Seite 1 Leitfaden zu den ersten Schritten mit Cisco Firepower 1010 Erste Veröffentlichung: 13. Juni 2019 Letzte Änderung: 28. Februar 2022 Americas Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 http://www.cisco.com Tel: 408 526-4000 800 553-NETS (6387) Fax: 408 527-0883...
Seite 3 Sie können die ASA verwenden, wenn Sie die erweiterten Funktionen von Threat Defense nicht benötigen oder wenn Sie eine reine ASA-Funktion benötigen, die in Threat Defense noch nicht verfügbar ist. Cisco bietet Tools für die Migration von ASA zu Threat Defense, mit denen Sie Ihr ASA-System in ein Threat Defense-System konvertieren können, wenn Sie mit ASA beginnen und später ein neues Image für Threat...
Seite 4 Device Manager und CDO zu verwalten. Management Center ist nicht mit anderen Managern kompatibel. Informationen zu den ersten Schritten mit Device Manager finden Sie unter Threat Defense Bereitstellung mit Device Manager, auf Seite Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 5: Asa-Bereitstellung
ASAs verwalten müssen. Da ASDM die Konfiguration in der Firewall erkennen kann, können Sie auch die CLI, den CDO oder den CSM mit ASDM verwenden. Informationen zu den ersten Schritten mit ASDM finden Sie unter ASA-Bereitstellung mit ASDM, auf Seite 177. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 6 ASA-Funktionen und wird nicht mehr erweitert. Die ASA-REST-API wird in diesem Handbuch nicht behandelt. Weitere Informationen finden Sie unter Schnellstarterdhandbuch für die Cisco ONE ASA Secure Firewall-REST-API. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 7: Threat Defense-Bereitstellung Mit Dem Management Center
System (FXOS) aus. Die Firewall unterstützt die FXOS-Secure Firewall Chassis Manager nicht. Es wird nur in begrenztem Umfang eine CLI für Fehlerbehebungszwecke unterstützt. Weitere Informationen finden Sie unter Cisco FXOS-Leitfaden zur Fehlerbehebung für die Firepower 1000/2100-Serie mit Firepower Threat Defense. Datenschutzerklärung zur Datenerfassung: Die Firewall erfordert keine personenbezogenen Informationen und nimmt keine aktive Erfassung derartiger Informationen vor.
Seite 8: Inhaltsverzeichnis
Nächste Schritte, auf Seite 47 Vorbereitung Stellen Sie Management Center bereit, und führen Sie die Erstkonfiguration durch. Siehe Hardwareinstallationshandbuch für Cisco Firepower Management Center 1600, 2600 und 4600 oder Leitfaden zu den ersten Schritten mit Cisco Secure Firewall Management Center Virtual.
Seite 9 Verkabeln des Geräts (6.5 und höher), auf Seite 10 Verkabeln des Geräts (6.4), auf Seite Vorkonfiguration Einschalten der Firewall, auf Seite (Optional) Prüfen der Software und Installieren einer neuen Version, auf Seite Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 10: Überprüfen Der Netzwerkbereitstellung
Hinweis In Version 6.5 und früher ist die Management-Schnittstelle mit einer IP-Adresse (192.168.45.45) konfiguriert. Die folgende Abbildung zeigt die empfohlene Netzwerkbereitstellung für das Firepower 1010-System. Management Center kann nur über die Management-Schnittstelle mit Threat Defense kommunizieren. Darüber hinaus benötigen sowohl Management Center als auch Threat Defense für die Lizenzierung und Updates einen Internetzugang vom Management aus.
Seite 11 Schnittstellen konfigurieren, nachdem Sie Threat Defense mit Management Centerverbunden haben. Die folgende Abbildung zeigt die empfohlene Netzwerkbereitstellung für das Firepower 1010-System. Management Center kann nur über die Management-Schnittstelle mit Threat Defense kommunizieren. Darüber hinaus benötigen sowohl Management Center als auch Threat Defense für die Lizenzierung und Updates einen Internetzugang vom Management aus.
Seite 12: Verkabeln Des Geräts (6.5 Und Höher)
Abbildung 2: Empfohlene Netzwerkbereitstellung Verkabeln des Geräts (6.5 und höher) Das empfohlene Szenario für die Verkabelung des Firepower 1010-Systems wird in der folgenden Abbildung veranschaulicht. Dort ist eine Beispieltopologie mit Ethernet 1/1 als externe Schnittstelle und den verbleibenden Schnittstellen als Switch-Ports im internen Netzwerk dargestellt.
Seite 13 CLI für die Ersteinrichtung zuzugreifen, wenn Sie SSH für die Management-Schnittstelle nicht verwenden. Oder verwenden Sie Device Manager für die Ersteinrichtung. Schritt 5 Verbinden Sie Ethernet 1/1 mit Ihrem externen Router. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 14: Verkabeln Des Geräts (6.4)
Threat Defense-Bereitstellung mit dem Management Center Verkabeln des Geräts (6.4) Verkabeln des Geräts (6.4) Das empfohlene Szenario der Verkabelung des Firepower 1010-Geräts wird in der folgenden Abbildung veranschaulicht, die eine Beispieltopologie mit einem Layer-2-Switch zeigt. Hinweis Andere Topologien können verwendet werden, und Ihre Bereitstellung variiert je nach Ihren Anforderungen.
Seite 15: Einschalten Der Firewall
Prüfen Sie die Betriebs-LED auf der Rückseite oder Oberseite des Geräts; leuchtet sie dauerhaft grün, ist das Gerät eingeschaltet. Schritt 3 Prüfen Sie die Status-LED auf der Rückseite oder Oberseite des Geräts; wenn sie dauerhaft grün leuchtet, hat das System die Einschaltdiagnose durchlaufen. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 16: (Optional) Prüfen Der Software Und Installieren Einer Neuen Version
Verfahren. Welche Version sollte ich ausführen? Cisco empfiehlt, eine Gold Star-Version auszuführen, die durch einen goldenen Stern neben der Versionsnummer auf der Software-Download-Seite gekennzeichnet ist. Sie können sich auch auf die Release-Strategie beziehen, die in https://www.cisco.com/c/en/us/products/collateral/security/firewalls/...
Seite 17: Handbuch Zur Fxos-Fehlerbehebung
• Stellen Sie Management Center bereit, und führen Sie die Erstkonfiguration durch. Siehe Hardwareinstallationshandbuch für Cisco Firepower Management Center 1600, 2600 und 4600. Sie müssen die IP-Adresse oder den Host-Namen des Management Center kennen, bevor Sie Threat Defense einrichten. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 18 Configure IPv6 (IPv6 konfigurieren): Die IPv6-Adresse für die externe Schnittstelle. Sie können DHCP verwenden oder eine statische IP-Adresse, ein Präfix und ein Gateway manuell eingeben. Sie können auch Off (Aus) auswählen, wenn keine IPv6-Adresse konfiguriert werden soll. 2. Management-Schnittstelle Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 19 Sie das Gerät bei Management Center registrieren. Schritt 5 Wählen Sie Device > System Settings > Central Management, und klicken Sie auf Proceed (Fortfahren), um das Management Center-Management einzurichten. Schritt 6 Konfigurieren der Management Center-/CDO-Details Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 20 Sie das Management Center mit einer IP-Adresse oder einem Hostname erreichen können, oder auf No (Nein), wenn sich das Management Center hinter NAT befindet oder keine öffentliche IP-Adresse oder keinen Hostnamen hat. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 21 Wenn Sie nach dem Schritt Speichern von Management Center/CDO-Registrierungseinstellungen weiterhin mit dem Device Manager verbunden sind, wird schließlich das Dialogfeld Erfolgreiche Verbindung mit Management Center oder CDO angezeigt. Dannach wird die Verbindung zum Device Managergetrennt. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 22: Abschließen Der Threat Defense-Erstkonfiguration Mit Der Cli
Am Konsolenport stellen Sie eine Verbindung zur FXOS-CLI her. Wenn Sie sich zum ersten Mal bei FXOS anmelden, werden Sie aufgefordert, das Kennwort zu ändern. Dieses Kennwort wird auch zur Threat Defense-Anmeldung für SSH verwendet. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 23 Management Center verwenden, um die interne IP-Adresse festzulegen. • Wenn sich Ihre Netzwerkinformationen geändert haben, müssen Sie die Verbindung wiederherstellen. Wenn Sie mit SSH verbunden sind, aber die IP-Adresse bei der Ersteinrichtung ändern, Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 24 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1 Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect.
Seite 25 Wenn sich Threat Defense hinter einem NAT-Gerät befindet, geben Sie eine eindeutige NAT-ID zusammen mit der Management Center-IP-Adresse oder dem Host-Namen ein. Beispiel: > configure manager add 10.70.45.5 regk3y78 natid56 Manager successfully configured. Nächste Maßnahme Registrieren Sie Ihre Firewall beim Management Center. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 26: Anmelden Bei Management Center
• Threat: Security Intelligence und Next-Generation IPS • Malware: MalwareDefense • URL: URL-Filterung • RA VPN: AnyConnect Plus, AnyConnect Apex oder AnyConnect VPN Only. Nähere Informationen über die Lizenzierung bei Cisco erhalten Sie unter cisco.com/go/licensingguide Vorbereitungen • Sie müssen über ein Masterkonto bei Smart Software Manager verfügen.
Seite 27: Bestellanleitung Für Cisco
Threat Defense-Bereitstellung mit dem Management Center Registrieren des Threat Defense beim Management Center Wenn Sie Ihr Gerät bei Cisco oder einem Fachhändler gekauft haben, sollten Ihre Lizenzen mit Ihrem Smart Software License-Konto verknüpft sein. Wenn Sie jedoch selbst Lizenzen hinzufügen müssen, verwenden Sie das Suchfeld Find Products and Solutions (Produkte und Lösungen suchen) im...
Seite 28 Sie jedoch die IP-Adresse oder den Hostnamen für den Threat Defense angeben. • Display Name (Anzeigename): Geben Sie den Namen für Threat Defense ein, der im Management Center angezeigt werden soll. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 29 übertragen. Wenn diese Option aktiviert ist und Ereignisse wie IPS oder Snort ausgelöst werden, sendet das Gerät Ereignismetadateninformationen und Paketdaten zur Untersuchung an Management Center. Wenn Sie die Option deaktivieren, werden nur Ereignisinformationen an Management Center gesendet, aber keine Paketdaten. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 30: Konfigurieren Einer Basissicherheitsrichtlinie
Um eine grundlegende Sicherheitsrichtlinie zu konfigurieren, führen Sie die folgenden Aufgaben aus. Konfigurieren von Schnittstellen (6.5 und höher), auf Seite 29 Konfigurieren von Schnittstellen (6.4), auf Seite Konfigurieren des DHCP-Servers, auf Seite Hinzufügen der Standardroute, auf Seite Konfigurieren von NAT, auf Seite Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 31: Konfigurieren Von Schnittstellen (6.5 Und Höher)
Schieberegler in der Spalte SwitchPort klicken, damit er als deaktiviert ( ) angezeigt wird. Schritt 4 Aktivieren Sie die Switch-Ports. a) Klicken Sie für den Switch-Port auf Bearbeiten ( ). Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 32 Fügen Sie die interne VLAN-Schnittstelle hinzu. a) Klicken Sie auf Add Interfaces > VLAN Interface (Schnittstellen hinzufügen > VLAN-Schnittstelle). Die Registerkarte General (Allgemein) wird geöffnet. b) Geben Sie einen Namen mit bis zu 48 Zeichen ein. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 33 Stateless-Konfiguration. h) Klicken Sie auf OK. Schritt 6 Klicken Sie für die Ethernet1/1-Schnittstelle, die Sie für den Außenbereich verwenden möchten, auf Bearbeiten ( ). Die Registerkarte General (Allgemein) wird geöffnet. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 34 • Obtain default route using DHCP (Standardroute über DHCP abrufen): Ruft die Standardroute vom DHCP-Server ab. • DHCP route metric (DHCP-Routenmetrik): Weist der gelernten Route eine administrative Distanz zwischen 1 und 255 zu. Die standardmäßige administrative Distanz für die gelernten Routen ist 1. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 35: Konfigurieren Von Schnittstellen (6.4)
Schnittstelle im Modus „geroutet“ unter Verwendung von DHCP konfiguriert. Prozedur Schritt 1 Wählen Sie Devices > Device Management (Geräte > Gerätemanagement), und klicken Sie für die Firewall auf Bearbeiten ( ). Schritt 2 Klicken Sie auf Interfaces (Schnittstellen). Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 36 Sicherheitsrichtlinie basierend auf Zonen oder Gruppen an. Sie können beispielsweise die interne Schnittstelle der internen Zone zuweisen und die externe Schnittstelle zur Außenzone. Anschließend können Sie Ihre Zugriffskontrollrichtlinie so konfigurieren, dass der Traffic von innen nach außen geleitet Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 37 Stateless-Konfiguration. f) Klicken Sie auf OK. Schritt 4 Klicken Sie für die Schnittstelle, die Sie für den Außenbereich verwenden möchten, auf Bearbeiten ( ). Die Registerkarte General (Allgemein) wird geöffnet. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 38: Konfigurieren Des Dhcp-Servers
Klicken Sie auf OK. Schritt 5 Klicken Sie auf Save (Speichern). Konfigurieren des DHCP-Servers Aktivieren Sie den DHCP-Server, wenn Clients DHCP zum Abrufen von IP-Adressen aus dem Threat Defense verwenden sollen. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 39: Hinzufügen Der Standardroute
Wählen Sie Devices > Device Management (Geräte > Gerätemanagement), und klicken Sie für das Gerät auf Bearbeiten ( ). Schritt 2 Wählen Sie Routing > Static Route (Routing > Statische Route), klicken Sie auf Add Route (Route hinzufügen), und legen Sie Folgendes fest: Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 40 • Metric (Metrik): Geben Sie die Anzahl der Hops zum Zielnetzwerk ein. Gültig sind Werte von 1 bis 255; der Standardwert ist 1. Schritt 3 Klicken Sie auf OK. Die Route wird der Tabelle mit statischen Routen hinzugefügt. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 41: Konfigurieren Von Nat
Wählen Sie Devices > NAT (Geräte > NAT), und klicken Sie auf New Policy > Threat Defense NAT (Neue Richtlinie > Threat Defense-NAT). Schritt 2 Geben Sie der Richtlinie einen Namen, wählen Sie die Geräte aus, für die sie gelten soll, und klicken Sie auf Save (Speichern). Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 42 Fügen Sie auf der Seite Interface Objects (Schnittstellenobjekte) die externe Zone aus dem Bereich Available Interface Objects (Verfügbare Schnittstellenobjekte) im Bereich Destination Interface Objects (Zielschnittstellenobjekte) hinzu. Schritt 6 Konfigurieren Sie auf der Seite Translation (Übersetzung) die folgenden Optionen: Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 43 • Translated Source (Übersetzte Quelle): Wählen Sie für Destination Interface IP (Zielschnittstellen-IP) einen Wert aus. Schritt 7 Klicken Sie auf Save (Speichern), um die Regel hinzuzufügen. Die Regel wird in der Tabelle Rules (Regeln) gespeichert. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 44: Zulassen Des Traffics Von Innen Nach Außen
Sie auf Add to Destination (Zu Ziel hinzufügen). Lassen Sie die anderen Einstellungen unverändert. Schritt 3 Klicken Sie auf Add (Hinzufügen). Die Regel wird der Tabelle Rules (Regeln) hinzugefügt. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 45: Bereitstellen Der Konfiguration
Klicken Sie entweder auf Deploy All (Alle bereitstellen), um die Bereitstellung auf allen Geräten durchzuführen, oder auf Advanced Deploy (Erweiterte Bereitstellung), um die Bereitstellung auf ausgewählten Geräten durchzuführen. Abbildung 10: Alle bereitstellen Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 46: Zugriff Auf Die Threat Defense- Und Fxos-Cli
Adresse auf einer Datenschnittstelle verbinden, wenn Sie die Schnittstelle für SSH-Verbindungen öffnen. Der SSH-Zugriff auf Datenschnittstellen ist standardmäßig deaktiviert. Dieses Verfahren beschreibt den Konsolenportzugriff, der standardmäßig auf die FXOS-CLI-CLI eingestellt ist. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 47 Verbinden Sie Ihren Management-Computer mit dem Konsolenport, um sich bei der CLI anzumelden. Firepower 1000 wird mit einem seriellen USB-A-zu-B-Kabel ausgeliefert. Stellen Sie sicher, dass Sie alle erforderlichen seriellen USB-Treiber für Ihr Betriebssystem installieren (siehe Firepower 1010 -Hardwarehandbuch). Der Konsolenport ist standardmäßig auf die FXOS-CLI-CLI eingestellt. Verwenden Sie die folgenden seriellen Einstellungen: •...
Seite 48: Ausschalten Der Firewall
Prozesse ablaufen, und dass das Ziehen des Netzsteckers oder das Ausschalten der Stromversorgung kein ordnungsgemäßes Herunterfahren Ihres Firewall-Systems ermöglicht. Das Firepower 1010-Chassis hat keinen externen Netzschalter.Sie können das Gerät über die Management Center-Seite für das Gerätemanagement oder über die FXOS-CLI ausschalten.
Seite 49: Nächste Schritte
Um die Konfiguration von Threat Defense fortzusetzen, lesen Sie die Dokumente, die für Ihre Softwareversion verfügbar sind. Siehe Navigation in der Cisco Firepower-Dokumentation. Informationen zur Verwendung des Management Center finden Sie im Konfigurationsleitfaden für Firepower Management Center. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 50 Threat Defense-Bereitstellung mit dem Management Center Nächste Schritte Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 51: Threat Defense-Bereitstellung Mit Einem Remote-Management Center
System (FXOS) aus. Die Firewall unterstützt die FXOS-Secure Firewall Chassis Manager nicht. Es wird nur in begrenztem Umfang eine CLI für Fehlerbehebungszwecke unterstützt. Weitere Informationen finden Sie unter Cisco FXOS-Leitfaden zur Fehlerbehebung für die Firepower 1000/2100-Serie mit Firepower Threat Defense. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 52: Funktionsweise Des Remote-Managements
Sie auch nicht per SSH von einem Remote-Netzwerk auf die Management-Schnittstelle zugreifen, es sei denn, Sie fügen mit dem Befehl configure network static-routes eine statische Route für die Management-Schnittstelle hinzu. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 53: Vorbereitung
ändernde DHCP-IP-Zuweisungen zu berücksichtigen. Abbildung 13: Vorbereitung Stellen Sie Management Center bereit, und führen Sie die Erstkonfiguration durch. Siehe Hardwareinstallationshandbuch für Cisco Firepower Management Center 1600, 2600 und 4600 oder Leitfaden zu den ersten Schritten mit Cisco Secure Firewall Management Center Virtual.
