Cisco Firepower威胁防御（FTD）设备的高级排错与配置

版权信息

书名：Cisco Firepower威胁防御（FTD）设备的高级排错与配置

ISBN：978-7-115-49595-2

本书由人民邮电出版社发行数字版。版权所有，侵权必究。

您购买的人民邮电出版社电子书仅供您个人使用，未经授权，不得以任何方式复制和传播本书内容。

我们愿意相信读者具有这样的良知和觉悟，与我们共同保护知识产权。

如果购买者有侵权行为，我们可能对该用户实施包括但不限于关闭该帐号等维权措施，并可能追究法律责任。

版权

著　　　　[美] 纳茨穆尔•拉杰卜（Nazmul Rajib）

译　　　　YESLAB工作室

责任编辑　陈聪聪

人民邮电出版社出版发行　　北京市丰台区成寿寺路11号

邮编　100164 　电子邮件　315@ptpress.com.cn

网址　http://www.ptpress.com.cn

读者服务热线：(010)81055410

反盗版热线：(010)81055315

版权声明

Cisco Firepower Threat Defense (FTD): Configuration and Troubleshooting Best Practices for the Next-Generation Firewall (NGFW), Next-Generation Intrusion Prevention System (NGIPS), and Advanced Malware Protection (AMP) (ISBN: 9781587144806)

Copyright ⓒ 2018 Cisco Systems, Inc. Authorized translation from the English language edition published by Cisco Press. All rights reserved.

本书中文简体字版由美国Cisco Press授权人民邮电出版社出版。未经出版者书面许可，对本书任何部分不得以任何方式复制或抄袭。

版权所有，侵权必究。

内容提要

本书是一本全面介绍Firepower的实用指南，旨在为读者解决实际问题提供详细的方法和指导，进而配置自己的Firepower系统。

全书共分为22章，详细介绍了Firepower的安装、部署和排错方式，内容涵盖了FTD的安装和部署、FMC硬件、Firepower系统虚拟、Firepower的管理网络、流控策略、日志和消息调试、用户访问控制等，附录中还为读者提供了使用GUI和CLI界面创建收集排错的方法。通过阅读本书，读者能够迅速掌握Firepower的实践方法。

本书适合网络工程师、负责服务提供商网络的运维人员、企业或政府部门中的技术与安全人员阅读，也可供备考CCIE安全认证考试的考生参考。

关于作者

Nazmul Rajib是Cisco全球技术服务部门的高级工程师和经理，专注于下一代安全技术。他负责推动网络安全培训计划、开发内部培训项目，并对当前支持Cisco全球安全解决方案的Cisco工程师提供培训。他还负责检查设计规范、测试安全软件，并为关键业务网络问题提供解决方案。Nazmul在Cisco官网和Cisco支持社区撰写了大量技术文章。

Nazmul是Sourcefire，Inc.公司工程师，该公司开发了业界流行的开源入侵防御系统—Snort。他为Sourcefire创建和管理全球知识库，并设计了Sourcefire安全认证来审核合作伙伴的资质。Nazmul在美国对大量管理安全服务提供商（MSSP）的安全工程师提供了培训。他为众多财富500强公司和美国政府机构的网络提供支持。

Nazmul拥有互联网络专业硕士学位。他还拥有网络安全、信息技术和技术交流领域的许多认证。他是Sourcefire认证专家（SFCE）和Sourcefire认证安全工程师（SFCSE）。

关于技术审稿人

John Groetzinger是全球TAC安全技术领导团队的成员，负责为Firepower、端点AMP、Threat Grid和第三方集成项目提供支持。他一直是工具和程序开发的领导者，这些工具和程序负责支持Cisco Firepower和AMP安全软件平台。他与Cisco安全领域的各个工程团队密切合作，以提高服务质量和可维护性。他拥有机械工程专业学士学位和计算机科学辅修学位。John的主要兴趣领域是企业安全、开源软件、API开发/集成和自动化。

Foster Lipkey是全球TAC安全技术领导团队的成员。自2012年起，他一直负责支持Firepower技术。他负责对全球技术支持中心（TAC）使用的众多自动化工具提供支持。在为Sourcefire和Cisco工作之前，他是美国国家癌症研究所（NCI）的应用解决方案专家，为NCI生物医学信息和信息技术中心（CBIIT）的Java Enterprise应用程序提供技术支持。Foster的主要兴趣领域是企业安全和安全自动化。他也是Cisco Next-Generation Security Solutions: All-in- One Cisco ASA FirePOWER Services, NGIPS, and AMP的技术审稿人。

献辞

我之所以成为现在的我，是因为……

祖父母的赐福

母亲的启迪

父亲的支持

妻子的奉献

孩子的爱

老师的忠告

本书献给你们所有人，

并致以我诚挚的感谢。

致谢

非常感谢Cisco全球技术服务团队的两位技术支持经理Andrew Firman和Maurice Spencer，感谢你们在我撰写本书的过程中给予的鼓励和支持。

非常感谢Cisco Firepower的技术领导人、本书的技术审校者John Groetzinger和Foster Lipkey。你们的贡献和全面的审校对于本书来说都是不可或缺的。

非常感谢首席工程师Gonzalo Salgueiro花时间审阅本书的初稿。非常感谢资深副总裁Tom Berghoff和高级总监Marc Holloman向我发送了撰写本书的感谢之词。

我还要感谢北卡罗来纳州三角研究园（RTP）同事们与我的日常合作。向富尔顿、理查森、圣何塞、墨西哥城、克拉科夫、索非亚、班加罗尔、悉尼、北京、东京（以及其他许多城市）的所有研究人员、学生和读者致以我的谢意，感谢你们为我的内部培训和出版物提供的反馈。

最后，感谢Pearson Education和Cisco Press的所有编辑，感谢你们与我一起努力，并让我走上正轨，最终让本书出版。

前言

Cisco在统一Firepower威胁防御（FTD）软件中引入了下一代安全技术。它提供了下一代防火墙（NGFW）、下一代入侵防御系统（NGIPS）、高级恶意软件防护（AMP），以及很多其他特性——所有这些特性都集成在一个软件镜像中。

本书使用真实部署环境提供了最佳做法、配置演示、调试信息分析和GUI截图展示。通过阅读本书，您能够自信地配置自己的Firepower系统。本书使用简单的流程图总结了复杂的操作，并提供了您可以用来检测潜在技术问题的诊断工具。换句话说，本书能够使您成为您个人的“技术支持工程师”。

谁应该阅读本书？

任何想要配置和管理Cisco Firepower系统的网络工程师、安全工程师、安全分析师、防火墙专家或系统管理员都应该阅读本书。任何想要自己排查Firepower技术问题的技术支持工程师、高级服务工程师、专业服务工程师、现场工程师、网络咨询工程师、销售工程师和安全工程师都会发现本书对于他们的工作很有帮助。

对于想要为它们的客户提供技术支持的渠道合作伙伴和安全托管服务提供商（MSSP）来说，本书是非常重要的资源。

本书对一些网络环境中的管理员非常有用（比如美国政府机构），他们出于安全限制不能共享故障诊断数据，因此希望由自己来排查问题。

任何想要参加Cisco安全认证考试的学员或考生都能从本书中找到有价值的信息。本书涵盖了CCNA安全、CCNP安全和CCIE安全考试大纲中包含的Firepower下一代安全相关主题。

