Lab2 ASA FirePOWER基本配置指南.pdf

ASA FirePOWER 防火墙基本配置指南 目 录 1． 目的1 2 ． 系统策略1 3 ． 健康监控策略4 4 ． 对象管理6 5 ． 网络主机发现策略8 6． 访问控制策略10 7 ． 基本IPS 策略16 8 ． 联动策略20 9 ． 用户帐号管理22 1． 目的 在进行下面实验步骤前，先确认已经完成了ASA FirePOWER 模块和Defense Center 的安 装，并将FirePOWER 模块成功地添加到Defense Center 的管理设备中。 本文档介绍了ASA FirePOWER 防火墙的基本配置，以及如何验证配置是否生效。 2 ． 系统策略 本实验描述了如何通过创建系统策略 （System Policy ），并将其应用给Defense Center 和 FirePOWER 模块。通过以下配置步骤，将二者的时间保持同步，如果时间不同步，可能会造 成日志无法显示，或显示不正常的问题。 2.1. 修改时区Time Zone 步骤1：在GUI 管理界面，进入Admin User Preferences ，选择Time Zone Preference 标 签。 步骤2：将显示时区设置为Asia/Shanghai （如下图），然后点击Save ： 1 步骤3 ：修改FSMC 的时间为本地的时间，通过SSH 登陆到FSMC 的CLI 界面，通过命 令date 修改FSMC 的时间。 假定当前时间为2015 年11 月17 日21 时04 分，由于在FSMC 上采用的是UTC 时间， 而Asia/Shanghai 所在时区为UTC+8，那么在FSMC 的时间应该是当前时间减去8 小时，即 UTC 时间为2015 年11 月17 日13 时04 分。 配置命令如下： admin@Sourcefire3D:~$ sudo date -s13:04:30 Password: 此处输入admin 账号的密码 最后输入命令date，验证时间已经修改成功： admin@Sourcefire3D:~$ date Tue Nov 17 13:04:31 UTC 2015 注意：在实际环境中，如果配置了NTP 服务器，可以跳过本步骤的设置。本步骤采用 了手工设置本地时间，只是出于方便实验的目的。 2.2. 创建用于被管理设备FirePOWER 模块的系统策略System Policy 步骤1：在GUI 管理界面，进入System Local System Policy ，点击Create Policy 。 步骤2：在New Policy Name 输入框，输入Test_System_Policy ，点击Create （如下图）： 步骤3 ：点击左侧Time Synchronization （时间同步）。屏幕上部用于配置Defense Center 的时间，下部用于配置被管理设备的时间 （如下图）。 2 注意：如果在实际环境中有NTP 服务器，那么建议采用NTP 服务器。本例中采用手工 配置时间是为了方便实验的目的。 步骤4 ：点击Save Policy and Exit 。 步骤5 ：选择“Test_System_Policy ”对应的Apply 图标 ，同时选择FirePOWER 模块和 FSMC，再点击Apply 。 注意：此处IP 地址为仅为举例，实际配置时因为不同pod，IP 地址会有所不同。 说明： （1）Apply 需要的时间可能会较长，可以通过Task Status 查看策略是否完成 apply ：在GUI 上，进入右上角System Monitoring Task Status，能够查看所有的 Task 的状态。 （2 ）在Status 显示为Completed 后，表明System Policy 已经应用成功 （