Seite 54 (Admin in der • Vorkonfiguration mit der CLI, auf Seite 61 Zentrale) • Vorkonfiguration mit der Device Manager, auf Seite 55 Physischer Aufbau Installieren der Firewall. Weitere Informationen finden Sie im Hardware-Installationshandbuch. (Zweigstellenadmin) Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 55: Vorkonfiguration Des Administrators In Der Zentrale
Verfahren. Welche Version sollte ich ausführen? Cisco empfiehlt, eine Gold Star-Version auszuführen, die durch einen goldenen Stern neben der Versionsnummer auf der Software-Download-Seite gekennzeichnet ist. Sie können sich auch auf die Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 56: Werkseinstellungen
Firepower /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ Enabled Online 7.2.0.65 7.2.0.65 Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 57: Handbuch Zur Fxos-Fehlerbehebung
Geben Sie die folgende URL in Ihren Browser ein: https://192.168.95.1 b) Melden Sie sich mit dem Benutzernamen admin und dem Standardkennwort Admin123 an. c) Sie werden aufgefordert, den Endbenutzerlizenzvertrag zu lesen und zu akzeptieren und das Administratorkennwort zu ändern. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 58 1. Time Zone (Zeitzone): Wählen Sie die Zeitzone für das System aus. 2. NTP Time Server (NTP-Zeitserver): Wählen Sie aus, ob Sie die Standard-NTP-Server verwenden oder die Adressen Ihrer NTP-Server manuell eingeben möchten. Sie können mehrere Server hinzufügen, um Backups bereitzustellen. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 59 Sie das Gerät bei Management Center registrieren. Schritt 7 Wählen Sie Device > System Settings > Central Management, und klicken Sie auf Proceed (Fortfahren), um das Management Center-Management einzurichten. Schritt 8 Konfigurieren Sie die Management Center-/CDO-Details. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 60 Sie das Management Center mit einer IP-Adresse oder einem Hostname erreichen können, oder auf No (Nein), wenn sich das Management Center hinter NAT befindet oder keine öffentliche IP-Adresse oder keinen Hostnamen hat. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 61 Center und Threat Defense zu synchronisieren. Außerdem werden lokale DNS-Server von Management Center nur beibehalten, wenn die DNS-Server bei der ersten Registrierung erkannt wurden. c) Wählen Sie für die Management Center-/CDO-Zugriffsschnittstelle outside (extern) aus. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 62: Konfigurieren Der Firewall
System Settings > DDNS Service (Gerät > Systemeinstellungen > DDNS-Service), um DDNS zu konfigurieren. Wenn Sie DDNS konfigurieren, bevor Sie Threat Defense zu Management Center hinzufügen, fügt Threat Defenseautomatisch Zertifikate für alle wichtigen Zertifizierungsstellen aus dem Cisco Trusted Root CA-Paket hinzu, damit das DDNS-Serverzertifikat für Threat Defense die HTTPS-Verbindung validieren kann. Threat Defense unterstützt jeden DDNS-Server, der die DynDNS Remote API-Spezifikation...
Seite 63: Vorkonfiguration Mit Der Cli
Stellen Sie eine Verbindung zur Threat Defense-CLI auf dem Konsolenport her. Der Konsolenport wird mit der FXOS-CLI verbunden. Schritt 3 Melden Sie sich mit dem Benutzernamen admin und dem Kennwort Admin123 an. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 64 (manuell) aus. Auch wenn Sie die Management-Schnittstelle nicht verwenden möchten, müssen Sie eine IP-Adresse festlegen, z. B. eine private Adresse. Sie können keine Datenschnittstelle für das Management konfigurieren, wenn die Management-Schnittstelle auf DHCP eingestellt ist, da die Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 65: Wenn Sich Ihre Netzwerkinformationen Geändert Haben, Müssen Sie Die Verbindung
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect.
Seite 66 Bereitstellung. • Wenn Sie eine DDNS-Server-Update-URL konfigurieren, fügt Threat Defense automatisch Zertifikate für alle wichtigen Zertifizierungsstellen aus dem Cisco Trusted Root CA-Paket hinzu, damit Threat Defense das DDNS-Serverzertifikat für die HTTPS-Verbindung validieren kann. Threat Defense unterstützt jeden DDNS-Server, der die DynDNS Remote API-Spezifikation (https://help.dyn.com/remote-access-api/)
Seite 67 Configuration done with option to allow manager access from any network, if you wish to change the manager access network use the 'client' option in the command 'configure network management-data-interface'. Setting IPv4 network configuration. Network settings changed. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 68 Beobachten Sie die Betriebs-LED und die Status-LED, um sicherzustellen, dass das Chassis ausgeschaltet ist (unbeleuchtet). c) Nachdem das Chassis erfolgreich ausgeschaltet wurde, können Sie den Netzstecker ziehen, um die Stromversorgung des Chassis bei Bedarf physisch zu trennen. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 69: Installation In Der Zweigstelle
Verkabeln Sie Ihre internen Endpunkte mit den Switch-Ports (Ethernet1/2 bis 1/8). Schritt 4 (optional) Verbinden Sie den Management-Computer mit dem Konsolenport. In der Zweigstelle ist die Konsolenverbindung für den täglichen Gebrauch nicht erforderlich. Sie kann jedoch zur Fehlerbehebung erforderlich sein. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 70: Einschalten Des Geräts
Schnittstelle aus auf das Internet zugreifen kann, können Sie das Threat Defense-System beim Management Center registrieren und die Konfiguration des Geräts abschließen. Anmelden bei Management Center Verwenden Sie das Management Center, um Threat Defense zu konfigurieren und zu überwachen. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 71 Stellen Sie sicher, dass Ihr Smart Licensing-Konto die verfügbaren Lizenzen enthält, die Sie benötigen. Wenn Sie Ihr Gerät bei Cisco oder einem Fachhändler gekauft haben, sollten Ihre Lizenzen mit Ihrem Smart Software License-Konto verknüpft sein. Wenn Sie jedoch selbst Lizenzen hinzufügen müssen, verwenden Sie das Suchfeld Find Products and Solutions (Produkte und Lösungen suchen) im...
