這個(gè)其實(shí)是openssl的操作方法，如果要考無線的IE，WLC也是這么操作的。

首先sudo su - 切換到root
openssl genrsa -des3 -out Fire.key 2048 //生成私鑰密鑰對(duì)
openssl req -new -key Fire.key -out Fire.csr //成成一個(gè)CSR
把這個(gè)CSR放到home目錄下，因?yàn)閃inscp用admin登錄對(duì)于root目錄是沒有權(quán)限的

用WinSCP下載CSR和密鑰對(duì)之后，申請(qǐng)證書時(shí)候仍然使用web類型

在FMC上導(dǎo)入Root CA和 internal certificate,

我的理解是，在做基于用戶的認(rèn)證之前需要配置identity policy

經(jīng)過了大量的測(cè)試，我重裝了FMC6.2.3 終于測(cè)試通過了。。。

進(jìn)入頁面之后輸入用戶名密碼，

我們可以看到user activity。現(xiàn)實(shí)中，我并沒有想到一個(gè)場(chǎng)景需要使用active authentication。如果有空，我會(huì)再做一個(gè)user agent的實(shí)驗(yàn)。當(dāng)然據(jù)說Firepower 的identity policy非常不穩(wěn)定，不建議使用。

Interactive Block
FMC有個(gè)奇怪的特性，當(dāng)你測(cè)試過一個(gè)網(wǎng)頁之后，它會(huì)記住這個(gè)連接，包括ip地址等。所以你要更改ip地址，清網(wǎng)頁的cache，實(shí)際上很復(fù)雜。。。所以難怪在生產(chǎn)環(huán)境當(dāng)中運(yùn)維會(huì)非常痛苦。performance很奇怪。anyway。

我這里測(cè)試過，似乎URL是不能識(shí)別的，得用app，才會(huì)有個(gè)interactive block

點(diǎn)擊continue就會(huì)通過了

查看日志我們可以發(fā)現(xiàn)，其實(shí)仍然記住了我的user info

又是一個(gè)很不靠譜的特性。。。

Security Intelligence，這個(gè)測(cè)試下來比較穩(wěn)定。值得使用。

定義三個(gè)文件。

左邊和右邊分別是我部署這個(gè)SI之前與之后的對(duì)比。

youtube直接看不到了

當(dāng)然這種情況是我自己定義的，如果需要查看SI具體的feeds。登錄到FMC上做如下操作：
sudo su
cd /var/sf/iprep_download

Network Discovery Policy

但我個(gè)人感覺探測(cè)出來的不是很準(zhǔn)。

我一臺(tái)win10 檢測(cè)出來是Win7 或者Win8，情何以堪。當(dāng)然你可以手工修正這個(gè)OS，然后在有針對(duì)的打補(bǔ)丁。大的問題是，為什么6.2.3了，連windows2016 的選項(xiàng)都沒有！這個(gè)feature又是一個(gè)差評(píng)！

不過在discover完所有主機(jī)之后，可以在其基礎(chǔ)上配置IPS policy。有個(gè)firepower recommendations。

File policy

IPS Policy

Katherine有一篇關(guān)于IPS policy的youtube非常好：
https://www.youtube.com/watch?v=CxUKj_tkpU0&t=273s

將IPS policy的層次，和在測(cè)試方法都講了出來。

大致先講那么多，考完安全，回頭一看還有篇草稿。。。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞名稱：Firepower系列筆記-創(chuàng)新互聯(lián)
URL網(wǎng)址：http://chinadenli.net/article14/eocge.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶體驗(yàn)、軟件開發(fā)、微信公眾號(hào)、關(guān)鍵詞優(yōu)化、移動(dòng)網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)