取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

【跟我一起读】《Cisco Firepower威胁防御(FTD)设备的高级排错与配置》

14920
查看次数
18
有帮助
44
评论

本期读书活动圆满结束,让我们期待下次的读书活动吧!

【管理员说-奖励设置】
- 参与奖:每周跟帖回复主题相关内容即可获得20积分
- 优质参与奖:每周优质回复内容可额外获得奖励50积分/条(上限200积分/周)
- 幸运奖:每周从优质参与奖获奖用户中随机抽取2人赠送50元京东E卡
- 领读者福利: 100元京东卡+500积分奖励(你也想成为领读者,为大家分享好书?立即私信联系管理员)


推荐理由:
作为Cisco安全硬件产品的核心,Firepower能够通过良好的配置,实现了对于内、外部网络攻击与威胁的全面防护。本书可谓一本全面介绍Firepower的实用指南,而且它注重于根据不同章节的主题,向读者传授解决实际故障与问题的详细的步骤与方法,进而构建出适合于目标网络环境的Firepower软硬件系统。
170136t1kt11isqzjrsiix.png.thumb.jpg

内容简介:
《Cisco Firepower威胁防御(FTD)设备的高级排错与配置》通过22个章节,详细介绍了Firepower从初始安装、到基本部署、以及在实际应用场景中需要进行的各种排错方法。具体内容涉及到了FTD的相关概念、Firepower管理中心、WMware上的系统虚拟化、管理网络、流控策略、日志和消息调试、用户访问控制等。另外,其附录还贴心地配有如何使用GUI和CLI界面,来进行排错的快速方法。
购书链接:https://item.jd.com/12464355.html
读书规划:

第一周:8月19日-8月25日 1~5章 FTD的相关概念与安装、FMC、系统虚拟化
第二周:8月26日-9月1日 6~10章 管理网络、部署模式、流量分析
第三周:9月2日-9月8日 11~15章 各种流控策略
第四周:9月9日-9月15日 16~22章 黑名单、DNS、URL、应用、文件、IDS、NAT等攻击防护
我的心得及分享:

第一周:
第一章,介绍了Cisco Firepower的发展历史,它在版本上的迭代,系统安装时所涉及到的软件组件。
第二章,介绍了在ASA 5500-X安装各种镜像、并将其image成为FTD的流程。其中包括如何用CLI进行软硬件状态确认的方法。请特别关注35页下方和36页上的流程图。
第三章,介绍了FTD在FXOS设备上的架构与安装。其中包括如何用CLI来确认设备上不同组件状态的方法。请特别关注61页上的流程图。
第四章, 讨论了FMC的各种硬件平台,逐步演示了重镜像的完成过程,并给出了最佳实践的流程。同时,也展示了如何用CLI和工具来确认各种硬件问题。请特别关注77,81页上的流程图。
第五章,介绍了Firepower虚拟化设备的部署、调试、优化与排错。请特别关注110页上的流程图。
第二周:
第六章,介绍了设计、配置和搭建Firepower的管理网络。如何用工具来验证FMC和FTD管理接口的连接性问题。请特别关注136页上的最佳实践。
第七章,介绍了Firepower的两种许可证特点与功能,展示了如何把FMC注册到智能许可证服务器的步骤。
第八章,介绍了路由模式下防火墙部署的基本概念、以及如何配置静态/动态IP地址,DHCP服务器/客户端等相关步骤,同时也展示如如何诊断接口的相关问题。请特别关注177页下的图。
第九章,介绍了透明防火墙模式的基本概念,以及如何对物理和虚拟接口进行配置,同时也展示了如何验证基本连通性、和为SSH创建访问规则。请特别关注193,207页上的内容。
第十章,介绍了从Firepower引擎、防火墙引擎、FMC三个方面捕获实时流量的概念与方法,展示了如何下载生成的pcap文件,以及tcpdump和BPF的语法。最后以部署阻塞ICMP流量访问规则为例,展示了如何验证与排错。请特别关注214页上的内容。

第三周:
第十一章,介绍了如何在“在线模式”中配置FTD、以及如何在“在线集”中启用“失效保护”和“传输链路状态”两种容错机制。同时,我们也学到了如何追踪数据包、阻断指定的端口。请特别关注244页上的内容。
第十二章,介绍了FTD的“被动模式”和“在线分流模式”两种只监控不阻断的原理和配置方法,给出了一下最佳实践,以及分析各种入侵连接事件的操作。请特别关注274页上的内容。
第十三章,介绍了FTD如何分析和阻断GRE协议所封装的流量。作为示例,书中给出了三个场景,分别演示了:如何根据默认的预过滤策略来进行配置、如何阻断封装的流量、以及如何让非封装的流量绕过检测。请特别关注293页上的内容。
第十四章,介绍了如此通过预过滤策略来快速路径、以及通过访问策略来信任规律,这两种方法来达到绕过深度数据包的检测效果。书中也演示了这FTD设备上不同的旁路选项,和如何验证与排错。请特别关注322页上的内容。
第十五章,介绍了如何在FTD设备上配置QoS策略,以实现对于流量速率的限制, 并对其效果进行验证。同时,本书也介绍了如何分析QoS事件和统计数据。请特别关注350页上的内容。
第四周:
第十六章,介绍了如果通过安全智能来检测恶意地址,并且使用Feed、List、Blacklist IP Now三种方法结合白名单与黑名单来阻断、监控或放行访问的操作。请特别关注366~368页上的内容。
第十七章,介绍了通过DNS策略来管理DNS的查询,以及使用Feed功能动态拉黑可疑域名等部署办法,请注意理解Sinkhole的概念,并特别关注397页上的内容。
第十八章,介绍了Firepower通过Web信誉技术对流量进行过滤,进而实现根据数据库对URL进行查找和进行必要的阻断。同时,本章也演示了如何进行验证与排错。请特别关注413,414,417页上的内容。
第十九章,介绍了Firepower如何使用各种应用检测器来发现并感知网络中的应用,进而对无用的应用采取访问控制的配置方法。请特别关注435~437页上的内容。
第二十章,介绍了Firepower通过文件策略和AMP技术,实现对文件类型的控制和对恶意软件的分析。在配置方式上,我们既可以采用本地分析,也可以运用云端查找的动态分析方式。同时,本章也演示了如何确定文件倾向性、日志与调试消息等操作。请特别关注452,455,456页上的内容。

我的问题:

第一周:
1. 在配置虚拟化设备时,如何增加Firepower的适配器吞吐量?
2. 如何或许Firepower软硬件平台的详细信息?
3. 如果安全模块上出现Mismatch的状态,这意味着什么?
第二周:
4. 说一说,您在实际配置中,或是阅读本书第八章后,所领悟到的路由模式配置的一些最佳实践。
5. 请简述并举例说明Trust和Fastpath两种规则行为的区别。
6. 请通过实现步骤,分享并简述您在过往项目或日常工作中如何捕获网络流量的(不限于FTD设备)。
第三周:
7. 简述“失效保护”和“传输链路状态”两种容错机制,举例说明您在工作中场景中是如何配置的。
8. 贵司是否有蜜罐系统,您是否对该系统中的流量采用了“只检查不阻断”的模式?请简述您采用了那种方式并是否进行过连接事件的分析。
9. 请简述您在贵司的网络节点处有做过哪些类型的流量限速规则?它们分别针对哪些场景?您又是如何验证其效果、并分析它们所捕捉到的事件?
第四周:
10. 请简述您在企业中是如何如何通过FTD的配置,来实现对于恶意地址、可疑DNS、以及URL进行管控的。
11. 请举例说明如何在复杂的网络中,提高网络发现的效率与性能。
12. 您有在自己的企业网络中查杀并抵御受感染的恶意软件吗?您是否用到了Firepower的相关技术与配置方法,是否可以举例说明?


【管理员说-注意事项】
1. 禁止发表不当言论,不涉及政治、国家、党派等信息,禁止刷帖灌水行为,审核发现后将不能获得活动积分,对于在论坛中多次出现此行为者,将采取至少禁言一周的处罚。
2. 积分奖励在管理员审核通过后即刻发放,优质回复奖在活动结束发布获奖公告后进行发放。
3. 思科服务支持社区对本次活动有最终解释权。


评论
one-time
Expert
liangdongdong 发表于 2019-8-28 10:32
参与一下,表示支持,这样的活动越多越好

一起读书,或进行有态度的讨论,都有机会获得京东E卡的奖励哦~
april1
Beginner
1 失效保护指软件故障时,流量经过FTD设备时,FTD将对流量做转发处理,而不须任何检测。
传输链路状态指当检测在线线路中有一根线路失效时,传输链路状态特效会把所有接口都关闭,不通过失效链路转发流量。
2我们基本上不阻塞数据包,只检查下可疑IP,也还可以。
fortune
VIP Expert
2. 贵司是否有蜜罐系统,您是否对该系统中的流量采用了“只检查不阻断”的模式?请简述您采用了那种方式并是否进行过连接事件的分析。
之前有部署过蜜罐系统,其实检查如果够强大,是可以检查出很多不容易发现的威胁,APT攻击等,因为要消耗大量资源持续分析,可以联动阻断产品。
3. 请简述您在贵司的网络节点处有做过哪些类型的流量限速规则?它们分别针对哪些场景?您又是如何验证其效果、并分析它们所捕捉到的事件?
之前的话用ASA 做流量限速,不过效果不怎么好,还是要专业的流控或者上网行为管理。 验证的话就是下载上传测速咯
sijle
Cisco Employee
失效保护:在软件发生故障时,如果FTD停止处理流量,并且缓存变满,FTD会丢弃流量。失效保护特性会监控缓存的使用。在缓存满了的时候,时效保护特性允许流量穿越FTD而无须任何检测,因此用户不会经历持久的网络中断。
传输链路状态:在线对中一套链路失效了,第二条链路可以保持Up状态并能接收流量。在线对中的一个接口失效时,会自动将剩余接口关闭。。
没有部署过蜜罐系统。本质上它是一个监视工具,如果恰当实施,可以提供一些信息。可以了解到攻击是如何进行的,进而知道如何保证资源免受攻击。当然也有不利的一面,如果不正确的配置,攻击者可以借此攻入系统。
开八方会议的时候激活语音流量优先级,语音、视频流量不应做shaping以免造成抖动;其他接口开启流量监管,超额流量直接丢弃。思科ASA防火墙QoS还是很弱的,不能基于应用做QoS。
ni-weijian
Beginner
1.失效保护:在软件出问题时,FTD停止并丢弃流量。失效保护特性允许流量穿越FTD而无须任何检测,因此用户感觉不到网络中断。
传输链路状态:在用线路中如果一跟链路DOWN了,第二条链路可以保持Up状态并能接收流量。设备的所有接口中一个接口失效时,会自动将剩余接口关闭。
2.没有蜜罐系统,不过测试过,用着用着采集设备就死机了,所以对采集和分析设备的性能有一定的要求。
3.用锐捷网关做过限速,网页邮件语音等优先,P2P下载什么的最后。
Rockyw
Advisor
11. 请举例说明如何在复杂的网络中,提高网络发现的效率与性能。
有的防火墙(包括Windows防火墙)以及杀毒软件会拦截特定的端口,导致无法使用文件和打印机共享或者发现计算机。首先检查Windows防火墙是否为启用,如果启用,则应在网络与共享中心将网络位置设为“家庭”;如果问题仍然存在,则可以尝试彻底关闭防火墙。如果安装了杀毒软件,可以尝试暂时关闭杀软的功能,如果担心安全问题,可以检查杀软的设置,使它停止对相关端口的拦截网络中查杀并抵御受感染的恶意软件。
12. 您有在自己的企业网络中查杀并抵御受感染的恶意软件吗?您是否用到了Firepower的相关技术与配置方法,是否可以举例说明?
有在网络中查杀并抵御受感染的恶意软件,但没用Firepower的相关技术与配置方法。如发现有机器中毒了,第一时间是切断该设备的网络连接,然后用机器上的杀毒软件深度扫描一启遍,看看能不能提供一些线索。如果有病毒的名字的话,再用搜索引擎查找更全面的清除方法。如果扫描后没有任何线索的话,那就只能根据手动排查可疑进程。
Yuan Li
Beginner
请简述您在企业中是如何如何通过FTD的配置,来实现对于恶意地址、可疑DNS、以及URL进行管控的?
(1)一般先检查策略是否启用URL过来 监控器安全模块;启用模块的话,如果FMC无法为被管理设备部署URL数据集,或无法聪CSI下载最新URL数据库时,生成告警信息。
(2)FMC一般会每隔30s和CSI通信,用来确定是否有新的可用URL数据库更新;一般还会启用自动更新;
(3)为防止用户访问可疑网站,可考虑阻塞去往这些域的DNS查询,若FTD可在DNS解析过程中阻塞一个连接,就没必要为这个连接执行URL查找了,可提升系统性能。
LxL9905
Beginner
开启防火墙功能是基本的防毒第一步,起码能有效阻止部分有害程序进入,但是却做不到杀。安装杀毒软件更能有效防止木马病毒入侵,非法程序一律扼杀在大门之外,有效保护电脑安全。
sijle
Cisco Employee
拉黑恶意地址,对可疑DNS做Sinkhole、用虚假地址作为DNS查询的响应,将可以流量重定向到其他位置做进一步分析,除了对URL进行过滤,管理员还能自定义模板,对用户访问可疑或黑名单等URL返回自定义页面。
FTD开启网络发现功能,对整个网络信息收集,开启认证对用户信息收集包括IP,MAC,用户,操作系统,应用系统,协议等。
在准入的时候进行控制,比如ISE的postur service。检查所有终端的状态,对于裸奔、没有杀毒软件的终端推策略修复客户端并安装指定杀毒软件。
april1
Beginner
1. 一般都是配置黑名单,自定义智能列表手动拉黑。对于可疑DNS阻塞DNS查询。对于URL 进行过滤增设黑名单和白名单。。
2公司有北塔系统,基本线路断了或者有延时都会提醒的。
yangkai_716
Collaborator
学习了,感谢分享~
zby
Beginner
Beginner
firepower不好用,正好看看
nyy123
Community Member
1.对于恶意地址,dns,url级别都是通过黑白名单管理,及全局地址管理。
2.ips设备,威胁感知等设备查看受感染的ip。前提舍得投入。
jasonzhan3151
Beginner
期待下次的读书活动
IPS AMP URL过滤要怎么用啊
创建
认可您的同行
Content for Community-Ad