Seite 72: Bestellanleitung Für Cisco
Registrieren Sie Threat Defense manuell mit der IP-Adresse des Geräts oder dem Host-Namen beim Management Center. Vorbereitungen • Sammeln Sie die folgenden Informationen, die Sie in der Threat Defense-Erstkonfiguration festgelegt haben: • Threat Defense-Management-IP-Adresse oder -Host-Name und NAT-ID • Management Center-Registrierungsschlüssel Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 73 Sie jedoch die IP-Adresse oder den Hostnamen für den Threat Defense angeben. • Display Name (Anzeigename): Geben Sie den Namen für Threat Defense ein, der im Management Center angezeigt werden soll. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 74 Gerät Ereignismetadateninformationen und Paketdaten zur Untersuchung an Management Center. Wenn Sie die Option deaktivieren, werden nur Ereignisinformationen an Management Center gesendet, aber keine Paketdaten. Schritt 3 Klicken Sie auf Register (Registrieren). und bestätigen Sie die erfolgreiche Registrierung. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 75 Switch-Ports auch anderen VLANs zuweisen oder Switch-Ports in Firewall-Schnittstellen konvertieren. In einer typischen Edge-Routing-Situation beziehen Sie die Adresse der externen Schnittstelle über DHCP von Ihrem ISP, während Sie statische Adressen für die Schnittstellen im Inneren (internen Schnittstellen) definieren. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 76 Aktivieren Sie die Schnittstelle, indem Sie das Kontrollkästchen Enabled (Aktiviert) markieren. c) (optional) Ändern Sie die VLAN-ID; der Standardwert ist 1. Als Nächstes fügen Sie eine VLAN-Schnittstelle hinzu, die dieser ID entspricht. d) Klicken Sie auf OK. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 77 Sie auch jeden Switch-Port bearbeiten, damit er auf die neue VLAN-ID gesetzt ist. Sie können die VLAN-ID nicht mehr ändern, nachdem Sie die Schnittstelle gespeichert haben. Die VLAN-ID ist sowohl der verwendete VLAN-Tag als auch die Schnittstellen-ID in Ihrer Konfiguration. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 78 Bildschirm jedoch für Richtlinien bezüglich des Durchgangs-Traffics konfigurieren. a) Wählen Sie in der Dropdown-Liste Security Zone (Sicherheitszone) eine vorhandene externe Sicherheitszone aus, oder fügen Sie eine neue hinzu, indem Sie auf New (Neu) klicken. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 79 Konfigurieren von NAT Konfigurieren von NAT Eine typische NAT-Regel konvertiert interne Adressen in einen Port an der IP-Adresse der externen Schnittstelle. Diese Art von NAT-Regel wird als Interface Port Address Translation (PAT) bezeichnet. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 80 • Type (Typ): Wählen Sie Dynamic (Dynamisch) aus. Schritt 5 Fügen Sie auf der Seite Interface Objects (Schnittstellenobjekte) die externe Zone aus dem Bereich Available Interface Objects (Verfügbare Schnittstellenobjekte) im Bereich Destination Interface Objects (Zielschnittstellenobjekte) hinzu. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 81 ), um ein Netzwerkobjekt für den gesamten IPv4-Traffic (0.0.0.0/0) hinzuzufügen. Sie können das systemdefinierte Objekt any-ipv4 nicht verwenden, da Auto-NAT-Regeln Hinweis NAT als Teil der Objektdefinition hinzufügen, und Sie können systemdefinierte Objekte nicht bearbeiten. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 82: Zulassen Des Traffics Von Innen Nach Außen
Sie auf Bearbeiten ( ) für die Zugriffskontrollrichtlinie, die dem Threat Defense zugewiesen ist. Schritt 2 Klicken Sie auf Add Rule (Regel hinzufügen), und legen Sie die folgenden Parameter fest: • Name: Geben Sie dieser Regel einen Namen, z. B. inside_to_outside. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 83: Konfigurieren Von Ssh Auf Der Managerzugriffsdatenschnittstelle
Standardmäßig konfigurieren Sie die Standardroute bei der Ersteinrichtung über die Management-Schnittstelle. Um SSH zu verwenden, benötigen Sie auch keine Zugriffsregel, die die Host-IP-Adresse zulässt. Sie müssen nur den SSH-Zugriff gemäß diesem Abschnitt konfigurieren. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 84 • Security Zones (Sicherheitszonen): Fügen Sie die Zonen hinzu, die die Schnittstellen enthalten, zu denen Sie SSH-Verbindungen zulassen. Für Schnittstellen, die sich nicht in einer Zone befinden, können Sie den Schnittstellennamen in das Feld unter der Liste „Selected Security Zone“ (Ausgewählte Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 85: Bereitstellen Der Konfiguration
Klicken Sie entweder auf Deploy All (Alle bereitstellen), um die Bereitstellung auf allen Geräten durchzuführen, oder auf Advanced Deploy (Erweiterte Bereitstellung), um die Bereitstellung auf ausgewählten Geräten durchzuführen. Abbildung 22: Alle bereitstellen Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 86 Adresse auf einer Datenschnittstelle verbinden, wenn Sie die Schnittstelle für SSH-Verbindungen öffnen. Der SSH-Zugriff auf Datenschnittstellen ist standardmäßig deaktiviert. Dieses Verfahren beschreibt den Konsolenportzugriff, der standardmäßig auf die FXOS-CLI-CLI eingestellt ist. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 87 Verbinden Sie Ihren Management-Computer mit dem Konsolenport, um sich bei der CLI anzumelden. Firepower 1000 wird mit einem seriellen USB-A-zu-B-Kabel ausgeliefert. Stellen Sie sicher, dass Sie alle erforderlichen seriellen USB-Treiber für Ihr Betriebssystem installieren (siehe Firepower 1010 -Hardwarehandbuch). Der Konsolenport ist standardmäßig auf die FXOS-CLI-CLI eingestellt. Verwenden Sie die folgenden seriellen Einstellungen: •...
Seite 88: Fehlerbehebung In Bezug Auf Die Managementkonnektivität Auf Einer Datenschnittstelle
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC Anzeigen der Threat Defense-Netzwerkinformationen Zeigen Sie in der Threat Defense-CLI die Netzwerkeinstellungen der Management- und Management Center-Zugriffsdatenschnittstellen an: show network Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 89 Überprüfen Sie in der Threat Defense-CLI, ob die Management Center-Registrierung abgeschlossen wurde. Beachten Sie, dass dieser Befehl nicht den aktuellen Status der Managementverbindung anzeigt. show managers > show managers Type : Manager Host : 10.89.5.35 Registration : Completed > Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 90 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec Control Point Interface States: Interface number is 14 Interface config status is active Interface state is active Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 91 Management > FMC Access Details > CLI Output (Geräte > Gerätemanagement > Gerät > Management > FMC-Zugriffsdetails > CLI-Ausgabe). show running-config sftunnel > show running-config sftunnel sftunnel interface outside sftunnel port 8305 show running-config ip-client Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 92: Überprüfen Der Management Center-Protokolldateien
RBD_DDNS not available Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020 Status : Success FQDN : domain.example.org IP addresses : 209.165.200.225 Überprüfen der Management Center-Protokolldateien Weitere Informationen finden Sie unter https://cisco.com/go/fmc-reg-error. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 93: Rollback Der Konfiguration Bei Unterbrochener Management Center-Konnektivität
Beschreibung gängiger Bereitstellungsprobleme. In einigen Fällen kann das Rollback fehlschlagen, nachdem der Management Center-Zugriff wiederhergestellt wurde. In diesem Fall können Sie die Management Center-Konfigurationsprobleme lösen und die Bereitstellung über Management Center erneut durchführen. Beispiel: Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 94 Bestätigen Sie bei Aufforderung, dass Sie das Gerät herunterfahren möchten. Schritt 6 Wenn Sie über eine Konsolenverbindung zur Firewall verfügen, prüfen Sie die Systemaufforderungen, wenn die Firewall heruntergefahren wird. Die folgende Aufforderung wird angezeigt: System is stopped. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 95 Um die Konfiguration von Threat Defense fortzusetzen, lesen Sie die Dokumente, die für Ihre Softwareversion verfügbar sind. Siehe Navigation in der Cisco Firepower-Dokumentation. Informationen zur Verwendung des Management Center finden Sie im Konfigurationsleitfaden für Firepower Management Center. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 96 Threat Defense-Bereitstellung mit einem Remote-Management Center Nächste Schritte Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 97: Threat Defense Bereitstellung Mit Device Manager
System (FXOS) aus. Die Firewall unterstützt die FXOS-Secure Firewall Chassis Manager nicht. Es wird nur in begrenztem Umfang eine CLI für Fehlerbehebungszwecke unterstützt. Weitere Informationen finden Sie unter Cisco FXOS-Leitfaden zur Fehlerbehebung für die Firepower 1000/2100-Serie mit Firepower Threat Defense. Datenschutzerklärung zur Datenerfassung: Die Firewall erfordert keine personenbezogenen Informationen und nimmt keine aktive Erfassung derartiger Informationen vor.
Seite 98: Überprüfen Der Netzwerkbereitstellung Und Standardkonfiguration, Auf Seite
Lesen Sie die folgenden Aufgaben zur Bereitstellung von Threat Defense mit Device Manager auf Ihrem Chassis. Vorkonfiguration Installieren der Firewall. Weitere Informationen finden Sie im Hardware-Installationshandbuch. Vorkonfiguration Überprüfen der Netzwerkbereitstellung und Standardkonfiguration, auf Seite Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 99: Konfigurieren Der Lizenzierung, Auf Seite
Threat Defense das gesamte Routing und die NAT für Ihre internen Netzwerke übernimmt. Falls Sie PPPoE für die externe Schnittstelle konfigurieren müssen, um eine Verbindung zu Ihrem ISP herzustellen, können Sie dies tun, nachdem Sie die Ersteinrichtung in Device Manager abgeschlossen haben. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 100 • Wenn Sie Threat Defensezu einem vorhandenen internen Netzwerk hinzufügen, müssen Sie die interne IP-Adresse ändern, damit sie sich im vorhandenen Netzwerk befindet. Die folgende Abbildung zeigt die Standardnetzwerkbereitstellung für Threat Defense mit Device Manager unter Verwendung der Standardkonfiguration. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 101: Standardkonfiguration
• (6.4) Software-Switch (Integriertes Routing und Bridging): Ethernet 1/2 bis 1/8 gehören zur Bridge Group Interface (BVI) 1 • extern: Ethernet 1/1, IP-Adresse aus IPv4-DHCP und automatische IPv6-Konfiguration • intern→extern Traffic-Fluss • Management: Management 1/1 (Management) Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 102: Konfigurationsleitfaden Für Cisco Secure Firewall Device
• DHCP-Server: Aktiviert auf der internen Schnittstelle und (nur 6.5 und früher) Management-Schnittstelle • Device Manager-Zugriff: Alle Hosts sind auf Management- und internen Schnittstellen zulässig. • NAT: Schnittstellen-PAT für sämtlichen Traffic von innen nach außen Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 103: Verkabeln Des Geräts
1/8 verfügbar. In Version 6.4 sind Ethernet1/2 bis 1/8 als Bridge-Gruppenmitglieder (Software-Switch-Ports) konfiguriert. PoE+ ist nicht verfügbar. Die Erstverkabelung ist bei beiden Versionen identisch. Verwalten Sie das Firepower 1010-System entweder auf Management 1/1 oder Ethernet 1/2 bis 1/8. Die Standardkonfiguration konfiguriert Ethernet1/1 auch als extern. Prozedur...
Seite 104: Einschalten Der Firewall
Wenn Sie das Netzkabel an die Stromversorgung anschließen, ist das Gerät automatisch eingeschaltet. Schritt 2 Prüfen Sie die Betriebs-LED auf der Rückseite oder Oberseite des Geräts; leuchtet sie dauerhaft grün, ist das Gerät eingeschaltet. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 105: (Optional) Prüfen Der Software Und Installieren Einer Neuen Version
Verfahren. Welche Version sollte ich ausführen? Cisco empfiehlt, eine Gold Star-Version auszuführen, die durch einen goldenen Stern neben der Versionsnummer auf der Software-Download-Seite gekennzeichnet ist. Sie können sich auch auf die Release-Strategie beziehen, die in https://www.cisco.com/c/en/us/products/collateral/security/firewalls/...
Seite 106: Handbuch Zur Fxos-Fehlerbehebung
Wenn Sie die Standard-Management-IP-Adresse nicht verwenden können, können Sie eine Verbindung zum Konsolenport herstellen und die Ersteinrichtung über die CLI durchführen. Dies umfasst auch die Festlegung der Management-IP-Adresse, des Gateways und anderer grundlegender Netzwerkeinstellungen. Sie können Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 107 Stellen Sie eine Verbindung zur Threat Defense-CLI her. connect ftd Beispiel: firepower# connect ftd > Schritt 3 Wenn Sie sich zum ersten Mal bei Threat Defense anmelden, werden Sie aufgefordert, den Endbenutzerlizenzvertrag (EULA). Anschließend wird das CLI-Einrichtungsskript angezeigt. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 108 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1 Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect.
Seite 109: Anmelden Bei Device Manager
• Eine Zugriffsregel, die dem gesamten Traffic vertraut, der von innen nach außen gerichtet ist. • Eine Schnittstellen-NAT-Regel, die den gesamten Traffic von innen nach außen in eindeutige Ports an der IP-Adresse der externen Schnittstelle übersetzt. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 110 Firewall Hostname (Firewall-Host-Name): Der Host-Name für die Managementadresse des Systems. Schritt 3 Konfigurieren Sie die Systemzeiteinstellungen, und klicken Sie auf Next (Weiter). a) Time Zone (Zeitzone): Wählen Sie die Zeitzone für das System aus. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 111: Konfigurieren Der Lizenzierung
Manager, auf Seite 115. Konfigurieren der Lizenzierung Threat Defense verwendet Cisco Smart Software Licensing, mit dem Sie einen Lizenzpool zentral erwerben und verwalten können. Wenn Sie das Chassis registrieren, stellt der Smart Software Manager ein ID-Zertifikat für die Kommunikation zwischen dem Chassis und dem Smart Software Manager aus. Außerdem wird das Chassis dem entsprechenden virtuellen Konto zugewiesen.
Seite 112: Bestellanleitung Für Cisco
Stellen Sie sicher, dass Ihr Smart Licensing-Konto die verfügbaren Lizenzen enthält, die Sie benötigen. Wenn Sie Ihr Gerät bei Cisco oder einem Fachhändler gekauft haben, sollten Ihre Lizenzen mit Ihrem Smart Software License-Konto verknüpft sein. Wenn Sie jedoch selbst Lizenzen hinzufügen müssen, verwenden Sie das Suchfeld Find Products and Solutions (Produkte und Lösungen suchen) im...
Seite 113 Funktion später aktivieren, müssen Sie Ihr Gerät mit einem neuen Produktschlüssel erneut registrieren und das Gerät neu laden. Wenn diese Option nicht angezeigt wird, unterstützt Ihr Konto keine exportgesteuerten Funktionen. Das Token wird Ihrem Bestand hinzugefügt. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 114 Die Seite Smart License wird angezeigt. Schritt 4 Klicken Sie auf Register Device (Gerät registrieren). Befolgen Sie dann die Anweisungen im Dialogfeld Smart License Registration (Smart License-Registrierung), um Ihr Token einzufügen: Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 115 Meldung angezeigt: Nach der erfolgreichen Registrierung des Geräts und der Aktualisierung der Seite wird Folgendes angezeigt: Schritt 6 Klicken Sie bei Bedarf für jede optionale Lizenz auf das Kontrollkästchen Enable/Disable (Aktivieren/Deaktivieren). Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 116 Threat Defense Bereitstellung mit Device Manager Konfigurieren der Lizenzierung • Enable (Aktivieren): Registriert die Lizenz bei Ihrem Cisco Smart Software Manager-Konto und aktiviert die gesteuerten Funktionen. Sie können jetzt Richtlinien konfigurieren und bereitstellen, die durch die Lizenz gesteuert werden. • Disable (Deaktivieren): Hebt die Registrierung der Lizenz bei Ihrem Cisco Smart Software Manager-Konto auf und deaktiviert die gesteuerten Funktionen.
Seite 117: Konfigurieren Der Firewall In Device Manager
Im folgenden Beispiel wird eine Schnittstelle als „demilitarisierte Zone“ (DMZ) konfiguriert, in der Sie öffentlich zugängliche Ressourcen wie Ihren Webserver platzieren. Wenn Sie fertig sind, klicken Sie auf Save (Speichern). Abbildung 30: Bearbeiten der Schnittstelle Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 118 Sie können auch die WINS- und DNS-Liste, die den Clients zur Verfügung gestellt wird, auf der Registerkarte Configuration (Konfiguration) anpassen. Das folgende Beispiel veranschaulicht, wie Sie einen DHCP-Server auf der inside2-Schnittstelle mit dem Adressen-Pool 192.168.4.50-192.168.4.240 einrichten. Abbildung 32: DHCP-Server Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 119 Traffic von einer internen Zone zu einer anderen internen Zone zuzulassen. Wenn Sie andere Sicherheitszonen hinzufügen, benötigen Sie Regeln, um Traffic zu und von diesen Zonen zuzulassen. Dies wären Ihre minimalen Änderungen. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 120 Zone (dmz-zone) in der Zugriffskontrollrichtlinie zugelassen wird. In diesem Beispiel sind auf keiner der anderen Registerkarten Optionen festgelegt, mit Ausnahme der Registerkarte Logging, bei der die Option At End of Connection (Am Ende der Verbindung) ausgewählt ist. Abbildung 34: Zugriffskontrollrichtlinie Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 121: Zugriff Auf Die Threat Defense- Und Fxos-Cli
Verbinden Sie Ihren Management-Computer mit dem Konsolenport, um sich bei der CLI anzumelden. Firepower 1000 wird mit einem seriellen USB-A-zu-B-Kabel ausgeliefert. Stellen Sie sicher, dass Sie alle erforderlichen seriellen USB-Treiber für Ihr Betriebssystem installieren (siehe Firepower 1010 -Hardwarehandbuch). Der Konsolenport ist standardmäßig auf die FXOS-CLI-CLI eingestellt. Verwenden Sie die folgenden seriellen Einstellungen: •...
Seite 122: Anzeigen Von Hardwareinformationen
Zugriff auf die Threat Defense- und FXOS-CLI, auf Seite 119. Prozedur Schritt 1 Um das Hardwaremodell des Geräts anzuzeigen, verwenden Sie den Befehl show model. > show model Beispiel: Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 123: Ausschalten Der Firewall
Diese Informationen werden auch in der Ausgabe von show version system, show running-config und show inventory angezeigt. Schritt 3 Verwenden Sie den Befehl show inventory, um Informationen zu allen im Netzwerkgerät installierten Cisco Produkten anzuzeigen, denen eine Produkt-ID (PID), eine Versions-ID (VID) und eine Seriennummer (SN) zugewiesen sind.
Seite 124 Überwachen Sie die System-Eingabeaufforderungen, während die Firewall heruntergefahren wird. Die folgende Aufforderung wird angezeigt: System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N] Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 125: Nächste Schritte
Um die Konfiguration von Threat Defense fortzusetzen, lesen Sie die Dokumente, die für Ihre Softwareversion verfügbar sind. Siehe Navigation in der Cisco Firepower-Dokumentation. Informationen zur Verwendung des Device Manager finden Sie unter Cisco Firepower Threat Defense – Konfigurationsleitfaden für Firepower Device Manager. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 126 Threat Defense Bereitstellung mit Device Manager Nächste Schritte Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 127: Threat Defense-Bereitstellung Mit Cdo
System (FXOS) aus. Die Firewall unterstützt die FXOS-Secure Firewall Chassis Manager nicht. Es wird nur in begrenztem Umfang eine CLI für Fehlerbehebungszwecke unterstützt. Weitere Informationen finden Sie unter Cisco FXOS-Leitfaden zur Fehlerbehebung für die Firepower 1000/2100-Serie mit Firepower Threat Defense. Datenschutzerklärung zur Datenerfassung: Die Firewall erfordert keine personenbezogenen Informationen und nimmt keine aktive Erfassung derartiger Informationen vor.
Seite 128: Informationen Zu Threat Defense Management Über Cdo
Die Management-Schnittstelle ist eine spezielle Schnittstelle, die separat von Threat Defense-Datenschnittstellen konfiguriert wird und über eigene Netzwerkeinstellungen verfügt. Die Netzwerkeinstellungen der Management-Schnittstelle werden weiterhin verwendet, auch wenn Sie den Managerzugriff auf einer Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 129 Sie fügen mit dem Befehl configure network static-routes eine statische Route für die Management-Schnittstelle hinzu. Vollständiges Verfahren: Low-Touch Provisioning Mit den folgenden Aufgaben können Sie Threat Defense mit CDO auf Ihrem Chassis mithilfe von Low-Touch Provisioning bereitstellen. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 130 Aufgaben in der Weitergeben der Firewall-Seriennummer an den Administrator in der Zentrale, Zweigstelle auf Seite 137 (Zweigstellenadmin) Aufgaben in der Installieren der Firewall. Weitere Informationen finden Sie im Zweigstelle Hardware-Installationshandbuch. (Zweigstellenadmin) Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 131 Onboarding eines Geräts mit Low-Touch Provisioning, auf Seite 140 (CDO-Admin) Konfigurieren einer Basissicherheitsrichtlinie, auf Seite 155 (CDO-Admin) Vollständiges Verfahren: Onboarding-Assistent Lesen Sie die folgenden Aufgaben, um den Threat Defense mit dem Onboarding-Assistenten zu integrieren. Abbildung 36: Vollständiges Verfahren: Onboarding-Assistent Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 132: Abrufen Von Lizenzen
• Threat: Security Intelligence und Next-Generation IPS • Malware: MalwareDefense • URL: URL-Filterung • RA VPN: AnyConnect Plus, AnyConnect Apex oder AnyConnect VPN Only. Nähere Informationen über die Lizenzierung bei Cisco erhalten Sie unter cisco.com/go/licensingguide Vorbereitungen • Sie müssen über ein Masterkonto bei Smart Software Manager verfügen.
Seite 133 Stellen Sie sicher, dass Ihr Smart Licensing-Konto die verfügbaren Lizenzen enthält, die Sie benötigen. Wenn Sie Ihr Gerät bei Cisco oder einem Fachhändler gekauft haben, sollten Ihre Lizenzen mit Ihrem Smart Software License-Konto verknüpft sein. Wenn Sie jedoch selbst Lizenzen hinzufügen müssen, verwenden Sie das Suchfeld Find Products and Solutions (Produkte und Lösungen suchen) im...
Seite 134 Verfahren. Welche Version sollte ich ausführen? Cisco empfiehlt, eine Gold Star-Version auszuführen, die durch einen goldenen Stern neben der Versionsnummer auf der Software-Download-Seite gekennzeichnet ist. Sie können sich auch auf die Release-Strategie beziehen, die in https://www.cisco.com/c/en/us/products/collateral/security/firewalls/...
Seite 135: Anmeldung Bei Cdo
Bedarf von Duo Security generiert wird. Nachdem Sie Ihre Cisco Secure Sign-On-Anmeldeinformationen eingerichtet haben, können Sie sich über Ihr Cisco Secure Sign-On-Dashboard bei CDO anmelden. Über das Cisco Secure Sign-On-Dashboard können Sie sich auch bei allen anderen unterstützten Cisco Produkten anmelden.
Seite 136 Klicken Sie unten auf dem Anmeldebildschirm auf Sign up (Anmelden). Abbildung 38: Cisco SSO-Anmeldung c) Füllen Sie die Felder im Dialogfeld Create Account (Konto erstellen) aus, und klicken Sie auf Register (Registrieren). Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 137 Geben Sie die E-Mail-Adresse ein, mit der Sie sich bei CDO anmelden möchten, und fügen Sie einen Organisationsnamen hinzu, der Ihr Unternehmen repräsentiert. d) Nachdem Sie auf Register (Registrieren) geklickt haben, sendet Cisco Ihnen eine Bestätigungs-E-Mail an die Adresse, unter der Sie sich registriert haben. Öffnen Sie die E-Mail, und klicken Sie auf Activate Account (Konto aktivieren).
Seite 138: Anmeldung Bei Cdo Mit Cisco Secure Sign-On
Cisco Defense Orchestrator (CDO) verwendet Cisco Secure Sign-On als Identitätsanbieter und Duo Security für die Multi-Faktor-Authentifizierung (MFA). • Um sich bei CDO anzumelden, müssen Sie zunächst Ihr Konto in Cisco Secure Sign-On erstellen und MFA mit Duo konfigurieren. Weitere Informationen hierzu finden Sie unter...
Seite 139: Bereitstellen Der Firewall Mit Low-Touch Provisioning
Firewall einschalten. Sie sollten sich auch mit dem Chassis-Layout, den Komponenten und den LEDs vertraut machen. Schritt 2 Notieren Sie die Seriennummer der Firewall. Die Seriennummer befindet sich auf der Verpackung. Sie befindet sich auch auf einem Aufkleber an der Unterseite des Firewall-Chassis. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 140: Verkabeln Der Firewall
Arbeiten Sie gemeinsam mit dem CDO-Administrator einen Onboarding-Zeitrahmen aus. Verkabeln der Firewall In diesem Thema wird beschrieben, wie Sie das Firepower 1010-Gerät mit Ihrem Netzwerk verbinden, damit es von CDO verwaltet werden kann. Wenn Sie in Ihrer Zweigstelle eine Firewall erhalten haben und diese an Ihr Netzwerk anschließen möchten, sehen Sie sich dieses Video an.
Seite 141 Prüfen Sie die Status-LED auf der Rückseite oder Oberseite des Geräts; wenn sie dauerhaft grün leuchtet, hat das System die Einschaltdiagnose durchlaufen. Schritt 4 Beobachten Sie die Status-LED auf der Rückseite oder Oberseite des Geräts. Wenn das Gerät ordnungsgemäß bootet, blinkt die Status-LED schnell grün. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 142: Onboarding Eines Geräts Mit Low-Touch Provisioning
Cisco Cloud herstellt, blinkt die Status-LED langsam grün. Falls ein Problem besteht, blinkt die Status-LED gelb und grün. In diesem Fall hat das Gerät die Cisco Cloud nicht erreicht. Stellen Sie in diesem Fall sicher, dass das Netzwerkkabel mit der Ethernet 1/1-Schnittstelle und dem WAN-Modem verbunden ist.
Seite 143: Bereitstellen Der Firewall Für Den Onboarding-Assistenten
In diesem Abschnitt wird beschrieben, wie Sie die Firewall für das Onboarding mithilfe des CDO-Onboarding-Assistenten konfigurieren. Verkabeln der Firewall In diesem Thema wird beschrieben, wie Sie das Firepower 1010-Gerät mit Ihrem Netzwerk verbinden, damit es von CDO verwaltet werden kann. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 144 Schritt 3 Verkabeln Sie Ihre internen Endpunkte mit den Switch-Ports (Ethernet1/2 bis 1/8). Ethernet 1/7 und 1/8 sind PoE+-Ports. Schritt 4 Verbinden Sie den Management-Computer mit dem Konsolenport oder einer internen Schnittstelle. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 145: Onboarding Eines Geräts Mit Dem Onboarding-Assistenten
Prüfen Sie die Status-LED auf der Rückseite oder Oberseite des Geräts; wenn sie dauerhaft grün leuchtet, hat das System die Einschaltdiagnose durchlaufen. Onboarding eines Geräts mit dem Onboarding-Assistenten Onboarding des Threat Defense mit dem Onboarding-Assistenten mithilfe eines CLI-Registrierungsschlüssels Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 146 Durchführen der Startkonfiguration über die Device Manager, auf Seite 150: Kopieren Sie die Teile des Befehls cdo_hostname, registration_key und nat_id in die Felder Management Center/CDO-Hostname/IP-Adresse, Management Center/CDO-Registrierungsschlüssel und NAT-ID. Beispiel: Beispielbefehl für die CLI-Einrichtung: Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 147: Durchführen Der Erstkonfiguration
Melden Sie sich mit dem Benutzernamen admin und dem Kennwort Admin123 an. Wenn Sie sich zum ersten Mal bei FXOS anmelden, werden Sie aufgefordert, das Kennwort zu ändern. Dieses Kennwort wird auch zur Threat Defense-Anmeldung für SSH verwendet. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 148 Management konfigurieren, wenn die Management-Schnittstelle auf DHCP eingestellt ist, da die Standardroute, bei der es sich um data-interfaces handeln muss (siehe nächster Punkt), mit einer vom DHCP-Server empfangenen Route überschrieben werden könnte. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 149 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect.
