Sekirite Virtuel Imaj

Pou reyalize senplifikasyon ak konsistans, solisyon Cisco SD-WAN te rebranded kòm Cisco Catalyst SD-WAN. Anplis de sa, soti nan Cisco IOS XE SD-WAN Release 17.12.1a ak Cisco Catalyst SD-WAN Release 20.12.1, chanjman sa yo nan eleman yo aplikab: Cisco vManage to Cisco Catalyst SD-WAN Manager, Cisco vAnalytics to Cisco Catalyst SD-WAN Analytics, Cisco vBond pou Cisco Catalyst SD-WAN Validator, ak Cisco vSmart pou Cisco Catalyst SD-WAN Controller. Gade dènye Nòt lage yo pou jwenn yon lis konplè sou tout chanjman non mak eleman yo. Pandan ke nou tranzisyon nan nouvo non yo, gen kèk enkonsistans ka prezan nan seri dokiman an akòz yon apwòch pwogresiv nan mizajou koòdone itilizatè a nan pwodwi lojisyèl an.

Cisco SD-WAN Manadjè sèvi ak yon imaj Sekirite Virtuel pou pèmèt karakteristik sekirite tankou Sistèm Prevansyon Entrizyon (IPS), Sistèm Deteksyon Entrizyon (IDS), URL Filtrage (URL-F), ak Pwoteksyon Avanse Malveyan (AMP) sou Cisco IOS XE Catalyst SD-WAN Aparèy. Karakteristik sa yo pèmèt hosting aplikasyon an, analiz trafik an tan reyèl, ak anrejistreman pake sou rezo IP. Yon fwa imaj la file se Uploaded nan Cisco SD-WAN Manager Software Repository, ou ka kreye politik, profile, ak modèl aparèy ki pral pouse règleman yo ak mizajou nan aparèy ki kòrèk yo otomatikman.
Anvan ou sèvi ak karakteristik sa yo, ou dwe premye enstale ak konfigirasyon IPS/IDS, URL-F, oswa AMP politik sekirite, ak Lè sa a, Upload ki enpòtan Sekirite Virtuel Imaj la nan Cisco SD-WAN Manadjè. Apre amelyore lojisyèl an sou aparèy la, ou dwe tou ajou Sekirite Virtual Imaj la.
Chapit sa a dekri kijan pou fè travay sa yo.

• Enstale ak konfigirasyon IPS/IDS, URL-F, oswa AMP Règleman Sekirite, nan paj 1
• Idantifye Vèsyon Imaj Virtyèl Sekirite Rekòmande, nan paj 4
• Telechaje Cisco Sekirite Viryèl Imaj la nan Cisco SD-WAN Manager, nan paj 4
• Amelyore yon Imaj Virtyèl Sekirite, nan paj 5

Enstale ak konfigirasyon IPS/IDS, URL-F, oswa AMP Politik sekirite

Enstale ak konfigirasyon IPS/IDS, URL-F, oswa AMP politik sekirite mande pou workflow sa a:
Travay 1: Kreye yon modèl politik sekirite pou IPS/IDS, URL-F, oswa AMP Filtrage
Travay 2: Kreye yon modèl karakteristik pou Sekirite App Hosting
Objektif Travay la 3: Kreye yon Modèl Aparèy

Objektif Travay la 4: Tache Aparèy nan Modèl Aparèy la
Kreye yon modèl politik sekirite

1. Soti nan meni Cisco SD-WAN Manadjè, chwazi Konfigirasyon> Sekirite.
2. Klike sou Ajoute Règleman Sekirite.
3. Nan fenèt Add Security Policy, chwazi senaryo sekirite ou nan lis opsyon yo.
4. Klike sou Kontinye.

Kreye yon modèl karakteristik pou Sekirite App Hosting
Karakteristik la profile modèl konfigirasyon de fonksyon:

• NAT: Pèmèt oswa enfim Tradiksyon Adrès Rezo (NAT), ki pwoteje adrès IP entèn yo lè yo deyò firewall la.
• Resous Profile: Atribye resous default oswa segondè nan diferan subnet oswa aparèy.

Yon karakteristik profile modèl, byenke pa obligatwa entèdi, rekòmande.

Pou kreye yon karakteristik profile modèl, swiv etap sa yo:

1. Soti nan meni Cisco SD-WAN Manadjè, chwazi Konfigirasyon> Modèl.
2. Klike sou Modèl Karakteristik epi klike sou Ajoute Modèl.
   Nan Cisco vManage Release 20.7.1 ak degaje pi bonè, Modèl karakteristik yo rele Feature.
3. Soti nan lis la Chwazi Aparèy, chwazi aparèy ou vle asosye ak modèl la.
4. Anba Enfòmasyon Debaz, klike sou Sekirite App Hosting.
5. Antre non modèl ak deskripsyon.
6. Anba Paramèt Règleman Sekirite, Customize paramèt politik sekirite yo si sa nesesè.
   • Aktive oswa enfim fonksyon Tradiksyon Adrès Rezo a (NAT), dapre ka itilize w la. Pa default, NAT se sou.
   • Klike sou flèch ki dewoule a pou fikse limit pou politik la. Defo a se Default.
   Global: Pèmèt NAT pou tout aparèy ki tache ak modèl la.
   Aparèy Espesifik: Pèmèt NAT sèlman pou aparèy espesifye. Si w chwazi Aparèy Espesifik, antre non yon kle aparèy.
   Default: Pèmèt règleman NAT default pou aparèy ki tache ak modèl la.
   • Mete Resource Profile. Opsyon sa a fikse kantite ka snort yo dwe itilize sou yon routeur. Defo a se Low ki endike yon sèl egzanp snort. Mwayen endike de ka epi High endike twa ka.
   • Klike sou flèch drop-down pou mete limit pou resous pro afile. Defo a se Global.
   Global: Pèmèt resous yo chwazi profile pou tout aparèy ki tache ak modèl la.
   Aparèy Espesifik: Pèmèt pro afile sèlman pou aparèy espesifye. Si w chwazi Aparèy Espesifik, antre non yon kle aparèy.
   Default: Pèmèt resous default pro afile pou aparèy ki tache ak modèl la.
7. Mete Download URL Baz done sou Aparèy pou Wi si ou vle telechaje la URL-F baz done sou aparèy la. Nan ka sa a, aparèy la gade nan baz done lokal la anvan ou eseye rechèch nwaj la.
8. Klike sou Save.

Kreye yon modèl aparèy
Pou aktive règleman ou vle aplike yo, ou ka kreye yon modèl aparèy ki pral pouse règleman yo nan aparèy ki bezwen yo. Opsyon ki disponib yo varye selon kalite aparèy la. Pou egzanpampLè sa a, aparèy Cisco SD-WAN Manadjè mande pou yon sous-ensemble pi limite nan modèl aparèy la pi gwo. Ou pral wè sèlman opsyon ki valab pou modèl aparèy sa a.
Pou kreye yon modèl aparèy sekirite, swiv egzanp sa aample pou vEdge 2000 modèl routeurs:

1. Soti nan meni Cisco SD-WAN Manadjè, chwazi Konfigirasyon> Modèl.
2. Klike sou Modèl Aparèy, epi chwazi Kreye Modèl > Soti nan Modèl Feature.
   Nan Cisco vManage Release 20.7.1 ak degaje pi bonè, Modèl Aparèy yo rele Aparèy.
3. Nan lis deroulant Modèl Aparèy la, chwazi modèl aparèy la.
4. Nan lis deroulant Wòl Aparèy la, chwazi wòl aparèy la.
5. Antre non modèl ak deskripsyon.
6. Desann paj la pou ale nan sous-menu konfigirasyon ki pèmèt ou chwazi yon modèl ki egziste deja, kreye yon nouvo modèl, oswa view modèl ki egziste deja. Pou egzanpampLè sa a, pou kreye yon nouvo modèl sistèm, klike sou Kreye modèl.

Tache Aparèy nan Modèl Aparèy la

1. Soti nan meni Cisco SD-WAN Manadjè, chwazi Konfigirasyon> Modèl.
2. Klike sou Modèl Aparèy, epi chwazi Kreye Modèl > Soti nan Modèl Feature.
   Nan Cisco vManage Release 20.7.1 ak degaje pi bonè, Modèl Aparèy yo rele Aparèy.
3. Nan ranje modèl aparèy ou vle a, klike sou ... epi chwazi Tache Aparèy.
4. Nan fenèt Tache Aparèy la, chwazi aparèy ou vle yo nan lis Aparèy Disponib yo, epi klike sou flèch ki ap dirije dwat la pou deplase yo nan lis Aparèy Chwazi yo.
5. Klike sou Tache.

Idantifye vèsyon Virtuel Imaj Sekirite Rekòmande

Pafwa, ou ka vle tcheke nimewo lage Sekirite Virtual Image (SVI) rekòmande pou yon aparèy bay yo. Pou tcheke sa a lè l sèvi avèk Cisco SD-WAN Manager:
Etap 1
Soti nan meni Cisco SD-WAN Manadjè, chwazi pou kontwole > Aparèy.
Cisco vManage Release 20.6.x ak pi bonè: Soti nan meni Cisco SD-WAN Manadjè, chwazi Monitè > Rezo.
Etap 2
Chwazi WAN - Edge.
Etap 3
Chwazi aparèy ki pral kouri SVI la.
Paj Sistèm Estati a ap parèt.
Etap 4
Scroll nan fen meni aparèy la, epi klike sou tan reyèl.
Paj Sistèm Enfòmasyon yo montre.
Etap 5
Klike sou jaden Opsyon Aparèy la, epi chwazi Estati Vèsyon App Sekirite nan meni an.
Etap 6
Non imaj la parèt nan kolòn Vèsyon Rekòmande. Li ta dwe matche ak SVI ki disponib pou routeur ou a soti nan telechaje Cisco yo websit.

Voye Cisco Sekirite Virtuel Imaj la nan Cisco SD-WAN Manadjè

Chak imaj routeur sipòte yon seri espesifik vèsyon pou yon aplikasyon anime. Pou IPS/IDS ak URL-Filtraj, ou ka jwenn seri a nan vèsyon sipòte (ak vèsyon an rekòmande) pou yon aparèy sou paj Opsyon Aparèy li yo.
Lè yo retire yon politik sekirite nan aparèy Cisco IOS XE Catalyst SD-WAN, yo retire motè Virtual Image oswa Snort tou nan aparèy yo.

Etap 1 Soti nan paj Telechaje lojisyèl pou routeur ou a, jwenn imaj UTD Engine pou IOS XE SD-WAN.
Etap 2 Klike sou telechaje pou telechaje imaj la file.
Etap 3 Soti nan meni Cisco SD-WAN Manadjè, chwazi Antretyen > Repository Software
Etap 4 Chwazi Imaj Virtuel.
Etap 5 Klike sou Upload Virtual Imaj, epi chwazi swa vManage oswa Remote Server - vManage. Fenèt Upload Virtual Image to vManage louvri.
Etap 6 Trennen epi gout, oswa browse nan imaj la file.
Etap 7 Klike sou Upload. Lè upload la fini, yon mesaj konfimasyon parèt. Nouvo imaj vityèl la parèt nan depo lojisyèl imaj vityèl la.

Amelyore yon imaj Virtual sekirite

Lè yon Cisco IOS XE Catalyst SD-WAN aparèy modènize nan yon nouvo imaj lojisyèl, yo dwe modènize imaj vityèl sekirite a pou yo matche. Si gen yon dezakò nan imaj lojisyèl yo, yon modèl VPN pouse nan aparèy la ap echwe.
Si opsyon Mizajou Siyati IPS la aktive, pake siyati IPS ki koresponn lan mete ajou otomatikman kòm yon pati nan amelyorasyon an. Ou ka aktive anviwònman an nan Administrasyon> Anviwònman> IPS Mizajou Siyati.
Pou ajou aplikasyon an ki òganize imaj vityèl pou yon aparèy, swiv etap sa yo:

Etap 1 Swiv etap sa yo nan Upload kòrèk Cisco Sekirite Virtual Imaj la nan vManage telechaje vèsyon an rekòmande nan SVI a pou routeur ou a. Remake non vèsyon an.
Etap 2 Soti nan meni Cisco SD-WAN Manadjè, chwazi Antretyen > Repository Software > Imaj Virtual pou verifye ke vèsyon imaj ki nan lis anba kolòn Vèsyon Rekòmande a matche ak yon imaj vityèl ki nan lis imaj Virtual.
Etap 3 Soti nan meni Cisco SD-WAN Manadjè, chwazi Antretyen > Upgrade lojisyèl. Paj ajou lojisyèl WAN Edge a parèt.
Etap 4 Chwazi aparèy ou vle ajou, epi tcheke kazye yo nan kolòn ki pi goch la. Lè ou te chwazi youn oswa plizyè aparèy, yon ranje opsyon parèt, ansanm ak kantite ranje ou te chwazi yo.
Etap 5 Lè w satisfè ak chwa w yo, chwazi Upgrade Virtual Image nan meni opsyon an. Bwat dyalòg Virtual Image Upgrade a parèt.
Etap 6 Pou chak aparèy ou te chwazi a, chwazi vèsyon ajou ki kòrèk la nan meni dewoulman Upgrade to Version.
Etap 7 Lè ou te chwazi yon vèsyon ajou pou chak aparèy, klike sou Mizajou. Lè aktyalizasyon a fini, yon mesaj konfimasyon parèt.

Dokiman / Resous

CISCO SD-WAN Catalyst Sekirite Konfigirasyon [pdfGid Itilizatè SD-WAN, SD-WAN Konfigirasyon Sekirite Catalyst, Konfigirasyon Sekirite Catalyst, Konfigirasyon Sekirite, Konfigirasyon

Referans

• Manyèl itilizatè