وقتی صحبت از امنیت شبکه‌های سازمانی می‌شود، یکی از اولین نام‌هایی که به ذهن می‌رسد Cisco Firepower Threat Defense (FTD) است؛ سیستمی قدرتمند که ترکیبی از فایروال سنتی ASA و موتور امنیتی Firepower محسوب می‌شود. اما نکته‌ای که خیلی از مدیران شبکه از آن غافل می‌شوند این است که بدون فعال‌سازی لایسنس، FTD عملا هیچ قابلیتی را ارائه نمی‌دهد.

ممکن است سخت‌افزار را نصب کرده باشید و همه‌چیز آماده باشد، اما تا زمانی که لایسنس‌ها فعال نشوند، بسیاری از سرویس‌های حیاتی مثل IPS یا URL Filtering اصلا بارگذاری نمی‌شوند. در این مقاله به زبان ساده و کاملا فنی می‌خواهیم ببینیم:

• لایسنس Cisco FTD دقیقا چیست؟
• چه انواعی دارد؟
• چطور فعال می‌شود؟
• و بعد از فعال‌سازی چطور باید مدیریت شود؟

لایسنس سیسکو FTDv

اگر قصد خرید Cisco Firepower Threat Defense (FTD) رو دارید، می‌تونید از طریق لینک زیر به صفحه محصول برید و مشخصات کامل + شرایط خرید رو ببینید.

استعلام قیمت

آشنایی با Cisco FTD و مدیریت لایسنس با FDM

FTD را می‌توان مغز امنیتی شبکه دانست که هم وظیفه فایروال‌بودن را بر عهده دارد و هم قابلیت‌های پیشرفته تشخیص و جلوگیری از نفوذ را ارائه می‌دهد. برای مدیریت این سیستم دو راه اصلی وجود دارد: استفاده از FMC (مرکز مدیریت متمرکز) یا FDM (رابط تحت وب محلی).

در محیط‌های کوچک و متوسط معمولا از FDM استفاده می‌شود، چون به‌صورت مستقیم و از طریق مرورگر روی خود دستگاه قابل دسترسی است. تمام تنظیمات از جمله مدیریت لایسنس‌ها از همین پنل انجام می‌شود. اگر FTD را نصب کرده باشید ولی هنوز هیچ لایسنسی فعال نشده باشد، محیط FDM را می‌بینید اما بیشتر قابلیت‌ها غیرفعال هستند. برای آشنایی بیشتر با معماری، قابلیت‌ها و کاربردهای FTD پیشنهاد می‌کنیم مقاله‌ی جامع “همه چیز درباره فایروال سیسکو FTD؛ نسل جدید امنیت شبکه” را مطالعه کنید.

انواع لایسنس Cisco FTD

در Cisco FTD هر قابلیت امنیتی با یک لایسنس مشخص فعال می‌شود و بدون آن‌ها عملا هیچ قابلیتی در دسترس نخواهد بود. پایه‌ای‌ترین لایسنس، Base License است که اجازه راه‌اندازی و استفاده کلی از سیستم را می‌دهد. بعد از آن می‌توان بسته به نیاز سازمان، لایسنس‌های دیگر را هم فعال کرد.

برای نمونه:

• Threat License امکان استفاده از موتور تشخیص و جلوگیری از نفوذ (IPS/IDS) را فراهم می‌کند.
  
• Malware License برای بررسی و تحلیل فایل‌ها در sandbox و شناسایی بدافزارهاست.
  
• URL Filtering License به شما اجازه می‌دهد دسترسی کاربران به وب‌سایت‌های مختلف را براساس دسته‌بندی‌ها کنترل کنید.
  
• VPN License (RA VPN) برای فعال کردن دسترسی از راه دور کاربران استفاده می‌شود.
  
• و در کنار این‌ها، مفهوم Performance Tier هم وجود دارد که ظرفیت عملکرد یا همان Throughput دستگاه را مشخص می‌کند.
  

اگر فقط Base فعال باشد، سیستم صرفا به‌عنوان فایروال پایه کار می‌کند و هیچ تحلیلی روی ترافیک انجام نمی‌دهد. ولی با اضافه شدن Threat و Malware می‌توانید حملات و بدافزارها را هم شناسایی و مسدود کنید.

آموزش فعال‌سازی لایسنس FTD با Smart Licensing 

فعال‌سازی لایسنس Cisco FTD از طریق Smart Licensing انجام می‌شود. در این روش دستگاه شما با Cisco Smart Software Manager (CSSM) ارتباط برقرار می‌کند و اعتبار لایسنس‌ها را به‌طور آنلاین بررسی می‌کند. مراحل کار به ترتیب زیر است:

1. ورود به FDM
   
   • در مرورگر، آدرس مدیریت FTD را وارد کنید.
     
   • با کاربری مدیریتی وارد شوید.
     
2. رفتن به بخش لایسنس‌ها
   
   • مسیر: Device > View Configuration > Smart License
     
   • در این صفحه وضعیت لایسنس و گزینه‌های ثبت یا همگام‌سازی نمایش داده می‌شود.
     
3. ساخت Smart Account و Virtual Account در CSSM
   
   • به سایت Cisco Software Central وارد شوید.
     
   • یک Smart Account بسازید یا وارد حساب موجود شوید.
     
   • در صورت نیاز، یک Virtual Account برای سازمان یا پروژه ایجاد کنید.
     
4. ایجاد Registration Token
   
   • در CSSM، به بخش Product Instance Registration بروید.
     
   • یک توکن جدید بسازید و مدت اعتبار آن (معمولاً 30 روز) را مشخص کنید.
     
   • اگر قصد دارید از قابلیت‌های رمزنگاری پیشرفته استفاده کنید، گزینه Export-Control را فعال کنید.
     
5. ثبت دستگاه در FDM
   
   • به FDM برگردید.
     
   • روی Register Device کلیک کنید.
     
   • توکن تولیدشده را در فیلد مربوطه قرار دهید.
     
   • در صورت نیاز Region و Performance Tier (برای FTDv) را انتخاب کنید.
     
   • روی Register کلیک کنید.
     
6. تأیید و همگام‌سازی
   
   • بعد از ثبت، دستگاه در CSSM ظاهر می‌شود.
     
   • Base License به‌طور خودکار فعال می‌شود.
     
   • برای اعمال سریع تغییرات، از گزینه Resync Connection استفاده کنید.
     
7. فعال یا غیرفعال کردن لایسنس‌های اختیاری
   
   • در بخش Smart License می‌توانید لایسنس‌های Threat, Malware, URL Filtering, RA VPN را فعال یا غیرفعال کنید.
     
   • توجه کنید که RA VPN در حالت Evaluation قابل‌فعال‌سازی نیست.
     

فعال‌سازی لایسنس Cisco FTD به صورت آفلاین (PLR)

اگر دستگاه شما به اینترنت دسترسی ندارد:

• در CSSM بررسی کنید که گزینه License Reservation فعال باشد.
  
• در FDM مسیر Device > View Configuration > gear > Switch to Universal PLR را انتخاب کنید.
  
• مراحل وارد کردن Authorization Code یا فایل PLR را تکمیل کنید.
  
• به خاطر داشته باشید که بعد از فعال‌سازی PLR دیگر امکان بازگشت به حالت Evaluation وجود ندارد.

بررسی وضعیت و مدیریت لایسنس Cisco FTD در CSSM

پس از فعال‌سازی، باید وضعیت لایسنس‌ها را مرتب بررسی کنید تا مطمئن شوید دستگاه در حالت سالم و ثبت‌شده باقی مانده است.

1. مشاهده وضعیت کلی
   
   • مسیر: Device > View Configuration > Smart License
     
   • وضعیت دستگاه یکی از حالت‌های زیر خواهد بود:
     
     • Authorized: دستگاه ثبت شده و لایسنس کافی دارد.
       
     • Out-of-Compliance: تعداد لایسنس‌های فعال بیشتر از ظرفیت حساب است.
       
