FirePower (下一代防火墙)
{Back to Index}  

Table of Contents

1 特点

evolve.png

Figure 1: 防火墙的发展

传统防火墙主要分为基于包过滤 (ACL) 和基于状态检测的防火墙 UTM 如 ASA ,Fortinet 。
包过滤防火墙不能处理复杂应用,状态检测防火墙可以基于各种模块(如 Anti-Virus 模块,IPS 模块,文件类型检查模块,URL 检查模块等)对数据包进行 串行 分析,但效率通常低下。(不过 Fortinet 的产品效率较高)
下一代防火墙(由 Palo Alto 定义)也支持模块化处理,但模块间融合度较高,可以做到 并行 地对数据包进行处理,提高了处理效率。

utm-packet.png

Figure 2: UTM 对数据包处理过程

ngfw-packet.png

Figure 3: 下一代防火墙对数据包处理过程

FTP 底层其实是 ASA ,即网络功能(路由转发)还是由 ASA 提供,入侵防御功能是由 FirePower 模块提供支持的。

2 初始化配置 1

basic.png

Figure 4: 实验拓扑

不知道是不是模拟器的 bug ,FTDv 的 management0/0Gi0/0 口居然使用了相同的 mac 地址,导致通信会出问题,因此尽量避免使用 Gi0/0 口。

该实验的目的只是为了完成基本初始化操作,即将 FTDv 注册到 FMC ,同时保证 Win10 经由防火墙能与外部通信正常。

2.1 FTD 初始化

配置基本地址信息 
> show network
===============[ System Information ]===============
Hostname                  : vFTD
DNS Servers               : 64.104.76.247
Management port           : 8305
IPv4 Default route
  Gateway                 : 10.1.1.10

======================[ br1 ]=======================
State                     : Enabled
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : 00:50:00:00:01:01
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.1.1.200
Netmask                   : 255.255.255.0
Broadcast                 : 10.1.1.255
指定 FMC 
> configure manager add 10.1.1.100 Cisc0123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

2.2 FMC 初始化

###################################################
#                Switch to root                   #
###################################################
admin@firepower:~$ sudo su -
Password:
Last login: Sat Mar 12 12:52:19 UTC 2022 on pts/0
root@firepower:~#



###################################################
#               Configure Network                 #
###################################################
root@firepower:~# configure-network

Do you wish to configure IPv4? (y or n) y

Management IP address? [10.1.1.100]
Management netmask? [255.255.255.0]
Management default gateway? [10.1.1.10]

Management IP address?         10.1.1.100
Management netmask?            255.255.255.0
Management default gateway?    10.1.1.10

Are these settings correct? (y or n) y

Do you wish to configure IPv6? (y or n) n

Updated network configuration.

Updated comms. channel configuration.

Please go to https://10.1.1.100/ to finish installation.
授权

smartlicense.png

Figure 5: 注册 License

预留一个全通策略

create-policy-acl.png

Figure 6: 新建策略,直接保存

trust-all.png

Figure 7: 调整 Default Action

添加 FTD 设备

add-device.png

Figure 8: Add Device

add-device2.png

Figure 9: Add Device detail

配置接口路由信息(记得Save/Deploy)

edit-ifc.png

Figure 10: 配置各个接口名称地址信息

add-static-route.png

Figure 11: 添加静态路由

Footnotes:

1

FTD/FMC 初始密码 admin/Admin123

Author: Hao Ruan (ruanhao1116@gmail.com)

Created: 2022-03-11 Fri 22:18

Updated: 2022-03-17 Thu 11:02

Emacs 27.2 (Org mode 9.4.4)