第1章 Cisco Firepower技术简介 1
1.1 Sourcefire的历史 1
1.1.1 Firepower的发展 2
1.1.2 FirePOWER与Firepower 3
1.2 Firepower威胁防御(FTD) 5
1.2.1 FirePOWER服务与Firepower威胁防御(FTD) 5
1.2.2 Firepower系统的软件组件 6
1.2.3 Firepower系统硬件平台 7
1.2.4 Firepower附件 8
1.3总结 9
第2章 ASA 5500-X系列硬件上的FTD 10
2.1 ASA重镜像要点 10
2.2在ASA硬件上安装FTD的最佳做法 11
2.3安装和配置FTD 12
2.3.1满足前提条件 12
2.3.2更新固件 13
2.3.3安装启动镜像 20
2.3.4安装系统软件 25
2.4验证和排错工具 35
2.4.1访问FTD CLI 35
2.4.2确认安装的软件版本 37
2.4.3确认ASA硬件上的空闲硬盘空间 37
2.4.4从存储设备中删除一个文件 38
2.4.5确认存储设备或SSD的可用性 38
2.4.6确认ROMMON软件或固件的版本 39
2.5总结 41
2.6测试题 41
第3章 Firepower可扩展操作系统(FXOS)上的FTD 43
3.1 Firepower 9300和4100系列要点 43
3.1.1架构 44
3.1.2软件镜像 45
3.1.3 Web用户界面 47
3.2在Firepower硬件上安装FTD的最佳做法 48
3.3安装和配置FTD 49
3.3.1满足前提条件 49
3.3.2安装FTD 55
3.4验证和排错工具 60
3.4.1访问FTD CLI 60
3.4.2验证FXOS软件 62
3.4.3验证安全设备的状态 63
3.4.4验证安全模块、适配器和交换矩阵 65
3.4.5验证硬件机框 67
3.4.6验证电源单元(PSU)模块 69
3.4.7验证风扇模块 71
3.5总结 73
3.6测试题 73
第4章 Firepower管理中心(FMC)硬件 75
4.1 FMC组件要点 75
4.1.1内建管理器 76
4.1.2外置管理器 76
4.1.3 Cisco集成管理控制器(CIMC) 78
4.1.4 System Restore镜像的内部USB存储 80
4.1.5用户界面 80
4.2 FMC重镜像的最佳做法 81
4.2.1安装前的最佳做法 81
4.2.2安装后的最佳做法 83
4.3安装和配置FMC 83
4.3.1满足前提条件 84
4.3.2配置步骤 85
4.4验证和排错工具 94
4.4.1在机架上识别FMC 94
4.4.2确认FMC的硬件和软件详细信息 95
4.4.3确认RAID电池状态 96
4.4.4确认电池单元(PSU)的状态 96
4.4.5验证风扇 99
4.5总结 101
4.6测试题 102
第5章 VMware上的Firepower系统虚拟化 103
5.1 FMC和FTD虚拟化要点 103
5.1.1支持的虚拟环境 103
5.1.2 ESXi与VI 104
5.1.3源码包中的VMware安装包 104
5.1.4硬盘置备选项 105
5.2 Firepower虚拟化设备部署的最佳做法 105
5.2.1部署前的最佳做法 105
5.2.2部署后的最佳做法 107
5.3安装和配置Firepower虚拟化设备 108
5.3.1满足前提条件 108
5.3.2创建虚拟化网络 110
5.3.3部署OVF模板 117
5.3.4初始化应用 122
5.4验证和排错工具 124
5.4.1确认资源分配的状态 124
5.4.2确认网络适配器的状态 126
5.4.3更新网络适配器 127
5.5总结 130
5.6测试题 130
第6章 Firepower的管理网络 131
6.1 Firepower系统管理网络要点 131
6.1.1 FTD管理接口 131
6.1.2设计Firepower管理网络 133
6.2管理接口配置的最佳做法 136
6.3在FMC硬件上配置管理网络 136
6.3.1配置选项 136
6.3.2验证和排错工具 139
6.4在ASA硬件上配置管理网络 141
6.4.1配置 141
6.4.2验证和排错工具 141
6.5在Firepower安全设备上配置管理网络 143
6.5.1配置FXOS管理接口 144
6.5.2验证FXOS管理接口的配置 144
6.5.3配置FTD管理接口 145
6.5.4验证FTD管理接口的配置 147
6.6总结 150
6.7测试题 150
第7章 Firepower的许可和注册 151
7.1许可证要点 151
7.1.1智能许可证架构 151
7.1.2 Firepower许可证 153
7.2许可证和注册的最佳做法 154
7.3为Firepower系统安装许可证 154
7.3.1许可证配置 154
7.3.2验证智能许可证的问题 158
7.4注册Firepower系统 160
7.4.1注册配置 160
7.4.2验证注册和连接 163
7.4.3分析加密的SF隧道 168
7.5总结 176
7.6测试题 176
第8章 路由模式的Firepower部署 177
8.1路由模式要点 177
8.2路由模式配置的最佳做法 178
8.3配置路由模式 178
8.3.1满足前提条件 179
8.3.2配置防火墙模式 180
8.3.3配置路由接口 180
8.3.4 FTD作为DHCP服务器 183
8.3.5 FTD作为DHCP客户端 185
8.4验证和排错工具 186
8.4.1验证接口的配置 186
8.4.2验证DHCP的设置 189
8.5总结 191
8.6测试题 191
第9章 透明模式的Firepower部署 192
9.1透明模式要点 192
9.2透明模式的最佳做法 193
9.3配置透明模式 194
9.3.1满足前提条件 194
9.3.2更改防火墙模式 195
9.3.3在二层网络中部署透明模式 195
9.3.4在三层网络之间部署FTD设备 205
9.3.5为SSH创建访问规则 208
9.4总结 211
9.5测试题 211
第10章 捕获流量用于高级分析 213
10.1流量捕获要点 213
10.2捕获流量的最佳做法 214
10.3配置Firepower系统进行流量分析 214
10.3.1从Firepower引擎捕获流量 214
10.3.2从防火墙引擎捕获流量 223
10.3.3从FMC捕获流量 231
10.4验证和排错工具 234
10.4.1添加阻塞ICMP流量的访问规则 234
10.4.2使用阻塞规则分析数据流 236
10.4.3接口对数据包的处理 238
10.5总结 239
10.6测试题 240
第11章 使用在线接口模式阻塞流量 241
11.1在线模式要点 241
11.1.1在线模式与被动模式 242
11.1.2在线模式与透明模式 243
11.1.3追踪丢包 243
11.2配置在线模式的最佳做法 245
11.3配置在线模式 245
11.3.1满足前提条件 246
11.3.2创建在线集 246
11.3.3启用容错特性 259
11.3.4阻塞指定端口 262
11.4总结 268
11.5测试题 269
第12章 检测但不阻塞流量 270
12.1流量检测要点 270
12.1.1被动监控技术 270
12.1.2在线、在线分流与被动 272
12.2纯检测部署的最佳做法 274
12.3满足前提条件 274
12.4在线分流模式 274
12.4.1配置在线分流模式 274
12.4.2验证在线分流模式的配置 276
12.5被动接口模式 278
12.5.1配置被动接口模式 278
12.5.2验证被动接口模式的配置 279
12.6分析流量监控操作 281
12.6.1分析使用阻塞行为的连接事件 282
12.6.2通过在线结果分析入侵事件 285
12.7总结 289
12.8测试题 289
第13章 处理封装流量 290
13.1封装和预过滤策略要点 290
13.2添加预过滤规则的最佳做法 292
13.3满足前提条件 292
13.4情景1:分析封装的流量 295
13.4.1配置策略来分析封装流量 295
13.4.2验证配置和连接 297
13.4.3分析数据包流 300
13.5情景2:阻塞封装的流量 305
13.5.1配置策略来阻塞封装流量 305
13.5.2验证配置和连接 306
13.5.3分析数据包流 309
13.6情景3:绕过检测 310
13.6.1配置策略来绕过检测 310
13.6.2验证配置和连接 314
13.6.3分析数据包流 316
13.7总结 318
13.8测试题 318
第14章 绕过检测和信任流量 320
14.1绕过检测和信任流量要点 320
14.1.1快速路径规则 320
14.1.2信任规则 321
14.2绕过检测的最佳做法 321
14.3满足前提条件 321
14.4通过预过滤策略实施快速路径 323
14.4.1配置流量旁路 323
14.4.2验证预过滤规则的配置 329
14.4.3分析快速路径行为 331
14.5通过访问策略建立信任 335
14.5.1使用访问策略配置信任 335
14.5.2验证信任规则的配置 336
14.5.3为高级分析启用相应工具 337
14.5.4分析信任行为 339
14.5.5使用允许行为进行对比 346
14.6总结 347
14.7测试题 348
第15章 流量限速 349
15.1限速要点 349
15.2 QoS规则的最佳做法 351
15.3满足前提条件 351
15.4配置速率限制 352
15.5验证文件传输的速率限制 356
15.6分析QoS事件和统计数据 359
15.7总结 363
15.8测试题 363
第16章 使用安全智能特性拉黑可疑地址 364
16.1安全智能要点 364
16.2拉黑的最佳做法 367
16.3满足前提条件 367
16.4配置黑名单 369
16.4.1使用Cisco智能Feed实现自动拉黑 369
16.4.2使用自定义智能列表手动拉黑 372
16.4.3使用连接事件立即拉黑 374
16.4.4监控黑名单 376
16.4.5绕过黑名单 377
16.5验证和排错工具 380
16.5.1验证最新文件的下载 381
16.5.2验证内存中加载的地址 383
16.5.3在列表中找到指定地址 385
16.5.4验证基于URL的安全智能规则 386
16.6总结 388
16.7测试题 388
第17章 阻塞域名系统(DNS)查询 390
17.1 Firepower DNS策略的要点 390
17.1.1域名系统(DNS) 390
17.1.2使用Firepower系统阻塞DNS查询 391
17.1.3 DNS规则行为 392
17.1.4智能的信息源 395
17.2阻塞DNS查询的最佳做法 397
17.3满足前提条件 397
17.4配置DNS查询阻塞 398
17.4.1添加新DNS策略 398
17.4.2引用DNS策略 400
17.5验证和排错工具 400
17.5.1验证DNS策略的配置 400
17.5.2验证DNS策略的操作 404
17.6总结 409
17.7测试题 409
第18章 基于类别、风险和信誉过滤URL 410
18.1 URL过滤要点 410
18.1.1信誉索引 410
18.1.2运行体系结构 412
18.2满足前提条件 412
18.3 URL过滤配置的最佳做法 414
18.4阻塞特定类别的URL 416
18.4.1为URL过滤配置访问规则 416
18.4.2验证和排错工具 416
18.5放行指定URL 422
18.5.1配置FTD放行指定URL 422
18.5.2验证和排错工具 423
18.6向云查询未分类URL 426
18.6.1配置FMC执行查询 427
18.6.2验证和排错工具 429
18.7总结 431
18.8测试题 432
第19章 发现网络应用及控制应用流量 433
19.1应用发现要点 433
19.1.1应用检测器 433
19.1.2运行架构 435
19.2网络发现配置的最佳做法 435
19.3满足前提条件 437
19.4发现应用 439
19.4.1配置网络发现策略 439
19.4.2验证和排错工具 441
19.5阻塞应用 446
19.5.1配置应用阻塞 446
19.5.2验证和排错工具 447
19.6总结 450
19.7测试题 450
第20章 控制文件传输并阻塞恶意软件的传播 451
20.1文件策略要点 451
20.1.1文件类型检测技术 451
20.1.2恶意软件分析技术 453
20.1.3许可证容量 454
20.2文件策略部署的最佳做法 456
20.3满足前提条件 457
20.4配置文件策略 457
20.4.1创建文件策略 457
20.4.2应用文件策略 461
20.5验证和排错工具 464
20.5.1分析文件事件 464
20.5.2分析恶意软件事件 468
20.6覆盖恶意软件倾向性 478
20.7总结 482
20.8测试题 482
第21章 通过阻塞入侵尝试防御网络攻击 483
21.1 Firepower GNIPS要点 483
21.1.1网络分析策略和预处理器 483
21.1.2入侵策略和Snort规则 485
21.1.3系统提供的变量 488
21.1.4系统提供的策略 490
21.2入侵策略部署的最佳做法 495
21.3 GNIPS配置 498
21.3.1配置网络分析策略 499
21.3.2配置入侵策略 502
21.3.3配置访问控制策略 508
21.4验证和排错工具 511
21.5总结 519
21.6测试题 519
第22章 伪装内部主机的原始IP地址 520
22.1 NAT的核心概念 520
22.1.1 NAT类别 522
22.1.2 NAT规则的类型 523
22.2部署NAT的最佳做法 524
22.3满足前提条件 525
22.4配置NAT 527
22.4.1伪装源地址(向出向连接实施源NAT) 527
22.4.2连接伪装目的(向入向连接实施目的NAT) 542
22.5总结 551
22.6测试题 552
附录A 测试题答案 553
附录B 使用GUI界面创建和收集排错文件 555
附录C 使用CLI界面创建和收集排错文件 558