     • Authorization Expired: دستگاه مدت زیادی نتوانسته با CSSM ارتباط برقرار کند (بیش از 90 روز).
       
2. بررسی جزئیات لایسنس‌ها
   
   • در همان صفحه می‌توانید وضعیت هر لایسنس (Base, Threat, Malware, URL, VPN و …) را مشاهده کنید.
     
   • در صورت نیاز، می‌توانید هرکدام را Enable یا Disable کنید.
     
3. همگام‌سازی دستی
   
   • اگر لایسنس جدیدی در CSSM اضافه کرده‌اید یا تغییر داده‌اید، باید روی Resync Connection کلیک کنید.
     
   • این کار باعث می‌شود دستگاه فوراً تغییرات را از CSSM دریافت کند.
     
4. چرخه ارتباطی و گواهی
   
   • هنگام ثبت، دستگاه یک ID Certificate از License Authority دریافت می‌کند. این گواهی یک سال اعتبار دارد و هر ۶ ماه تمدید می‌شود.
     
   • اگر ارتباط دستگاه با CSSM برای مدت طولانی (۹ تا ۱۲ ماه) قطع شود، دستگاه از حالت ثبت خارج می‌شود و لایسنس‌ها غیرفعال می‌شوند.
     
   • دستگاه معمولا حدود ۹۰ روز grace period دارد، اما باید قبل از پایان این مدت دوباره با CSSM همگام شود.
     
5. عیب‌یابی خطاها
   
   • اگر پیام Authorization Expired دریافت کردید، بررسی کنید دستگاه به اینترنت و DNS درست دسترسی دارد.
     
   • اگر پیام Out-of-Compliance دیدید، باید در CSSM بررسی کنید که تعداد لایسنس‌ها کافی باشد.
     
   • برای خطاهای ارتباطی، لاگ‌ها را در مسیر System > Monitoring > Events بررسی کنید. معمولاً مشکلات مربوط به NAT، Proxy یا DNS عامل اصلی هستند.
     
   • در صورت رفع مشکل، دوباره Resync Connection را اجرا کنید.
     
   • اگر مشکل ادامه داشت، دستگاه را Unregister و سپس دوباره Register کنید یا با پشتیبانی سیسکو تماس بگیرید.

اشتباهات رایج در فعال‌سازی و مدیریت لایسنس Cisco FTD

خیلی از مدیران شبکه در مراحل اولیه راه‌اندازی دچار اشتباهاتی می‌شوند که بعدها دردسرساز می‌شود. برای مثال:

• شروع به راه‌اندازی سرویس‌ها قبل از فعال‌سازی لایسنس
  
• تنظیم نکردن درست ارتباط دستگاه با CSSM
  
• استفاده از حالت Evaluation و فراموش کردن ثبت دائمی لایسنس
  
• فعال نکردن Export-Control در زمان نصب اولیه برای الگوریتم‌های رمزنگاری قوی
  

این اشتباهات ممکن است باعث شوند سرویس‌های حیاتی فعال نشوند یا پس از مدتی از کار بیفتند.

جمع‌بندی

همان‌طور که دیدیم، لایسنس Cisco FTD فقط یک مجوز ساده نیست؛ بلکه قلب تپنده عملکرد این سیستم امنیتی است. بدون آن‌ها، FTD فقط یک سخت‌افزار خنثی خواهد بود. برای داشتن یک سیستم پایدار و ایمن، باید لایسنس‌های موردنیاز را انتخاب، فعال و به‌طور مرتب مانیتور کنید.
و اگر هنوز مطمئن نیستید لایسنس‌های FTD دستگاهتان فعال هستند یا نه، همین حالا وارد محیط FDM شده و وضعیتشان را بررسی کنید. فعال بودن این لایسنس‌ها تضمین می‌کند که هیچ تهدید امنیتی از چشم شما پنهان نمی‌ماند. برای خرید لایسنس Cisco FTD و یا دریافت مشاوره رایگان با کارشناسان فنی ما در تتیس نت تماس بگیرید و یا فرم مشاوره تخصصی زیر را پر کنید: