Анализ и устранение проблем при внедрении сервисов...
TRANSCRIPT
![Page 1: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/1.jpg)
Михаил Кадер
Инженер Cisco по вопросам информационной безопасности в России и других странах СНГ
Май 17, 2016
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA
Cisco Support Community
Expert Series Webcast
![Page 2: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/2.jpg)
Вебинар на русском языке
Июнь 21, 2016
В ходе данной презентации будут рассмотрены варианты как классического дизайна ЦОД, так и основанные на дизайне фабрики APIC. Основное внимание будет уделено вариантам сегментации, изоляции сервисов, методам борьбы с совеременными угрозами, характерными для ЦОД. Также будут даны практические рекомендации по дизайну и сопровождению современных ЦОД.
Варианты дизайна и лучшие практики
создания современного безопасного
ЦОД
https://supportforums.cisco.com/event/12486661/expert-webcast-troubleshooting-speed-and-confidence-network-
engineers
Руслан Иванов
![Page 3: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/3.jpg)
Как стать активным участником? Легко!
• Создавайте документы, пишите блоги, загружайте
видео, отвечайте на вопросы пользователей.
• Вклад оценивается на основе таблицы лидеров
• Также оценивается количество документов, блогов и
видео, созданных пользователем.
• Вклад оценивается только по русскоязычному
сообществу, не включая рейтинг, набранный в
глобальном Cisco Support Community.
Премия "Самый активный участник Сообщества Поддержки Cisco"
![Page 4: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/4.jpg)
Оцени контент
Ваши оценки контента дают возможность атворам получать баллы.
Хотите чтобы поиск был удобным и простым? Помогите нам распознать качественный контент в Сообществе. Оценивайте документы, видео и блоги.
Пожалуйста, не забывайте оценивать ответы пользователей, которые щедро делятся своим временем и опытом
https://supportforums.cisco.com/ru/community/4926/pomoshch-help
![Page 5: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/5.jpg)
17 мая 2016 – 27 мая 2016
Сессия «Спросить Эксперта» с Михаилом Кадером и Русланом Ивановым
Получить дополнительную информацию, а также задать вопросы эксперту в рамках данной темы Вы можете на странице, доступной по ссылке: https://supportforums.cisco.com/community/russian/expert-corner Вы можете получить видеозапись данного семинара и текст сессии Q&A в течении ближайших 5 дней по следующей ссылке https://supportforums.cisco.com/community/russian/expert-corner/webcast
![Page 6: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/6.jpg)
Конкурс “Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA”
17 мая в 14:00 мск
Мы предлагаем Вам принять участие в конкурсе после проведения вебкаста, который так и будет называться «Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA»
• Первые три победителя получат фирменную флеш-карту Cisco
Support Community
• Ответы присылайте на [email protected]
• Задание конкурса будет размещено сегодня после проведения
вебкаста
![Page 7: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/7.jpg)
Скачать презентацию Вы можете по ссылке:
https://supportforums.cisco.com/ru/document/13014611
Спасибо, что присоединились к нам сегодня!
![Page 8: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/8.jpg)
Присылайте Ваши вопросы!
Используйте панель Q&A, чтобы
задать вопрос.
Наш эксперт Руслан ответит на них.
Сегодняшняя
презентация включает
опросы аудитории
Пожалуйста, примите
участие в опросах!
![Page 9: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/9.jpg)
Михаил Кадер
Инженер Cisco по вопросам информационной безопасности в России и других странах СНГ
Май 17, 2016
Cisco Support Community Expert Series Webcast
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA
![Page 10: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/10.jpg)
Вопрос 1
На каких устройствах Cisco ASA можно внедрить Firepower Services
1. На всех устройствах Cisco ASA
2. Только на устройствах Cisco ASA 5500-X
3. Только на устройствах нового поколения Firepower 4100
![Page 11: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/11.jpg)
Введение
![Page 12: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/12.jpg)
Сервисы по
безопасности,
доступные
по подписке
• Сервисы по подписке:
IPS, URL, расширенная защита
от угроз (AMP)
Управление
• Центр управления
FireSIGHT/FirePOWER (аппаратное или виртуальное устройство)
• ASDM (отдельные модели)
Оборудование
Общие сведения об устройстве Cisco ASA с сервисами FirePOWER
![Page 13: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/13.jpg)
Cisco FirePOWER обеспечивает эффективный контроль сети
Стандартный
NGFW
Сервисы
Cisco®
FirePOWER
Стандартная
IPS
![Page 14: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/14.jpg)
Лицензирование
• Управление модулем Cisco ASA FirePOWER осуществляется посредством CLI, FireSIGHT/FirePOWER Management Center или ASDM
• Для FirePOWER Management Center и модуля Cisco ASA FirePOWER требуются разные лицензии
• Они установлены в самом модуле Cisco FirePOWER и в Cisco FirePOWERManagement Center
• Дополнительные лицензии для Cisco ASA не требуются
![Page 15: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/15.jpg)
Лицензии на сервисы Cisco ASA FirePOWER
Ниже перечислены разные типы лицензий на сервисы Cisco ASA FirePOWER.
• Защита
• Контроль
• Вредоносное ПО
• Фильтрация URL-адресов
![Page 16: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/16.jpg)
Лицензии на сервисы Cisco ASA FirePOWER
Защита
• обнаружение и предотвращение вторжений
• контроль файлов
• фильтрация данных безопасности на основе анализа
Контроль
• контроль пользователей и приложений
Вредоносное ПО
• расширенная защита от угроз (обнаружение и блокировка вредоносного ПО с использованием сетевых ресурсов)
Фильтрация URL-адресов
• фильтрация URL-адресов на основе категории и репутации
• расшифровка HTTPS
![Page 17: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/17.jpg)
17
Cisco ASA с FirePOWER — линейный режим
Политика межсетевого
экрана
ASA
Расшифровка VPN
внутренний
трафик
внешний
трафик
Проверка FirePOWER
ПО ASA FirePOWER
![Page 18: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/18.jpg)
18
Cisco ASA с FirePOWER — пассивный режим
Политика межсетевого
экрана
ASA
Расшифровка VPN
внутренний
трафик
внешний
трафик
Проверка FirePOWER
ПО ASA FirePOWER
копирование
IP-пакетов
![Page 19: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/19.jpg)
19
Доступ к аппаратному модулю управления ASA 5585-X
FirePOWER Management 1/0
ASA Management 0/0
![Page 20: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/20.jpg)
20
Доступ к программному модулю управления
ASA 5506-X через ASA 5555-X
Интерфейс управления ASA FirePOWER использует интерфейс управления ASA.
К модулю ASA FirePOWER можно подключиться через:
• SSH;
• Команда «session» на модулем ASA FirePOWER по внутренней шине;
• ASDM.
![Page 21: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/21.jpg)
Установка или повторная установка образа модуля FirePOWER
![Page 22: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/22.jpg)
22
Копирование образа загрузки (ASDM или CLI)
Или через TFTP, FTP, HTTP или HTTPS
с использованием команды copy.
![Page 23: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/23.jpg)
23
Восстановление/конфигурирование образа SFR
omar-asa# sw-module module sfr recover configure image disk0:/asasfr-5500x-
boot-5.3.1-152.img
omar-asa# sw-module module sfr recover boot
Module sfr will be recovered. This may erase all configuration and all data
on that device and attempt to download/install a new image for it. This may
take several minutes.
Recover module sfr? [confirm]
Recover issued for module sfr.
![Page 24: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/24.jpg)
Видео 1. Установка модуля FirePOWER
![Page 25: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/25.jpg)
![Page 26: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/26.jpg)
Настройка модуля FirePOWER
![Page 27: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/27.jpg)
Видео 2. Настройка модуля FirePOWER
![Page 28: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/28.jpg)
2
8
![Page 29: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/29.jpg)
Перенаправление трафика на модуль FirePOWER
omar-asa(config)# class-map firepower_class_map
omar-asa(config-cmap)# match any
omar-asa(config-cmap)# policy-map global_policy
omar-asa(config-pmap)# class firepower_class_map
omar-asa(config-pmap-c)# sfr fail-open
omar-asa(config-pmap-c)# sfr fail-open monitor-only
WARNING: Monitor-only mode should be used for demonstrations and evaluations
only. This mode prevents SFR from denying or altering traffic.
ERROR: You cannot configure both monitor-only and inline SFR modes on the ASA.
Remove any conflicting sfr commands and try again.
![Page 30: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/30.jpg)
30
Добавление FireSIGHT Management Center
• DONTRESOLVE — используется, только если FireSIGHT Management Center
недоступен напрямую.
• reg_key — буквенно-цифровой ключ регистрации, предназначенный
для регистрации устройства в FireSIGHT.
• nat_id — применяется, если для предыдущего параметра установлено значение
DONTRESOLVE.
configure manager add { hostname | IPv4_address | IPv6_address | DONTRESOLVE }
reg_key [ nat_id ]
![Page 31: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/31.jpg)
31
Добавление ASA в FireSIGHT
1
2
Добавление IP-адреса и ключа
регистрации модуля и ASA SFR
![Page 32: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/32.jpg)
Устранение неполадок Cisco ASA
![Page 33: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/33.jpg)
Полезные команды show ASA
![Page 34: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/34.jpg)
show module sfr
omar-asa# show module sfr Mod Card Type Model Serial No. ---- -------------------------------------------- ------------------ ----------- sfr FirePOWER Services Software Module ASA5512 FCH1652J3ER Mod MAC Address Range Hw Version Fw Version Sw Version ---- --------------------------------- ------------ ------------ --------------- sfr 0006.f62a.ee42 to 0006.f62a.ee42 N/A N/A 5.3.1-152 Mod SSM Application Name Status SSM Application Version ---- ------------------------------ ---------------- -------------------------- sfr ASA FirePOWER Up 5.3.1-152 Mod Status Data Plane Status Compatibility ---- ------------------ --------------------- ------------- sfr Up Up
![Page 35: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/35.jpg)
show module sfr log console omar-asa# show module sfr log console Displaying Console Log Information for Module sfr: *** *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img, ISO: , Num CPUs: 1, RAM: 1696MB, Mgmt MAC: 00:06:F6:2A:EE:42, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,cache=none,if=virtio, Dev Driver: virtio *** TIME: 18:21:43 EDT Apr 26 201 *** *** EVENT: Start Parameters Continued: RegEx Shared Mem: 0MB, Cmd Op: , Shared Mem Key: 8061, Shared Mem Size: 8, Log Pipe: /dev/ttyS0_vm3, Sock: /dev/ttyS1_vm3, Mem-Path: -mem-path /hugepages *** TIME: 18:21:43 EDT Apr 26 2015 *** Status: Mapping host 0x2aab15400000 to VM with size 8388608 Warning: vlan 0 is not connected to host network -------<output omitted>--------
![Page 36: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/36.jpg)
show module sfr details omar-asa# show module sfr details Getting details from the Service Module, please wait... Card Type: FirePOWER Services Software Module Model: ASA5512 Hardware version: N/A Serial Number: FCH1652J3ER Firmware version: N/A Software version: 5.3.1-152 MAC Address Range: 0006.f62a.ee42 to 0006.f62a.ee42 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 5.3.1-152 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.1.2 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.1.1 Mgmt web ports: 443 Mgmt TLS enabled: true
![Page 37: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/37.jpg)
show asp table classify domain sfr
Показывает созданные правила NP для направления
трафика в модуль ASA FirePOWER.
