Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
4
ASA FirePOWER 관리 액세스
ASA FirePOWER 모듈 관리를 위한 서로 다른 2가지 액세스 계층이 있습니다. 초기 구성(및 후속 문제 해결)과 정책 관리입니다.
초기 구성에서는 ASA FirePOWER 모듈에서 CLI를 사용해야 합니다. 다음 방법으로 CLI에 액세스할 수 있습니다.
•
ASA 5585-X(하드웨어 모듈):
–
ASA FirePOWER 콘솔 포트 - 모듈의 콘솔 포트는 별도의 외부 콘솔 포트입니다.
–
ASA FirePOWER Management 1/0 인터페이스(SSH 사용)—기본 IP 주소(192.168.45.45/24)에 연결하거나 ASDM을 사
용하여 관리 IP 주소를 변경한 다음 SSH를 사용하여 연결할 수 있습니다. 모듈의 관리 인터페이스는 별도의 외부 기가
비트 이더넷 인터페이스입니다.
용하여 관리 IP 주소를 변경한 다음 SSH를 사용하여 연결할 수 있습니다. 모듈의 관리 인터페이스는 별도의 외부 기가
비트 이더넷 인터페이스입니다.
참고
세션 명령을 사용하여 ASA 백플레인을 통해 ASA FirePOWER 하드웨어 모듈 CLI에 액세스할 수 없습니다.
•
기타 모든 모델(소프트웨어 모듈):
–
백플레인을 통한 ASA 세션— CLI를 통해 ASA에 액세스 가능한 경우 모듈에 대한 세션을 시작하고 모듈 CLI에 액세스
할 수 있습니다.
할 수 있습니다.
–
ASA FirePOWER Management 0/0 인터페이스(SSH 사용)—기본 IP 주소(192.168.45.45/24)에 연결하거나 ASDM을 사
용하여 관리 IP 주소를 변경한 다음 SSH를 사용하여 연결할 수 있습니다. ASA FirePOWER 관리 인터페이스는 ASA와
관리 인터페이스를 공유합니다. ASA 및 ASA FirePOWER 모듈을 위해 별도의 MAC 주소와 IP 주소가 지원됩니다. ASA
FirePOWER IP 주소의 구성을 ASA FirePOWER 운영 체제에서 (CLI 또는 ASDM을 사용하여) 수행해야 합니다. 그러
나 물리적 특성(예: 인터페이스 활성화)은 ASA에서 구성됩니다. ASA 인터페이스 구성(즉 인터페이스 이름)을 제거하여
이 인터페이스를 ASA FirePOWER 전용 인터페이스로 만들 수 있습니다. 이 인터페이스는 관리 전용입니다.
용하여 관리 IP 주소를 변경한 다음 SSH를 사용하여 연결할 수 있습니다. ASA FirePOWER 관리 인터페이스는 ASA와
관리 인터페이스를 공유합니다. ASA 및 ASA FirePOWER 모듈을 위해 별도의 MAC 주소와 IP 주소가 지원됩니다. ASA
FirePOWER IP 주소의 구성을 ASA FirePOWER 운영 체제에서 (CLI 또는 ASDM을 사용하여) 수행해야 합니다. 그러
나 물리적 특성(예: 인터페이스 활성화)은 ASA에서 구성됩니다. ASA 인터페이스 구성(즉 인터페이스 이름)을 제거하여
이 인터페이스를 ASA FirePOWER 전용 인터페이스로 만들 수 있습니다. 이 인터페이스는 관리 전용입니다.
초기 구성을 수행한 다음 FireSIGHT Management Center을 사용하여 ASA FirePOWER 보안 정책을 구성합니다. 그런 다음 CLI,
ASDM 또는 Cisco Security Manager를 사용하여 ASA FirePOWER 모듈에 트래픽을 보내기 위한 ASA 정책을 구성합니다.
ASDM 또는 Cisco Security Manager를 사용하여 ASA FirePOWER 모듈에 트래픽을 보내기 위한 ASA 정책을 구성합니다.
ASA 기능과의 호환성
ASA에는 HTTP 검사를 비롯한 여러 고급 애플리케이션 검사 기능이 포함되어 있습니다. 그러나 ASA FirePOWER 모듈은 ASA보
다 다양한 고급 HTTP 검사 기능을 제공하고 다른 애플리케이션을 위한 추가 기능(예: 애플리케이션 사용량 모니터링 및 제어)도 제
공합니다.
다 다양한 고급 HTTP 검사 기능을 제공하고 다른 애플리케이션을 위한 추가 기능(예: 애플리케이션 사용량 모니터링 및 제어)도 제
공합니다.
ASA FirePOWER 모듈 기능을 십분 활용하려면 ASA FirePOWER 모듈에 보내는 트래픽에 대한 다음 지침을 참조하십시오.
•
HTTP 트래픽에 대해서는 ASA 검사를 구성하지 마십시오.
•
Cloud Web Security(ScanSafe) 검사를 구성하지 마십시오. 동일 트래픽에 대해 ASA FirePOWER 검사와 Cloud Web Security
검사를 모두 구성할 경우 ASA에서는 ASA FirePOWER 검사만 수행합니다.
검사를 모두 구성할 경우 ASA에서는 ASA FirePOWER 검사만 수행합니다.
•
기본 검사를 비롯하여 ASA의 다른 애플리케이션 검사는 ASA FirePOWER 모듈에서 지원됩니다.
•
MUS(Mobile User Security) 서버를 사용하지 마십시오. ASA FirePOWER 모듈과 함께 사용할 수 없습니다.
2
ASA FirePOWER를 위한 지침
장애 조치 지침
직접적으로 장애 조치를 지원하지 않습니다. ASA 장애 조치 상황에서는 기존의 모든 ASA FirePOWER 흐름이 새로운 ASA로 전
송됩니다. 새로운 ASA의 ASA FirePOWER 모듈이 그 시점부터 트래픽 검사를 시작합니다. 기존 검사 상태는 전송되지 않습니다.
고가용성 ASA 페어의 ASA FirePOWER 모듈에서 일관된 정책을 유지하여(FireSIGHT Management Center 사용) 일관성 있는
장애 조치 동작을 보장해야 합니다.
송됩니다. 새로운 ASA의 ASA FirePOWER 모듈이 그 시점부터 트래픽 검사를 시작합니다. 기존 검사 상태는 전송되지 않습니다.
고가용성 ASA 페어의 ASA FirePOWER 모듈에서 일관된 정책을 유지하여(FireSIGHT Management Center 사용) 일관성 있는
장애 조치 동작을 보장해야 합니다.
ASA 클러스터링 지침
직접적으로 클러스터링을 지원하지 않지만, 클러스터에서 이 모듈을 사용할 수 있습니다. 클러스터의 ASA FirePOWER 모듈에
서 FireSIGHT Management Center를 사용하여 일관된 정책을 유지해야 합니다. 클러스터에 속한 디바이스에 대해 다른 ASA-
인터페이스 기반 영역 정의를 사용하지 마십시오.
서 FireSIGHT Management Center를 사용하여 일관된 정책을 유지해야 합니다. 클러스터에 속한 디바이스에 대해 다른 ASA-
인터페이스 기반 영역 정의를 사용하지 마십시오.