logo sa CISCOCISCO SD-WAN Catalyst Security Configuration

Mga sulod itago
1 Seguridad Virtual nga Imahe
2 I-install ug I-configure ang IPS/ID, URL-F, o AMP Mga Patakaran sa Seguridad
3 Ilha ang Girekomenda nga Security Virtual Image Version
4 I-upload ang Cisco Security Virtual Image ngadto sa Cisco SD-WAN Manager
5 Pag-upgrade sa Security Virtual Image
6 Mga Dokumento / Mga Kapanguhaan
6.1 Mga pakisayran

Seguridad Virtual nga Imahe

CISCO SD-WAN Catalyst Security Configuration - icon 1Aron makab-ot ang pagpayano ug pagkamakanunayon, ang solusyon sa Cisco SD-WAN gi-rebrand isip Cisco Catalyst SD-WAN. Dugang pa, gikan sa Cisco IOS XE SD-WAN Release 17.12.1a ug Cisco Catalyst SD-WAN Release 20.12.1, ang mosunod nga mga kausaban sa component magamit: Cisco vManage ngadto sa Cisco Catalyst SD-WAN Manager, Cisco vAnalytics ngadto sa Cisco Catalyst SD-WAN Analytics, Cisco vBond ngadto sa Cisco Catalyst SD-WAN Validator, ug Cisco vSmart ngadto sa Cisco Catalyst SD-WAN Controller. Tan-awa ang pinakabag-o nga Release Notes para sa usa ka komprehensibo nga lista sa tanan nga mga pagbag-o sa ngalan sa brand. Samtang nag-transition kami sa bag-ong mga ngalan, ang pipila ka mga pagkasukwahi mahimong naa sa set sa dokumentasyon tungod sa usa ka hinay nga pamaagi sa mga update sa user interface sa produkto sa software.

Ang Cisco SD-WAN Manager naggamit sa usa ka Security Virtual Image aron mahimo ang mga bahin sa seguridad sama sa Intrusion Prevention System (IPS), Intrusion Detection System (IDS), URL Pagsala (URL-F), ug Advanced Malware Protection (AMP) sa Cisco IOS XE Catalyst SD-WAN Devices. Kini nga mga feature makahimo sa pag-host sa aplikasyon, real-time nga traffic analysis, ug packet logging sa mga IP network. Sa higayon nga ang imahe file gi-upload sa Cisco SD-WAN Manager Software Repository, makahimo ka og polisiya, profile, ug mga templates sa device nga awtomatikong magduso sa mga polisiya ug mga update sa hustong mga device.
Sa dili pa nimo gamiton kini nga mga bahin, kinahanglan una nimo nga i-install ug i-configure ang IPS/ID, URL-F, o AMP mga palisiya sa seguridad, ug dayon i-upload ang may kalabutan nga Security Virtual Image sa Cisco SD-WAN Manager. Human sa pag-upgrade sa software sa device, kinahanglan usab nimo nga i-upgrade ang Security Virtual Image.
Kini nga kapitulo naghulagway unsaon pagbuhat niini nga mga buluhaton.

  • I-install ug I-configure ang IPS/ID, URL-F, o AMP Mga Patakaran sa Seguridad, sa panid 1
  • Ilha ang Girekomenda nga Security Virtual Image Version, sa panid 4
  • I-upload ang Cisco Security Virtual Image ngadto sa Cisco SD-WAN Manager, sa panid 4
  • Pag-upgrade sa Security Virtual Image, sa panid 5

I-install ug I-configure ang IPS/ID, URL-F, o AMP Mga Patakaran sa Seguridad

Pag-instalar ug pag-configure sa IPS/ID, URL-F, o AMP Ang mga polisiya sa seguridad nagkinahanglan sa mosunod nga workflow:
Buluhaton 1: Paghimo ug Security Policy Template para sa IPS/IDs, URL-F, o AMP Pagsala
Buluhaton 2: Paghimo ug Feature Template para sa Security App Hosting
Buluhaton 3: Paghimo ug Device Template

Buluhaton 4: I-attach ang mga Device sa Device Template
Paghimo ug Security Policy Template

  1. Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Configuration> Security.
  2. I-klik ang Add Security Policy.
  3. Sa bintana sa Add Security Policy, pilia ang imong senaryo sa seguridad gikan sa lista sa mga kapilian.
  4. I-klik ang Padayon.

