უსაფრთხოების ვირტუალური სურათი

გამარტივებისა და თანმიმდევრულობის მისაღწევად, Cisco SD-WAN გადაწყვეტა შეიცვალა, როგორც Cisco Catalyst SD-WAN. გარდა ამისა, Cisco IOS XE SD-WAN გამოშვებიდან 17.12.1a და Cisco Catalyst SD-WAN გამოშვებიდან 20.12.1 გამოიყენება კომპონენტების შემდეგი ცვლილებები: Cisco vManage to Cisco Catalyst SD-WAN მენეჯერი, Cisco vAnalytics SD-WAN Catalyst. ანალიტიკა, Cisco vBond to Cisco Catalyst SD-WAN Validator და Cisco vSmart to Cisco Catalyst SD-WAN კონტროლერი. იხილეთ უახლესი გამოშვების შენიშვნები ყველა კომპონენტის ბრენდის სახელის ცვლილების ყოვლისმომცველი სიისთვის. სანამ ახალ სახელებზე გადავდივართ, გარკვეული შეუსაბამობები შეიძლება იყოს დოკუმენტაციის ნაკრებში პროგრამული პროდუქტის მომხმარებლის ინტერფეისის განახლების ეტაპობრივი მიდგომის გამო.

Cisco SD-WAN მენეჯერი იყენებს უსაფრთხოების ვირტუალურ სურათს უსაფრთხოების ფუნქციების გასააქტიურებლად, როგორიცაა შეჭრის პრევენციის სისტემა (IPS), შეჭრის გამოვლენის სისტემა (IDS), URL ფილტრაცია (URL-F) და მავნე პროგრამების გაფართოებული დაცვა (AMP) Cisco IOS XE Catalyst SD-WAN მოწყობილობებზე. ეს ფუნქციები იძლევა აპლიკაციის ჰოსტინგის, რეალურ დროში ტრაფიკის ანალიზს და პაკეტების აღრიცხვას IP ქსელებში. ერთხელ გამოსახულება file ატვირთულია Cisco SD-WAN მენეჯერის პროგრამული უზრუნველყოფის საცავში, შეგიძლიათ შექმნათ პოლიტიკა, პროfile, და მოწყობილობების შაბლონები, რომლებიც ავტომატურად გადააყენებენ პოლიტიკას და განახლებებს სწორ მოწყობილობებზე.
სანამ გამოიყენებთ ამ ფუნქციებს, ჯერ უნდა დააინსტალიროთ და დააკონფიგურიროთ IPS/IDS, URL-F, ან AMP უსაფრთხოების პოლიტიკა და შემდეგ ატვირთეთ შესაბამისი უსაფრთხოების ვირტუალური სურათი Cisco SD-WAN მენეჯერში. მოწყობილობაზე პროგრამული უზრუნველყოფის განახლების შემდეგ, თქვენ ასევე უნდა განაახლოთ უსაფრთხოების ვირტუალური სურათი.
ეს თავი აღწერს, თუ როგორ უნდა შეასრულოთ ეს ამოცანები.

• დააინსტალირეთ და დააკონფიგურირეთ IPS/IDS, URL-F, ან AMP უსაფრთხოების პოლიტიკა, 1 გვერდზე
• იდენტიფიცირება რეკომენდებული უსაფრთხოების ვირტუალური გამოსახულების ვერსია, მე-4 გვერდზე
• ატვირთეთ Cisco უსაფრთხოების ვირტუალური სურათი Cisco SD-WAN მენეჯერში, მე-4 გვერდზე
• განაახლეთ უსაფრთხოების ვირტუალური სურათი, მე-5 გვერდზე

დააინსტალირეთ და დააკონფიგურირეთ IPS/IDS, URL-F, ან AMP უსაფრთხოების პოლიტიკა

IPS/IDS-ის ინსტალაცია და კონფიგურაცია, URL-F, ან AMP უსაფრთხოების პოლიტიკა მოითხოვს შემდეგ სამუშაო პროცესს:
ამოცანა 1: შექმენით უსაფრთხოების პოლიტიკის შაბლონი IPS/IDS-ისთვის, URL-F, ან AMP ფილტრაცია
ამოცანა 2: შექმენით ფუნქციების შაბლონი უსაფრთხოების აპლიკაციის ჰოსტინგისთვის
ამოცანა 3: შექმენით მოწყობილობის შაბლონი

დავალება 4: მოწყობილობების მიმაგრება მოწყობილობის შაბლონზე
შექმენით უსაფრთხოების პოლიტიკის შაბლონი

1. Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ კონფიგურაცია > უსაფრთხოება.
2. დააჭირეთ უსაფრთხოების პოლიტიკის დამატებას.
3. უსაფრთხოების პოლიტიკის დამატების ფანჯარაში აირჩიეთ თქვენი უსაფრთხოების სცენარი პარამეტრების სიიდან.
4. დააჭირეთ გაგრძელება.

