Hướng dẫn Convert Firewall Cisco FPR Series từ ASA sang FTD firmware

Trong bài viết này, mình sẽ hướng dẫn các bạn chuyển đổi firmware của các dòng firewall Cisco FPR series từ phiên bản ASA sang FTD.

Download FTD Firmware

Đầu tiên chúng ta cần phải download firmware FTD về.

Để download Firmware của Cisco, các bạn cần phải có tài khoản được phân quyền, hoặc có số hợp đồng với Cisco liên quan đến firewall. Nếu không có tài khoản thì các bạn có thể nhờ bên cung cấp firewall để nhờ họ download cho. Nếu các bạn có tài khoản được phân quyền, các bạn vào web software.cisco.com.

Chọn Access downloads. Tìm kiếm theo series của firewall, ví dụ FPR1010 thì chúng ta sẽ tìm là 1010 và chọn dòng Firepower 1010 Security Appliance. Các bạn lưu ý tìm đúng theo dòng firewall đang sử dụng, do mỗi dòng sẽ có 1 firmware khác nhau.

Vào menu Firepower Threat Defense (FTD) Software và lựa chọn phiên bản mà các bạn sẽ sử dụng rồi download về. Các bạn nên download bản Suggested Release. File firmware sẽ là file có định dạng SPA.

Login vào firewall bằng cable console

Để chuyển đổi firmware trên firewall, các bạn cần sử dụng cable console chuyên dụng để thao tác trên CLI, ASDM sẽ không hỗ trợ. Trên firewall sẽ có các cổng console dạng RJ45 hoặc mini USB, các bạn có thể sử dụng dây console chuẩn RJ45 hoặc Mini-USB đều được. Ảnh bên dưới là 3 loại dây console mà các bạn có thể sử dụng cho tất cả các dòng firewall FPR của Cisco. Cable console USB - Mini USB thì thường sẽ đi kèm trong thùng của thiết bị, các bạn có thể sử dụng luôn.

Chúng ta sẽ kết nối đầu USB của cable vào laptop. Đầu còn lại thì các bạn cắm vào cổng console trên firewall, tùy loại cable RJ45 hay Mini USB thì chúng ta kết nối vào cổng tương ứng. Cổng console sẽ là các cổng có nhãn màu xanh dương ở bên dưới và có biểu tượng dấu nhắc dòng lệnh.

Khi các bạn kết nối dây console vào laptop, trên laptop sẽ nhận dây này như các cổng COM. Các bạn truy cập vào Device Manager, tìm phần Ports COM & LPT và tìm cổng COM của cable console. Nếu có nhiều cổng COM mà các bạn không xác định được cổng nào, thì chúng ta có thể rút dây console ra và cắm lại, cổng nào mất đi thì đó là cổng COM cho cable console. Như ví dụ của mình là cổng COM3.

Sau đó sử dụng phần mềm terminal để truy cập vào firewall. Phần mềm terminal các bạn có thể sử dụng Putty, Tera term, Moba xterm, SecureCRT đều được. Mình sẽ sử dụng Putty.

• Connection type: chọn Serial.
• Serial line: nhập cổng COM của dây console, trong ví dụ của mình là cổng COM3.
• Speed: mặc định của tất cả firewall là 9600.
• Nhấn Open để truy cập vào CLI của firewall.

Gõ lệnh enable để truy cập vào mode EXEC. Lần đầu đăng nhập thì các bạn sẽ cần cấu hình enable password, chúng ta nhập pass theo đúng policy của Cisco là được. Mật khẩu cần có viết hoa, viết thường, số và ký tự đặc biệt, các ký tự không được liên tiếp nhau hoặc trùng với tên admin. Ví dụ các bạn đặt pass bao gồm các số 123 liên tiếp nhau sẽ không được chấp nhận.

Như vậy là chúng ta đã truy cập được vào mode EXEC của Firewall chạy firmware ASA.

Convert ASA firmware sang FTD

Để convert firmware sang FTD, trước tiên chúng ta cần copy firmware FTD đó vào trong firewall. Các bạn có thể sử dụng HTTP, HTTPS, TFTP, FTP, USB đều được. Với các giao thức truyền file thì các bạn sẽ cần phải cấu hình sao cho thông mạng giữa laptop và firewall, phần này sẽ liên quan đến cấu hình firewall, chúng ta có thể cấu hình kết nối với cổng Inside hoặc MGMT, miễn sao các bạn có thể ping được từ laptop vào firewall và không có rule chặn các giao thức sử dụng là được. Cách đơn giản nhất là chúng ta sử dụng USB.

Để sử dụng USB, trước tiên các bạn cần format USB về định dạng FAT32 để firewall có thể đọc được. Copy firmware vào USB và cắm USB vào firewall.

Trên firewall sẽ nhận USB là disk1. Để kiểm tra xem firewall nhận USB hay chưa, các bạn sử dụng lệnh dir disk1:. Firewall liệt kê USB kèm các file bên trong USB, bao gồm file firmware FTD là OK.

ciscoasa# dir disk1:

Directory of disk1:/

25     drwx  8192         03:03:04 Jul 02 2023  ISO
48     drwx  8192         03:03:04 Jul 02 2023  efi
289    drwx  8192         03:03:04 Jul 02 2023  Apps
1083   -rwx  383093       03:03:04 Jul 02 2023  ADVMGR
821    drwx  8192         03:03:04 Jul 02 2023  HuongDan
832    drwx  8192         03:03:04 Jul 02 2023  Tool_Boot
845    drwx  8192         03:03:04 Jul 02 2023  WIM
1084   -rwx  229          03:03:04 Jul 02 2023  _Export_Wifi.cmd
1085   -rwx  2548         03:03:04 Jul 02 2023  _Fix_Boot_Change_Bootloader.cmd
1086   -rwx  533          03:03:04 Jul 02 2023  _Run_Apps_On_Windows.cmd
1087   -rwx  2556264      03:03:04 Jul 02 2023  bootmgr.efi
1088   -rwx  39286        03:03:04 Jul 02 2023  g2ldr
1089   -rwx  284351       03:03:04 Jul 02 2023  grldr
1090   -rwx  269          03:03:04 Jul 02 2023  version.txt
1093   -rwx  1097176240    15:21:28 Nov 21 2023  cisco-ftd-fp1k.7.2.5-208.SPA

9 file(s) total size: 461919245 bytes
6491561984 bytes total (3671269376 bytes free/56% free)

ciscoasa#

Sau khi firewall đã nhận USB, các bạn copy firmware vào USB bằng lệnh copy disk1: flash:. Nhập tên firmware trong USB vào Source filename, các bạn có thể bôi đen tên ở phía trên, rồi kích chuột phải là được. Destination filename các bạn nhấn enter để giữ nguyên tên file.

ciscoasa# copy disk1 flash

Source filename []? cisco-ftd-fp1k.7.2.5-208.SPA

Destination filename [cisco-ftd-fp1k.7.2.5-208.SPA]? Nhấn Enter
Accessing disk1://cisco-ftd-fp1k.7.2.5-208.SPA...!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-ftd-fp1k.7.2.5-208.SPA...

Writing file disk0:/cisco-ftd-fp1k.7.2.5-208.SPA...

1097176240 bytes copied in 331.300 secs (3314731 bytes/sec)
ciscoasa#

Các bạn chờ cho firewall copy và kiểm tra file, nếu file không bị lỗi thì firewall sẽ copy vào flash.

Sau khi copy xong, các bạn vào mode config, cấu hình boot sang file FTD bằng lệnh boot system disk0:, phía sau là tên file firmware FTD. Nhấn Enter để confirm.

ciscoasa# configure terminal
ciscoasa(config)# boot system disk0:/cisco-ftd-fp1k.7.2.5-208.SPA

The system is currently installed with security software package 9.13.1.2, which has:
   - The platform version:  2.7.1.107
   - The CSP (asa) version: 9.13.1.2
Preparing new image for install...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Attention:
   If you proceed, the system will be re-imaged and then reboot automatically.
   All existing configuration will be lost and the default configuration will be applied.
Installation of version 6.6.0-90 will do the following:
   - upgrade to the new platform version 2.8.1.105
   - upgrade to the CSP FTD version 6.6.0-90
Do you want to proceed? [confirm] Nhấn Enter để tiếp tục cài đặt

Firewall sẽ cài đặt OS với và boot vào FTD sau khi hoàn thành. Các bạn chỉ cần chờ thôi, nó sẽ mất khá nhiều thời gian. Sau khi firewall hiện màn hình đăng nhập là chúng ta đã boot được vào firmware FTD.

Các bước tiếp theo để cấu hình firewall Cisco phiên bản FTD thì CNTTShop đã có bài viết hướng dẫn rồi, các bạn có thể tham bài viết: Hướng dẫn cấu hình Firewall Cisco FPR 1000 Series phiên bản FTD để tiếp tục cài đặt.

OK Như vậy là mình đã hướng dẫn các bạn chuyển đổi firmware của các dòng firewall Cisco FPR series từ ASA sang FTD. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!