آموزش نصب و راه‌اندازی اولیه Cisco Firepower Threat Defense (FTD)

آموزش گام‌به‌گام نصب و راه‌اندازی اولیه Cisco Firepower Threat Defense شامل ثبت در FMC، تنظیم اینترفیس‌ها، NAT و ایجاد Access Control Policy

اگر قرار است Cisco Firepower Threat Defense را در یک شبکه سازمانی راه‌اندازی کنید، باید بدانید با یک فایروال ساده طرف نیستید. FTD ترکیبی از قابلیت‌های Stateful Firewall، IPS، URL Filtering، Malware Protection و کنترل اپلیکیشن است که در قالب یک سیستم یکپارچه ارائه می‌شود. همین یکپارچگی باعث می‌شود فرآیند نصب و راه‌اندازی اولیه آن نسبت به ASA کلاسیک پیچیده‌تر اما در عوض بسیار ساختاریافته‌تر باشد.

در این مقاله، نصب و راه‌اندازی اولیه Cisco FTD را از مرحله روشن کردن دستگاه تا ایجاد اولین Access Control Policy به صورت عملی و پروژه‌محور بررسی می‌کنیم. تمرکز ما روی سناریویی است که FTD توسط Firepower Management Center مدیریت می‌شود، چون در محیط‌های سازمانی این روش رایج‌تر و حرفه‌ای‌تر است.

آشنایی سریع با معماری FTD

برای اینکه نصب و راه‌اندازی FTD را درست انجام دهید، باید معماری آن را دقیق درک کنید. FTD فقط یک فایروال لایه 3 و 4 نیست، بلکه یک پلتفرم امنیتی چندلایه است که چند موتور مختلف را در یک سیستم‌عامل یکپارچه ترکیب کرده است. درک این لایه‌ها باعث می‌شود هنگام طراحی Policy یا عیب‌یابی، بدانید هر تصمیم در کدام بخش گرفته می‌شود.

در قلب FTD، موتور تحلیل ترافیک Snort قرار دارد. این موتور مسئول بازرسی عمیق بسته‌ها یا Deep Packet Inspection است و قابلیت‌هایی مانند Intrusion Prevention System، شناسایی الگوهای حمله، و تحلیل رفتار ترافیک را ارائه می‌دهد. اما Snort به تنهایی تصمیم نهایی برای عبور یا مسدودسازی ترافیک نمی‌گیرد. تصمیم نهایی در لایه Access Control گرفته می‌شود که ترکیبی از Zone، Network Object، Application، User Identity و Intrusion Policy را بررسی می‌کند.

از نظر منطقی، معماری FTD را می‌توان به دو بخش اصلی تقسیم کرد: Control Plane و Data Plane. Data Plane جایی است که ترافیک واقعی کاربران عبور می‌کند و شامل اینترفیس‌های فیزیکی، Zoneها، NAT Engine و موتور Snort است. Control Plane شامل مدیریت، مانیتورینگ، Policy Definition و Deploy می‌شود که معمولاً از طریق Firepower Management Center انجام می‌گیرد. این تفکیک اهمیت زیادی دارد چون ممکن است Policy در FMC تغییر کند اما تا زمانی که Deploy انجام نشود، در Data Plane اعمال نمی‌شود.

در FTD، اینترفیس‌ها در Zoneها گروه‌بندی می‌شوند. برخلاف ASA کلاسیک که اغلب بر اساس نام اینترفیس قانون می‌نویسید، در FTD تمرکز روی Zone است. این طراحی باعث می‌شود اگر در آینده اینترفیس جدیدی اضافه شود، فقط آن را به Zone موجود متصل کنید و نیازی به بازنویسی کامل Policy نداشته باشید. این موضوع در محیط‌هایی با چندین لینک WAN یا چندین VLAN داخلی اهمیت زیادی دارد.

یکی دیگر از اجزای مهم معماری FTD، لایه Identity است. FTD می‌تواند با Active Directory یکپارچه شود و ترافیک را نه فقط بر اساس IP بلکه بر اساس کاربر یا گروه کاربری تحلیل کند. این یعنی Access Control می‌تواند ترکیبی از شبکه، کاربر و اپلیکیشن باشد. چنین قابلیتی در طراحی‌های Zero Trust یا شبکه‌های سازمانی بزرگ بسیار ارزشمند است.

