这次讲Firepower系列,主要是ASA比较熟悉了,不会的也能查文档。FMC很多操作真是慢慢熟悉。

一些基本的操作之前有讲:
https://blog.51cto.com/9272543/2397002

使用脚本修改FMC的IP地址
sudo /usr/local/sf/bin/configure-network

FTD使用configure network和configure manager。

一: License

先说license,一种是传统license (classic license),NGIPSv, ASA with FirePOWER使用这些license。
而新的FTD全部使用smart license。

Smart license 组成部分:Base, Threat, Malware, URLfiltering。

其中Base license,包括了user认证,应用识别。
Threat license,包括IPS 策略(这是firepower最核心的东西)
Malware:其实就是AMP,还有可以结合杀毒软件的AMP Threat Grid。
URL filter:网页链接过滤,没啥好说的。

二:整体策略结构

那么多思科文档,连这个都没有!只有一个这个
Firepower 系列笔记_第1张图片

但完全没说security intelligence, SSL policy等。

初学的话简直没法看,qyt总结的非常好。

Security Intelligence --> SSL policy (optional if you want to decrypt traffic) --> Network Analysis policy --> Access Control Policy --> Network Discovery Policy --> File policy --> Intrusion policy ---> Default action intrusion policy

如果你光看FMC的配置界面,你是完全想不到是这个逻辑顺序的。。。
Firepower 系列笔记_第2张图片

一个个看过来,Security Intelligence,是思科提供的一个黑白名单功能。
其实没有什么可以配置的,只要FMC能访问到因特网,他就能自动下载这个名单。

Firepower 系列笔记_第3张图片

Access Control Policy

User Base Authentication
Active Directory Integration

Firepower 系列笔记_第4张图片

Firepower 系列笔记_第5张图片

Firepower 系列笔记_第6张图片

Firepower 系列笔记

记住Firepower是需要手动download这些用户信息的。

为FMC申请证书,这个其实是openssl的操作方法,如果要考无线的IE,WLC也是这么操作的。

首先sudo su - 切换到root
openssl genrsa -des3 -out Fire.key 2048 //生成私钥密钥对
openssl req -new -key Fire.key -out Fire.csr //成成一个CSR
把这个CSR放到home目录下,因为Winscp用admin登录对于root目录是没有权限的

用WinSCP下载CSR和密钥对之后,申请证书时候仍然使用web类型

Firepower 系列笔记_第7张图片

在FMC上导入Root CA和 internal certificate,
Firepower 系列笔记_第8张图片

我的理解是,在做基于用户的认证之前需要配置identity policy
Firepower 系列笔记_第9张图片

Firepower 系列笔记_第10张图片

Firepower 系列笔记_第11张图片

经过了大量的测试,我重装了FMC6.2.3 终于测试通过了。。。

Firepower 系列笔记_第12张图片
进入页面之后输入用户名密码,
Firepower 系列笔记_第13张图片
我们可以看到user activity。现实中,我并没有想到一个场景需要使用active authentication。如果有空,我会再做一个user agent的实验。当然据说Firepower 的identity policy非常不稳定,不建议使用。

Interactive Block
FMC有个奇怪的特性,当你测试过一个网页之后,它会记住这个连接,包括ip地址等。所以你要更改ip地址,清网页的cache,实际上很复杂。。。所以难怪在生产环境当中运维会非常痛苦。performance很奇怪。anyway。

Firepower 系列笔记_第14张图片

Firepower 系列笔记_第15张图片
我这里测试过,似乎URL是不能识别的,得用app,才会有个interactive block
Firepower 系列笔记_第16张图片
点击continue就会通过了

查看日志我们可以发现,其实仍然记住了我的user info
Firepower 系列笔记_第17张图片

又是一个很不靠谱的特性。。。

Security Intelligence,这个测试下来比较稳定。值得使用。

定义三个文件。
Firepower 系列笔记_第18张图片

Firepower 系列笔记_第19张图片
左边和右边分别是我部署这个SI之前与之后的对比。

Firepower 系列笔记_第20张图片

youtube直接看不到了

Firepower 系列笔记_第21张图片

Firepower 系列笔记

当然这种情况是我自己定义的,如果需要查看SI具体的feeds。登录到FMC上做如下操作:
sudo su
cd /var/sf/iprep_download
Firepower 系列笔记_第22张图片Firepower 系列笔记_第23张图片

Network Discovery Policy

Firepower 系列笔记_第24张图片

但我个人感觉探测出来的不是很准。

我一台win10 检测出来是Win7 或者Win8,情何以堪。当然你可以手工修正这个OS,然后在有针对的打补丁。最大的问题是,为什么6.2.3了,连windows2016 的选项都没有!这个feature又是一个差评!
Firepower 系列笔记_第25张图片

不过在discover完所有主机之后,可以在其基础上配置IPS policy。有个firepower recommendations。

File policy

Firepower 系列笔记_第26张图片

Firepower 系列笔记_第27张图片

IPS Policy

Katherine有一篇关于IPS policy的youtube非常好:
https://www.youtube.com/watch?v=CxUKj_tkpU0&t=273s

将IPS policy的层次,和在测试方法都讲了出来。

大致先讲那么多,考完安全,回头一看还有篇草稿。。。