本书不能代替官方的Cisco Firepower出版物，比如用户指南或安装指南。但它是对官方出版物的有效补充。

本书的组织结构

• 第1章，Cisco Firepower技术简介。本章首先介绍了Cisco Firepower技术的历史和发展，然后介绍了Firepower系统上可能安装的各种软件组件。它还简要展示了Cisco Firepower威胁防御（FTD）技术所支持的硬件。
• 第2章，ASA 5500-X系列硬件上的FTD。本章描述了ASA 5500-X系列硬件上可能安装的各种软件镜像之间的对比。它展示了把ASA 5500-X系列硬件重新镜像为FTD软件的详细步骤。除此之外，本章还提供了您能够用来验证硬件和软件状态的命令行工具。
• 第3章，Firepower可扩展操作系统（FXOS）上的FTD。本章描述了在运行Firepower扩展操作系统（FXOS）的Firepower安全设备上，FTD的架构、实施和安装。本章展示了您可以用来确认设备上各种组件状态的命令行工具。
• 第4章，Firepower管理中心（FMC）硬件。本章讨论并对比了FMC的各种硬件平台。它展示了完整的重镜像过程（也称为系统恢复），并描述了完成重镜像操作的最佳做法。您也可以使用不同的命令行工具来确定FMC硬件的问题。
• 第5章，VMware上的Firepower系统虚拟化。本章描述了Firepower虚拟设备的不同方面，比如如何部署一台虚拟设备，如何调试资源来优化性能，以及如何排查新部署环境中的问题。
• 第6章，Firepower的管理网络。本章描述了为Firepower系统设计和配置一个管理网络的方法。本章也讨论了您能够用来验证FMC和FTD管理接口之间通信问题的工具。在您开始进行重新注册过程（详见第7章）之前，必须确保您网络中的FMC和FTD能够成功通信。
• 第7章，Firepower的许可和注册。本章讨论了许可证和注册——这是Firepower系统部署中的两个重要的初始化任务。本章描述了不同Firepower许可证的功能，以及向智能许可证服务器注册FMC时涉及的步骤。本章还展示了注册过程以及排查通信问题的工具。
• 第8章，路由模式的Firepower部署。本章描述了路由模式，这是广泛部署的防火墙模式。本章还描述了使用静态IP地址和使用动态IP地址配置路由接口的步骤。除此之外，本章还讨论了您可以用来确认潜在接口问题的命令行工具。
• 第9章，透明模式的Firepower部署。本章讨论了另一种模式——透明模式，其中包括如何配置物理接口和虚拟接口，以及如何使用各种命令行工具来排查潜在的配置问题。
• 第10章，捕获流量用于高级分析。本章描述了在FTD设备上使用系统提供的捕获工具来捕获实时流量的步骤。为了展示这个工具提供的好处，本章展示了如何使用各种tcpdump选项和BPF语法来过滤和管理数据包捕获。
• 第11章，使用在线接口模式阻塞流量。本章展示了如何使用在线模式配置FTD设备、如何在在线集上启用容错机制，以及如何追踪数据包，以便分析导致丢包的根本原因。本章还讨论了您可以用来验证接口、在线对（Inline Pair）和在线集（Inline Set）状态的命令行工具。
• 第12章，检测但不阻塞流量。本章阐释了FTD设备上各种纯检测模式的配置和操作，比如被动模式、在线分流模式，以及禁用了在线时丢弃操作的在线模式。本章还提供了您可以用来确认接口和流量状态的各种命令行工具。
• 第13章，处理封装流量。本章展示了您如何分析和阻塞使用GRE协议封装的流量。本章还展示了当流量通过隧道传输时，让流量绕过检测的步骤。除了展示相关配置之外，本章还展示了使用各种工具来分析FTD设备预过滤和访问控制策略所应用的行为。
• 第14章，绕过检测和信任流量。本章讨论了让流量绕过检测的技术。此外还提供了配置不同方法的步骤。本章分析了绕过检测的流程，来展示使用不同绕行选项的FTD设备如何做出相应行为。本章还展示了用来确认绕行进程是否如期工作的各种调试工具。
• 第15章，流量限速。本章描述了FTD设备上配置QoS策略的步骤。本章还提供了FTD设备上通用限速机制和QoS部署的概述，另外还提供了用来验证FTD设备中QoS策略操作的命令行工具。
• 第16章，使用安全智能特性拉黑可疑地址。本章描述了如何使用安全智能特性来检测恶意地址。本章描述了如何配置FTD设备，以便在地址匹配时阻塞、监控或放行地址。本章还讨论了安全智能特性的后端文件系统。您可以在排查安全智能问题时使用相关知识。
• 第17章，阻塞域名系统（DNS）查询。本章展示了使用Firepower DNS策略来管理DNS查询的各种技术。除了使用传统的访问控制规则之外，FTD设备可以结合Cisco智能Feed并动态拉黑可疑域名。本章展示了多种配置和部署DNS策略的方法，也描述了可以用来验证、分析和排查DNS策略问题的命令行工具。
• 第18章，基于类别、风险和信誉过滤URL。本章描述了基于URL的类别和信誉来过滤流量的技术。本章描述了Firepower系统如何执行URL查找，以及FTD设备如何根据查询结果采取相应的行为。本章通过调试消息阐释了URL连接，这对于排错至关重要。
• 第19章，发现网络应用及控制应用流量。本章演示了Firepower系统如何感知网络中运行的应用，让您能够控制无用应用的访问。本章还展示了用来验证FTD设备是否能够正确识别应用的技术。
• 第20章，控制文件传输并阻塞恶意软件的传播。Cisco集成了Firepower技术和高级恶意软件防护（AMP）技术。本章描述了如何结合使用这些技术，来检测并阻塞受感染文件在网络中的传播。本章介绍了Firepower系统上文件策略的配置和操作，还描述了各种日志和调试消息，这些消息对于检测云查找和文件倾向性非常有用。
• 第21章，通过阻塞入侵尝试防御网络攻击。本章描述了Firepower 系统的知名特性——基于Snort的下一代入侵防御系统（NGIPS）。本章介绍了如何配置NGIPS，如何应用相关联的策略，以及如何深入查看入侵事件以便进行高级分析。本章讨论了Firepower推荐特性，并描述了通过使用发现数据，推荐规则集如何能够减轻系统开销。
• 第22章，伪装内部主机的原始IP地址。本章讨论了FTD设备上的各种NAT类型。本章展示了配置NAT规则的步骤，描述了FTD设备如何使用NAT技术在真实环境中伪装内部IP地址。

资源与支持

本书由异步社区出品，社区（https://www.epubit.com/）为您提供相关资源和后续服务。

提交勘误

作者和编辑尽最大努力来确保书中内容的准确性，但难免会存在疏漏。欢迎您将发现的问题反馈给我们，帮助我们提升图书的质量。

当您发现错误时，请登录异步社区，按书名搜索，进入本书页面，单击“提交勘误”，输入勘误信息，单击“提交”按钮即可。本书的作者和编辑会对您提交的勘误进行审核，确认并接受后，您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。

与我们联系

我们的联系邮箱是contact@epubit.com.cn。

如果您对本书有任何疑问或建议，请您发邮件给我们，并请在邮件标题中注明本书书名，以便我们更高效地做出反馈。

如果您有兴趣出版图书、录制教学视频，或者参与图书翻译、技术审校等工作，可以发邮件给我们；有意出版图书的作者也可以到异步社区在线提交投稿（直接访问www.epubit.com/selfpublish/submission即可）。

如果您是学校、培训机构或企业，想批量购买本书或异步社区出版的其他图书，也可以发邮件给我们。

如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为，包括对图书全部或部分内容的非授权传播，请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护，也是我们持续为您提供有价值的内容的动力之源。

关于异步社区和异步图书

“异步社区”是人民邮电出版社旗下IT专业图书社区，致力于出版精品IT技术图书和相关学习产品，为作译者提供优质出版服务。异步社区创办于2015年8月，提供大量精品IT技术图书和电子书，以及高品质技术文章和视频课程。更多详情请访问异步社区官网https://www.epubit.com。

“异步图书”是由异步社区编辑团队策划出版的精品IT专业图书的品牌，依托于人民邮电出版社近30年的计算机图书出版积累和专业编辑团队，相关图书在封面上印有异步图书的LOGO。异步图书的出版领域包括软件开发、大数据、AI、测试、前端、网络技术等。

异步社区

微信服务号

第1章　Cisco Firepower技术简介

本书介绍了下一代安全解决方案中的各种不同组件。每一章都介绍了Cisco Firepower安全技术中的一项特性。在开始探索技术细节之前，本章将提供一个概述，让读者对Firepower技术有所了解。

1.1　Sourcefire的历史

Cisco在2013年收购了Sourcefire公司。当时Sourcefire凭借它的入侵检测系统（Instrusion Detection System，IDS）、入侵防御系统（Intrusion Prevention System）和下一代防火墙（Next-Generation Firewall，NGFW）解决方案，成为网络安全行业的领军者之一。Sourcefire ISP是基于Snort的开源网络入侵检测和防御系统。实际上，Sourcefire公司正是由Snort的创始人Martin Roesch于2001年创立的。

自收购Sourcefire以来，Cisco在现有的各种Cisco设备［如ASA 5500-X系列和集成多业务路由器（ISR）设备］上充分利用了Sourcefire技术。此外，Cisco还发布了新的硬件平台，比如Firepower 2100系列、4100系列和9300系列，这些设备上也实施了Sourcefire技术。在集成了Sourcefire技术后，Gartner MQ（魔力象限）将Cisco评为IDS和IPS领域的引领者之一。Gartner是一家咨询公司，它们会对IT（信息技术）的各个分支领域进行研究，并且每年都会发表大量研究论文。

图1-1中展示了在收购Sourcefire后，Cisco在IDS和IPS领域中的领导地位。图片由Gartner发布在大量研究文档中，具体信息应结合整个文档进行判断。

注释　

Gartner并不对其研究出版物中提到的任何供应商、产品或服务进行担保，也不建议技术用户仅选择评级最高的或具有某些称号的供应商。Gartner的研究出版物由Gartner研究机构的观点组成，且不应被解释为事实陈述。Gartner对此研究不承担任何明示或暗示的担保责任，包括对适销性的担保或针对特定用途的适用性担保。

图1-1　Gartner MQ于2017年1月发布的IDS和IPS报告

1.1.1　Firepower的发展

Firepower系统的部署主要由两种类型的设备组成：管理设备和传感器设备。从根本上来说，传感器设备负责检查网络流量，并将事件发送给其管理设备。顾名思义，管理设备负责为传感器设备管理各种安全策略。

图1-2中展示了Firepower系统的部署流程。

图1-2　Firepower系统部署的结构图

Sourcefire最初有两个系列的软件——4.x版本（主要用于IPS）和5.x版本（具有NGFW功能）。根据软件系列的不同，管理设备分别使用两个不同的名称。在4.x版本中，管理设备称为Sourcefire防御中心（Sourcefire Defense Center）；在5.x版本中，管理设备称为FireSIGHT系统，或者FireSIGHT管理中心（FireSIGHT Management Center，FMC）。类似的，在4.x版本中，传感器设备称为3D传感器；在5.x版本中，传感器设备称为FirePOWER设备。因此在4.x版本中，Sourcefire防御中心负责管理3D传感器；在5.x版本中，FireSIGHT管理中心负责管理FirePOWER设备。

1.1.2　FirePOWER与Firepower

在上一节中，您有没有注意到我们使用了不同的词语（FireSIGHT和FirePOWER）来表示不同版本中的设备类型？您有没有注意到全大写的POWER一词？

为了简化命名并延续品牌声誉，Cisco以一个简单的词语Firepower重新命名了Sourcefire技术（Cisco没有把以前的Sourcefire软件和硬件从FirePOWER改名为Firepower；只有Cisco收购Sourcefire后发布的硬件和软件，才使用新的命名）。图1-3中展示了从预收购期到收购整合后，Firepower威胁防御（Firepower Threat Defense，FTD）技术的发展。

Firepower新产品包括Cisco Firepower 9300设备硬件以及Cisco FTD软件。同时，在预收购期间，Cisco推出了Cisco FirePOWER 8000系列设备。

图1-3　FTD技术的发展

表1-1展示了不同软件版本中管理设备的命名。

表1-1　Firepower管理中心的发展

图1-4展示了运行5.x版本的管理设备上的登录页面。这个页面中展示了传统名称FireSIGHT和Sourcefire Support的联系信息。

图1-4　5.x版本FireSIGHT管理中心的登录页面

图1-5展示了运行6.x版本的管理设备上的登录页面。这个页面中展示了名称Firepower，并且没有提供传统Sourcefire支持的联系信息。

图1-5　6.x版本Firepower管理中心的登录页面

除了上述区别之外，5.x版本和6.x版本的登录页面看起来几乎完全相同。从图1-6中我们可以看出，4.x版本防御中心（Defense Center）的登录页面与5.x或6.x版本的登录页面完全不同。

图1-6　4.x版本防御中心的登录页面

1.2　Firepower威胁防御（FTD）

现在是时候开始学习FTD了。在深入到软件组件和硬件平台之前，我们先来了解一下FirePOWER服务和Firepower威胁防御（FTD）之间的区别。

1.2.1　FirePOWER服务与Firepower威胁防御（FTD）

读者可能已经猜到了，FirePOWER服务指的是与预收购期间软件版本项类似的特性，比如下一代入侵防御系统虚拟版（Next-Generation Intrusion Prevention System Virtual，NGIPSv）。在FTD中，Cisco把所有Sourcefire FirePOWER特性、ASA防火墙特性和一些额外的新特性汇总在一个统一的软件镜像中。

图1-7描绘了Cisco ASA软件与Sourcefire FirePOWER软件在FTD编码中的融合。在融合后，FirePOWER服务不再作为单独的服务模块来运行，从而减少了开销并增加了效率。

图1-7　FTD软件的逻辑示意

注释　

本书是基于Firepower 6.1版本的FTD进行写作的。虽然本书使用Firepower管理中心（FMC）来管理ASA 5500-X系列硬件，但读者仍可以在其他运行Firepower技术的平台上应用本书中介绍的内容。

1.2.2　Firepower系统的软件组件

Firepower系统提供了诸多安全特性。与传统的Cisco ASA防火墙软件不同，Firepower系统的安全特性是由多个软件组件提供的。

• Firepower核心软件：软件的核心部分包括提供入侵检测和防御的Snort引擎、提供图形化用户界面（GUI）的Web服务器、提供事件存储的数据库，以及用于硬件的固件等。Firepower系统的核心软件镜像与您使用的硬件平台相关。
• 软件补丁和热修复：Cisco会周期性发布软件补丁，来修复Firepower系统的安全漏洞和缺陷。如果在定期维护更新之前需要修复某个问题，则Cisco会根据具体情况为指定问题发布热修复补丁。
• Snort/Sourcefire规则：Snort引擎使用特殊的规则集来检测和预防恶意的入侵尝试行为。每条规则负责考量指定的条件。当数据包通过传感器并匹配了Snort规则中的一个条件时，Snort引擎就会采取指定行为。
• 漏洞数据库（VDB）：VDB用来存储漏洞信息，以及各种应用、服务和操作系统（OS）的指纹。Firepower系统会使用指纹来发现运行在网络主机上的应用、服务和OS，然后把应用和网络发现数据与VDB上的漏洞信息相关联。
• 地理位置数据库（GeoDB）：GeoDB用来存储地理信息及其相关联的IP地址。举例来说，当Firepower系统在GUI界面中显示出一个入侵事件时，您可以查看这个入侵尝试发起的名称和国旗，并使用这些信息迅速做出决定，无须针对IP地址执行反向查找。图1-8中描述了Firepower系统上安装的各个软件组件。本书后续章节中将会介绍所有这些软件组件。

图1-8　Firepower系统的软件组件

• URL过滤数据库：Firepower系统可以根据网站的目标群体或商业目的对网站进行分类。为了提供更精确的粒度控制，该系统还允许您根据网站的名声或已知的风险级别，来控制对指定类型网站的访问。所有这些信息都保存在URL过滤数据库中。与Firepower软件组件不同，URL过滤数据库中的任何更新都是直接通过Cisco云进行提供的，因此您的FMC必须能够连接Internet。
• 安全智能Feed：Cisco的威胁智能团队Talos一直在对Internet进行研究，以识别潜在的恶意IP地址、域名和URL。对于Firepower系统的用户来说，Talos会通过安全智能Feed来分享这些智能数据。FMC可以直接从Cisco云下载Feed。
• 本地恶意软件检测：安装了恶意软件许可证后，FTD就能够检测文件中的病毒了。它能够阻止恶意软件在您的网络中进行传播。FTD会使用ClamAV引擎在本地对文件进行分析。FMC通过本地恶意软件检测更新来获取最新的病毒特征。
• 集成：您可以将Firepower系统与各种产品和技术进行集成，比如Cisco身份服务引擎（Cisco Identity Services Engine，ISE）、微软Windows活动目录服务器、事件飘带（eStreamer）和系统日志服务器。这使您能够有更多的机会来监控和保护您的网络（本书将会着重关注核心Firepower技术，与集成相关的特性超出了本书的范围。请阅读官方Firepower用户指南以了解更多有关集成的信息）。

1.2.3　Firepower系统硬件平台

FTD 6.1版本适用于多种硬件平台。每个平台的内部架构会有所不同，当然外形、吞吐量和价格也有所区别。本书后文中将会介绍与Firepower系统的架构和操作相关的更多信息。

表1-2总结了（在撰写本书时）能够支持FTD软件的硬件平台。除了Firepower 2100系列（支持6.2.1及以上版本）和微软Azure（支持6.2及以上版本）之外，以下所有平台都支持6.1版本。

表1-2　支持FTD软件的硬件平台

图1-9展示了各种ASA和Firepower平台在不同类型网络环境中的部署。设备的吞吐量与启用的特性数量直接相关，比如只启用防火墙（FW），或者启用防火墙和Cisco应用可视性和可控性（Cisco Application Visibility and Control，AVC）、下一代入侵防御系统（NGIPS）、URL过滤、SSL解密等。

注释　

如需查找能够支持FTD的硬件型号以及每个硬件型号的吞吐量，请在cisco官网查阅Cisco Firepower NGFW白皮书，或联系您的用户代表。

图1-9　拥有不同需求的网络环境中，ASA和Firepower应用的部署

1.2.4　Firepower附件

在打开一个全新的Firepower设备盒时，除了设备本身之外，您还会看到各种附件。这些附件用于初始化配置和安装许可证。图1-10展示了与Cisco ASA 5506-X设备相关的附件示例。

• ASA 5506-X设备（见图1-10中的❶）。
• DB-9转RJ-45的Console线缆（见❷）。
• 产品激活密钥（PAK）信封（见❸）。
• 电源适配器（见❹）。
• 连接电源适配器的电源线（见❺）。

图1-10　Cisco ASA 5506-X设备的附件示例

注释　

包装盒中的配件可能会根据不同因素发生变化。在包装盒中，您收到的附件可能比本示例多，也可能比本示例少。

提示　

请查阅与设备型号相关的安装手册（可从cisco官网获得），来了解如何将设备安装到机架上并为其加电。

1.3　总结

本章讨论了Cisco Firepower技术的历史和演变，介绍了Firepower系统中可能会安装的各种软件组件。本章还简要概述了支持Cisco Firepower威胁防御（FTD）技术的硬件。

接下来的几章将会演示如何在各种硬件平台上安装FTD，在实施更高级的配置之前，您还将学习如何识别与硬件相关的问题。

第2章　ASA 5500-X系列硬件上的FTD

如果当前ASA将FirePOWER服务作为一个独立的模块运行，并且您希望部署Firepower威胁防御（FTD），那么您必须使用统一FTD的镜像对ASA进行重镜像操作。本章将会讨论实施重镜像所需的步骤，以及与Cisco ASA 5500-X系列硬件相关的排错。

2.1　ASA重镜像要点

要想应用FTD来重镜像ASA硬件，您需要在同一个硬件上使用多种类型的镜像。本节将会介绍这些镜像的用途。

图2-1展示了在FTD重镜像过程中，您需要在Cisco ASA 5500-X系列硬件平台上安装或升级的一部分Firepower威胁防御软件镜像。

图2-1　一部分Firepower威胁防御软件镜像

• ROMMON软件：ROMMON软件是ASA的固件。在ASA中，要想从外部服务器复制启动镜像，您需要进入ROMMON模式来执行所有必需的任务。如果您正在重镜像的是一台低端ASA硬件平台，比如ASA 5506-X、5506W-X、5506H-X、5508-X或5516-X，那么您必须将其固件升级为1.1.8或更高版本。如果您使用的是中端ASA硬件平台，比如5512-X、5515-X、5525-X、5545-X或5555-X，并且想要将其重镜像为FTD软件，则无须升级默认固件。
• 启动镜像：FTD启动镜像是FTD系统软件中的一部分。在使用FTD启动镜像加载了ASA后，您可以使用启动镜像的CLI来为ASA下载FTD系统软件，并开始执行启动设置。
• 系统软件：FTD的所有特性都封装在一个系统软件镜像中。您可以从启动镜像的CLI开始安装FTD系统软件。这是基本重镜像过程的最后一步。

表2-1总结了在完整的FTD重镜像过程中，您可能需要安装的各种软件类型。

表2-1　完整的FTD重镜像所需的软件镜像

2.2　在ASA硬件上安装FTD的最佳做法

在对ASA 5500-X系列硬件进行重镜像之前，您应该考虑以下最佳做法。

• 如果您刚刚收到一台全新的ASA 5500-X，则它可能已经预安装了FTD软件。在这种情况下，您只需要把FTD升级到最新版本并完成配置即可。但如果硬件中安装的是传统ASA软件，或者当FirePOWER服务作为一个单独的模块运行时，就必须进行重镜像操作。
• 您应该在维护窗口期间执行重镜像操作，因为这个操作过程会中断网络通信。
• 在计划实施重镜像时应优先维护窗口，要确保您能够访问思科软件中心并下载所有FTD软件。如果需要的话，请先注册一个Cisco账户。如果在注册后仍无法下载所需的软件，那么您可能需要联系您的Cisco渠道合作伙伴或Cisco技术支持中心（TAC），来寻求进一步协助。
• 根据硬件型号的不同，重镜像过程大约需要1h。但您应该规划出更多时间，以便能够完成所有准备工作。
• 在从思科软件中心下载了所需软件后，您应该确认文件的MD5或SHA512校验，以确保文件没有在下载的过程中被损坏或篡改。图2-2展示了思科软件中心上提供的MD5和SHA512校验值，当把鼠标悬停在一个文件名上时就可以看到这个值。
• 使用FTD重镜像ASA后，会清空所有已有的配置信息，因此您应该在开始重镜像之前，备份现有配置。
• 在重镜像任务执行过程中，不要断电、关机或重启ASA硬件。在所有重镜像进程完成后，界面上会显示出登录提示符。
• 您应该阅读版本说明，来确定已知问题，以及特殊要求或说明。

图2-2　启动镜像文件的校验值

2.3　安装和配置FTD

本节将会详细介绍在ASA 5500-X系列硬件上安装FTD软件所涉及的具体步骤。在ASA上安装任何软件之前都有一些前提条件。满足了这些前提条件之后，您就可以执行重镜像过程中的其他任务了。

图2-3总结了在ASA 5500-X硬件上重镜像FTD系统软件所涉及的步骤。

图2-3　重镜像ASA 5500-X系列硬件的主要步骤

2.3.1　满足前提条件

在开始进行重镜像操作之前，您必须首先满足存储要求和连通性要求。存储要求包括以下几点。

• 要想安装FTD软件，ASA至少需要3 GB的空闲空间，还要有更多的可用空间用来存储FTD启动镜像（通常大约100 MB）。本章2.4节介绍了如何确认ASA上的空闲硬盘空间。
• 确保ASA上安装了固态硬盘（SSD）。本章2.4节介绍了如何确认ASA上是否安装了SSD。

注意　

如果您在中端ASA硬件中首次安装或者替换SSD，则必须在重启ASA之后才能重镜像或重安装任何软件。

连通性要求包括以下几点。

• 使用Console线缆，把您的计算机连接到需要重镜像的ASA的Console端口。
• 确保您能够访问TFTP和HTTP服务器。在重镜像过程中，您需要使用TFTP服务器把固件和启动镜像文件复制到ASA，并使用HTTP服务器把FTD系统软件复制到ASA。您可以使用FTP服务器来代替HTTP服务器，但基本HTTP服务器会更易于搭建。

图2-4所示拓扑中的管理网络是与数据流量相分离的，这正是安全最佳做法所建议的部署方式。管理员的计算机通过Console线缆直接连接到ASA，并且能够访问管理网络。

图2-4　简单拓扑——ASA监控数据流量并分离管理流量

图2-5展示了简化的拓扑，其中ASA与计算机之间通过Console线缆连接并实现了IP连通性，管理员能够执行重镜像和基本配置。

2.3.2　更新固件

如果您打算来重镜像低端ASA硬件型号，比如5506-X、5508-X或5516-X，那么必须要确保ASA的固件版本为1.1.8或更高版本。本章2.4节介绍了如何确认ASA上的固件版本。

注释　

您无须升级中端ASA硬件型号的默认固件，比如5512-X、5515-X、5525-X、5545-X和5555-X。因此如果您使用的是中端ASA型号，则可以跳过本节介绍的步骤。

图2-5　执行重镜像和基本设置最基本的ASA与服务器连接

按照以下步骤来更新低端ASA型号的固件（ROMMON软件）。

步骤1　从思科软件中心下载ROMMON软件并将其保存在您的TFTP服务器上。图2-6中展示了ROMMON软件文件asa5500-firmware-1108.SPA，这就是在开始执行重镜像任务前，您需要用来升级低端ASA 5500-X系列硬件所使用的固件。

图2-6　ROMMON软件文件信息

步骤2　从您的TFTP服务器向ASA存储空间复制文件。要想把文件从TFTP服务器复制到ASA，请使用以下命令：

ciscoasa#copy tftp://TFTP_server_address/filename disk0:

由例2-1可知ROMMON软件文件asa5500-firmware-1108.SPA已经成功地从TFTP服务器（本例使用IP地址10.1.1.4）复制到ASA 5506-X硬件设备中。

例2-1　从TFTP服务器复制文件到ASA硬件中

ciscoasa#copy tftp://10.1.1.4/asa5500-firmware-1108.SPA disk0:

Address or name of remote host [10.1.1.4]?
Source filename [asa5500-firmware-1108.SPA]?
Destination filename [asa5500-firmware-1108.SPA]?

Accessing tftp://10.1.1.4/asa5500-firmware-1108.SPA...!!!!!!!!!!!
Done!
Computed Hash   SHA2: d824bdeecee1308fc64427367fa559e9
                      eefe8f182491652ee4c05e6e751f7a4f
                      5cdea28540cf60acde3ab9b65ff55a9f
                      4e0cfb84b9e2317a856580576612f4af

Embedded Hash   SHA2: d824bdeecee1308fc64427367fa559e9
                      eefe8f182491652ee4c05e6e751f7a4f
                      5cdea28540cf60acde3ab9b65ff55a9f
                      4e0cfb84b9e2317a856580576612f4af
Digital signature successfully validated
Writing file disk0:/asa5500-firmware-1108.SPA...
!!!!!!!!!
9241408 bytes copied in 8.230 secs (1155176 bytes/sec)
ciscoasa#

步骤3　文件复制成功后，使用以下命令开始执行升级操作：

            ciscoasa#upgrade rommon disk0:/asa5500-firmware-1108.SPA

例2-2展示了用来升级ASA硬件固件的命令。在验证了ROMMON软件文件后，ASA会提示管理员确认重新加载行为。

例2-2　执行命令开始ROMMON升级

ciscoasa#upgrade rommon disk0:/asa5500-firmware-1108.SPA

Verifying file integrity of disk0:/asa5500-firmware-1108.SPA

Computed Hash SHA2: d824bdeecee1308fc64427367fa559e9
                    eefe8f182491652ee4c05e6e751f7a4f
                    5cdea28540cf60acde3ab9b65ff55a9f
                    4e0cfb84b9e2317a856580576612f4af

Embedded Hash SHA2: d824bdeecee1308fc64427367fa559e9
                    eefe8f182491652ee4c05e6e751f7a4f
                    5cdea28540cf60acde3ab9b65ff55a9f
                    4e0cfb84b9e2317a856580576612f4af

Digital signature successfully validated
File Name                     : disk0:/asa5500-firmware-1108.SPA
Image type                    : Release
    Signer Information
        Common Name           : abraxas
        Organization Unit     : NCS_Kenton_ASA
        Organization Name     : CiscoSystems
    Certificate Serial Number : 55831CF6
     Hash Algorithm           : SHA2 512
     Signature Algorithm      : 2048-bit RSA
     Key Version              : A
Verification successful.
Proceed with reload? [confirm]

步骤4　按下回车键进行确认。例2-3展示出固件升级开始后，ASA硬件的重新加载过程。

例2-3　更新开始后重新加载ASA硬件

***
*** --- START GRACEFUL SHUTDOWN ---
***
*** Message to all terminals:
***
***   Performing upgrade on rom-monitor.
Shutting down isakmp
Shutting down webvpn
Shutting down sw-module
Shutting down License Controller
Shutting down File system
***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
*** Performing upgrade on rom-monitor.
Process shutdown finished
Rebooting... (status 0x9)
..
INIT: Sending processes the TERM signal
Stopping OpenBSD Secure Shell server: sshdno /usr/sbin/sshd found; none killed
Deconfiguring network interfaces... done.
Sending all processes the TERM signal...
Sending all processes the KILL signal...
Deactivating swap...
Unmounting local filesystems...
Rebooting...

在固件升级过程中，ASA会多次自动重启。例2-4显示了ASA在ROMMON更新过程中完成的前两个步骤。系统每完成一个步骤都会重新加载。

注释　

在ROMMON或固件升级过程中，不要手动重启ASA。

例2-4　更新ROMMON软件

Rom image verified correctly
Cisco Systems ROMMON, Version 1.1.01, RELEASE SOFTWARE
Copyright (c) 1994-2014 by Cisco Systems, Inc.
Compiled Mon 10/20/2014 15:59:12.05 by builder

Current image running: Boot ROM0
Last reset cause: PowerCycleRequest
DIMM Slot 0 : Present
INFO: Rommon upgrade state: ROMMON_UPG_START (1)
INFO: Reset code: 0x00002000
Firmware upgrade step 1...
Looking for file 'disk0:/asa5500-firmware-1108.SPA'
Located 'asa5500-firmware-1108.SPA' @ cluster 1608398.
################################################################################
  ###
##############################################################
Image base 0x77014018, size 9241408
LFBFF signature verified.
Objtype: lfbff_object_rommon (0x800000 bytes @ 0x77014238)
Objtype: lfbff_object_fpga (0xd0100 bytes @ 0x77814258)
INFO: FPGA version in upgrade image: 0x0202
INFO: FPGA version currently active: 0x0202
INFO: The FPGA image is up-to-date.
INFO: Rommon version currently active: 1.1.01.
INFO: Rommon version in upgrade image: 1.1.08.
Active ROMMON: Preferred 0, selected 0, booted 0
Switching SPI access to standby rommon 1.
Please DO NOT reboot the unit, updating ROMMON......
INFO: Duplicating machine state......
Reloading now as step 1 of the rommon upgrade process...

Toggling power on system board...
Rom image verified correctly

Cisco Systems ROMMON, Version 1.1.01, RELEASE SOFTWARE
Copyright (c) 1994-2014 by Cisco Systems, Inc.
Compiled Mon 10/20/2014 15:59:12.05 by builder
Current image running: Boot ROM0
Last reset cause: RP-Reset
DIMM Slot 0 : Present
INFO: Rommon upgrade state: ROMMON_UPG_START (1)
INFO: Reset code: 0x00000008
Active ROMMON: Preferred 0, selected 0, booted 0
Firmware upgrade step 2...
Detected current rommon upgrade is available, continue rommon upgrade process
Rommon upgrade reset 0 in progress
Reloading now as step 2 of the rommon upgrade process...

步骤5　完成了升级过程中的步骤1和步骤2后，ASA重新加载时ROMMON版本会显示为1.1.8（详见例2-5），但升级过程仍在继续。当ASA提示手动或自动重启时，只需等待几秒钟，让系统自行重启即可。

例2-5　ROMMON更新过程的最后阶段

Rom image verified correctly
Cisco Systems ROMMON, Version 1.1.8, RELEASE SOFTWARE
Copyright (c) 1994-2015 by Cisco Systems, Inc.
Compiled Thu 06/18/2015 12:15:56.43 by builders

Current image running: *Upgrade in progress* Boot ROM1
Last reset cause: BootRomUpgrade
DIMM Slot 0 : Present
INFO: Rommon upgrade state: ROMMON_UPG_START (1)
INFO: Reset code: 0x00000010
PROM B: stopping boot timer
Active ROMMON: Preferred 0, selected 0, booted 1
INFO: Rommon upgrade state: ROMMON_UPG_TEST

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!! Please manually or auto boot ASAOS now to complete firmware upgrade !!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Platform ASA5506 with 4096 Mbytes of main memory
MAC Address: a4:6c:2a:e4:6b:bf
Using default Management Ethernet Port: 0

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 5 seconds.

例2-6显示出ROMMON升级完成且最后一次重启后，您会看到的确认消息。在这个阶段，ROMMON软件已完成升级，您可以开始进行重镜像过程的下一个步骤了。

例2-6　完成成功升级

Located '.boot_string' @ cluster 1607965.

#
Attempt autoboot: "boot disk0:/asa961-50-lfbff-k8.spa"
Located 'asa961-50-lfbff-k8.spa' @ cluster 10.

################################################################################
  ##############################################################################
  ##############################################################################
  #############################################################
LFBFF signature verified.
INIT: version 2.88 booting
Starting udev
Configuring network interfaces... done.
Populating dev cache
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
There are differences between boot sector and its backup.
Differences: (offset:original/backup)
  65:01/00
  Not automatically fixing this.
Starting check/repair pass.
Starting verification pass.
/dev/sdb1: 104 files, 811482/1918808 clusters
dosfsck(/dev/sdb1) returned 0
Mounting /dev/sdb1
Setting the offload CPU count to 0
IO Memory Nodes: 1
IO Memory Per Node: 205520896 bytes

Global Reserve Memory Per Node: 314572800 bytes Nodes=1

LCMB: got 205520896 bytes on numa-id=0, phys=0x10d400000, virt=0x2aaaab000000
LCMB: HEAP-CACHE POOL got 314572800 bytes on numa-id=0, virt=0x7fedbc200000
Processor memory: 1502270072

Compiled on Fri 04-Mar-16 10:50 PST by builders
Total NICs found: 14
i354 rev03 Gigabit Ethernet @ irq255 dev 20 index 08 MAC: a46c.2ae4.6bbf
ivshmem rev03 Backplane Data Interface     @ index 09 MAC: 0000.0001.0002
en_vtun rev00 Backplane Control Interface  @ index 10 MAC: 0000.0001.0001
en_vtun rev00 Backplane Int-Mgmt Interface     @ index 11 MAC: 0000.0001.0003
en_vtun rev00 Backplane Ext-Mgmt Interface     @ index 12 MAC: 0000.0000.0000
en_vtun rev00 Backplane Tap Interface     @ index 13 MAC: 0000.0100.0001
Rom-monitor was successfully upgraded.
Verify the activation-key, it might take a while...
.
.
! Licensing and legal information are omitted for brevity
.
.
                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Reading from flash...
!.
Cryptochecksum (unchanged): 868f669d 9e09ca8b e91c32de 4ee8fd7f

INFO: Power-On Self-Test in process.
.......................
INFO: Power-On Self-Test complete.
INFO: Starting HW-DRBG health test...
INFO: HW-DRBG health test passed.

INFO: Starting SW-DRBG health test...
INFO: SW-DRBG health test passed.
Type help or '?' for a list of available commands.
ciscoasa>

在ASA运行过程中，您仍可以手动检查它的ROMMON软件版本，本章2.4节对此进行了介绍。例2-7展示出当前的固件版本已升级为1.1.8。

例2-7　升级后的固件版本

ciscoasa>enable
Password: *
ciscoasa#show module

Mod  Card Type                                    Model              Serial No.
---- -------------------------------------------- ------------------ -----------
   1 ASA 5506-X with FirePOWER services, 8GE, AC, ASA5506            JAD191100HG
 sfr Unknown                                      N/A                JAD191100HG

Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version
---- --------------------------------- ------------ ------------ ---------------
   1 a46c.2ae4.6bbf to a46c.2ae4.6bc8  1.0          1.1.8        9.6(1)50
 sfr a46c.2ae4.6bbe to a46c.2ae4.6bbe  N/A          N/A
 Mod SSM Application Name           Status          SSM Application Version
---- ------------------------------ --------------- --------------------------

Mod Status              Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
   1 Up Sys             Not Applicable
 sfr Unresponsive       Not Applicable

ciscoasa#

2.3.3　安装启动镜像

您可以从启动镜像的命令行界面（CLI）开始设置FTD软件。要想访问启动镜像的CLI，您需要使用FTD启动镜像重新加载ASA。本节将会介绍如何在ASA 5500-X系列硬件上使用适当的启动镜像重新加载ASA的所需步骤。

步骤1　为您的ASA硬件下载适当的启动镜像。

• 为低端ASA硬件使用*.lfbff文件。
• 为中端ASA硬件使用*.cdisk文件。

图2-7展示了在对ASA 5506-X、5508-X或5516-X硬件进行重镜像时使用的启动镜像文件ftd-boot-9.6.2.0.lfbff。

图2-7　为低端ASA 5500-X系列硬件使用的*.lfbff启动镜像

图2-8展示了在对ASA 5512-X、5515-X、5525-X、5545-X或5555-X硬件进行重镜像时使用的启动镜像文件ftd-boot-9.6.2.0.cdisk。

图2-8　为中端ASA 5500-X系列硬件使用的*.cdisk启动镜像

步骤2　重新加载ASA。如例2-8所示，ASA会在平滑重启之前关闭它的所有进程。

例2-8　重新加载ASA硬件

ciscoasa#reload
Proceed with reload? [confirm]
ciscoasa#
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down sw-module
Shutting down License Controller
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Process shutdown finished
Rebooting... (status 0x9)
..
INIT: Sending processes the TERM signal
Stopping OpenBSD Secure Shell server: sshdno /usr/sbin/sshd found; none killed
Deconfiguring network interfaces... done.
Sending all processes the TERM signal...
Sending all processes the KILL signal...
Deactivating swap...
Unmounting local filesystems...
Rebooting...

步骤3　按下Esc键中断启动进程。例2-9显示启动进程中断，同时ASA进入了ROMMON模式。

例2-9　中断启动进程

Rom image verified correctly

Cisco Systems ROMMON, Version 1.1.8, RELEASE SOFTWARE
Copyright (c) 1994-2015 by Cisco Systems, Inc.
Compiled Thu 06/18/2015 12:15:56.43 by builders

Current image running: Boot ROM1
Last reset cause: PowerCycleRequest
DIMM Slot 0 : Present

Platform ASA5506 with 4096 Mbytes of main memory
MAC Address: a4:6c:2a:e4:6b:bf
Using default Management Ethernet Port: 0

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 7 seconds.
Boot interrupted.
rommon 1 >

步骤4　要想查看ROMMON配置模式中有限的命令选项，可以执行help命令。例2-10
展示了ROMMON配置模式中可用的命令，突出显示了用于安装启动镜像的命令。

例2-10　ROMMON配置模式中可用的命令

rommon 1 >help
?                   Display this help menu
address             Set the local IP address
boot                Boot an application program
confreg             Configuration register contents display and management
console             Console BAUD rate display and configuration
dev                 Display a list of available file system devices
dir                 File directory display command
erase               erase the specified file system
file                Set the application image file path/name to be TFTPed
gateway             Set the default gateway IP address
help                "help" for this menu
                    "help <command>" for specific command information
history             Show the command line history
netmask             Set the IP subnet mask value
ping                Test network connectivity with ping commands
server              Set the TFTP server IP address
show                Display system device and status information
tftpdnld            Download and run the image defined by "FILE"
reboot              Reboot the system
reload              Reboot the system
repeat              Repeat a CLI command
reset               Reboot the system
set                 Display the configured environment variables
sync                Save the environment variables to persistent storage
unset               Clear a configured environment variable

步骤5　使用例2-11所示命令来配置网络。您必须使用这些命令选项来确保ASA、FMC
和其他服务器之间的网络通信。

例2-11　在ROMMON模式中配置网络设置的命令

rommon 2 >address 10.1.1.21
rommon 3 >netmask 255.255.255.0
rommon 4 >gateway 10.1.1.1
rommon 5 >server 10.1.1.4

注释　

例2-11中展示的IP地址配置是基于图2-4所示拓扑进行设置的。在本例中，ASA、FMC和所有其他服务器都位于同一个交换网络中，也就是说它们的IP地址都属于同一个子网。如果ASA、FMC和服务器属于不同的子网，那么路由器的入向接口（部署ASA的接口）会成为ASA的网关。

步骤6　测试ASA与TFTP服务器之间的连通性，TFTP服务器上保存了镜像文件，如例
2-12所示。您需要确认ASA能够与TFTP服务器进行通信。

例2-12　从ASA成功向TFTP服务器发起ping测试

rommon 6 >ping 10.1.1.4
Sending 10, 32-byte ICMP Echoes to 10.1.1.4 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)

步骤7　一旦建立了连通性，您就可以输入希望从TFTP服务器下载的启动文件名称，保
存配置变更并开始下载。例2-13显示ASA 5506-X已经成功从TFTP服务器上下载了镜像文件ftd-boot-9.6.2.0.lfbff。

注意　

如果要重镜像中端ASA硬件，比如ASA 5512-X、2215-X、5525-X、5545-X或5555-X，那么您必须使用ftd-boot-9.6.2.0.cdisk文件，而不是ftd-boot-9.6.2.0.lfbff文件。

例2-13　从TFTP服务器向ASA硬件选择并下载文件的命令

rommon 7 >file ftd-boot-9.6.2.0.lfbff
rommon 8 >sync
rommon 9 >tftpdnld
             ADDRESS: 10.1.1.21
             NETMASK: 255.255.255.0
             GATEWAY: 10.1.1.1
              SERVER: 10.1.1.4
               IMAGE: ftd-boot-9.6.2.0.lfbff
             MACADDR: a4:6c:2a:e4:6b:bf
           VERBOSITY: Progress
               RETRY: 20
          PKTTIMEOUT: 60
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

Receiving ftd-boot-9.6.2.0.lfbff from 10.1.1.4!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
File reception completed.

ASA会使用FTD引导CLI自动启动，如例2-14所示。

例2-14　使用FTD启动镜像的ASA硬件启动进程

Boot buffer bigbuf=348bd018
Boot image size = 100921600 (0x603f100) bytes
[image size]      100921600
[MD5 signature]    0264697f6f1942b9bf80f820fb209ad5
LFBFF signature verified.
INIT: version 2.88 booting
Starting udev
Configuring network interfaces... done.
Populating dev cache
Detected PID ASA5506.
Found device serial number JAD191100HG.
Found USB flash drive /dev/sdb
Found hard drive(s):  /dev/sda
fsck from util-linux 2.23.2
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
There are differences between boot sector and its backup.
Differences: (offset:original/backup)
  65:01/00
  Not automatically fixing this.
/dev/sdb1: 52 files, 811482/1918808 clusters
Launching boot CLI ...
Configuring network interface using static IP
Bringing up network interface.
Depending on your network, this might take a couple of minutes when using DHCP...
ifup: interface lo already configured
Using IPv4 address: 10.1.1.21
INIT: Starting system message bus: dbus.
Starting OpenBSD Secure Shell server: sshd
  generating ssh RSA key...
  generating ssh ECDSA key...
  generating ssh DSA key...
done.
Starting Advanced Configuration and Power Interface daemon: acpid.
acpid: starting up
acpid: 1 rule loaded
acpid: waiting for events: event logging is off
Starting ntpd: done
Starting syslog-ng:[2016-09-19T19:43:24.781411] Connection failed; fd='15',
  server='AF_INET(127.128.254.1:514)', local='AF_INET(0.0.0.0:0)', error='Network is
  unreachable (101)'
[2016-09-19T19:43:24.781508] Initiating connection failed, reconnecting;
  time_reopen='60'
.
Starting crond: OK

Cisco FTD Boot 6.0.0 (9.6.2.)
              Type ? for list of commands
ciscoasa-boot>

步骤8　（可选）按下?键来查看FTD启动CLI中的可用命令，如例2-15所示（在本章2.3.4小节中，我们会使用本例阴影突出显示的命令来安装FTD软件系统镜像）。

例2-15　FTD启动CLI中的命令选项

ciscoasa-boot>?
    show           => Display system information. Enter show ? for options
system         => Control system operation
setup          => System Setup Wizard
    support        => Support information for TAC
    delete         => Delete files
    ping           => Ping a host to check reachability
    traceroute     => Trace the route to a remote host
    exit           => Exit the session
    help           => Get help on command syntax
ciscoasa-boot>

2.3.4　安装系统软件

安装FTD软件是重镜像过程的最后一个步骤。本节将会介绍在ASA 5500-X系列硬件上安装FTD系统软件的步骤。

步骤1　从思科软件中心下载FTD系统软件包文件，把它复制到HTTP或FTP服务器中。图2-9展示了在重镜像过程中，我们要在低端或中端ASA 5500-X系列硬件上安装的FTD系统软件包ftd-6.1.0-330.pkg。

注释　

本书使用HTTP服务器来代替FTP服务器，您也可以使用FTP服务器，但基本HTTP服务器会比FTP服务器更易于搭建。

步骤2　如例2-16所示，您可以执行setup命令来配置或更新网络设置，使ASA能够从
HTTP服务器下载FTD系统软件包。在安装启动镜像的过程中，您可以配置网络设置。现在您可以验证已有配置，或者补充一些之前缺失的信息。

图2-9　在低端或中端ASA硬件型号上安装的*.pkg文件

提示　

在需要使用默认值（方括号[ ]中显示的值）时，直接按下回车保持设置不变。

例2-16　网络初始化设置的完整过程

ciscoasa-boot>setup

                Welcome to Cisco FTD Setup
                  [hit Ctrl-C to abort]
                Default values are inside []

Enter a hostname [ciscoasa]:
Do you want to configure IPv4 address on management interface?(y/n) [Y]:
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n)
  [N]:
Enter an IPv4 address [10.1.1.21]:
Enter the netmask [255.255.255.0]:
Enter the gateway [10.1.1.1]:
Do you want to configure static IPv6 address on management interface?(y/n) [N]:
Stateless autoconfiguration will be enabled for IPv6 addresses.
Enter the primary DNS server IP address:10.1.1.8
Do you want to configure Secondary DNS Server? (y/n) [n]:
Do you want to configure Local Domain Name? (y/n) [n]:
Do you want to configure Search domains? (y/n) [n]:
Do you want to enable the NTP service? [Y]:
Enter the NTP servers separated by commas:10.1.1.9

Please review the final configuration:
Hostname:               ciscoasa
Management Interface Configuration

IPv4 Configuration:     static
        IP Address:     10.1.1.21
        Netmask:        255.255.255.0
        Gateway:        10.1.1.1

IPv6 Configuration:     Stateless autoconfiguration

DNS Configuration:
        DNS Server:     10.1.1.8

NTP configuration:      10.1.1.9

CAUTION:
You have selected IPv6 stateless autoconfiguration, which assigns a global address
based on network prefix and a device identifier. Although this address is unlikely
to change, if it does change, the system will stop functioning correctly.
We suggest you use static addressing instead.
Apply the changes?(y,n) [Y]:
Configuration saved successfully!
Applying...
Restarting network services...
Done.
Press ENTER to continue...
ciscoasa-boot>

步骤3　现在来检测连通性，如例2-17所示。本例也展示出ASA成功地从FTD启动CLI向HTTP服务器发起了ping测试。

例2-17　ASA与HTTP服务器之间的ping测试

ciscoasa-boot>ping 10.1.1.4
PING 10.1.1.4 (10.1.1.4) 56(84) bytes of data.
64 bytes from 10.1.1.4: icmp_seq=1 ttl=64 time=0.364 ms
64 bytes from 10.1.1.4: icmp_seq=2 ttl=64 time=0.352 ms
64 bytes from 10.1.1.4: icmp_seq=3 ttl=64 time=0.326 ms
64 bytes from 10.1.1.4: icmp_seq=4 ttl=64 time=0.313 ms
**^C
--- 10.1.1.4 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2997ms
rtt min/avg/max/mdev = 0.313/0.338/0.364/0.030 ms

ciscoasa-boot>

步骤4　从HTTP服务器下载FTD系统软件包，如例2-18所示。下载成功后，设备会自动提取文件。

例2-18　下载FTD系统软件

ciscoasa-boot>system install http://10.1.1.4/ftd-6.1.0-330.pkg

######################## WARNING ############################
# The content of disk0: will be erased during installation! #
#############################################################

Do you want to continue? [y/N]Y
Erasing disk0 ...
Verifying
Downloading...

步骤5　在设备发出提示时，按下Y键开始执行更新进程。例2-19展示出提取FTD系统
软件包ftd-6.1.0-330.pkg的过程，以及更新进程的开始阶段。

注意　

提取FTD系统软件包需要花费大约10min。此外，系统还会花费6min时间来填充系统镜像。ASA硬件在提取或填充文件的过程中不会显示任何进展状态。耐心等待并且不要中断这个过程或者重启ASA，上述行为可能会使ASA变得不稳定。

例2-19　开始更新进程

Extracting.....
Package Detail
        Description:                    Cisco ASA-FTD 6.1.0-330 System Install
        Requires reboot:                Yes

Do you want to continue with upgrade? [y]:
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Starting upgrade process ...
Populating new system image..

步骤6　在生成镜像文件并且系统提示出能够重启系统时，请按下回车键来执行重启。例2-20展示出镜像填充后ASA硬件的重启过程。

例2-20　重启ASA硬件来完成更新

Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.

Broadcast mStopping OpenBSD Secure Shell server: sshdstopped /usr/sbin/sshd (pid 1723)
.
Stopping Advanced Configuration and Power Interface daemon: stopped /usr/sbin/acpid
  (pid 1727)
acpid: exiting

acpid.
Stopping system message bus: dbus.
Stopping ntpd: stopped process in pidfile '/var/run/ntp.pid' (pid 1893)
done
Stopping crond: OKs
Deconfiguring network interfaces... done.
Sending all processes the TERM signal...
Sending all processes the KILL signal...
Deactivating swap...
Unmounting local filesystems...
Rebooting...

Rom image verified correctly

Cisco Systems ROMMON, Version 1.1.8, RELEASE SOFTWARE
Copyright (c) 1994-2015 by Cisco Systems, Inc.
Compiled Thu 06/18/2015 12:15:56.43 by builders

Current image running: Boot ROM1
Last reset cause: PowerCycleRequest
DIMM Slot 0 : Present

Platform ASA5506 with 4096 Mbytes of main memory
MAC Address: a4:6c:2a:e4:6b:bf
Using default Management Ethernet Port: 0

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in 5 seconds.

Located '.boot_string' @ cluster 260097.
#
Attempt autoboot: "boot disk0:os.img"
Located 'os.img' @ cluster 235457.

################################################################################
  ##############################################################################
  ##############################################################################
  ##############################################################################
  ##############################################################################
  ##############################################################################
  ###########
LFBFF signature verified.
INIT: version 2.88 booting
Starting udev
Configuring network interfaces... done.
Populating dev cache
Detected PID ASA5506.
Found device serial number JAD191100HG.
Found USB flash drive /dev/sdb
Found hard drive(s):  /dev/sda
fsck from util-linux 2.23.2
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
/dev/sdb1: 7 files, 24683/1919063 clusters

启动后，FTD初始化进程将自动开启，例2-22显示了FTD在安装和启动过程中的执行代码。

注意　

根据ASA硬件型号的不同，可能需要花费1h时间才能完成初始化进程。在此期间您可能会觉得进程死锁了，但其实并没有。系统不会输出任何提示信息，所以请耐心等待。不要中断这个进程或者重启ASA，上述做法会让您的ASA变得不稳定。一旦FTD安装完成，系统就会输出登录提示。

例2-21　TFD初始化进程

Use ESC to interrupt boot and launch boot CLI.
Use SPACE to launch Cisco FTD immediately.
Cisco FTD launch in 21 seconds ...

Cisco FTD launch in 0 seconds ...
Running on kenton
Mounting disk partitions ...
Initializing Threat Defense ...                                      [ OK ]
Starting system log daemon...                                        [ OK ]
Stopping mysql...
Sep 19 20:29:33 ciscoasa SF-IMS[2303]: [2303] pmtool:pmtool [ERROR] Unable to connect
  to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory
Starting mysql...
Sep 19 20:29:33 ciscoasa SF-IMS[2304]: [2304] pmtool:pmtool [ERROR] Unable to connect
  to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory
Flushing all current IPv4 rules and user defined chains: ...success
Clearing all current IPv4 rules and user defined chains: ...success
Applying iptables firewall rules:
Flushing chain 'PREROUTING'
.
! Omitted the messages related to iptables flushing for brevity
.
Flushing chain 'OUTPUT'
Applying rules successed
Starting nscd...
mkdir: created directory '/var/run/nscd'                             [ OK ]
Starting , please wait...grep: /ngfw/etc/motd: No such file or directory
...complete.
Firstboot detected, executing scripts
Executing S01reset_failopen_if                                        [ OK ]
Executing S01virtual-machine-reconfigure                              [ OK ]
Executing S02aws-pull-cfg                                             [ OK ]
Executing S02configure_onbox                                          [ OK ]
Executing S04fix-httpd.sh                                             [ OK ]
Executing S05set-mgmnt-port                                           [ OK ]
Executing S06addusers                                                 [ OK ]
Executing S07uuid-init                                                [ OK ]
Executing S08configure_mysql                                          [ OK ]

************ Attention *********

   Initializing the configuration database.  Depending on available
   system resources (CPU, memory, and disk), this may take 30 minutes
   or more to complete.

************ Attention *********

Executing S09database-init                                            [ OK ]
Executing S11database-populate                                        [ OK ]
Executing S12install_infodb                                           [ OK ]
Executing S15set-locale.sh                                            [ OK ]
Executing S16update-sensor.pl                                         [ OK ]
Executing S19cert-tun-init                                            [ OK ]
Executing S20cert-init                                                [ OK ]
Executing S21disable_estreamer                                        [ OK ]
Executing S25create_default_des.pl                                    [ OK ]
Executing S30init_lights_out_mgmt.pl                                  [ OK ]
Executing S40install_default_filters.pl                               [ OK ]
Executing S42install_default_dashboards.pl                            [ OK ]
Executing S43install_default_report_templates.pl                      [ OK ]
Executing S44install_default_app_filters.pl                           [ OK ]
Executing S45install_default_realms.pl                                [ OK ]
Executing S47install_default_sandbox_EO.pl                            [ OK ]
Executing S50install-remediation-modules                              [ OK ]
Executing S51install_health_policy.pl                                 [ OK ]
Executing S52install_system_policy.pl                                 [ OK ]
Executing S53change_reconciliation_baseline.pl                        [ OK ]
Executing S70remove_casuser.pl                                        [ OK ]
Executing S70update_sensor_objects.sh                                 [ OK ]
Executing S85patch_history-init                                       [ OK ]
Executing S90banner-init                                              [ OK ]
Executing S95copy-crontab                                             [ OK ]
Executing S96grow_var.sh                                              [ OK ]
Executing S96install_vmware_tools.pl                                  [ OK ]

********** Attention **********

   Initializing the system's localization settings. Depending on available
   system resources (CPU, memory, and disk), this may take 10 minutes
   or more to complete.

********** Attention **********
Executing S96localize-templates                                       [ OK ]
Executing S96ovf-data.pl                                              [ OK ]
Executing S97compress-client-resources                                [ OK ]
Executing S97create_platinum_forms.pl                                 [ OK ]
Executing S97install_cas                                              [ OK ]
Executing S97install_cloud_support.pl                                 [ OK ]
Executing S97install_geolocation.pl                                   [ OK ]
Executing S97install_ssl_inspection.pl                                [ OK ]
Executing S97update_modprobe.pl                                       [ OK ]
Executing S98check-db-integrity.sh                                    [ OK ]
Executing S98htaccess-init                                            [ OK ]
Executing S98is-sru-finished.sh                                       [ OK ]
Executing S99correct_ipmi.pl                                          [ OK ]
Executing S99start-system                                             [ OK ]
Executing S99z_db_restore                                             [ OK ]
Executing S99_z_cc-integrity.sh                                       [ OK ]
Firstboot scripts finished.
Configuring NTP...                                                    [ OK ]
fatattr: can't open '/mnt/disk0/.private2': No such file or directory
fatattr: can't open '/mnt/disk0/.ngfw': No such file or directory
Model reconfigure detected, executing scripts
Pinging mysql
Found mysql is running
Executing 45update-sensor.pl                                          [ OK ]
Executing 55recalculate_arc.pl                                        [ OK ]
Starting xinetd:
Mon Sep 19 20:59:07 UTC 2016
Starting MySQL...
Pinging mysql
Pinging mysql, try 1
Pinging mysql, try 2
Found mysql is running
Running initializeObjects...
Stopping MySQL...
Killing mysqld with pid 22285
Wait for mysqld to exit\c
 done
Mon Sep 19 20:59:32 UTC 2016

Starting sfifd...                                                     [ OK ]
Starting Cisco ASA5506-X Threat Defense, please wait...No PM running!
...started.
INIT: Starting system message bus: dbus.
Starting OpenBSD Secure Shell server: sshd
  generating ssh RSA key...
  generating ssh ECDSA key...
  generating ssh DSA key...
done.
Starting Advanced Configuration and Power Interface daemon: acpid.
Starting crond: OK
Sep 19 20:59:42 ciscoasa SF-IMS[22997]: [22997] init script:system [INFO] pmmon
  Setting affinity to 0-3...
pid 22993's current affinity list: 0-3
pid 22993's new affinity list: 0-3
Sep 19 20:59:42 ciscoasa SF-IMS[22999]: [22999] init script:system [INFO] pmmon The
  Process Manager is not running...
Sep 19 20:59:42 ciscoasa SF-IMS[23000]: [23000] init script:system [INFO] pmmon
Starting the Process Manager...
Sep 19 20:59:42 ciscoasa SF-IMS[23001]: [23001] pm:pm [INFO] Using model number 75J

IO Memory Nodes: 1
IO Memory Per Node: 205520896 bytes

Global Reserve Memory Per Node: 314572800 bytes Nodes=1

LCMB: got 205520896 bytes on numa-id=0, phys=0x2400000, virt=0x2aaaac200000
LCMB: HEAP-CACHE POOL got 314572800 bytes on numa-id=0, virt=0x7fa17d600000
Processor memory: 1583098718

Compiled on Tue 23-Aug-16 19:42 PDT by builders

Total NICs found: 14
.
! Omitted the MAC addresses, licensing and legal messages for brevity
.
                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Reading from flash...
!
Cryptochecksum (changed): f410387e 8aab8a4e f71eb8a9 f8b37ef9

INFO: Power-On Self-Test in process.
.......................................................................
INFO: Power-On Self-Test complete.

INFO: Starting HW-DRBG health test...
INFO: HW-DRBG health test passed.

INFO: Starting SW-DRBG health test...
INFO: SW-DRBG health test passed.
Type help o '?' for a list
Cisco ASA5506-X Threat Defense v6.1.0 (build 330)
firepower login:

步骤7　在看到Firepower登录提示（表示安装过程已完成）后，您可以输入默认的登录信息（用户名是admin，密码是Admin123），如例2-22所示。

例2-22　输入默认的登录信息

firepower login:<strong>admin</strong>
Password:<strong>Admin123</strong>

步骤8　在系统提示End User License Agreement（接受终端用户许可协定，EULA）页面时，按下回车键来显示协定并接受它。例2-23显示了EULA的系统提示，为了简化示例我们省略了详细的法律信息。

提示　

您可以输入q键随时退出EULA。

例2-23　同意EULA

You must accept the EULA to continue.
Press <ENTER> to display the EULA:
END USER LICENSE AGREEMENT
.
.
!The EULA messages are omitted for brevity
.
.
.Please enter 'YES' or press <ENTER> to AGREE to the EULA:

步骤9　在系统初始化进程开始时，您可以更改管理用户的密码，并在设置网络时直接按下回车键来接受方括号（[ ]）中的默认值。例2-24展示了密码和网络设置的配置。

例2-24　首次登录FTD后对网络进行配置

System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:10.1.1.21
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface [192.168.45.1]:10.1.1.1
Enter a fully qualified hostname for this system [firepower]:
Enter a comma-separated list of DNS servers or 'none' []:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'

步骤10　在看到询问本地管理（也就是on-box management）的问题时，输入no。

注释　

FTD本地管理的选项会启用内建的Firepower设备管理器（Firepower Device Manager，FDM）应用，这个应用只能够用来管理一个FTD系统——本地系统。本书使用独立的管理器版本，也就是Firepower管理中心（FMC），它能够管理多个部署在不同地理位置的FTD系统。

例2-25所示配置命令用来管理这个FTD并将其部署在网络中。在本例中，我们配置使用专用的管理设备（也就是FMC）来管理这个系统，并将系统部署为路由模式。

例2-25　配置部署类型和模式

Manage the device locally? (yes/no) [yes]: no
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ...
Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy
You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required. In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

例2-25末尾的 > 提示符表明初始化网络配置已完成。下一步是确认管理接口上的网络连通性，然后开始执行注册过程（第6章介绍了管理连接，第7章介绍了注册过程）。

2.4　验证和排错工具

本节介绍了能够在安装FTD软件前后，用来验证ASA硬件状态的命令。

2.4.1　访问FTD CLI

FTD软件安装成功后ASA硬件会自动重启，然后它应该会自动显示出>提示符。这个提示符与运行经典软件的ASA硬件所显示的传统提示符（ciscoasa>）不同。此外，在ASA硬件上运行FTD软件时，您可以进入不同的Console或Shell，其中包括以下几点内容。

• FTD默认Shell：您可以使用这个Shell配置大多数必要元素并查看它们的状态。
• ASA Console：您可以使用这个Console执行用于诊断目的的高级命令。
• Firepower Linux Shell：您可以使用这个Shell进入操作系统的后台，Cisco使用这个Shell来执行高级排错任务。

图2-10展示了运行FTD软件的ASA上的不同Console和命令提示符。

图2-10　运行FTD软件的ASA硬件上的命令提示符

例2-26展示了用来进入FTD CLI不同模式的命令。

例2-26　进入FTD CLI不同Shell的命令

>

! The > prompt confirms that you are on the FTD default shell. Run the following
 command to connect to the ASA console:

>system support diagnostic-cli
Attaching to ASA console ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower>

! Now you have entered the ASA console. Run the enable command to enter the privilege
 exec mode.

firepower>enable
Password:
firepower#exit

Logoff
Type help or '?' for a list of available commands.

firepower>

! If you want to quit from the ASA console, the exit command logs you off from the
 ASA console, but does not let you return to the FTD default shell. To disconnect
 from the ASA console, press the Ctrl+a keys together, then press d separately.

firepower>

Console connection detached.
>

! To connect to the Firepower Linux shell, run the expert command. To return to the
FTD default shell, run the exit command.

>expert
admin@firepower:~$exit
logout
>

2.4.2　确认安装的软件版本

您可以使用FTD中的默认命令提示符，来确认ASA硬件上运行的FTD软件版本。

例2-27表明ASA 5506-X硬件上运行了FTD 6.1.0版本。

例2-27　安装FTD后，查看ASA上运行的软件版本

>show version

-------------------[ firepower ]--------------------
Model                     : Cisco ASA5506-X Threat Defense (75) Version 6.1.0
(Build 330)
UUID                      : c84ceb32-7ea7-11e6-a7ad-94bcd8f36790
Rules update version      : 2016-03-28-001-vrt
VDB version               : 270
----------------------------------------------------

>

提示　

命令show version的输出内容中Model（型号）字段必须显示为“Cisco ASA55XX-X Threat Defense Version 6.1.0”。如果Model字段显示为“ASA55XX Version 6.1.0”——而没有关键字“Threat Defense”——说明ASA将Firepower 6.1版本作为一个单独的服务运行，而不是统一镜像。

2.4.3　确认ASA硬件上的空闲硬盘空间

在ASA硬件上安装FTD之前，您必须确保ASA上有足够的空闲空间。您可以使用以下特权模式的命令之一来确认空闲空间：

ciscoasa#dir
ciscoasa#show flash:

例2-28使用两条命令展示了同一台ASA硬件上空闲的空间量。本例中阴影部分显示出ASA硬件上的空闲空间为4544851968字节，也就是4438332 KB（4334.3 MB或4.23 GB）。第一条命令的输出内容使用disk0:来表示内部Flash内存。如果ASA中还有其他Flash内存，会显示为disk1:。

例2-28　查看ASA硬件上的空闲空间

ciscoasa#dir

Directory of disk0:/

88     -rwx  91290240      11:04:08 May 12 2016 asa961-50-lfbff-k8.spa
89     -rwx  63            16:25:14 Sep 19 2016 .boot_string
11     drwx  4096          12:14:22 May 12 2016 log
19     drwx  4096          12:15:12 May 12 2016 crypto_archive
20     drwx  4096          12:15:16 May 12 2016 coredumpinfo

7859437568 bytes total (4544851968 bytes free)

ciscoasa#

ciscoasa#show flash:

--#-- --length-- -----date/time------ path
   88 91290240   May 12 2016 11:04:08 asa961-50-lfbff-k8.spa
   89 63         Sep 19 2016 16:25:14 .boot_string
   11 4096       May 12 2016 12:14:22 log
   13 0          May 12 2016 12:14:22 log/asa-appagent.log
   19 4096       May 12 2016 12:15:12 crypto_archive
   20 4096       May 12 2016 12:15:16 coredumpinfo
   21 59         May 12 2016 12:15:16 coredumpinfo/coredump.cfg

7859437568 bytes total (4544851968 bytes free)

ciscoasa#

2.4.4　从存储设备中删除一个文件

如果您想删除一个文件来释放一些硬盘空间，可以使用以下特权模式的命令：

ciscoasa#delete flash:/filename

例2-29中展示出删除名为output.txt的文件的命令。

例2-29　从ASA硬件中删除一个文件

ciscoasa#delete flash:/output.txt

2.4.5　确认存储设备或SSD的可用性

您可以从CLI来确认ASA上安装的存储设备类型。例2-30表明ASA 5506-X硬件上安装了一个SSD。

例2-30　查看ASA 5500-X系列硬件上的存储设备信息

ciscoasa#show inventory
Name: "Chassis", DESCR: "ASA 5506-X with FirePOWER services, 8GE, AC, DES"
PID: ASA5506           , VID: V01     , SN: JMX1916Z07V

Name: "Storage Device 1", DESCR: "ASA 5506-X SSD"
PID: ASA5506-SSD       , VID: N/A     , SN: MSA190600NE

ciscoasa#

例2-31表明ASA 5500-X硬件上安装了两个存储设备。

例2-31　查看ASA 5500-X系列硬件上的存储设备列表

ciscoasa#show inventory
Name: "Chassis", DESCR: "ASA 5545-X with SW, 8 GE Data, 1 GE Mgmt"
PID: ASA5545           , VID: V02      , SN: FTX1841119Z

Name: "power supply 0", DESCR: "ASA 5545-X/5555-X AC Power Supply"
PID: ASA-PWR-AC        , VID: N/A     , SN: 47K1E0

Name: "Storage Device 1", DESCR: "Model Number: Micron_M550_MTFDDAK128MAY"
PID: N/A               , VID: N/A     , SN: MXA183502EG

Name: "Storage Device 2", DESCR: "Model Number: Micron_M550_MTFDDAK128MAY"
PID: N/A               , VID: N/A     , SN: MXA183502FW

ciscoasa#

表2-2总结了各种ASA 5500-X系列硬件上默认的SSD可用性，还显示出特定型号上的SSD是否可以在发生故障时热插拔。

表2-2　ASA 5500-X系列硬件上的SSD可用性和替换方式

2.4.6　确认ROMMON软件或固件的版本

ASA硬件启动的过程中会显示出ROMMON软件（也称为固件）的版本信息。例2-32展示出ASA 5506-X硬件启动时显示出的初始消息，其中ROMMON版本为1.1.0.1。

例2-32　启动过程中显示出的消息

Cisco Systems ROMMON, Version 1.1.01, RELEASE SOFTWARE
Copyright (c) 1994-2014 by Cisco Systems, Inc.
Compiled Mon 10/20/2014 15:59:12.05 by builder

Current image running: Boot ROM0
Last reset cause: PowerCycleRequest
DIMM Slot 0 : Present

Platform ASA5506 with 4096 Mbytes of main memory
MAC Address: a4:6c:2a:e4:6b:bf
Using default Management Ethernet Port: 0

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

Located '.boot_string' @ cluster 1607965.
#
Attempt autoboot: "boot disk0:/asa961-50-lfbff-k8.spa"
Located 'asa961-50-lfbff-k8.spa' @ cluster 10.
################################################################################
################################################################################
################################################################################
#######################################

LFBFF signature verified.
INIT: version 2.88 booting
Starting udev
Configuring network interfaces... done.

如果ASA硬件正在生产环境中运行，而您不希望对其进行重启，则可以使用命令show module来查看ROMMON软件的版本。例2-33显示ASA 5506-X硬件的ROMMON版本为1.1.0.1。

例2-33　查看ASA ROMMON软件版本的命令

ciscoasa#show module

Mod  Card Type                                    Model              Serial No.
---- -------------------------------------------- ------------------ -----------
   1 ASA 5506-X with FirePOWER services, 8GE, AC, ASA5506            JAD191100HG
 sfr Unknown                                      N/A                JAD191100HG

Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version
---- --------------------------------- ------------ ------------ ---------------
   1 a46c.2ae4.6bbf to a46c.2ae4.6bc8  1.0          1.1.1        9.6(1)50
 sfr a46c.2ae4.6bbe to a46c.2ae4.6bbe  N/A          N/A

Mod  SSM Application Name           Status           SSM Application Version
---- ------------------------------ ---------------- --------------------------

Mod  Status             Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
   1 Up Sys             Not Applicable
 sfr Init               Not Applicable

ciscoasa#

2.5　总结

本章介绍了可以在ASA 5500-X硬件上安装的各种镜像，并展示了把ASA 5500-X系列硬件重镜像为FTD软件的详细过程。此外，本章还展示了如何使用命令行工具来验证硬件和软件的状态。

安装完成后，在网络中部署FTD的下一个步骤是将其注册到FMC。本书后续章节将介绍相关内容。

2.6　测试题

1．把ASA 5506-X硬件重镜像为FTD的正确步骤是什么？

　　i．升级ROMMON软件

　　ii．使用启动镜像重新加载ASA硬件

　　iii．安装FTD系统软件

　　iv．把镜像文件复制到一台服务器

　　　　a．ii > i > iii > iv

　　　　b．iv > ii > iii

　　　　c．ii > iii

　　　　d．iv > i > ii > iii

2．把ASA 5545-X硬件重镜像为FTD的正确步骤是什么？

　　i．升级ROMMON软件

　　ii．使用启动镜像重新加载ASA硬件

　　iii．安装FTD系统软件

　　iv．把镜像文件复制到一台服务器

　　　　a．ii > i > iii > iv

　　　　b．iv > ii > iii

　　　　c．ii > iii

　　　　d．iv > i > ii > iii

3．在把ASA 5516-X硬件重镜像为FTD时，需要使用哪种文件类型？

　　a．*.spa

　　b．*.lfbff

　　c．*.cdisk

　　d．*.pkg

4．在把启动镜像文件传输到ASA硬件时，应该使用哪种服务器？

　　a．TFTP服务器

　　b．FTP服务器

　　c．Web服务器

　　d．安全复制服务器

5．在把系统软件镜像传输到ASA硬件时，本章使用了哪种协议？

　　a．HTTP

　　b．TFTP

　　c．FTP

　　d．SCP

6．用来确认ASA硬件上是否安装了SSD的命令是什么？

　　a．show flash

　　b．show inventory

　　c．show run

　　d．show module

7．以下哪条命令能够查看ASA的固件版本？

　　a．show firmware

　　b．show rommon

　　c．show module

　　d．show inventory

8．FTD软件的默认命令提示符是什么？

　　a．ciscoasa#

　　b．ciscoasa-boot>

　　c．firepower>

　　d．>