管理访问的配置对FTD的HTTPS和SSH通过FMC-Cisco.PDF

管理访问的配置对FTD的(HTTPS和SSH)通过 FMC 目录 简介 先决条件 要求 使用的组件 背景信息 配置 配置管理访问 步骤1.通过FMC GUI配置在FTD接口的IP。 步骤2.配置外部验证。 步骤3.配置SSH访问。 步骤4.配置HTTPS访问。 验证 故障排除 相关信息 简介 本文通过Firesight管理中心(FMC)描述管理访问的配置对Firepower威胁防御(FTD)的(HTTPS和 SSH)。 先决条件 要求 Cisco 建议您了解以下主题： Firepower技术知识 基础知识ASA (可适应安全工具) 管理访问知识在ASA的通过HTTPS和SSH (安全壳程序) 使用的组件 本文档中的信息基于以下软件和硬件版本： ASA的(5506X/5506H-X/5506W-X、ASA 5508-X， ASA 5516-X)可适应安全工具(ASA) Firepower威胁防御镜像，在软件版本6.0.1运行以上 ASA Firepower威胁ASA的(5515-X、ASA 5525-X， ASA 5545-X， ASA 5555-X， ASA 5585- X)防御镜像，在软件版本6.0.1运行以上 Firepower管理中心(FMC)版本6.0.1和以上 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 使用起始Firepower威胁防御(FTD)，整个ASA相关的配置在GUI被执行。 在运行软件版本6.0.1的FTD设备上，当您输入系统支持诊断CLI ， ASA诊断CLI访问。然而，在运行 软件版本6.1.0的FTD设备， CLI聚合，并且整个ASA命令在CLISH配置。 为了获得管理访问直接地从外部网络，您必须通过HTTPS或SSH配置管理访问。本文提供要求的必 要的配置获得在SSH或HTTPS的管理访问外部。 注意 ：在运行软件版本6.0.1的FTD设备上， CLI不可能由本地用户访问，外部验证必须配置为 了验证用户。然而，当外部验证为其他用户时，要求在运行软件版本6.1.0的FTD设备， CLI由 本地管理员用户访问 注意 ：在运行软件版本6.0.1的FTD设备上，诊断CLI在为FTD的br1配置的IP不是直接可访问的 。 然而，在运行软件版本6.1.0的FTD设备，聚合的CLI在为管理访问配置的所有接口是可访问 ，然而，必须配置接口用IP地址。 配置 所有管理访问相关的配置配置，当您导航对在设备的平台设置选项卡 ，如镜像所显示， ： 二者之一编辑存在的策略，当您点击铅笔图标或创建一项新的FTD策略，当您点击新的策略按钮并 且选择类型作为威胁防御设置 ，如镜像所显示， ： 如镜像所显示，选择FTD设备运用此策略并且单击“Save” ， ： 配置管理访问 这些是采取的四个主要步骤配置管理访问。 步骤1.通过FMC GUI配置在FTD接口的IP。 配置在FTD通过SSH或HTTPS是可访问的接口的IP。编辑存在的接口，当您导航对FTD的接口选项 卡。  注意 ：在运行软件版本6.0.1的FTD设备上，在FTD的默认管理接口是diagnostic0/0接口。然而 ，在运行软件版本6.1.0的FTD设备，所有接口支持除了诊断接口的管理访问。 有配置诊断接口的六个步骤。 步骤1.导航对设备设备管理。  步骤2.选择设备或FTD HA团星。 步骤3.导航对接口选项卡。 步骤4.如镜像所显示，点击铅笔图标配置/编辑接口获得管理访问， ： 步骤5.选择Enable复选框启用接口。导航对Ipv4选项卡，选择IP类型作为静态或DHCP。如镜像所 显示，现在请输入接口的一个IP地址并且点击OK键， ： 步骤6.点击“Save”然后实施策略对FTD。 注意 ： 诊断接口不可能用于访问在SSH的聚合的CLI在有软件版本的6.1.0设备 步骤2.配置外部验证。 外部验证实现FTD的集成到活动目录或RADIUS服务器用户认证的。因为本地配置的用户没有直接 访问对诊断CLI，这是必要步骤。诊断CLI和GUI由通过轻量级目录访问协议(LDAP)或RADIUS验证 的用户仅访问。 有配置外部验证的6个步骤。 步骤1.导航对设备平台设置。 第二步：二者之一编辑存在的策略，当您点击铅笔图标或创建一项新的FTD策略，当您点击新的策