빠른 시작 안내서 Cisco ASA FirePOWER 모듈 1 ASA FirePOWER 모듈 2 ASA FirePOWER 를 위한 지침 3 ASA FirePOWER 관리 인터페이스 연결 4 ASA 에서 ASDM 시작 5 ASA FirePOWER 소프트웨어 모듈 설치 또는 다시 이미징 6 ASA FirePOWER 관리 IP 주소 변경 7 ASA FirePOWER CLI 에서 기본 ASA FirePOWER 설정 구성 8 FireSIGHT Management Center 에 ASA FirePOWER 추가 9 ASA FirePOWER 모듈의 보안 정책 구성 10 ASA FirePOWER 모듈에 트래픽 리디렉션 11 다음 단계
개정: 2014년 10월 1일 1 ASA FirePOWER 모듈 ASA FirePOWER 모듈은 NGIPS(Next-Generation Intrusion Prevention System, 차세대 침입 방지 시스템), AVC(Application Visibility and Control), URL 필터링, AMP(Advanced Malware Protection)와 같은 차세대 방화벽 서비스를 제공합니다. 단일 또 는 다중 컨텍스트 모드에서 사용할 수 있으며, 라우팅 또는 투명 모드에서 사용할 수 있습니다. 이 모듈은 ASA SFR이라고도 합니다. 초기 구성 및 트러블슈팅을 위한 기본 CLI(Command line interface)가 있지만, 디바이스의 보안 정책은 FireSIGHT Management Center(이)라는 별도의 애플리케이션을 사용하여 구성합니다.
그림 1 ASA의 ASA FirePOWER 모듈 트래픽 흐름 ASA Main System Firewall Policy inside VPN Decryption outside Diverted Traffic 371444 Block ASA FirePOWER inspection ASA FirePOWER 참고 두 ASA 인터페이스의 호스트끼리 연결되었고 그 인터페이스 중 하나에서만 ASA FirePOWER 서비스 정책이 구성된 경 우, 이 호스트 간의 모든 트래픽이 ASA FirePOWER 모듈에 보내집니다. ASA FirePOWER 인터페이스가 아닌 인터페이 스에서 시작한 트래픽도 마찬가지입니다(양방향 기능). ASA FirePOWER 패시브(모니터 전용) 모드 모니터 전용 모드의 트래픽 흐름은 인라인 모드와 동일합니다. 유일한 차이점은 ASA FirePOWER 모듈에서 다시 ASA에 트래픽 을 전달하지 않는다는 것입니다.
ASA FirePOWER 관리 액세스 ASA FirePOWER 모듈 관리를 위한 서로 다른 2가지 액세스 계층이 있습니다. 초기 구성(및 후속 문제 해결)과 정책 관리입니다. 초기 구성에서는 ASA FirePOWER 모듈에서 CLI를 사용해야 합니다. 다음 방법으로 CLI에 액세스할 수 있습니다. • ASA 5585-X(하드웨어 모듈): – ASA FirePOWER 콘솔 포트 - 모듈의 콘솔 포트는 별도의 외부 콘솔 포트입니다. – ASA FirePOWER Management 1/0 인터페이스(SSH 사용)—기본 IP 주소(192.168.45.45/24)에 연결하거나 ASDM을 사 용하여 관리 IP 주소를 변경한 다음 SSH를 사용하여 연결할 수 있습니다. 모듈의 관리 인터페이스는 별도의 외부 기가 비트 이더넷 인터페이스입니다. 참고 세션 명령을 사용하여 ASA 백플레인을 통해 ASA FirePOWER 하드웨어 모듈 CLI에 액세스할 수 없습니다.
모델 지침 • 5512-X부터 5585-X까지 최소 소프트웨어 요구 사항은 ASA Software 9.2(2.4) 및 ASA FirePOWER 5.3.1입니다. • 다음 모델에서 지원됩니다. 이 모듈은 ASA 5585-X에서는 하드웨어 모듈이지만, 나머지 모든 모델에서는 소프트웨어 모듈 입니다. 자세한 내용은 Cisco ASA 호환성 매트릭스 (http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html)를 참조하십시오. – 5585-X(하드웨어 모듈) – 5555-X – 5545-X – 5515-X – 5512-X • 5512-X부터 ASA 5555-X까지는 Cisco SSD(solid state drive)를 설치해야 합니다. 자세한 내용은 ASA 5500-X 하드웨어 설 명서를 참조하십시오. 추가 지침 및 제한 • ASA 기능과의 호환성, 4페이지 를 참조하십시오.
Proxy or DNS Server (for example) ASA gateway for Management ASA Router Outside Inside ASA FirePOWER Default Gateway Internet FP Management ASA Management 0/0 371447 ASA FirePOWER Management 1/0 Management PC 내부 라우터가 없는 경우 내부 네트워크가 하나뿐이라면 별도의 관리 네트워크를 둘 수 없습니다. 네트워크 간 라우팅에 내부 라우터가 필요하기 때문입 니다. 그러한 경우 Management 0/0 인터페이스 대신 내부 인터페이스에서 ASA를 관리할 수 있습니다. ASA FirePOWER 모듈 은 ASA와는 별개의 디바이스이므로 ASA FirePOWER Management 1/0 주소가 내부 인터페이스와 동일한 네트워크에 있도록 구성할 수 있습니다.
Proxy or DNS Server (for example) ASA gateway for Management ASA Router Outside Inside ASA FirePOWER Default Gateway Internet FP Management 371450 Management 0/0 Management PC 내부 라우터가 없는 경우 내부 네트워크가 하나뿐이라면 별도의 관리 네트워크를 둘 수 없습니다. 그러한 경우 Management 0/0 인터페이스 대신 내부 인 터페이스에서 ASA를 관리할 수 있습니다. ASA에서 구성된 이름을 Management 0/0 인터페이스에서 제거하더라도 그 인터페이 스의 ASA FirePOWER IP 주소는 여전히 구성 가능합니다. ASA FirePOWER 모듈은 ASA와는 별개의 디바이스이므로 ASA FirePOWER 관리 주소가 내부 인터페이스와 동일한 네트워크에 있도록 구성할 수 있습니다.
5 ASA FirePOWER 소프트웨어 모듈 설치 또는 다시 이미징 ASA와 ASA FirePOWER 모듈을 구매한 경우 모듈 소프트웨어 및 필요한 SSD가 즉시 구성 가능한 상태로 미리 설치되어 있습니 다. ASA FirePOWER 소프트웨어 모듈을 기존 ASA에 추가하려는 경우 또는 SSD를 교체해야 하는 경우, 다음 절차에 따라 ASA FirePOWER 부트 소프트웨어를 설치하고 SSD를 분할하고 시스템 소프트웨어를 설치해야 합니다. 모듈을 다시 이미징하는 절차도 동일하지만, 먼저 ASA FirePOWER 모듈을 제거해야 합니다. SSD를 교체할 경우 시스템을 다시 이미징합니다. 실제로 SSD를 설치하는 방법에 대한 자세한 내용은 ASA 하드웨어 설명서를 참조하십시오. 사전 요구 사항 • 플래시(disk0)에서 3GB + 부트 소프트웨어 크기만큼의 공간이 있어야 합니다. • 다중 컨텍스트 모드의 경우 시스템 실행 공간에서 이 절차를 수행합니다.
5단계 ASA FirePOWER 모듈이 부팅되는 동안 약 5분 ~ 15분 기다렸다가 이제 실행 중인 ASA FirePOWER 부트 이미지와의 콘솔 세션을 엽니다. 세션을 열고 Enter 키를 눌러야 로그인 프롬프트가 표시되는 경우도 있습니다. 기본 사용자 이름은 admin, 기본 비밀번호는 Admin123입니다. 호스트 이름 # session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA SFR Boot Image 5.3.1 asasfr login: admin Password: Admin123 모듈 부트가 완료되지 않을 경우 session 명령이 실패하고 ttyS1을 통해 연결할 수 없다는 메시지가 표시됩니다. 기다렸 다가 다시 해보십시오.
8단계 ASA FirePOWER 모듈에 대한 세션을 엽니다. 전 기능 모듈로 로그인했으므로 다른 로그인 프롬프트가 표시될 것입니다. asa3# session sfr Opening command session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Sourcefire ASA5555 v5.3.1 (build 44) Sourcefire3D login: 9단계 사용자 이름 admin 및 비밀번호 Sourcefire로 로그인합니다. 10단계 프롬프트에 따라 시스템 구성을 완료합니다. 먼저 EULA(최종 사용자 라이센스 계약)를 읽고 동의해야 합니다. 그런 다음 프롬프트에 따라 admin 비밀번호를 변경하고 관리 주소 및 NDS 설정을 구성합니다. IPv4 및 IPv6 관리 주소 모두 구성할 수 있습니다. 예를 들면 다음과 같습니다. System initialization in progress.
팁 FireSIGHT Management Center를 통해 NTP 및 시간 설정도 구성할 수 있습니다. System(시스템) > Local(로컬) > System Policy(시스템 정책) 페이지에서 로컬 정책을 수정할 때 Time Synchronization(시간 동기화) 설정을 사용합니다. 6 ASA FirePOWER 관리 IP 주소 변경 기본 관리 IP 주소를 사용할 수 없는 경우 ASA에서 관리 IP 주소를 설정하면 됩니다. 관리 IP 주소를 설정한 다음 SSH를 통해 ASA FirePOWER 모듈에 액세스하여 추가 설정을 수행할 수 있습니다. 이미 (ASA FirePOWER CLI에서 기본 ASA FirePOWER 설정 구성, 11페이지 의 설명대로) 초기 시스템 설정에서 ASA FirePOWER CLI를 통해 관리 주소를 구성했다면, ASA CLI 또는 ASDM을 통해 구성할 필요 없습니다.
예를 들면 다음과 같습니다. System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: Confirm new password: You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: Enter an IPv4 address for the management interface [192.168.45.45]: 10.86.
• (소프트웨어 모듈만) ASA CLI에서 모듈과의 세션을 엽니다(일반 운영 구성 설명서의 "Getting Started(시작)" 장에 서 ASA CLI 액세스에 관한 설명 참조). 다중 컨텍스트 모드에서는 시스템 실행 공간에서 세션을 엽니다. 호스트 이름 # session sfr 2단계 사용자 이름 admin 또는 CLI 구성(관리자) 액세스 레벨의 다른 사용자 이름으로 로그인합니다. 3단계 프롬프트에서 FireSIGHT Management Center에 디바이스를 등록합니다. configure manager add 명령을 사용하는데, 그 구문은 다음과 같습니다.
시작하기 전에 • (ASA FirePOWER로 대체된) IPS 또는 CX 모듈에 트래픽을 리디렉션하는 서비스 정책이 활성 상태일 경우 먼저 이 정책을 제거한 다음 ASA FirePOWER 서비스 정책을 구성해야 합니다. • 반드시 ASA와 ASA FirePOWER에서 일관된 정책을 구성하십시오. 두 정책 모두 트래픽의 패시브 또는 인라인 모드를 반영 해야 합니다. • 다중 컨텍스트 모드에서는 각 보안 컨텍스트 내에서 이 절차를 수행합니다. 절차 1단계 ASDM에서는 Configuration(구성) > Firewall(방화벽) > Service Policy Rules(서비스 정책 규칙)를 선택합니다. 2단계 Add(추가) > Add Service Policy Rule(서비스 정책 규칙 추가)을 선택합니다. 3단계 특정 인터페이스에 정책을 적용할지 아니면 글로벌 범위에 적용할지 선택하고 Next(다음)를 클릭합니다. 4단계 트래픽 일치를 구성합니다.
미주 지역 본부 Cisco Systems, Inc. San Jose, CA 아시아 태평양 지역 본부 Cisco Systems (USA) Pte. Ltd. 싱가포르 유럽 지역 본부 Cisco Systems International BV Amsterdam, 네덜란드 Cisco는 전 세계에 200여 개 이상의 지사가 있습니다. 주소, 전화 번호 및 팩스 번호는 Cisco 웹사이트 www.cisco.com/go/offices 에서 확인하십시오.
