Firepower

用戶安裝手冊

版本 1.0

JLEAD Information Co., Ltd.

2F., No.77, Xinhu 1 st Rd., Neihu Dist., Taipei City 11494,

Taiwan ( R.O.C.)

TEL: +886-2-7733-8855

FAX: +886-2-7733-8811

PROPRIETARY NOTICE

This document contains confidential information of JLEAD Information

Co., Ltd,. In consideration of receipt of this document, recipient agrees

not to reproduce or make this information available in any manner to

persons outside the group directly responsible for the evaluation of its

content. Fees and Costs quoted in this document are valid for thirty

days from the date of document.

手冊目錄

1 安裝準備 ......................................................................................................................... 1

2 初始化設定 ...................................................................................................................... 2

3 WEB 設定 ......................................................................................................................... 3

4 接口配置 ......................................................................................................................... 6

5 啟用測試授權 ................................................................................................................ 11

6 防火牆規則配置 ............................................................................................................ 12

7 SECURITY INTELLIGENCE ................................................................................................ 16

8 配置佈署 ....................................................................................................................... 17

9 FMC 安裝 ....................................................................................................................... 19

10 常用設定: ...................................................................................................................... 29

11 DEVICE CONFIG .............................................................................................................. 30

12 NETWORK DISCOVERY ................................................................................................... 33

13 ACCESS CONTROL POLICY(BASIC) ................................................................................... 34

14 INTRUSION PREVENTION SYSTEM .................................................................................. 36

15 FIREPOWER IPS RECOMMENDATIONS............................................................................ 39

16 MALWARE & FILE POLICY ............................................................................................... 41

17 DNS PROTECTION ........................................................................................................... 43

18 AD JOINING .................................................................................................................... 44

19 ACCESS CONTROL POLICY(ADVANCED) .......................................................................... 48

20 SECURITY INTELLIGENCE ................................................................................................ 51

Firepower 用戶安裝手冊 1

1 安裝準備

RS45 網路線*1

PC*1

將網路線連接至如下圖○2 號位置

1 Power LED 2

Gigabit Ethernet management port:

• Firepower Threat Defense—Management 0 (also

referred to as Management 1/1 and Diagnostic 1/1)

• ASA—Management 1/1

3

12 RJ-45 1 G/100 M/10 M auto duplex/auto MDI-X Base-T

ports

Ethernet 1/1 through 1/12 labeled top to bottom, left to right

4 SSD 1 (slot 1)

5 Locator beacon 6 System LEDs

7 Type A USB 2.0 port 8 RJ-45 console port

9 Pullout asset card with chassis serial number 10 4 fixed SFP (1 G) ports

Fiber ports 1/13 through 1/16 labeled left to right

11 SSD (slot 2)

開啟 FirePower 21102 電源

Firepower 用戶安裝手冊 2

2 初始化設定

開啟瀏覽器(建議 Chrome 或 IE)

輸入 https://192.168.45.45 (預設 IP)

預設帳號密碼:admin/Admin123

Firepower 用戶安裝手冊 3

3 Web 設定

進入登入畫面後接受相關條款

系統要求更改密碼

Firepower 用戶安裝手冊 4

第一次進入配置畫面後會直接進入嚮導模式，可以看畫面預設情況下 0/0 是連接到 WAN

的接口，也就是 Outside 接口。

直接往下拉設定 Outside Interface IP。

IPv6 的部分如果不需要可以不設定

修改 DNS IP 及主機名稱(該預設 DNS IP 指向的是思科另外一種

Firepower 用戶安裝手冊 5

Umbrella DNS 服務建議不需修改)

配置地區及 NTP Server，NTP 如果不設定就會採內建的 NTP Server，配置完成後點選

NEXT。

Firepower 用戶安裝手冊 6

從思科 Smart Software Manager account 去產生 Token Key(需有購買授權才能產生 Key)

並貼入下方空格。

如果尚未購買授權則可點選下方 90 天測試授權，最後點選 FINISH。

4 接口配置

當上一步驟 FINISH 後，會跳出另一個嚮導視窗，配置內部接口也就是 Inside 接口，

點選 Configure Interfaces。

Firepower 用戶安裝手冊 7

點選 inside 接口(GI0/1)右方鉛筆圖案進入編輯。

預設情況下 inside 接口為 192.168.45.1/24 並且會啟用 DHCP，所以如果要配置其他網段 IP

必須先將 DHCP 配置刪除，點選右下 Delete。

設定 inside 接口 IP，設定後點選 OK。

Firepower 用戶安裝手冊 8

點選上方 Device 可以看見所有配置的簡易介紹畫面，所有設定也幾乎都是從這畫面

進入。

如果要更改管理 IP 則點選上方 Device 後再點選右方 Management Access

Firepower 用戶安裝手冊 9

切換到 Management Interface 設定管理 IP

如果要做系統資料庫的更新可以點選 Device 後再點選 Updates 可以下載

各種資料庫的更新，如果要做一次性更新直接點選 Update，如果要做排程更新點選

Configure，資料更新是透由管理接口接收，所以管理接口必須可以連至 Internet。

Firepower 用戶安裝手冊 10

例如配置，每天下午三點自動更新

點選 UPDATE NOW 後右上角 Task List 可以看到目前進度

更新成功

如果要配置其他接口則可以點選 Interface，就會回到之前配置 IP 的畫面

Firepower 用戶安裝手冊 11

點選 Monitoring 可以顯示各種不同的統計如系統效能消耗、使用者資料、各種應用程式流量

統計…..都可以在 Monitor 找到。

5 啟用測試授權

點選 Device/Smart License

Firepower 用戶安裝手冊 12

點選 Enable 啟用以下三種授權

Theat:IPS 威脅檢測

Malware:惡意軟體檢測

URL:網址過濾

6 防火牆規則配置

點選上方 Policy ，預設會有一筆 inside to outside 放行的規則

點選右上加號增加規則

設定來源及目的 Zone

Firepower 用戶安裝手冊 13

Application 設定那些 App 可以使用 EX:facebook

URL 可以配置哪網址不能去，點選 URLS 右邊加號

點選 Create New URL

Firepower 用戶安裝手冊 14

如果要設定雅虎不能存取則自訂一個名稱後在下方 URL 輸入雅虎網址

點選剛建立的物件並按下 OK

或是可以用右邊分類的方式設定 EX:有關賭博網站不能存取

User 頁籤使用在用戶認證通常會結合 AD 做使用

Firepower 用戶安裝手冊 15

Intrusion Policy:也就是 IPS 的 Policy，先將 INTRUNSION POLICY 開關打開，在 Level of

intrusion policy 有四種規則。

Connectivity Over Security:以效能為主所以啟用的 IPS 規則比較少。

Balanced Security and Connectivity:系統維持一定效能且 IPS 規則也較適中。

Security Over Connectivity:啟用大量 IPS 規則。

Maximum Detection:除了啟用大量 IPS 規則外同時也執行更細膩的檢測。

在右邊的 Intrusion 可以看到不同等級的 IPS 規則數量

Firepower 用戶安裝手冊 16

File Policy:阻擋惡意檔案上傳或下載

最後設定如果有事件發生就產生 log。

At Beginning and End of Connection:事件發生開始及結束都做 log

At End of Connection:只有活動結束時才做 log

No Connection Logging:不做任何 log

7 Security Intelligence

點選上方 Security Intelligence

Firepower 用戶安裝手冊 17

按下 Blacklist 的加號，選擇要阻擋的殭屍網路 EX:阻擋所有 CNC 的控制網站，點選右方 URL

Object 可以自訂阻擋哪些網站。

Do Not Block 則是放行哪些網站可以去，通常用在如果誤判正常網站為殭屍網路時，可以在此設置

該網站為正常，如果 Block list 及 Do Not Block 都有設定時則 Do Not Block 優先於 Block list 使用。

8 配置佈署

只要有做配置雖然都有 Save 但實際上還未真正佈署到設備上，必須點選上方 佈署按鈕才算是

將配置推送到設備上，點入後再點選 DEPOLY NOW 既可。

Firepower 用戶安裝手冊 18

*如果有購買 FMC 則可以使用以下設定進行操作，如果沒有 FMC 部分可以不須閱讀

Firepower 用戶安裝手冊 19

9 FMC 安裝

登入 ESXi

點選建立/登入虛擬機器

選擇從 OVF 或 OVA 檔案部署虛擬機器

輸入自訂名稱並選擇 FMC OVF 檔案

Firepower 用戶安裝手冊 20

選擇存放的 Datastore

選擇 FMC 的對應網卡

最後的 Summary

Firepower 用戶安裝手冊 21

匯入完成後會自動開啟 FMC 的虛擬機

預設帳號:admin 預設密碼:Admin123

修改 FMC IP

sudo configure-network

Firepower 用戶安裝手冊 22

將 RS232 線材連接至 FTD 並開啟 Putty

輸入帳號，預設帳密 admin/Admin123

輸入 configure manager add <IP> cisco123(自訂字串在 FMC 必須設定相同字串)

在先前已經開啟本機 FDM 管理，如果要加入 FMC 管理必須輸入 Yes 關閉本機管理

Firepower 用戶安裝手冊 23

開啟瀏覽器輸入 FMC IP

預設帳密 admin/Admin123

第一次登入後會出現嚮導

並要求更改密碼

更改 IP 及 DNS 設定

Firepower 用戶安裝手冊 24

NTP 設定

點選 set display Time Zone 右方做區域設定

勾選 install Now

勾選 install Now

Firepower 用戶安裝手冊 25

License 可以先跳過不輸入直接點選 Add/Verify

如果在上頁未設定更新可以在以下路徑設定 System/updates/Rule Updates

System/updates/Geolocation Updates

Firepower 用戶安裝手冊 26

接受 EULA 後要等待一段防火牆初始化時間

配置完成後要等一段時間初始化就會進入 Dashboard

點選 System/Licenses/Smart Licenses

(Classic License 用在舊設備 7000 及 8000 系列)

Firepower 用戶安裝手冊 27

如果有購買授權擇點 Register，沒有則可以啟動 Evaluation Mode 可以測試 90 天，全功

能開放(除 VPN 功能外)。

啟用 Evaluation Mode 後再 Product Registration 會出現試用期限。

在新增設備前要先新增 ACP(Access Control Policy)，並將此 ACP 分配給管理設備。

1. 轉跳至 Policies/Access Control/Access Control

2. Add new policy

輸入名稱及選擇 default action 為 Block all traffic 既可

Firepower 用戶安裝手冊 28

加入要管理的 FTD 設備

進入 Device/Device Management 並 add Device

1. 輸入 FTD IP

2. Registration key:自定義的密碼，並在 FTD 輸入相同密碼(以本範例是在 FTD 輸

入 cisco123)

3. Access Control:選擇剛建立的 test Policy

4. 勾選要授權給 FTD 的 Licenses

5. 最後點擊 register

回到 FTD Console 敲入 show network

如果是 pending 代表還未加入 FMC

Completed 代表加入完成

Firepower 用戶安裝手冊 29

在 Device 就可以看到被管理的 FTD

10 常用設定:

如果要更改 FMC 管理 IP 可以到 System/configuration/Management Interfaces

設定管理接口 manager ip、routing、DNS:

設定 SNMP:System/configuration/SNMP

設定語言:

System/configuration/Language

Firepower 用戶安裝手冊 30

設定 NTP:

System/configuration/Time Synchronization

設定 Email:

System/configuration/Email Notification

11 Device Config

點選 Device/Device Management

會進入 FTD 的配置畫面

Firepower 用戶安裝手冊 31

在配置接口 IP 前，先建立 Zone 切換至

Objects/Interface/Add/Security Zone

配置兩個 Zone inside-Zone 及 outside-Zone

Interface Type 設定為 Routed 不須 add 任何設備直接 Save

配置接口 IP 點選至 Device/Device Management

切換至 Interfaces 頁籤選擇欲編輯之端口右方鉛筆圖案

Firepower 用戶安裝手冊 32

切換 Routing 頁籤，該路由指的是傳輸 Data 端口所用的路由，非管理接口的路由。

Firepower 用戶安裝手冊 33

12 Network Discovery

在有 FMC 的管理下可以針對流經 Firepower 的主機做資產管理並針對該主機所使用的協定、應用

程式、使用者帳號、弱點修正進行追蹤。

點選 Policies/Network Discovery/Networks 並點選右方鉛筆編輯

勾選 Users 及 Application

預設情況下只會掃描主機 IP 資訊，勾選後可以對使用者帳號及該主

機使用那些 Application 進行記錄。

Firepower 用戶安裝手冊 34

13 Access Control Policy(Basic)

點選 Policies/Access Control/Access Control

這邊會看到一開始建立的 Policy，並點選右方鉛筆進入編輯

點選 Add Rule

Action 選擇 Allow

加入 source Zone 及 Destination Zone

切換到 Logging 頁籤並點選 Log at End of Connection 後直接點選右下 Add

Firepower 用戶安裝手冊 35

剛建立的 Rule 並點選右上 Save

點選右上 Deploy

勾選 FTD 設備並點選 Deploy

點選綠色的球可以看到佈署進度

此時已經完成最基本的防火牆設定，如果有流量經過則可以

在 Analysis/Connections/Events 可以看見觸發的事件

如果再建立 ACP 沒有勾選 Log 就不會有任何紀錄。

Firepower 用戶安裝手冊 36

14 Intrusion Prevention System

IPS 規則設定後必須在 Access Control Policy 調用，所以必須先將 IPS 規則設定好

1.點擊 Policies/Access Control/Intrusion

2.Create Policy

3.Create and Edit Policy

4.Base Policy 選擇 Balanced Security and Connectivity

不同 Policy 啟用的 IPS 規則數量不一樣

Balanced Security and Connectivity:

97 個規則只會產生事件紀錄

9469 個規則會產生事件紀錄後並將封包丟棄

Firepower 用戶安裝手冊 37

Connectivity Over Security:

10 個規則只會產生事件紀錄

495 個規則會產生事件紀錄後並將封包丟棄

IPS Policy 組成由兩個階層組成 User Layers 及 Built-in Layers

⚫ 點選左側 Policy Layers

⚫ IPS 規則數量由 User Layers 及 Built-in Layers 所加總

⚫ User Layers:只要有變更默認的 IPS 規則，則該規則就會轉成 User

Layers

⚫ Built-in Layer:根據選擇 Base Policy 產生不同的規則數量

Firepower 用戶安裝手冊 38

1.點選 Policy Information/Rules

2.選擇 Category/app-detect

3.勾選 SID 為 37062 的規則並點擊綠色箭頭

更改成 Drop and Generate Events

User Layers 就會有一個被變更的 Rule

在 My Changes 也可以看到有一個 Rule

在 My Changes 下方的 Ruel 也會顯示剛剛的變更

Firepower 用戶安裝手冊 39

回到 Policy Information 也可以看到規則變成 9567，並點選 commit Changes

15 Firepower IPS Recommendations

Firepower Recommendations 可以針對流經 Firepower 的流量類型進行 IPS 規則的自動調整

*要產生建議行為要先有流量經過

在 Policy Information，會多一個 Firepower recommends

Firepower 用戶安裝手冊 40

回到 Firepower Recommendations，點選 Use Recommendations

在 Policy 會多出一個 Firepower recommendations

點選 Policy Layers 也會在 Built-in 多出 Firepower recommendations，所產生的規則就變成 User

Layers+ Firepower recommendations=1，原本選擇內建規則 Balanced Security and Connectivity

就無效。

Firepower 用戶安裝手冊 41

回到 Policy Information 也會看到只啟用 1 個規則，下方 Firepower Change 則是代表在 Firepower

recommendations 修改了多少規則數量。

也就是在 Built-in Layers Firepower recommendations 的三種 events 的總和

16 Malware & File Policy

1.點選 Policy/Access Control/Malware & File

2.Add a new Policy

3 輸入 Policy Name

4.Save

5.Add Rule

Firepower 用戶安裝手冊 42

Detect Files:檢測檔案傳輸並存為 event

Block File:如果為選定檔案的格式(EX:pdf)則阻擋

Malware Cloud Lookup:將檔案上傳到雲端檢測有沒有毒，但不阻擋

Block Malware:將檔案上傳到雲端檢測有沒有毒，並阻擋

Spero Analysis for MSEXE:檢測微軟的 EXE 檔

Dynamic Analysis:送到沙箱分析

Capacity Handling:如果無法將檔案送至雲端檢測可以先暫存在本地硬碟

Local Malware Analysis:只在本地分析

Reset Connection:重置連線

Firepower 用戶安裝手冊 43

Advanced:

Inspect Archives :檢測壓縮檔

Bloc Encrypted Archives:如果有加密的壓縮檔就阻擋

Block Uninspectable Archives:阻擋無法檢測的壓縮檔

Max Archive Depth :如果壓縮檔內還是壓縮檔最多可以檢測幾層壓縮檔

17 DNS Protection

1.點選 Policies/Access Control/DNS

2.Add DNS Policy

3.輸入 Policy 名稱

Global 的 List 無法編輯，點選 Add DNS Rule

Firepower 用戶安裝手冊 44

Whitelist:如果有某個網站被列入惡意名單可以在這之前新增一個 Rule 並設定為 Whitelist

讓該網站可以存取

Monitor:只監控不阻擋

Domain Not Found:會在 Events 紀錄為 Domain Not Found

Drop:丟棄該封包

Sinkhole:回傳假的 DNS IP 給客戶端(必須先在 objects/sinkhole 設定一個回傳的假 IP

*如果黑白名單都有設定則白名單為優先使用

18 AD Joining

點選 system/Integration/Realms 並 Add a new realm

填入相關資料(Test AD Join 原則上都會失敗，不用理會)

Firepower 用戶安裝手冊 45

點選 Directory 的頁籤並 add directory

輸入 AD IP

點擊 test 只要可以聯繫就會成功

切換到 User Download 頁籤並勾選 Download users and groups

然後點選右上 save

Firepower 用戶安裝手冊 46

回到 Realm 階層打開 State 的開關狀態為打勾

點選右方下載的箭頭下載 AD 資料，之後在點選右方鉛筆

下載完成右上會出現提示

切換到 User Download 並選取 AD group 至右方 Group to Include，然後 Save

Firepower 用戶安裝手冊 47

點選 Policies/Access Control/Identify 並 Add a Policy

選擇 Passive Authentication

切換到 Realm & Settings 並將 Realm 只到剛設定的 Realm，規則設定

完記得點選右上 Save

Firepower 用戶安裝手冊 48

19 Access Control Policy(Advanced)

1.回到 Policies/Access Control/Access Control(在 add Device 時有新增一個 ACP

所以這邊可以點選該 ACP)

2.將 Identify Policy 換成剛剛設定的 Identify Policy 代表調用 AD 資料

3.Save

4.點選鉛筆編輯

Network:配置那些 IP 可以通過

VLAN Tags:配置那些 VLAN 可以通過

Firepower 用戶安裝手冊 49

Users:整合 AD 帳號並允許那些帳號可以通過(如果 Identify Policy 沒有調用這邊就看不到帳號)

Application:在 Application Filter 以不同類來過濾可是別 App

Available Applications:在各個分類底下所能是別的 App

Port:允許來源目的端口號

Firepower 用戶安裝手冊 50

URLs:可針對不同類別的 URL 進行阻擋或是放行

如果 ACP 規則設定為 allow 則會放行比該規則更安全的 URL，如圖分類為 Gambling 且是風險 3

為 allow，則風險 3-5 全放。

如果 ACP 設定為 block 則阻擋該等級及比該等級更不安全的，如圖分類為 Gambling 且是風險 3

為 block，則風險 1-3 全阻擋。

SGT/ISE

SGT:透由網路設備並將其流量打上標籤透由標籤來阻擋特定流量

ISE:由 ISE 下發的政策決定流量

切換到 Inspection 選擇 IPS 政策及選擇檔案類型阻擋政策

Firepower 用戶安裝手冊 51

Log 要打勾不然不會有 event 產生

20 Security Intelligence

1.Access Control Policy/Access Control Policy

2.切換到 Security Intelligence 頁籤

3.設定畫面跟 DNS 保護設定類似，Network 是針對網段阻擋 URL 就是網址阻擋

4.白名單優先於黑名單

5.右上方可以調用 DNS 的 Policy

6.DNS Policy 有調用要記得點選右方文件圖案勾選 Log