Logotipo de CISCOConfiguración de seguridade de CISCO SD-WAN Catalyst

Contidos ocultar
1 Imaxe virtual de seguridade
2 Instalar e configurar IPS/IDS, URL-F, ou AMP Políticas de seguridade
3 Identifique a versión de imaxe virtual de seguranza recomendada
4 Cargue a imaxe virtual de seguridade de Cisco a Cisco SD-WAN Manager
5 Actualiza unha imaxe virtual de seguridade
6 Documentos/Recursos
6.1 Referencias

Imaxe virtual de seguridade

CISCO SD-WAN Catalyst Security Configuration - icona 1Para lograr simplificación e coherencia, a solución Cisco SD-WAN foi rebautizada como Cisco Catalyst SD-WAN. Ademais, desde Cisco IOS XE SD-WAN versión 17.12.1a e Cisco Catalyst SD-WAN versión 20.12.1, son aplicables os seguintes cambios de compoñentes: Cisco vManage a Cisco Catalyst SD-WAN Manager, Cisco vAnalytics a Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator e Cisco vSmart to Cisco Catalyst SD-WAN Controller. Consulte as últimas notas de lanzamento para obter unha lista completa de todos os cambios de marca de compoñentes. Mentres facemos a transición aos novos nomes, algunhas inconsistencias poden estar presentes no conxunto de documentación debido a un enfoque gradual das actualizacións da interface de usuario do produto de software.

Cisco SD-WAN Manager usa unha imaxe virtual de seguranza para activar funcións de seguranza como o sistema de prevención de intrusións (IPS), o sistema de detección de intrusións (IDS). URL Filtrado (URL-F) e Protección avanzada contra malware (AMP) en dispositivos Cisco IOS XE Catalyst SD-WAN. Estas funcións permiten aloxamento de aplicacións, análise de tráfico en tempo real e rexistro de paquetes en redes IP. Unha vez que a imaxe file se carga no repositorio de software de Cisco SD-WAN Manager, pode crear unha política, profile, e modelos de dispositivos que enviarán as políticas e actualizacións aos dispositivos correctos automaticamente.
Antes de utilizar estas funcións, primeiro debe instalar e configurar IPS/IDS, URL-F, ou AMP políticas de seguranza e, a continuación, cargue a imaxe virtual de seguranza relevante a Cisco SD-WAN Manager. Despois de actualizar o software do dispositivo, tamén debes actualizar a imaxe virtual de seguranza.
Neste capítulo descríbese como realizar estas tarefas.

  • Instalar e configurar IPS/IDS, URL-F, ou AMP Políticas de seguridade, na páxina 1
  • Identifique a versión de imaxe virtual de seguranza recomendada, na páxina 4
  • Cargue a imaxe virtual de seguridade de Cisco en Cisco SD-WAN Manager, na páxina 4
  • Actualiza unha imaxe virtual de seguranza, na páxina 5

Instalar e configurar IPS/IDS, URL-F, ou AMP Políticas de seguridade

Instalación e configuración de IPS/IDS, URL-F, ou AMP As políticas de seguridade requiren o seguinte fluxo de traballo:
Tarefa 1: crear un modelo de política de seguranza para IPS/IDS, URL-F, ou AMP Filtrado
Tarefa 2: crear un modelo de funcións para aloxamento de aplicacións de seguridade
Tarefa 3: crear un modelo de dispositivo

Tarefa 4: anexar dispositivos ao modelo do dispositivo
Crear un modelo de política de seguridade

  1. No menú Cisco SD-WAN Manager, escolla Configuración > Seguridade.
  2. Fai clic en Engadir política de seguranza.
  3. Na xanela Engadir política de seguranza, seleccione o seu escenario de seguridade na lista de opcións.
  4. Fai clic en Proceder.

Crea un modelo de funcións para aloxamento de aplicacións de seguridade
A función profile O modelo configura dúas funcións:

  • NAT: activa ou desactiva a tradución de enderezos de rede (NAT), que protexe os enderezos IP internos cando está fóra do firewall.
  • Recursos Profile: Asigna recursos predeterminados ou altos a diferentes subredes ou dispositivos.

CISCO SD-WAN Catalyst Security Configuration - icona 1Unha característica profesionalfile O modelo, aínda que non é estrictamente necesario, é recomendable.

