Logo CISCOKonfigurace zabezpečení CISCO SD-WAN Catalyst

Obsah skrýt
1 Zabezpečení Virtuální obrázek
2 Instalace a konfigurace IPS/IDS, URL-Pro AMP Bezpečnostní zásady
3 Zjistěte doporučenou verzi virtuálního obrazu zabezpečení
4 Nahrajte virtuální obrázek Cisco Security do Cisco SD-WAN Manager
5 Upgradujte bezpečnostní virtuální obraz
6 Dokumenty / zdroje
6.1 Reference

Zabezpečení Virtuální obrázek

Konfigurace zabezpečení CISCO SD-WAN Catalyst – ikona 1Pro dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst SD-WAN. Kromě toho jsou od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 použitelné následující změny součástí: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nekonzistence kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.

Cisco SD-WAN Manager používá bezpečnostní virtuální obraz k aktivaci bezpečnostních funkcí, jako je systém prevence narušení (IPS), systém detekce narušení (IDS), URL Filtrování (URL-F) a pokročilá ochrana proti malwaru (AMP) na zařízeních Cisco IOS XE Catalyst SD-WAN. Tyto funkce umožňují hostování aplikací, analýzu provozu v reálném čase a protokolování paketů v sítích IP. Jednou obraz file je nahrána do úložiště softwaru Cisco SD-WAN Manager Software Repository, můžete vytvářet zásady, profilea šablony zařízení, které automaticky přenesou zásady a aktualizace do správných zařízení.
Před použitím těchto funkcí musíte nejprve nainstalovat a nakonfigurovat IPS/IDS, URL-Pro AMP bezpečnostní zásady a poté nahrajte příslušný Security Virtual Image do Cisco SD-WAN Manager. Po upgradu softwaru v zařízení musíte upgradovat také Security Virtual Image.
Tato kapitola popisuje, jak tyto úkoly provádět.

  • Instalace a konfigurace IPS/IDS, URL-Pro AMP Bezpečnostní zásady, na straně 1
  • Zjistěte doporučenou verzi virtuálního obrazu zabezpečení, na straně 4
  • Nahrajte virtuální obrázek Cisco Security do Cisco SD-WAN Manager, na straně 4
  • Upgrade bezpečnostního virtuálního obrazu, na straně 5

Instalace a konfigurace IPS/IDS, URL-Pro AMP Bezpečnostní zásady

Instalace a konfigurace IPS/IDS, URL-Pro AMP bezpečnostní zásady vyžadují následující pracovní postup:
Úkol 1: Vytvořte šablonu bezpečnostní politiky pro IPS/IDS, URL-Pro AMP Filtrování
Úkol 2: Vytvořte šablonu funkcí pro hostování bezpečnostních aplikací
Úkol 3: Vytvořte šablonu zařízení

Úkol 4: Připojte zařízení k šabloně zařízení
Vytvořte šablonu zásad zabezpečení

  1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Zabezpečení.
  2. Klepněte na Přidat zásady zabezpečení.
  3. V okně Přidat zásady zabezpečení vyberte ze seznamu možností svůj scénář zabezpečení.
  4. Klepněte na tlačítko Pokračovat.

Vytvořte šablonu funkcí pro hostování bezpečnostních aplikací
Funkce profile šablona konfiguruje dvě funkce:

  • NAT: Povolí nebo zakáže překlad síťových adres (NAT), který chrání interní adresy IP mimo bránu firewall.
  • Zdroj Profile: Přiděluje výchozí nebo vysoké zdroje různým podsítím nebo zařízením.

Konfigurace zabezpečení CISCO SD-WAN Catalyst – ikona 1Funkce profíkfile šablona, ​​i když to není striktně vyžadováno, je doporučeno.

Chcete-li vytvořit funkci profile šablony, postupujte takto:

  1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Šablony.
  2. Klikněte na Šablony funkcí a poté na Přidat šablonu.
    Konfigurace zabezpečení CISCO SD-WAN Catalyst – ikona 1 V Cisco vManage Release 20.7.1 a dřívějších verzích se Feature Templates nazývá Feature.
  3. Ze seznamu Vybrat zařízení vyberte zařízení, která chcete přiřadit k šabloně.
  4. V části Základní informace klikněte na Hosting aplikací zabezpečení.
  5. Zadejte název a popis šablony.
  6. V části Parametry zásad zabezpečení upravte v případě potřeby parametry zásad zabezpečení.
    • Povolte nebo zakažte funkci překladu síťových adres (NAT) na základě vašeho případu použití. Ve výchozím nastavení je NAT zapnutý.
    • Klepnutím na šipku rozevíracího seznamu nastavte hranice zásady. Výchozí nastavení je Výchozí.
    Globální: Povolí NAT pro všechna zařízení připojená k šabloně.
    Specifické pro zařízení: Umožňuje NAT pouze pro specifikovaná zařízení. Pokud vyberete možnost Specifické pro zařízení, zadejte název klíče zařízení.
    Výchozí: Povolí výchozí zásadu NAT pro zařízení připojená k šabloně.
    • Nastavte Resource Profile. Tato možnost nastavuje počet instancí snortu, které mají být použity na routeru. Výchozí hodnota je Nízká, což znamená jednu instanci odfrknutí. Střední označuje dva výskyty a vysoké tři případy.
    • Klepnutím na šipku rozevíracího seznamu nastavte hranice pro odborníka na zdrojefile. Výchozí hodnota je Globální.
    Globální: Povolí vybrané zdroje profile pro všechna zařízení připojená k šabloně.
    Specifické pro zařízení: Umožňuje profile pouze pro specifikovaná zařízení. Pokud vyberete možnost Specifické pro zařízení, zadejte název klíče zařízení.
    Výchozí: Povolí výchozí prostředek profile pro zařízení připojená k šabloně.
  7. Nastavit stahování URL Databáze na zařízení na Ano, pokud chcete stáhnout soubor URL-F databáze na zařízení. V tomto případě zařízení před pokusem o cloudové vyhledávání vyhledá v místní databázi.
  8. Klikněte na Uložit.

Vytvořte šablonu zařízení
Chcete-li aktivovat zásady, které chcete použít, můžete vytvořit šablonu zařízení, která zásady přenese do zařízení, která je potřebují. Dostupné možnosti se liší podle typu zařízení. NapřampZařízení Cisco SD-WAN Manager vyžadují omezenější podmnožinu větší šablony zařízení. Uvidíte pouze platné možnosti pro daný model zařízení.
Chcete-li vytvořit šablonu bezpečnostního zařízení, postupujte podle tohoto příkladuample pro model routerů vEdge 2000:

  1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Šablony.
  2. Klikněte na Šablony zařízení a pak zvolte Vytvořit šablonu > Ze šablony funkce.
    Konfigurace zabezpečení CISCO SD-WAN Catalyst – ikona 1 V Cisco vManage Release 20.7.1 a dřívějších verzích se Šablony zařízení nazývají Zařízení.
  3. Z rozevíracího seznamu Model zařízení vyberte model zařízení.
  4. Z rozevíracího seznamu Role zařízení vyberte roli zařízení.
  5. Zadejte název a popis šablony.
  6. Přejděte na stránce dolů do podnabídky konfigurace, která vám umožní vybrat existující šablonu, vytvořit novou šablonu nebo view existující šablonu. NapřampChcete-li vytvořit novou šablonu systému, klepněte na Vytvořit šablonu.

Připojte zařízení k šabloně zařízení

  1. Z nabídky Cisco SD-WAN Manager vyberte Konfigurace > Šablony.
  2. Klikněte na Šablony zařízení a pak zvolte Vytvořit šablonu > Ze šablony funkce.
    Konfigurace zabezpečení CISCO SD-WAN Catalyst – ikona 1 V Cisco vManage Release 20.7.1 a dřívějších verzích se Šablony zařízení nazývají Zařízení.
  3. V řádku požadované šablony zařízení klikněte na … a zvolte Připojit zařízení.
  4. V okně Připojit zařízení vyberte požadovaná zařízení ze seznamu Dostupná zařízení a kliknutím na šipku směřující doprava je přesuňte do seznamu Vybraná zařízení.
  5. Klepněte na tlačítko Připojit.

Zjistěte doporučenou verzi virtuálního obrazu zabezpečení

Občas můžete chtít zkontrolovat doporučené číslo vydání Security Virtual Image (SVI) pro dané zařízení. Chcete-li to zkontrolovat pomocí Cisco SD-WAN Manager:
Krok 1
Z nabídky Cisco SD-WAN Manager vyberte Monitor > Zařízení.
Cisco vManage Release 20.6.xa starší: Z nabídky Cisco SD-WAN Manager vyberte Monitor > Síť.
Krok 2
Vyberte WAN – Edge.
Krok 3
Vyberte zařízení, které bude provozovat SVI.
Zobrazí se stránka Stav systému.
Krok 4
Přejděte na konec nabídky zařízení a klikněte na možnost Real Time.
Zobrazí se stránka Systémové informace.
Krok 5
Klikněte na pole Možnosti zařízení a z nabídky vyberte Stav verze bezpečnostní aplikace.
Krok 6
Název obrázku se zobrazí ve sloupci Doporučená verze. Mělo by odpovídat dostupnému SVI pro váš router ze souborů Cisco ke stažení webmísto.

Nahrajte virtuální obrázek Cisco Security do Cisco SD-WAN Manager

Každý obraz routeru podporuje určitou řadu verzí pro hostovanou aplikaci. Pro IPS/IDS a URL-Filtrování, můžete najít rozsah podporovaných verzí (a doporučenou verzi) pro zařízení na jeho stránce Možnosti zařízení.
Když je ze zařízení Cisco IOS XE Catalyst SD-WAN odstraněna bezpečnostní zásada, je ze zařízení odebrán také modul Virtual Image nebo Snort.

Krok 1 Na stránce Stažení softwaru pro váš router najděte obraz UTD Engine pro IOS XE SD-WAN.
Krok 2 Kliknutím na tlačítko Stáhnout stáhněte obrázek file.
Krok 3 V nabídce Cisco SD-WAN Manager vyberte Údržba > Úložiště softwaru
Krok 4 Vyberte Virtuální obrázky.
Krok 5 Klikněte na Nahrát virtuální obrázek a vyberte buď vManage, nebo Remote Server – vManage. Otevře se okno Nahrát virtuální obrázek do vManage.
Krok 6 Přetáhněte nebo přejděte na obrázek file.
Krok 7 Klikněte na Nahrát. Po dokončení nahrávání se zobrazí potvrzovací zpráva. Nový virtuální obraz se zobrazí v úložišti softwaru Virtual Images.

Upgradujte bezpečnostní virtuální obraz

Když je zařízení Cisco IOS XE Catalyst SD-WAN upgradováno na novou bitovou kopii softwaru, je třeba upgradovat také virtuální bitovou kopii zabezpečení, aby se shodovaly. Pokud je v obrazech softwaru neshoda, odeslání šablony VPN do zařízení selže.
Konfigurace zabezpečení CISCO SD-WAN Catalyst – ikona 1 Pokud je povolena možnost Aktualizace podpisu IPS, odpovídající balíček podpisů IPS se automaticky aktualizuje jako součást aktualizace. Nastavení můžete povolit z Administrace > Nastavení > Aktualizace podpisu IPS.
Chcete-li upgradovat aplikaci hostující virtuální obraz pro zařízení, postupujte takto:

Krok 1 Postupujte podle kroků v části Nahrání správného virtuálního obrazu Cisco Security do vManage a stáhněte si doporučenou verzi SVI pro váš router. Poznamenejte si název verze.
Krok 2 V nabídce Cisco SD-WAN Manager zvolte Údržba > Úložiště softwaru > Virtuální obrazy a ověřte, zda verze bitové kopie uvedená ve sloupci Doporučená verze odpovídá virtuální bitové kopii uvedené v tabulce Virtuální bitové kopie.
Krok 3 V nabídce Cisco SD-WAN Manager zvolte Údržba > Aktualizace softwaru. Zobrazí se stránka aktualizace softwaru WAN Edge.
Krok 4 Vyberte zařízení, která chcete upgradovat, a zaškrtněte políčka ve sloupci zcela vlevo. Když vyberete jedno nebo více zařízení, zobrazí se řada možností a také počet zvolených řádků.
Krok 5 Když jste se svými volbami spokojeni, zvolte Upgrade Virtual Image z nabídky možností. Zobrazí se dialogové okno Upgrade virtuálního obrazu.
Krok 6 Pro každé zařízení, které jste si vybrali, vyberte správnou verzi aktualizace z rozbalovací nabídky Upgrade to Version.
Krok 7 Když jste vybrali verzi upgradu pro každé zařízení, klikněte na Upgrade. Po dokončení aktualizace se zobrazí potvrzovací zpráva.

Dokumenty / zdroje

Konfigurace zabezpečení CISCO SD-WAN Catalyst [pdfUživatelská příručka
SD-WAN, SD-WAN Catalyst Security Configuration, Catalyst Security Configuration, Security Configuration, Configuration

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *