接口如何删除用户

使用Firepower设备管理器管理FirepowerThreatDefenseVirtual本章介绍如何部署使用FDM管理的独立式FTDv设备.
要部署高可用性对,请参阅FDM配置指南.
关于使用Firepower设备管理器管理的FirepowerThreatDefenseVirtual,第1页初始配置,第2页如何在Firepower设备管理器中配置设备,第4页关于使用Firepower设备管理器管理的FirepowerThreatDefenseVirtualFirepowerThreatDefenseVirtual(FTDv)是思科NGFW解决方案的虚拟化组件.
FTDv提供各种下一代防火墙服务,包括状态防火墙、路由、下一代入侵防御系统(NGIPS)、应用可视性与可控性(AVC)、URL过滤,以及高级恶意软件防护(AMP).
您可以使用Firepower设备管理器(FDM)管理FTDv,这是部分Firepower威胁防御型号中包含的基于Web的设备设置向导.
您可以通过FDM配置最常用于小型网络的软件的基本功能.
此产品专为包括一台或几台设备的网络而设计,在这种网络中,无需使用高功率多设备管理器来控制包含许多Firepower威胁防御设备的大型网络.
如果要管理大量设备或要使用Firepower威胁防御支持的更复杂的功能和配置,请使用Firepower管理中心(而不是集成的Firepower设备管理器)来配置您的设备.
有关详细信息,请参阅使用Firepower管理中心管理FirepowerThreatDefenseVirtual.
要进行故障排除,您可以使用管理接口上的SSH访问FTDCLI,也可以从FirepowerCLI连接到FTD.
默认配置FTDv默认配置将管理接口和内部接口置于同一子网上.
您的管理接口必须具有互联网连接,才能使用智能许可并获取系统数据库的更新.
使用Firepower设备管理器管理FirepowerThreatDefenseVirtual1因此,默认配置的设计使您可以将Management0-0和GigabitEthernet0-1(内部)两个接口都连接到虚拟交换机上的同一网络.
默认管理地址使用内部IP地址作为网关.
因此,管理接口路由通过内部接口,然后通过外部接口连通互联网.
您还可以选择将Management0-0连接到与用于内部接口的子网不同的子网,只要使用具有互联网接入的网络即可.
确保为网络正确配置管理接口IP地址和网关.
FTDv首次启动时,必须启用至少四个接口:虚拟机的第一个接口(Management0-0)是管理接口.
虚拟机上的第二个接口是诊断接口(Diagnostic0-0).
虚拟机的第三个接口(GigabitEthernet0-0)是外部接口.
虚拟机的第四个接口(GigabitEthernet0-1)是内部接口.
您还可以添加最多六个额外的数据流量接口,使数据接口的总数达到八个.
如果添加额外的数据接口,请确保源网络映射到正确的目标网络,而且每个数据接口都映射到一个唯一的子网或VLAN.
请参阅"配置VMware接口".
初始配置您必须完成初始配置,才能使FTDv在网络中正常运行,其中包括配置将安全设备插入网络以及将其连接到互联网或其他上游路由器所需的地址.
您可以通过以下两种方式来进行系统初始配置:使用FDMWeb界面(推荐).
FDM在您的Web浏览器中运行.
使用该界面可配置、管理和监控系统.
使用命令行界面(CLI)设置向导(可选).
可以使用CLI设置向导(而不是FDM)进行初始配置,并可以使用CLI执行故障排除.
您仍然可以使用FDM来配置、管理和监控系统;请参阅(可选)"启动Firepower威胁防护CLI向导".
以下主题介绍如何使用这些界面来执行系统初始配置.
启动Firepower设备管理器在首次登录Firepower设备管理器(FDM)时,系统会通过设备设置向导指导您完成初始系统配置.
步骤1打开浏览器并登录FDM.
假定您未在CLI中进行初始配置,请在https://ip-address中打开Firepower设备管理器,其中地址为以下项之一:如果您连接到内部桥组界面:https://192.
168.
1.
1.
如果连接到管理物理接口,则地址为:https://192.
168.
45.
45.
步骤2使用用户名admin和密码Admin123登录.
使用Firepower设备管理器管理FirepowerThreatDefenseVirtual2使用Firepower设备管理器管理FirepowerThreatDefenseVirtual初始配置步骤3如果是首次登录系统,而且您未使用过CLI安装向导,系统将提示您阅读并接受"最终用户许可协议"以及更改管理员密码.
只有完成这些步骤,才能继续.
步骤4为外部接口和管理接口配置以下选项,然后单击下一步.
单击下一步后,您的设置将部署到设备中.
该接口将命名为"outside",并添加到"outside_zone"安全区.
确保您的设置正确.
注释a)外部接口-即连接到网关调制解调器或路由器的数据端口.
在初始设备设置期间,您不能选择其他外部接口.

第一个数据接口是默认的外部接口.
配置Ipv4-外部接口的Ipv4地址.
可以使用DHCP,也可以手动输入静态IP地址、子网掩码和网关.
另外,也可以选择关,不配置IPv4地址.
配置Ipv6-外部接口的Ipv6地址可以使用DHCP,也可以手动输入静态IP地址、前缀和网关.
另外,也可以选择关,不配置IPv6地址.
b)管理接口DNS服务器-系统管理地址的DNS服务器.
输入DNS服务器的一个或多个地址以解析名称.
默认值为OpenDNS公共DNS服务器.
如果您编辑字段并想要恢复默认值,请单击使用OpenDNS以重新将合适的IP地址加载到字段.
防火墙主机名-系统管理地址的主机名.
在使用设备设置向导配置Firepower威胁防御设备时,系统会为出站和入站流量提供两个默认访问规则.
您可以在完成初始配置后更改这些访问规则.
注释步骤5配置系统时间设置,然后单击下一步.
a)时区-选择系统时区.
b)NTP时间服务器-选择使用默认NTP服务器,还是手动输入NTP服务器的地址.
可以添加多个服务器来提供备份.
步骤6为系统配置智能许可证.
只有具有智能许可证帐户,才能获取和应用系统需要的许可证.
最初,可以使用为期90天的评估许可证,以后再设置智能许可.
要立即注册设备,请单击链接登录您的智能软件管理器帐户,生成新的令牌,并将该令牌复制到编辑框.

要使用评估许可证,请选择开始90天评估期(无需注册).
如需稍后注册设备并获取智能许可证,请单击菜单中的设备名称打开设备控制面板,然后单击智能许可证组中的链接.
步骤7单击完成.
下一步做什么使用Firepower设备管理器配置设备;请参阅如何在Firepower设备管理器中配置设备,第4页.
使用Firepower设备管理器管理FirepowerThreatDefenseVirtual3使用Firepower设备管理器管理FirepowerThreatDefenseVirtual启动Firepower设备管理器如何在Firepower设备管理器中配置设备完成设置向导后,您的设备应该会正常工作并应部署了下列基本策略:内部和外部接口的安全区域.
信任所有内部到外部流量的访问规则.
接口NAT规则,用于将所有内部到外部流量转换到外部接口IP地址上的唯一端口.
在内部接口或桥接组上运行的DHCP服务器.
以下步骤概述了可能需要配置的其他功能.
请单击页面上的帮助按钮(),获取有关每个步骤的详细信息.
步骤1选择设备,然后单击智能许可证组中的查看配置.
对于您想要使用的可选许可证(威胁、恶意软件、URL),单击启用.
如果在安装过程中注册设备,还可启用所需的RAVPN许可证.
如果不确定是否需要使用某个许可证,请参阅该许可证的说明.
如果尚未注册,可以从该页面执行该操作.
单击申请注册,并按照说明执行操作.
请在评估许可证到期前进行注册.
例如,如果启用了威胁许可证,则应显示如下内容:图1:已启用的威胁许可证步骤2如果配置了其他接口,请选择设备,然后单击接口组中的查看配置并配置每个接口.

可以为其他接口创建桥接组或配置单独的网络,或同时采用这两种方法.
单击每个接口的编辑图标(),定义IP地址和其他设置.
以下示例将一个接口配置为"隔离区"(DMZ),可以将可公开访问的资产(例如Web服务器)放在该区域中.
完成后单击保存.
使用Firepower设备管理器管理FirepowerThreatDefenseVirtual4使用Firepower设备管理器管理FirepowerThreatDefenseVirtual如何在Firepower设备管理器中配置设备图2:编辑接口步骤3如果已配置新接口,请选择对象,然后从目录中选择安全区域.
根据需要编辑或创建新区域.
每个接口都必须属于一个区域,因为需要根据安全区域而不是接口来配置策略.
配置接口时不能将其放在区域中,因此每当创建新接口或更改现有接口的用途之后,都必须编辑区域对象.

以下示例显示如何为DMZ接口创建一个新的DMZ区域.
图3:安全区域对象使用Firepower设备管理器管理FirepowerThreatDefenseVirtual5使用Firepower设备管理器管理FirepowerThreatDefenseVirtual如何在Firepower设备管理器中配置设备步骤4如果要让内部客户端使用DHCP从设备获取IP地址,请选择设备>系统设置>DHCP服务器,然后选择DHCP服务器选项卡.
内部接口已配置了DHCP服务器,但可以编辑地址池或甚至将其删除.
如果配置了其他内部接口,则在这些接口上设置DHCP服务器是非常典型的做法.
单击+,为每个内部接口配置服务器和地址池.
此外,您也可以在配置选项卡中对为客户端提供的WINS和DNS列表进行精细调整.
以下示例显示如何在inside2接口(地址池为192.
168.
4.
50-192.
168.
4.
240)上设置DHCP服务器.
图4:DHCP服务器步骤5选择设备,然后单击路由组中的查看配置(或创建第一个静态路由),配置默认路由.

默认路由通常指向位于外部接口之外的上游或ISP路由器.
默认的IPv4路由适用于any-ipv4(0.
0.
0.
0/0),而默认的IPv6路由适用于any-ipv6(::0/0).
为所使用的每个IP版本创建路由.
如果使用DHCP获取外部接口的地址,则可能已经拥有所需的默认路由.
此页面上定义的路由仅适用于数据接口,而不会影响管理接口.
在设备>系统设置>管理接口上设置管理网关.
注释以下示例显示IPv4的默认路由.
在此示例中,isp-gateway是用于标识ISP网关IP地址的网络对象(必须从ISP中获取地址).
可以通过单击网关下拉菜单底部的创建新网络,来创建该对象.

使用Firepower设备管理器管理FirepowerThreatDefenseVirtual6使用Firepower设备管理器管理FirepowerThreatDefenseVirtual如何在Firepower设备管理器中配置设备图5:默认路由步骤6选择策略,为网络配置安全策略.
设备安装向导设置允许内部区域与外部区域之间存在流量流动,并对所有接口上流向外部接口的流量启用网络地址转换(NAT).
即使配置了新接口,如果将其添加到内部区域对象中,访问控制规则也将自动应用于这些接口.

但是,如果有多个内部接口,则需要一条访问控制规则来允许内部区域之间的流量.
如要添加其他安全区域,则需要规则来允许这些区域之间的流量.
这是您需要进行的最低限度的更改.

此外,您还可配置其他策略以提供附加服务,并对NAT和访问规则进行精细调整,以实现组织需要的结果.
您可以配置以下策略:SSL解密-如果要检查加密连接(例如HTTPS)是否存在入侵、恶意软件等,则必须解密连接.
使用SSL解密策略确定需要解密的连接.
系统检查连接后,会将其重新加密.
身份-如果要将网络活动与各个用户相关联,或根据用户或用户组成员身份控制网络访问,请使用身份策略确定与给定源IP地址关联的用户.
安全情报-使用安全情报策略快速丢弃进出列入黑名单的IP地址或URL的连接.
将已知恶意站点列入黑名单后,在访问控制策略中即可无需考虑这些站点.
思科提供定期更新的已知恶意地址和URL源,可使安全情报黑名单实现动态更新.
使用情报源,无需通过编辑策略来添加或删除黑名单中的项目.