Seite 150 Wiederherstellen der vorherigen Bereitstellung. • Wenn Sie eine DDNS-Server-Update-URL konfigurieren, fügt Threat Defense automatisch Zertifikate für alle wichtigen Zertifizierungsstellen aus dem Cisco Trusted Root CA-Paket hinzu, damit Threat Defense das DDNS-Serverzertifikat für die HTTPS-Verbindung validieren kann. Threat Defense unterstützt jeden DDNS-Server, der die DynDNS Remote API-Spezifikation (https://help.dyn.com/remote-access-api/)
Seite 151 Identifizieren Sie das CDO, das Threat Defense verwaltet, mit dem vom CDO generierten Befehl configure manager add. Siehe Onboarding eines Geräts mit dem Onboarding-Assistenten, auf Seite 143, um den Befehl zu generieren. Beispiel: > configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com Manager successfully configured. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 152: Durchführen Der Startkonfiguration Über Die Device Manager
Configure IPv6 (IPv6 konfigurieren): Die IPv6-Adresse für die externe Schnittstelle. Sie können DHCP verwenden oder eine statische IP-Adresse, ein Präfix und ein Gateway manuell eingeben. Sie können auch Off (Aus) auswählen, wenn keine IPv6-Adresse konfiguriert werden soll. 2. Management-Schnittstelle Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 153 Konfigurieren der Firewall in Device Manager, auf Seite 115 finden Sie weitere Informationen zum Konfigurieren von Schnittstellen in Device Manager. Andere Device Manager-Konfigurationen werden nicht beibehalten, wenn Sie das Gerät bei CDO registrieren. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 154 Schritt 6 Wählen Sie Device > System Settings > Central Management, und klicken Sie auf Proceed (Fortfahren), um das Management Center-Management einzurichten. Schritt 7 Konfigurieren der Management Center-/CDO-Details. Abbildung 47: Management Center-/CDO-Details Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 155 Sie können jede konfigurierte Schnittstelle auswählen, aber in diesem Handbuch wird davon ausgegangen, dass Sie „outside“ verwenden. Schritt 9 Wenn Sie eine andere externe Datenschnittstelle ausgewählt haben, fügen Sie eine Standardroute hinzu. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 156 Wenn Sie DDNS konfigurieren, bevor Sie Threat Defense zu CDO hinzufügen, fügt Threat Defense automatisch Zertifikate für alle wichtigen Zertifizierungsstellen aus dem Cisco Trusted Root CA-Paket hinzu, damit Threat Defense das DDNS-Serverzertifikat für die HTTPS-Verbindung validieren kann. Threat Defense unterstützt jeden DDNS-Server, der die DynDNS Remote API-Spezifikation (https://help.dyn.com/remote-access-api/)
Seite 157: Konfigurieren Einer Basissicherheitsrichtlinie
Adresse und eine externe Schnittstelle im Modus „geroutet“ unter Verwendung von DHCP (Ethernet1/1) konfiguriert. Prozedur Schritt 1 Wählen Sie Devices > Device Management (Geräte > Gerätemanagement), und klicken Sie für das Gerät auf Bearbeiten ( ). Schritt 2 Klicken Sie auf Interfaces (Schnittstellen). Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 158 Klicken Sie auf OK. Schritt 5 Fügen Sie die interne VLAN-Schnittstelle hinzu. a) Klicken Sie auf Add Interfaces > VLAN Interface (Schnittstellen hinzufügen > VLAN-Schnittstelle). Die Registerkarte General (Allgemein) wird geöffnet. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 159 Klicken Sie auf die Registerkarte IPv4 und/oder IPv6. • IPv4: Wählen Sie in der Dropdown-Liste Use Static IP (Statische IP verwenden) aus, und geben Sie eine IP-Adresse und eine Subnetzmaske in der Schreibweise mit Schrägstrichen ein. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 160 Wählen Sie in der Dropdown-Liste Security Zone (Sicherheitszone) eine vorhandene externe Sicherheitszone aus, oder fügen Sie eine neue hinzu, indem Sie auf New (Neu) klicken. Fügen Sie beispielsweise eine Zone mit dem Namen outside_zone hinzu. b) Klicken Sie auf OK. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 161: Konfigurieren Des Dhcp-Servers
Schnittstelle. Diese Art von NAT-Regel wird als Interface Port Address Translation (PAT) bezeichnet. Prozedur Schritt 1 Wählen Sie Devices > NAT (Geräte > NAT), und klicken Sie auf New Policy > Threat Defense NAT (Neue Richtlinie > Threat Defense-NAT). Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 162 • Type (Typ): Wählen Sie Dynamic (Dynamisch) aus. Schritt 5 Fügen Sie auf der Seite Interface Objects (Schnittstellenobjekte) die externe Zone aus dem Bereich Available Interface Objects (Verfügbare Schnittstellenobjekte) im Bereich Destination Interface Objects (Zielschnittstellenobjekte) hinzu. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 163 ), um ein Netzwerkobjekt für den gesamten IPv4-Traffic (0.0.0.0/0) hinzuzufügen. Sie können das systemdefinierte Objekt any-ipv4 nicht verwenden, da Auto-NAT-Regeln Hinweis NAT als Teil der Objektdefinition hinzufügen, und Sie können systemdefinierte Objekte nicht bearbeiten. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 164 Sie auf Bearbeiten ( ) für die Zugriffskontrollrichtlinie, die dem Threat Defense zugewiesen ist. Schritt 2 Klicken Sie auf Add Rule (Regel hinzufügen), und legen Sie die folgenden Parameter fest: • Name: Geben Sie dieser Regel einen Namen, z. B. inside_to_outside. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 165 Standardmäßig konfigurieren Sie die Standardroute bei der Ersteinrichtung über die Management-Schnittstelle. Um SSH zu verwenden, benötigen Sie auch keine Zugriffsregel, die die Host-IP-Adresse zulässt. Sie müssen nur den SSH-Zugriff gemäß diesem Abschnitt konfigurieren. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 166 • Security Zones (Sicherheitszonen): Fügen Sie die Zonen hinzu, die die Schnittstellen enthalten, zu denen Sie SSH-Verbindungen zulassen. Für Schnittstellen, die sich nicht in einer Zone befinden, können Sie den Schnittstellennamen in das Feld unter der Liste „Selected Security Zone“ (Ausgewählte Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 167 Klicken Sie entweder auf Deploy All (Alle bereitstellen), um die Bereitstellung auf allen Geräten durchzuführen, oder auf Advanced Deploy (Erweiterte Bereitstellung), um die Bereitstellung auf ausgewählten Geräten durchzuführen. Abbildung 51: Alle bereitstellen Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 168: Fehlerbehebung Und Wartung
Adresse auf einer Datenschnittstelle verbinden, wenn Sie die Schnittstelle für SSH-Verbindungen öffnen. Der SSH-Zugriff auf Datenschnittstellen ist standardmäßig deaktiviert. Dieses Verfahren beschreibt den Konsolenportzugriff, der standardmäßig auf die FXOS-CLI-CLI eingestellt ist. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 169 Verbinden Sie Ihren Management-Computer mit dem Konsolenport, um sich bei der CLI anzumelden. Firepower 1000 wird mit einem seriellen USB-A-zu-B-Kabel ausgeliefert. Stellen Sie sicher, dass Sie alle erforderlichen seriellen USB-Treiber für Ihr Betriebssystem installieren (siehe Firepower 1010 -Hardwarehandbuch). Der Konsolenport ist standardmäßig auf die FXOS-CLI-CLI eingestellt. Verwenden Sie die folgenden seriellen Einstellungen: •...
Seite 170 Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC Anzeigen der Threat Defense-Netzwerkinformationen Zeigen Sie in der Threat Defense-CLI die Netzwerkeinstellungen der Management- und -Managerzugriffsdatenschnittstellen an: show network Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 171 Sie, dass dieser Befehl nicht den aktuellen Status der Managementverbindung anzeigt. show managers > show managers Type : Manager Host : account1.app.us.cdo.cisco.com Display name : account1.app.us.cdo.cisco.com Identifier : f7ffad78-bf16-11ec-a737-baa2f76ef602 Registration : Completed Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 172 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec Control Point Interface States: Interface number is 14 Interface config status is active Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 173 Manager Access - Configuration Details > CLI Output (Geräte > Gerätemanagement > Gerät > Management > Managerzugriff − Konfigurationsdetails > CLI-Ausgabe). show running-config sftunnel > show running-config sftunnel sftunnel interface outside sftunnel port 8305 Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 174: Überprüfen Sie Die Cdo-Protokolldateien
RBD_DDNS not available Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020 Status : Success FQDN : domain.example.org IP addresses : 209.165.200.225 Überprüfen Sie die CDO-Protokolldateien Weitere Informationen finden Sie unter https://cisco.com/go/fmc-reg-error. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 175: Rollback Der Konfiguration Bei Unterbrochener Cdo-Konnektivität
Für den Threat Defense, der eine Datenschnittstelle für den Managerzugriff verwendet: > configure policy rollback The last deployment to this FTD was on June 1, 2022 and its status was Successful. Do you want to continue [Y/N]? Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 176: Ausschalten Der Firewall Mit Cdo
It is safe to power off now. Do you want to reboot instead? [y/N] Wenn Sie keine Konsolenverbindung haben, warten Sie etwa 3 Minuten, um sicherzustellen, dass das System heruntergefahren wurde. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 177 Sie können jetzt den Netzstecker ziehen, um die Stromversorgung des Chassis bei Bedarf physisch zu trennen. Nächste Schritte Um mit der Konfiguration von Threat Defense mit CDO fortzufahren, besuchen Sie die Cisco Defense Orchestrator-Homepage. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 178 Threat Defense-Bereitstellung mit CDO Nächste Schritte Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 179: Asa-Bereitstellung Mit Asdm
System (FXOS) aus. Die Firewall unterstützt die FXOS-Secure Firewall Chassis Manager nicht. Es wird nur in begrenztem Umfang eine CLI für Fehlerbehebungszwecke unterstützt. Weitere Informationen finden Sie unter Cisco FXOS-Leitfaden zur Fehlerbehebung für die Firepower 1000/2100-Serie mit Firepower Threat Defense. Datenschutzerklärung zur Datenerfassung: Die Firewall erfordert keine personenbezogenen Informationen und nimmt keine aktive Erfassung derartiger Informationen vor.
