Hướng dẫn Convert Firewall Cisco FPR từ phiên bản FTD sang ASA

Trong bài viết này, mình sẽ hướng dẫn các bạn convert, chuyển đổi firmware của các dòng firewall Cisco FPR series từ FTD sang ASA để các bạn có thể cấu hình firewall thông qua CLI hoặc ASDM.

Mục lục

Tổng quan về firmware trên Firewall FPR Series
Download ASA Firmware
Đăng nhập vào Firewall
Convert FTD firmware sang ASA

Tổng quan về firmware trên Firewall FPR Series

Dòng Firepower FPR Series, bao gồm tất cả các dòng FPR1000, 2100, 3100, 4100 series sẽ có 2 loại firmware là ASA và FTD. Với firmware ASA thì chúng ta sẽ cấu hình thông qua CLI hoặc ASDM, còn FTD thì chúng ta thường cấu hình qua giao diện web. Firmware ASA chỉ hỗ trợ tính năng firewall cơ bản (layer 4 firewall), còn FTD sẽ hỗ trợ các tính năng liên quan đến Threat Defense, URL Filtering, Malware...

Trong trường hợp các bạn không sử dụng các license liên quan đến Threat Defense, thì các bạn sử dụng phiên bản nào cũng được, tùy theo chúng ta đã quen với nền tảng nào. Trong trường hợp các bạn mua phiên bản FTD, nhưng đã quen với các cấu hình bằng ASDM, thì các bạn hoàn toàn có thể chuyển đổi firmware từ FTD sang ASA. Và ngược lại, nếu các bạn cần sử dụng các tính năng Threat Defense, nhưng đã mua bản ASA thì các bạn cũng có thể chuyển từ ASA sang FTD. Trong bài viết này mình sẽ hướng dẫn các bạn chuyển từ FTD sang ASA.

Download ASA Firmware

Đầu tiên chúng ta cần phải download firmware ASA về.

Firmware của Cisco yêu cầu tài khoản được phân quyền thì mới có thể download được, và Cisco sẽ phân quyền theo từng dòng thiết bị cụ thể. Do vậy nếu không có tài khoản thì các bạn có thể nhờ bên cung cấp để nhờ họ download cho. Nếu các bạn có tài khoản được phân quyền, các bạn vào web software.cisco.com.

Chọn Access Downloads và tìm kiếm theo series của firewall, ví dụ FPR1010 thì chúng ta sẽ tìm là 1010, và chọn dòng Firepower 1010 Security Appliance.

truy cập vào website software.cisco.com

Vào menu Adaptive Security Appliance (ASA) Software. Sau đó lựa chọn phiên bản mà các bạn sẽ sử dụng rồi download về. Các bạn nên download bản trong mục Suggested Release.

chọn firmware và download về

Đăng nhập vào Firewall

Để chuyển đổi firmware trên Firewall, các bạn cần sử dụng cable console chuyên dụng để thao tác trên CLI, giao diện web sẽ không hỗ trợ. Trên firewall sẽ có các cổng console dạng RJ45 hoặc mini USB, các bạn sử dụng cổng nào cũng được.

các loại cable console

Trên thị trường hiện nay có 1 số loại cable console, các bạn có thể tìm mua ở các cửa hàng máy tính nếu chưa có. Đối với loại cable 1 đầu RS232, thì chúng ta cần mua thêm đầu chuyển đổi từ RS232 sang USB để kết nối với máy tính, do hiện nay thì các máy tính không còn cổng RS232 này.

Cable console Mini USB cũng là cable chuyên dụng, do vậy nếu các bạn sử dụng cable sạc điện thoại giống như này thì có thể sẽ không sử dụng được, các bạn cần mua cable là cable console. Trong thùng thiết bị thường đi kèm với cable console loại Mini USB này, các bạn có thể sử dụng luôn.

Chúng ta sẽ kết nối đầu USB của cable vào laptop.

Đầu còn lại thì các bạn cắm vào cổng console trên firewall, tùy loại cable RJ45 hay Mini USB thì chúng ta kết nối vào cổng tương ứng. Cổng console sẽ là các cổng có nhãn màu xanh dương ở bên dưới và có biểu tượng dấu nhắc dòng lệnh.

cổng console trên firewall

Khi các bạn kết nối dây console vào laptop, trên laptop sẽ nhận dây này như các cổng COM. Các bạn vào Device Manager, mở phần Ports COM & LPT và tìm cổng COM của cable console. Nếu có nhiều cổng COM mà các bạn không xác định được cổng nào, thì chúng ta có thể rút dây console ra và cắm lại, cổng nào mất đi thì đó là cổng COM cho cable console. Như trong ảnh bên dưới thì cổng COM cho cable console là COM3.

xem máy tính đang nhận cổng COM nào cho dây console

Sau đó sử dụng phần mềm terminal để truy cập vào firewall. Phần mềm terminal các bạn có thể sử dụng Putty, Tera Term, Moba Xterm, SecureCRT đều được. Mình sẽ sử dụng Putty.

Serial Port chọn COM3.
Speed mặc định của tất cả firewall là 9600.

cấu hình các thông số trên Putty

Đăng nhập với tài khoản mặc định là admin, password là Admin123. Như vậy là các bạn đã truy cập được vào giao diện dòng lệnh của firewall.

đăng nhập vào firewall với tài khoản mặc định là admin/Admin123

Với phiên bản FTD thì chúng ta chỉ connect được đến FTD Application và local-mgmt thôi.

các mode trên firmware ftd

Bây giờ mình sẽ convert firmware sang ASA.

Convert FTD firmware sang ASA

Để convert firmware, trước tiên chúng ta cần copy firmware đó vào trong firewall. Các bạn có thể sử dụng HTTP, TFTP, FTP, USB đều được. Với các giao thức truyền file thì các bạn sẽ cần phải cấu hình sao cho thông mạng giữa laptop và firewall, phần này sẽ liên quan đến cấu hình firewall. Cách đơn giản nhất là chúng ta sử dụng USB.

Trước tiên các bạn cần format USB về định dạng FAT32 để firewall có thể đọc được, sau đó copy firmware vào USB, rồi cắm USB vào firewall.

Để kiểm tra xem firewall nhận USB hay chưa các bạn truy cập vào local management bằng lệnh connect local-mgmt. Kiểm tra bằng lệnh dir usbdriver:/, Firewall liệt kê USB kèm các file mà các bạn có trong USB là OK.

kiểm tra xem firewall nhận USB hay không

Gõ exit để thoát mode local-mgmt.

Truy cập vào firmware management bằng lệnh scope firmware.

Sau đó copy firmware vào firewall bằng lệnh download image usbA:/ tên firmware mà các bạn copy vào USB. Các bạn có thể copy tên ở phía trên bằng cách bôi đen tên, sau đó kích chuột phải là được. Ví dụ file firmware của mình là cisco-asa-fp1k.9.18.3.56.SPA thì lệnh sẽ là download image usbA:/cisco-asa-fp1k.9.18.3.56.SPA.

download image vào file firewall

Để kiểm tra thì các bạn có thể sử dụng 2 lệnh show download-task hoặc show download-task detail. Chúng ta chỉ cần chờ cho quá trình copy xong.

Firewall sẽ kiểm tra firmware khi copy, nếu các bạn gặp thông báo lỗi Download-task failed. Failed signature validation, thì là do file firmware bị lỗi, các bạn cần download file khác.

Firewall sẽ hiển thị thông báo completed successfully khi copy xong, các bạn dùng lệnh show package để kiểm tra, lúc này sẽ có 1 file là FTD và 1 file là ASA.

kiểm tra firmware sau khi download xong

Các bạn vào mode auto-install bằng lệnh scope auto-install. Convert sang ASA bằng lệnh install security-pack version, phía sau là phiên bản ASA. Phiên bản ASA thì các bạn có thể xem ở cột Package-Vers trong lệnh show package, như ảnh phía trên thì ASA version là 9.18.3.56. Các bạn lưu ý nó không phải là file name nhé. Chọn 2 lần Yes khi Firewall hỏi các vấn đề liên quan đến cài đặt.

cài đặt firmware ASA để chuyển đổi từ FTD sang ASA

Firewall sẽ bắt đầu cài đặt firmware ASA, quá trình này có thể mất khoảng 20 phút, và reboot vài lần. Các bạn chỉ cần chờ đến khi firewall hiển thị màn hình đăng nhập là được.

Trong quá trình chờ các bạn có thể sử dụng lệnh show hoặc show detail để kiểm tra.

Sau khi khởi động xong thì firewall sẽ tự động đăng nhập vào ASA với tài khoản admin. Các bạn cấu hình password cho enable để đăng nhập. Như vậy là các bạn đã có thể truy cập vào giao diện ASA của firewall.

đăng nhập vào asa firmware

Các phần cấu hình firewall trên firmware ASA thì tương tự như các dòng cũ, các bạn có thể cấu hình qua CLI hoặc ASDM đều được.

OK Như vậy là mình đã hướng dẫn các bạn chuyển đổi firmware của các dòng firewall Cisco FPR series từ FTD sang ASA. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).