Cisco Firepower 1010 Guide De Mise En Route
  1. Manuels
  2. Marques
  3. Cisco Manuels
  4. Routeurs réseau
  5. Firepower 1010
  6. Guide de mise en route
Cisco Firepower 1010 Guide De Mise En Route

Cisco Firepower 1010 Guide De Mise En Route

Masquer les pouces Voir aussi pour Firepower 1010:
Table des Matières

Publicité

Liens rapides

Télécharger ce manuel
Guide de mise en route de l'appliance Cisco Firepower 1010
Première publication : 13 juin 2019
Dernière modification : 28 février 2022
Americas Headquarters
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, CA 95134-1706
USA
http://www.cisco.com
Tel: 408 526-4000
800 553-NETS (6387)
Fax: 408 527-0883

Publicité

Table des Matières
loading

Manuels Connexes pour Cisco Firepower 1010

Sommaire des Matières pour Cisco Firepower 1010

  • Page 1 Guide de mise en route de l'appliance Cisco Firepower 1010 Première publication : 13 juin 2019 Dernière modification : 28 février 2022 Americas Headquarters Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 http://www.cisco.com Tel: 408 526-4000 800 553-NETS (6387)

  • Page 3: Systèmes D'exploitation

    à l'ASA qui n'est pas encore disponible sur le threat defense. Cisco fournit des outils de migration ASA vers threat defense pour vous aider à convertir votre ASA en pare-feu threat defense si vous commencez par utiliser ASA, puis passez au pare-feu threat defense.

  • Page 4: Gestionnaires Threat Defense

    CDO pour gérer le même pare-feu. Le centre de gestion n'est pas compatible avec d'autres gestionnaires. Pour commencer avec le gestionnaire d'appareils, reportez-vous à la rubrique Déployer Threat Defense avec le Gestionnaire d'appareils, à la page Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 5: Gestionnaires Asa

    CDO ou le CSM avec ASDM. Pour commencer à utiliser ASDM, reportez-vous à la rubrique Déployer l'ASA avec le gestionnaire ASDM, à la page 173. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 6 API n'inclut pas toutes les fonctionnalités ASA et n'est plus mise à jour. L'API REST ASA n'est pas abordée dans ce guide. Pour obtenir plus d'informations, reportez-vous à la section Guide de démarrage rapide de l'API REST Cisco ASA Secure Firewall. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 7: Déployer Threat Defense Avec Le Centre De Gestion

    (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense.

  • Page 8: Table Des Matières

    Avant de commencer Déployez et effectuez la configuration initiale du centre de gestion. Reportez-vous à la rubrique Guide d'installation matérielle pour Cisco Firepower Management Center 1600, 2600 et 4600 Guide de mise en route de Cisco Secure Firewall Management Center Virtual.

  • Page 9: Raccorder L'appareil (6.4), À La

    Vérifier le déploiement du réseau, à la page préalable Configuration Raccorder l'appareil (6.5 et versions ultérieures), à la page 10 préalable Raccorder l'appareil (6.4), à la page Configuration Mettre le pare-feu sous tension, à la page préalable Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 10: (Facultatif) Vérifier Le Logiciel Et Installer Une Nouvelle Version, À La

    à jour. Dans le schéma suivant, le Firepower 1010 fait office de passerelle Internet pour l'interface de gestion et le centre de gestion en connectant l'interface de gestion 1/1 directement à un port de commutateur interne, et en...
  • Page 11 à jour. Dans le schéma suivant, le Firepower 1010 fait office de passerelle Internet pour l'interface de gestion et le centre de gestion en connectant l'interface de gestion 1/1 à une interface interne via un commutateur de couche 2 et en connectant le centre de gestion et l'ordinateur de gestion au commutateur.

  • Page 12: Raccorder L'appareil (6.5 Et Versions Ultérieures)

    Illustration 2 : Déploiement réseau suggéré Raccorder l'appareil (6.5 et versions ultérieures) Pour raccorder l'appareil Firepower 1010 selon le schéma recommandé, reportez-vous à l'illustration suivante, qui présente un exemple de topologie utilisant Ethernet 1/1 comme interface externe et les autres interfaces comme ports de commutateur sur le réseau interne.
  • Page 13 SSH pour l'interface de gestion ou utilisez le gestionnaire d'appareils pour la configuration initiale. Étape 5 Connectez Ethernet 1/1 à votre routeur externe. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 14: Raccorder L'appareil (6.4)

    • Ordinateur de gestion Remarque L'appareil Firepower 1010 et le centre de gestion possèdent tous deux la même adresse IP de gestion par défaut, à savoir 192.168.45.45. Dans ce guide, nous partons du principe que vous définissez des adresses IP différentes pour vos appareils lors de la configuration initiale. Notez que le gestionnaire centre de gestion sur les versions 6.5 et ultérieures utilise par défaut un client DHCP pour l'interface...

  • Page 15: Mettre Le Pare-Feu Sous Tension

    Observez le voyant d'alimentation situé à l'arrière de l'appareil. S'il est allumé en vert, l'appareil est sous tension. Étape 3 Observez le voyant d'état à l'arrière ou sur l'appareil. Lorsqu'il s'allume en vert, le système a terminé les diagnostics de mise sous tension. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 16: (Facultatif) Vérifier Le Logiciel Et Installer Une Nouvelle Version

    Quelle version dois-je exécuter ? Cisco recommande d'exécuter une version Gold Star indiquée par une étoile dorée en regard du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de publication décrite dans la rubrique...

  • Page 17: Finaliser La Configuration Initiale De Threat Defense

    IP ou le nom d'hôte du centre de gestion avant de configurer le threat defense. • Utilisez une version actuelle de Firefox, Chrome, Safari, Edge ou Internet Explorer. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 18 Serveurs DNS : serveur DNS pour l'interface de gestion du pare-feu. Saisissez une ou plusieurs adresses de serveurs DNS pour la résolution de noms. La valeur par défaut est Serveurs DNS publics Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 19 Sélectionnez Appareil > Paramètres système > Centre de gestion, et cliquez sur Continuer pour configurer la gestion du centre de gestion. Étape 6 Configurez les Détails du centre de gestion/CDO. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 20 Oui si vous pouvez accéder au centre de gestion à l'aide d'une adresse IP ou d'un nom d'hôte, ou sur Non si le centre de gestion est derrière la NAT ou n'a pas d'adresse IP ou de nom d'hôte public. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 21 Si vous restez connecté au gestionnaire d'appareils après l'étape Sauvegarde de l'enregistrement des paramètres du centre de gestion/CDO, la boîte de dialogue Connexion réussie avec le centre de gestion ou le CDO finit par d'afficher, puis vous êtes déconnecté du gestionnaire d'appareils. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 22: Finaliser La Configuration Initiale De Threat Defense À L'aide De L'interface De Ligne De Commande