Seite 180: Informationen Zur Asa
• CLI • CDO: Vereinfachter Cloud-basierter Manager für mehrere Geräte (Multi-Device Manager). • Cisco Security Manager: Ein Manager für mehrere Geräte auf einem separaten Server. Sie können zur Fehlerbehebung auch auf die FXOS-CLI zugreifen. Nicht unterstützte Funktionen Allgemeine nicht unterstützte ASA-Funktionen Die folgenden ASA-Funktionen werden von Firepower 1010 nicht unterstützt:...
Seite 181: Migrieren Einer Asa 5500-X-Konfiguration
1. Um die Konfiguration zu kopieren, geben Sie den Befehl more system:running-config auf der ASA 5500-X ein. 2. Bearbeiten Sie die Konfiguration nach Bedarf (siehe unten). 3. Verbinden Sie sich im Appliance-Modus mit dem Konsolenport von Firepower 1010, und wechseln Sie in den globalen Konfigurationsmodus: ciscoasa> enable Password: The enable password is not set.
Seite 182 Stellen Sie sicher, dass Sie die Schnittstellen-IDs so ändern, dass sie mit den neuen Hardware-IDs übereinstimmen. Beispiel: ASA 5525-X umfasst Management 0/0 und GigabitEthernet 0/0 bis 0/5. Firepower 1120 umfasst Management 1/1 und Ethernet 1/1 bis 1/8. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 183 FXOS verwalteten Festplatte0). Das neue Image wird geladen, wenn Sie die ASA neu laden. Vollständiges Verfahren Befolgen Sie die folgenden Aufgaben, um die ASA auf Ihrem Chassis bereitzustellen und zu konfigurieren. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 184 Überprüfen der Netzwerkbereitstellung und Standardkonfiguration, auf Seite Vorkonfiguration Verkabeln des Geräts, auf Seite 186 Vorkonfiguration Einschalten der Firewall, auf Seite 13 ASA-CLI (Optional) Ändern der IP-Adresse, auf Seite 188 ASDM Anmeldung bei ASDM, auf Seite 189 Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 185 Konfigurieren der ASA, auf Seite 194 Überprüfen der Netzwerkbereitstellung und Standardkonfiguration Die folgende Abbildung zeigt die Standardnetzwerkbereitstellung für das Firepower 1010-System mit der Standardkonfiguration. Wenn Sie die externe Schnittstelle direkt mit einem Kabelmodem oder DSL-Modem verbinden, empfehlen wir, das Modem in den Bridge-Modus zu versetzen, damit ASA das gesamte Routing und die NAT für Ihre internen Netzwerke übernimmt.
Seite 186 ASA-Bereitstellung mit ASDM Firepower 1010-Standardkonfiguration Firepower 1010-Standardkonfiguration In der werkseitigen Standardkonfiguration für Firepower 1010 wird Folgendes konfiguriert: • Hardware-Switch: Ethernet 1/2 bis 1/8 gehören zu VLAN 1 • Traffic-Fluss intern→extern: Ethernet 1/1 (extern), VLAN1 (intern) • Management: Management 1/1 (Management), IP-Adresse 192.168.45.1 •...
Seite 187 1 interface Ethernet1/8 no shutdown switchport switchport mode access switchport access vlan 1 object network obj_any subnet 0.0.0.0 0.0.0.0 nat (any,outside) dynamic interface Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 188 DefaultDNS name-server 208.67.222.222 outside name-server 208.67.220.220 outside Verkabeln des Geräts Verwalten Sie das Firepower 1010-System entweder auf Management 1/1 oder Ethernet 1/2 bis 1/8 (interne Switch-Ports) Die Standardkonfiguration konfiguriert Ethernet 1/1 auch als extern. Prozedur Schritt 1 Installieren Sie die Hardware, und machen Sie sich mit der Hardware-Installationsanleitung vertraut.
Seite 189: Einschalten Der Firewall
Wenn Sie das Netzkabel an die Stromversorgung anschließen, ist das Gerät automatisch eingeschaltet. Schritt 2 Prüfen Sie die Betriebs-LED auf der Rückseite oder Oberseite des Geräts; leuchtet sie dauerhaft grün, ist das Gerät eingeschaltet. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 190: (Optional) Ändern Der Ip-Adresse
Clear all configuration Executing command: interface management1/1 Executing command: nameif management INFO: Security level for "management" set to 0 by default. Executing command: ip address 10.1.1.151 255.255.255.0 Executing command: security-level 100 Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 191: Anmeldung Bei Asdm
Management-Schnittstelle herstellen oder eine Verbindung zu einer Schnittstelle herstellen, die nicht für eine starke Verschlüsselungsfunktion konfiguriert ist. Vorbereitungen • Unter ASDM-Dokumentation auf Cisco.com finden Sie Infos zu den Anforderungen für die Ausführung von ASDM. Prozedur Schritt 1 Geben Sie die folgende URL in Ihren Browser ein.
Seite 192 • Security Plus: Für Aktiv/Standby-Failover • Strong Encryption (3DES/AES): Wenn Ihr Smart Account nicht für eine starke Verschlüsselung autorisiert ist, Cisco jedoch festgestellt hat, dass Sie eine starke Verschlüsselung verwenden dürfen, können Sie Ihrem Konto manuell eine Lizenz für starke Verschlüsselung hinzufügen.
Seite 193 Stellen Sie sicher, dass Ihr Smart Licensing-Konto die verfügbaren erforderlichen Lizenzen enthält, einschließlich mindestens der Standard-Lizenz. Wenn Sie Ihr Gerät bei Cisco oder einem Fachhändler gekauft haben, sollten Ihre Lizenzen mit Ihrem Smart Software Manager-Konto verknüpft sein. Wenn Sie jedoch selbst Lizenzen hinzufügen müssen, verwenden Sie das Suchfeld Find Products and Solutions (Produkte und Lösungen suchen) im...
Seite 194 Klicken Sie auf der Registerkarte General (Allgemein) auf New Token (Neues Token). c) Geben Sie im Dialogfeld Create Registration Token (Registrierungstoken erstellen) die folgenden Einstellungen ein, und klicken Sie dann auf Create Token (Token erstellen): • Beschreibung Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 195 ASA zu registrieren, die bereits registriert, aber möglicherweise nicht mit Smart Software Manager synchronisiert ist. Verwenden Sie beispielsweise Force registration (Registrierung erzwingen), wenn die ASA versehentlich aus Smart Software Manager entfernt wurde. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 196: Konfigurieren Der Asa
Sie können auch Funktionen konfigurieren, die nicht in Assistenten enthalten sind. Prozedur Schritt 1 Wählen Sie Wizards > Startup Wizard (Assistent > Startassistent), und klicken Sie auf das Optionsfeld Modify existing configuration (Vorhandene Konfiguration ändern). Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 197 (optional) Führen Sie im Menü Wizards (Assistenten) andere Assistenten aus. Schritt 4 Um die Konfiguration Ihrer ASA fortzusetzen, lesen Sie die Dokumente, die für Ihre Softwareversion verfügbar sind, siehe Navigieren der Dokumentation zur Cisco ASA-Serie. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 198: Zugriff Auf Die Asa- Und Fxos-Cli
Verbinden Sie Ihren Management-Computer mit dem Konsolenport. Firepower 1000 wird mit einem seriellen USB-A-zu-B-Kabel ausgeliefert. Stellen Sie sicher, dass Sie alle erforderlichen seriellen USB-Treiber für Ihr Betriebssystem installieren (siehe Firepower 1010 Hardwarehandbuch). Verwenden Sie die folgenden seriellen Einstellungen: • 9.600 Baud •...
Seite 199 • Um die Konfiguration von ASA fortzusetzen, lesen Sie die Dokumente, die für Ihre Softwareversion verfügbar sind, siehe Navigieren der Dokumentation zur Cisco ASA-Serie. • Informationen zur Fehlerbehebung finden Sie im FXOS-Leitfaden zur Fehlerbehebung. Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...
Seite 200 ASA-Bereitstellung mit ASDM Nächste Schritte Leitfaden zu den ersten Schritten mit Cisco Firepower 1010...

Cisco Firepower 1010 Leitfaden

Quicklinks

Fehlerbehebung

Verwandte Anleitungen für Cisco Firepower 1010

Inhaltszusammenfassung für Cisco Firepower 1010

Inhaltsverzeichnis