Firepower Threat Defense (FTD) 安装与管理-ASA 5500-X系列

前言：通过上一篇文章《Cisco 下一代防火墙产品介绍》，想必大家都为Firepower产品强大的功能所折服吧！！，例如;应用可视化，预防恶意入侵，IP地理位置识别，安装智能设备管控，本地恶意软件检测，....等等。

在我们学习或者生产环境中，要实现Firepower的强大功能集，Cisco 提供了三种形态部署安装FTD服务，分别为：

• 在ASA 5500-X系列硬件上安装FTD服务

• 在VMware上安装FTD服务

• 购买FTD硬件设备，获得服务（Firepower 2100系列，Firepower 4100系列，Firepower 9300系列）

本文将文大家介绍，如何在ASA 5500-X系列硬件上安装FTD服务，下篇文章将为大家介绍，如何在VMware上安装FTD服务。

Chapter 1 让ASA 5500-X系列硬件支持FTD

如果当前ASA将FirePower服务作为一个单独的模块运行，并且您希望在ASA上部署Firepower FTD，则必须使用统一的FTD镜像对ASA进行升级。本文将讨论如何在Cisco ASA 5500-X系列硬件上升级FTD镜像。

一.ASA镜像升级的要点

想要ASA平台支持FTD功能，需要在同一个硬件上使用多种类型的镜像，如下图，所示：

Rommon软件：Rommon软件是ASA的固件。在ASA中，您进入Rommon模式，以便执行从外部服务器复制启动映像所需的所有任务。如果您正在重新镜像低端ASA硬件平台，如ASA 5506-X、5506W-X、5506H-X、5508-X和5516-X，则必须将固件更新到1.1.8或更高版本。如果您正在运行中等ASA硬件平台，如5512-X、5515-X、5525-X、5545-X和5555-X，并且希望将其重新镜像到FTD软件，则不需要更新默认固件。

启动镜像：FTD启动镜像是FTD系统软件中的一部分，在使用FTD启动镜像加载了ASA后，可以使用启动镜像CLI来为ASA下载FTD系统软件，并开始执行启动设置。

系统软件：FTD的所有特性都封装在此软件系统镜像中。

在完整的FTD重镜像过程中，可能需要安装的各种软件类型。

	Rommon 软件	启动镜像	系统软件
用途	升级ASA固件	在ASA上加载网络配置，下载系统软件。	安装FTD系统的特性
低端ASA（5506-X，5508-X，5516-X）	需要1.1.8或更高的固件版本，使用*.SPA文件升级固件	使用*.lfbff文件为低端ASA加载FTD启动镜像	使用*.pkg文件安装FTD系统软件包。
中端ASA（5512-X，5515-X，5525-X，5545-X，5555-X）	无需升级默认的固件版本	使用*.cdisk文件为中端ASA加载FTD启动镜像	使用*.pkg文件安装FTD系统软件包。

二.安装和配置FTD

1. 满足前提条件
在开始重新映像之前，必须满足以下要求：

• 存储
  要安装FTD软件，ASA需要至少3GB的空闲空间和额外的空间来存储FTD引导映像(通常约为100MB)。并且确保ASA安装了SSD

• 网络
  使用Console线连接需要重镜像的ASA Console端口，确保自己能访问TFTP和HTTP服务器，需要使用TFTP服务器将固件和启动镜像文件复制到ASA，并使用HTTP服务器把FTD系统软件复制到ASA。

如下图所示：

2. 更新固件
按照以下步骤更新低端ASA型号的固件（ROMMON软件）：

• 从思科软件中心下载ROMMON软件并保存到TFTP服务器。

如下图：

• 使用如下命令将TFTP服务器中的文件拷贝到ASA存储中

ciscoasa# copy tftp://TFTP_server_address/filename disk0: 

• 文件复制成功后，使用以下命令开始执行升级操作：

ciscoasa# upgrade rommon disk0:/asa5500-firmware-1108.SPA

升级过程中ASA会自动重启多次，不要手动重启ASA。

• 升级完成后，ASAROMMON版本会更新为指定版本（可通过show module命令查看）。

Rom image verified correctly 
Cisco Systems ROMMON, Version 1.1.14, RELEASE SOFTWARE 
Copyright (c) 1994-2015 by Cisco Systems, Inc. 
Compiled Thu 06/18/2015 12:15:56.43 by builders 

3. 安装启动镜像

• 根据ASA硬件从思科软件中心下载适当启动镜像如下图所示：

• 重新启动ASA，并按ESC键打断启动进程，进入ROMMON模式。

Rom image verified correctly 

Cisco Systems ROMMON, Version 1.1.8, RELEASE SOFTWARE 
Copyright (c) 1994-2015 by Cisco Systems, Inc. 
Compiled Thu 06/18/2015 12:15:56.43 by builders 

Current image running: Boot ROM1 
Last reset cause: PowerCycleRequest 
DIMM Slot 0 : Present 

Platform ASA5506 with 4096 Mbytes of main memory 
MAC Address: a4:6c:2a:e4:6b:bf 
Using default Management Ethernet Port: 0 

Use BREAK or ESC to interrupt boot. 
Use SPACE to begin boot immediately. 
Boot in 7 seconds. 
Boot interrupted. 
rommon 1 > 

• 在ROMMON模式中配置FTD IP地址，网管和TFTP服务器地址

rommon 2 > address 10.1.1.21 
rommon 3 > netmask 255.255.255.0 
rommon 4 > gateway 10.1.1.1 
rommon 5 > server 10.1.1.4

• 从TFTP服务器下载文件
  测试FTD到TFTP的连通性，OK后，从TFTP服务器下载启动镜像。

rommon 7 > file ftd-boot-9.6.2.0.lfbff 
rommon 8 > sync 
rommon 9 > tftpdnld 
    ADDRESS: 10.1.1.21 
    NETMASK: 255.255.255.0 
    GATEWAY: 10.1.1.1 
    SERVER: 10.1.1.4 
    IMAGE: ftd-boot-9.6.2.0.lfbff 
    MACADDR: a4:6c:2a:e4:6b:bf 
    VERBOSITY: Progress 
    RETRY: 20 
    PKTTIMEOUT: 60 
    BLKSIZE: 1460 
    CHECKSUM: Yes 
    PORT: GbE/1 
    PHYMODE: Auto Detect 

Receiving ftd-boot-9.6.2.0.lfbff from 
10.1.1.4!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
 File reception completed. 

ASA会使用FTD引导CLI自动启动。

Cisco FTD Boot 6.0.0 (9.6.2.) 
     Type ? for list of commands 
ciscoasa-boot> 
ciscoasa-boot> ? 
    show => Display system information. Enter show ? for options 
    system => Control system operation 
    setup => System Setup Wizard 
    support => Support information for TAC 
    delete => Delete files 
    ping => Ping a host to check reachability 
    traceroute => Trace the route to a remote host 
    exit => Exit the session 
    help => Get help on command syntax 
ciscoasa-boot> 

4. 安装系统软件

• 从思科软件中心下载指定系统软件如图5，所示

• 设置FTD网络使其能正常从TFTP下载系统软件（此处可参考“安装启动镜像”部分），当设备产生提示时，输入“Y”键，开始执行更新进程。

ciscoasa-boot> setup

Welcome to Cisco FTD Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [ciscoasa]:
Do you want to configure IPv4 address on management interface?(y/n) [Y]:
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]:
Enter an IPv4 address [10.1.1.21]:
Enter the netmask [255.255.255.0]:
Enter the gateway [10.1.1.1]:
Do you want to configure static IPv6 address on management interface?(y/n) [N]:
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address: 10.1.1.8
Do you want to configure Secondary DNS Server? (y/n) [n]:
Do you want to configure Local Domain Name? (y/n) [n]:
Do you want to configure Search domains? (y/n) [n]:
Do you want to enable the NTP service? [Y]:
Enter the NTP servers separated by commas: 10.1.1.9


ciscoasa-boot> system install http://10.1.1.4/ftd-6.1.0-330.pkg
######################## WARNING ############################
# The content of disk0: will be erased during installation! #
#############################################################
Do you want to continue? [y/N] Y
Erasing disk0 ...
Verifying
Downloading...

此过程大概须要20分钟，中途会提示按下回车键执行重启。。

• 初始化完成后，输入用户名和密码登陆（默认用户名：admin,密码：Admin123）

firepower login: admin 
Password: Admin123 

在系统提示End User License Agreement(接受终端用户许可协定，EULA)页面时，按回车键显示和接受。

You must accept the EULA to continue.
Press  to display the EULA:
END USER LICENSE AGREEMENT
.
.
!The EULA messages are omitted for brevity
.
.
.Please enter 'YES' or press  to AGREE to the EULA:

• 首次登陆对网络进行配置

ciscoasa-boot> setup

Welcome to Cisco FTD Setup
[hit Ctrl-C to abort]
Default values are inside []
Enter a hostname [ciscoasa]:
Do you want to configure IPv4 address on management interface?(y/n) [Y]:
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n) [N]:
Enter an IPv4 address [10.1.1.21]:
Enter the netmask [255.255.255.0]:
System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.1.1.21
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface [192.168.45.1]: 10.1.1.1
Enter a fully qualified hostname for this system [firepower]:
Enter a comma-separated list of DNS servers or 'none' []:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy

注意，每次安装相应软件前都需要进行网路的设置，因为安装完软件后，系统配置会丢失。

• 配置部署类型和模式
  在询问本地管理（on-box management）的问题时，输入no，并根据实际情况选择防火墙部署模式。（本例为路由模式）

Manage the device locally? (yes/no) [yes]: no 
Configure firewall mode? (routed/transparent) [routed]: 
Configuring firewall mode ... 
Update policy deployment information 
- add device configuration 
- add network discovery 
- add system policy 

三.验证

访问FTD

1. 访问FTD CLI
FTD软件安装完成后，会自动显示出“>”提示符，此提示符模式与传统提示符（ciscoasa>）不同，FTD可以支持进入不同的Console或Shell，如下：

• FTD Default Shell: 可以配置大多数必需的项，并使用此shell查看它们的状态。
• ASA Console: 执行用于诊断目的的高级命令。
• Firepower Linux Shell: 可进入操作系统后台，Cisco使用此Shell来执行高级排错任务。

各种Shell切换关系如下图所示：

2. 查看安装的软件版本

> show version 
-------------------[ firepower ]-------------------- 
Model :** Cisco ASA5506-X Threat Defense (75) Version 6.1.0 (Build 330)** 
UUID : c84ceb32-7ea7-11e6-a7ad-94bcd8f36790 
Rules update version : 2016-03-28-001-vrt 
VDB version : 270 
* ---------------------------------------------------- 
>