    Le port de console se connecte à l'interface de ligne de commande de FXOS. La session SSH se connecte directement à l'interface de ligne de commande de threat defense. Étape 2 Connectez-vous avec le nom d'utilisateur admin et le mot de passe Admin123. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 23 Dans l'exemple de déploiement de périphérie illustré dans la section de déploiement du réseau, l'interface interne fait office de passerelle de gestion. Dans ce cas, vous devez Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 24 Firepower Management Center, you must provide the hostname or the IP address along with the registration key. 'configure manager add [hostname | ip address ] [registration key ]' Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 25 Si le threat defense se trouve derrière un appareil NAT, saisissez un ID NAT unique avec l'adresse IP ou le nom d'hôte du centre de gestion, par exemple : Exemple : > configure manager add 10.70.45.5 regk3y78 natid56 Manager successfully configured. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 26: Se Connecter Au Centre De Gestion

    Software Manager vous permet de créer un compte principal pour votre entreprise. • Votre compte Smart Software Licensing doit bénéficier de la licence de chiffrement renforcé (3DES/AES) pour utiliser certaines fonctionnalités (activées à l'aide de l'indicateur de conformité d'exportation). Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 27: Enregistrer Le Threat Defense Auprès Du Centre De Gestion

    Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software License. Toutefois, si vous devez ajouter des licences vous-même, utilisez le...
  • Page 28 IP ou le nom d'hôte du threat defense. • Nom d'affichage : saisissez le nom du threat defense tel que vous souhaitez l'afficher dans le centre de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 29 Si l'enregistrement réussit, l'appareil est ajouté à la liste. En cas d'échec, un message d'erreur s'affiche. Si l'enregistrement du threat defense échoue, vérifiez les points suivants : Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 30 Ajouter la route par défaut, à la page Configuration du routage NAT, à la page Autoriser le trafic de l'interface interne vers l'interface externe, à la page Déployer la configuration, à la page Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 31: Configurer Les Interfaces (6.5 Et Versions Ultérieures)

    1/8) en cliquant sur le curseur dans la colonne SwitchPort pour le désactiver ( Étape 4 Activez les ports de commutateur. a) Cliquez sur Modifier ( ) pour le port de commutateur. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 32 Cliquez sur OK. Étape 5 Ajoutez l'interface VLAN interne. a) Cliquez sur Ajouter des interfaces > Interface VLAN. L'onglet Général s'affiche. b) Saisissez un nom comportant maximum 48 caractères. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 33 • IPv6 : cochez la case Configuration automatique pour la configuration automatique sans état. h) Cliquez sur OK. Étape 6 Cliquez sur Modifier ( ) pour l'interface Ethernet 1/1 que vous souhaitez utiliser comme interface externe. L'onglet Général s'affiche. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 34 • Métrique de routage DHCP : attribue une distance administrative à la route apprise, comprise entre 1 et 255. La distance administrative par défaut pour les routes apprises est 1. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 35: Configurer Les Interfaces (6.4)

    à l'aide de DHCP. Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( ) du pare-feu. Étape 2 Cliquez sur Interfaces. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 36 • IPv4 : sélectionnez Utiliser l'adresse IP statique dans la liste déroulante, et saisissez une adresse IP et un masque de sous-réseau en notation de barre oblique. Par exemple, saisissez 192.168.1.1/24. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 37 Laissez le champ Mode défini sur Aucun. d) Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_externe. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 38: Configurer Le Serveur Dhcp

    Étape 2 Sélectionnez DHCP > Serveur DHCP. Étape 3 Sur la page Serveur, cliquez sur Ajouter et configurez les options suivantes : • Interface : sélectionnez l'interface dans la liste déroulante. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 39: Ajouter La Route Par Défaut

    Sélectionnez Routage > Route statique, cliquez sur Ajouter une route, puis définissez les paramètres suivants : • Type : cliquez sur la case d'option IPv4 ou IPv6 en fonction du type de route statique que vous ajoutez. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 40: Configuration Du Routage Nat

    Sélectionnez Appareils > NAT, puis cliquez sur Nouvelle politique > NAT de protection contre les menaces. Étape 2 Donnez un nom à la politique, sélectionnez le ou les appareils que vous souhaitez utiliser, puis cliquez sur Enregistrer. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 41 • Règle NAT : sélectionnez Règle NAT automatique. • Type : choisissez Dynamique. Étape 5 Sur la page Objets d'interface, ajoutez la zone externe de la section Objets d'interface disponibles à la section Objets d'interface de destination. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 42 Vous ne pouvez pas utiliser l'objet any-ipv4 défini par le système, car les règles NAT Remarque automatiques ajoutent la fonction NAT à la définition d'objet et vous ne pouvez pas modifier les objets définis par le système. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 43: Autoriser Le Trafic De L'interface Interne Vers L'interface Externe

    • Nom : donnez un nom à cette règle, par exemple interne_vers_externe. • Zones source : sélectionnez la zone interne dans Zones disponibles, puis cliquez sur Ajouter à la source. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 44: Déployer La Configuration

    Cliquez sur Déployer en haut à droite. Illustration 9 : Déployer Étape 2 Cliquez sur Tout déployer pour déployer sur tous les périphériques ou cliquez sur Déploiement avancé pour déployer sur les périphériques sélectionnés. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 45 Étape 3 Assurez-vous que le déploiement aboutit. Cliquez sur l'icône en regard du bouton Déployer dans la barre de menus pour afficher l'état des déploiements. Illustration 12 : État du déploiement Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 46: Accéder À L'interface De Ligne De Commande Du Threat Defense Et De La Console Fxos

    Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0 Successful login attempts for user 'admin' : 1 firepower# Étape 2 Accédez à l'interface de ligne de commande du threat defense. connect ftd Exemple : Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 47: Mettre Le Pare-Feu Hors Tension, À La

    Le châssis initial de l'appareil Firepower 1010 ne possède pas d'interrupteur d'alimentation.Vous pouvez mettre l'appareil hors tension à l'aide de la page de gestion des appareils du centre de gestion ou de l'interface de ligne de commande FXOS.

  • Page 48: Mettre L'appareil Hors Tension À L'aide De L'interface De Ligne De Commande

    Vous pouvez désormais débrancher ce dernier pour couper l'alimentation du châssis si nécessaire. Et après ? Pour poursuivre la configuration de votre threat defense, consultez les documents disponibles pour votre version logicielle dans Parcourir la documentation de Cisco Firepower. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 49: Guide De Configuration

    Déployer Threat Defense avec le Centre de gestion Et après ? Pour plus d'informations sur l'utilisation du centre de gestion, reportez-vous à la rubrique Guide de configuration de Firepower Management Center. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 50 Déployer Threat Defense avec le Centre de gestion Et après ? Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 51: Déployer Threat Defense Avec Un Centre De Gestion Distant

    (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense.

  • Page 52: Mode De Fonctionnement De La Gestion À Distance

    à l'interface de gestion depuis un réseau distant, sauf si vous ajoutez une route statique pour l'interface de gestion à l'aide de la commande configure network static-routes. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 53: Avant De Commencer

    Avant de commencer Déployez et effectuez la configuration initiale du centre de gestion. Reportez-vous à la rubrique Guide d'installation matérielle pour Cisco Firepower Management Center 1600, 2600 et 4600 Guide de mise en route de Cisco Secure Firewall Management Center Virtual.

  • Page 54: Gestionnaire D'appareils

    Effectuer la configuration préalable à l'aide de l'interface de ligne de d'appareils commande, à la page 61 (Administrateur • Effectuer la configuration préalable à l'aide du Gestionnaire d'appareils, central) à la page 55 Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 55: Configuration Préalable De L'administrateur Central

    Configurer une politique de sécurité de base, à la page (Administrateur central) Configuration préalable de l'administrateur central Vous devez préconfigurer manuellement le threat defense avant de l'envoyer à la succursale. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 56 Quelle version dois-je exécuter ? Cisco recommande d'exécuter une version Gold Star indiquée par une étoile dorée en regard du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de publication décrite dans la rubrique...

  • Page 57: Effectuer La Configuration Préalable À L'aide Du Gestionnaire D'appareils

    La première fois que vous démarrez le threat defense, l'initialisation peut prendre entre 15 et 30 minutes. Étape 3 Connectez-vous au gestionnaire d'appareils. a) Saisissez l'URL suivante dans votre navigateur : https://192.168.95.1 Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 58 2. Serveur de temps NTP : sélectionnez cette option pour utiliser les serveurs NTP par défaut ou saisir manuellement les adresses de vos serveurs NTP. Vous pouvez ajouter plusieurs serveurs pour fournir des sauvegardes. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 59 Sélectionnez Appareil > Paramètres système > Centre de gestion, et cliquez sur Continuer pour configurer la gestion du centre de gestion. Étape 8 Configurer le Centre de gestion/Détails du CDO. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 60 Oui si vous pouvez accéder au centre de gestion à l'aide d'une adresse IP ou d'un nom d'hôte, ou sur Non si le centre de gestion est derrière la NAT ou n'a pas d'adresse IP ou de nom d'hôte public. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 61 Pour l'interface d'accès au centre de gestion/CDO, choisissez externe. Bien que vous puissiez choisir n'importe quelle interface configurée, dans ce guide nous supposons que vous utilisez une interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 62 Autorités de certification racines approuvées par Cisco afin que le threat defense puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le threat defense FTD prend en charge tout serveur DDNS qui utilise la spécification de l'API distante DynDNS (https://help.dyn.com/remote-access-api/).

  • Page 63: Effectuer La Configuration Préalable À L'aide De L'interface De Ligne De Commande

    Successful login attempts for user 'admin' : 1 [...] Hello admin. You must change your password. Enter new password: ******** Confirm new password: ******** Your password was updated successfully. [...] firepower# Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 64 • Configurer le mode pare-feu ? : saisissez routé. L'accès au gestionnaire externe est uniquement pris en charge en mode pare-feu routé. Exemple : You must accept the EULA to continue. Press <ENTER> to display the EULA: End User License Agreement [...] Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 65 à l'aide de la commande configure network {ipv4 | ipv6} manual. Si vous n'avez pas encore défini la passerelle d'interface de gestion sur data-interfaces, cette commande la définit maintenant. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 66 Autorités de certification racines approuvées par Cisco afin que le threat defense puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le threat defense FTD prend en charge tout serveur DDNS qui utilise la spécification de l'API distante DynDNS (https://help.dyn.com/remote-access-api/).
  • Page 67 L'ID NAT ne doit pas comporter plus de 37 caractères. Les caractères valides incluent les caractères alphanumériques (A à Z, a à z, 0 à 9) et le Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 68: Installation Dans Une Succursale

    Le centre de gestion et votre ordinateur de gestion se trouvent sur un site distant et peuvent accéder au threat defense via Internet. Pour raccorder l'appareil Firepower 1010, procédez comme suit. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 69: Mettre L'appareil Sous Tension

    Il est important que vous utilisiez une source d'alimentation fiable pour alimenter votre appareil (à l'aide d'un système d'alimentation sans coupure, par exemple). Une panne de courant sans arrêt préalable peut endommager Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 70: Configuration Postérieure De L'administrateur Central

    (consultez la rubrique https://www.cisco.com/go/firepower-notes). Procédure Étape 1 À l'aide d'un navigateur pris en charge, saisissez l'URL suivante. https://fmc_ip_address Étape 2 Saisissez votre nom d'utilisateur et votre mot de passe. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 71: Obtenir Les Licences Pour Le Centre De Gestion

    Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software License. Toutefois, si vous devez ajouter des licences vous-même, utilisez le...
  • Page 72 • Clé d'enregistrement du centre de gestion Procédure Étape 1 Dans centre de gestion, sélectionnez Appareils > Gestion des appareils. Étape 2 Dans la liste déroulante Ajouter, sélectionnez Ajouter l'appareil. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 73 • Groupe : attribuez-le à un groupe d'appareils si vous utilisez des groupes. • Politique de contrôle d'accès : sélectionnez une politique initiale. Sauf si vous disposez déjà d'une politique personnalisée que vous devez utiliser, sélectionnez Créer une nouvelle politique et sélectionnez Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 74: Ping System Ip_Address

    Si la requête ping échoue, vérifiez les paramètres réseau à l'aide de la commande show network. Si vous devez modifier l'adresse IP de gestion du threat defense, utilisez la commande configure network management-data-interface. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 75: Configurer Une Politique De Sécurité De Base

    à l'aide de DHCP (Ethernet1/1). Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( ) de l'appareil. Étape 2 Cliquez sur Interfaces. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 76 (facultatif) Modifiez l'ID de VLAN ; la valeur par défaut est 1. Vous devez ensuite ajouter une interface VLAN correspondant à cet ID. d) Cliquez sur OK. Étape 5 Ajoutez l'interface VLAN interne. a) Cliquez sur Ajouter des interfaces > Interface VLAN. L'onglet Général s'affiche. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 77 Vous ne pouvez pas modifier l'ID de VLAN après avoir enregistré l'interface ; l'ID de VLAN est à la fois la balise de VLAN utilisée et l'ID d'interface de votre configuration. g) Cliquez sur l'onglet IPv4 et/ou IPv6. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 78 Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_externe. b) Cliquez sur OK. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 79: Configurer Le Serveur Dhcp, À La Page

    Sélectionnez Appareils > NAT, puis cliquez sur Nouvelle politique > NAT de protection contre les menaces. Étape 2 Donnez un nom à la politique, sélectionnez le ou les appareils que vous souhaitez utiliser, puis cliquez sur Enregistrer. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 80 • Règle NAT : sélectionnez Règle NAT automatique. • Type : choisissez Dynamique. Étape 5 Sur la page Objets d'interface, ajoutez la zone externe de la section Objets d'interface disponibles à la section Objets d'interface de destination. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 81 Vous ne pouvez pas utiliser l'objet any-ipv4 défini par le système, car les règles NAT Remarque automatiques ajoutent la fonction NAT à la définition d'objet et vous ne pouvez pas modifier les objets définis par le système. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 82: Autoriser Le Trafic De L'interface Interne Vers L'interface Externe

    • Nom : donnez un nom à cette règle, par exemple interne_vers_externe. • Zones source : sélectionnez la zone interne dans Zones disponibles, puis cliquez sur Ajouter à la source. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 83: Configurer Ssh Sur L'interface De Données D'accès Du Gestionnaire

    Vous pouvez uniquement utiliser le protocole SSH pour accéder à une interface accessible ; si votre hôte SSH se trouve sur l'interface externe, vous pouvez uniquement établir une connexion de gestion directement vers l'interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 84 Zone de sécurité sélectionnée, puis cliquer sur Ajouter. Ces règles seront appliquées à un appareil uniquement si celui-ci inclut les interfaces ou les zones sélectionnées. c) Cliquez sur OK. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 85: Déployer La Configuration, À La Page

    Cliquez sur Tout déployer pour déployer sur tous les périphériques ou cliquez sur Déploiement avancé pour déployer sur les périphériques sélectionnés. Illustration 22 : Tout déployer Illustration 23 : Déploiement avancé Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 86: Accéder À L'interface De Ligne De Commande Du Threat Defense Et De La Console

    1010). Le port de console est défini par défaut sur la CLI FXOS. Utilisez les paramètres série suivants : • 9 600 bauds • 8 bits de données • Aucune parité Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 87: Résoudre Les Problèmes De Connectivité De Gestion Sur Une Interface De Données

    à l'interface de gestion. Cette rubrique vous aide à résoudre les problèmes de perte de connectivité à l'interface de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 88 : data-interfaces ======================[ br1 ]======================= State : Enabled Link : Up Channels : Management & Events Mode : Non-Autonegotiation MDI/MDIX : Auto/MDIX : 1500 MAC Address : 28:6F:7F:D3:CB:8D ----------------------[ IPv4 ]---------------------- Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 89 Dans l'interface de ligne de commande du threat defense, capturez les paquets sur l'interface de fond de panier interne (nlp_int_tap) pour déterminer si des paquets de gestion sont envoyés : capture name interface nlp_int_tap trace detail match ip any any Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 90 - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is 10.89.5.1 to network 0.0.0.0 Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 91 1630834, flags UIO > Rechercher une mise à jour DDNS réussie Dans l'interface de ligne de commande du threat defense, vérifiez que la mise à jour DDNS a réussi : Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 92: Rétablir La Configuration En Cas De Déconnexion Du Centre De Gestion

    à l'aide de la commande configure network management-data-interface, puis que vous utilisez la commande de restauration, ces paramètres ne sont pas conservés ; les derniers paramètres déployés sur le centre de gestion sont rétablis. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 93 Si le rétablissement de la connexion prend plus de 10 minutes, vous devez dépanner la connexion. Reportez-vous à la rubrique Résoudre les problèmes de connectivité de gestion sur une interface de données, à la page Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 94 Pour poursuivre la configuration de votre threat defense, consultez les documents disponibles pour votre version logicielle dans Parcourir la documentation de Cisco Firepower. Pour plus d'informations sur l'utilisation du centre de gestion, reportez-vous à la rubrique Guide de configuration de Firepower Management Center. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 95: Déployer Threat Defense Avec Le Gestionnaire D'appareils

    (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense.

  • Page 96: Procédure De Bout En Bout

    Procédure de bout en bout Reportez-vous aux tâches suivantes pour déployer le threat defense avec le gestionnaire d'appareils sur votre châssis. Configuration Installez le pare-feu. Reportez-vous au guide d'installation matérielle. préalable Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 97: (Facultatif) Modifier Les Paramètres Du Réseau De Gestion Dans L'interface De Ligne De Commande, À La

    NAT pour vos réseaux internes. Si vous devez configurer le protocole PPPoE de sorte que l'interface externe se connecte à votre FAI, faites-le une fois la configuration initiale terminée dans gestionnaire d'appareils. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 98 • Si vous ajoutez threat defense à un réseau interne, vous devrez modifier l'adresse IP interne de façon à ce qu'elle corresponde au réseau. La figure suivante illustre le déploiement réseau par défaut à utiliser pour threat defense à l'aide du gestionnaire d'appareils avec la configuration par défaut. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 99: Configuration Par Défaut

    • (6.4) Commutateur logiciel (routage et pontage intégrés) : Ethernet 1/2 à 1/8 appartiennent à l'interface de groupe de ponts (BVI) 1 • externe : Ethernet 1/1, adresse IP du DHCP IPv4 et configuration automatique IPv6 • Flux de trafic interne→externe Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 100 • Accès au Gestionnaire d'appareils : tous les hôtes sont autorisés sur l'interface de gestion et l'interface interne. • NAT : interface PAT pour l'ensemble du trafic de l'interface interne vers l'interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 101: Raccorder L'appareil

    ; PoE+ n'est pas disponible. Le câblage initial est le même pour les deux versions. Gérez le pare-feu Firepower 1010 sur l'interface de gestion 1/1 ou sur l'interface Ethernet 1/2 à 1/8. La configuration par défaut configure également Ethernet 1/1 comme interface externe.

  • Page 102: Mettre Le Pare-Feu Sous Tension

    L'appareil se met automatiquement sous tension dès que vous le branchez. Étape 2 Observez le voyant d'alimentation situé à l'arrière de l'appareil. S'il est allumé en vert, l'appareil est sous tension. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 103: (Facultatif) Vérifier Le Logiciel Et Installer Une Nouvelle Version

    Quelle version dois-je exécuter ? Cisco recommande d'exécuter une version Gold Star indiquée par une étoile dorée en regard du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de publication décrite dans la rubrique...

  • Page 104: (Facultatif) Modifier Les Paramètres Du Réseau De Gestion Dans L'interface De Ligne De Commande

    IP de gestion, de la passerelle et d'autres paramètres réseau de base. Vous pouvez uniquement configurer les paramètres de l'interface de gestion ; vous ne pouvez pas configurer des interfaces internes ou externes (vous pourrez les configurer ultérieurement dans l'interface graphique utilisateur). Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 105 (CLUF) Le script de configuration de la CLI vous est ensuite présenté. Les valeurs par défaut ou les valeurs saisies précédemment apparaissent entre crochets. Pour accepter les valeurs saisies précédemment, appuyez sur la touche Entrée. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 106 If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Manage the device locally? (yes/no) [yes]: yes > Étape 4 Connectez-vous au gestionnaire d'appareils avec la nouvelle adresse IP de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 107: Se Connecter Au Gestionnaire D'appareils

    • Une règle d'accès approuvant tout le trafic interne vers le trafic externe. • Une règle NAT d'interface qui traduit tout le trafic interne vers le trafic externe en ports uniques sur l'adresse IP de l'interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 108 Serveur de temps NTP : sélectionnez cette option pour utiliser les serveurs NTP par défaut ou saisir manuellement les adresses de vos serveurs NTP. Vous pouvez ajouter plusieurs serveurs pour fournir des sauvegardes. Étape 4 (facultatif) Configurez les licences Smart du système. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 109: Configurer L'octroi De Licences

    113. Configurer l'octroi de licences Le threat defense utilise l'outil Cisco Smart Software Licensing, qui vous permet d'acheter et de gérer un pool de licences de manière centralisée. Lorsque vous enregistrez le châssis, l'outil Smart Software Manager délivre un certificat d'identification pour établir la communication entre le châssis et Smart Software Manager.
  • Page 110 Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software License. Toutefois, si vous devez ajouter des licences vous-même, utilisez le...
  • Page 111 Créer un jeton : • Description • Délai d'expiration : Cisco recommande de définir un délai de 30 jours. • Autoriser la fonctionnalité de contrôle d'exportation sur les produits enregistrés avec ce jeton : active l'indicateur de conformité d'exportation si vous êtes dans un pays qui autorise un chiffrement renforcé.
  • Page 112 La page Licence Smart s'affiche. Étape 4 Cliquez sur Enregistrer l'appareil. Suivez ensuite les instructions de la boîte de dialogue Enregistrement de la licence Smart pour coller votre jeton : Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 113 Vous revenez à la page Licence Smart. Pendant l'enregistrement de l'appareil, le message suivant s'affiche : Une fois l'appareil enregistré et la page actualisée, les informations suivantes s'affichent : Étape 6 Cliquez sur la commande Activer/Désactiver en regard de chaque licence facultative. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 114 Déployer Threat Defense avec le Gestionnaire d'appareils Configurer l'octroi de licences • Activer : enregistre la licence avec votre compte Cisco Smart Software Manager et active les fonctionnalités contrôlées. Vous pouvez maintenant configurer et déployer des politiques contrôlées par la licence.

  • Page 115: Configurer Le Pare-Feu Dans Le Gestionnaire D'appareils

    Lorsque vous avez terminé, cliquez sur Enregistrer. Illustration 30 : Modifier l'interface Étape 2 Si vous avez configuré de nouvelles interfaces, sélectionnez Objets, puis sélectionnez Zones de sécurité dans la table des matières. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 116 La route par défaut pointe généralement vers le routeur en amont ou le routeur du FAI qui se trouve hors de l'interface externe. Une route IPv4 par défaut est any-ipv4 (0.0.0.0/0), tandis qu'une route IPv6 par défaut est Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 117 • Identité : si vous souhaitez mettre en corrélation l'activité du réseau avec des utilisateurs individuels ou contrôler l'accès au réseau en fonction de l'utilisateur ou du groupe d'utilisateurs, utilisez la politique d'identité pour déterminer l'utilisateur associé à une adresse IP source donnée. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 118 IP ou les URL de la liste noire. Lorsque vous mettez en liste noire les sites malveillants connus, il est inutile de les prendre en compte dans votre politique de contrôle d'accès. Cisco fournit régulièrement des mises à jour des adresses et des URL malveillantes afin que la liste noire Sécurité...
  • Page 119 Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0 Successful login attempts for user 'admin' : 1 firepower# Étape 2 Accédez à l'interface de ligne de commande du threat defense. connect ftd Exemple : Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 120: Afficher Les Informations Sur Le Matériel, À La

    Pour afficher le numéro de série du châssis, utilisez la commande show serial-number. >show serial-number Exemple : > show serial-number JMX1943408S Ces informations figurent également dans le résultat des commandes show version system, show running-config et show inventory. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 121: Mettre Le Pare-Feu Hors Tension, À La

    Mettre le pare-feu hors tension Étape 3 Pour afficher des informations sur tous les produits Cisco installés sur l'appareil réseau auxquels sont attribués un identifiant de produit (PID), un identifiant de version (VID) et un numéro de série (SN), utilisez la commande show inventory.
  • Page 122 Parcourir la documentation de Cisco Firepower. Pour plus d'informations sur l'utilisation du gestionnaire d'appareils, reportez-vous à la rubrique Guide de configuration de Cisco Firepower Threat Defense pour le gestionnaire de périphériques Firepower. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 123: Déployer Threat Defense Avec Le Cdo

    ?, à la page 1. Ce chapitre s'adresse aux threat defense qui utilisent le Secure Firewall Management Center cloud de Cisco Defense Orchestrator (CDO). Pour utiliser le CDO avec la fonctionnalité gestionnaire d'appareils, consultez la documentation du CDO.

  • Page 124: Et Après ?, À La

    Lorsque vous activez l'accès au gestionnaire sur une interface de données, le threat defense transfère le trafic de gestion entrant via Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 125: Procédure De Bout En Bout : Ltp (Low-Touch Provisioning)

    Procédure de bout en bout : LTP (Low-Touch Provisioning) Reportez-vous aux tâches suivantes pour déployer le threat defense avec le CDO sur votre châssis à l'aide du provisionnement presque entièrement automatisé. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 126 Se connecter au gestionnaire CDO, à la page 130. (Administrateur du CDO) Tâches des Indiquer le numéro de série du pare-feu à l'administrateur central, à la page 134. succursales (Administrateur de la succursale) Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 127: Procédure De Bout En Bout : Assistant D'intégration

    Configurer une politique de sécurité de base, à la page 152. (Administrateur du CDO) Procédure de bout en bout : assistant d'intégration Reportez-vous aux tâches suivantes pour intégrer le threat defense au CDO à l'aide de l'assistant d'intégration. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 128 Tâches physiques Raccorder le pare-feu, à la page 138. Tâches physiques Mettre le pare-feu sous tension, à la page 140. Intégrer un appareil avec l'assistant d'intégration, à la page 140. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 129: Obtenir Les Licences

    Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software License. Toutefois, si vous devez ajouter des licences vous-même, utilisez le...
  • Page 130 Quelle version dois-je exécuter ? Cisco recommande d'exécuter une version Gold Star indiquée par une étoile dorée en regard du numéro de version sur la page de téléchargement du logiciel. Vous pouvez également vous reporter à la stratégie de publication décrite dans la rubrique...
  • Page 131 Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ Enabled Online 7.2.0.65 7.2.0.65 Not Applicable Étape 3 Si vous souhaitez installer une nouvelle version, procédez comme suit. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 132: Se Connecter Au Gestionnaire Cdo

    Après avoir établi vos informations d'identification Cisco Secure Sign-On, vous pouvez vous connecter au gestionnaire CDO à partir de votre tableau de bord Cisco Secure Sign-On. Le tableau de bord Cisco Secure Sign-On vous permet également de vous connecter à tous les autres produits Cisco pris en charge.
  • Page 133 En bas de l'écran de connexion, cliquez sur Inscription. Illustration 38 : Inscription à Cisco SSO c) Renseignez les champs de la boîte de dialogue Créer un compte et cliquez sur Enregistrer. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 134 Saisissez l'adresse e-mail que vous prévoyez d'utiliser pour vous connecter à CDO et ajoutez un nom d'organisation correspondant à votre entreprise. d) Après avoir cliqué sur Enregistrer, Cisco vous envoie un e-mail de vérification à l'adresse avec laquelle vous vous êtes enregistré. Ouvrez l'e-mail et cliquez sur Activer le compte.

  • Page 135: Se Connecter Au Gestionnaire Cdo Avec Cisco Secure Sign-On

    Cisco Defense Orchestrator (CDO) utilise Cisco Secure Sign-On comme fournisseur d'identité et Duo Security pour l'authentification multifacteur. • Pour vous connecter à CDO, vous devez tout d'abord créer votre compte dans Cisco Secure Sign-On et configurer l'authentification multifacteur à l'aide de Duo ; consultez la rubrique Créer un nouveau compte...

  • Page 136: Déployer Le Pare-Feu Avec La Fonction Low-Touch Provisioning

    Notez le numéro de série du pare-feu. Il se trouve sur le coffret de livraison. Il se trouve également sur un autocollant sur la partie inférieure du châssis du pare-feu. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 137: Raccorder Le Pare-Feu

    Contactez l'administrateur du CDO pour établir un calendrier d'intégration. Raccorder le pare-feu Dans cette rubrique, nous vous expliquons comment connecter l'appareil Firepower 1010 à votre réseau afin qu'un CDO puisse le gérer à distance. Si vous avez reçu un pare-feu dans votre succursale et que vous devez le brancher sur votre réseau,...
  • Page 138 Étape 4 Observez le voyant d'état à l'arrière ou en haut de l'appareil ; lorsque l'appareil démarre correctement, le voyant d'état clignote rapidement en vert. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 139: Intégrer Un Appareil Avec La Fonction Low-Touch Provisioning

    Étape 5 Observez le voyant d'état à l'arrière ou en haut de l'appareil ; lorsque l'appareil se connecte au cloud Cisco, le voyant d'état clignote lentement en vert. En cas de problème, le voyant d'état clignote en orange et en vert, ce qui signifie que l'appareil ne s'est pas connecté...

  • Page 140: Déployer Le Pare-Feu Avec L'assistant D'intégration

    Dans cette section, nous vous expliquons comment configurer le pare-feu en vue de l'intégrer à l'aide de l'assistant d'intégration du CDO. Raccorder le pare-feu Dans cette rubrique, nous vous expliquons comment connecter l'appareil Firepower 1010 à votre réseau afin qu'un CDO puisse le gérer à distance. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 141 Raccordez vos terminaux internes aux ports de commutateur, Ethernet 1/2 à 1/8. Les ports Ethernet 1/7 et 1/8 sont des ports PoE+. Étape 4 Connectez l'ordinateur de gestion au port de console ou à une interface interne. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 142: Intégrer Un Appareil Avec L'assistant D'intégration

    Observez le voyant d'état à l'arrière ou sur l'appareil. Lorsqu'il s'allume en vert, le système a terminé les diagnostics de mise sous tension. Intégrer un appareil avec l'assistant d'intégration Intégrez le threat defense à l'aide de l'assistant d'intégration du CDO avec une clé d'enregistrement de la CLI. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 143 Exemple de commande pour la configuration de la CLI : configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com Exemples de composants de commande pour la configuration de l'interface graphique utilisateur : Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 144: Effectuer La Configuration Initiale

    Si le mot de passe a déjà été modifié et que vous ne le connaissez pas, vous devez reconfigurer l'appareil pour réinitialiser le mot de passe par défaut. Consultez le Guide de dépannage de la console FXOS pour connaître la procédure de réinstallation. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 145 Ce paramètre transfère le trafic de gestion sur le fond de panier afin qu'il puisse être acheminé via l'interface de données d'accès au gestionnaire. • Gérer l'appareil localement ? : saisissez non pour utiliser le CDO. Si vous saisissez oui, vous utilisez le gestionnaire d'appareils. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 146 NAT ID when you add this sensor to the Firepower Management Center. > Étape 5 Configurez l'interface externe pour l'accès au gestionnaire. configure network management-data-interface Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 147 Autorités de certification racines approuvées par Cisco afin que le threat defense puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le threat defense FTD prend en charge tout serveur DDNS qui utilise la spécification de l'API distante DynDNS (https://help.dyn.com/remote-access-api/).

  • Page 148: Effectuer La Configuration Initiale À L'aide Du Gestionnaire D'appareils

    CDO pour la gestion, en plus des paramètres d'interface de gestion et d'accès du gestionnaire. Notez que les autres paramètres de Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 149 Par exemple, le trafic de gestion acheminé vers le fond de panier via l'interface de données résout les noms de domaine complets à l'aide des serveurs DNS de l'interface de gestion, et non des serveurs DNS de l'interface de données. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 150 Sélectionnez Appareil > Paramètres système > Centre de gestion, et cliquez sur Continuer pour configurer la gestion du centre de gestion. Étape 7 Configurez les détails du centre de gestion/CDO. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 151 Pour Connaissez-vous le nom d'hôte ou l'adresse IP du centre de gestion/CDO, cliquez sur Oui. CDO génère la commande configure manager add. Reportez-vous à la section Intégrer un appareil avec l'assistant d'intégration, à la page 140 pour générer la commande. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 152 Si vous avez choisi une autre interface, vous devez configurer manuellement une route par défaut avant de vous connecter au CDO. Reportez-vous à la rubrique Configurer le pare-feu dans le Gestionnaire Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 153 Autorités de certification racines approuvées par Cisco afin que le threat defense puisse valider le certificat du serveur DDNS pour la connexion HTTPS. Le threat defense FTD prend en charge tout serveur DDNS qui utilise la spécification de l'API distante DynDNS (https://help.dyn.com/remote-access-api/).

  • Page 154: Configurer Une Politique De Sécurité De Base

    à l'aide de DHCP (Ethernet1/1). Procédure Étape 1 Sélectionnez Appareils > Gestion des appareils, puis cliquez sur l'icône Modifier ( ) de l'appareil. Étape 2 Cliquez sur Interfaces. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 155 (facultatif) Modifiez l'ID de VLAN ; la valeur par défaut est 1. Vous devez ensuite ajouter une interface VLAN correspondant à cet ID. d) Cliquez sur OK. Étape 5 Ajoutez l'interface VLAN interne. a) Cliquez sur Ajouter des interfaces > Interface VLAN. L'onglet Général s'affiche. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 156 Vous ne pouvez pas modifier l'ID de VLAN après avoir enregistré l'interface ; l'ID de VLAN est à la fois la balise de VLAN utilisée et l'ID d'interface de votre configuration. g) Cliquez sur l'onglet IPv4 et/ou IPv6. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 157 Dans la liste déroulante Zone de sécurité, sélectionnez une zone de sécurité externe existante ou ajoutez-en une en cliquant sur Créer. Par exemple, ajoutez une zone appelée zone_externe. b) Cliquez sur OK. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 158: Configuration Du Routage Nat

    Sélectionnez Appareils > NAT, puis cliquez sur Nouvelle politique > NAT de protection contre les menaces. Étape 2 Donnez un nom à la politique, sélectionnez le ou les appareils que vous souhaitez utiliser, puis cliquez sur Enregistrer. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 159 • Règle NAT : sélectionnez Règle NAT automatique. • Type : choisissez Dynamique. Étape 5 Sur la page Objets d'interface, ajoutez la zone externe de la section Objets d'interface disponibles à la section Objets d'interface de destination. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 160 Vous ne pouvez pas utiliser l'objet any-ipv4 défini par le système, car les règles NAT Remarque automatiques ajoutent la fonction NAT à la définition d'objet et vous ne pouvez pas modifier les objets définis par le système. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 161 • Nom : donnez un nom à cette règle, par exemple interne_vers_externe. • Zones source : sélectionnez la zone interne dans Zones disponibles, puis cliquez sur Ajouter à la source. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 162 Vous pouvez uniquement utiliser le protocole SSH pour accéder à une interface accessible ; si votre hôte SSH se trouve sur l'interface externe, vous pouvez uniquement établir une connexion de gestion directement vers l'interface externe. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 163 Zone de sécurité sélectionnée, puis cliquer sur Ajouter. Ces règles seront appliquées à un appareil uniquement si celui-ci inclut les interfaces ou les zones sélectionnées. c) Cliquez sur OK. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 164 Cliquez sur Tout déployer pour déployer sur tous les périphériques ou cliquez sur Déploiement avancé pour déployer sur les périphériques sélectionnés. Illustration 51 : Tout déployer Illustration 52 : Déploiement avancé Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 165: Dépannage Et Maintenance

    USB nécessaires à votre système d'exploitation (consultez le guide matériel de l'appareil Firepower 1010). Le port de console est défini par défaut sur la CLI FXOS. Utilisez les paramètres série suivants : • 9 600 bauds Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 166 CDO (c'est-à-dire, remplacez l'interface de données par l'interface de gestion, ou vice versa), si les interfaces et les paramètres réseau ne sont pas configurés correctement, vous risquez de perdre la connectivité à l'interface de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 167 : data-interfaces IPv6 Default route Gateway : data-interfaces ======================[ br1 ]======================= State : Enabled Link : Up Channels : Management & Events Mode : Non-Autonegotiation MDI/MDIX : Auto/MDIX : 1500 Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 168 Dans l'interface de ligne de commande du threat defense, utilisez la commande suivante pour envoyer une requête ping au CDO à partir de l'interface de gestion, afin de l'acheminer via le fond de panier aux interfaces de données : ping system cdo_hostname Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 169 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 170 5 in use, 16 most used Inspect Snort: preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect TCP nlp_int_tap 10.89.5.29(169.254.1.2):51231 outside 10.89.5.35:8305, idle 0:00:04, bytes 86684, flags UxIO Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 171: Rétablir La Configuration En Cas De Déconnexion Du Cdo

    Notez que si vous avez modifié les paramètres de l'interface de données après le dernier déploiement du CDO Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 172 Si le rétablissement de la connexion prend plus de 10 minutes, vous devez dépanner la connexion. Reportez-vous à la rubrique Résoudre les problèmes de connectivité de gestion sur une interface de données, à la page 164. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 173: Mettre Le Pare-Feu Hors Tension À L'aide Du Cdo

    Vous pouvez désormais débrancher ce dernier pour couper l'alimentation du châssis si nécessaire. Et après ? Pour poursuivre la configuration de votre threat defense avec CDO, reportez-vous à la page d'accueil Cisco Defense Orchestrator. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 174 Déployer Threat Defense avec le CDO Et après ? Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 175: Déployer L'asa Avec Le Gestionnaire Asdm

    (FXOS). Le pare-feu ne prend pas en charge le Gestionnaire de châssis Secure Firewall FXOS ; seule une CLI limitée est prise en charge à des fins de dépannage. Pour obtenir plus d'informations, reportez-vous à la section Guide de dépannage Cisco FXOS pour la série Firepower 1000/2100 exécutant Firepower Threat Defense.

  • Page 176: Fonctionnalités Non Prises En Charge

    Vous pouvez également accéder à l'interface de ligne de commande de la console FXOS à des fins de dépannage. Fonctionnalités non prises en charge Fonctionnalités ASA générales non prises en charge Les fonctionnalités ASA suivantes ne sont pas prises en charge sur le pare-feu Firepower 1010 : • Mode multicontextuel • Basculement actif/actif •...

  • Page 177: Migrer La Configuration D'une Appliance Asa 5500-X

    1. Pour copier la configuration, saisissez la commande more system:running-config sur l'ASA 5500-X. 2. Modifiez la configuration si nécessaire (voir ci-dessous). 3. Connectez-vous au port de console de Firepower 1010 et passez en mode de configuration globale : ciscoasa> enable Password: The enable password is not set.
  • Page 178 ID de matériel. Par exemple, l'ASA 5525-X inclut l'interface de gestion 0/0, ainsi que GigabitEthernet 0/0 à 0/5. Firepower 1120 intègre les interfaces de gestion 1/1 et Ethernet 1/1 à 1/8. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 179 FXOS). La nouvelle image se charge lorsque vous rechargez l'ASA. Procédure de bout en bout Consultez les tâches suivantes pour déployer et configurer ASA sur votre châssis. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 180 Mettre le pare-feu sous tension, à la page 13 préalable Interface de ligne de (Facultatif) Modifier l'adresse IP, à la page 184. commande du logiciel ASDM Se connecter au gestionnaire ASDM, à la page 185. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 181 190. Vérifier le déploiement et la configuration par défaut du réseau La figure suivante illustre le déploiement réseau par défaut du pare-feu Firepower 1010 à l'aide de la configuration par défaut. Si vous connectez l'interface externe directement à un modem câble ou ADSL, nous vous recommandons de mettre le modem en mode pont pour que le logiciel ASA effectue tout le routage et la NAT pour vos réseaux...

  • Page 182: Configuration Par Défaut De L'appliance Firepower 1010

    Configuration par défaut de l'appliance Firepower 1010 Configuration par défaut de l'appliance Firepower 1010 La configuration par défaut de l'appareil Firepower 1010 concerne les éléments suivants : • Commutateur matériel : réseaux Ethernet 1/2 à 1/8 appartenant au VLAN 1 •...
  • Page 183 1 interface Ethernet1/8 no shutdown switchport switchport mode access switchport access vlan 1 object network obj_any subnet 0.0.0.0 0.0.0.0 nat (any,outside) dynamic interface Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 184 208.67.222.222 outside name-server 208.67.220.220 outside Raccorder l'appareil Gérez l'appareil Firepower 1010 sur l'interface de gestion 1/1 ou sur l'interface Ethernet 1/2 à 1/8 (ports de commutateur internes). La configuration par défaut configure également Ethernet 1/1 comme port externe. Procédure Étape 1...

  • Page 185: Mettre Le Pare-Feu Sous Tension

    (reportez-vous à la rubrique Configuration par défaut de l'appliance Firepower 1010, à la page 180). Si vous devez modifier l'adresse IP de l'interface de gestion 1/1 par défaut, vous devez également connecter votre ordinateur de gestion au port de console.

  • Page 186: (Facultatif) Modifier L'adresse Ip

    Clear all configuration Executing command: interface management1/1 Executing command: nameif management INFO: Security level for "management" set to 0 by default. Executing command: ip address 10.1.1.151 255.255.255.0 Executing command: security-level 100 Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 187: Se Connecter Au Gestionnaire Asdm

    • https://192.168.1.1 : adresse IP de l'interface interne .Vous pouvez vous connecter à l'adresse interne sur n'importe quel port de commutateur interne (Ethernet 1/2 à 1/8). • https://192.168.45.1 : adresse IP de l'interface de gestion. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 188 • Chiffrement fort (3DES/AES) : si votre compte Smart n'est pas autorisé pour le chiffrement renforcé, mais que Cisco a déterminé que vous êtes autorisé à utiliser le chiffrement renforcé, vous pouvez ajouter manuellement une licence de chiffrement renforcé à votre compte.
  • Page 189 Assurez-vous que votre compte Smart Licensing contient les licences disponibles dont vous avez besoin, à savoir au minimum la licence Standard. Si vous avez acheté votre appareil auprès de Cisco ou d'un revendeur, vos licences doivent avoir été associées à votre compte Smart Software Manager. Toutefois, si vous devez ajouter des licences vous-même, utilisez...
  • Page 190 Dans la boîte de dialogue Créer un jeton d'enregistrement, saisissez les paramètres suivants, puis cliquez sur Créer un jeton : • Description • Délai d'expiration : Cisco recommande de définir un délai de 30 jours. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 191 Cliquez sur Enregistrer. L'ASA s'enregistre auprès de Smart Software Manager à l'aide de l'interface externe préconfigurée et demande l'autorisation d'utiliser les droits de licence configurés. Smart Software Manager applique également la licence Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 192 également configurer manuellement les fonctionnalités non incluses dans les assistants. Procédure Étape 1 Sélectionnez Assistants > Assistant de démarrage, puis cliquez sur la case d'option Modifier la configuration existante. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 193 (facultatif) Dans le menu Assistants, exécutez d'autres assistants. Étape 4 Pour poursuivre la configuration de votre ASA, consultez les documents disponibles pour votre version logicielle dans le document Consultation de la documentation des solutions Cisco ASA. Guide de mise en route de l'appliance Cisco Firepower 1010...

  • Page 194: Accéder Au Asa Et Au Cli Fxos

    Vous pouvez également passer en mode de configuration à partir du mode d'exécution privilégié. Pour quitter le mode d'exécution privilégié, saisissez la commande disable, exit ou quit. Étape 3 Accédez au mode de configuration globale. configure terminal Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 195 • Pour poursuivre la configuration de votre ASA, consultez les documents disponibles pour votre version logicielle dans le document Consulter la documentation des solutions Cisco ASA. • Pour le dépannage, consultez le Guide de dépannage de la console FXOS. Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 196 Déployer l'ASA avec le gestionnaire ASDM Et après ? Guide de mise en route de l'appliance Cisco Firepower 1010...
  • Page 197 © 2022 Cisco Systems, Inc. Tous droits réservés.

Table des Matières