
อุปกรณ์ที่ทำหน้าที่ในการรักษาความปลอดภัยระหว่างเครือข่าย 2 ฝั่งที่มาชนกันคือไฟร์วอลล์ เพื่อให้เราสามารถทำนโยบายในการอนุญาต หรือปฎิเสธการเข้าถึงเครือข่ายระหว่างกันได้ ที่ผ่านมาได้มีหลายบทความได้พูดถึงการคอนฟิกอุปกรณ์ของ Cisco ไปแล้วนะครับ สามารถเข้าไปติดตามบทความเหล่านั้นได้
การติดตั้งอุปกรณ์ Cisco Firepower นั้นมีอยู่ด้วยกัน 2 รูปแบบคือ
1.Off Box หรือรูปแบบการใช้ FMC (Firpower Management Center) ในการติดตั้งและ Deploy Configuration ทั้งหมดลงสู่อุปกรณ์ Firepower Appliance จะพูดอีกมุมหนึ่งก็คือ ไม่ได้คอนฟิกหรือบริหารจัดการบนตัว Firepower ด้วยตัวมันเอง แต่ใช้ Software ข้างนอกในการช่วยติดตั้งอุปกรณ์
2.On Box หรือ FDM (Firepower Device Manager) เป็น Software ที่ถูกติดตั้งอยู่ใน Firepower ที่เราซื้อมาเลยครับ จะคล้าย ๆ กับการติดตั้งอุปกรณ์ไฟร์วอลล์ของ Cisco เมื่อก่อนคือ Cisco ASA ซึ่งมี ASDM Software อยู่ภายในนั่นเองครับ
การติดตั้งโดยใช้ FDM จะช่วยในกรณีที่ ภายในองค์กรนั้น ๆ ไม่มีทรัพยากรที่เป็น Hypervisor ให้สามารถลง Virtual Machine ตัว FMC ได้ ดังนั้นการที่เราสามารถติดตั้งด้วย FDM ก็สามารถทำได้เลย แต่ต้องบอกว่า Feature ต่าง ๆ จะค่อนข้างน้อยกว่าการติดตั้งและ Deploy มาจาก FMC มากเลยทีเดียวครับ
บทความนี้จึงกล่าวถึง Basic FDM Configuration หรือการเริ่มต้น Initial Firepower เพื่อให้สามารถใช้งานอุปกรณ์ได้ เราเริ่มไปดูแต่ละขั้นตอนกันเลยนะครับ โดยตัวอย่างด้านล่างนี้จะใช้ Firepower ISA-3000-4C-X ที่เป็นรุ่น Industial Grade มาเป็นตัวอย่างนะครับ
1. ต่อสาย UTP จากพอร์ต MGMT หรือ Management บน Firewall เข้ามายัง Laptop ของเราเพื่อจะทำการติดตั้งค่าเบื้องต้นต่าง ๆ ได้ โดย Cisco ISA3000 หรือ Cisco Firepower อื่น ๆ และจะมีค่า Default IP Address เป็น 192.168.45.45 หรือใน FTD Version ใหม่ ให้เราลองต่อสายและรอรับ DHCP จากทาง Firewall และสังเกตว่า Gateway เป็น IP Address อะไร เราก็จะใช้ IP นั้นเข้าไปบริหารจัดการผ่านทางเว็บบราวเซอร์ได้ จากภาพด้านล่างเราจะเห็นว่าเมื่อเข้ามาใน GUI แล้ว จะเห็นหน้าตาของ FTD ให้ทำการกดปุ่ม Next เพื่อจะติดตั้งในลำดับต่อไป
2. ติดตั้งค่า NTP และ Timezone สำหรับอุปกรณ์ Firewall เมื่อเสร็จแล้วให้ทำการกดปุ่ม Next
3. เลือก Continue with evaluation period ซึ่งเราจะได้ Subscription ต่าง ๆ 90 วันเป็น Trial แต่หากเราต้องการจะ Sync ไปยัง Smart Account เลยก็เลือก Register ในอีกหัวข้อหนึ่งได้เลยครับ เมื่อเลือกเสร็จเรียบร้อยแล้วให้กดปุ่ม Finish
4. เมื่อทำการ Initial เบื้องต้นแล้ว จะมีหน้าจอ Pop-up แจ้งว่าอุปกรณ์พร้อมที่จะถูกติดตั้งเพิ่มเติมแล้ว ให้กด x เพื่อปิดหน้าต่างนี้ไป
5. ทำการ Configure Interface โดยการเลือกไปยัง Interface>View All Interfaces ตามค่าเริ่มต้น Gigabit1/1 คืออินเทอร์เฟซภายนอก และ Gigabit1/2, 1/3 และ 1/4 เป็นส่วนหนึ่งของ BVI 1 ซึ่งถูกกำหนดให้เป็นอินเทอร์เฟซภายใน ในตัวอย่างนี้เราต้องการใช้อินเทอร์เฟซสองแบบเท่านั้น: Gigabit1/1 และ Gigabit1/2 เป็นภายนอกและ อินเทอร์เฟซภายในตามลำดับ ดังนั้นเราจำเป็นต้องเปลี่ยนชื่อของอินเทอร์เฟซ BVI 1 เป็นชื่ออื่น ซึ่งจะทำในขั้นตอนถัดไป
6. เลือกไปยังเมนู Bridge Group
7. เลือก Drop Down ชื่อ BVI1
8. ทำการ Edit โดยการกดไปยังตัวสัญลักษณ์รูปดินสอด้านขวาบน
9. เปลี่ยนชื่อ Bridge Group Interface จาก inside เป็น inside_bvi
10. เลือกไปยังเครื่องหมาย + และทำการเลือก Gigabit 1/3 และ 1/4 เป็นสมาชิกของ inside_bvi เมื่อเสร็จแล้วกดปุ่ม OK และ OK อีกครั้งในหน้าต่างของ Edit Bridge Group Interface
11. เมื่อเสร็จแล้วให้คลิกไปยังเมนู Interfaces เพื่อกลับไปหน้ารายละเอียดของอินเตอร์เฟสทั้งหมดของ Firewall ISA3000
12. สังเกตเห็นว่าภายใน BridgeGroupMember มีเฉพาะ Gigabit1/3 และ Gigabit1/4 โดย Gigabit1/2 แยกออกไปเป็น Routed Port ให้ทำการกดไปที่ไอคอนรูปดินสอด้านขวามือของ Gigabit1/1
13. แก้ไข Type ของ IPv4 Address จาก DHCP เป็น Static เพื่อทำการ fix ไอพีให้กับขา Gigabit1/1 ในการทำหน้าที่เป็นขา outside
– ภาพด้านล่างเป็นการป้อน IP Address ให้กับขา Outside
14. คลิกไปยังไอคอนรูปดินสอของ Gigabit1/2 เพื่อป้อนค่า IP Address
– ภาพด้านล่างเป็นการป้อน IP Address ให้กับขา Inside
15. คลิกไปยังเมนู Policies เพื่อทำการกำหนด Policies ต่าง ๆ ไม่ว่าจะเป็น NAT หรือ Access Control
16. คลิกไปยังเมนู NAT เพื่ออนุญาตให้ Private IP จากด้านในขา Inside สามารถออกอินเตอร์เน็ตผ่านขา Outside ได้
17. คลิกไปยัง Access Control เพื่อทำการกำหนดค่า Rule ในการอนุญาต หรือดร็อป Traffic ต่าง ๆ เมื่อเข้ามาแล้วกดไปยังปุ่ม Create Access Rule
18. ใส่ชื่อ Access Rule ที่ต้องการ ตามตัวอย่างนี้จะ Allow All Traffic ออกไปก่อน
19. กำหนดค่า Logging ให้ Log ตั้งแต่เริ่ม และจบ Connection เพื่อจะได้เห็น Traffic ตั้งแต่เริ่มเข้ามาจนจบ
20. เมื่อทำ Access Rule เสร็จเรียบร้อยแล้ว ให้กดปุ่ม Deploy ที่อยู่ด้านบนไปยังอุปกรณ์ Firewall ของเรา
– ตามภาพด้านล่างนี้ จะเห็นสรุปก่อนที่จะ Deploy โดยระบบจะแจ้งว่ามีอะไรที่การเปลี่ยนแปลงบ้าง เมื่อเราตรวจสอบเรียบร้อยแล้วว่าถูกต้อง ให้ทำการกดปุ่ม Deploy Now เพื่อทำการ Deploy Configuration ทั้งหมดลงไปนั่นเองครับ
นี่เป็นอีก 1 ตัวอย่างในการติดตั้ง Cisco Firewall แบบ Onbox ซึ่งใช้ FDM ในการคอนฟิก ซึ่งทำได้ง่ายและสะดวกสำหรับคนที่ไม่เคยใช้งาน FMC มาก่อน หากมาใช้งาน FDM ผมคิดว่าเมนูไม่เยอะมาก และค่อนข้าง Friendly เลยทีเดียวครับ ลองไปฝึกใน Lab กันได้ครับ หรืออาจจะนำไปใช้งานในกรณีที่ไม่ได้ใช้ FMC นะครับ ไว้เจอกันใหม่ในหมวดของ Security ฉบับหน้าด้วยกันนะครับ
ที่มา: Cisco dCloud
#Cisco #AbleNet #Firewall #Firepower #FMC #FTD #FDM