请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 5097|回复: 44

【跟我一起读】《Cisco Firepower威胁防御(FTD)设备的高级排错与配置》

[复制链接]
发表于 2019-8-16 18:36:56 | 显示全部楼层 |阅读模式

本期读书活动圆满结束,让我们期待下次的读书活动吧!

【管理员说-奖励设置】
- 参与奖:每周跟帖回复主题相关内容即可获得20积分
- 优质参与奖:每周优质回复内容可额外获得奖励50积分/条(上限200积分/周)
- 幸运奖:每周从优质参与奖获奖用户中随机抽取2人赠送50元京东E卡
- 领读者福利: 100元京东卡+500积分奖励(你也想成为领读者,为大家分享好书?立即私信联系管理员)



推荐理由:
作为Cisco安全硬件产品的核心,Firepower能够通过良好的配置,实现了对于内、外部网络攻击与威胁的全面防护。本书可谓一本全面介绍Firepower的实用指南,而且它注重于根据不同章节的主题,向读者传授解决实际故障与问题的详细的步骤与方法,进而构建出适合于目标网络环境的Firepower软硬件系统。

内容简介:
《Cisco Firepower威胁防御(FTD)设备的高级排错与配置》通过22个章节,详细介绍了Firepower从初始安装、到基本部署、以及在实际应用场景中需要进行的各种排错方法。具体内容涉及到了FTD的相关概念、Firepower管理中心、WMware上的系统虚拟化、管理网络、流控策略、日志和消息调试、用户访问控制等。另外,其附录还贴心地配有如何使用GUI和CLI界面,来进行排错的快速方法。

购书链接:https://item.jd.com/12464355.html

读书规划:
第一周:8月19日-8月25日 1~5章 FTD的相关概念与安装、FMC、系统虚拟化
第二周:8月26日-9月1日 6~10章 管理网络、部署模式、流量分析
第三周:9月2日-9月8日 11~15章 各种流控策略
第四周:9月9日-9月15日 16~22章 黑名单、DNS、URL、应用、文件、IDS、NAT等攻击防护

我的心得及分享:
第一周:
第一章,介绍了Cisco Firepower的发展历史,它在版本上的迭代,系统安装时所涉及到的软件组件。
第二章,介绍了在ASA 5500-X安装各种镜像、并将其image成为FTD的流程。其中包括如何用CLI进行软硬件状态确认的方法。请特别关注35页下方和36页上的流程图。
第三章,介绍了FTD在FXOS设备上的架构与安装。其中包括如何用CLI来确认设备上不同组件状态的方法。请特别关注61页上的流程图。
第四章, 讨论了FMC的各种硬件平台,逐步演示了重镜像的完成过程,并给出了最佳实践的流程。同时,也展示了如何用CLI和工具来确认各种硬件问题。请特别关注77,81页上的流程图。
第五章,介绍了Firepower虚拟化设备的部署、调试、优化与排错。请特别关注110页上的流程图。

第二周:
第六章,介绍了设计、配置和搭建Firepower的管理网络。如何用工具来验证FMC和FTD管理接口的连接性问题。请特别关注136页上的最佳实践。
第七章,介绍了Firepower的两种许可证特点与功能,展示了如何把FMC注册到智能许可证服务器的步骤。
第八章,介绍了路由模式下防火墙部署的基本概念、以及如何配置静态/动态IP地址,DHCP服务器/客户端等相关步骤,同时也展示如如何诊断接口的相关问题。请特别关注177页下的图。
第九章,介绍了透明防火墙模式的基本概念,以及如何对物理和虚拟接口进行配置,同时也展示了如何验证基本连通性、和为SSH创建访问规则。请特别关注193,207页上的内容。
第十章,介绍了从Firepower引擎、防火墙引擎、FMC三个方面捕获实时流量的概念与方法,展示了如何下载生成的pcap文件,以及tcpdump和BPF的语法。最后以部署阻塞ICMP流量访问规则为例,展示了如何验证与排错。请特别关注214页上的内容。


第三周:
第十一章,介绍了如何在“在线模式”中配置FTD、以及如何在“在线集”中启用“失效保护”和“传输链路状态”两种容错机制。同时,我们也学到了如何追踪数据包、阻断指定的端口。请特别关注244页上的内容。
第十二章,介绍了FTD的“被动模式”和“在线分流模式”两种只监控不阻断的原理和配置方法,给出了一下最佳实践,以及分析各种入侵连接事件的操作。请特别关注274页上的内容。
第十三章,介绍了FTD如何分析和阻断GRE协议所封装的流量。作为示例,书中给出了三个场景,分别演示了:如何根据默认的预过滤策略来进行配置、如何阻断封装的流量、以及如何让非封装的流量绕过检测。请特别关注293页上的内容。
第十四章,介绍了如此通过预过滤策略来快速路径、以及通过访问策略来信任规律,这两种方法来达到绕过深度数据包的检测效果。书中也演示了这FTD设备上不同的旁路选项,和如何验证与排错。请特别关注322页上的内容。
第十五章,介绍了如何在FTD设备上配置QoS策略,以实现对于流量速率的限制, 并对其效果进行验证。同时,本书也介绍了如何分析QoS事件和统计数据。请特别关注350页上的内容。

第四周:
第十六章,介绍了如果通过安全智能来检测恶意地址,并且使用Feed、List、Blacklist IP Now三种方法结合白名单与黑名单来阻断、监控或放行访问的操作。请特别关注366~368页上的内容。
第十七章,介绍了通过DNS策略来管理DNS的查询,以及使用Feed功能动态拉黑可疑域名等部署办法,请注意理解Sinkhole的概念,并特别关注397页上的内容。
第十八章,介绍了Firepower通过Web信誉技术对流量进行过滤,进而实现根据数据库对URL进行查找和进行必要的阻断。同时,本章也演示了如何进行验证与排错。请特别关注413,414,417页上的内容。
第十九章,介绍了Firepower如何使用各种应用检测器来发现并感知网络中的应用,进而对无用的应用采取访问控制的配置方法。请特别关注435~437页上的内容。
第二十章,介绍了Firepower通过文件策略和AMP技术,实现对文件类型的控制和对恶意软件的分析。在配置方式上,我们既可以采用本地分析,也可以运用云端查找的动态分析方式。同时,本章也演示了如何确定文件倾向性、日志与调试消息等操作。请特别关注452,455,456页上的内容。


我的问题:
第一周:
1. 在配置虚拟化设备时,如何增加Firepower的适配器吞吐量?
2. 如何或许Firepower软硬件平台的详细信息?
3. 如果安全模块上出现Mismatch的状态,这意味着什么?

第二周:
4. 说一说,您在实际配置中,或是阅读本书第八章后,所领悟到的路由模式配置的一些最佳实践。
5. 请简述并举例说明Trust和Fastpath两种规则行为的区别。
6. 请通过实现步骤,分享并简述您在过往项目或日常工作中如何捕获网络流量的(不限于FTD设备)。

第三周:
7. 简述“失效保护”和“传输链路状态”两种容错机制,举例说明您在工作中场景中是如何配置的。
8. 贵司是否有蜜罐系统,您是否对该系统中的流量采用了“只检查不阻断”的模式?请简述您采用了那种方式并是否进行过连接事件的分析。
9. 请简述您在贵司的网络节点处有做过哪些类型的流量限速规则?它们分别针对哪些场景?您又是如何验证其效果、并分析它们所捕捉到的事件?

第四周:
10. 请简述您在企业中是如何如何通过FTD的配置,来实现对于恶意地址、可疑DNS、以及URL进行管控的。
11. 请举例说明如何在复杂的网络中,提高网络发现的效率与性能。
12. 您有在自己的企业网络中查杀并抵御受感染的恶意软件吗?您是否用到了Firepower的相关技术与配置方法,是否可以举例说明?





【管理员说-注意事项】
1. 禁止发表不当言论,不涉及政治、国家、党派等信息,禁止刷帖灌水行为,审核发现后将不能获得活动积分,对于在论坛中多次出现此行为者,将采取至少禁言一周的处罚。
2. 积分奖励在管理员审核通过后即刻发放,优质回复奖在活动结束发布获奖公告后进行发放。
3. 思科服务支持社区对本次活动有最终解释权。





  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (1 评价)
发表于 2019-8-16 18:40:52 | 显示全部楼层
感谢巨廉领读本期书籍。希望跟读和小伙伴们,跟上啦~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-17 15:30:10 | 显示全部楼层
1.可以用VMXNET3适配器来代替E1000网络适配器,以获得更高的吞吐量(P107)。
2.要查硬件和软件信息需要在FXOS CLI和FTD CLI之间进行切换(P60)。
在FTD软件CLI上输入exit,进入FTD的服务模块。FTD服务模块也可以通过输入connect ftd进入FTD的CLI。FTD服务模块输入~,再输入quit进入FXOS的CLI。通过FXOS的CLI可以检查各种软件组件的版本、设置和状态。FXOS也可以输入connect module x console返回FTD服务模块:
https://www.cisco.com/c/en/us/su ... irepower-threa.html
可以通过Overview界面查看硬件运行的汇总信息,也可以通过CLI查看电源、风扇等信息。
3. 表示这个模块已停用、未确认或新安装(P65)。可以通过官网查兼容性,例如Firepower 9300:
https://www.cisco.com/c/en/us/td ... lity.html#id_112772
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-19 22:45:39 | 显示全部楼层
1. 在配置虚拟化设备时,如何增加Firepower的适配器吞吐量?
完全完成虚拟机创建和 Firepower NGIPSv 安装之后,可
以从 e1000 接口切换到 vmxnet3(10 千兆位/秒)接口,以实现更高的网络吞吐量。要将 e1000 接口更改为 vmxnet3 接口,请使用 vSphere 客户端,先删除现有 e1000 接口,然后添加新的 vmxnet3 接
口,最后选择相应的适配器类型和网络连接。

2. 如何查看Firepower软硬件平台的详细信息?
# show environment expand detail #显示机箱的环境信息。
# show fan-module expand detail #以显示有关机箱风扇的详细
信息。
# show inventory #显示机箱编号、供应商和序列号等资产信息。
# show inventory expand detail #显示有关可更换组件(例如机箱、PSU 和网络模块)的详细信息。
# show psu expand detail #以查看有关电源装置的详细信息。
# show stats #查看有关机箱统计信息的详细信息。
# show card detail expand #显示有关交换矩阵卡的信息。
# show image #显示所有可用的映像。
# show package #显示所有可用的软件包。
#showpackage package name expand #显示软件包详细信息。
# show app #显示有关连接到设备的应用的信息。

3. 如果安全模块上出现Mismatch的状态,这意味着什么?
如果安全模块显示“不匹配”(mismatch) 或“令牌不匹配”(token mismatch) 状态,这表示安装在插
槽中的安全模块上的数据与之前安装在该插槽中的模块不匹配。这也可能是软件安装错误引起的。使用“重新初始化 (Reinitialize)”功能使安全模
块恢复正常运行状态。如果安全模块上已有数据并且您确
定要在新的插槽中使用它(换句话说,安全模块并非无意中安装到错误插槽),您必须重新初始化
该安全模块,然后才可以向它部署逻辑设备。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2019-8-20 21:20:02 | 显示全部楼层
1 配置虚拟化设备 默认使用的是e1000适配器,吞吐量为1gibt/s,当可以更改适配器的方法来增加吞吐量,如改成vmxnet3适配器 ,吞吐量为10gibt/s.
2 Firepower软硬件平台的详细信息,登陆FMC CLI,通过sfcli.pl show version来查看信息。
3出现Mismatch的状态表示模块已停用,可能模块刚安装,或者模块上先前的数据不匹配可能需要重新初始化。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-20 23:17:00 | 显示全部楼层
1. 在配置虚拟化设备时,如何增加Firepower的适配器吞吐量?
虚拟化可以选择不同的网卡, 选择VMXNET3的网络性能更好。VMXNET3 可以支持10G以上的吞吐量

2. 如何或许Firepower软硬件平台的详细信息?
show version
show perfstats 显示性能信息
show mod显示设备的型号信息。

3. 如果安全模块上出现Mismatch的状态,这意味着什么?
Firepower威胁防御启动映像和系统软件包是特定于版本和特定于模型的。 验证您的平台是否具有正确的引导映像和系统软件包。 引导映像和系统软件包之间的不匹配可能导致引导失败。 不匹配的情况是使用较旧的启动映像和较新的系统包。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-21 09:18:38 | 显示全部楼层
不错,好活动,等我也参与参与
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-21 09:36:03 | 显示全部楼层
刚好最近在实施firepower的项目,本书对我很有帮助。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-21 09:37:25 | 显示全部楼层
刚好最近在实施firepower的项目,本书对我很有帮助。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-8-21 19:24:29 | 显示全部楼层
CSCO13119307 发表于 2019-8-21 09:37
刚好最近在实施firepower的项目,本书对我很有帮助。

欢迎一起读书,晒读书心得哦
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-11-18 11:19 , Processed in 0.092700 second(s), 58 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表