เมื่อปี 2010 ผมได้เขียนบทความเรื่อง "การตั้งค่า Cisco ASA Firewall ขั้นพื้นฐาน" เอาไว้ ซึ่งเป็นบทความที่อธิบายการทำการและการตั้งค่า Cisco ASA Firewall เบื้องต้น แต่ในปัจจุบัน Cisco ASA Firewall ได้พัฒนามาทำงานร่วมกับ SoureFire ที่เรียกว่า Cisco ASA with FirePOWER Module ซึ่่งจะมีการตั้งค่าเพิ่มเติมจากเดิมอีกนิดหน่อย แต่ก่อนที่จะเข้าสู่เนื้อหาของบทความนี้ ขอให้ทำความเข้าใจก่อนว่า Cisco ASA Firewall with FirePOWER Module นั้นจะแยกส่วนการทำงานระหว่าง Cisco ASA Firewall แบบดั้งเดิม กับตัว ASA FirePOWER Module ออกจากกันอย่างชัดเจน เสมือนว่าเป็นการตั้งค่าอุปกรณ์ 2 อุปกรณ์แยกส่วนออกจากกัน เพียงแต่ทั้ง 2 อุปกรณ์นั้นทำงานอยู่บน Physical เดียวกันเท่านั้น ดังนั้นเพื่อป้องกันความสับสนของบทความนี้ เวลาที่ผมเรียก Cisco ASA Firewall ให้เข้าใจว่าหมายถึงตัว Firewall แบบดั้งเดิมของ Cisco ส่วนเวลาที่เรียก ASA FirePOWER Module ให้เข้าใจว่าหมายถึงตัว SoureFire Module ที่ทำงานอยู่บน Cisco ASA Firewall อีกทีนะครับ
ในบทความนี้ จะไม่ลงรายละเอียดในด้านการทำงานของ Cisco ASA Firewall มากนัก เนื่องจากโดยพื้นฐานก็ยังคงทำงานเหมือนเดิม ตามที่ได้เขียนไว้ในบทความที่ผ่านมา ซึ่งถ้าใครยังไม่ทราบถึงวิธีการทำงานเบื้องต้นของ Cisco ASA Firewall ก็ขอให้ติดตามบทความ "การตั้งค่า Cisco ASA Firewall ขั้นพื้นฐาน" ก่อนนะครับ ส่วนในบทความนี้จะขอกล่าวถึงส่วนที่เพิ่มเติมจากเดิม ซึ่งก็คือการทำงานและการตั้งค่าให้ Cisco ASA Firewall สามารถทำงานร่วมกับ FirePOWER Module ได้นั่นเองครับ
Cisco ASA Firewall with FirePower Module ที่จะใช้ในการอธิบายการทำงานในบทความนี้ จะสามารถใช้งานได้กับ Cisco ASA Firewall ในรุ่น ASA5506-X, ASA5508-X และ ASA5516-X นะครับ โดยใน Cisco ASA Firewall ในรุ่นเหล่านี้จะสามารถเข้าบริหารจัดการ FirePOWER Module ผ่านทาง ASDM ได้เลย โดยที่ไม่จำเป็นจะต้องมี FireSIGHT System (ตัวบริหารจัดการกลางของอุปกรณ์ SoureFire)
ASA FirePOWER Module คือโมดูลเสริมที่ทำให้ Cisco ASA Firewall สามารถใช้งานเป็น next-generation firewall ได้ ด้วยคุณสมบัติอย่างเช่น Next-Generation Intrusion Prevention System (NGIPS), Application Visibility and Control (AVC), URL filtering, และ Advanced Malware Protection (AMP) ซึ่ง ASA FirePOWER Module นี้จะทำงานแยกส่วนกันกับ Cisco ASA Firewall โดยอาจจะเป็น hardware module (ในรุ่น ASA5585-X) หรือเป็น software module (ใน ASA รุ่นอื่นๆ)
ในการใช้งาน Cisco ASA FirePOWER Module จะสามารถใช้งานได้ทั้งในรูปแบบ inline และ monitor-only (passive) ซึ่งในบทความนี้จะกล่าวถึงในรูปแบบ inline เท่านั้น โดยในโหมด inline ทราฟิกที่ถูกส่งเข้ามายัง Firewall จะถูกตรวจสอบจาก Cisco ASA Firewall ก่อนที่ทราฟิกนั้นจะถูกส่งมายัง ASA FirePOWER Module บน ASA อีกที โดยในรายละเอียดขั้นตอนการทำงานจะมี ดังนี้
- ทราฟิกถูกส่งเข้ามายัง ASA
- ทราฟิกที่เป็น VPN จะถูกถอดรหัส
- ทำการตรวจสอบทราฟิกนั้นกับ ASA Firewall Policies
- ทราฟิกถูกส่งต่อมายัง ASA FirePOWER Module
- ASA FirePOWER Module ตรวจสอบทราฟิกกับ Policies ของ FirePOWER
- ทราฟิกที่ได้รับอนุญาตจะถูกส่งกลับไปยัง ASA
- ทราฟิกที่เป็น VPN จะถูกเข้ารหัส
- ทราฟิกถูกส่งออกจาก ASA
- ห้ามกำหนดค่า ASA ให้ inspection HTTP traffic ที่จะส่งไปยัง ASA FirePOWER Module
- ห้ามกำหนดค่า ASA ให้ใช้งานคุณสมบัติ Cloud Web Security (Scansafe) ในการตรวจสอบทราฟิกที่จะส่งไปยัง ASA FirePOWER Module ถ้าเปิดการใช้งาน Cloud Web Security พร้อมกับ ASA FirePOWER Module ทราฟิกนั้นจะถูกส่งไปยัง ASA FirePOWER Module เท่านั้น
- ห้ามเปิดการทำงานของคุณสมบัติ Mobile User Security (MUS) Server
การ deploy Cisco ASA FirePOWER Module ใน ASA5506-X, ASA5508-X และ ASA5516-X
Cisco ASA Firewall ในรุ่นเหล่านี้ จะใช้งาน ASA FirePOWER Module ในลักษณะที่เป็น Software Module โดยจะใช้งานอินเทอร์เฟส Management (MGMT) ของ Cisco ASA Firewall ในการบริหารจัดการ ASA FirePOWER Module โดยที่ ASA FirePOWER Module จะมีความต้องการในการเชื่อมต่อไปยังอินเทอร์เน็ต (เพื่อใช้ในการอัปเดต signature ต่าง ๆ โดยอัตโนมัติ) ดังนั้น จะต้องทำการเชื่อมต่อและกำหนดค่าให้อินเทอร์เฟส Management นี้สามารถเชื่อมต่อออกสู่อินเทอร์เน็ตให้ได้ด้วย และ Cisco ASA Firewall ในรุ่นเหล่านี้ (ASA5506-X, ASA5508-X และ ASA5516-X) จะทำการบริหารจัดการ ASA FirePOWER Module ผ่านทาง ASDM จึงมีความจำเป็นที่จะต้องทำให้อินเทอร์เฟส Management (MGMT) สามารถติดต่อสื่อสารกับอินเทอร์เฟสที่ใช้ในการบริหารจัดการ Cisco ASA Firewall ผ่านทาง ASDM ได้ด้วย
ดังนั้นในการใช้งาน Cisco ASA Firewall ร่วมกับ ASA FirePOWER Module ในเบื้องต้นนั้น จะมีการเชื่อมต่อในลักษณะตามภาพด้านบน โดยที่อินเทอร์เฟส Management (MGMT) ของ Cisco ASA Firewall จะไม่ได้ใช้ในการบริหารจัดการตัว Cisco ASA Firewall เหมือนแต่ก่อนนะครับ แต่จะใช้สำหรับการบริหารจัดการ ASA FirePOWER Module เท่านั้น ส่วนการบริหารจัดการ Cisco ASA Firewall จะไปใช้งานร่วมกับอินเทอร์เฟสอื่น ๆ ที่ใช้ในการส่งต่อทราฟิกของผู้ใช้ และเปิดให้บริหารจัดการผ่านทาง Telnet, SSH หรือ ASDM ได้แทน โดยในการที่จะเข้าไปบริหารจัดการ ASA FirePOWER Module ได้นั้น ตัว Cisco ASA Firewall จะต้องสามารถติดต่อสื่อสารกับ ASA FirePOWER Module ผ่านทางอินเทอร์เฟส MGMT นี้ได้ด้วย ดังนั้นในการกำหนดค่าเบื้องต้นในบทความนี้ จึงทำการกำหนดค่าให้อินเทอร์เฟสที่ใช้ในการบริหารจัดการ Cisco ASA Firewall ด้วย ASDM (ตามภาพคือ Gi1/3:Internal) และอินเทอร์เฟสที่ใช้ในการบริหารจัดการ ASA FirePOWER Module อยู่ภายใต้ Layer 2 เดียวกัน เพื่อที่จะได้สามารถติดต่อสื่อสารกันได้ หรือจริง ๆ แล้วก็สามารถกำหนดค่าให้ทั้งสองอินเทอร์เฟสนี้อยู่คนละ network กันก็ได้นะครับ เพียงแต่ว่าจะต้องทำ Routing ให้สามารถติดต่อสื่อสารกันได้เท่านั้นเอง
การตั้งค่า Cisco ASA Firewall with ASA FirePOWER Module เบื้องต้น
1. การตั้งค่า Cisco ASA Firewall เบื้องต้นในส่วนนี้จะเป็นการตั้งค่า Cisco ASA Firewall เบื้องต้น ซึ่งจะอธิบายการตั้งค่าแบบคร่าว ๆ เท่านั้น เนื่องจากว่าได้อธิบายการทำงานโดยละเอียด เอาไว้ในบทความเรื่อง "การตั้งค่า Cisco ASA Firewall ขั้นพื้นฐาน" เอาไว้แล้ว โดยจะมีรายละเอียดการตั้งค่า ดังนี้
- ทำการกำหนดชื่อ hostname ของอุปกรณ์
- ทำการสร้าง zone
- ทำการกำหนดค่าอินเทอร์เฟส และกำหนด nameif, security-level, zone และ IP address ให้กับแต่ละอินเทอร์เฟส
ciscoasa(config)# hostname Running-Config-FW
Running-Config-FW(config)# zone External
Running-Config-FW(config)# zone Internal
Running-Config-FW(config)# zone DMZ
Running-Config-FW(config)# interface GigabitEthernet 1/1
Running-Config-FW(config-if)# nameif External
INFO: Security level for "External" set to 0 by
default.
Running-Config-FW(config-if)# security-level 0
Running-Config-FW(config-if)# zone-member External
Running-Config-FW(config-if)# ip address 100.100.100.1 255.255.255.248
Running-Config-FW(config-if)# no shutdown
Running-Config-FW(config-if)# exit
Running-Config-FW(config)# interface GigabitEthernet 1/2
Running-Config-FW(config-if)# nameif DMZ
INFO: Security level for "DMZ" set to 0 by default.
Running-Config-FW(config-if)# security-level 50
Running-Config-FW(config-if)# zone-member DMZ
Running-Config-FW(config-if)# ip address 172.16.0.254
255.255.255.0
Running-Config-FW(config-if)# no shutdown
Running-Config-FW(config-if)# exit
Running-Config-FW(config)# interface GigabitEthernet 1/3
Running-Config-FW(config-if)# nameif Internal
INFO: Security level for "Internal" set to 0 by
default.
Running-Config-FW(config-if)# security-level 100
Running-Config-FW(config-if)# zone-member Internal
Running-Config-FW(config-if)# ip address 192.168.100.254
255.255.255.0
Running-Config-FW(config-if)# no shutdown
Running-Config-FW(config-if)# exit
- ทำการกำหนด Routing ให้กับ Cisco ASA Firewall โดยในตัวอย่างนี้ จะเป็นการกำหนดค่า Default Static Route เพื่อให้ Cisco ASA Firewall สามารถส่งต่อทราฟิกไปยังอินเทอร์เน็ตได้
Running-Config-FW(config)# route External 0 0 100.100.100.2
- ทำการกำหนดค่า NAT โดยมีรายละเอียด ดังนี้
- เมื่อโฮสต์ใน Internal network ติดต่อไปยังอินเทอร์เน็ต จะทำการ NAT แบบ NAT Overload (PAT) โดยใช้งานหมายเลข IP address ของอินเทอร์เฟส External เป็นตัวแทนในการติดต่อสื่อสาร
- ทำการกำหนดค่า Static NAT ให้กับ Web Server ที่อยู่ใน DMZ เพื่อให้โฮสต์บนอินเทอร์เน็ตสามารถติดต่อสื่อสารเข้ามายัง Web Server ที่อยู่ในวง DMZ ได้
Running-Config-FW(config)# object network INTERNAL_NET
Running-Config-FW(config-network-object)# subnet 192.168.100.0
255.255.255.0
Running-Config-FW(config-network-object)# nat (Internal,External)
dynamic interface
Running-Config-FW(config-network-object)# exit
Running-Config-FW(config)# object network DMZ_WEB
Running-Config-FW(config-network-object)# host 172.16.0.100
Running-Config-FW(config-network-object)# nat (DMZ,External)
static 100.100.100.3
Running-Config-FW(config-network-object)# exit
- ทำการกำหนดค่า DHCP เพื่อให้ Cisco ASA Firewall ทำการจ่าย IP address ในช่วงดังกล่าว (192.168.100.100 ถึง 192.168.100.200) ให้กับโฮสต์ที่ร้องขอ IP address เข้ามาจาก Internal Network
Running-Config-FW(config)# dhcpd address
192.168.100.100-192.168.100.200 Internal
Running-Config-FW(config)# dhcpd enable Internal
- ทำการกำหนดค่า enable password และ username/password
- ทำการเปิดให้สามารถเข้าบริหารจัดการตัว Cisco ASA Firewall ผ่านทางโปรโตคอล Telnet, SSH และ ASDM (HTTP) ได้
Running-Config-FW(config)# enable password cisco
Running-Config-FW(config)# username cisco password cisco
privilege 15
Running-Config-FW(config)# telnet 192.168.100.0 255.255.255.0
internal
Running-Config-FW(config)# http 192.168.100.0 255.255.255.0
internal
Running-Config-FW(config)# http server enable
Running-Config-FW(config)# domain-name running-config.com
Running-Config-FW(config)# crypto key generate rsa modulus 1024
WARNING: You have a RSA keypair already defined named
<Default-RSA-Key>.
Do you really want to replace them? [yes/no]: yes
Keypair generation process begin. Please wait...
Running-Config-FW(config)# ssh 192.168.100.0 255.255.255.0
internal
Running-Config-FW(config)# aaa authentication telnet console
LOCAL
Running-Config-FW(config)# aaa authentication ssh console LOCAL
Running-Config-FW(config)# aaa authentication http console LOCAL
Running-Config-FW(config)# aaa authorization exec LOCAL
- ทำการเปิดการทำงานของ logging buffer เพื่อเก็บ syslog บางส่วนเอาไว้บน memory ของ Cisco ASA Firewall
Running-Config-FW(config)# logging on
Running-Config-FW(config)# logging buffered informational
Running-Config-FW(config)# logging buffer-size 4096
- ในตัวอย่างการตั้งค่านี้ ไม่ได้แสดงวิธีการกำหนดค่า L4 Access Policy บน Cisco ASA Firewall นะครับ แต่ถ้าหากต้องการคัดกรองทราฟิกใด ๆ ในระดับ L3-4 ก็สามารถเขียน Policy กำหนดรูปแบบทราฟิกที่อนุญาต/ไม่อนุญาตได้เลย โดยทราฟิกที่จะส่งไปยัง ASA FirePOWER Module เพื่อทำการคัดกรองในระดับ L7 นั้นจะต้องเป็นทราฟิกที่ผ่านการคัดกรองจาก Policy ของ Cisco ASA Firewall ก่อนนะครับ
- ทำการตรวจสอบสถานะการทำงานของ ASA FirePOWER Module ด้วยการใช้คำสั่ง "show module sfr" และ "show module sfr details" โดยถ้าสถานะการทำงานปกติควรเป็น ดังนี้
Running-Config-FW(config)# show module sfr
Mod Card Type Model Serial No.
---- --------------------------------------------
------------------ -----------
sfr FirePOWER Services
Software Module ASA5506 JAD1909057V
Mod MAC Address Range Hw Version Fw Version
Sw Version
---- --------------------------------- ------------ ------------
---------------
sfr a46c.2aaa.1e5a to
a46c.2aaa.1e5a N/A N/A 6.0.0-1005
Mod SSM Application
Name Status SSM Application Version
---- ------------------------------ ----------------
--------------------------
sfr ASA FirePOWER Up 6.0.0-1005
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Up Up
Running-Config-FW(config)# show module sfr details
Getting details from the Service Module, please wait...
Card Type: FirePOWER Services Software Module
Model: ASA5506
Hardware version: N/A
Serial Number: JAD1909057V
Firmware version: N/A
Software version: 6.0.0-1005
MAC Address Range: a46c.2aaa.1e5a to a46c.2aaa.1e5a
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 6.0.0-1005
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.45.45
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 0.0.0.0
Mgmt web ports: 443
Mgmt TLS enabled: true
- ทำการตั้งค่าให้ Cisco ASA Firewall ทำการส่งทราฟิกที่ได้รับอนุญาตจาก L4 Policy บนตัว Cisco ASA Firewall ไปยัง ASA FirePOWER Module ด้วยการใช้ Modular Policy Framework (MPF) โดยในตัวอย่างนี้จะใช้งาน Class-map ที่เป็นค่า Default ที่ชื่อ "class-default" และทำการกำหนดค่าให้ทำงานแบบ "fail-open" คือจะทำการ Bypass ASA FirePOWER Module เพื่อใช้ผู้ใช้สามารถรับส่งข้อมูลได้ตามปกติ ในกรณีที่ ASA FirePOWER Module ไม่สามารถทำงานได้ตามปกติ
Running-Config-FW(config)# policy-map global_policy
Running-Config-FW(config-pmap)# class class-default
Running-Config-FW(config-pmap-c)# sfr fail-open
Running-Config-FW(config-pmap-c)# exit
Running-Config-FW(config-pmap)# exit
Running-Config-FW(config)# service-policy global_policy global
- สามารถทำการตรวจสอบสถานะการส่งทราฟิกจาก Cisco ASA Firewall ไปยัง ASA FirePOWER Module ได้ด้วยการใช้คำสั่ง "show service-policy sfr"
Running-Config-FW# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map:
class-default
SFR: card status Up,
mode fail-open
packet input 55,
packet output 55, drop 0, reset-drop 0
- ในการบริหารจัดการ ASA FirePOWER Module จะเข้าถึงผ่านทางอินเทอร์เฟส MGMT ของตัว Cisco ASA Firewall ดังนั้น ให้ทำการตรวจสอบก่อนว่าอินเทอร์เฟส MGMT ของ Cisco ASA Firewall นั้นได้ enable เอาไว้หรือไม่
Running-Config-FW(config)# interface Management 1/1
Running-Config-FW(config-if)# no shutdown
Running-Config-FW(config-if)# exit
- ทำการเชื่อมต่อไปยัง ASA FirePOWER Module ผ่านทาง Console จาก Cisco ASA Firewall ด้วยการใช้คำสั่ง "session sfr console" และ Login โดยใช้ Username เป็น "admin" และ Password เป็น "Admin123" ถ้าเป็น FirePOWER ตั้งแต่ Version 6.0 เป็นต้นมา หรือ "Sourcefire" ถ้าเป็น FirePOWER ก่อน Version 6.0
- ถ้าหากเป็นการเข้าสู่ ASA FirePOWER เป็นครั้งแรก จะมีการแสดงข้อตกลงในการใช้งาน โดยเมื่อจบข้อความให้ Enter หรือ พิมพ์ข้อความ "YES" เพื่อยอมรับข้อตกลง
Running-Config-FW# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA5506 v6.0.0 (build 1005)
firepower login: admin
Password:
Last login: Thu Mar 24 03:51:35 UTC 2016 on ttyS1
Last failed login: Sun Mar 27 23:29:47 UTC 2016 on ttyS1
There were 3 failed login attempts since the last successful
login.
Last login: Sun Mar 27 23:29:55 UTC 2016 on ttyS1
Copyright 2004-2015, Cisco and/or its affiliates. All rights
reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Fire Linux OS v6.0.0 (build 258)
Cisco ASA5506 v6.0.0 (build 1005)
Last login: Sun Mar 27 23:01:01 UTC 2016 on cron
Last login: Sun Mar 27 23:29:55 UTC 2016 on ttyS1
You must accept the EULA to continue.
Press <ENTER> to display the EULA:
<ซ่อนผลลัพธ์บางส่วน>
Product warranty terms and other information applicable to Cisco
products are
available at the following URL: http://www.cisco.com/go/warranty.
Please enter 'YES' or press <ENTER> to AGREE to the EULA:
YES
- จากนั้นจะเข้าสู่ Initial Setup Wizard เพื่อทำการตั้งค่า ASA FirePOWER เบื้องต้น โดยจะมีการกำหนดค่าต่าง ๆ ดังนี้
- ทำการกำหนด password สำหรับ user 'admin' ใหม่
- ทำการกำหนดรายละเอียดของ IPv4 address และ IPv6 address (ถ้าต้องการใช้งาน) สำหรับการบริหารจัดการ
System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface
[192.168.45.45]: 192.168.100.45
Enter an IPv4 netmask for the management interface [255.255.255.0]:
Enter the IPv4 default gateway for the management interface []:
192.168.100.254
Enter a fully qualified hostname for this system [firepower]:
Running-Firepower
Enter a comma-separated list of DNS servers or 'none' []: 8.8.8.8
Enter a comma-separated list of search domains or 'none'
[example.net]: running-config.com
If your networking information has changed, you will need to
reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
Creating default Identity Policy.
Creating default SSL Policy.
Update policy deployment information
- add device
configuration
- add network discovery
- add system policy
- add access control
policy
- applying access
control policy
You can register the sensor to a Firepower Management Center and
use the
Firepower Management Center to manage it. Note that registering
the sensor
to a Firepower Management Center disables on-sensor Firepower
Services
management capabilities.
When registering the sensor to a Firepower Management Center, a
unique
alphanumeric registration key is always required. In most cases, to register
a sensor to a Firepower Management Center, you must provide the
hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key
]'
However, if the sensor and the Firepower Management Center are
separated by a
NAT device, you must enter a unique NAT ID, along with the unique
registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID
]'
Later, using the web interface on the Firepower Management
Center, you must
use the same registration key and, if necessary, the same NAT ID
when you add
this sensor to the Firepower Management Center.
>
- ในตัวอย่างการตั้งค่านี้จะเป็นการใช้งาน ASA FirePOWER โดยจะทำการบริหารจัดการผ่านทาง Cisco ASDM โดยจะไม่ได้ใช้งาน Cisco Firepower Management Center หรือ Cisco FireSIGHT Management Center ในการบริหารจัดการ ซึ่งถ้าต้องการใช้งาน Firepower Manager Center ในการบริหารจัดการ จะต้องทำการกำหนดค่า Manager ด้วยนะครับ
- เมื่อทำการกำหนดค่าถึงขั้นตอนนี้แล้ว ก็จะสามารถเข้าบริหารจัดการ ASA FirePOWER ผ่านทาง ASDM ได้แล้ว ก็ให้ใช้ Cisco ASDM ในการเข้าไปบริหารจัดการนะครับ
- เมื่อเข้ามาจะเข้าสู่หน้า Home โดยถ้าหากต้องการเข้าไปบริหารจัดการ ASA FirePOWER ก็ให้เข้าไปที่ Configuration > ASA FirePOWER Configuration โดยเมื่อเข้าไปแล้วให้ทำการตรวจสอบหรือเพิ่ม License ของ ASA FirePOWER โดยไปที่ Licenses ให้เรียบร้อยก่อนการใช้งานนะครับ (ต้องนำเลข PAK ไปทำการ Register ที่ http://www.cisco.com/go/license)
- สำหรับการกำหนด Policy บน ASA FirePOWER ให้เข้าไปที่ Policies > Access Control Policy โดยสามารถทำการแก้ไข Default Policy Set หรือทำการสร้าง Policy Set ขึ้นมาใช้งานใหม่ได้เองก็ได้ครับ โดยเมื่อทำการสร้าง Policy Set แล้ว ก็สามารถสร้าง Rule เพื่อกำหนดนโยบายการใช้งานได้ตามที่ต้องการเลยครับผม
- และเมื่อทำการกำหนดค่าเสร็จแล้ว จะต้องทำการคลิ๊กที่ "Store ASA FirePOWER Change" ด้วยเพื่อนำค่า Configuration ที่เปลี่ยนแปลงไปใช้งาน
ตรง tab firepower กดเข่าไปจะเปนโล่งๆเลยเกิดากอะไรครับ
ReplyDelete