Sýndarmynd öryggis

Til að ná fram einföldun og samkvæmni hefur Cisco SD-WAN lausnin verið endurmerkt sem Cisco Catalyst SD-WAN. Að auki, frá Cisco IOS XE SD-WAN útgáfu 17.12.1a og Cisco Catalyst SD-WAN útgáfu 20.12.1, eiga eftirfarandi íhlutabreytingar við: Cisco vManage til Cisco Catalyst SD-WAN Manager, Cisco vAnalytics til Cisco Catalyst SD-WAN Analytics, Cisco vBond til Cisco Catalyst SD-WAN Validator og Cisco vSmart til Cisco Catalyst SD-WAN stjórnandi. Skoðaðu nýjustu útgáfuskýringarnar til að fá yfirgripsmikinn lista yfir allar vörumerkjabreytingar íhluta. Þó að við förum yfir í nýju nöfnin, gæti eitthvað ósamræmi verið til staðar í skjalasettinu vegna áfangaskiptrar nálgunar við uppfærslur á notendaviðmóti hugbúnaðarvörunnar.

Cisco SD-WAN Manager notar öryggissýndarmynd til að virkja öryggiseiginleika eins og Intrusion Prevention System (IPS), Intrusion Detection System (IDS), URL Sía (URL-F), og háþróuð vernd gegn spilliforritum (AMP) á Cisco IOS XE Catalyst SD-WAN tæki. Þessir eiginleikar gera hýsingu forrita, rauntíma umferðargreiningu og pakkaskráningu á IP netkerfum kleift. Einu sinni myndin file er hlaðið upp í Cisco SD-WAN Manager Software Repository, getur þú búið til stefnu, profile, og tækjasniðmát sem ýta stefnum og uppfærslum sjálfkrafa í rétt tæki.
Áður en þú notar þessa eiginleika þarftu fyrst að setja upp og stilla IPS/IDS, URL-F, eða AMP öryggisstefnur, og hladdu síðan upp viðeigandi öryggissýndarmynd í Cisco SD-WAN Manager. Eftir að hafa uppfært hugbúnaðinn á tækinu verður þú einnig að uppfæra Security Virtual Image.
Þessi kafli lýsir því hvernig á að framkvæma þessi verkefni.

• Settu upp og stilltu IPS/IDS, URL-F, eða AMP Öryggisreglur, á blaðsíðu 1
• Þekkja ráðlagða öryggis sýndarmyndaútgáfu, á síðu 4
• Hladdu upp Cisco Security Virtual Image í Cisco SD-WAN Manager, á síðu 4
• Uppfærðu öryggissýndarmynd, á síðu 5

Settu upp og stilltu IPS/IDS, URL-F, eða AMP Öryggisstefnur

Uppsetning og uppsetning IPS/IDS, URL-F, eða AMP öryggisstefnur krefjast eftirfarandi verkflæðis:
Verkefni 1: Búðu til öryggisstefnusniðmát fyrir IPS/IDS, URL-F, eða AMP Sía
Verkefni 2: Búðu til eiginleikasniðmát fyrir hýsingu öryggisappa
Verkefni 3: Búðu til sniðmát fyrir tæki

Verkefni 4: Tengdu tæki við tækjasniðmátið
Búðu til öryggisstefnusniðmát

1. Í valmyndinni Cisco SD-WAN Manager skaltu velja Stillingar > Öryggi.
2. Smelltu á Bæta við öryggisstefnu.
3. Í glugganum Bæta við öryggisstefnu skaltu velja öryggisatburðarás þína af listanum yfir valkosti.
4. Smelltu á Halda áfram.

Búðu til eiginleikasniðmát fyrir hýsingu öryggisappa
Eiginleikinn atvinnumaðurfile sniðmát stillir tvær aðgerðir:

• NAT: Virkjar eða slekkur á Network Address Translation (NAT), sem verndar innri IP vistföng þegar þau eru utan eldveggsins.
• Resource Profile: Úthlutar sjálfgefnum eða háum tilföngum til mismunandi undirneta eða tækja.

A lögun atvinnumaðurfile Mælt er með sniðmáti, þó að það sé ekki stranglega krafist.

