（四）FTD的基本需求配置

一、拓扑图

二、拓扑介绍

1. 此拓扑分3个网络区域Outside、Inside、DMZ
2. Outside网段为：200.1.1.0/24
3. Inside网段为：192.168.1.0/24
4. DMZ网段为：172.16.1.0/24
5. Outside用一台路由器做主干，Inside用一台三层交换机做核心主干，DMZ用一台三层交换机做核心主干
6. 模拟ISP用的其实是我办公的网络有外网功能，网段为88.88.88.0/24，和FMC管理员网络是同一个网络
7. Outside路由器做NAT让所有网段可以实现访问互联网
8. FTD两个接口连接到Inside网络，一个是FTD的管理口，因为要与FMC在同一个网段才可以管理它，另一个是Inside核心出口

三、配置路由器、核心交换机、FTD等接口和VLAN信息

Outside路由器

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname Outside-NAT
Outside-NAT(config)#int e0/0                                       #配置外网接口信息并设置NAT为Outside
Outside-NAT(config-if)#ip address 88.88.88.20 255.255.255.0
Outside-NAT(config-if)#ip nat outside
Outside-NAT(config-if)#no shutdown 
Outside-NAT(config-if)#exit
Outside-NAT(config)#interface e0/1                                 #配置内网接口信息并设置NAT为Inside
Outside-NAT(config-if)#ip address 200.1.1.1 255.255.255.0
Outside-NAT(config-if)#ip nat inside
Outside-NAT(config-if)#no shutdown 
Outside-NAT(config-if)#exit
Outside-NAT(config)#ip route 0.0.0.0 0.0.0.0 88.88.88.1            #设置路由0/0走外网的网关
Outside-NAT(config)#ip route 192.168.1.0 255.255.255.0 200.1.1.10  #设置Inside路由通过200.1.1.10来访问
Outside-NAT(config)#ip route 172.16.1.0 255.255.255.0 200.1.1.10   #设置DMZ路由通过200.1.1.10来访问
Outside-NAT(config)#access-list 1 permit 192.168.1.0 0.0.0.255     #建立ACL条目1允许Inside网段
Outside-NAT(config)#access-list 1 permit 172.16.1.0 0.0.0.255      #允许DMZ网段
Outside-NAT(config)#access-list 1 permit 200.1.1.0 0.0.0.255       #允许Outside内部网段
Outside-NAT(config)#ip nat inside source list 1 interface Ethernet0/0 overload    #NAT映射到外网接口

Inside核心交换机

Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname Inside
Inside(config)#int vlan 1                                          #设置VLAN信息
Inside(config-if)#ip address 192.168.1.1 255.255.255.0
Inside(config-if)#no shutdown 
Inside(config-if)#exit
Inside(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.10               #设置出口路由为FTD接口IP

DMZ核心交换机

Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#int vlan 1                                          #设置VLAN信息
Switch(config-if)#ip address 172.16.1.1 255.255.255.0
Switch(config-if)#no shutdown 
Switch(config-if)#exit
Switch(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.10                #设置出口路由为FTD接口IP
Switch(config)#hostname DMZ

四、FTD接口IP配置

FTD和FMC管理口IP配置和连接就不做说明，可以看FirePower-FMC初始化配置&FirePower-FTD初始化设置并加入到FMC管理

1. 验证Outside、Inside、DMZ核心路由器（交换机）能否ping通刚才配置在FTD的各个接口IP

2. 验证Outside、Inside、DMZ三个区域是否可以互通，如果不行则配置FTD策略放行所有流量先验证

3. 验证Outside、Inside、DMZ三个区域是否可以访问外网，并用Inside电脑主机访问百度，在这之前需要在FTD上配置一个网络对象并配置一条静态路由到外网接口

五、按需求配置并验证

1. Inside网络到DMZ的所有流量
2. Inside访问（Outside）Internet的http,https,ftp流量
3. Inside访问（Outside）Internet的telnet流量，但需要排除访问Outside路由器的telnet流量
4. 放行Inside发起的ICMP流量
5. 放行FTD，FMC访问（Outside）Internet的所有流量
6. 放行DMZ访问（Outside）Internet的DNS流量（自行验证）
7. 阻止剩余所有流量

条目1：Inside网络到DMZ的所有流量 & 条目7：阻止剩余所有流量

先创建Inside和DMZ网络对象，Outside已经在前面创建了

条目2：Inside访问（Outside）Internet的http,https,ftp流量

因为每次同步到FTD需要耗时2-3分钟，每次就不同步了，等到所有条目配置完再进行同步

条目3：Inside访问（Outside）Internet的telnet流量，但需要排除访问Outside路由器的telnet流量
这里就先要创建Outside路由器的网络对象，然后创建策略

条目4：放行Inside发起的ICMP流量
因为是放行ICMP，有到Outside,也有到DMZ，所以要先建一个类别为Inside-to-Outside-DMZ,然后在里面建立规则
注意：因为ICMP是没有端口的，所以要在协议里面选择

条目5： 放行FTD，FMC访问（Outside）Internet的所有流量
先创建FTD、FMC的网络对象，然后再进行规则配置

我们仔细的看看策略
下图第3条：拒绝Inside网络telnet路由器
下图第5条：允许FTD、FMC访问Outside所有流量
注意：FTD和FMC也是属于Inside网络里面的，那么第3条规则肯定会拒绝FTD和FMC去telnet路由器，所有我们需要做规则排列调整，直接用鼠标点击拖动把第5条放在第3条的前面就行

规则排列调整

条目6：放行DMZ访问（Outside）Internet的DNS流量

所有条目完成后保存并部署至FTD，要不然不会生效

六、在验证之前先说明下这些规则的用处、用途

1. Add Category:
添加类别，这个类别最好要创建，当然不创建也是可以，但条目数到了一定量，就分不清楚是从那到那的流量了，命名规则要清楚表达：如Inside-to-Outside
2. Add Rule:
添加规则，这个是必然的，类似于ASA的ACL
3. Default Action:
默认动作，全局的
Access Control:Block All Traffic
访问控制：阻止所有流量
Access Control:Trust All Traffic
访问控制：信任所有流量
Network Discovery Only
仅限网络发现
Intrusion Prevention:Maximum Detection
入侵预防：最大限度的检测
Intrusion Prevention:Connectivity Over Security
入侵预防：连通性高于安全性
Intrusion Prevention:Balanced Security and Connectivity
入侵预防：平衡的安全性和连接性
Intrusion Prevention:Security Over Connectivity
入侵预防：安全性高于连通性
4. Action
动作
Allow
允许，但是要经过IPS监测
Trust
信任，无需经过IPS
Monitor
监控
Block
阻止
Block with reset
阻止，并把会话踢掉
Interactive Block
在阻止之前会弹窗，并要求确定后阻止
Interactive Block with reset
在阻止之前会弹窗，并要求确定后阻止、会话踢掉

七、验证所有条目规则是否生效

条目1&条目2
用Inside核心交换机去ping、telnet至DMZ核心交换机，再用Inside里面的一台主机访问百度，因为没有放行域名，所以无法用域名打开百度，用解析的IP直接访问

条目3&条目4
用Inside核心交换机去telnet至Outside的路由器和一台交换机，路由器是deny telnet的，交换机未做规则管控，再用Inside核心交换机去ping DMZ、Outside的一些IP

条目5&条目6&条目7
在FTD和FMC上去ping Outside的一些IP，条目6不做验证，条目7就不用验证了，肯定生效了