Paghimo ug Feature Template para sa Security App Hosting
Ang feature profile Ang template nag-configure sa duha ka mga gimbuhaton:

  • NAT: Makapahimo o maka-disable sa Network Address Translation (NAT), nga manalipod sa mga internal nga IP adres kung gawas sa firewall.
  • Resource Profile: Gigahin ang default o taas nga mga kapanguhaan sa lainlaing mga subnet o aparato.

CISCO SD-WAN Catalyst Security Configuration - icon 1Usa ka feature profile template, samtang dili hugot nga gikinahanglan, girekomendar.

Aron makahimo og feature profile template, sunda kini nga mga lakang:

  1. Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Configuration > Templates.
  2. I-klik ang Feature Templates ug dayon i-klik ang Add Template.
    CISCO SD-WAN Catalyst Security Configuration - icon 1 Sa Cisco vManage Release 20.7.1 ug sa sayo pa nga pagpagawas, ang Feature Templates gitawag ug Feature.
  3. Gikan sa lista sa Select Devices, pilia ang mga device nga gusto nimong i-associate sa template.
  4. Ubos sa Basic nga Impormasyon, i-klik Security App Hosting.
  5. Pagsulod sa Ngalan ug Deskripsyon sa Template.
  6. Ubos sa Mga Parameter sa Patakaran sa Seguridad, ipasibo ang mga parametro sa polisiya sa seguridad kon gikinahanglan.
    • I-enable o i-disable ang Network Address Translation (NAT) feature, base sa imong use case. Sa kasagaran, ang NAT on.
    • I-klik ang drop-down arrow aron magtakda og mga utlanan para sa polisiya. Ang default mao ang Default.
    Tibuok kalibutan: Makapahimo sa NAT alang sa tanan nga mga aparato nga gilakip sa template.
    Piho nga Device: Makapahimo sa NAT alang lamang sa piho nga mga himan. Kon imong pilion ang Device Specific, isulod ang ngalan sa usa ka device key.
    Default: Makapahimo sa default nga polisiya sa NAT alang sa mga device nga gilakip sa template.
    • Ibutang ang Resource Profile. Kini nga opsyon nagtakda sa gidaghanon sa snort instances nga gamiton sa usa ka router. Ang default mao ang Low nga nagpakita sa usa ka snort instance. Ang medium nagpakita sa duha ka mga higayon ug ang Taas nagpakita sa tulo ka mga higayon.
    • I-klik ang drop-down arrow aron magbutang og mga utlanan alang sa resource profile. Ang default mao ang Global.
    Global: Makapahimo sa pinili nga kapanguhaan profile alang sa tanan nga mga aparato nga gilakip sa template.
    Piho nga Device: Makapahimo sa profile alang lamang sa piho nga mga himan. Kon imong pilion ang Device Specific, isulod ang ngalan sa usa ka device key.
    Default: Makapahimo sa default resource profile alang sa mga himan nga gilakip sa template.
  7. Ibutang ang Download URL Database sa Device ngadto sa Oo kung gusto nimo i-download ang URL-F database sa device. Niini nga kaso, ang device mangita sa lokal nga database sa dili pa mosulay sa cloud lookup.
  8. I-klik ang Save.

