Biztonsági virtuális kép

Az egyszerűsítés és az egységesség érdekében a Cisco SD-WAN megoldást Cisco Catalyst SD-WAN névre keresztelték át. Ezenkívül a Cisco IOS XE SD-WAN 17.12.1a és a Cisco Catalyst SD-WAN 20.12.1 verzióitól a következő összetevő-módosítások érvényesek: Cisco vManage át Cisco Catalyst SD-WAN Manager, Cisco vAnalytics Cisco SD-WAN Catalyst Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator és Cisco vSmart Cisco Catalyst SD-WAN Controller. Tekintse meg a legújabb kiadási megjegyzéseket az összes összetevő márkanév-változás átfogó listájáért. Miközben áttérünk az új nevekre, előfordulhat, hogy a dokumentációban bizonyos ellentmondások jelennek meg a szoftvertermék felhasználói felületének fokozatos megközelítése miatt.

A Cisco SD-WAN Manager biztonsági virtuális képet használ az olyan biztonsági szolgáltatások engedélyezéséhez, mint a behatolás-megelőzési rendszer (IPS), a behatolásészlelő rendszer (IDS), URL Szűrés (URL-F) és a Speciális rosszindulatú programok elleni védelem (AMP) a Cisco IOS XE Catalyst SD-WAN eszközökön. Ezek a szolgáltatások lehetővé teszik az alkalmazások üzemeltetését, a valós idejű forgalomelemzést és a csomagnaplózást az IP-hálózatokon. Egyszer a kép file fel van töltve a Cisco SD-WAN Manager szoftvertárba, akkor házirendet hozhat létre, profileés eszközsablonok, amelyek automatikusan a megfelelő eszközökre küldik a házirendeket és frissítéseket.
Mielőtt ezeket a funkciókat használná, először telepítenie és konfigurálnia kell az IPS/IDS-t, URL-F, vagy AMP biztonsági házirendeket, majd töltse fel a megfelelő biztonsági virtuális képet a Cisco SD-WAN Managerbe. Az eszköz szoftverének frissítése után frissítenie kell a biztonsági virtuális képet is.
Ez a fejezet leírja, hogyan kell ezeket a feladatokat elvégezni.

• IPS/IDS telepítése és konfigurálása, URL-F, vagy AMP Biztonsági szabályzatok, 1. oldal
• Azonosítsa az ajánlott biztonsági virtuális képverziót, 4. oldal
• Töltse fel a Cisco Security Virtual Image fájlt a Cisco SD-WAN Managerbe, oldalszám: 4
• Biztonsági virtuális kép frissítése, 5. oldal

IPS/IDS telepítése és konfigurálása, URL-F, vagy AMP Biztonsági szabályzatok

IPS/IDS telepítése és konfigurálása, URL-F, vagy AMP A biztonsági szabályzatok a következő munkafolyamatot igénylik:
1. feladat: Biztonsági házirend-sablon létrehozása IPS/IDS-hez, URL-F, vagy AMP Szűrő
2. feladat: Hozzon létre egy szolgáltatássablont a biztonsági alkalmazástárhelyhez
3. feladat: Készítsen eszközsablont

4. feladat: Csatlakoztasson eszközöket az eszközsablonhoz
Hozzon létre egy biztonsági házirend-sablont

1. A Cisco SD-WAN Manager menüben válassza a Konfiguráció > Biztonság menüpontot.
2. Kattintson a Biztonsági házirend hozzáadása elemre.
3. A Biztonsági házirend hozzáadása ablakban válassza ki a biztonsági forgatókönyvet a lehetőségek listájából.
4. Kattintson a Tovább gombra.

Hozzon létre egy szolgáltatássablont a biztonsági alkalmazástárhelyhez
A funkció profile a sablon két funkciót konfigurál:

• NAT: Engedélyezi vagy letiltja a Network Address Translation (NAT) funkciót, amely megvédi a belső IP-címeket a tűzfalon kívül.
• Resource Profile: Alapértelmezett vagy magas erőforrásokat rendel a különböző alhálózatokhoz vagy eszközökhöz.

Professzionális szolgáltatásfile sablon használata, bár nem feltétlenül kötelező.

Funkciópro létrehozásáhozfile sablont, kövesse az alábbi lépéseket:

1. A Cisco SD-WAN Manager menüben válassza a Konfiguráció > Sablonok menüpontot.
2. Kattintson a Szolgáltatássablonok, majd a Sablon hozzáadása elemre.
   A Cisco vManage 20.7.1-es és korábbi kiadásaiban a szolgáltatássablonok neve Feature.
3. Az Eszközök kiválasztása listából válassza ki a sablonhoz társítani kívánt eszközöket.
4. Az Alapvető információk alatt kattintson a Biztonsági alkalmazástárolás lehetőségre.
5. Adja meg a sablon nevét és leírását.
6. A Biztonsági házirend-paraméterek alatt szükség esetén testreszabhatja a biztonsági házirend-paramétereket.
   • Engedélyezze vagy tiltsa le a Hálózati címfordítás (NAT) funkciót a használati esettől függően. Alapértelmezés szerint a NAT be van kapcsolva.
   • Kattintson a legördülő nyílra a házirend határainak beállításához. Az alapértelmezett az Alapértelmezett.
   Globális: Engedélyezi a NAT-ot a sablonhoz csatlakoztatott összes eszköz számára.
   Eszközspecifikus: Csak meghatározott eszközökön engedélyezi a NAT-ot. Ha az Eszközspecifikus lehetőséget választja, adja meg az eszközkulcs nevét.
   Alapértelmezett: Engedélyezi az alapértelmezett NAT-házirendet a sablonhoz csatolt eszközök számára.
   • Állítsa be a Resource Pro-tfile. Ez az opció beállítja az útválasztón használandó snort példányok számát. Az alapértelmezett az Alacsony, amely egy horkantást jelez. A közepes két példányt, a Magas pedig három példányt jelöl.
   • Kattintson a legördülő nyílra az erőforrás pro határainak beállításáhozfile. Az alapértelmezett a Global.
   Globális: Engedélyezi a kiválasztott erőforrás pro-tfile a sablonhoz csatolt összes eszközre.
   Eszközspecifikus: Engedélyezi a profile csak meghatározott eszközökhöz. Ha az Eszközspecifikus lehetőséget választja, adja meg az eszközkulcs nevét.
   Alapértelmezett: Engedélyezi az alapértelmezett erőforrás pro-tfile a sablonhoz csatolt eszközökhöz.
7. Letöltés beállítása URL Az Eszközön lévő adatbázis az Igen lehetőségre, ha le szeretné tölteni a URL-F adatbázis a készüléken. Ebben az esetben az eszköz megkeresi a helyi adatbázist, mielőtt megpróbálná a felhőalapú keresést.
8. Kattintson a Mentés gombra.

Hozzon létre egy eszközsablont
Az alkalmazni kívánt házirendek aktiválásához létrehozhat egy eszközsablont, amely elküldi a házirendeket azokra az eszközökre, amelyeknek szüksége van rájuk. Az elérhető opciók az eszköz típusától függően változnak. PlampA Cisco SD-WAN Manager eszközök a nagyobb eszközsablon korlátozottabb részhalmazát igénylik. Csak az adott eszközmodellhez tartozó érvényes opciókat fogja látni.
Biztonsági eszközsablon létrehozásához kövesse az alábbi példátample a vEdge 2000 típusú útválasztókhoz:

1. A Cisco SD-WAN Manager menüben válassza a Konfiguráció > Sablonok menüpontot.
2. Kattintson az Eszközsablonok elemre, majd válassza a Sablon létrehozása > Szolgáltatássablonból lehetőséget.
   A Cisco vManage 20.7.1-es és korábbi kiadásaiban az eszközsablonok neve Device.
3. Az Eszközmodell legördülő listából válassza ki az eszköz modelljét.
4. Az Eszközszerep legördülő listából válassza ki az eszközszerepet.
5. Adja meg a sablon nevét és leírását.
6. Görgessen le az oldalon a konfigurációs almenükhöz, amelyek lehetővé teszik egy meglévő sablon kiválasztását, új sablon létrehozását, vagy view a meglévő sablont. Plample, új rendszersablon létrehozásához kattintson a Sablon létrehozása gombra.

Csatlakoztassa az eszközöket az eszközsablonhoz

1. A Cisco SD-WAN Manager menüben válassza a Konfiguráció > Sablonok menüpontot.
2. Kattintson az Eszközsablonok elemre, majd válassza a Sablon létrehozása > Szolgáltatássablonból lehetőséget.
   A Cisco vManage 20.7.1-es és korábbi kiadásaiban az eszközsablonok neve Device.
3. A kívánt eszközsablon sorában kattintson a … gombra, és válassza az Eszközök csatolása lehetőséget.
4. Az Eszközök csatolása ablakban válassza ki a kívánt eszközöket az Elérhető eszközök listából, és kattintson a jobbra mutató nyílra, hogy áthelyezze őket a Kiválasztott eszközök listába.
5. Kattintson a Csatolás gombra.

Azonosítsa az ajánlott biztonsági virtuális képverziót

Időnként érdemes ellenőrizni az adott eszközhöz ajánlott Security Virtual Image (SVI) kiadási számot. Ennek ellenőrzéséhez a Cisco SD-WAN Manager segítségével:
1. lépés
A Cisco SD-WAN Manager menüben válassza a Monitor > Eszközök menüpontot.
Cisco vManage Release 20.6.x és korábbi verziók: A Cisco SD-WAN Manager menüben válassza a Monitor > Network menüpontot.
2. lépés
Válassza a WAN – Edge lehetőséget.
3. lépés
Válassza ki az SVI-t futtató eszközt.
Megjelenik a Rendszerállapot oldal.
4. lépés
Görgessen az eszközmenü végére, és kattintson a Real Time elemre.
Megjelenik a Rendszerinformációk oldal.
5. lépés
Kattintson az Eszközbeállítások mezőre, és válassza a Biztonsági alkalmazás verziójának állapota lehetőséget a menüből.
6. lépés
A kép neve az Ajánlott verzió oszlopban jelenik meg. Meg kell egyeznie a Cisco-letöltésekből az útválasztóhoz elérhető SVI-vel webtelek.

Töltse fel a Cisco Security Virtual Image fájlt a Cisco SD-WAN Managerbe

Minden útválasztó képfájl egy adott verziószámot támogat egy hosztolt alkalmazáshoz. IPS/IDS és URL- Szűrés, az eszközhöz tartozó támogatott verziók (és az ajánlott verzió) tartományát az Eszközbeállítások oldalon találhatja meg.
Ha egy biztonsági házirendet eltávolítanak a Cisco IOS XE Catalyst SD-WAN eszközökről, a Virtual Image vagy a Snort motor is eltávolítódik az eszközökről.

1. lépés Az útválasztó szoftverletöltési oldalán keresse meg az IOS XE SD-WAN rendszerhez készült UTD Engine képet.
2. lépés Kattintson a letöltésre a kép letöltéséhez file.
3. lépés A Cisco SD-WAN Manager menüben válassza a Maintenance > Software Repository menüpontot
4. lépés Válassza a Virtuális képek lehetőséget.
5. lépés Kattintson a Virtuális kép feltöltése lehetőségre, és válassza a vManage vagy a Remote Server – vManage lehetőséget. Megnyílik a Virtuális kép feltöltése a vManage szolgáltatásba ablak.
6. lépés Húzza át a képet, vagy tallózzon a képhez file.
7. lépés Kattintson a Feltöltés gombra. Amikor a feltöltés befejeződött, megjelenik egy megerősítő üzenet. Az új virtuális kép a Virtual Images Software Repository-ban jelenik meg.

Frissítsen egy biztonsági virtuális képet

Amikor egy Cisco IOS XE Catalyst SD-WAN eszközt egy új szoftverképre frissítenek, a biztonsági virtuális lemezképet is frissíteni kell, hogy azok megegyezzenek. Ha a szoftverképek nem egyeznek, a VPN-sablon-küldés az eszközre sikertelen lesz.
Ha az IPS aláírás frissítése opció engedélyezve van, akkor a frissítés részeként a megfelelő IPS aláírási csomag automatikusan frissül. A beállítást az Adminisztráció > Beállítások > IPS aláírás frissítése menüpontban engedélyezheti.
Az eszköz virtuális képét tároló alkalmazás frissítéséhez kövesse az alábbi lépéseket:

1. lépés Kövesse a Helyes Cisco Security Virtual Image feltöltése a vManage programba lépéseit az SVI ajánlott verziójának letöltéséhez az útválasztóhoz. Jegyezze fel a verzió nevét.
2. lépés A Cisco SD-WAN Manager menüben válassza a Karbantartás > Szoftvertár > Virtuális képek menüpontot annak ellenőrzéséhez, hogy az Ajánlott verzió oszlopban felsorolt ​​képverzió egyezik-e a Virtuális képek táblázatban szereplő virtuális képpel.
3. lépés A Cisco SD-WAN Manager menüben válassza a Maintenance > Software Upgrade menüpontot. Megjelenik a WAN Edge szoftverfrissítési oldal.
4. lépés Válassza ki a frissíteni kívánt eszközöket, és jelölje be a jelölőnégyzeteket a bal szélső oszlopban. Ha egy vagy több eszközt választott, megjelenik egy sor opció, valamint a kiválasztott sorok száma.
5. lépés Ha elégedett a döntéseivel, válassza a Virtuális kép frissítése lehetőséget a beállítások menüből. Megjelenik a Virtuális képfrissítés párbeszédpanel.
6. lépés Minden kiválasztott eszközhöz válassza ki a megfelelő frissítési verziót a Frissítés verzióra legördülő menüből.
7. lépés Ha minden eszközhöz kiválasztotta a frissítési verziót, kattintson a Frissítés gombra. Amikor a frissítés befejeződött, megjelenik egy megerősítő üzenet.

Dokumentumok / Források

CISCO SD-WAN Catalyst biztonsági konfiguráció [pdf] Felhasználói útmutató SD-WAN, SD-WAN Catalyst Security Configuration, Catalyst Security Configuration, Security Configuration, Configuration

Hivatkozások

• Felhasználói kézikönyv