火力设置和策略创建

在本文中,我将使用Firepower对ASA进行基本设置。我不会深入探讨个人政策,因为这些政策应专门针对自己的博客文章。相反,我将介绍ASA和Firepower管理中心(FMC)的基本设置。

首先,我将配置ASA方面的内容。我要做的第一件事是配置域名和时间信息:

时钟时区UTC 0 <-我喜欢将UTC用作我的时区,因为它使跨所有设备的记录更加容易
ntp服务器 10.1.100.1<-配置实验室或生产中所有设备将使用的NTP服务器
内DNS域名查询 <-使用内部接口进行DNS查找
名称服务器 10.1.100.40<- The DNS server

接下来,我将配置类映射和策略映射以将流量转发到内部Firepower模块进行检查:

类图SFR <-创建类映射
匹配任何 <-匹配所有流量。您还可以创建一个ACL并使其与ACL匹配

政策图global_policy <-带您进入global_policy上下文
SFR级 <-将类添加到策略映射
sfr {失败打开|失败关闭[仅显示器]}<- 这里有几个不同的选择。第一个是 失败开放 这意味着如果Firepower软件模块不可用,则ASA将继续转发流量。 失败关闭 表示如果Firepower模块发生故障,流量将停止流动。尽管这似乎并不理想,但是在确保高度管制的环境时可能会有用例。的 仅监视器 switch可以同时使用,并且基本上仅将Firepower服务置于IDS模式。这对于初始测试或设置可能很有用。 

接下来,我们将启用管理界面:

接口管理1/1
仅限管理
命名管理

安全级别100
不关门
 

配置此配置后,我们需要通过发出以下命令登录到ASA的Firepower模块:

会话sfr控制台

此时,请使用默认的用户名/密码登录。如果您使用的是Firepower v5.4或更低版本,则默认凭据为 管理员/ Sourcefire。 在更高版本的Firepower v6.x和更高版本中,请使用默认凭证 管理员/ Admin123。在 在我的实验室中,我正在使用Firepower 6.0.1。最初登录后,您将必须接受EULA协议,然后才能选择配置网络信息。在这种情况下,您不会得到此信息,而只是得到“>提示符下,输入以下内容以配置IP信息:

配置网络ipv4手册 <ip-address> <network-mask> <gateway>

配置IP地址后,我们接下来将配置Firepower模块以指向Firepower管理中心进行管理:

配置管理添加 <FMC-IP-Address> <shared-key>

接下来,我们将启动Firepower管理中心并使用默认凭据登录。我们仍然需要通过发出以下命令来配置网络:

sudo配置网络

它将引导您完成网络配置脚本。配置了所有适用的信息之后,它将保存配置。打开浏览器,导航到您刚刚为FMC配置的IP地址,然后使用默认凭据登录。您应该获得以下页面:

在此页面上,填写以下内容:

  • 新密码
  • IP地址,掩码和默认网关(如果需要更改)
  • FMC的主机名
  • FMC的域
  • DNS服务器信息
  • NTP服务器信息或手动设置时钟
  • 设置时区 
  • 是否安装更新和规则更新 
  • 如果使用经典许可证,则上载和应用许可证

请点击 应用 完成后,这需要一些时间才能应用于FMC。 

配置更新后,您将进入FMC GUI。导航 设备>Device Management 然后点击 加>Add Group。这是一个可选步骤,但是您可以在此处创建逻辑组以将设备添加到其中,以便于管理和组织。然后点击 加>Add 设备 使用刚刚配置的IP地址从ASA添加Firepower模块:

在此窗口中,您将填写以下内容:

  • 设备的主机名或IP地址
  • FMC的设备的显示名称
  • 在配置Firepower模块时先前使用的共享密钥
  • (可选)组 
  • 访问控制策略-设备需要分配一个访问控制策略才能添加。如果尚未创建,则可以从下拉列表中选择“新建”,然后使用以下基本策略创建一个:“入侵策略”(并可以选择一个基本策略),“网络发现”或“阻止所有流量”
  • 然后选择将应用于设备的许可证,包括保护(入侵检测和防御,文件控制和安全智能过滤),控制(用户和应用程序控制),恶意软件(基于网络的高级恶意软件保护),URL过滤(类别)和基于信誉的URL过滤)和VPN(仅限7000/8000设备。在具有Firepower的ASA上不适用)
  • 在“高级设置”下,有一个NAT ID可选设置。这是用于在互联网上配置需要通过NAT的Firepower设备的唯一密钥。我不会在实验室中配置它。 

请点击 寄存器 完成后,将设备加入FMC进行管理。应用访问控制策略时,可能需要花费几分钟。连接设备后,在“设备管理”中单击设备的名称。选择“接口”选项卡并编辑接口。在这里,您可以创建与每个接口相对应的“内部”区域和“外部”区域。这不是必需的,但它有助于以后基于源区域和目标区域创建访问控制策略规则:

我也想为警报设置电子邮件设置。为此,请导航至 系统>Configuration>Email Notification 并输入您的电子邮件设置:

注意:如果您要为家庭实验室设置Gmail,则Gmail要求您在设置中进行配置,以允许通过gmail进行邮件中继。请点击 这里 学习如何做。 

您可能需要注意的其他设置 系统>Configuration:

  • 存取清单 -  为哪些网络和端口可以访问FMC配置访问列表 
  • 处理 -在这里您可以关闭并重新启动FMC
  • 登录横幅 -为要登录到FMC的GUI或CLI的用户配置登录横幅 
  • SNMP协议 -为FMC配置SNMP字符串
  • 变更对帐- 要在指定时间通过电子邮件将更改发送给您 

 

我将创建一个平台策略,该策略将为受管设备配置一些系统配置设置。导航 设备>Platform Settings 然后点击 加 Policy。在this policy, I'll make sure that the device is syncing it's time with the same NTP source as my FMC. You can also optionally configure a login banner, SNMP协议 settings, access lists 和 other settings for the managed devices:

导航 目的>Object Management 创建网络对象和网络组对象以将网络定义为对象。请点击 添加网络>Add 目的 添加单个网络对象:

添加完所有子网或有趣的子网后,可以通过单击将它们分组为一个网络组对象 添加网络>Add Group 以及可能构成公司网络的所有网络对象:

通过将这些网络对象和组添加到变量集,可以将它们用作入侵策略的基础。变量集表示入侵规则中的常用值,以标识源IP地址和目标IP地址和端口。变量集中的HOME_NET变量是“受保护”网络。您可以创建多个变量集以应用于单独的入侵策略,而这样做的原因是,您可能希望一个变量集将HOME_NET变量定义为内部主机,将另一个变量集定义为DMZ主机,也许定义访客子网络的完全不同的子网。这样,您可以具有不同类型的入侵策略,这些入侵策略具有保护不同受保护网络的不同IPS规则。 

要定义变量集,请导航至 对象>Object Management>Variable Set 然后点击 加 变量集 创建一个变量集。变量集的初始配置将基于默认集,但您可以将其更改为所需的任何值。同样,如果您在实验室或企业中没有使用多个变量集,也可以修改默认集:

向下滚动到HOME_NET,然后单击铅笔进行编辑:

在弹出的窗口中,选择您创建的网络或网络组对象,并将其添加到包含的网络中:

请点击 然后点击 再次保存此变量集。 

网络发现是用于从网络收集主机,应用程序广告用户数据流量的策略。此信息用于构建网络资产的全面地图,执行取证分析,行为分析,访问控制以及缓解漏洞并响应漏洞。要修改网络发现策略,请导航至 政策规定>Network Discovery. 在这里,您可以添加规则或通过单击铅笔来编辑默认策略:

在这种情况下,我只需要单击铅笔即可。默认策略在任何网络上进行网络发现。这不理想,有两个原因:

1)这意味着Firepower将尝试为它看到的每个IP和主机通过系统(包括来自Internet的主机)配置文件并创建主机配置文件。

2)这浪费资源,并且任何设备都有主机限制。您不想因为互联网上的网页和其他配置好的主机而达到该限制

单击铅笔图标后,我建议添加您的网络对象组,我通常希望选中旁边的框 用户数 包括用户发现:

点击后 ,点击 用户数 网络发现标签。在这里,我们可以修改基于非权威流量的检测规则。我通常喜欢关闭SIP和FTP,因为您可以拥有匿名FTP用户,并且SIP并不总是用于用户信息的理想选择:

您可以在“ 高级 标签,但我将在以后的文章中进行深入探讨。 

更改网络发现策略后,单击 部署 在顶部将配置更改推送到受管设备:

 

接下来,我将通过导航到配置入侵策略 政策规定>Access Control>Intrusion 然后点击 建立政策。对于此政策,我要选中旁边的框 内联时下降 我将选择 平衡的安全性和连接性 基本政策。 

请点击 创建和修改政策

在“编辑政策”页面上,我想讲几件事。如果您点击 火力建议 在左边。在此页面上,您可以单击 生成和使用建议 要么 产生建议 让Firepower根据通过网络发现发现的主机,应用程序和协议生成建议的规则以启用或禁用。这是让Firepower根据网络上的主机自定义IPS规则的好方法。 

点击 规则 在左侧的过滤器框中,您可以输入有助于过滤规则的字词。我建议过滤的一个是 黑名单。过滤后,它将拉出所有黑名单规则。选中单个规则或顶部旁边的框以选择所有规则:

在顶部,单击 规则状态 更改规则的状态。您可以选择 产生事件 这将生成事件,但允许流量通过。 删除并生成事件 这将生成事件并阻止流量。 禁用 将完全禁用该规则。通常,我会过滤 黑名单,PUA (可能不需要的应用程序), 妥协指标, 漏洞利用套件 并为其启用规则。

 

如果启用所有这些规则,我建议您再做一件事。筛选 1201, 检查规则 指标-COMPROMISE 403禁止使用 在“规则状态”下,选择“禁用”:

如果您需要查看任何特定规则的详细信息,请单击规则本身,然后单击 显示详细资料 底部的按钮:

从此规则可以看出,当Web服务器将403错误响应代码返回给客户端时,就会发生该错误。我们可能不想启用这条规则,因为我们启用了所有其他危害指标,因此请将其禁用:

 

点击 政策信息 在左侧,然后单击 提交更改:

 

现在,我们将创建我们的恶意软件策略,该策略将成为AMP部分。导航 政策规定>Access Control>Malware & File 然后选择 新文件策略。 随意命名此策略,然后单击

这将显示文件策略。请点击 加 Rule 创建您的第一条规则。我们可以选择几种不同的选项。您可以指定要检查的应用程序协议:

就我而言,我将其保留为Any。

您还可以指定传输方向。您可能不在乎文件是否已上传到互联网,而只想检查下载内容:

再说一次,我将把它留在任何地方。

对于动作类型,您有两个不同的选项:

  • 检测 -这仅检测文件类型。没有采取其他行动
  • 阻止文件 -这会阻止指定的文件类型
  • 恶意软件Cloud Lookup -这会检查AMP云以查看是否为恶意软件,但不会采取其他措施,因为恶意软件会再次处置
  • 阻止恶意软件 -这会检查AMP云中是否存在恶意软件,并在确定为恶意软件时阻止恶意软件

在我的文件规则中,我将选择“阻止恶意软件”。在此之下,我有几种选择:

  • Spero 分析 for MXEXE -这会发送可执行文件的元数据,可用于检测恶意文件 
  • Dynamic 分析 -这用于启用使用ThreatGrid云检查未知文件并将其沙箱化的功能 
  • 容量处理 -如果无法立即发送文件进行动态分析,这将尝试存储文件以供以后处理 
  • Local 恶意软件Analysis -允许受管设备使用Cisco Talos提供的检测规则集在本地检查文件中最常见的恶意软件类型 
  • 重置连接 -这将重置受阻止恶意软件的连接,而不是使其超时。我肯定会推荐这个选项

如果愿意,您还可以选择存储某些配置的文件。我在实验室中并不真正担心它:

在我的第一条规则中,我将阻止恶意软件,并对Office文档,PDF,可执行文件, 具有本地恶意软件分析功能的文件类型,具有动态分析功能的文件类型和存档:

我将创建另一个规则来检测其余文件类型的文件:

(可选)您可以点击 高级 标签:

此处的设置如下:

  • First Time File 分析 -提交文件以供文件分析,如果该文件与配置为执行恶意软件云查找和Spero,本地恶意软件或动态分析的规则匹配,则系统将首次检测该文件。如果禁用此功能,则首次文件标记为未知
  • 启用自定义检测列表 -选中此框以使用您的自定义检测列表对象,该对象包含将被视为恶意软件的SHA-256值的列表
  • 启用清除列表 -选中此框以启用包含SHA-256值的清除列表对象,该值将始终被视为清除列表,无论其云的处置如何
  • 根据动态分析威胁评分将文件标记为恶意软件 -具有四个子设置:
    • 残障人士 -根据动态分析,文件不会被视为恶意软件
    • -得分26分或以上
    • -得分51以上
    • 很高 - 分数76分及以上
  • 检查档案 -启用检查存档文件的内容
  • 阻止加密档案 -允许您阻止具有加密内容的存档文件
  • 阻止不可检查的档案 -阻止存档文件,其内容由于加密以外的其他原因,系统无法检查-通常用于损坏的文件或超出最大存档深度的文件
  • 最大档案深度 -允许您阻止嵌套归档文件超过特定深度;不在此计数范围内的顶级归档文件;深度从第一个嵌套文件开始于1

创建完文件策略后,请点击

将所有这些联系在一起的最后一件事是通过导航到创建访问控制策略 政策规定>Access Control>Access Control 并编辑现有策略以单击 加 Policy 创建一个新的:

请点击 加 Rule 添加您的第一条规则。对于规则,您可以对规则执行以下操作:

  • 允许 -允许匹配的流量通过设备。您还可以使用IPS策略,文件策略或同时使用两者来检查流量
  • 监控 -不会影响流量-唯一的目的是记录连接事件。与之匹配的流量将导致连接事件,并且流量将沿规则集继续进行,有可能与另一个规则或默认操作匹配
  • 阻止和重置块 -拒绝交通,无需进一步检查。阻止只是阻止流量通过,而带有重置的阻止会重置连接
  • 交互式块和带复位的交互式块 -允许用户通过点击警告页面来绕过网站阻止。 

您还可以使用几个标签来定义规则:

  • 区域 -用于将规则限制为进出特定接口的流量
  • 网路 -详细说明各个IP地址,CIDR块和前缀长度的任意组合。单击“地理位置”选项卡将显示可用于定义规则的可用地理位置对象 
  • VLAN标签 -允许您指定0到4094之间的数字,以按VLAN标识网络。 
  • 用户数 -指定您的规则应应用于哪些用户,并从Active Directory服务器中检索用户和组。在此访问控制规则上,可以用“可用用户”或“ AD”组填充它 
  • 应用领域 -根据Firepower提供的应用程序,用户定义的应用程序以及您在对象中创建的任何应用程序过滤器进行过滤。
  • 港口 -指定规则的源端口和/或目标端口。使用先前创建的一个或默认端口对象
  • 网址 -允许根据Firepower提供的类别和信誉以及用户创建的URL对象进行过滤。也可以在底部的字段中输入URL,以确保规则与之匹配 
  • SGT / 伊势属性 -启用pxGrid并进行ISE集成时,可以在策略中利用ISE中的对象,例如SGT标签
  • 检查 -如何控制将如何检查符合此规则的流量-某些操作类型将导致该内容显示为灰色(信任,监控,阻止和重置阻止),因为它们不允许进行其他检查。 
  • 记录中 -控制连接和文件事件记录的行为。不会影响IPS或恶意软件事件的日志记录,因为这些事件将基于IPS和文件策略进行记录。
  • 评论 - 可选地添加规则注释。 

 

对于我的第一个规则,我将创建一个规则来监视Web流量,并且不对其执行任何操作:

下一条规则,我将阻止社交媒体,并确保进入“日志记录”选项卡以确保已记录连接:

下一条规则是将我的入侵策略和文件策略应用于其余的所有流量。我还将确保使用创建的新变量集并记录连接:

规则最终将是这样的:

接下来,我要点击 安全情报 标签。在这里,我们可以根据Cisco Talos安全情报和研究小组提供的IP,URL和DNS提要和/或我们创建的自定义列表和提要来配置策略。这些列表中的所有内容都可以在访问控制规则之前被阻止,这样就可以阻止恶意流量,而无需进一步检查,也不会浪费资源,如果它们流向了已知的不良行为者。 

思科提供以下自定义提要:

在我的访问控制策略中,我将这些提要移至“黑名单”,然后单击每个提要旁边的图标,以定义要对其执行的操作。您可以选择 要么 仅显示器:

最后,这是我的“安全性智能”选项卡的外观:

“ HTTP响应和高级”选项卡上有更多选项,但我将在以后的文章中进行深入探讨。相反,我要保存我的访问控制策略,然后单击 部署 将其推送到受管设备。 

完成后,您可以导航到 总览>Dashboards>Summary Dashboard 并查看通过它的一些流量:

仪表板是获得高级别视图的好方法,并且可以高度自定义,因此您可以创建自己的显示器,仅显示想要查看的信息。另一个值得一看的是 分析>Context Explorer 其中显示了许多针对不同信息的动态视图:

我喜欢此屏幕的地方是顶部的“筛选器”框,在其中可以深入到一个主机或多个条件:

这不是查看信息的唯一方法。在“分析”选项卡下,您可以使用许多不同的工作流程以及构建自己的工作流程,但我将在以后的文章中介绍。