Firepower 系列笔记
这次讲Firepower系列,主要是ASA比较熟悉了,不会的也能查文档。FMC很多操作真是慢慢熟悉。
一些基本的操作之前有讲:
https://blog.51cto.com/9272543/2397002
使用脚本修改FMC的IP地址
sudo /usr/local/sf/bin/configure-network
FTD使用configure network和configure manager。
一: License
先说license,一种是传统license (classic license),NGIPSv, ASA with FirePOWER使用这些license。
而新的FTD全部使用smart license。
Smart license 组成部分:Base, Threat, Malware, URLfiltering。
其中Base license,包括了user认证,应用识别。
Threat license,包括IPS 策略(这是firepower最核心的东西)
Malware:其实就是AMP,还有可以结合杀毒软件的AMP Threat Grid。
URL filter:网页链接过滤,没啥好说的。
二:整体策略结构
那么多思科文档,连这个都没有!只有一个这个
但完全没说security intelligence, SSL policy等。
初学的话简直没法看,qyt总结的非常好。
Security Intelligence --> SSL policy (optional if you want to decrypt traffic) --> Network Analysis policy --> Access Control Policy --> Network Discovery Policy --> File policy --> Intrusion policy ---> Default action intrusion policy
如果你光看FMC的配置界面,你是完全想不到是这个逻辑顺序的。。。
一个个看过来,Security Intelligence,是思科提供的一个黑白名单功能。
其实没有什么可以配置的,只要FMC能访问到因特网,他就能自动下载这个名单。
Access Control Policy
User Base Authentication
Active Directory Integration
记住Firepower是需要手动download这些用户信息的。
为FMC申请证书,这个其实是openssl的操作方法,如果要考无线的IE,WLC也是这么操作的。
首先sudo su - 切换到root
openssl genrsa -des3 -out Fire.key 2048 //生成私钥密钥对
openssl req -new -key Fire.key -out Fire.csr //成成一个CSR
把这个CSR放到home目录下,因为Winscp用admin登录对于root目录是没有权限的
用WinSCP下载CSR和密钥对之后,申请证书时候仍然使用web类型
在FMC上导入Root CA和 internal certificate,
我的理解是,在做基于用户的认证之前需要配置identity policy
经过了大量的测试,我重装了FMC6.2.3 终于测试通过了。。。
进入页面之后输入用户名密码,
我们可以看到user activity。现实中,我并没有想到一个场景需要使用active authentication。如果有空,我会再做一个user agent的实验。当然据说Firepower 的identity policy非常不稳定,不建议使用。
Interactive Block
FMC有个奇怪的特性,当你测试过一个网页之后,它会记住这个连接,包括ip地址等。所以你要更改ip地址,清网页的cache,实际上很复杂。。。所以难怪在生产环境当中运维会非常痛苦。performance很奇怪。anyway。
我这里测试过,似乎URL是不能识别的,得用app,才会有个interactive block
点击continue就会通过了
查看日志我们可以发现,其实仍然记住了我的user info
又是一个很不靠谱的特性。。。
Security Intelligence,这个测试下来比较稳定。值得使用。
定义三个文件。
左边和右边分别是我部署这个SI之前与之后的对比。
youtube直接看不到了
当然这种情况是我自己定义的,如果需要查看SI具体的feeds。登录到FMC上做如下操作:
sudo su
cd /var/sf/iprep_download
Network Discovery Policy
但我个人感觉探测出来的不是很准。
我一台win10 检测出来是Win7 或者Win8,情何以堪。当然你可以手工修正这个OS,然后在有针对的打补丁。最大的问题是,为什么6.2.3了,连windows2016 的选项都没有!这个feature又是一个差评!
不过在discover完所有主机之后,可以在其基础上配置IPS policy。有个firepower recommendations。
File policy
IPS Policy
Katherine有一篇关于IPS policy的youtube非常好:
https://www.youtube.com/watch?v=CxUKj_tkpU0&t=273s
将IPS policy的层次,和在测试方法都讲了出来。
大致先讲那么多,考完安全,回头一看还有篇草稿。。。