, ou si vous avez besoin d'une fonctionnalité réservée à l'ASA qui n'est pas encore disponible sur le défense contre les menaces . Cisco fournit des outils de migration de l'ASA vers défense contre les menaces pour vous aider à convertir votre ASA vers défense contre les menaces si vous commencez avec l'ASA et réimagez plus tard vers défense contre les menaces .
CDO pour gérer le même pare-feu. Le centre de gestion n'est pas compatible avec les autres gestionnaires. Pour commencer avec le gestionnaire d'appareil, consultez Défense contre les menaces Déploiement avec le Gestionnaire d'appareil, à la page Guide de démarrage Cisco Firepower 1010...
Guide de Cisco Secure Firewall Threat Defense REST API. API REST du centre de gestion du Cisco L’API REST du centre de gestion vous permet d’automatiser la configuration des Secure Firewall politiques centre de gestion qui peuvent ensuite être appliquées aux défense contre les menaces gérés.
Page 6
L'API REST ASA n'est pas abordée dans ce guide. Pour obtenir plus d'informations, reportez-vous à la Guide de démarrage rapide de Cisco ASA Secure Firewall REST API. Guide de démarrage Cisco Firepower 1010...
Le pare-feu exécute un système d'exploitation sous-jacent appelé le Cisco Secure Firewall eXtensible Operating System (FXOS). Le pare-feu ne prend pas en charge le Cisco Secure Firewall chassis manager FXOS; seule une interface de ligne de commande limitée est prise en charge à des fins de dépannage. Consultez la section Guide de dépannage Cisco FXOS pour la gamme Firepower 1000/2100 de défense contre les menaces...
Quelle est l'étape suivante?, à la page 47 Avant de commencer Déployez et effectuez la configuration initiale de centre de gestion. Consultez le Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1600, 2600 et 4600ou Guide de démarrage de Cisco Secure Firewall Management Center Virtual.
Câbler l’appareil (version 6.5 et ultérieure), à la page 10 Câbler l’appareil (6.4), à la page Pré-configuration Mettez le pare-feu sous tension, à la page Interface de ligne de (Facultatif) Vérifier le logiciel et installer une nouvelle version, à la page 14 commande Guide de démarrage Cisco Firepower 1010...
à niveau. Dans le diagramme suivant, la Firepower 1010 sert de passerelle Internet pour l’interface de gestion Management et centre de gestion en connectant Management 1/1 directement à un port de commutation interne et en connectant centre de gestion et l’ordinateur de gestion et à...
Page 11
à niveau. Dans le diagramme suivant, la Firepower 1010 sert de passerelle Internet pour l’interface de gestion Management et centre de gestion en connectant Management 1/1 directement à une interface interne par l’intermédiaire d’un commutateur de couche 2 et en connectant centre de gestion et l’ordinateur de gestion...
Illustration 2 : Suggestion de déploiement réseau Câbler l appareil (version 6.5 et ultérieure) Pour le câblage de Firepower 1010 selon le scénario recommandé, consultez l’illustration suivante, qui présente un exemple de topologie faisant appel à Ethernet 1/1 comme interface externe et aux autres interfaces comme ports de commutation sur le réseau interne.
Page 13
Défense contre les menaces Déploiement avec le Centre de gestion Câbler l appareil (version 6.5 et ultérieure) Illustration 3 : Câblage du Firepower 1010 Remarque Pour les versions 6.5 et antérieures, l’adresse IP par défaut de gestion Management 1/1 est 192.168.45.45.
• Ordinateur de gestion Remarque Le Firepower 1010 et le centre de gestionont tous deux la même adresse IP de gestion par défaut : 192.168.45.45. Ce guide se fonde sur l’hypothèse voulant que vous définissiez des adresses IP différentes pour vos appareils lors de la configuration initiale. Notez que centre de gestion sur les versions 6.5 et ultérieures utilisent par défaut un client DHCP pour l'interface de gestion ;...
Vérifiez le voyant d’alimentation DEL à l’arrière ou sur le dessus de l’appareil; s’il est vert, l’appareil est sous tension. Étape 3 Vérifiez le voyant DEL d’état à l’arrière ou sur le dessus de l’appareil; s’il est vert, le système a réussi les diagnostics de mise sous tension. Guide de démarrage Cisco Firepower 1010...
Quelle version dois-je exécuter? Cisco recommande d’exécuter une version Gold Star indiquée par une étoile dorée à côté du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de version décrite dans https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html;...
• Déployez et effectuez la configuration initiale de centre de gestion. Consultez la section Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1600, 2600 et 4600. Vous devez connaître l'adresse IP centre de gestion ou le nom d'hôte avant de configurer l'appareil défense contre les menaces .
Page 18
Notez que la définition de l’adresse IP de l’interface de gestion ne fait pas partie de l’assistant de configuration. Reportez-vous à l’étape Étape 3, à la page 17 pour définir l’adresse IP de gestion. Guide de démarrage Cisco Firepower 1010...
Page 19
Sélectionnez Device (appareil) > System Settings (paramètres système) > Central Management (gestion centrale), et cliquz sur Proceed (exécuter) pour mettre en place la gestion du centre de gestion. Étape 6 Configurez Management Center/CDO Details (centre de gestion/détails CDO). Guide de démarrage Cisco Firepower 1010...
Page 20
à centre de gestion à l’aide d’une adresse IP ou d’un nom d’hôte, ou sur No (non) si lecentre de gestion se trouve derrière le NAT ou n’a pas d’adresse IP ou de nom d’hôte public. Guide de démarrage Cisco Firepower 1010...
Page 21
Si vous restez connecté à gestionnaire d'appareilaprès l’étape d enregistrement des paramètres d enregistrement du centre de gestion/CDO , vous verrez finalement la boîte de dialogue Connexion réussie avec le Centre de gestion ou CDO, après quoi vous serez déconnecté du gestionnaire d'appareil. Guide de démarrage Cisco Firepower 1010...
Page 22
Le port de commande se connecte à l'interface de ligne de commande FXOS. La session SSH se connecte directement à l'interface de ligne de commande défense contre les menaces . Étape 2 Connectez-vous avec le nom d’utilisateur admin et le mot de passe Admin123. Guide de démarrage Cisco Firepower 1010...
Page 23
Cependant, tous ces paramètres peuvent être modifiés ultérieurement au niveau de l’interface de ligne de commande à l’aide des commandes configure network. Consultez Références de commandes pour Cisco Secure Firewall Threat Defense.
Page 24
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1 Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect.
Page 25
Si le défense contre les menaces est derrière un appareil NAT, entrez un ID NAT unique avec centre de gestion l'adresse IP ou le nom d'hôte, par exemple : Exemple : > configure manager add 10.70.45.5 regk3y78 natid56 Manager successfully configured. Guide de démarrage Cisco Firepower 1010...
• Programme malveillant : défense contre les programmes malveillants • URL : URL Filtering (filtrage URL) • RA VPN : AnyConnect Plus, AnyConnect Apex ou AnyConnect VPN Only Pour une vue d'ensemble plus détaillée sur les licences Cisco, allez à cisco.com/go/licensingguide Avant de commencer •...
Assurez-vous que votre compte de licences Smart contient les licences disponibles dont vous avez besoin. Lorsque vous avez acheté votre appareil auprès de Cisco ou d’un revendeur, vos licences doivent avoir été associées à votre compte de gestion des licences Smart Software. Cependant, si vous devez ajouter des licences vous-même, utilisez le champ de recherche de produits et de solutions (Find Products and Solutions) de...
Page 28
• Host (Hôte)— Saisissez l'adresse IP ou le nom d'hôte de défense contre les menaces que vous souhaitez ajouter. Vous pouvez laisser ce champ vide si vous avez spécifié à la fois l'adresse IP centre de gestion et un ID NAT dans la configuration initiale défense contre les menaces de . Guide de démarrage Cisco Firepower 1010...
Page 29
URL par catégorie). Remarque : Vous pouvez appliquer une licence VPN d'accès à distance Secure Client (services client sécurisés) après avoir ajouté le périphérique, à partir de la page System (système) > Licenses (licences) > Smart Licenses (licences smart). Guide de démarrage Cisco Firepower 1010...
NAT sur centre de gestion à l’aide de la commande configure manager add. Pour plus d’information sur le dépannage, voir https://cisco.com/go/fmc-reg-error. Configurer une politique de sécurité de base Cette section décrit comment configurer la politique de sécurité de base au moyen des paramètres importants suivants : •...
à l'aide de DHCP (Ethernet 1/1). Procédure Étape 1 Sélectionnez Devices(appareils) > Device Management (gestion des appareils), et cliquez sur Modifier ( ) pour l'appareil. Étape 2 Cliquez sur Interfaces. Guide de démarrage Cisco Firepower 1010...
Page 32
(Facultatif) Modifiez l’ID du VLAN; la valeur par défaut est 1. Vous allez ensuite ajouter une interface VLAN correspondant à cet ID. d) Cliquez sur OK. Étape 5 Ajouter une interface VLAN interne. a) Cliquez Add Interfaces (ajoutez des interfaces) > VLAN Interface (interfaces VLAN). L'onglet General(général) s'affiche. Guide de démarrage Cisco Firepower 1010...
Page 33
Vous ne pouvez pas modifier le numéro VLAN après avoir enregistré l’interface; le numéro VLAN est à la fois la balise VLAN utilisée et l'ID d'interface dans votre configuration. g) Cliquez sur l'onglet IPv4 ou IPv6. Guide de démarrage Cisco Firepower 1010...
Page 34
Vous pouvez toujours configurer la zone de sécurité sur cet écran pour les politiques de trafic traversant. a) Entrez un nom (Name (nom) renfermant au maximum 48 caractères. Par exemple, nommez l’interface externe. b) Cochez la case Enabled (activer). Guide de démarrage Cisco Firepower 1010...
Internet, pendant que vous définissez des adresses statiques sur les interfaces internes. Dans l'exemple suivant, une interface interne est configurée en mode routage avec une adresse statique et une interface externe est configurée en mode routage à l'aide de DHCP. Guide de démarrage Cisco Firepower 1010...
Page 36
Cochez la case Enabled (activer). c) Laissez le Mode défini sur None (aucun). d) Dans la liste déroulante Security Zone (zone de sécurité), choisissez une zone de sécurité interne existante ou ajoutez-en une en cliquant sur New (nouveau). Guide de démarrage Cisco Firepower 1010...
Page 37
• IPv6 : Cochez la case Autoconfiguration pour la configuration automatique sans état. f) Cliquez sur OK. Étape 4 Cliquez sur Modifier ( ) pour l'interface que vous souhaitez utiliser à l'extérieur. L'onglet General(général) s'affiche. Guide de démarrage Cisco Firepower 1010...
Page 38
• DHCP route metric (mesure de la voie de routage DHCP) : Attribue une distance administrative à la voie de routage apprise (entre 1 et 255). La distance administrative par défaut pour les routes apprises est de 1. Guide de démarrage Cisco Firepower 1010...
IP de l'interface elle-même. • Enable DHCP Server : Activez le serveur DHCP sur l'interface sélectionnée. Étape 4 Cliquez sur OK. Étape 5 Cliquez sur Save (enregistrer). Guide de démarrage Cisco Firepower 1010...
• Gateway (passerelle) ou IPv6 Gateway (passerelle iPv6) : Saisissez ou choisissez le routeur de passerelle qui est le prochain saut sur cette voie de routage. Vous pouvez fournir une adresse IP ou un objet réseaux/hôtes. Guide de démarrage Cisco Firepower 1010...
Page 41
Choisissez Devices (appareils) > NAT, et cliquez sur New Policy (nouvelle politique) > Threat Defense NAT (nAT de défense contre les menances). Étape 2 Nommez la politique, sélectionnez le ou les périphériques pour lesquels vous souhaitez utiliser la politique et cliquez sur Save (enregistrer). Guide de démarrage Cisco Firepower 1010...
Page 42
• Type : Choisissez Dynamic (dynamique). Étape 5 Dans la page Interface Objects (objets d'interface), ajoutez la zone externe du champ Available Interface Objects (objets d'interface disponibles) dans la zone Destination Interface Objects (objets d'interface de destination). Guide de démarrage Cisco Firepower 1010...
Page 43
Vous ne pouvez pas utiliser l’objetany-ipv4 défini par le système, car les règles de NAT Remarque automatiques ajoutent la NAT dans la définition de l’objet, et vous ne pouvez pas modifier les objets définis par le système. Guide de démarrage Cisco Firepower 1010...
Modifier ( ) pour la politique de contrôle d'accès assignée à défense contre les menaces . Étape 2 Cliquez sur Add Rule (ajouter une règle) et définissez les paramètres suivants : • Name (nom) : Nommez cette règle, par exemple inside_to_outside. Guide de démarrage Cisco Firepower 1010...
Cliquez sur Deploy (déployer) dans le coin supérieur droit. Illustration 9 : Déployer Étape 2 Cliquez sur Deploy All (tout déployer) pour déployer sur tous les périphériques ou cliquez sur Advanced Deploy (déploiement avancé) pour déployer sur les périphériques sélectionnés. Guide de démarrage Cisco Firepower 1010...
Page 46
Illustration 11 : Déploiement avancé Étape 3 Assurez-vous que le déploiement réussit. Cliquez sur l'icône à droite du bouton Deploy (déployer) dans la barre de menus pour voir l'état des déploiements. Illustration 12 : État du déploiement Guide de démarrage Cisco Firepower 1010...
(voir le guide matériel du Firepower 1010 et le ). Le port de console est par défaut le Interface de ligne de commande FXOS. Utilisez les paramètres de série suivants : • 9 600 bauds •...
Le châssis Firepower 1010 n’a pas de commutateur d’alimentation externe.Vous pouvez mettre l'appareil hors tension à l'aide de la page de gestion des appareils centre de gestion, ou vous pouvez utiliser l'interface de ligne de commande FXOS.
Vous pouvez maintenant débrancher l'alimentation pour retirer physiquement le courant du châssis si nécessaire. Quelle est l'étape suivante? Pour continuer à configurer votre défense contre les menaces , consultez les documents disponibles pour votre version de logiciel à Orientation dans la documentation Cisco Firepower. Guide de démarrage Cisco Firepower 1010...
Page 50
Défense contre les menaces Déploiement avec le Centre de gestion Quelle est l'étape suivante? Pour des informations relatives à l'utilisation de centre de gestion, consultez le Guide de configuration de Firepower Management Center. Guide de démarrage Cisco Firepower 1010...
Le pare-feu exécute un système d'exploitation sous-jacent appelé le Cisco Secure Firewall eXtensible Operating System (FXOS). Le pare-feu ne prend pas en charge le Cisco Secure Firewall chassis manager FXOS; seule une interface de ligne de commande limitée est prise en charge à des fins de dépannage. Consultez la section Guide de dépannage Cisco FXOS pour la gamme Firepower 1000/2100 de défense contre les menaces...
SSH vers l’interface de gestion à partir d’un réseau distant, sauf si vous ajoutez une route statique pour l’interface de gestion à l’aide de la commande configure network static-routes. Guide de démarrage Cisco Firepower 1010...
Page 53
Illustration 13 : Avant de commencer Déployez et effectuez la configuration initiale de centre de gestion. Consultez le Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1600, 2600 et 4600ou Guide de démarrage de Cisco Secure Firewall Management Center Virtual.
(Facultatif) Vérifier le logiciel et installer une nouvelle version, à la commande ou page 54 Gestionnaire • Préconfiguration à l’aide de l'interface de ligne de commande, à la page 61 d'appareil • Pré-configuration à l'aide du Gestionnaire d'appareil, à la page 55 (administrateur central) Guide de démarrage Cisco Firepower 1010...
Centre de gestion Configurer une politique de sécurité de base, à la page (administrateur central) Préconfiguration de l'administrateur central Vous devez préconfigurer manuellement le défense contre les menaces avant de l’envoyer à la succursale. Guide de démarrage Cisco Firepower 1010...
Quelle version dois-je exécuter? Cisco recommande d’exécuter une version Gold Star indiquée par une étoile dorée à côté du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de version décrite dans https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html;...
• Déployez et effectuez la configuration initiale de centre de gestion. Consultez la section Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1600, 2600 et 4600. Vous devez connaître l'adresse centre de gestionIP ou le nom d'hôte avant de configurer l'appareil défense contre les menaces .
Page 58
Use OpenDNS (utiliser OpenDNS) pour recharger les adresses IP appropriées dans les champs. Firewall Hostname (nom d’hôte du pare-feu) : le nom d'hôte de l'adresse de gestion du système. b) Configurez la Time Setting (configuration de l'heure) (nTP) et cliquez sur Next (Suivant). Guide de démarrage Cisco Firepower 1010...
Page 59
Sélectionnez Device (appareil) > System Settings (paramètres système) > Central Management (gestion centrale), et cliquz sur Proceed (exécuter) pour mettre en place la gestion du centre de gestion. Étape 8 Configurez les Détails du Centre de gestion/CDO. Guide de démarrage Cisco Firepower 1010...
Page 60
à centre de gestion à l’aide d’une adresse IP ou d’un nom d’hôte, ou sur No (non) si lecentre de gestion se trouve derrière le NAT ou n’a pas d’adresse IP ou de nom d’hôte public. Guide de démarrage Cisco Firepower 1010...
Page 61
De plus, les serveurs DNS locaux ne sont conservés par le centre de gestion si les serveurs DNS ont été découverts lors de l'enregistrement initial. c) Pour le centre de gestion/interface d accès CDOextérieure. Guide de démarrage Cisco Firepower 1010...
Page 62
Cisco Trusted Root CA afin que le défense contre les menaces puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le défense contre les menaces prend en charge tout serveur DDNS qui utilise la spécification DynDNS Remote API...
Déployez et effectuez la configuration initiale de centre de gestion. Consultez la section Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1600, 2600 et 4600. Vous devez connaître l'adresse IP centre de gestion ou le nom d'hôte avant de configurer l'appareil défense contre les menaces .
Page 64
Cependant, tous ces paramètres peuvent être modifiés ultérieurement au niveau de l’interface de ligne de commande à l’aide des commandes configure network. Consultez Références de commandes pour Cisco Secure Firewall Threat Defense.
Page 65
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect.
Page 66
• Si vous configurez une URL de mise à niveau du serveur DDNS, le défense contre les menaces ajoute automatiquement les certificats de toutes les principales autorités de certification du groupe Cisco Trusted Root CA afin que le défense contre les menaces puisse valider le certificat du serveur DDNS pour la connexion HTTPS.
Page 67
Configuration done with option to allow manager access from any network, if you wish to change the manager access network use the 'client' option in the command 'configure network management-data-interface'. Setting IPv4 network configuration. Network settings changed. > Guide de démarrage Cisco Firepower 1010...
Après avoir reçu défense contre les menaces du siège central, il ne vous reste plus qu'à câbler et à mettre le pare-feu sous tension pour qu'il ait accès à Internet depuis l'interface extérieure. L’administrateur central peut alors terminer la configuration. Guide de démarrage Cisco Firepower 1010...
Le centre de gestion et votre ordinateur gestionnaire résident dans un siège social distant, et peuvent accéder au défense contre les menaces par Internet. Pour câbler la Firepower 1010, suivez les étapes ci-après. Illustration 18 : Câblage d un déploiement de gestion à distance Procédure...
Utilisez centre de gestion pour configurer et surveiller défense contre les menaces . Avant de commencer Pour en savoir plus sur les navigateurs pris en charge, consultez les notes de version pour la version que vous utilisez (voir https://www.cisco.com/go/firepower-notes). Guide de démarrage Cisco Firepower 1010...
Page 71
Assurez-vous que votre compte de licences Smart contient les licences disponibles dont vous avez besoin. Lorsque vous avez acheté votre appareil auprès de Cisco ou d’un revendeur, vos licences doivent avoir été associées à votre compte de gestion des licences Smart Software. Cependant, si vous devez ajouter des licences vous-même, utilisez le champ de recherche de produits et de solutions (Find Products and Solutions) de...
Page 72
• L'adresse IP ou le nom d'hôte du gestionnaire défense contre les menaces , et l'ID NAT. • La clé d'enregistrement centre de gestion Procédure Étape 1 Dans le centre de gestion, sélectionnez Devices (appareils) > Device Management (gestion des appareils). Guide de démarrage Cisco Firepower 1010...
Page 73
• Registration Key (clé d'enregistrement) : Saisissez la clé d'enregistrement que vous avez spécifiée dans la défense contre les menaces configuration initiale du . • Domain (domaine) : Attribuez le périphérique à un domaine feuille si vous avez un environnement multidomaine. Guide de démarrage Cisco Firepower 1010...
Page 74
Cliquez sur Register (enregistrer) (enregistrer et ajouter un autre appareil) et confirmez la réussite de l’enregistrement. Si l'enregistrement réussit, le périphérique est ajouté à la liste. S’il échoue, un message d’erreur s’affiche. Si l'enregistrement de défense contre les menaces échoue, vérifiez les éléments suivants : Guide de démarrage Cisco Firepower 1010...
Page 75
Vous pouvez définir la clé d’enregistrement et l’ID NAT sur défense contre les menaces à l’aide de la commande configure manager add. Pour plus d’information sur le dépannage, voir https://cisco.com/go/fmc-reg-error. Configurer une politique de sécurité de base Cette section décrit comment configurer la politique de sécurité de base au moyen des paramètres importants suivants : •...
Page 76
(Facultatif) Modifiez l’ID du VLAN; la valeur par défaut est 1. Vous allez ensuite ajouter une interface VLAN correspondant à cet ID. d) Cliquez sur OK. Étape 5 Ajouter une interface VLAN interne. a) Cliquez Add Interfaces (ajoutez des interfaces) > VLAN Interface (interfaces VLAN). Guide de démarrage Cisco Firepower 1010...
Page 77
Vous ne pouvez pas modifier le numéro VLAN après avoir enregistré l’interface; le numéro VLAN est à la fois la balise VLAN utilisée et l'ID d'interface dans votre configuration. g) Cliquez sur l'onglet IPv4 ou IPv6. Guide de démarrage Cisco Firepower 1010...
Page 78
Dans la liste déroulante Security Zone (zone de sécurité), choisissez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur New (nouveau). Par exemple, ajoutez une zone appelée outside_zone. b) Cliquez sur OK. Guide de démarrage Cisco Firepower 1010...
NAT est appelé interface Port Address Translation (PAT). Procédure Étape 1 Choisissez Devices (appareils) > NAT, et cliquez sur New Policy (nouvelle politique) > Threat Defense NAT (nAT de défense contre les menances). Guide de démarrage Cisco Firepower 1010...
Page 80
• Type : Choisissez Dynamic (dynamique). Étape 5 Dans la page Interface Objects (objets d'interface), ajoutez la zone externe du champ Available Interface Objects (objets d'interface disponibles) dans la zone Destination Interface Objects (objets d'interface de destination). Guide de démarrage Cisco Firepower 1010...
Page 81
Vous ne pouvez pas utiliser l’objetany-ipv4 défini par le système, car les règles de NAT Remarque automatiques ajoutent la NAT dans la définition de l’objet, et vous ne pouvez pas modifier les objets définis par le système. Guide de démarrage Cisco Firepower 1010...
Cliquez sur Add Rule (ajouter une règle) et définissez les paramètres suivants : • Name (nom) : Nommez cette règle, par exemple inside_to_outside. • Source Zones (zones source) : Sélectionnez la zone intérieure sous Available Zones (zones disponibles), et cliquez sur Add to Source pour l’ajouter. Guide de démarrage Cisco Firepower 1010...
Page 83
Pour l'interface de gestion, afin de configurer une liste d'accès SSH, consultez la commande configure ssh-access-list dans la Références de commandes pour Cisco Secure Firewall Threat Defense. Pour configurer une voie de routage statique, voir la commande configure network static-routes. Par défaut, vous configurez la voie de routage par défaut via l’interface de gestion, lors de la configuration initiale.
Page 84
Add. Ces règles ne seront appliquées à un appareil que si celui-ci comprend les interfaces ou les zones sélectionnées. c) Cliquez sur OK. Étape 4 Cliquez sur Save (enregistrer). Guide de démarrage Cisco Firepower 1010...
Page 85
Illustration 22 : Déployer tout Illustration 23 : Déploiement avancé Étape 3 Assurez-vous que le déploiement réussit. Cliquez sur l'icône à droite du bouton Deploy (déployer) dans la barre de menus pour voir l'état des déploiements. Guide de démarrage Cisco Firepower 1010...
(voir le guide matériel du Firepower 1010 et le ). Le port de console est par défaut le Interface de ligne de commande FXOS. Utilisez les paramètres de série suivants : • 9 600 bauds •...
à données), si les interfaces et les paramètres réseau ne sont pas configurés correctement, vous pouvez perdre la connectivité de gestion. Cette rubrique vous aide à résoudre les problèmes de perte de connectivité de gestion. Guide de démarrage Cisco Firepower 1010...
Page 89
Dans l'interface de ligne de commande défense contre les menaces , utilisez la commande suivante pour envoyer un message Ping à centre de gestion à partir de l'interface de gestion, qui devrait être distribuée par le fond de panier vers les interfaces de données : ping system fmc_ip Guide de démarrage Cisco Firepower 1010...
Page 90
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area Guide de démarrage Cisco Firepower 1010...
Page 91
> show conn address 10.89.5.35 5 in use, 16 most used Inspect Snort: preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect TCP nlp_int_tap 10.89.5.29(169.254.1.2):51231 outside 10.89.5.35:8305, idle 0:00:04, Guide de démarrage Cisco Firepower 1010...
• Seul le déploiement précédent est disponible localement sur défense contre les menaces ; vous ne pouvez pas restaurer les déploiements précédents. • La restauration n'est pas prise en charge pour les déploiements à haute disponibilité ou en grappe. Guide de démarrage Cisco Firepower 1010...
Page 93
Dans centre de gestion, vérifiez l'état de la connectivité de gestion sur la page Devices (appareils) > Device Management (gestion de l'appareil) > Device (appareil) > Management (gestion) > FMC Access Details (détails d'accès FMC) > Connection Status (état de la connexion). Guide de démarrage Cisco Firepower 1010...
Page 94
Pour continuer à configurer votre défense contre les menaces , consultez les documents disponibles pour votre version de logiciel à Orientation dans la documentation Cisco Firepower. Pour des informations relatives à l'utilisation de centre de gestion, consultez le Guide de configuration de Firepower Management Center. Guide de démarrage Cisco Firepower 1010...
Le pare-feu exécute un système d'exploitation sous-jacent appelé le Cisco Secure Firewall eXtensible Operating System (FXOS). Le pare-feu ne prend pas en charge le Cisco Secure Firewall chassis manager FXOS; seule une interface de ligne de commande limitée est prise en charge à des fins de dépannage. Consultez la section Guide de dépannage Cisco FXOS pour la gamme Firepower 1000/2100 de défense contre les menaces...
Quelle est l'étape suivante?, à la page 121 Procédure de bout en bout Consultez les tâches suivantes pour déployer défense contre les menaces avec gestionnaire d'appareil sur votre châssis. Pré-configuration Installez le pare-feu. Reportez-vous au guide d'installation du matériel. Guide de démarrage Cisco Firepower 1010...
NAT pour vos réseaux internes.Si vous devez configurer PPPoE pour que l’interface externe se connecte à votre fournisseur de services Internet, vous pouvez le faire après avoir terminé la configuration initiale dans gestionnaire d'appareil. Guide de démarrage Cisco Firepower 1010...
Page 98
IP interne pour qu’elle se trouve sur le réseau existant. La figure suivante montre le déploiement du réseau par défaut pourdéfense contre les menaces pour l'utilisation du gestionnaire d'appareil avec la configuration par défaut. Guide de démarrage Cisco Firepower 1010...
(BVI) 1 • externe : Ethernet 1/1, adresse IP à partir de DHCP IPv4 et de l’autoconfiguration IPv6 • flux de trafic interne → externe • management (gestion) : Management 1/1 (gestion) Guide de démarrage Cisco Firepower 1010...
2620:119:35::35 ou les serveurs que vous définissez pendant la configuration. Les serveurs DNS obtenus à partir du protocole DHCP ne sont jamais utilisés. • NTP : Serveurs NTP de Cisco : 0.sourcefire.pool.ntp.org, 1.sourcefire.pool.ntp.org, 2.sourcefire.pool.ntp.org ou les serveurs que vous définissez pendant la configuration.
Le câblage initial est le même pour les deux versions. Assurez la gestion de Firepower 1010 au moyen de l’interface de gestion Management 1/1 ou de l’Ethernet 1/2 à 1/8. Selon la configuration par défaut, Ethernet 1/1 est également défini comme externe.
Reliez le cordon d’alimentation avec l’appareil, puis branchez-le dans une prise électrique. L’alimentation s’allume automatiquement lorsque vous branchez le cordon d’alimentation. Étape 2 Vérifiez le voyant d’alimentation DEL à l’arrière ou sur le dessus de l’appareil; s’il est vert, l’appareil est sous tension. Guide de démarrage Cisco Firepower 1010...
Quelle version dois-je exécuter? Cisco recommande d’exécuter une version Gold Star indiquée par une étoile dorée à côté du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de version décrite dans https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html;...
IP de gestion, de la passerelle et d’autres paramètres réseau de base. Vous ne pouvez configurer que les paramètres de l'interface de gestion; vous ne pouvez pas configurer d’interfaces internes ou externes, que vous pouvez configurer ultérieurement dans l’interface graphique. Guide de démarrage Cisco Firepower 1010...
Page 105
Cependant, tous ces paramètres peuvent être modifiés ultérieurement au niveau de l’interface de ligne de commande à l’aide des commandes configure network. Consultez Références de commandes pour Cisco Secure Firewall Threat Defense. Procédure Étape 1...
Page 106
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1 Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect.
• Une règle d’accès qui fait confiance au trafic interne et externe. • Une règle d’interface NAT qui traduit tout le trafic interne vers externe vers des ports uniques sur l’adresse IP de l’interface externe. Guide de démarrage Cisco Firepower 1010...
Page 108
NTP Time Server (serveur horaire NTP) : sélectionnez cette option pour utiliser les serveurs NTP par défaut ou pour saisir manuellement les adresses de vos serveurs NTP. Vous pouvez ajouter plusieurs serveurs pour fournir des sauvegardes. Guide de démarrage Cisco Firepower 1010...
Smart Software Manager. Elle affecte également le châssis au compte virtuel approprié. Pour une vue d'ensemble plus détaillée sur les licences Cisco, allez à cisco.com/go/licensingguide La licence de base est incluse automatiquement. Les licences Smart ne vous empêchent pas d’utiliser les fonctionnalités que vous n’avez pas encore achetées.
Page 110
Assurez-vous que votre compte de licences Smart contient les licences disponibles dont vous avez besoin. Lorsque vous avez acheté votre appareil auprès de Cisco ou d’un revendeur, vos licences doivent avoir été associées à votre compte de gestion des licences Smart Software. Cependant, si vous devez ajouter des licences vous-même, utilisez le champ de recherche de produits et de solutions (Find Products and Solutions) de...
Page 111
Create Token (créer un jeton) : • Description • Expire After (expiration après) : Cisco recommande 30 jours. • Allow export-controlled functionality on the products registered with this token(autoriser la fonctionnalité de contrôle de l’exportation sur les produits enregistrés avec ce jeton : Active l’indicateur de conformité...
Page 112
Vous voyez la page de la licence Smart (Smart License). Étape 4 Cliquez sur Register Device (enregistrer l’appareil). Suivez ensuite les instructions de la boîte de dialogue Smart License Registration pour coller votre jeton : Guide de démarrage Cisco Firepower 1010...
Page 113
: Une fois que l’appareil a été enregistré et que vous avez actualisé la page, les éléments suivants apparaissent : Étape 6 Cliquez sur Enable/Disable (activer/désactiver) pour chaque licence facultative, au besoin. Guide de démarrage Cisco Firepower 1010...
Page 114
Défense contre les menaces Déploiement avec le Gestionnaire d'appareil Configurer les licences • Enable (activer) : Enregistre la licence avec votre compte Cisco Smart Software Manager et active les fonctionnalités contrôlées. Vous pouvez maintenant configurer et déployer les politiques contrôlées par la licence.
Dans l’exemple suivant, une interface est configurée pour être utilisée comme « zone démilitarisée » (DMZ), où vous placez des ressources accessibles au public, comme votre serveur Web. Lorsque vous avez terminé, cliquez sur Save (enregistrer). Illustration 30 : Modifier l interface Guide de démarrage Cisco Firepower 1010...
Page 116
Vous pouvez également affiner la liste WINS et DNS fournie aux clients dans l’onglet Configuration. L'exemple suivant montre comment configurer un serveur DHCP sur l'interface interne 2 avec l’ensemble d'adresses 192.168.4.50-192.168.4.240. Illustration 32 : Serveur DHCP Guide de démarrage Cisco Firepower 1010...
Page 117
à une autre. Si vous ajoutez d’autres zones de sécurité, vous avez besoin de règles pour autoriser le trafic en provenance et à destination de ces zones. Il s’agit de vos modifications minimales. Guide de démarrage Cisco Firepower 1010...
Page 118
En inscrivant sur la liste noire les mauvais sites connus, vous n’avez pas besoin de les prendre en compte dans votre politique de contrôle d’accès. Cisco fournit des flux régulièrement mis à jour d’adresses et d’adresses URL incorrectes afin que la liste noire issue des renseignements de sécurité se mette à jour de façon dynamique.
Page 119
(voir le guide matériel du Firepower 1010 et le ). Le port de console est par défaut le Interface de ligne de commande FXOS. Utilisez les paramètres de série suivants : • 9 600 bauds •...
Accéder à Défense contre les menaces et à l’interface de ligne de commande FXOS, à la page 117. Procédure Étape 1 Pour afficher le modèle matériel du périphérique, utilisez la commande show model. >show model Guide de démarrage Cisco Firepower 1010...
Ces informations sont également affichées dans show version system, show running-config et show inventory. Étape 3 Pour afficher des informations sur tous les produits Cisco installés dans le périphérique réseau auxquels sont attribués un identifiant de produit (PID), un identifiant de version (VID) et un numéro de série (SN), utilisez la commande show inventory.
Page 122
Étape 3 Surveillez les messages-guides du système lorsque le pare-feu se ferme. La notification suivante s’affichera : System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N] Guide de démarrage Cisco Firepower 1010...
Page 123
Pour continuer à configurer votre défense contre les menaces , consultez les documents disponibles pour votre version de logiciel à Orientation dans la documentation Cisco Firepower. Pour des informations relatives à l'utilisation de gestionnaire d'appareil, consultez Guide de configuration de Cisco Firepower Threat Defense pour Firepower Device Manager. Guide de démarrage Cisco Firepower 1010...
Page 124
Défense contre les menaces Déploiement avec le Gestionnaire d'appareil Quelle est l'étape suivante? Guide de démarrage Cisco Firepower 1010...
Page 125
Le pare-feu exécute un système d'exploitation sous-jacent appelé le Cisco Secure Firewall eXtensible Operating System (FXOS). Le pare-feu ne prend pas en charge le Cisco Secure Firewall chassis manager FXOS; seule une interface de ligne de commande limitée est prise en charge à des fins de dépannage. Consultez la section Guide de dépannage Cisco FXOS pour la gamme Firepower 1000/2100 de défense contre les menaces...
Prochaines étapes, à la page 174 À propos de la gestion par CDODéfense contre les menaces Solution infonuagique Cisco Secure Firewall Management Center La solution infonuagique centre de gestion offre bon nombre des mêmes fonctions qu’une solution locale centre de gestionet présente la même apparence. Lorsque vous utilisez CDO en tant que gestionnaire principal, vous pouvez utiliser un centre de gestion local à...
Procédure de bout en bout : Provisionnement à faible intervention Consultez les tâches suivantes pour déployer défense contre les menaces avec CDO à l’aide d’un provisionnement à faible intervention humaine. Guide de démarrage Cisco Firepower 1010...
Page 128
Ouvrez une session sur CDO, à la page 132. (CDO administrateur) Tâches en lien avec Présenter le numéro de série du pare-feu à l'administrateur central, à la page 136. les succursales (administrateur de la succursale) Guide de démarrage Cisco Firepower 1010...
Configurer une politique de sécurité de base, à la page 155. (CDO administrateur) Procédure de bout en bout : Assistant de préparation Consultez les tâches suivantes pour préparer le défense contre les menaces au CDO à l’aide de l’assistant de préparation. Guide de démarrage Cisco Firepower 1010...
Page 130
Tâches physiques Câbler le pare-feu, à la page 140. Tâches physiques Mettez le pare-feu sous tension, à la page 142. Préparation d'un appareil avec Onboarding Wizard (assistant de préparation), à la page 142. Guide de démarrage Cisco Firepower 1010...
Page 131
Assurez-vous que votre compte de licences Smart contient les licences disponibles dont vous avez besoin. Lorsque vous avez acheté votre appareil auprès de Cisco ou d’un revendeur, vos licences doivent avoir été associées à votre compte de gestion des licences Smart Software. Cependant, si vous devez ajouter des licences vous-même, utilisez le champ de recherche de produits et de solutions (Find Products and Solutions) de...
Page 132
Quelle version dois-je exécuter? Cisco recommande d’exécuter une version Gold Star indiquée par une étoile dorée à côté du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de version décrite dans https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html;...
Firepower# scope ssa Firepower /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ Enabled Online 7.2.0.65 7.2.0.65 Not Applicable Guide de démarrage Cisco Firepower 1010...
(OTP), qui est généré à la demande par Duo Security. Après avoir établi vos identifiants Cisco Secure Sign-On, vous pouvez vous connecter à CDO à partir de votre tableau de bord Cisco Secure Sign-On. Depuis le tableau de bord Cisco Secure Sign-On, vous pouvez également vous connecter à...
Page 135
Défense contre les menaces Déploiement avec CDO Créer un nouveau compte de connexion Cisco Secure Procédure Étape 1 Inscrivez-vous pour un nouveau compte Cisco Secure Sign-On. a) Rendez-vous sur https://sign-on.security.cisco.com. b) Au bas de l'écran de connexion, cliquez sur Sign up (s'inscrire).
Page 136
Après avoir cliqué sur Register (enregistrer), Cisco vous envoie un courriel de vérification à l'adresse avec laquelle vous vous êtes inscrit. Ouvrez le courriel et cliquez sur Activate Account (activer le compte).
Page 137
Cisco Secure Sign-On. Étape 5 Cliquez sur la vignette CDO appropriée sur le tableau de bord Cisco Secure Sign-on. La tuile CDO vous dirige vers https://defenseorchestrator.com, la tuile CDO (UE) vous dirige vers https://defenseorchestrator.eu...
Défense contre les menaces Déploiement avec CDO Déployer le pare-feu pour un provisionnement à faible intervention humaine Illustration 41 : Tableau de bord Cisco SSO Étape 6 Cliquez sur le logo de l’authentificateur pour sélectionner Duo Security ou Google Authenticator, si vous avez configuré...
Communiquez avec l'administrateur de CDO pour élaborer un calendrier d'intégration. Câbler le pare-feu Cette rubrique décrit comment connecter le Firepower 1010 à votre réseau de manière à ce qu'il puisse être géré par CDO. Si vous avez reçu un pare-feu dans votre succursale et que votre travail consiste à le brancher sur votre réseau, regardez cette vidéo.
Page 140
Vérifiez le voyant DEL d’état à l’arrière ou sur le dessus de l’appareil; s’il est vert, le système a réussi les diagnostics de mise sous tension. Étape 4 Observez la DEL d’état en arrière ou sur le dessus de l’appareil; lorsque le périphérique démarre correctement, la DEL d’état est verte et clignote rapidement. Guide de démarrage Cisco Firepower 1010...
Cisco, la DEL d’état est verte et clignote rapidement. En cas de problème, la DEL d’état clignote en orange et en vert et le périphérique n’atteint pas le nuage Cisco. Si cela se produit, assurez-vous que votre câble réseau est connecté à l’interface Ethernet 1/1 et à votre modem WAN.
Cette section décrit comment configurer le pare-feu pour la préparation à l’aide de l’assistant de préparation CDO. Câbler le pare-feu Cette rubrique décrit comment connecter le Firepower 1010 à votre réseau de manière à ce qu'il puisse être géré par CDO. Guide de démarrage Cisco Firepower 1010...
Page 143
Défense contre les menaces Déploiement avec CDO Câbler le pare-feu Illustration 44 : Câblage du Firepower 1010 Vous pouvez vous connecter à CDO sur l’interface externe ou l’interface de gestion, selon l’interface que vous avez définie pour l’accès du gestionnaire lors de la configuration initiale. Ce guide présente l’interface externe.
Vérifiez le voyant DEL d’état à l’arrière ou sur le dessus de l’appareil; s’il est vert, le système a réussi les diagnostics de mise sous tension. Préparation d'un appareil avec Onboarding Wizard (assistant de préparation) Intégrez le à l’aide de l’assistant de préparation de CDO à l’aide d’une clé d’enregistrement CLI.défense contre les menaces Guide de démarrage Cisco Firepower 1010...
Page 145
Effectuer la configuration initiale à l’aide du Gestionnaire d'appareil, à la page 149— Copiez les parties de la commande cdo_hostname, registration_key, et nat_id dans les champs Centre de gestion/Nom d'hôte du CDO/adresse IP, Centre de gestion/Clé d enregistrement du CDO, et NAT ID. Exemple : Guide de démarrage Cisco Firepower 1010...
Connectez-vous à l'interface de ligne de commande défense contre les menaces sur le port de console. Le port de commande se connecte à l'interface de ligne de commande FXOS. Étape 2 Connectez-vous avec le nom d’utilisateur admin et le mot de passe Admin123. Guide de démarrage Cisco Firepower 1010...
Page 147
Cependant, tous ces paramètres peuvent être modifiés ultérieurement au niveau de l’interface de ligne de commande à l’aide des commandes configure network. Consultez Références de commandes pour Cisco Secure Firewall Threat Defense.
Page 148
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192 Enter the IPv4 default gateway for the management interface [data-interfaces]: Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]: Enter a comma-separated list of search domains or 'none' []: If your networking information has changed, you will need to reconnect.
Page 149
• Si vous configurez une URL de mise à niveau du serveur DDNS, le défense contre les menaces ajoute automatiquement les certificats de toutes les principales autorités de certification du groupe Cisco Trusted Root CA afin que le défense contre les menaces puisse valider le certificat du serveur DDNS pour la connexion HTTPS.
Page 150
CDO. Reportez-vous à Préparation d'un appareil avec Onboarding Wizard (assistant de préparation), à la page 142 pour générer la commande. Exemple : > configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com Guide de démarrage Cisco Firepower 1010...
à votre fournisseur de services Internet et que votre fournisseur de services Internet utilise PPPoE pour fournir votre adresse IP. Vous pouvez configurer PPPoE une fois que l’installation de l’assistant est terminée. Guide de démarrage Cisco Firepower 1010...
Page 152
Cliquez sur Finish (terminer). e) Vous êtes invité à choisir Cloud Management (gestion en nuage) ou Standalone (autonome). Pour le CDO fourni dans Cisco Cloud centre de gestion, sélectionnez Standalone (autonome), puis Got It (j'ai compris). L’option de gestion du cloud est destinée aux fonctionnalités CDO/FDM existantes.
Page 153
Sélectionnez Device (appareil) > System Settings (paramètres système) > Central Management (gestion centrale), et cliquz sur Proceed (exécuter) pour mettre en place la gestion du centre de gestion. Étape 7 Configurez les détails du centre de gestion/CDO. Guide de démarrage Cisco Firepower 1010...
Page 154
Pour , connaissez-vous le nom d hôte ou l adresse IP du centre de gestion/CDO, cliquez sur Yes (oui). CDO génère la commande configure manager add. Reportez-vous à Préparation d'un appareil avec Onboarding Wizard (assistant de préparation), à la page 142 pour générer la commande. Guide de démarrage Cisco Firepower 1010...
Page 155
Si vous avez choisi une autre interface, vous devez configurer manuellement une route par défaut avant de Guide de démarrage Cisco Firepower 1010...
Page 156
Cisco Trusted Root CA afin que le défense contre les menaces puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le défense contre les menaces prend en charge tout serveur DDNS qui utilise la spécification DynDNS Remote API...
à l'aide de DHCP (Ethernet 1/1). Procédure Étape 1 Sélectionnez Devices(Appareils) > Device Management (gestion des appareils), et cliquez sur Modifier ( ) pour l'appareil. Étape 2 Cliquez sur Interfaces. Guide de démarrage Cisco Firepower 1010...
Page 158
(Facultatif) Modifiez l’ID du VLAN; la valeur par défaut est 1. Vous allez ensuite ajouter une interface VLAN correspondant à cet ID. d) Cliquez sur OK. Étape 5 Ajouter une interface VLAN interne. a) Cliquez Add Interfaces (ajoutez des interfaces) > VLAN Interface (interfaces VLAN). L'onglet General(général) s'affiche. Guide de démarrage Cisco Firepower 1010...
Page 159
Vous ne pouvez pas modifier le numéro VLAN après avoir enregistré l’interface; le numéro VLAN est à la fois la balise VLAN utilisée et l'ID d'interface dans votre configuration. g) Cliquez sur l'onglet IPv4 ou IPv6. Guide de démarrage Cisco Firepower 1010...
Page 160
Dans la liste déroulante Security Zone (zone de sécurité), choisissez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur New (nouveau). Par exemple, ajoutez une zone appelée outside_zone. b) Cliquez sur OK. Guide de démarrage Cisco Firepower 1010...
Page 161
Choisissez Devices (appareils) > NAT, et cliquez sur New Policy (nouvelle politique) > Threat Defense NAT (nAT de défense contre les menances). Étape 2 Nommez la politique, sélectionnez le ou les périphériques pour lesquels vous souhaitez utiliser la politique et cliquez sur Save (enregistrer). Guide de démarrage Cisco Firepower 1010...
Page 162
• Type : Choisissez Dynamic (dynamique). Étape 5 Dans la page Interface Objects (objets d'interface), ajoutez la zone externe du champ Available Interface Objects (objets d'interface disponibles) dans la zone Destination Interface Objects (objets d'interface de destination). Guide de démarrage Cisco Firepower 1010...
Page 163
Vous ne pouvez pas utiliser l’objetany-ipv4 défini par le système, car les règles de NAT Remarque automatiques ajoutent la NAT dans la définition de l’objet, et vous ne pouvez pas modifier les objets définis par le système. Guide de démarrage Cisco Firepower 1010...
Page 164
Modifier ( ) pour la politique de contrôle d'accès assignée à défense contre les menaces . Étape 2 Cliquez sur Add Rule (ajouter une règle) et définissez les paramètres suivants : • Name (nom) : Nommez cette règle, par exemple inside_to_outside. Guide de démarrage Cisco Firepower 1010...
Pour l'interface de gestion, afin de configurer une liste d'accès SSH, consultez la commande configure ssh-access-list dans la Références de commandes pour Cisco Secure Firewall Threat Defense. Pour configurer une voie de routage statique, voir la commande configure network static-routes. Par défaut, vous configurez la voie de routage par défaut via l’interface de gestion, lors de la configuration initiale.
Page 166
SSH. Pour les interfaces qui ne sont pas dans une zone, vous pouvez taper le nom de l'interface dans le champ sous la liste de la zone de sécurité sélectionnée et l’ajouter en Guide de démarrage Cisco Firepower 1010...
Illustration 50 : Déployer Étape 2 Cliquez sur Deploy All (tout déployer) pour déployer sur tous les périphériques ou cliquez sur Advanced Deploy (déploiement avancé) pour déployer sur les périphériques sélectionnés. Illustration 51 : Déployer tout Guide de démarrage Cisco Firepower 1010...
SSH. L’accès SSH aux interfaces de données est désactivé par défaut. Cette procédure décrit l'accès au port de la console, qui est par défaut le Interface de ligne de commande FXOS. Guide de démarrage Cisco Firepower 1010...
Page 169
(voir le guide matériel du Firepower 1010 et le ). Le port de console est par défaut le Interface de ligne de commande FXOS. Utilisez les paramètres de série suivants : • 9 600 bauds •...
Page 170
Dans l'interface de ligne de commande défense contre les menaces , affichez les paramètres de réseau de l'interface de données de gestion et d'accès du gestionnaire : show network > show network ===============[ System Information ]=============== Hostname : 5516X-4 Guide de démarrage Cisco Firepower 1010...
Page 171
CDO a été effectué. Remarque : Cette commande n'affichera pas l'état actuel de la connexion de gestion. show managers > show managers Type : Manager Host : account1.app.us.cdo.cisco.com Display name : account1.app.us.cdo.cisco.com Identifier : f7ffad78-bf16-11ec-a737-baa2f76ef602 Registration : Completed Management type : Configuration Guide de démarrage Cisco Firepower 1010...
Page 172
5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec Control Point Interface States: Interface number is 14 Interface config status is active Interface state is active Guide de démarrage Cisco Firepower 1010...
Page 173
Access - Configuration Details (accès au gestionnaire - Détails de la configuration) > CLI Output (extrant de l'interface de ligne de commande). show running-config sftunnel > show running-config sftunnel sftunnel interface outside sftunnel port 8305 show running-config ip-client Guide de démarrage Cisco Firepower 1010...
à partir de CDO qui a des répercussions sur la connectivité du réseau, vous pouvez restaurer la configuration sur le défense contre les menaces à la dernière configuration Guide de démarrage Cisco Firepower 1010...
Page 175
Rolling back complete configuration on the FTD. This will take time...... Policy rollback was successful on the FTD. Configuration has been reverted back to transaction id: Following is the rollback summary: ........> Guide de démarrage Cisco Firepower 1010...
Vous pouvez maintenant débrancher l'alimentation pour retirer physiquement le courant du châssis si nécessaire. Prochaines étapes Pour continuer la configuration de défense contre les menaces en utilisant CDO, consultez la page d’accueil Cisco Defense Orchestrator. Guide de démarrage Cisco Firepower 1010...
Le pare-feu exécute un système d'exploitation sous-jacent appelé le Cisco Secure Firewall eXtensible Operating System (FXOS). Le pare-feu ne prend pas en charge le Cisco Secure Firewall chassis manager FXOS; seule une interface de ligne de commande limitée est prise en charge à des fins de dépannage. Consultez la section Guide de dépannage Cisco FXOS pour la gamme Firepower 1000/2100 de défense contre les menaces...
Vous pouvez également accéder à l’interface de ligne de commande de FXOS à des fins de dépannage. Fonctionnalités non prises en charge Fonctions générales ASA non prises en charge Les fonctionnalités ASA suivantes ne sont pas prises en charge sur le Firepower 1010 : • Mode contexte multiple • Basculement actif/actif •...
• Balise du groupe de sécurité (SGT) Migration d une configuration ASA 5500-X Vous pouvez copier et coller une configuration ASA 5500-X dans le Firepower 1010. Cependant, vous devrez modifier votre configuration. Notez également certaines différences de comportement entre les plateformes.
Page 180
Assurez-vous de modifier les ID d’interface pour les faire correspondre aux nouveaux ID de matériel. Par exemple, l’ASA 5525-X comprend Management 0/0 et GigabitEthernet 0/0 à 0/5. Firepower 1120 comprend la gestion 1/1 et Ethernet 1/1 à 1/8. Guide de démarrage Cisco Firepower 1010...
Page 181
Configuration ASA 5500-X Firepower 1010 Commandes boot system Le Firepower 1010 ne permet qu'une seule commande boot system, vous devez donc supprimer toutes les commandes sauf L'ASA 5500-X permet jusqu'à quatre commandes boot system une avant de coller. En fait, vous n'avez besoin d'aucune pour spécifier l'image de démarrage à...
Page 182
Câbler l’appareil, à la page 184. Pré-configuration Mettez le pare-feu sous tension, à la page 13 Interface de ligne de (Facultatif) Changer l’adresse IP, à la page 186. commande ASA ASDM Connectez-vous à l'ASDM, à la page 187. Guide de démarrage Cisco Firepower 1010...
Page 183
Passer en revue le déploiement du réseau et la configuration par défaut La figure suivante montre le déploiement réseau par défaut pour Firepower 1010, qui fait appel à la configuration par défaut. Si vous connectez l’interface externe directement à un modem câble ou DSL, nous vous recommandons de mettre le modem en mode pont pour que l’ASA effectue l’ensemble du routage et de la NAT pour vos réseaux...
Configuration par défaut de Firepower 1010 Configuration par défaut de Firepower 1010 La configuration d'usine par défaut du Firepower 1010 concerne les éléments suivants : • Commutateur matériel : Ethernet 1/2 à 1/8 appartient à VLAN 1 • inside→outside (flux de trafic) : Ethernet 1/1 (externe), VLAN1 (interne) •...
Page 185
Déploiement d ASA avec ASDM Configuration par défaut de Firepower 1010 interface Vlan1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 no shutdown interface Management1/1 managment-only nameif management no shutdown security-level 100 ip address 192.168.45.1 255.255.255.0 interface Ethernet1/1 nameif outside...
Page 186
208.67.220.220 outside Câbler l appareil Assurez la gestion de Firepower 1010 au moyen de l’interface de gestion Management 1/1 ou de l’Ethernet 1/2 à 1/8 (ports de commutation internes). Selon la configuration par défaut, Ethernet 1/1 est également défini comme externe.
Assurez-vous donc que ces paramètres n'entrent pas en conflit avec les paramètres internes du réseau (voir Configuration par défaut de Firepower 1010, à la page 182). • Management 1/1 : Connectez votre ordinateur de gestion directement à l’interface de gestion Management 1/1.
Page 188
Begin to apply factory-default configuration: Clear all configuration Executing command: interface management1/1 Executing command: nameif management INFO: Security level for "management" set to 0 by default. Executing command: ip address 10.1.1.151 255.255.255.0 Executing command: security-level 100 Guide de démarrage Cisco Firepower 1010...
Avant de commencer • Consultez les notes de version d’ASDM sur Cisco.com pour connaître les exigences d’exécution d’ASDM. Procédure Étape 1 Entrez l'URL suivante dans votre navigateur. • https://192.168.1.1 : Adresse IP d’interface interne .Vous pouvez vous connecter à l’adresse interne sur n’importe quel port de commutation interne (Ethernet 1/2 à...
Page 190
Déploiement d ASA avec ASDM Configurer les licences La page Web Cisco ASDM s'affiche. Il est possible que des avertissements de sécurité s'affichent dans votre navigateur parce que le certificat n'est pas installé sur ASA; vous pouvez ignorer ces avertissements et visiter la page Web en toute sécurité.
Page 191
Dans ce cas-là, aucune action supplémentaire n’est requise. Si votre compte Smart n’est pas autorisé pour le cryptage renforcé, mais que Cisco a déterminé que vous êtes autorisé à utiliser le cryptage renforcé, vous pouvez ajouter manuellement une licence de cryptage renforcé à votre compte.
Page 192
Dans la boîte de dialogue Create Registration Token (créer un jeton d'enregistrement), entrez les paramètres suivants, puis cliquez sur Create Token (créer un jeton) : • Description • Expire After (expiration après) : Cisco recommande 30 jours. Guide de démarrage Cisco Firepower 1010...
Page 193
Vous pouvez éventuellement cocher la case Force registration (Forcer l'enregistrement) pour enregistrer le ASA qui est déjà enregistré, mais qui pourrait ne pas être synchronisé avec Cisco Smart Software Manager. Par exemple, utilsez Force registration (forcer l'enregistrement) si le ASA a été accidentellement retiré...
Page 194
Déploiement d ASA avec ASDM Configurer ASA Le ASA Le s'enregistre auprès de Cisco Smart Software Manager à l'aide de l'interface extérieure préconfigurée, et demande l'autorisation pour les droits de licence configurés. Le Cisco Smart Software Manager applique également la licence de cryptage renforcé (3DES/AES) si votre compte le permet. ASDM actualise la page lorsque l’état de la licence est mis à...
Page 195
(Facultatif) Dans le menu Wizards (assistants), exécutez d’autres assistants. Étape 4 Pour continuer à configurer votre ASA, consultez les documents disponibles pour votre version de logiciel à page d’orientation dans la documentation de la gamme Cisco ASA. Guide de démarrage Cisco Firepower 1010...
également passer en mode de configuration à partir du mode d'exécution privilégié. Pour quitter le mode d'exécution privilégié, entrez la commande disable, exitou quit. Étape 3 Accédez au mode de configuration globale. configure terminal Guide de démarrage Cisco Firepower 1010...
Page 197
Quelle est l'étape suivante? • Pour continuer de configurer votre ASA, reportez-vous aux documents disponibles pour votre version du logiciel dans la navigation de la documentation Cisco de la série ASA. • Pour le dépannage, consultez le guide de dépannage de FXOS.
Page 198
Déploiement d ASA avec ASDM Quelle est l'étape suivante? Guide de démarrage Cisco Firepower 1010...