در سطح پردازش ترافیک، ترتیب منطقی به این شکل است که ابتدا NAT اعمال می‌شود، سپس Access Control Rule تطبیق داده می‌شود، و در صورت فعال بودن، Intrusion Policy و سایر بازرسی‌ها اجرا می‌شوند. اگر ترافیک از همه این مراحل عبور کند، اجازه خروج داده می‌شود و یک Connection در جدول Session ایجاد می‌شود. این رفتار stateful مشابه ASA است، اما با این تفاوت که لایه‌های تحلیل بیشتری در مسیر قرار دارند.

از نظر استقرار، FTD می‌تواند روی سخت‌افزار فیزیکی سری 1000، 2100، 4100 و 9300 اجرا شود یا به صورت مجازی روی پلتفرم‌هایی مانند VMware پیاده‌سازی شود. در هر دو حالت، منطق معماری یکسان است اما ظرفیت پردازشی و تعداد Sessionهای همزمان به مدل سخت‌افزاری وابسته است. بنابراین هنگام طراحی اولیه باید بدانید چه میزان ترافیک، چه تعداد کاربر و چه Featureهایی فعال خواهند بود تا دستگاه دچار Bottleneck نشود.

سناریوی راه‌اندازی اولیه

برای اینکه فرآیند نصب و راه‌اندازی اولیه FTD صرفاً یک لیست از دستورات نباشد، بهتر است آن را در قالب یک سناریوی واقعی ببینیم. فرض کنید یک سازمان متوسط با حدود 150 کاربر دارید که تاکنون از یک روتر ساده برای اتصال به اینترنت استفاده می‌کرده و حالا تصمیم گرفته یک فایروال نسل جدید در مرز شبکه مستقر کند. هدف این است که اینترنت کاربران از طریق FTD عبور کند، لاگ‌گیری متمرکز انجام شود، و در آینده قابلیت‌هایی مانند IPS و کنترل اپلیکیشن نیز فعال شوند.

در این سناریو، یک دستگاه FTD فیزیکی در لبه شبکه قرار می‌گیرد. پشت آن یک سوئیچ Core وجود دارد که VLAN کاربران روی آن تعریف شده است. یک لینک اینترنت از ISP دریافت شده که شامل یک IP عمومی برای اینترفیس خارج و یک رنج کوچک برای NAT یا Publish سرویس‌ها است. همچنین در شبکه داخلی یک سرور برای Firepower Management Center وجود دارد که در VLAN مدیریت قرار گرفته است.

اولین تصمیم مهم در این سناریو طراحی منطقی Zoneهاست. حداقل به سه Zone نیاز داریم. یکی برای inside که کاربران در آن قرار دارند، یکی برای outside که به ISP متصل است، و یکی برای management که ارتباط با FMC از طریق آن انجام می‌شود. اگر از ابتدا Zoneها به درستی طراحی نشوند، در آینده هنگام افزودن DMZ یا لینک دوم اینترنت مجبور به بازنویسی بخش زیادی از Policy خواهید شد.

مرحله بعدی تعیین محل قرارگیری فیزیکی FTD است. در بسیاری از پروژه‌ها FTD به صورت Inline بین Core و روتر ISP قرار می‌گیرد. یعنی ترافیک کاربران قبل از رسیدن به روتر، از FTD عبور می‌کند. در برخی سناریوها نیز FTD جایگزین مستقیم روتر مرزی می‌شود و خودش وظیفه Routing را انجام می‌دهد. انتخاب بین این دو روش به طراحی شبکه و قابلیت‌های مورد نیاز بستگی دارد. اگر قرار است FTD نقش Default Gateway کاربران را داشته باشد، باید Routing داخلی نیز روی آن تنظیم شود.

در راه‌اندازی اولیه، هدف این نیست که تمام قابلیت‌های امنیتی فعال شود. بلکه باید یک مسیر پایدار برای عبور ترافیک ایجاد کنیم. بنابراین در سناریو ابتدا اینترفیس outside با IP عمومی تنظیم می‌شود و Default Route به سمت ISP تعریف می‌شود. سپس اینترفیس inside با IP داخلی که Gateway کاربران خواهد بود پیکربندی می‌شود. بعد از آن NAT پایه تعریف می‌شود تا کاربران بتوانند با Dynamic PAT به اینترنت دسترسی داشته باشند.

در این مرحله هنوز هیچ Policy پیچیده‌ای تعریف نشده است. یک Access Control Rule ساده ایجاد می‌کنیم که ترافیک از Zone inside به Zone outside را Allow کند. اما حتی در همین قانون ساده نیز بهتر است Logging فعال باشد تا بتوانیم رفتار ترافیک را ببینیم. بعد از Deploy، از یک کلاینت داخلی تست می‌گیریم و اطمینان حاصل می‌کنیم که DNS و HTTP و HTTPS به درستی کار می‌کنند.

در یک پروژه واقعی، این تست اولیه بسیار حیاتی است. اگر بدون تست مرحله‌ای، تمام کاربران را به FTD منتقل کنید و بعد متوجه شوید NAT یا Route اشتباه است، کل سازمان با قطعی اینترنت مواجه خواهد شد. بهترین روش این است که ابتدا یک VLAN آزمایشی یا چند کاربر محدود را از طریق FTD عبور دهید و رفتار سیستم را مانیتور کنید.

مرحله اول: اتصال فیزیکی و دسترسی به کنسول

پس از نصب دستگاه در رک و اتصال برق، کابل کنسول را به لپ‌تاپ متصل می‌کنیم و با نرم‌افزارهایی مانند PuTTY یا SecureCRT به دستگاه وصل می‌شویم. تنظیمات معمول سریال 9600 8N1 است مگر اینکه مدل خاصی متفاوت باشد.

در اولین بوت، سیستم از شما اطلاعات اولیه مانند IP مدیریت، subnet mask، gateway و DNS را می‌پرسد. این IP باید در شبکه‌ای باشد که FMC نیز به آن دسترسی دارد. برای مثال:

Management IP: 10.10.10.20
Netmask: 255.255.255.0
Gateway: 10.10.10.1
DNS: 8.8.8.8

پس از تکمیل این مرحله، می‌توانید از طریق HTTPS به آدرس مدیریت متصل شوید یا ادامه تنظیمات را از CLI انجام دهید.

مرحله دوم: ثبت FTD در Firepower Management Center

برای اینکه FMC بتواند FTD را مدیریت کند، باید دستگاه را Register کنیم. ابتدا در FMC وارد بخش Devices شوید و گزینه Add Device را انتخاب کنید. در اینجا IP مدیریت FTD و یک Registration Key دلخواه وارد می‌کنید.

سپس در CLI دستگاه FTD دستور زیر را اجرا می‌کنید:

configure manager add 10.10.10.10 REGKEY123

در این دستور، 10.10.10.10 آدرس FMC و REGKEY123 همان کلیدی است که در FMC تعریف کرده‌اید. اگر ارتباط شبکه درست باشد، دستگاه پس از چند دقیقه در FMC به وضعیت Registered تغییر می‌کند.

یکی از خطاهای رایج در این مرحله، مشکل DNS یا NTP است. اگر زمان دستگاه و FMC همگام نباشد، گاهی فرآیند ثبت با خطا مواجه می‌شود. همیشه NTP را در هر دو سمت بررسی کنید.

مرحله سوم: تنظیم اینترفیس‌های دیتاپلین

پس از ثبت موفق، از طریق FMC وارد بخش Device Management می‌شویم و اینترفیس‌های FTD را تنظیم می‌کنیم. معمولاً اینترفیس‌ها به صورت پیش‌فرض Shutdown هستند و باید Enable شوند.

برای مثال اینترفیس GigabitEthernet1/1 را به عنوان outside و GigabitEthernet1/2 را به عنوان inside تنظیم می‌کنیم. روی outside IP عمومی از ISP و روی inside IP داخلی مانند 192.168.1.1 قرار می‌دهیم. سپس هر اینترفیس را در یک Zone قرار می‌دهیم. تعریف Zone اهمیت زیادی دارد چون در Access Control Policy بر اساس Zoneها قانون می‌نویسیم نه صرفاً اینترفیس‌ها.

پس از اعمال تغییرات، باید Deploy انجام شود تا تنظیمات روی دستگاه اعمال گردد.

مرحله چهارم: تعریف NAT Policy پایه

بدون NAT، کاربران داخلی نمی‌توانند به اینترنت دسترسی داشته باشند. در FMC به بخش NAT Policies می‌رویم و یک Policy جدید ایجاد می‌کنیم. سپس یک قانون Dynamic PAT تعریف می‌کنیم که ترافیک از inside به outside با IP اینترفیس outside ترجمه شود.

Source Zone را inside و Destination Zone را outside قرار می‌دهیم. Source Network را شبکه داخلی و ترجمه را Dynamic PAT روی Interface Address تنظیم می‌کنیم. بعد از ذخیره، Deploy را انجام می‌دهیم.

در پروژه‌های واقعی اگر NAT درست تنظیم نشود، حتی اگر Access Policy صحیح باشد، کاربران اینترنت نخواهند داشت. همیشه بعد از Deploy NAT، با تست عملی یا ابزارهای مانیتورینگ صحت آن را بررسی کنید.

مرحله پنجم: ایجاد Access Control Policy اولیه

اکنون باید یک Access Control Policy تعریف کنیم. وارد بخش Policies شده و Access Control را انتخاب می‌کنیم. یک Policy جدید ایجاد می‌کنیم و آن را به دستگاه FTD اعمال می‌کنیم.

در داخل Policy یک قانون جدید اضافه می‌کنیم که ترافیک از Zone داخل به Zone خارج را Allow کند. در این مرحله می‌توانیم صرفاً برای شروع همه ترافیک را Allow کنیم، اما در محیط حرفه‌ای بهتر است فقط سرویس‌های مشخص مانند HTTP، HTTPS و DNS مجاز شوند.

همچنین می‌توانیم در همین قانون، Intrusion Policy را فعال کنیم تا ترافیک از نظر تهدیدات بررسی شود. این یکی از تفاوت‌های کلیدی FTD با ASA کلاسیک است که لایه امنیتی عمیق‌تری ارائه می‌دهد.

در انتهای لیست قوانین، Default Action معمولاً Block است. این یعنی هر ترافیکی که با قوانین بالا match نشود، مسدود می‌شود.

پس از ذخیره Policy، Deploy را انجام می‌دهیم.

مرحله ششم: تست و عیب‌یابی اولیه

بعد از Deploy، باید از یک کلاینت داخلی تست بگیریم. اگر اینترنت برقرار نبود، چند نکته را بررسی کنید. ابتدا NAT Policy را چک کنید. سپس Access Control Policy و ترتیب قوانین را بررسی کنید. در FMC بخش Analysis و سپس Connections می‌تواند نشان دهد ترافیک مجاز بوده یا Block شده است.

همچنین بخش Intrusion Events نشان می‌دهد آیا ترافیک به دلیل IPS مسدود شده است یا خیر. در بسیاری از موارد، مشکل از ترتیب قوانین یا عدم تطابق Zoneها ناشی می‌شود.

نکات عملی در پروژه‌های واقعی

در محیط عملیاتی، توصیه می‌شود از همان ابتدا NTP و DNS را به درستی تنظیم کنید. بدون زمان دقیق، لاگ‌ها قابل اعتماد نخواهند بود. همچنین بهتر است قبل از انتقال کامل ترافیک سازمان به FTD، یک دوره تست با بخشی از کاربران انجام دهید.

فعال‌سازی بیش از حد Featureها بدون بررسی ظرفیت سخت‌افزار نیز می‌تواند باعث افزایش latency شود. همیشه Load و CPU دستگاه را بعد از Deploy Policyهای سنگین بررسی کنید.

جمع‌بندی

راه‌اندازی اولیه Cisco Firepower Threat Defense فقط روشن کردن دستگاه و نوشتن یک قانون Allow نیست. این فرآیند شامل ثبت صحیح در FMC، طراحی Zoneها، تعریف NAT، ساخت Access Control Policy و در نهایت Deploy و تست دقیق است. اگر این مراحل با درک معماری FTD انجام شود، پایه‌ای پایدار برای پیاده‌سازی قابلیت‌های پیشرفته‌تر مانند IPS، URL Filtering و کنترل اپلیکیشن ایجاد خواهد شد.

در پروژه‌های سازمانی، کیفیت راه‌اندازی اولیه تعیین می‌کند که در آینده با یک زیرساخت پایدار و قابل توسعه روبه‌رو هستید یا با سیستمی که هر تغییر کوچک در آن باعث اختلال می‌شود. بنابراین نصب اولیه را صرفاً یک کار ابتدایی نبینید، بلکه آن را به عنوان مرحله طراحی بنیادین در نظر بگیرید.

امتیاز
تصویر وینو سرور

وینو سرور

وینو سرور، اولین استارتاپ ارائه تجهیزات و سیستم های سخت افزاری، به صورت مستقیم از تولید کننده به مصرف کننده است. همواره تلاش مجموعه بر این اصل استوار بوده است تا مشتریان بتوانند بهترین سیستم را برای پروژه خود انتخاب کرده و با مناسب‌ترین قیمت، آن را تهیه کنند. تیم وینو سرور، همواره سعی می‌کند تا جامع‌ترین خدمات را به مشتریان ارائه دهد تا خرید را برای شما به کاری لذت‌بخش و آسان تبدیل کند.

پست ها

مطلع شدن از پست های جدید

می‌خواهم اولین نفری باشم که از مقاله‌هایی که در وینو سرور منتشر می‌شود، آگاه شوم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لوگو وینو سرور
×
نمودار قیمت
آخرین قیمت:
تومان
در حال آماده‌سازی...