取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

【专家问答】ASA 和 FTD 相关全球安全社区活动

4675
查看次数
0
有帮助
56
评论
Yanli Sun
Community Manager
如何使用ASA和FTD保护您的网络,有哪些故障排除、最佳实践等?
活动介绍:
您可以通过参与此活动,讨论与思科自适应安全设备(ASA)和Firepower威胁防御(FTD)相关的产品、管理、安装配置、实施和使用、以及与网络中其他设备的集成。您可以了解充分利用高级防火墙设置的最佳实践,以及解决常见问题的最佳实践。
注:本活动为思科社区全球活动,您可以在此留下您的问题,我们会将问题翻译成英文并发布到英文社区活动主贴下,收到专家回复后会翻译成中文并在此回复。问题解答和翻译可能需要一些时间,敬请谅解。
点击此处,查看英文社区原帖。

活动时间:
2021.01.12 周二 至 01.22 周五
问答专家:
153802e6d5dgr2yupx4dv6.png
BereniceGuerra Martinez
思科全球安全技术支持中心(TAC)的技术咨询工程师,负责下一代防火墙(NGFW)。 她专门研究威胁检测、ASA和Firepower配置和最佳实践以及Firepower集成。 Berenice拥有网络安全专业的电子工程学士学位,并且是一名电信技术员。 她拥有三种不同的思科认证:CCNA R&S,CyberOps Associate, and DevNet Associate.
Namit Agarwal
安全业务组技术营销工程师。 他来自加拿大多伦多。 他与我们的平台产品管理团队紧密合作,并领导关键的技术支持项目。他于2009年加入思科,曾担任多个职位,最近担任印度班加罗尔SecurityCX团队的技术主管。 在担任该职务期间,他负责escalation,领导了产品改进的可维护性计划,并推动了与NGFW销售团队的合作。 他拥有CCIE 安全证书(编号33795),并且具有多种Cisco安全解决方案的经验,例如Cisco防火墙、IPS、VPN和云安全。
Ilkin Gasimov
思科全球TAC 安全NACW 技术咨询工程师。 他于2017年加入TAC团队,此后主要致力于支持Cisco NGFW平台以及与思科业务部门的合作,为NGFW产品质量的提高做出贡献。 他还向合作伙伴和客户提供故障排除会议。 加入Cisco之前,他在企业和移动网络环境中具有Cisco ASA防火墙的实践经验。 自2016年以来,他获得了CCIE (#54979) 安全认证。
Ricardo Diez Gutierrez Gonzalez
思科HTTS TAC技术咨询工程师,负责安全NGFW – ASA – VPN。 他六年前加入了思科。他参加了孵化器计划六个月,获得了CCNA证书,然后成为一名专职工程师。 后来,他获得了NGFW专家和CCNP安全认证,目前正在为CCIE考试而学习。

本期【专家问答】同主题相关资料:
【专家问答】问题汇总_ASA 和 FTD 相关全球安全社区活动
点击此处,查看英文社区原帖
56 评论
18653465190
Enthusiast
非常棒啊!:lol
alina_xiao
Beginner
为什么我在Firepower里看不到设备?这样就没办法去生成相应的故障排除文件
huajiang
Beginner
very good
Yanli Sun
Community Manager
alina_xiao 发表于 2021-1-13 15:14
为什么我在Firepower里看不到设备?这样就没办法去生成相应的故障排除文件

答复from bguerram
为了生成您的firepower设备的故障排除文件,请在FMC中导航至系统>运行状况>监视器>在显示的列表中选择设备>生成故障排除文件。
如果您没有看到下面列出的任何设备,则可能必须单击饼图。 您在哪里可以查看并单击饼图,将取决于您设备的运行状况。
绿色-健康状况
黄色–带有警告的设备
红色–有错误的设备
蓝色–禁用的设备
您可以点击以下链接查看更多详细信息:
思科视频门户-https://video.cisco.com/video/6155382458001
思科技术说明-https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html
W2493455280
Beginner
请问可以如何管理我的 Firepower 设备
fortune
VIP Expert
ftd的挺多东西好多学习的地方
Yanli Sun
Community Manager
W2493455280 发表于 2021-1-14 11:47
请问可以如何管理我的 Firepower 设备

答复from bguerram
为了管理FTD,您有两个不同的选项,可以使用Firepower设备管理器(FDM)或通过Firepower管理中心(FMC)在本地进行选择。
为了了解如何在FMC中注册FTD,请参阅以下视频,了解更多详细信息:
https://video.cisco.com/video/6156204074001
Tiandao
Beginner
非常棒,如果有对应行业场景的最佳实践就好了!
jm.nie
Rising star
可以在实际的生产环境中应用起来就不错。;P;P;P;P
one-time
Expert
问题1(来自Marvin Rhoads
大家好,
在使用FDM管理的FTD 6.7设备时,我们按照指示使用API来添加snmp-服务器主机。参考资料:
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/216551-configure-and-troubleshoot-snmp-on-firep.html#anc7
但是,在使用API管理器查询接口时,我们无法获得诊断接口信息。API查询GET/设备/默认值/接口只会返回数据接口信息。GET/设备/默认值/操作/界面会展示诊断接口信息,但是没有POST /object/snmphosts/ API所需的接口“版本”、“名称”、“ID”和“类型”字段。
那么,如何为诊断界面添加snmp服务器呢?我们使用的设备是Firepower 2140设备。
one-time
Expert
管理员 发表于 2021-1-19 11:54
问题1(来自Marvin Rhoads)
大家好,

答案1(来自bguerram
Hi Marvin:
为了获得诊断接口的详细信息,首先通过API查询InterfaceInfo > GET/operational/interfaceinfo/{objId},获得管理接口ID。可以保留objid参数的默认值。
{
"interfaceInfoList": [
{
"interfaceId": "string",
"hardwareName": "string",
"speedCapability": [
"AUTO"
],
"duplexCapability": [
"AUTO"
],
"interfacePresent": true,
"id": "string",
"type": "InterfaceInfoEntry"
}
],
"id": "string",
"type": "InterfaceInfo",
"links": {
"self": "string"
}
}
以下是管理界面的API响应示例。。
{
"interfaceInfoList": [
{
"interfaceId": "b727b013-c677-11e9-adec-5d5808710d61",
"hardwareName": "Management1/1",
"speedCapability": [
"IGNORE"
],
"duplexCapability": [
"IGNORE"
],
"interfacePresent": true,
"id": "default",
"type": "interfaceinfoentry"
}
],
"id": "default",
"type": "interfaceinfo",
"links": {
"self": "https://x.x.x.x/api/fdm/v5/operational/interfaceinfo/default"
}
}
收集
interfaceId
值,该数值即为下一次查询的objid的值。
现在,前往Interface >GET/devices/default/operational/interfaces/{objId}。从上述查询中添加管理界面的
interfaceId
value,并执行API调用。
从API响应中,您将获得诊断界面详细信息。
{
"name": "diagnostic",
"hardwareName": "Management1/1",
"ipv4Address": {
"ipAddress": null,
"netmask": null,
"type": "ipv4address"
},
"ipv6Address": {
"ipAddress": null,
"type": "ipv6address"
},
"macAddress": "string",
"speedType": null,
"enabled": true,
"linkState": "UP",
"id": "b727b013-c677-11e9-adec-5d5808710d61",
"type": "interfacedata",
"links": {
"self": "https://x.x.x.x/api/fdm/v5/devices/default/operational/interfaces/b727b013-c677-11e9-adec-5d5808710d61"
}
}
one-time
Expert
管理员 发表于 2021-1-19 11:59
答案1(来自bguerram)
Hi Marvin:

问题1-2 来自Marvin Rhoads
@bguerram这很有帮助,但是我还是没法根据您给出的说明信息来创建一个形式良好的PUT。也许,最好的方式是针对该问题提交一个TAC案例。
我是一个有着10多年Cisco防火墙经验的资深工程师。但是由于我们在FTD上,我再也无法轻松地完成在这个原本只需要在ASA上用一行代码即可配置的工作。实在是太让人抓狂了。
one-time
Expert
问题2(来自Cisco Moderador)
大家好,
在ASA上,如果访问列表允许两个安全等级相同的接口相连,那么这些连接是否仍可以接受“ same-security-traffic allow inter-interface” 命令检查?
感谢!
注意:该问题来自Didier M最初用葡萄牙语发布的帖子。Cisco社区翻译了该问题,并用不同语言分享了该问题及其解决方案。
one-time
Expert
管理员 发表于 2021-1-19 12:02
问题2(来自Cisco Moderador)
大家好,

答案2(来自Ilkin)
是的,即使访问列表允许两个安全等级相同的接口相连,仍需要"same-security-traffic permit inter-interface" 命令来允许连接。
one-time
Expert
问题3(来自Modérateur Cisco)
嗨,大家好!
能否能将带Firepower功能的ASA集成到新的SecureX仪表盘中?
Cdlt. JMD
*该问题是Jean MD用法语发布的。Cisco社区翻译了该问题,并用不同语言分享了该问题及其解决方案。
Content for Community-Ad