Til að búa til lögun atvinnumaðurfile sniðmát skaltu fylgja þessum skrefum:

1. Í valmyndinni Cisco SD-WAN Manager skaltu velja Stillingar > Sniðmát.
2. Smelltu á Eiginleikasniðmát og smelltu síðan á Bæta við sniðmáti.
   Í Cisco vManage útgáfu 20.7.1 og eldri útgáfum er Eiginleikasniðmát kallað Eiginleiki.
3. Af listanum Veldu tæki skaltu velja tækin sem þú vilt tengja við sniðmátið.
4. Undir Basic Information, smelltu á Security App Hosting.
5. Sláðu inn heiti sniðmáts og lýsingu.
6. Undir Öryggisstefnufæribreytur, sérsniðið færibreytur öryggisstefnu ef þörf krefur.
   • Virkja eða slökkva á Network Address Translation (NAT) eiginleikanum, byggt á notkunartilvikum þínum. Sjálfgefið er að kveikt er á NAT.
   • Smelltu á fellilistaörina til að setja mörk fyrir stefnuna. Sjálfgefið er Sjálfgefið.
   Alþjóðlegt: Virkjar NAT fyrir öll tæki sem eru tengd við sniðmátið.
   Tækjasértæk: Virkjar NAT aðeins fyrir tilgreind tæki. Ef þú velur Device Specific, sláðu inn heiti tækislykils.
   Sjálfgefið: Virkjar sjálfgefna NAT stefnu fyrir tæki sem eru tengd við sniðmátið.
   • Stilltu Resource Profile. Þessi valkostur stillir fjölda hrjótatilvika sem nota á á beini. Sjálfgefið er Lágt sem gefur til kynna eitt snört tilvik. Medium gefur til kynna tvö tilvik og High gefur til kynna þrjú tilvik.
   • Smelltu á fellilistaörina til að setja mörk fyrir auðlindamanninnfile. Sjálfgefið er Global.
   Alþjóðlegt: Virkjar valinn resource profile fyrir öll tæki sem eru tengd við sniðmátið.
   Tækjasértækt: Virkjar atvinnumanninnfile aðeins fyrir tiltekin tæki. Ef þú velur Device Specific, sláðu inn heiti tækislykils.
   Sjálfgefið: Virkjar sjálfgefna resource profile fyrir tæki sem eru tengd við sniðmátið.
7. Stilltu niðurhal URL Gagnagrunnur á tæki til Já ef þú vilt hlaða niður URL-F gagnagrunnur á tækinu. Í þessu tilviki flettir tækið upp í staðbundnum gagnagrunni áður en það reynir skýjaleitina.
8. Smelltu á Vista.

Búðu til sniðmát fyrir tæki
Til að virkja reglurnar sem þú vilt beita geturðu búið til tækjasniðmát sem mun ýta stefnunum í þau tæki sem þurfa á þeim að halda. Tiltækir valkostir eru mismunandi eftir gerð tækisins. Til dæmisample, Cisco SD-WAN Manager tæki þurfa takmarkaðara hlutmengi af stærra sniðmáti tækisins. Þú munt aðeins sjá gilda valkosti fyrir þá tækjagerð.
Til að búa til sniðmát fyrir öryggistæki skaltu fylgja þessu tdample fyrir vEdge 2000 módel beinar:

1. Í valmyndinni Cisco SD-WAN Manager skaltu velja Stillingar > Sniðmát.
2. Smelltu á Tækjasniðmát og veldu síðan Búa til sniðmát > Frá eiginleikasniðmáti.
   Í Cisco vManage útgáfu 20.7.1 og eldri útgáfum er Tækjasniðmát kallað Tæki.
3. Í fellilistanum Tækjagerð skaltu velja gerð tækisins.
4. Veldu hlutverk tækisins í fellilistanum Tækjahlutverk.
5. Sláðu inn heiti sniðmáts og lýsingu.
6. Skrunaðu niður síðuna að stillingarundirvalmyndum sem gera þér kleift að velja fyrirliggjandi sniðmát, búa til nýtt sniðmát eða view núverandi sniðmát. Til dæmisample, til að búa til nýtt kerfissniðmát, smelltu á Búa til sniðmát.

Tengdu tæki við tækjasniðmátið

1. Í valmyndinni Cisco SD-WAN Manager skaltu velja Stillingar > Sniðmát.
2. Smelltu á Tækjasniðmát og veldu síðan Búa til sniðmát > Frá eiginleikasniðmáti.
   Í Cisco vManage útgáfu 20.7.1 og eldri útgáfum er Tækjasniðmát kallað Tæki.
3. Í röð viðkomandi tækissniðmáts, smelltu á … og veldu Attach Devices.
4. Í Tengja tæki glugganum skaltu velja tækin sem þú vilt af listanum Tiltæk tæki og smella á örina sem bendir til hægri til að færa þau yfir á Valin tæki listann.
5. Smelltu á Hengja.

Þekkja ráðlagða öryggis sýndarmyndaútgáfu

Stundum gætirðu viljað athuga meðmæli um útgáfunúmer öryggismynda (SVI) fyrir tiltekið tæki. Til að athuga þetta með Cisco SD-WAN Manager:
Skref 1
Í valmyndinni Cisco SD-WAN Manager, veldu Skjár > Tæki.
Cisco vManage útgáfa 20.6.x og eldri: Í valmyndinni Cisco SD-WAN Manager skaltu velja Monitor > Network.
Skref 2
Veldu WAN – Edge.
Skref 3
Veldu tækið sem mun keyra SVI.
Kerfisstaðasíðan birtist.
Skref 4
Skrunaðu til loka valmyndar tækisins og smelltu á Rauntíma.
Kerfisupplýsingasíðan birtist.
Skref 5
Smelltu á reitinn Tækjavalkostir og veldu Útgáfustaða öryggisforrits í valmyndinni.
Skref 6
Nafn myndarinnar er birt í dálknum Mælt útgáfa. Það ætti að passa við tiltækt SVI fyrir beininn þinn frá Cisco niðurhalinu websíða.

Hladdu upp Cisco Security Virtual Image í Cisco SD-WAN Manager

Hver leiðarmynd styður ákveðið úrval af útgáfum fyrir hýst forrit. Fyrir IPS/IDS og URL-Síun, þú getur fundið úrval af studdum útgáfum (og ráðlagða útgáfu) fyrir tæki á tækjavalkostasíðu þess.
Þegar öryggisstefna er fjarlægð úr Cisco IOS XE Catalyst SD-WAN tækjum er sýndarmynd eða Snort vélin einnig fjarlægð úr tækjunum.

Skref 1 Finndu UTD vélina fyrir IOS XE SD-WAN á hugbúnaðarniðurhalssíðunni fyrir beininn þinn.
Skref 2 Smelltu á niðurhal til að hlaða niður myndinni file.
Skref 3 Í valmyndinni Cisco SD-WAN Manager, veldu Maintenance > Software Repository
Skref 4 Veldu sýndarmyndir.
Skref 5 Smelltu á Hladdu upp sýndarmynd og veldu annað hvort vManage eða Remote Server – vManage. Glugginn Hladdu upp sýndarmynd í vManage opnast.
Skref 6 Dragðu og slepptu, eða flettu að myndinni file.
Skref 7 Smelltu á Hlaða upp. Þegar upphleðslunni er lokið birtast staðfestingarskilaboð. Nýja sýndarmyndin birtist í hugbúnaðargeymslu sýndarmynda.

Uppfærðu öryggi sýndarmynd

Þegar Cisco IOS XE Catalyst SD-WAN tæki er uppfært í nýja hugbúnaðarmynd verður einnig að uppfæra öryggissýndarmyndina þannig að þær passi. Ef það er ósamræmi í hugbúnaðarmyndunum mun VPN-sniðmát sem ýta á tækið mistakast.
Ef IPS Signature Update valkosturinn er virkur er samsvarandi IPS undirskriftarpakkinn sjálfkrafa uppfærður sem hluti af uppfærslunni. Þú getur virkjað stillinguna frá Stjórnun > Stillingar > IPS Signature Update.
Til að uppfæra forritið sem hýsir sýndarmynd fyrir tæki skaltu fylgja þessum skrefum:

Skref 1 Fylgdu skrefunum í Hladdu upp réttu Cisco Security Virtual Image til vManage til að hlaða niður ráðlagðri útgáfu af SVI fyrir beininn þinn. Athugaðu nafn útgáfunnar.
Skref 2 Í valmyndinni Cisco SD-WAN Manager, veldu Viðhald > Hugbúnaðargeymsla > Sýndarmyndir til að staðfesta að myndútgáfan sem skráð er undir dálknum Ráðlögð útgáfa passi við sýndarmynd sem skráð er í sýndarmyndatöflunni.
Skref 3 Í valmyndinni Cisco SD-WAN Manager skaltu velja Viðhald > Hugbúnaðaruppfærsla. Uppfærslusíða WAN Edge hugbúnaðarins birtist.
Skref 4 Veldu tækin sem þú vilt uppfæra og hakaðu við gátreitina í dálknum lengst til vinstri. Þegar þú hefur valið eitt eða fleiri tæki birtist röð af valkostum, auk fjölda raða sem þú valdir.
Skref 5 Þegar þú ert ánægður með val þitt skaltu velja Uppfærsla sýndarmynd í valmyndinni. Sýndarmyndauppfærsla svarglugginn birtist.
Skref 6 Fyrir hvert tæki sem þú hefur valið skaltu velja rétta uppfærsluútgáfu úr fellivalmyndinni Uppfærsla í útgáfu.
Skref 7 Þegar þú hefur valið uppfærsluútgáfu fyrir hvert tæki skaltu smella á Uppfæra. Þegar uppfærslunni er lokið birtast staðfestingarskilaboð.

Skjöl / auðlindir

CISCO SD-WAN Catalyst Öryggisstillingar [pdfNotendahandbók SD-WAN, SD-WAN Catalyst Security Configuration, Catalyst Security Configuration, Security Configuration, Configuration

Heimildir

• Notendahandbók