Paghimo ug Device Template
Aron ma-activate ang mga polisiya nga gusto nimong iaplikar, mahimo kang maghimo og template sa device nga magduso sa mga polisiya ngadto sa mga device nga nagkinahanglan niini. Ang magamit nga mga kapilian magkalainlain sa tipo sa aparato. Kay exampUg, ang Cisco SD-WAN Manager nga mga device nagkinahanglan og mas limitado nga subset sa mas dako nga template sa device. Makita ra nimo ang balido nga mga kapilian alang sa modelo sa aparato.
Para maghimo ug security device template, sunda kini nga example para sa vEdge 2000 model routers:

  1. Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Configuration > Templates.
  2. I-klik ang Device Templates, ug dayon pilia ang Create Template > From Feature Template.
    CISCO SD-WAN Catalyst Security Configuration - icon 1 Sa Cisco vManage Release 20.7.1 ug sa sayo pa nga pagpagawas, ang Device Templates gitawag og Device.
  3. Gikan sa drop-down nga lista sa Device Model, pilia ang modelo sa device.
  4. Gikan sa drop-down list sa Device Role, pilia ang papel sa device.
  5. Pagsulod sa Ngalan ug Deskripsyon sa Template.
  6. I-scroll down ang panid ngadto sa configuration submenus nga mopili nimo og kasamtangan nga template, paghimo og bag-ong template, o view ang kasamtangan nga template. Kay exampug, aron makahimo og bag-ong System template, i-klik ang Create Template.

I-attach ang mga Device sa Device Template

  1. Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Configuration > Templates.
  2. I-klik ang Device Templates, ug dayon pilia ang Create Template > From Feature Template.
    CISCO SD-WAN Catalyst Security Configuration - icon 1 Sa Cisco vManage Release 20.7.1 ug sa sayo pa nga pagpagawas, ang Device Templates gitawag og Device.
  3. Sa laray sa gitinguha nga template sa device, i-klik ang … ug pilia ang Attach Devices.
  4. Diha sa Attach Devices nga bintana, pilia ang gusto nga mga device gikan sa Available Devices list, ug i-klik ang right-pointing arrow aron ibalhin kini ngadto sa Selected Devices list.
  5. I-klik ang Attach.

Ilha ang Girekomenda nga Security Virtual Image Version

Usahay, mahimo nimong susihon ang girekomenda nga numero sa pagpagawas sa Security Virtual Image (SVI) alang sa gihatag nga aparato. Aron masusi kini gamit ang Cisco SD-WAN Manager:
Lakang 1
Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Monitor > Devices.
Cisco vManage Release 20.6.x ug mas sayo pa: Gikan sa Cisco SD-WAN Manager menu, pilia ang Monitor > Network.
Lakang 2
Pilia ang WAN - Edge.
Lakang 3
Pilia ang device nga modagan sa SVI.
Ang System Status nga panid gipakita.
Lakang 4
Pag-scroll ngadto sa katapusan sa menu sa device, ug i-klik ang Real Time.
Nagpakita ang panid sa Impormasyon sa Sistema.
Lakang 5
I-klik ang Device Options field, ug pilia ang Security App Version Status gikan sa menu.
Lakang 6
Gipakita ang ngalan sa imahe sa kolum nga Girekomenda nga Bersyon. Kini kinahanglan nga mohaum sa anaa nga SVI alang sa imong router gikan sa Cisco downloads website.

I-upload ang Cisco Security Virtual Image ngadto sa Cisco SD-WAN Manager

Ang matag imahe sa router nagsuporta sa usa ka piho nga han-ay sa mga bersyon alang sa usa ka gi-host nga aplikasyon. Para sa IPS/ID ug URL-Pagsala, makit-an nimo ang hanay sa gisuportahan nga mga bersyon (ug ang girekomenda nga bersyon) alang sa usa ka aparato sa panid sa Mga Opsyon sa Device.
Kung ang usa ka palisiya sa seguridad gikuha gikan sa Cisco IOS XE Catalyst SD-WAN nga mga aparato, ang Virtual Image o Snort nga makina gikuha usab gikan sa mga aparato.

Lakang 1 Gikan sa panid sa Pag-download sa Software alang sa imong router, pangitaa ang imahe nga UTD Engine alang sa IOS XE SD-WAN.
Lakang 2 I-klik ang pag-download aron ma-download ang imahe file.
Lakang 3 Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Maintenance> Software Repository
Lakang 4 Pilia ang Virtual nga mga Imahe.
Lakang 5 I-klik ang Upload Virtual Image, ug pilia ang vManage o Remote Server - vManage. Ang Pag-upload sa Virtual nga Imahe sa vManage nga bintana magbukas.
Lakang 6 I-drag ug ihulog, o i-browse ang imahe file.
Lakang 7 I-klik ang Upload. Kung makompleto ang pag-upload, usa ka mensahe sa kumpirmasyon ang gipakita. Ang bag-ong virtual nga imahe nagpakita sa Virtual Images Software Repository.

Pag-upgrade sa Security Virtual Image

Sa diha nga ang Cisco IOS XE Catalyst SD-WAN device gi-upgrade ngadto sa bag-ong software image, ang security virtual image kinahanglan usab nga i-upgrade aron sila magkatugma. Kung adunay dili pagtugma sa mga imahe sa software, mapakyas ang usa ka template sa VPN sa aparato.
CISCO SD-WAN Catalyst Security Configuration - icon 1 Kung ang opsyon sa IPS Signature Update ma-enable, ang katugbang nga IPS signature package awtomatikong ma-update isip kabahin sa upgrade. Mahimo nimong mahimo ang setting gikan sa Administration> Settings> IPS Signature Update.
Aron ma-upgrade ang aplikasyon nga nag-host sa virtual nga imahe alang sa usa ka aparato, sunda kini nga mga lakang:

Lakang 1 Sunda ang mga lakang sa Pag-upload sa Husto nga Cisco Security Virtual Image sa vManage aron ma-download ang girekomenda nga bersyon sa SVI alang sa imong router. Tan-awa ang ngalan sa bersyon.
Lakang 2 Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Maintenance> Software Repository> Virtual Images aron mapamatud-an nga ang bersyon sa imahe nga gilista sa ilawom sa kolum nga Girekomenda nga Bersyon motakdo sa usa ka virtual nga imahe nga gilista sa lamesa sa Virtual Images.
Lakang 3 Gikan sa Cisco SD-WAN Manager nga menu, pilia ang Maintenance> Software Upgrade. Ang panid sa pag-upgrade sa WAN Edge Software nagpakita.
Lakang 4 Pilia ang mga himan nga gusto nimong i-upgrade, ug susiha ang mga check box sa pinakawala nga kolum. Kung nakapili ka usa o daghang mga aparato, usa ka laray sa mga kapilian ang gipakita, ingon man ang gidaghanon sa mga linya nga imong gipili.
Lakang 5 Kung natagbaw ka sa imong mga kapilian, pilia ang Pag-upgrade sa Virtual nga Imahe gikan sa menu sa mga kapilian. Ang Virtual Image Upgrade dialog box nagpakita.
Lakang 6 Para sa matag device nga imong gipili, pilia ang saktong upgrade nga bersyon gikan sa Upgrade to Version drop-down menu.
Lakang 7 Kung nakapili ka usa ka bersyon sa pag-upgrade alang sa matag aparato, i-klik ang Pag-upgrade. Kung makompleto ang pag-update, usa ka mensahe sa kumpirmasyon ang gipakita.

Mga Dokumento / Mga Kapanguhaan

CISCO SD-WAN Catalyst Security Configuration [pdf] Giya sa Gumagamit
SD-WAN, SD-WAN Catalyst Security Configuration, Catalyst Security Configuration, Security Configuration, Configuration

Mga pakisayran

Pagbilin ug komento

Ang imong email address dili mamantala. Ang gikinahanglan nga mga natad gimarkahan *