Cisco Cisco ASA 5585-X with No Payload Encryption Guía De Instalación

ASA FirePOWER 管理访问

共有两个用于管理 ASA FirePOWER 模块的单独访问层：初始配置（以及后续的故障排除）和策略管理。
进行初始配置时，您必须使用 ASA FirePOWER 模块的 CLI。要访问 CLI，您可以使用以下方法：

•

ASA 5585-X （硬件模块）：

–

ASA FirePOWER 控制台端口 - 模块上的控制台端口是一个单独的外部控制台端口。

–

使用 SSH 的 ASA FirePOWER 管理 1/0 接口 - 您可以连接至默认的 IP 地址 (192.168.45.45/24)，也可以在使用 ASDM
更改管理 IP 地址后使用 SSH 进行连接。模块上的管理接口是一个单独的外部千兆位以太网接口。

注

您无法使用 session 命令来访问 ASA 背板上的 ASA FirePOWER 硬件模块 CLI。

•

所有其他型号（软件模块）︰

–

背板上的 ASA 会话 — 如果您有权通过 CLI 访问 ASA，则可以与模块会话并访问模块 CLI。

–

使用 SSH 的 ASA FirePOWER 管理 0/0 接口 - 您可以连接至默认的 IP 地址 (192.168.45.45/24)，也可以在使用 ASDM
更改管理 IP 地址后使用 SSH 进行连接。ASA FirePOWER 管理接口与 ASA 共用管理接口。ASA 和 ASA FirePOWER
模块支持单独的 MAC 地址和 IP 地址。您必须在 ASA FirePOWER 操作系统内（使用 CLI 或 ASDM）配置 ASA
FirePOWER IP 地址。但是，物理特性（例如启用接口）在 ASA 配置。您可以移除 ASA 接口配置（尤其是接口名
称），将此接口指定为一个 ASA FirePOWER 接口。此接口仅用于管理。

完成初始配置后，请使用 FireSIGHT 管理中心 ASA FirePOWER 配置安全策略。然后，配置 ASA 策略，以使用 CLI、 ASDM
或 Cisco Security Manager 将流量发送至 ASA FirePOWER 模块。

与 ASA 功能的兼容性

ASA 带有诸多高级应用检查功能，其中包括 HTTP 检查。但是，ASA FirePOWER 模块比ASA 提供了更高级的 HTTP 检查，以
及适用于其他应用的其他功能，包括监测和控制应用的使用情况。

要充分利用 ASA FirePOWER 模块的功能，请按照以下原则处理发送至 ASA FirePOWER 模块的流量：

•

请勿对 HTTP 流量配置 ASA 检查。

•

请勿配置云网络安全 (ScanSafe) 检查。如果对同一流量同时配置 ASA FirePOWER 检查和云网络安全检查， ASA 只执行
ASA FirePOWER 检查。

•

ASA 的其他应用检查（包括默认检查）与 ASA FirePOWER 模块兼容。

•

请勿启用移动用户安全 (MUS) 服务器；此服务器与 ASA FirePOWER 模块不兼容。

ASA FirePOWER 指导原则

故障转移指导原则

不直接支持故障转移；在 ASA 进行故障转移时，所有现有 ASA FirePOWER 流量会被传输到新 ASA。新 ASA 的 ASA
FirePOWER 模块开始从该点向前检查流量；不会传输旧的检查状态。

您需将高可用性 ASA 对中 ASA FirePOWER 模块上的策略保持一致（使用 FireSIGHT 管理中心），确保故障转移行为的一
致性。

ASA 集群指导原则

不支持直接集群，但可在集群中使用这些模块。您需使用 FireSIGHT 管理中心将集群内 ASA FirePOWER 模块上的策略保持一
致。请勿对集群内设备使用不同的基于 ASA 接口的区域定义。