Cisco Firepower威胁防御（FTD）设备的高级排错与配置

图书目录:

第 1章　Cisco Firepower技术简介 1

1.1　Sourcefire的历史　1

1.1.1　Firepower的发展　2

1.1.2　FirePOWER与Firepower　3

1.2　Firepower威胁防御（FTD）　5

1.2.1　FirePOWER服务与Firepower威胁防御（FTD）　5

1.2.2　Firepower系统的软件组件　6

1.2.3　Firepower系统硬件平台　7

1.2.4　Firepower附件　8

1.3　总结　9

第　2章 ASA 5500 -X系列硬件上的FTD　10

2.1　ASA重镜像要点　10

2.2　在ASA硬件上安装FTD的最佳做法　11

2.3　安装和配置FTD　12

2.3.1　满足前提条件　12

2.3.2　更新固件　13

2.3.3　安装启动镜像　20

2.3.4　安装系统软件　25

2.4　验证和排错工具　35

2.4.1　访问FTD CLI　35

2.4.2　确认安装的软件版本　37

2.4.3　确认ASA硬件上的空闲硬盘空间　37

2.4.4　从存储设备中删除一个文件　38

2.4.5　确认存储设备或SSD的可用性　38

2.4.6　确认ROMMON软件或固件的版本　39

2.5　总结　41

2.6　测试题　41

第3章　Firepower可扩展操作系统 （FXOS）上的FTD　43

3.1　Firepower 9300和4100系列要点　43

3.1.1　架构　44

3.1.2　软件镜像　45

3.1.3　Web用户界面　47

3.2　在Firepower硬件上安装FTD的最佳做法　48

3.3　安装和配置FTD　49

3.3.1　满足前提条件　49

3.3.2　安装FTD　55

3.4　验证和排错工具　60

3.4.1　访问FTD CLI　60

3.4.2　验证FXOS软件　62

3.4.3　验证安全设备的状态　63

3.4.4　验证安全模块、适配器和交换矩阵　65

3.4.5　验证硬件机框　67

3.4.6　验证电源单元（PSU）模块　69

3.4.7　验证风扇模块　71

3.5　总结　73

3.6　测试题　73

第4章　Firepower管理中心（FMC）硬件　75

4.1　FMC组件要点　75

4.1.1　内建管理器　76

4.1.2　外置管理器　76

4.1.3　Cisco集成管理控制器（CIMC）　78

4.1.4　System_Restore镜像的内部USB存储　80

4.1.5　用户界面　80

4.2　FMC重镜像的最佳做法　81

4.2.1　安装前的最佳做法　81

4.2.2　安装后的最佳做法　83

4.3　安装和配置FMC　83

4.3.1　满足前提条件　84

4.3.2　配置步骤　85

4.4　验证和排错工具　94

4.4.1　在机架上识别FMC　94

4.4.2　确认FMC的硬件和软件详细信息　95

4.4.3　确认RAID电池状态　96

4.4.4　确认电池单元（PSU）的状态　96

4.4.5　验证风扇　99

4.5　总结　101

4.6　测试题　102

第5章　VMware上的Firepower系统虚拟化　103

5.1　FMC和FTD虚拟化要点　103

5.1.1　支持的虚拟环境　103

5.1.2　ESXi与VI　104

5.1.3　源码包中的VMware安装包　104

5.1.4　硬盘置备选项　105

5.2　Firepower虚拟化设备部署的最佳做法　105

5.2.1　部署前的最佳做法　105

5.2.2　部署后的最佳做法　107

5.3　安装和配置Firepower虚拟化设备　108

5.3.1　满足前提条件　108

5.3.2　创建虚拟化网络　110

5.3.3　部署OVF模板　117

5.3.4　初始化应用　122

5.4　验证和排错工具　124

5.4.1　确认资源分配的状态　124

5.4.2　确认网络适配器的状态　126

5.4.3　更新网络适配器　127

5.5　总结　130

5.6　测试题　130

第6章　Firepower的管理网络　131

6.1　Firepower系统管理网络要点　131

6.1.1　FTD管理接口　131

6.1.2　设计Firepower管理网络　133

6.2　管理接口配置的最佳做法　136

6.3　在FMC硬件上配置管理网络　136

6.3.1　配置选项　136

6.3.2　验证和排错工具　139

6.4　在ASA硬件上配置管理网络　141

6.4.1　配置　141

6.4.2　验证和排错工具　141

6.5　在Firepower安全设备上配置管理网络　143

6.5.1　配置FXOS管理接口　144

6.5.2　验证FXOS管理接口的配置　144

6.5.3　配置FTD管理接口　145

6.5.4　验证FTD管理接口的配置　147

6.6　总结　150

6.7　测试题　150

第7章　Firepower的许可和注册　151

7.1　许可证要点　151

7.1.1　智能许可证架构　151

7.1.2　Firepower许可证　153

7.2　许可证和注册的最佳做法　154

7.3　为Firepower系统安装许可证　154

7.3.1　许可证配置　154

7.3.2　验证智能许可证的问题　158

7.4　注册Firepower系统　160

7.4.1　注册配置　160

7.4.2　验证注册和连接　163

7.4.3　分析加密的SF隧道　168

7.5　总结　176

7.6　测试题　176

第8章　路由模式的Firepower部署　177

8.1　路由模式要点　177

8.2　路由模式配置的最佳做法　178

8.3　配置路由模式　178

8.3.1　满足前提条件　179

8.3.2　配置防火墙模式　180

8.3.3　配置路由接口　180

8.3.4　FTD作为DHCP服务器　183

8.3.5　FTD作为DHCP客户端　185

8.4　验证和排错工具　186

8.4.1　验证接口的配置　186

8.4.2　验证DHCP的设置　189

8.5　总结　191

8.6　测试题　191

第9章　透明模式的Firepower部署　192

9.1　透明模式要点　192

9.2　透明模式的最佳做法　193

9.3　配置透明模式　194

9.3.1　满足前提条件　194

9.3.2　更改防火墙模式　195

9.3.3　在二层网络中部署透明模式　195

9.3.4　在三层网络之间部署FTD设备　205

9.3.5　为SSH创建访问规则　208

9.4　总结　211

9.5　测试题　211

第　10章 捕获流量用于高级分析　213

10.1　流量捕获要点　213

10.2　捕获流量的最佳做法　214

10.3　配置Firepower系统进行流量分析　214

10.3.1　从Firepower引擎捕获流量　214

10.3.2　从防火墙引擎捕获流量　223

10.3.3　从FMC捕获流量　231

10.4　验证和排错工具　234

10.4.1　添加阻塞ICMP流量的访问规则　234

10.4.2　使用阻塞规则分析数据流　236

10.4.3　接口对数据包的处理　238

10.5　总结　239

10.6　测试题　240

第　11章 使用在线接口模式阻塞流量　241

11.1　在线模式要点　241

11.1.1　在线模式与被动模式　242

11.1.2　在线模式与透明模式　243

11.1.3　追踪丢包　243

11.2　配置在线模式的最佳做法　245

11.3　配置在线模式　245

11.3.1　满足前提条件　246

11.3.2　创建在线集　246

11.3.3　启用容错特性　259

11.3.4　阻塞指定端口　262

11.4　总结　268

11.5　测试题　269

第　12章 检测但不阻塞流量　270

12.1　流量检测要点　270

12.1.1　被动监控技术　270

12.1.2　在线、在线分流与被动　272

12.2　纯检测部署的最佳做法　274

12.3　满足前提条件　274

12.4　在线分流模式　274

12.4.1　配置在线分流模式　274

12.4.2　验证在线分流模式的配置　276

12.5　被动接口模式　278

12.5.1　配置被动接口模式　278

12.5.2　验证被动接口模式的配置　279

12.6　分析流量监控操作　281

12.6.1　分析使用阻塞行为的连接事件　282

12.6.2　通过在线结果分析入侵事件　285

12.7　总结　289

12.8　测试题　289

第　13章 处理封装流量　290

13.1　封装和预过滤策略要点　290

13.2　添加预过滤规则的最佳做法　292

13.3　满足前提条件　292

13.4　情景1：分析封装的流量　295

13.4.1　配置策略来分析封装流量　295

13.4.2　验证配置和连接　297

13.4.3　分析数据包流　300

13.5　情景2：阻塞封装的流量　305

13.5.1　配置策略来阻塞封装流量　305

13.5.2　验证配置和连接　306

13.5.3　分析数据包流　309

13.6　情景3：绕过检测　310

13.6.1　配置策略来绕过检测　310

13.6.2　验证配置和连接　314

13.6.3　分析数据包流　316

13.7　总结　318

13.8　测试题　318

第　14章 绕过检测和信任流量　320

14.1　绕过检测和信任流量要点　320

14.1.1　快速路径规则　320

14.1.2　信任规则　321

14.2　绕过检测的最佳做法　321

14.3　满足前提条件　321

14.4　通过预过滤策略实施快速路径　323

14.4.1　配置流量旁路　323

14.4.2　验证预过滤规则的配置　329

14.4.3　分析快速路径行为　331

14.5　通过访问策略建立信任　335

14.5.1　使用访问策略配置信任　335

14.5.2　验证信任规则的配置　336

14.5.3　为高级分析启用相应工具　337

14.5.4　分析信任行为　339

14.5.5　使用允许行为进行对比　346

14.6　总结　347

14.7　测试题　348

第　15章 流量限速　349

15.1　限速要点　349

15.2　QoS规则的最佳做法　351

15.3　满足前提条件　351

15.4　配置速率限制　352

15.5　验证文件传输的速率限制　356

15.6　分析QoS事件和统计数据　359

15.7　总结　363

15.8　测试题　363

第　16章 使用安全智能特性拉黑可疑地址　364

16.1　安全智能要点　364

16.2　拉黑的最佳做法　367

16.3　满足前提条件　367

16.4　配置黑名单　369

16.4.1　使用Cisco智能Feed实现自动拉黑　369

16.4.2　使用自定义智能列表手动拉黑　372

16.4.3　使用连接事件立即拉黑　374

16.4.4　监控黑名单　376

16.4.5　绕过黑名单　377

16.5　验证和排错工具　380

16.5.1　验证最新文件的下载　381

16.5.2　验证内存中加载的地址　383

16.5.3　在列表中找到指定地址　385

16.5.4　验证基于URL的安全智能规则　386

16.6　总结　388

16.7　测试题　388

第　17章 阻塞域名系统（DNS）查询　390

17.1　Firepower DNS策略的要点　390

17.1.1　域名系统（DNS）　390

17.1.2　使用Firepower系统阻塞DNS查询　391

17.1.3　DNS规则行为　392

17.1.4　智能的信息源　395

17.2　阻塞DNS查询的最佳做法　397

17.3　满足前提条件　397

17.4　配置DNS查询阻塞　398

17.4.1　添加新DNS策略　398

17.4.2　引用DNS策略　400

17.5　验证和排错工具　400

17.5.1　验证DNS策略的配置　400

17.5.2　验证DNS策略的操作　404

17.6　总结　409

17.7　测试题　409

第　18章 基于类别、风险和信誉过滤URL　410

18.1　URL过滤要点　410

18.1.1　信誉索引　410

18.1.2　运行体系结构　412

18.2　满足前提条件　412

18.3　URL过滤配置的最佳做法　414

18.4　阻塞特定类别的URL　416

18.4.1　为URL过滤配置访问规则　416

18.4.2　验证和排错工具　416

18.5　放行指定URL　422

18.5.1　配置FTD放行指定URL　422

18.5.2　验证和排错工具　423

18.6　向云查询未分类URL　426

18.6.1　配置FMC执行查询　427

18.6.2　验证和排错工具　429

18.7　总结　431

18.8　测试题　432

第　19章 发现网络应用及控制应用流量　433

19.1　应用发现要点　433

19.1.1　应用检测器　433

19.1.2　运行架构　435

19.2　网络发现配置的最佳做法　435

19.3　满足前提条件　437

19.4　发现应用　439

19.4.1　配置网络发现策略　439

19.4.2　验证和排错工具　441

19.5　阻塞应用　446

19.5.1　配置应用阻塞　446

19.5.2　验证和排错工具　447

19.6　总结　450

19.7　测试题　450

第　20章 控制文件传输并阻塞恶意软件的传播　451

20.1　文件策略要点　451

20.1.1　文件类型检测技术　451

20.1.2　恶意软件分析技术　453

20.1.3　许可证容量　454

20.2　文件策略部署的最佳做法　456

20.3　满足前提条件　457

20.4　配置文件策略　457

20.4.1　创建文件策略　457

20.4.2　应用文件策略　461

20.5　验证和排错工具　464

20.5.1　分析文件事件　464

20.5.2　分析恶意软件事件　468

20.6　覆盖恶意软件倾向性　478

20.7　总结　482

20.8　测试题　482

第　21章 通过阻塞入侵尝试防御网络攻击　483

21.1　Firepower GNIPS要点　483

21.1.1　网络分析策略和预处理器　483

21.1.2　入侵策略和Snort规则　485

21.1.3　系统提供的变量　488

21.1.4　系统提供的策略　490

21.2　入侵策略部署的最佳做法　495

21.3　GNIPS配置　498

21.3.1　配置网络分析策略　499

21.3.2　配置入侵策略　502

21.3.3　配置访问控制策略　508

21.4　验证和排错工具　511

21.5　总结　519

21.6　测试题　519

第　22章 伪装内部主机的原始IP地址　520

22.1　NAT的核心概念　520

22.1.1　NAT类别　522

22.1.2　NAT规则的类型　523

22.2　部署NAT的最佳做法　524

22.3　满足前提条件　525

22.4　配置NAT　527

22.4.1　伪装源地址（向出向连接实施源NAT）　527

22.4.2　连接伪装目的（向入向连接实施目的NAT）　542

22.5　总结　551

22.6　测试题　552

附录A　测试题答案　553

附录B　使用GUI界面创建和收集排错文件　555

附录C　使用CLI界面创建和收集排错文件　558