Какие лицензии и где нужно активировать на сайте циско, чтобы скачать софт для Firepower?
Есть купленные лицензии для Firepower (PAK), которые привязаны на аккаунт циско:
L-ASA5512-TAMC=
ASA5512-CTRL-LIC=
FS-VMW-10-SW-K9
Есть контракт с опицями, который тоже привязан к этой же учетке:
CON-SNT-ASD120
CON-ECMU-VMSWS10

При попытке скачать софт Firepower вот отсюда
https://software.cisco.com/download/rel ... ype=latest
получаю сообщение, что у аккаунта нет прав на скачку этого софта.

Есть тут люди, которые получали права на скачку софта Firepower?

мне кажется вы быстрее получите ответ от TAC. С разъяснением что вам еще нужно докупить, чтобы скачать эти файлы. тем более что по ASA раньше русскоязычный офис отвечал.

я не уверен, но думаю вам потребуется вот это CON-SNT-A12FPK9, чтобы качать. Но у него конский ценик - почти 5к

Для того чтобы качать софт у вас должен быть обычный смартнет для самой железки ASA5512, или гугл вам в помощь весь софт доступен в открытом доступе

Решили вопрос через поддержку cisco.

Теперь вопрос другой - при установке Firepower модуля на работающую ASA есть ли риски заблочить трафик по причине включения ненастроенного модуля firepower? Как правильно запустить в режиме "все разрешено" и не положить сеть?

Есть документация на сайте циско ком - там все расписано как разворачивать FirePOWER

Как разворачивать - я нашел. Но Я не нашел в документации описание озвученного мною момента. Поэтому надеюсь услышать здесь ответы тех, кто уже разворачивал.

Запустите асдм и действуя по мануалу вы все увидите

Не знаю актуально ли ещё ?

После того как сфр модуль запустится на асе, он будет ждать связи с "manager",которого нужно прописать в самом модуле.А так он просто как сервис работает и ничего не делает.Еще , во время настройки метода работы можно выбрать его режим : sfr fail-open monitor-only(будет помечать пакеты но не более),sfr fail-open(при разрыве связи с firepower будет пропускать все) и sfr fail-close(не рекомендую))).
В панели firepower после присоединения девайса будет применена политика по умолчанию(discovery) или предложат создать новую на выбор .

Ок, спасибо за информацию.

Передача трафика из асы в модуль где то в самой асе настраивается или модуль после получения политики от manager центра сам каким то образом начинает забирать трафик на себя?

Передача трафика в модуль (сенсор SFR) настраивается на ASA'е в "policy-map global_policy" посредством "class-map'ы"

Достаточно создать service-policy, и применить ее глобально - для всех интерфейсов.Но это нужно делать в самом конце, когда sfr-модуль уже запущен и имеет ip , иначе толку ноль .

https://defcon.ru/network-security/3396/ - коротко и ясно,как по мне.