Para crear unha función profile modelo, siga estes pasos:

  1. No menú Cisco SD-WAN Manager, escolla Configuración > Modelos.
  2. Faga clic en Modelos de funcións e, a continuación, en Engadir modelo.
    CISCO SD-WAN Catalyst Security Configuration - icona 1 En Cisco vManage Release 20.7.1 e versións anteriores, os modelos de características chámanse Feature.
  3. Na lista Seleccionar dispositivos, escolla os dispositivos que desexa asociar ao modelo.
  4. En Información básica, fai clic en Aloxamento de aplicacións de seguranza.
  5. Introduza o nome e a descrición do modelo.
  6. En Parámetros da política de seguranza, personaliza os parámetros da política de seguranza se é necesario.
    • Activa ou desactiva a función de tradución de enderezos de rede (NAT) segundo o teu caso de uso. Por defecto, NAT está activado.
    • Fai clic na frecha despregábel para establecer límites para a política. O valor predeterminado é Predeterminado.
    Global: activa NAT para todos os dispositivos conectados ao modelo.
    Específico do dispositivo: activa NAT só para dispositivos especificados. Se selecciona Dispositivo específico, introduza o nome dunha clave do dispositivo.
    Predeterminado: activa a política NAT predeterminada para os dispositivos conectados ao modelo.
    • Establecer Resource Profile. Esta opción define o número de instancias de snort que se usarán nun enrutador. O valor predeterminado é Baixo que indica unha instancia de snort. Medio indica dúas instancias e Alta indica tres instancias.
    • Fai clic na frecha despregábel para establecer límites para o recurso profesionalfile. O valor predeterminado é Global.
    Global: activa o recurso seleccionado profesionalfile para todos os dispositivos conectados ao modelo.
    Dispositivo específico: activa o profile só para dispositivos especificados. Se selecciona Dispositivo específico, introduza o nome dunha clave do dispositivo.
    Predeterminado: activa o recurso predeterminado profile para dispositivos conectados ao modelo.
  7. Establecer Descarga URL Base de datos no dispositivo a Si se quere descargar o URL-F base de datos no dispositivo. Neste caso, o dispositivo busca na base de datos local antes de probar a busca na nube.
  8. Fai clic en Gardar.

Crear un modelo de dispositivo
Para activar as políticas que quere aplicar, pode crear un modelo de dispositivo que enviará as políticas aos dispositivos que as necesiten. As opcións dispoñibles varían segundo o tipo de dispositivo. Por exampOs dispositivos Cisco SD-WAN Manager requiren un subconxunto máis limitado do modelo de dispositivo máis grande. Só verás opcións válidas para ese modelo de dispositivo.
Para crear un modelo de dispositivo de seguranza, siga este exemploample para routers modelo vEdge 2000:

  1. No menú Cisco SD-WAN Manager, escolla Configuración > Modelos.
  2. Faga clic en Modelos de dispositivos e, a continuación, escolla Crear modelo > Desde o modelo de función.
    CISCO SD-WAN Catalyst Security Configuration - icona 1 En Cisco vManage Release 20.7.1 e versións anteriores, os modelos de dispositivos chámanse Device.
  3. Na lista despregable Modelo de dispositivo, escolla o modelo de dispositivo.
  4. Na lista despregable Función do dispositivo, escolla o rol do dispositivo.
  5. Introduza o nome e a descrición do modelo.
  6. Desprácese pola páxina ata os submenús de configuración que che permiten seleccionar un modelo existente, crear un novo ou view o modelo existente. Por example, para crear un novo modelo de sistema, faga clic en Crear modelo.

Anexa dispositivos ao modelo do dispositivo

  1. No menú Cisco SD-WAN Manager, escolla Configuración > Modelos.
  2. Faga clic en Modelos de dispositivos e, a continuación, escolla Crear modelo > Desde o modelo de función.
    CISCO SD-WAN Catalyst Security Configuration - icona 1 En Cisco vManage Release 20.7.1 e versións anteriores, os modelos de dispositivos chámanse Device.
  3. Na fila do modelo de dispositivo desexado, faga clic en... e escolla Achegar dispositivos.
  4. Na xanela Anexar dispositivos, seleccione os dispositivos desexados na lista Dispositivos dispoñibles e prema na frecha cara á dereita para movelos á lista Dispositivos seleccionados.
  5. Fai clic en Anexar.

Identifique a versión de imaxe virtual de seguranza recomendada

Ás veces, pode querer comprobar o número de versión de imaxe virtual de seguranza (SVI) recomendado para un dispositivo determinado. Para comprobar isto usando Cisco SD-WAN Manager:
Paso 1
No menú Cisco SD-WAN Manager, escolla Monitor > Dispositivos.
Cisco vManage Release 20.6.x e anteriores: no menú Cisco SD-WAN Manager, escolla Monitor > Network.
Paso 2
Escolla WAN – Edge.
Paso 3
Escolla o dispositivo que executará o SVI.
Aparece a páxina Estado do sistema.
Paso 4
Desprázate ata o final do menú do dispositivo e fai clic en Tempo real.
Aparece a páxina Información do sistema.
Paso 5
Fai clic no campo Opcións do dispositivo e escolla Estado da versión da aplicación de seguranza no menú.
Paso 6
O nome da imaxe móstrase na columna Versión recomendada. Debería coincidir co SVI dispoñible para o seu enrutador das descargas de Cisco websitio.

Cargue a imaxe virtual de seguridade de Cisco a Cisco SD-WAN Manager

Cada imaxe do enrutador admite unha gama específica de versións para unha aplicación aloxada. Para IPS/IDS e URL-Filtrado, podes atopar a gama de versións compatibles (e a versión recomendada) para un dispositivo na súa páxina Opcións do dispositivo.
Cando se elimina unha política de seguranza dos dispositivos Cisco IOS XE Catalyst SD-WAN, o motor Virtual Image ou Snort tamén se elimina dos dispositivos.

Paso 1 Desde a páxina de descarga de software do seu enrutador, localice a imaxe UTD Engine para IOS XE SD-WAN.
Paso 2 Fai clic en descargar para descargar a imaxe file.
Paso 3 No menú Cisco SD-WAN Manager, escolla Mantemento > Repositorio de software
Paso 4 Escolla imaxes virtuais.
Paso 5 Fai clic en Cargar imaxe virtual e escolla vManage ou Remote Server – vManage. Ábrese a xanela Cargar imaxe virtual en vManage.
Paso 6 Arrastre e solte, ou navegue ata a imaxe file.
Paso 7 Fai clic en Cargar. Cando finalice a carga, aparece unha mensaxe de confirmación. A nova imaxe virtual móstrase no Repositorio de software de imaxes virtuais.

Actualiza unha imaxe virtual de seguridade

Cando un dispositivo Cisco IOS XE Catalyst SD-WAN se actualiza a unha nova imaxe de software, a imaxe virtual de seguranza tamén debe actualizarse para que coincidan. Se hai unha falta de coincidencia nas imaxes do software, fallará o envío de modelos VPN ao dispositivo.
CISCO SD-WAN Catalyst Security Configuration - icona 1 Se a opción Actualización de sinatura IPS está activada, o paquete de sinatura IPS correspondente actualízase automaticamente como parte da actualización. Pode activar a configuración desde Administración > Configuración > Actualización de sinatura IPS.
Para actualizar a aplicación que aloxa a imaxe virtual dun dispositivo, siga estes pasos:

Paso 1 Siga os pasos en Cargar a imaxe virtual correcta de Cisco Security en vManage para descargar a versión recomendada do SVI para o seu enrutador. Teña en conta o nome da versión.
Paso 2 No menú Cisco SD-WAN Manager, escolla Mantemento > Repositorio de software > Imaxes virtuais para verificar que a versión da imaxe que aparece na columna Versión recomendada coincide cunha imaxe virtual que aparece na táboa de imaxes virtuais.
Paso 3 No menú Cisco SD-WAN Manager, escolla Mantemento > Actualización de software. Aparece a páxina de actualización do software WAN Edge.
Paso 4 Escolla os dispositivos que desexa actualizar e marque as caixas de verificación da columna da esquerda. Cando escolliches un ou máis dispositivos, móstrase unha fila de opcións, así como o número de filas que escolleches.
Paso 5 Cando estea satisfeito coas súas opcións, escolla Actualizar imaxe virtual no menú de opcións. Aparece o cadro de diálogo Actualización da imaxe virtual.
Paso 6 Para cada dispositivo que elixiu, escolla a versión de actualización correcta no menú despregable Actualizar á versión.
Paso 7 Cando escolle unha versión de actualización para cada dispositivo, faga clic en Actualizar. Cando finalice a actualización, aparece unha mensaxe de confirmación.

Documentos/Recursos

Configuración de seguridade de CISCO SD-WAN Catalyst [pdfGuía do usuario
SD-WAN, SD-WAN Configuración de seguranza de Catalyst, Configuración de seguranza de Catalyst, Configuración de seguranza, Configuración

Referencias

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *