امنیت و شبکه

آموزش cisco firepower به صورت تصویری

«یک دستگاه- یک تصویر» این امر، هدف سیسکو برای فایروال‌های نسل بعدی است. با این دیدگاه، سیسکو یک تصویر نرم‌افزاری یکپارچه به نام «Cisco Firepower Threat Defense» را ایجاد کرده است. در این مطلب از آموزش cisco firepower، نصب Firepower Threat Defense (FTD) بر روی دستگاه امنیتی Cisco ASA 5500-X پوشش داده می‌شود. همچنین گزینه‌های مدیریتی موجود (Firepower Management Center (FMC) که همان FireSIGHT قدیمی است و Firepower Device Manager (FDM)) توضیح داده خواهد شد.

آموزش cisco firepower

ابتدا معرفی مختصری در ابتدای آموزش سیسکو فایرپاور را ارائه می‌دهیم. Cisco Firepower Threat Defense (FTD)ابتدا یک تصویر نرم‌افزاری یکپارچه است که ترکیبی از ویژگی‌های Cisco ASA و خدمات Cisco FirePOWER است. این امر می‌تواند بر روی دستگاه‌های Cisco Firepower 4100 و Firepower 9300 Series و همچنین ASA 5506-X، ASA 5506H-X، ASA 5506W-X، ASA 5508-X، ASA 5512-X، ASA 5515-X، ASA 5516-X، ASA 5525-X، ASA 5545-X و ASA 5555-X مستقر گردد. با این حال، در زمان نگارش این مطلب، نرم‌افزار یکپارچه Cisco Firepower Threat Defense (FTD) نمی‌تواند بر روی دستگاه‌های Cisco ASA 5505 و 5585-X Series مستقر شود.

درک مدیریت و قابلیت‌های Cisco Firepower Threat Defense

ساده‌سازی مدیریت و عملیات فایروال‌های نسل بعدی سیسکو یکی از دلایل اصلی انتقال سیسکو به یک تصویر یکپارچه در تمام دستگاه‌های فایروالش است.

کاملترین مرجع آموزش شبکه در ایران + اعطای گواهینامه بازار کار

 

در حال حاضر، Firepower Threat Defense را می‌توان از طریق Firepower Device Management (مشابه ASDM سیسکو) و Firepower Management Center (که در ادامه‌ی آموزش تحلیل شده است) مدیریت کرد.

درک مدیریت و قابلیت‌های Cisco Firepower Threat Defense

باید توجه داشت که نرم‌افزار مدیریت Firepower تحت توسعه گسترده است. لذا در حال حاضر قادر به پشتیبانی از تمام گزینه‌های پیکربندی نیست. به همین دلیل بهتر است از Firepower Management Center برای مدیریت سیستم Cisco Firepower Threat Defense استفاده کنید.

Firepower Management Center، که به عنوان FMC یا FireSIGHT نیز شناخته می‌شود، به صورت یک سرور اختصاصی یا تصویر مجازی (سرور VM مبتنی بر لینوکس) موجود است که به FirePOWER یا Firepower Threat Defense متصل شده و به شما امکان می‌دهد که هر سیستم را به طور کامل مدیریت کنید. سازمان‌هایی که دارای چندین سیستم Firepower Threat Defense یا خدمات FirePOWER هستند، می‌توانند آنها را از طریق FMC ثبت و مدیریت کنند.

به طور جایگزین، کاربران می‌توانند دستگاه Firepower Threat Defense (FTD) را با استفاده از Firepower Device Manager (FDM) مدیریت کنند. این موضوع کاملاً مفهومی مشابه با ASDM است.

در حال حاضر، آخرین تصویر نرم‌افزاری یکپارچه Cisco Firepower Threat Defense (FTD) نسخه 6.2.x است. Cisco Firepower Threat Defense به طور مداوم خدمات فایروال نسل بعدی را که پشتیبانی می‌کند گسترش می‌دهد.

پیشنهاد مطالعه: آموزش cisco esa – راهنمی ساده و سریع

قابلیت‌های فایروال Stateful

در ادامه، فهرستی از قابلیت‌های فایروال stateful را مشاهده می‌کنید.

  • مسیریابی استاتیک و دینامیک. پشتیبانی از RIP، OSPF، BGP، مسیریابی استاتیک
  • سیستم‌های پیشگیری از نفوذ نسل بعدی (NGIPS)
  • فیلتر کردن URL
  • دید و کنترل برنامه (AVC)
  • حفاظت پیشرفته از بدافزار (AMP)
  • ادغام با Cisco Identity Service Engine (Cisco ISE)
  • رمزگشایی SSL
  • پرتال مهمان (Guest Web Portal)
  • مدیریت چند دامنه
  • محدود کردن نرخ
  • سیاست‌های ترافیک تونل‌شده
  • VPN سایت به سایت. فقط پشتیبانی از VPN سایت به سایت بین دستگاه‌های FTD و FTD به ASA
  • مسیریابی Multicast
  • NAT مشترک
  • مهاجرت پیکربندی محدود (ASA به Firepower TD)

در حالی که Cisco Firepower Threat Defense به طور فعال در حال توسعه و با ویژگی‌های فوق‌العاده‌ای پر می‌شود، ما معتقدیم که هنوز برای قرار دادن آن در محیط تولید زود است. چراکه هنوز مشکلات پایداری وجود دارد. بنابراین وجود این مشکلات (حداقل با تصویر FTD بر روی پلتفرم ASA)، باید با نسخه‌های نرم‌افزاری جدیدتر برطرف شود.

* نکته: اگر در حال حاضر در فرآیند نصب FTD بر روی ASA خود هستید، باید آن را به طور کامل آزمایش کنید قبل از اینکه آن را به محیط تولید معرفی کنید.

به دلیل مشکلاتی که با آن مواجه شدیم، مجبور به حذف نصب FTD با بازنویسی تصویر دستگاه ASA 5555-X خود با تصاویر Cisco ASA و FirePOWER Services شدیم. ما بر این باوریم که تصویر نرم‌افزاری یکپارچه «Cisco Firepower Threat Defense» بسیار امیدوارکننده است اما به زمان بیشتری نیاز دارد تا به نسخه‌ای بالغ و پایدارتر برسد.

مشکلات یا محدودیت‌های مواجه شده با Cisco Firepower Threat Defense

در حالی که پیاده‌سازی‌های کوچک ممکن است بتوانند غیاب بسیاری از ویژگی‌های مطلوب (مانند پشتیبانی از VPN IPSec) را جبران کنند، محیط‌های شرکتی مطمئناً با چالش‌های بیشتری مواجه خواهند شد.

آموزش پایتون برای مهندسین شبکه

 

بسته به محیط و نیازهای نصب، مشتریان با محدودیت‌ها یا مشکلات مختلفی مواجه خواهند شد. به عنوان مثال، در ASA 5555-X ما با تاخیرهای عمده‌ای در تلاش برای ارسال سیاست‌های جدید از Firepower Management Centre (FMC) به FTD ASA جدید تصویر شده مواجه شدیم. با اجرای تنها 5 سیاست، بیش از 2 دقیقه طول کشید تا آنها را از FMC به FTD ارسال کنیم.

ما همچنین متوجه شدیم که قادر به پیکربندی هیچ رابط EtherChannel نبودیم. این به ویژه برای سازمان‌هایی که دارای چندین منطقه DMZ و نیازهای ترافیکی با پهنای باند بالا هستند یک ضعف عمده محسوب می‌شود. سیسکو یک اعلام رسمی برای این موضوع دارد.

علاوه بر موارد فوق، هنگامی که تبدیل ASA خود را به نرم‌افزار FTD تکمیل کردیم، نیاز بود که یک درخواست خدمات TAC باز کنیم تا بتوانیم مجوز ASA خود را به تصویر FTD منتقل کنیم، که بار اضافی و سردرگمی غیرضروری را اضافه کرد. ما معتقدیم که این باید به طور خودکار در طول فرآیند نصب انجام می‌شد.

نحوه راه اندازی سرویس مدیریت سیکو فایرپاور به صورت تصویری (مرور سریع)

در این بخش به آموزش راه اندازی سرویس مدیریت سسیکو فایرپاور پرداخته‌ایم. بازنویسی دستگاه Cisco ASA 5555-X برای نصب تصویر Cisco Firepower Threat Defense نسبتاً ساده است. البته به شرطی که بدانید باید چه کاری انجام دهید. در اینجا مراحل به ترتیب باید اجرا شوند:

  • دانلود تصویر Boot و System Cisco Firepower Threat Defense
  • راه‌اندازی مجدد ASA و شکستن توالی راه‌اندازی/بوت
  • بارگذاری تصویر Boot و راه‌اندازی فایروال ASA
  • نصب نرم‌افزار سیستم Firepower Threat Defense

۱. دانلود تصویر Boot و System Cisco Firepower Threat Defense

با استفاده از یک حساب CCO معتبر که دارای امتیاز دانلود نرم‌افزار است، به آدرس زیر بروید: Downloads Home > Products Security > Firewalls > Next-Generation Firewalls (NGFW) > ASA 5500-X with FirePOWER Services و سپس نرم‌افزار Firepower Threat Defense را انتخاب کنید.

دانلود تصویر Boot و System Cisco Firepower Threat Defense

به طور جایگزین، می‌توانید بر روی URL زیر کلیک کنید: دانلود نرم‌افزار Firepower Threat Defense

سپس، آخرین نسخه تصویر بوت و سیستم را انتخاب و دانلود کنید. در مثال ما، این نسخه 6.2.0 است.

پیشنهاد مطالعه: آموزش cisco aci – راهنمای ساده و سریع

۲. راه‌اندازی مجدد ASA و قطع فرآیند راه‌اندازی/ بوت

وقتی آماده شدید، دستگاه ASA را مجدداً راه‌اندازی کنید. در طول فرآیند بوت، برای قطع کردن بوت، کلید Break یا Esc را فشار دهید:

* نکته: توصیه اکید می‌شود که قبل از ادامه مراحل بعدی که تنظیمات و تمام فایل‌ها را پاک می‌کند، یک نسخه پشتیبان کامل از پیکربندی و نرم‌افزار ASA تهیه کنید.

راه‌اندازی مجدد ASA و قطع فرآیند راه‌اندازی/ بوت

در این مرحله، موفق به قطع فرآیند بوت شده‌ایم و می‌توانیم به مرحله بعدی برویم.

۳. بارگذاری تصویر بوت و بوت کردن ASA فایروال

اکنون باید پارامترهای لازم را روی فایروال ASA پیکربندی کرده تا تصویر بوت Cisco Firepower Threat Defence را دانلود کند. اطمینان حاصل کنید که یک سرور FTP/TFTP نصب و پیکربندی شده است تا فایروال firepower بتواند فایل‌های تصویر/سیستم را دانلود کند.

آموزش VOIP سیسکو – CME

 

اکنون با استفاده از یک برنامه دسترسی به ترمینال، مانند Putty، به پورت کنسول ASA متصل شده و تنظیمات پورت سریال زیر را پیکربندی کنید:

  • 9600 baud
  • 8 بیت داده
  • بدون پاریتی
  • 1 بیت توقف
  • بدون کنترل جریان

اطمینان حاصل کنید که دستگاه Cisco ASA 5500-X نسخه رومون v1.1.8 یا بالاتر را اجرا می‌کند. این امر با استفاده از دستور IOS show module قابل انجام است تا اطمینان حاصل شود که بازآفرینی موفقیت‌آمیز خواهد بود. اگر نسخه رومون زودتر از v1.1.8 باشد، دستگاه ASA نیاز به بروزرسانی رومون دارد.

در مرحله بعد، فایروال ASA را با تنظیمات/ متغیرهای شبکه لازم پیکربندی کرده تا به تصویر و فایل‌های سیستم که قبلاً دانلود شده‌اند، دسترسی داشته باشد. فایروال ASA 5555-X از یک رابط مدیریتی داخلی استفاده می‌کند، بنابراین نیازی به مشخص کردن رابط مدیریتی نیست.

توضیحات دستورات:

  • Address: آدرس IP فایروال ASA
  • Server: سرور TFTP که از آن تصویر دانلود خواهد شد
  • Gateway: آدرس IP دروازه شبکه. ضروری است حتی اگر سرور TFTP در همان شبکه منطقی باشد
  • File: نام فایل
  • Set: نمایش تنظیمات رومون

دستور Sync پارامترهای NVRAM را ذخیره می‌کند و به طور مؤثر تغییرات پیکربندی را فعال می‌کند. توصیه می‌شود که سعی کنید سرور TFTP را پینگ کنید. این نه تنها تأیید می‌کند که سرور TFTP در دسترس است، بلکه جدول ARP فایروال ASA را نیز پر می‌کند:

وقتی آماده شدید، دستور tftpdnld را صادر کرده تا دانلود تصویر بوت به فایروال ASA آغاز شود. پس از دانلود، سیستم به طور خودکار فایل تصویر را بوت خواهد کرد:

همچنین به صورت می‌توانید با استفاده از دستور پینگ، اتصال به سرور TFTP/FTP را تأیید کنید:

۴. نصب نرم‌افزار سیستم Firepower Threat Defense

در این مرحله، فایروال ما با موفقیت تصویر بوت را دانلود و بوت کرده و آماده پذیرش تصویر سیستم خواهد بود. در خط فرمان عبارت setup را تایپ کرده و به سادگی مراحل را دنبال کنید. فرآیند راه‌اندازی پارامترهای مهم پیکربندی برای دستگاه FTD مانند نام میزبان، آدرس IP، ماسک زیرشبکه، دروازه، سرورهای DNS و بیشتر را جمع‌آوری خواهد کرد.

نصب نرم‌افزار سیستم Firepower Threat Defense بسیاری از سوالات پیکربندی شامل پاسخ‌های بله/خیر است. مقدار پیش‌فرضی که هنگام خالی گذاشتن پارامتر و فشار دادن Enter انتخاب خواهد شد، در براکت‌های مربع [ ] علامت‌گذاری شده است:

در این مرحله، مرحله پیکربندی اولیه دستگاه کامل شده و آماده برای شروع دانلود تصویر سیستم FTD است. برای شروع دانلود تصویر، از دستور system install ftp://10.32.4.150/ftd-6.2.0-362.pkg استفاده نموده و قسمت IP آدرس را با آدرس IP سرور FTP خود جایگزین کنید.

در طول نصب، فرآیند نیاز به اعتبارنامه‌های لازم برای احراز هویت با سرور FTP را درخواست خواهد کرد. درست قبل از نقطه‌ای که غیرقابل برگشت است، سیستم درخواست تأیید نهایی قبل از پاک کردن دیسک دستگاه و شروع به‌روزرسانی را خواهد کرد. هنگامی که نصب تصویر سیستم کامل شد، سیستم نیاز دارد تا کاربر Enter را فشار دهد تا راه‌اندازی مجدد شود.

* نکته: خروجی‌های غیرضروری مانند نقاط (….) برای راحتی خواندن و درک حذف شده‌اند.

دستگاه ASA FTD اکنون راه‌اندازی مجدد خواهد شد. در حالی که این فرآیند در حال انجام است، شما اطلاعات زیادی را در طول خاموش شدن و راه‌اندازی خواهید دید. هنگام بوت شدن به تصویر سیستم FTD برای اولین بار، طبیعی است که تعدادی پیام خطا/ هشدار مشاهده کنید. نگران این موضوع نباشید.

هنگامی که سیستم با موفقیت بوت شد، نیاز است که با نام کاربری پیش‌فرض (admin) و کلمه عبور (cisco123) وارد شده و سپس Enter را فشار دهید تا EULA سیسکو نمایش داده شود. شما باید در انتها با فشار دادن دوباره کلید Enter یا تایپ کردن YES آن را بپذیرید:

در نهایت، آخرین مرحله شامل تغییر کلمه عبور پیش‌فرض admin و پیکربندی دوباره تنظیمات شبکه سیستم است.

اگرچه ممکن است تکراری و بی‌فایده به نظر برسد که تنظیمات شبکه را در سه مرحله در طول نصب تصویر بوت و تصویر سیستم FTD پیکربندی کنید، این امکان را به شرکت‌ها می‌دهد که این وظایف آماده‌سازی لازم را در یک محیط جداگانه، مانند اتاق آزمایش، انجام دهند تا دستگاه را برای استقرار نهایی در محیط تولید آماده کنند.

مشابه مراحل قبلی، فشار دادن Enter مقادیر پیش‌فرض نمایش داده شده بین براکت‌های مربع [ ] را قبول می‌کند:

نماد بزرگ‌تر از > نشان‌دهنده این بوده که راه‌اندازی FTD تکمیل شده و در حال اجرا است.

اطلاعات بیشتر در مورد Cisco Firepower Threat Defense، از جمله راهنمای نصب و ارتقا، را می‌توانید در URL زیر سیسکو پیدا کنید:

اکنون می‌توانید با وارد کردن آدرس IP دستگاه ASA Firewall در مرورگر وب خود، به Cisco Firepower Device Manager وارد شوید:

پس از ورود، می‌توانید از طریق ویزارد پیکربندی دستگاه که به صورت مرحله به مرحله عمل می‌کند، مراحل لازم برای پیکربندی اولیه دستگاه جدید ASA FTD خود را دنبال کنید:

کاربران با تجربه Cisco Firepower Threat Defense می‌توانند بر روی لینک Skip device setup که در نوار پایینی صفحه قرار دارد، کلیک کنند.

خلاصه آموزش cisco firepower

فایروال تهدید پیشرفته (FTD) سیسکو، راه‌حل فایروال نسل بعدی است که به مرور زمان جایگزین نرم‌افزار ASA معروف خواهد شد. در حالی که FTD هنوز در سال‌های اولیه خود قرار دارد، با این حال به سرعت توسط سازمان‌های مختلف در سرتاسر جهان پذیرفته شده است. درک محدودیت‌های فعلی FTD پیش از انتقال آن به محیط تولید مهم است. به عنوان مثال، ویژگی‌های مهمی مانند VPN نقطه به نقطه در حال حاضر پشتیبانی نمی‌شود اما دارای یک رابط گرافیکی کاربرپسند و تمیز است!

آموزش CCNP ENCOR

 

برای بسیاری، نصب فایروال تهدید پیشرفته سیسکو بر روی دستگاه ASA می‌تواند یک کار گیج‌کننده باشد. راهنمای نصب فایر پاور cisco (تهدید پیشرفته سیسکو (FTD))، مطلب آموزش Cisco firepower ما به‌گونه‌ای طراحی شده است که فرآیند را ساده کند، با ارائه دستورالعمل‌های گام‌به‌گام در قالبی آسان برای درک، در حالی که گزینه‌های مدیریت فایروال تهدید پیشرفته سیسکو را نیز پوشش می‌دهد.

پیشنهاد مطالعه: آموزش انسیبل سیسکو به زبان ساده و گام به گام

آموزش سیسکو در مکتب خونه

یکی از مهم‌ترین آموزش‌ها در شاخه‌ی شبکه های کامپیوتری، آموزش سیسکو است. برای یادگیری مباحث مختلف در این زمینه، شما می‌توانید از دوره‌های آموزش سیسکو و آموزش شبکه مکتب خونه استفاده کنید. دوره‌های جامع مکتب خونه به شما در یادگیری مباحث مختلف نظیر آموزش firepower سیسکو، امنیت سیسکو، پیکربندی روتر در سیسکو، رروتینگ Ccnp و غیره کمک می‌کند.

کامل بهرامی

کامل بهرامی دانش‌آموخته کارشناسی ارشد رشته مهندسی کامپیوتر گرایش نرم‌افزار از دانشگاه ارومیه است. به حوزه کامپیوتر، برنامه‌نویسی و فناوری اطلاعات علاقه‌مند‌ است و هم اکنون به عنوان عضو تیم سئو و مدیر تیم نویسنده‌های مکتب خونه در این مجموعه فعالیت می‌کند.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا