Microsoft Azure 클라우드용 Cisco Firepower Threat Defense Virtual 빠른 시작 가이드

Similar documents
아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

View Licenses and Services (customer)

Cisco FirePOWER 호환성 가이드

Microsoft Word - release note-VRRP_Korean.doc

Windows 8에서 BioStar 1 설치하기

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

vRealize Automation용 VMware Remote Console - VMware

IRISCard Anywhere 5

1. 무선 이미지 유틸리티 설명 1-1. 기능 이 Wireless Image Utility 는 안드로이드용 응용 프로그램입니다. 안드로이드 태블릿 또는 안드로이드 스마트폰에서 사용할 수 있습니다. 안드로이드 기기에 저장된 파일을 프로젝터로 무선 전송 컴퓨터에서 USB

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

MF3010 MF Driver Installation Guide

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

MF Driver Installation Guide

Assign an IP Address and Access the Video Stream - Installation Guide

Network seminar.key

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

라우터

Windows Server 2012

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

Packstack 을이용한 Openstack 설치

Endpoint Protector - Active Directory Deployment Guide

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

슬라이드 1

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

Operating Instructions

01장

VPN.hwp

SBR-100S User Manual

Microsoft Word - src.doc

2 노드

Microsoft Word - NAT_1_.doc

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

ThinkVantage Fingerprint Software

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

Oracle VM VirtualBox 설치 VirtualBox에서 가상머신 설치 가상머신에 Ubuntu 설치

MF5900 Series MF Driver Installation Guide

(Veritas\231 System Recovery 16 Monitor Readme)

DocuPrint P265 dw/M225 dw/M225 z/M265 z AirPrint Guide

SBR-100S User Manual

Install stm32cubemx and st-link utility

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

EEAP - Proposal Template

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

IP Cam DDNS 설정설명서(MJPEG) hwp

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Microsoft Word - wiseCLOUD_v2.4_InstallGuide.docx

오프라인 사용을 위한 Tekla Structures 라이선스 대여

희망브리지

범용프린터드라이버가이드 Brother Universal Printer Driver(BR-Script3) Brother Mono Universal Printer Driver (PCL) Brother Universal Printer Driver (Inkjet) 버전 B K

BEA_WebLogic.hwp

메뉴얼41페이지-2

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

TOOLS Software Installation Guide

Microsoft PowerPoint - ch13.ppt

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

Microsoft PowerPoint - 06-IPAddress [호환 모드]

ISP and CodeVisionAVR C Compiler.hwp

운영체제실습_명령어

NTD36HD Manual

User Guide

ICAS CADWorx SPLM License 평가판설치가이드

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

온라인등록용 메뉴얼

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

Cloud Friendly System Architecture

ODS-FM1

간편 설치 가이드

VMware vsphere

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

소개 Mac OS X (10.9, 10.10, 10.11, 10.12) 와 OKI 프린터호환성 Mac OS X 를사용하는 PC 에 OKI 프린터및복합기 (MFP) 제품을연결하여사용할때, 최고의성능을발휘할수있도록하는것이 OKI 의목 표입니다. 아래의문서는 OKI 프린터및

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

SBR-100S User Manual

Microsoft Outlook G Suite 가이드

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

Windows 10 General Announcement v1.0-KO

Copyright 2006 Hewlett-Packard Development Company, L.P. 본설명서의내용은사전통지없이변경될수있습니다. HP 제품및서비스에대한유일한보증은제품및서비스와함께동봉된보증서에명시되어있습니다. 본설명서에는어떠한추가보증내용도들어있지않습니다.

이 설명서의 올바른 참고문헌 인용은 다음과 같습니다. SAS Institute Inc SAS University Edition: Linux 용 설치 가이드 Cary, NC: SAS Institute Inc. SAS University Edition: Lin

DBMS & SQL Server Installation Database Laboratory


Remote UI Guide

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

OSI 참조 모델과 TCP/IP

gcloud storage 사용자가이드 1 / 17

슬라이드 제목 없음

Microsoft Word - How to make a ZigBee Network_kr

Mango-E-Toi Board Developer Manual

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취

Amazon Stores

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

Transcription:

Microsoft Azure 클라우드용 Cisco Firepower Threat Defense Virtual 빠른시작가이드 게시날짜 : 2017 년 1 월 23 일 업데이트날짜 : 2017 년 7 월 13 일목요일 Microsoft Azure 는컴퓨팅, 분석, 스토리지및네트워킹을위한서비스를포함하여다양한클라우드서비스를제공하는개방형의유연한엔터프라이즈급퍼블릭클라우드컴퓨팅플랫폼입니다. 이러한서비스중하나를선택하여퍼블릭클라우드에서새로운애플리케이션을개발하고확장하거나기존애플리케이션을실행할수있습니다. 이문서에는 Azure 에서 Firepower Threat Defense Virtual 을구축하는방법이나와있습니다. Microsoft Azure 클라우드에서의구축정보, 1 페이지 Firepower Threat Defense Virtual 및 Azure 에대한사전요구사항및시스템요구사항, 2 페이지 Azure 에서의 Firepower Threat Defense Virtual 에대한샘플네트워크토폴로지, 4 페이지 구축시생성되는리소스, 4 페이지 Azure 라우팅, 5 페이지 가상네트워크에서의 VM 에대한라우팅컨피그레이션, 6 페이지 IP 주소, 6 페이지, 6 페이지 Microsoft Azure 클라우드에서의구축정보 Firepower Threat Defense Virtual 은 Microsoft Azure 마켓플레이스에통합됩니다. Firepower Management Center 관리작업은고객사구내 Azure 외부에서실행됩니다. Microsoft Azure 의 Firepower Threat Defense Virtual 은두가지인스턴스유형을지원합니다. 표준 D3-4 개의 vcpu, 14GB, 4vNIC 표준 D3_v2-4 개의 vcpu, 14GB, 4vNIC Cisco Systems, Inc. 1 www.cisco.com

Firepower Threat Defense Virtual 및 Azure 에대한사전요구사항및시스템요구사항 Firepower Threat Defense Virtual 및 Azure 에대한사전요구사항및시스템요구사항 Azure.com 에서어카운트를생성합니다. Microsoft Azure 에서어카운트를생성한후로그인하여 Cisco Firepower Threat Defense 의마켓플레이스를검색하고 Cisco Firepower Next Generation Firewall - 가상 오퍼링을선택할수있습니다. Cisco Smart Account. Cisco Software Central(https://software.cisco.com/) 에서어카운트를생성할수있습니다. Firepower Threat Defense Virtual 라이선스를얻습니다. 라이선스를얻을때까지 Firepower Threat Defense Virtual 은성능이저하된모드에서실행되며, 100 개의연결과 100Kbps 의처리량만허용합니다. Firepower Management Center 의보안서비스를사용하려면모든라이선스자격을구성합니다. 라이선스를관리하는방법에대한자세한내용은 Firepower Management Center 컨피그레이션가이드의 "Firepower System 라이선싱 " 을참조하십시오. 통신경로 : 관리인터페이스 - Firepower Threat Defense Virtual 을 Firepower Management Center 에연결하는데사용됩니다. 진단인터페이스 - 진단및보고에사용되며, 통과하는트래픽에는사용할수없습니다. 내부인터페이스 ( 필수 ) - Firepower Threat Defense Virtual 을내부호스트에연결하는데사용됩니다. 외부인터페이스 ( 필수 ) - Firepower Threat Defense Virtual 을공용네트워크에연결하는데사용됩니다. Firepower Threat Defense Virtual 및 Firepower System 호환성에대해서는 Cisco Firepower Threat Defense Virtual 호환성을참조하십시오. Firepower Threat Defense Virtual 및 Azure 에대한지침및제한사항 지원기능 Firepower Threat Defense Virtual 만 Microsoft Azure 마켓플레이스에서사용할수있습니다. Firepower Management Center 는 Azure 외부에서실행됩니다. 지원되는 Azure 인스턴스 - Standard_D3_V2( 기본값 ) 및 Standard_D3. 두인스턴스모두 4vCPU, 14GB 메모리, 4vNIC 를지원합니다. 라이선싱모드 : Smart License 전용 PLR 은지원되지않음 네트워킹 : 라우팅방화벽모드전용 공용 IP 주소지정 관리 0/0 및 GigabitEthernet0/0 만할당된공용 IP 주소입니다. 인터페이스 : 4 개의인터페이스에서 Firepower Threat Defense Virtual 을구축합니다. 2

Firepower Threat Defense Virtual 및 Azure 에대한지침및제한사항 지원되지않는기능 라이선싱 PAYG( 용량확장에따른지불 ) 라이선싱 PLR(Permanent License Reservation: 영구라이선스예약 ) 네트워킹 ( 다음중대부분이 Microsoft Azure 제한사항에해당함 ) 점보프레임 IPv6 802.1Q VLANs 투명모드및기타레이어 2 기능 : 브로드캐스트없음, 멀티캐스트없음 디바이스가 Azure 측면에서소유하고있지않은 IP 주소에대한프록시 ARP( 일부 NAT 기능에영향을줌 ) 프로미스큐어스모드 ( 서브넷트래픽캡처없음 ) 인라인집합모드, 패시브모드 참고 : Azure 정책은인터페이스가프로미스큐어스모드에서동작하는것을허용하지않으므로 Firepower Threat Defense Virtual 이투명방화벽또는인라인모드에서동작하는것을방지합니다. ERSPAN(Azure 에서전달되지않는 GRE 사용 ) 관리 콘솔액세스 : Firepower Management Center 를사용하여네트워크를통해관리기능이수행됨 (SSH 는일부설치및유지보수활동에사용가능 ) Azure 포털 " 비밀번호재설정 " 기능 콘솔기반비밀번호복구 : 사용자가콘솔에대한실시간액세스권한이없으므로비밀번호를복구할수없으며, 비밀번호복구이미지를부팅할수없습니다. 유일한방법은새로운 Firepower Threat Defense Virtual VM 을구축하는것입니다. 고가용성 ( 액티브 / 스탠바이 ) 클러스터링 VM 가져오기 / 내보내기 Firepower Device Manager 사용자인터페이스 3

Azure 에서의 Firepower Threat Defense Virtual 에대한샘플네트워크토폴로지 Azure 에서의 Firepower Threat Defense Virtual 에대한샘플네트워크토폴로지 다음그림은 Azure 내부라우팅방화벽모드에서의 Firepower Threat Defense Virtual 에대한일반적인토폴로지를보여줍니다. 첫번째정의된인터페이스는항상관리인터페이스이며관리 0/0 과 GigabitEthernet0/0 만할당된공용 IP 주소입니다. 그림 1 Azure 구축에서의샘플 Firepower Threat Defense Virtual 구축시생성되는리소스 Azure 에서 Firepower Threat Defense Virtual 을구축할때다음과같은리소스가생성됩니다. Firepower Threat Defense VM(Virtual Machine) 리소스그룹 Firepower Threat Defense Virtual 은항상새리소스그룹에구축됩니다. 그러나다른리소스그룹에있는기존가상네트워크에연결할수있습니다. VM 이름 -Nic0, VM 이름 -Nic1, VM 이름 -Nic2, VM 이름 -Nic3 으로명명된 4 개의 NICS 이러한 NIC 는 Firepower Threat Defense Virtual 인터페이스관리, 진단 0/0, GigabitEthernet0/0 및 GigabitEthernet0/1 에각각매핑됩니다. 4

Azure 라우팅 VM 이름 -mgmt-securitygroup 으로명명된보안그룹 보안그룹은 VM 의 Nic0 에연결되며이는 Firepower Threat Defense Virtual 관리인터페이스에매핑됩니다. 보안그룹에는 SSH(TCP 포트 22) 및 Firepower Management Center 인터페이스 (TCP 포트 8305) 용관리트래픽을허용하는규칙이포함되어있습니다. 이러한값은구축후수정할수있습니다. 공용 IP 주소 ( 구축시선택한값에따라명명됨 ) 공용 IP 주소는 VM Nic0 에연결되며이는관리에매핑됩니다. 참고 : 공용 IP 주소 ( 신규또는기존 ) 를선택해야합니다. NONE( 없음 ) 옵션은지원되지않습니다. 4 개의서브넷이있는가상네트워크는새로운네트워크옵션을선택할경우생성됩니다. 각서브넷에대한라우팅테이블 ( 이미있는경우업데이트됨 ) 테이블이름은 서브넷이름 -FTDv-RouteTable 입니다. 각라우팅테이블에는다음홉으로 Firepower Threat Defense Virtual IP 주소를사용하는다른 3 개의서브넷에대한경로가포함되어있습니다. 트래픽이다른서브넷또는인터넷에도달해야하는경우기본경로를추가하도록선택할수있습니다. 선택한스토리지어카운트의부팅진단파일 부팅진단파일은 Blob(binary large object) 에포함됩니다. Blob 및컨테이너 VHD 아래에서선택된스토리지어카운트의파일 2 개 (VM 이름 -disk.vhd 및 VM 이름 -<uuid>.status) 스토리지어카운트 ( 기존스토리지어카운트를선택하지않는경우 ) 참고 : VM 을삭제하는경우각리소스를개별적으로삭제해야합니다 ( 유지할리소스는제외 ). Azure 라우팅 Azure 가상네트워크서브넷에서라우팅은서브넷의효과적인라우팅테이블에의해결정됩니다. 효과적인라우팅테이블은기본제공시스템경로및 UDR(User Defined Route) 테이블의경로를조합한것입니다. 참고 : VM NIC 속성에서효과적인라우팅테이블을볼수있습니다. 사용자정의라우팅테이블을보고편집할수있습니다. 시스템경로및사용자정의경로가효과적인라우팅테이블을구성하기위해결합된경우, 가장구체적인경로를얻고결합하여사용자정의라우팅테이블로이동합니다. 시스템라우팅테이블에는 Azure 의가상네트워크인터넷게이트웨이를가리키는기본경로 (0.0.0.0/0) 가포함되어있습니다. 시스템라우팅테이블에는또한 Azure 의가상네트워크인프라게이트웨이를가리키는다음홉과함께정의된다른서브넷에대한구체적인경로가포함되어있습니다. Firepower Threat Defense Virtual 을통해트래픽을라우팅하려면각데이터서브넷과연결된사용자정의라우팅테이블에서경로를추가 / 업데이트해야합니다. 관심있는트래픽은해당서브넷에서다음홉으로 Firepower Threat Defense Virtual IP 주소를사용하여라우팅해야합니다. 또한, 필요한경우 0.0.0.0/0 에대한기본경로를 Firepower Threat Defense Virtual IP 의다음홉과함께추가할수있습니다. 시스템라우팅테이블에있는기존의구체적인경로때문에다음홉으로 Firepower Threat Defense Virtual 을가리키도록사용자정의라우팅테이블에구체적인경로를추가해야합니다. 그렇지않으면사용자정의테이블의기본경로보다시스템라우팅테이블의더구체적인경로가우선시되어트래픽이 Firepower Threat Defense Virtual 을우회합니다. 5

가상네트워크에서의 VM 에대한라우팅컨피그레이션 가상네트워크에서의 VM 에대한라우팅컨피그레이션 Azure 가상네트워크에서라우팅은클라이언트에서의특정한게이트웨이설정이아니라효과적인라우팅테이블에따라결정됩니다. 가상네트워크에서실행중인클라이언트에는개별서브넷에서.1 주소인 DHCP 에의해경로가지정될수있습니다. 이는자리표시자이며가상네트워크의인프라가상게이트웨이로패킷을가져가기위해서만제공됩니다. 패킷이 VM 에서전송되면효과적인라우팅테이블에따라사용자정의테이블에서수정된대로라우팅됩니다. 효과적인라우팅테이블은클라이언트가.1 또는 Firepower Threat Defense Virtual 주소로구성된게이트웨이를갖고있는지와관계없이다음홉을결정합니다. Azure VM ARP 테이블은모든알려진호스트에대해동일한 MAC 주소 (1234.5678.9abc) 를표시합니다. 이렇게하면 Azure VM 에서전송되는모든패킷이 Azure 게이트웨이 ( 효과적인라우팅테이블이패킷의경로를결정하는데사용되는위치 ) 에도달합니다. IP 주소 다음은 Azure 의 IP 주소에해당하는정보입니다. Firepower Threat Defense Virtual( 관리에매핑됨 ) 의첫번째 NIC 에는연결된서브넷의개인 IP 주소가지정됩니다. 공용 IP 주소는이개인 IP 주소와연결될수있으며 Azure 인터넷게이트웨이는 NAT 변환을처리합니다. Firepower Threat Defense Virtual 이구축된이후에공용 IP 주소를데이터인터페이스 ( 예 : GigabitEthernet0/0) 에연결할수있습니다. 동적공용 IP 주소는 Azure 중지 / 시작주기동안변경될수있습니다. 그러나 Azure 가재시작되고 Firepower Threat Defense Virtual 이다시로드되는동안에는영구적입니다. 정적공용 IP 주소는 Azure 에서이주소를변경할때까지변경되지않습니다. Firepower Threat Defense Virtual 인터페이스는 DHCP 를사용하여 IP 주소를설정할수있습니다. Azure 인프라에서는 Firepower Threat Defense Virtual 인터페이스가 Azure 에서설정된 IP 주소를할당받습니다. 다음는 Microsoft Azure 환경에서 Firepower Threat Defense Virtual 을설정하는단계의최상위레벨목록입니다. Azure 설정에대한자세한단계는 Azure 시작을참조하십시오. Azure 에서 Firepower Threat Defense Virtual 을구축하는경우리소스, 공용 IP 주소및경로테이블등다양한컨피그레이션이자동으로생성됩니다. 이러한컨피그레이션은구축후변경할수있습니다. 예를들어유휴시간초과값을기본값 ( 낮은시간초과값 ) 에서변경할수있습니다. 1. ARM(Azure Resource Manager) 포털에로그인합니다. Azure 포털에는데이터센터위치와관계없이현재어카운트및서브스크립션과연결된가상요소가표시됩니다. 2. Azure Marketplace(Azure 마켓플레이스 ) > Virtual Machines( 가상머신 ) 를선택합니다. 3. Cisco Firepower Next Generation Firewall - 가상 의마켓플레이스를검색하고오퍼링을선택한다음 Create( 생성 ) 를클릭합니다. 4. 기본설정을구성합니다. a. 가상머신의이름을입력합니다. 이이름은 Azure 서브스크립션내에서고유해야합니다. 참고 : 기존이름을사용하지마십시오. 그렇지않으면구축이실패합니다. b. Firepower Threat Defense Virtual 관리자의사용자이름을입력합니다. 참고 : "admin" 이라는이름은 Azure 에서예약되어있으므로사용할수없습니다. 6

c. 인증유형을비밀번호또는 SSH 키중에서선택합니다. 비밀번호를선택하는경우비밀번호를입력하고확인합니다. SSH 키를선택하는경우원격피어의 RSA 공개키를지정합니다. d. Firepower Threat Defense Virtual 을구성하기위해로그인할경우사용자어카운트 (Admin) 와함께사용할비밀번호를생성합니다. e. 서브스크립션유형을선택합니다. f. 새리소스그룹을생성합니다. Firepower Threat Defense Virtual 은새리소스그룹에구축해야합니다. 기존리소스그룹에구축하는옵션은기존리소스그룹이비어있는경우에만동작합니다. 그러나나중단계에서네트워크옵션을구성하는경우다른리소스그룹에있는기존의가상네트워크에 FTDv 를연결할수있습니다. g. 지리적위치를선택합니다. 위치는이구축에서사용되는모든리소스 ( 예 : ASAv, 네트워크, 스토리지어카운트 ) 에서동일해야합니다. h. OK( 확인 ) 를클릭합니다. 5. Firepower Threat Defense Virtual 의초기컨피그레이션을완료합니다. a. 가상머신크기를선택합니다. b. 스토리지어카운트를선택합니다. 참고 : 기존의스토리지어카운트를사용하거나새로운어카운트를생성할수있습니다. 스토리지어카운트이름에는소문자와숫자만포함할수있습니다. c. Name( 이름 ) 필드에 IP 주소의레이블을입력하여공용 IP 주소를요청한다음 OK( 확인 ) 를클릭합니다. 참고 : 이단계에서설정한동적 / 정적선택사항과관계없이 Azure 는동적공용 IP 주소를생성합니다. 공용 IP 는 VM 이중지되었다가재시작될때변경될수있습니다. 고정 IP 주소를선호하는경우구축후생성한공용 IP 를열고동적주소에서정적주소로변경할수있습니다. d. 필요한경우 DNS 레이블을추가합니다. 참고 : FQDN(Fully Qualified Domain Name) 은 DNS 레이블에 Azure URL 을더한것입니다 ( 예 : <dnslabel>.<location>.cloudapp.azure.com). e. 기존의가상네트워크를선택하거나새로생성합니다. f. Firepower Threat Defense Virtual 네트워크인터페이스에대해 4 개의서브넷을구성합니다. - FTDv 관리인터페이스는 " 첫번째서브넷 " 에연결됩니다. - FTDv 진단인터페이스는 " 두번째서브넷 " 에연결됩니다. - FTDv Gig0/0 인터페이스는 " 세번째서브넷 " 에연결됩니다. - FTDv Gig0/1 인터페이스는 " 네번째서브넷 " 에연결됩니다. g. OK( 확인 ) 를클릭합니다. 7

6. 컨피그레이션요약을확인한다음 OK( 확인 ) 를클릭합니다. 7. 이용약관을확인한다음 Purchase( 구매 ) 를클릭합니다. Azure 에서구축시간은다양합니다. Azure 가 Firepower Threat Defense Virtual VM 이실행중이라고보고할때까지기다립니다. Azure 에서 Firepower Threat Defense Virtual 의 IP 컨피그레이션을업데이트합니다. 공용 IP 주소컨피그레이션업데이트 1. Virtual Machine( 가상머신 ) 목록에서 Firepower Threat Defense Virtual VM 을선택합니다. 2. Overview( 개요 ) 를클릭합니다. 3. Public IP address/dns name label( 공용 IP 주소 /DNS 이름레이블 ) 아래에서파란색 IP 와 DNS 이름을클릭합니다. 4. Configuration( 컨피그레이션 ) 을클릭합니다. IP 주소를사용하여연결하려면할당의 Static( 정적 ) 을선택합니다. DNS 이름을사용하여연결하려면 DNS 이름레이블을입력합니다. ( 선택사항 ) 편의를위해 Idle Timeout( 유휴시간초과 ) 을최대범위인 30 분으로늘릴수있습니다. 이렇게하면관리 SSH 세션에서시간이너무빨리초과되는것이방지됩니다. 5. Save( 저장 ) 를클릭합니다. 경우에따라데이터인터페이스에공용 IP 주소를추가합니다. Firepower Management Center 에서의관리를위해 Firepower Threat Defense Virtual 을구성합니다. ( 선택사항 ) 데이터인터페이스에공용 IP 주소추가 1. Virtual Machine( 가상머신 ) 목록에서 Firepower Threat Defense Virtual VM 을선택합니다. 2. Network interfaces( 네트워크인터페이스 ) 를클릭합니다. 3. IP 주소를추가할데이터인터페이스를선택합니다. Firepower Management Center 에서확인된경우 Nic2( 세번째 NIC) 가 GigabitEthernet0/0 에매핑됩니다. 이는첫번째데이터 NIC 입니다. Firepower Management Center 에서확인된경우 Nic3( 네번째 NIC) 가 GigabitEthernet 0/1 에매핑됩니다. 이는두번째데이터 NIC 입니다. 4. IP Configuration(IP 컨피그레이션 ) 을클릭합니다. 5. Add( 추가 ) 를클릭합니다. 6. 오른쪽에있는목록에서 IPConfig-1 을선택합니다. 7. IPConfig-1 컨피그레이션블레이드에서 Public IP address( 공용 IP 주소 ) 를 Enabled( 활성화됨 ) 로전환합니다. 8

8. Create new( 새로생성 ) 대화상자를사용하여새공용 IP 주소를생성합니다. 참고 : 정적또는동적 IP 주소를생성할수있습니다. 동적 IP 주소를생성할경우 IP 주소대신 DNS 이름을사용하여항상이인터페이스에액세스해야합니다. 9. OK( 확인 ) 를클릭합니다. 컨피그레이션변경이처리될때까지기다린다음 Network interfaces( 네트워크인터페이스 ) 목록을검사하여공용 IP 주소가데이터인터페이스에추가되었는지확인합니다. 참고 : 인터넷트래픽이데이터인터페이스와연결된공용 IP 주소로향하는경우, 트래픽은 Azure 게이트웨이에서대상 NATed 가되며패킷의새로운대상 IP 는공용 IP 와연결된 Firepower Threat Defense Virtual 인터페이스의개인 IP 가됩니다. Firepower Threat Defense Virtual 은대상 IP 를내부서브넷에있는일부리소스의 IP 로변환하기위해 NAT 로구성해야합니다. 10. Save( 저장 ) 를클릭합니다. Firepower Management Center 에서의관리를위해 Firepower Threat Defense Virtual 을구성합니다. Firepower Management 용 Firepower Threat Defense Virtual 구성 Firepower Threat Defense Virtual 은디바이스를 Firepower Management Center 에등록하는데필요한네트워킹정보를사용하여구성해야합니다. FMC 가 Firepower Threat Defense Virtual 을디바이스로추가할수있도록구성하려면 configure manager add 명령을사용하십시오. 디바이스를 Firepower Management Center 에등록하려면항상자체생성된고유한영숫자등록키가필요합니다. 등록키는사용자가지정할수있는간단한키이며, 라이선스키와는다릅니다. 구내에서 Azure 가상네트워크로 Express Route 를연결한경우 Firepower Management Center 의 IP 주소를등록키와함께제공할수있습니다. 예를들면다음과같습니다. configure manager add XXX.XXX.XXX.XXX my_reg_key 여기서 XXX.XXX.XXX.XXX 는관리하는 Firepower Management Center 의 IP 주소이며 my_reg_key 는가상디바이스의사용자정의등록키입니다. 그러나공용 IP 주소를사용하여 Firepower Threat Defense Virtual 을등록하려는경우고유한 NAT ID 를등록키와함께입력하고 IP 주소대신 DONTRESOLVE 를지정해야합니다. 예를들면다음과같습니다. configure manager add DONTRESOLVE my_reg_key my_nat_id 여기서 my_reg_key 는사용자정의등록키이며 my_nat_id 는가상디바이스의사용자정의 NAT ID 입니다. 1. 공용 IP 주소를사용하는 Firepower Threat Defense Virtual 에대한 SSH 는 Azure 에서제공됩니다. 2. 사용자이름 admin 및비밀번호 Admin123 으로로그인합니다. 3. 화면에표시되는대로컨피그레이션을완료합니다. 먼저 EULA(End User License Agreement, 최종사용자라이선스계약 ) 를읽고내용에동의해야합니다. 그런다음관리자비밀번호를변경하고표시되는프롬프트에따라관리주소, DNS 설정및방화벽모드 ( 라우팅 ) 를구성합니다. 4. 기본시스템컨피그레이션이처리될때까지기다립니다. 이작업은몇분정도걸릴수있습니다. 5. configure manager add 명령을사용하여이디바이스를관리할 Firepower Management Center 어플라이언스를식별합니다. > configure manager add {hostname IPv4_address IPv6_address DONTRESOLVE} reg_key [nat_id] 9

참고 : 등록키는사용자가정의한일회용키로, 37 자를초과하지않아야합니다. 여기에는영숫자 (A Z, a z, 0 9) 와하이픈 (-) 을사용할수있습니다. 디바이스를 Firepower Management Center 에추가할때이등록키를기억해야합니다. Firepower Management Center 의주소를직접지정할수없으면 DONTRESOLVE 를사용합니다. 참고 : NAT ID 는위에서설명한등록키와동일한규칙을따르는선택적인사용자정의영숫자문자열입니다. 호스트이름을 DONTRESOLVE 로설정하는경우반드시필요합니다. 디바이스를 Firepower Management Center 에추가할때이 NAT ID 를기억해야합니다. Firepower Management Center 의 IP 주소가 Azure 에대한 NATed 가될가능성이있습니다. NAT ID 는필수입니다. 예를들면다음과같습니다. configure manager add DONTRESOLVE 1234 ABCD Azure 보안그룹을업데이트합니다. 보안그룹업데이트 보안그룹은특정인터페이스에대해허용 / 거부하는포트 / 대상 Azure 를제어합니다. Firepower Threat Defense Virtual 에대한 SSH 액세스와 Firepower Management Center 에서의 SSH 액세스를확보하려면 VM 의기본인터페이스에있는보안그룹에규칙을추가해야합니다. TCP 포트 22 는 SSH 에필요하며 TCP 포트 8305 는등록및진단에필요합니다. 1. 새로구축된 Firepower Threat Defense Virtual 의 VM 정보페이지를엽니다. 2. Network Interfaces( 네트워크인터페이스 ) 를선택합니다. 3. Nic0 을선택합니다. 4. Essentials( 필수사항 ) 창에서네트워크보안그룹을찾습니다. 파란색네트워크보안그룹이름을클릭합니다. 이름은 <VM 이름 >-SSH-SecurityGroup 과유사한규칙을따라야합니다. 5. Inbound security rules( 인바운드보안규칙 ) 를클릭합니다. 6. 서비스 = SSH 를허용하는 SSH 규칙이있는지확인하고없는경우규칙을하나추가합니다. SSH 를통해 Firepower Threat Defense Virtual 에연결할때사용할것으로예상하는 IP 주소로소스주소범위를제한하는것이좋습니다. 그렇지않으면 SSH 가인터넷에개방됩니다. 7. 다음과같이진단인터페이스에대한보안그룹규칙을추가합니다. a. Name( 이름 ) - 인바운드규칙이름 ( 예 : sf-tunnel) b. Priority( 우선순위 ) - 기본값유지 c. Source( 소스 ) - CIDR 로변경하고 Firepower Management Center 가전송되기시작하는서브넷을입력 d. Service( 서비스 ) - Custom( 맞춤설정 ) e. Protocol( 프로토콜 ) - TCP f. Port range( 포트범위 ) - 8305 g. Action( 작업 ) - Allow( 허용 ) 8. OK( 확인 ) 를클릭합니다. Firepower Threat Defense Virtual 을 Firepower Management Center 에등록합니다. 10

Firepower Management Center 에등록 첫번째인터페이스와관리서브넷의보안그룹이 Firepower Management Center 소스주소의모든트래픽을허용하는지확인합니다. 이는일반적으로인터넷연결방화벽에서풀의주소입니다. 모든트래픽은일시적으로허용할수있습니다. 그러나 Firepower Management Center 의연결이시작되고있는 IP 주소블록을발견하면이러한알려진안전한블록에서만트래픽을허용하도록보안그룹을제한해야합니다. 시작하기전에 Firepower Threat Defense Virtual 에는스마트소프트웨어라이선싱이필요하며이는 Firepower Management Center 에서구성가능합니다. 가상어플라이언스의시간동기화요구사항을결정합니다. 어플라이언스는물리적 NTP 서버와동기화하는것이좋습니다. 관리되는디바이스를가상 Firepower Management Center 와동기화하지마십시오. 시간동기화요구사항에대해서는 Firepower Management Center 컨피그레이션가이드를참조하십시오. 1. 호스트이름또는구성된 Firepower Management Center 의주소를사용하여브라우저에서 HTTPS 연결을사용하는 Firepower Management Center 에로그인합니다. 구성된주소의예는 https://mc.example.com 과같습니다. 2. Management Center 에대한웹인터페이스에서 Devices( 디바이스 ) > Device Management( 디바이스관리 ) 를선택합니다. 3. Add( 추가 ) 드롭다운목록에서 Add Device( 디바이스추가 ) 를선택합니다. 4. Host( 호스트 ) 필드에서다음작업을수행합니다. a. 공용 IP 주소를사용하는인터넷을통해연결하려면 Firepower Threat Defense Virtual 의관리인터페이스에연결된공용 IP 를입력합니다. b. Azure ExpressRoute 를통해연결하려면 Firepower Threat Defense Virtual 의관리인터페이스에연결된개인 IP 를입력합니다. 5. Display Name( 이름표시 ) 필드에 Management Center 에서표시하고싶은대로보안모듈의이름을입력합니다. 6. Registration Key( 등록키 ) 필드에 Firepower Management 용 Firepower Threat Defense Virtual 을구성했을때사용한것과동일한등록키를입력합니다. 7. 다중도메인환경에서디바이스를추가중인경우 Domain( 도메인 ) 드롭다운목록에서값을선택하여디바이스를리프도메인에할당합니다. 현재도메인이리프도메인인경우디바이스는현재도메인에자동으로추가됩니다. 8. 경우에따라디바이스를디바이스 Group( 그룹 ) 에추가합니다. 9. Access Control Policy( 액세스제어정책 ) 드롭다운목록에서보안모듈에구축할초기컨피그레이션을선택합니다. Default Access Control( 기본액세스제어 ) 정책은모든트래픽이네트워크로들어오는것을차단합니다. Default Intrusion Prevention( 기본침입방지 ) 정책은균형보안및연결침입정책에의해서도전달되는모든트래픽을허용합니다. Default Network Discovery( 기본네트워크검색 ) 정책은모든트래픽을허용하며, 이때트래픽은네트워크검색만사용하여검사됩니다. 어떠한기존사용자정의액세스제어정책이든선택할수있습니다. 자세한내용은 Firepower Management Center 컨피그레이션가이드에서 " 액세스제어정책관리 " 를참조하십시오. 11

10. 디바이스에적용할라이선스를선택합니다. 참고 : 제어, 악성코드및 URL 필터링라이선스에는보호라이선스가필요합니다. 자세한내용은 Firepower Management Center 컨피그레이션가이드를참조하십시오. 11. 디바이스를 Firepower Management Center 에서관리하도록구성할때디바이스를식별하기위해 NAT ID 를사용한경우 Advanced( 고급 ) 섹션을펼치고 Unique NAT ID( 고유한 NAT ID) 필드에동일한 NAT ID 를입력합니다. 참고 : 관리공용 IP 를사용하는인터넷을통해 Firepower Threat Defense Virtual 에연결할경우 NAT ID 를사용해야합니다. Azure ExpressRoute 를통해연결하는경우 NAT ID 를사용할필요가없습니다. 12. Register( 등록 ) 를클릭하여등록에성공했는지확인합니다. Firepower Management Center 가디바이스의하트비트를확인하고통신을설정하려면최대 2 분이걸릴수있습니다. 두개의데이터인터페이스를활성화및구성합니다. 디바이스설정구성 Firepower Threat Defense Virtual 을관리하는 Firepower Management Center 에등록한후에는두개의데이터인터페이스를활성화및구성해야합니다. 1. Devices( 디바이스 ) > Device Management( 디바이스관리 ) 를선택합니다. 2. 인터페이스를구성하려는 Firepower Threat Defense Virtual 디바이스옆의편집아이콘을클릭합니다. 다중도메인구축시리프도메인에있지않은경우전환하라는프롬프트가표시됩니다. 3. GigabitEthernet0/0 인터페이스옆에있는편집아이콘을클릭합니다. a. Mode( 모드 ) 드롭다운목록에서 None( 없음 ) 을선택하여인터페이스를라우팅모드로남겨둡니다. b. IPv4 탭을클릭하여해당 IP Address(IP 주소 ) 가 Azure 에서구축시인터페이스에부여된주소와일치하는지확인합니다. c. OK( 확인 ) 를클릭합니다. 4. GigabitEthernet0/1 인터페이스에대해서도동일한단계를반복합니다. 5. Save( 저장 ) 를클릭합니다. Firepower Management Center 사용자인터페이스를사용하여액세스제어정책및기타관련된정책을구성및적용하여 Firepower Threat Defense Virtual 인스턴스를사용하는트래픽을관리할수있습니다. Firepower Management Center 컨피그레이션가이드또는온라인도움말을참조하십시오. Cisco 및 Cisco 로고는미국및기타국가에서 Cisco Systems, Inc. 및 / 또는계열사의상표또는등록상표입니다. Cisco 상표목록을보려면다음 URL 로이동하십시오. www.cisco.com/go/trademarks 여기에언급된서드파티상표는해당소유권자의자산입니다. " 파트너 " 라는용어는사용에있어 Cisco 와기타회사간의파트너관계를의미하지는않습니다. (1721R) 2017 Cisco Systems, Inc. All rights reserved. 12

2024 © docsplayer.org 개인정보보호 | 약관 | 지원