omar-asa# show asp table classify domain sfr Input Table in id=0x7fffdde969e0, priority=71, domain=sfr, deny=false hits=0, user_data=0x7fffded52c00, cs_id=0x0, use_real_addr, flags=0x0, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0 input_ifc=outside, output_ifc=any in id=0x7fffde316c90, priority=71, domain=sfr, deny=false hits=0, user_data=0x7fffded52c00, cs_id=0x0, use_real_addr, flags=0x10000, protocol=0 src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any dst ip/id=::/0, port=0, tag=any, dscp=0x0 input_ifc=outside, output_ifc=any
![Page 38: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/38.jpg)
Видео 3. Полезные команды show ASA
![Page 39: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/39.jpg)
![Page 40: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/40.jpg)
Полезные команды show модуля FirePOWER
![Page 41: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/41.jpg)
show network
> show network ---------------------------------------------------- IPv4 Configuration : manual Address : 192.168.1.2 Netmask : 255.255.255.0 Gateway : 192.168.1.1 MAC Address : 00:06:F6:2A:EE:42 Managemet port : 8305 ---------------------------------------------------- IPv6 Configuration : disabled Management port : 8305 ----------------------------------------------------
![Page 42: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/42.jpg)
show summary
> show summary --------------------[ omar-sfr ]-------------------- Model : ASA5512 (72) Version 5.3.1 (Build 152) UUID : b19d9bbc-a022-11e4-9698-971918eb426c VDB version : ---------------------------------------------------- ---------------[ GigabitEthernet0/0 ]--------------- Physical Interface : GigabitEthernet0/0 Type : ASA Security Zone : None Status : Enabled Load Balancing Mode : N/A ---------------[ GigabitEthernet0/1 ]--------------- Physical Interface : GigabitEthernet0/1 Type : ASA Security Zone : None Status : Enabled Load Balancing Mode : N/A
---------------[ GigabitEthernet0/5 ]--------------- Physical Interface : GigabitEthernet0/5 Type : ASA Security Zone : None Status : Enabled Load Balancing Mode : N/A ---------------------[ cplane ]--------------------- IPv4 Address : 127.0.4.1 ----------------------[ eth0 ]---------------------- Physical Interface : eth0 Type : Management Link Mode : Autoneg MDI/MDIX : Auto MTU : 1518 MAC Address : 00:06:F6:2A:EE:42 IPv4 Address : 192.168.1.2 ----------------------[ eth1 ]---------------------- ---------------------[ tunl0 ]---------------------- ----------------------------------------------------
![Page 43: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/43.jpg)
show memory & show interfaces
> show memory total used free shared buffers cached Mem: 1700340 552512 1147828 0 21596 101268 -/+ buffers/cache: 429648 1270692 Swap: 3097136 0 3097136
> show interfaces GigabitEthernet0/0 ---------------[ GigabitEthernet0/0 ]--------------- Physical Interface : GigabitEthernet0/0 Type : ASA Security Zone : None Status : Enabled Load Balancing Mode : N/A ----------------------------------------------------
![Page 44: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/44.jpg)
show dns
** Неверная конфигурация DNS — это одна из наиболее распространенных проблем при начальном развертывании модуля ASA FirePOWER.
System Support> show dns search cisco.com nameserver 172.18.108.34 nameserver 172.18.108.43
![Page 45: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/45.jpg)
show traffic-statistics
Show> show traffic-statistics -----------------[ Traffic Status ]----------------- Name : kvm_ivshmem Transmitted Bytes (TX) : 25322432 Recieved Bytes (RX) : 116978177842 Dropped Packets : 283
![Page 46: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/46.jpg)
Вопрос 2
Какие системы управления можно использовать для Firepower services на платформе Cisco ASA?
1. ASDM
2. FireSight
3. Firepower management console
4. Все из указанных выше
5. Только 1 и 2
![Page 47: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/47.jpg)
Команды диагоностики
![Page 48: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/48.jpg)
System Support
> system support System Support> application-identification-debug Generate application identification debug messages bootloader Display bootloader information capture-traffic Display traffic or save to specified file configure Change to Confguration mode dump-table Dump specified database tables to common file repository end Return to the default mode eotool Change to Enterprise Object Tool Mode exit Exit System Support Mode expert Invoke a shell file-malware-debug Generate file malware debug messages firewall-engine-debug Generate firewall debug messages firewall-engine-dump-user-identitdata Generate a file containing the current state of user identity within the firewall fstab Display the file systems table help Display an overview of the CLI syntax
![Page 49: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/49.jpg)
System Support (продолжение) history Disay the current session's command line history iptables Display IP packet filter rules logout Logout of the current CLI session network-options Display network options nslookup Look up an IP address or host name with the DNS servers ntp Show NTP configuration partitions Display partition information platform Display platform information pmtool Change to PMTool Mode repair-table Repair specified database tables rpms Display RPM information run-rule-profiling Run Rule Profiling scsi Show SCSI device information set-arc-mode Set the Automatic Resource Configuration optimization mode sftunnel-status Show sftunnel status show Change to Show Mode show-arc-mode Show the Automatic Resource Configuration optimization mode value silo-drain Assists with Disk Management swap Display swap information system Change to System Mod tail-logs Tails the logs selected by the user traceroute Find route to remote network utilization Display current system utilization view-files View files in the stem
![Page 50: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/50.jpg)
System generate-troubleshoot
TAC может попросить вас создать файлы отладки для помощи в диагностике
проблемы. Вы можете выбрать любой из перечисленных ниже вариантов для
выбора данных по отладке, предоставляемых модулем ASA FirePOWER.
System> generate-troubleshoot One or more subset options required. Displaying list of options: ALL - Run ALL Of The Following Options SNT - Snort Performance and Configuration PER - Hardware Performance and Logs SYS - System Configuration, Policy, and Logs DES - Detection Configuration, Policy, and Logs NET - Interface nd Network Related Data VDB - Discovery, Awareness, VDB Data, and Logs UPG - Upgrade Data and Logs DBO - All Database Data LOG - All Log Data NMP - Network Map Information
![Page 51: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/51.jpg)
System generate-troubleshoot (продолжение) С
озд
ани
е
Ко
пи
ро
вани
е
System> generate-troubleshoot ALL Starting /usr/local/sf/bin/sf_troubleshoot.pl... Please, be patient. This may take several minutes. The troubleshoot option code specified is ALL. Troubleshooting information successfully created at /var/common/results-01-26-20 16--184950.tar.gz
System> system file secure-copy omar.cisco.com omar dest_dir results-01-26-2016--184950.tar.gz The authenticity of host 'omar.cisco.com (172.18.104.139)' can't be established. ECDSA key fingerprint is 9b:f1:b2:62:04:65:be:29:94:af:09:9a:04:50:2c:0a. Are you sure you want to continue connecting (yes/no)? yes [email protected]'s password:******************* copy successful.
![Page 52: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/52.jpg)
Создание файлов отладки из ASDM
• В ASDM выберите Configuration > ASA FirePOWER Configuration > Tools > Troubleshooting.
• Нажмите Generate Troubleshooting Files.
Создание файлов отладки
• Выберите Monitoring > ASA FirePOWER Monitoring > Task Status.
• Найдите задание, которое соответствует созданным вами файлам отладки.
• После того как модуль FirePOWER создаст файлы отладки, статус вашего задания изменится на Completed.
• Для загрузки файлов выполните команды, появляющиеся в браузере. Файлы загружаются в один файл .tar.gz.
Получение файлов
![Page 53: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/53.jpg)
![Page 54: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/54.jpg)
![Page 55: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/55.jpg)
Видео 4. Полезные команды Show модуля FirePOWER
![Page 56: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/56.jpg)
![Page 57: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/57.jpg)
Поток пакетов через Cisco ASA с сервисами FirePOWER
![Page 58: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/58.jpg)
Обзор потока пакетов • Обработка входящего трафика — входящие ACL, дефрагментация IP, нормализация TCP,
перехват TCP, проверка протоколов, кластеризация/контроль трафика HA, расшифровка VPN и т. д.
• Обработка трафика сервисами FirePOWER — фильтрация URL, AVC, NGIPS, AMP и т. д.
• Обработка исходящего трафика — исходящие ACL, NAT, маршрутизация, шифрование VPN и т. д.
Пакеты перенаправляются в модуль FirePOWER с использованием модульной структуры политик (MPF) Cisco ASA.
Пример конфигурации MPF для отправки всего трафика в модуль FirePOWER Services
policy-map global_policy class class-default sfr fail-open service-policy global_policy global
![Page 59: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/59.jpg)
Обработка пакетов: порядок операций
• Модуль ASA обрабатывает все входящие пакеты согласно ACL, таблицам подключений, нормализации перед тем, как трафик направляется в модуль сервисов FirePOWER.
• ASA обеспечивает нормализацию потока и выбор/фильтрацию с учетом контекста для сервисов FirePOWER.
• Кластер ASA обеспечивает симметрию потока и высокую доступность (HA) для сервисов FirePOWER.
• Пакеты и потоки не отбрасываются сервисами FirePOWER.
• Пакеты помечаются для сброса или сброса с разрывом и отправляются назад в ASA.
• Это позволяет ASA удалять таблицы состояния соединения и отправлять сигналы сброса при необходимости.
RX
Pkt Входной
интерфейс
Существ.
соедин. NAT
неперев.
Разреш.
ACL
Проверка
Проверка
безоп.
NAT IP
Заголовок Выходной
интерфейс
L3
Маршрут TX
Pkt
Сервисы
FirePOWER
Модуль
L2
Адрес Нет
Да
Нет
DROP
Да
Нет
DROP
Нет DROP
Нет
DROP
Нет
DROP
Да Да Да
![Page 60: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/60.jpg)
Использование порта данных ASA 5585-X
• ASA SSP обрабатывает все входящие и исходящие пакеты
• FirePOWER SSP не выполняет напрямую обработку пакетов, кроме порта управления FirePOWER SSP.
• ASA конфигурирует и контролирует порты данных FirePOWER SSP.
CPU Матричный коммутатор
Механизм FirePOWER
Модуль SFR-SSP
CPU Матричный коммутатор
Мезонинный слот
Модуль ASA-SSP
ПОРТЫ
ПОРТЫ
![Page 61: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/61.jpg)
Советы по конфигурированию и масштабированию ASA FirePOWER
![Page 62: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/62.jpg)
Производительность: как измерить и почему это имеет значение?
Необходимо купить?
• Обновить существующую систему или купить новое устройство?
• Какие функции мне необходимы или желательны?
• Межсетевой экран, IPS, Контроль приложений, URL, защита от вредоносного
ПО?
• Перед DNS в ЦОД, выполняющими миллионы маленьких и быстрых операций,
или перед веб-серверами HTTP, обслуживающими обычные веб-страницы?
• ЦОД, обрабатывающий только внутренний трафик, или интернет-периметр,
через который проходит обычный интернет-трафик?
ВАША ПРОИЗВОДИТЕЛЬНОСТЬ ЗАВИСИТ от выбранных вами настроек!!
![Page 63: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/63.jpg)
Влияние местоположения на производительность
• Местоположение может влиять на производительность как прямо, так и косвенно.
• Прямое влияние на рабочую нагрузку могут оказывать разные типы трафика и разные размеры пакетов в среднем.
• Косвенное влияние оказывает объем вредоносного трафика на интернет-периметре, который может приводить к созданию большого количества событий, а также большее число журнальных записей по сравнению с ЦОД.
![Page 64: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/64.jpg)
• Анализ пропускной способности FirePOWER Services для ASA по сравнению с классическим модулем только с IPS.
• Протестировано с использованием транзакционного теста 440 байт HTTP, который использовался для классической IPS.
5506 5508 5512 5515 5516 5525 5545 5555 5585-10 5585-20 5585-40 5585-60
FirePOWER
Services
На ASA
90 180 100 150 300 375 575 725 1200 2000 3500 6000
Класси-
ческая IPS
на ASA
Н/Д Н/Д 150 250 Н/Д 400 600 850 1150 1500 3000 5000
![Page 65: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/65.jpg)
Мониторинг общей работоспособности системы FirePOWER
![Page 66: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/66.jpg)
Monitoring > Statistics
![Page 67: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/67.jpg)
Health Monitor
![Page 68: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/68.jpg)
Health > Policy
![Page 69: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/69.jpg)
Health Events
![Page 70: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/70.jpg)
Rule Profiling
В случае превышения подписки на систему FirePOWER
вы можете собрать дополнительные данные, чтобы
определить, какие компоненты устройства замедляют
ее работу.
Rule Profiling можно использовать
для создания данных, о том, какие правила
и подсистемы механизма обнаружения используют
наибольшее число циклов CPU.
![Page 71: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/71.jpg)
Rule Profiling
Rule Profiling перезапускает механизм обнаружения, что может повлиять на функциональность обнаружения и увеличить объем используемых мощностей ЦП.
![Page 72: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/72.jpg)
Rule Profiling > system support run-rule-profiling 15
You are about to profile
DE Primary Detection Engine (94854a60-cb17-11e3-a2f5-8de07680f9f3)
Time 15 minutes
WARNING!! Detection Engine will be restarted.
Intrusion Detection / Prevention will be affected
Please confirm by entering 'y': y
After confirming the execution, the rule profiling begins. The time to
complete the profiling counts down to zero minutes.
Restarting DE for profiling...done
Profiling for 15 more minutes...
Once complete, the shell prompt comes back.
Restarting DE for profiling...done
Profiling...done
Restarting DE with original configuration...in progress
![Page 73: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/73.jpg)
Rule Profiling
rule profiling создает файл .tgz.
> system file list
Feb 12 15:53 99364308 profiling.94854a60-a2f5-8de07680f9f3.1399909945.tgz
![Page 74: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/74.jpg)
Полезные команды (CLI)
• show alarms
• show arp-tables
• show audit-log
• show access-control-config
• show clustering ha-statistics
• show cpu
• show disk
• show disk-manager
![Page 75: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/75.jpg)
Полезные команды (CLI)
• show database processes
• show process-tree
• show processes -u user1
• show route
• система: создание файлов отладки
![Page 76: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/76.jpg)
Syslog
![Page 77: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/77.jpg)
Audit Log
![Page 78: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/78.jpg)
Проблемы синхронизации времени
![Page 79: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/79.jpg)
Проблемы NTP
![Page 80: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/80.jpg)
Конфигурация NTP
![Page 81: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/81.jpg)
Отображение информации NTP (CLI)
> show ntp
NTP Server : 127.0.0.2 (Cannot
Resolve)
Status : Being Used
Offset : -8.344 (milliseconds)
Last Update : 188 (seconds)
![Page 82: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/82.jpg)
Cisco ASA CLI Analyzer
![Page 83: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/83.jpg)
Cisco ASA CLI Analyzer
• Ссылка для загрузки (Mac/PC): https://cway.cisco.com/go/sa
• ASA System Diagnostics — использует знания Cisco TAC для анализа ASA и обнаружения известных проблем, например сбоев системы, ошибок конфигурации и случаев, не соответствующих передовым методикам.
• ASA Traceback Analyzer — сопоставляет первопричину сбоя с известной ошибкой, если у ASA есть история отказов системы. В случае обнаружения похожей ошибки предоставляются версии ASA, на которых она исправлена.
• ASA Top Talkers Tool — рассчитывает, какие подключения пропускают через ASA наибольший объем трафика в определенный отрезок времени.
• ASA Packet Tracer — позволяет администраторам моделировать отправку пакетов через ASA. В случае потери пакетов определяется функция или настройка конфигурации ASA, которая может помочь избежать этой ошибки.
![Page 84: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/84.jpg)
![Page 85: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/85.jpg)
Получение оповещений об известных проблемах с конфигурацией или операционным состоянием ASA
![Page 86: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/86.jpg)
Вопрос 3
Какая тема была бы интересной для следующей презентации:
1. Новые аппаратные платформы Cisco Firepower 4100
2. Основы внедрения средства мониторинга и обнаружения угроз Cisco Stealthwatch
![Page 87: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/87.jpg)
Отправьте свой вопрос сейчас! Используйте панель Q&A, чтобы задать вопрос.
Эксперты ответят на Ваши вопросы.
![Page 88: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/88.jpg)
Приглашаем Вас активно участвовать в Сообществе и социальных сетях
Vkontakte http://vk.com/cisco
Facebook http://www.facebook.com/CiscoSupportCommunity
Twitter https://twitter.com/CiscoRussia
You Tube http://www.youtube.com/user/CiscoRussiaMedia
Google+ https://plus.google.com/106603907471961036146
LinkedIn http://www.linkedin.com/groups/Cisco-Russia-CIS-3798428
Instgram https://instagram.com/ciscoru
Подписаться на рассылку [email protected]
![Page 89: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/89.jpg)
Мы также предоставляем Вашему вниманию Сообщества на других языках!
Если Вы говорите на Испанском, Португальском или Японском, мы приглашаем Вас принять участие в Сообществах:
Русское http://russiansupportforum.cisco.com
Испанское https://supportforums.cisco.com/community/spanish
Португальское https://supportforums.cisco.com/community/portuguese
Японское https://supportforums.cisco.com/community/csc-japan
Китайское http://www.csc-china.com.cn
Если Вы говорите на Испанском,
Португальском или Японском, мы
приглашаем Вас принять участие и вести
общение на Вашем родном языке
![Page 90: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/90.jpg)
Технические семинары в клубе Cisco Expo Learning Club
http://ciscoclub.ru/events
![Page 91: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/91.jpg)
Пожалуйста, участвуйте в опросе
Спасибо за Ваше внимание!
![Page 92: Анализ и устранение проблем при внедрении сервисов Firepower на устройствах Cisco ASA](https://reader034.vdocuments.site/reader034/viewer/2022050704/58e498401a28abf5428b4653/html5/thumbnails/92.jpg)