შექმენით ფუნქციების შაბლონი უსაფრთხოების აპლიკაციის ჰოსტინგისთვის
ფუნქცია პროfile შაბლონი აკონფიგურირებს ორ ფუნქციას:

• NAT: რთავს ან გამორთავს ქსელის მისამართების თარგმნას (NAT), რომელიც იცავს შიდა IP მისამართებს, როდესაც ის არ არის ბუხარი.
• რესურს პროfile: გამოყოფს ნაგულისხმევ ან მაღალ რესურსებს სხვადასხვა ქვექსელებსა თუ მოწყობილობებზე.

ფუნქცია პროfile შაბლონი, თუმცა მკაცრად არ არის საჭირო, რეკომენდებულია.

ფუნქციის პროფესიონალის შესაქმნელადfile შაბლონი, მიჰყევით ამ ნაბიჯებს:

1. Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ კონფიგურაცია > შაბლონები.
2. დააწკაპუნეთ ფუნქციის შაბლონებზე და შემდეგ დააწკაპუნეთ შაბლონის დამატებაზე.
   Cisco vManage Release 20.7.1 და უფრო ადრე გამოშვებებში, ფუნქციების შაბლონებს ეწოდება ფუნქცია.
3. მოწყობილობების არჩევის სიიდან აირჩიეთ მოწყობილობები, რომელთა დაკავშირება გსურთ შაბლონთან.
4. ძირითადი ინფორმაციის ქვეშ დააწკაპუნეთ უსაფრთხოების აპლიკაციის ჰოსტინგი.
5. შეიყვანეთ შაბლონის სახელი და აღწერა.
6. უსაფრთხოების პოლიტიკის პარამეტრებში, საჭიროების შემთხვევაში, შეცვალეთ უსაფრთხოების პოლიტიკის პარამეტრები.
   • ჩართეთ ან გამორთეთ ქსელის მისამართის თარგმანის (NAT) ფუნქცია, თქვენი გამოყენების შემთხვევიდან გამომდინარე. ნაგულისხმევად, NAT ჩართულია.
   • დააწკაპუნეთ ჩამოსაშლელ ისარს პოლიტიკის საზღვრების დასაყენებლად. ნაგულისხმევი არის ნაგულისხმევი.
   გლობალური: რთავს NAT-ს შაბლონზე მიმაგრებული ყველა მოწყობილობისთვის.
   მოწყობილობის სპეციფიკური: რთავს NAT-ს მხოლოდ მითითებული მოწყობილობებისთვის. თუ აირჩიეთ Device Specific, შეიყვანეთ მოწყობილობის გასაღების სახელი.
   ნაგულისხმევი: რთავს ნაგულისხმევ NAT პოლიტიკას შაბლონზე მიმაგრებული მოწყობილობებისთვის.
   • Set Resource Profile. ეს ოფცია ადგენს როუტერზე გამოსაყენებელი ხვრინვის შემთხვევების რაოდენობას. ნაგულისხმევი არის დაბალი, რომელიც მიუთითებს ერთი snort მაგალითი. საშუალო მიუთითებს ორ ინსტანციაზე და მაღალი მიუთითებს სამ შემთხვევაზე.
   • დააწკაპუნეთ ჩამოსაშლელ ისარზე, რომ დააწესოთ საზღვრები რესურსის პროფესიონალისთვისfile. ნაგულისხმევი არის გლობალური.
   გლობალური: რთავს არჩეულ რესურსსfile შაბლონზე მიმაგრებული ყველა მოწყობილობისთვის.
   მოწყობილობის სპეციფიკური: რთავს პროფესიონალსfile მხოლოდ მითითებული მოწყობილობებისთვის. თუ აირჩიეთ Device Specific, შეიყვანეთ მოწყობილობის გასაღების სახელი.
   ნაგულისხმევი: რთავს ნაგულისხმევი რესურსის პროfile შაბლონზე მიმაგრებული მოწყობილობებისთვის.
7. ჩამოტვირთვის დაყენება URL მოწყობილობაზე მონაცემთა ბაზა დიახ, თუ გსურთ ჩამოტვირთოთ URL-F მონაცემთა ბაზა მოწყობილობაზე. ამ შემთხვევაში, მოწყობილობა ეძებს ადგილობრივ მონაცემთა ბაზაში ღრუბლოვანი ძიების მცდელობას.
8. დააწკაპუნეთ შენახვა.

შექმენით მოწყობილობის შაბლონი
იმ პოლიტიკის გასააქტიურებლად, რომლის გამოყენებაც გსურთ, შეგიძლიათ შექმნათ მოწყობილობის შაბლონი, რომელიც აწვდის პოლიტიკას იმ მოწყობილობებზე, რომლებსაც ისინი სჭირდებათ. ხელმისაწვდომი ვარიანტები განსხვავდება მოწყობილობის ტიპის მიხედვით. მაგampუფრო მეტიც, Cisco SD-WAN მენეჯერის მოწყობილობებს სჭირდებათ უფრო დიდი მოწყობილობის შაბლონის უფრო შეზღუდული ქვეჯგუფი. თქვენ ნახავთ მხოლოდ ამ მოწყობილობის მოდელის მოქმედ ვარიანტებს.
უსაფრთხოების მოწყობილობის შაბლონის შესაქმნელად, მიჰყევით ამ მაგალითსample vEdge 2000 მოდელის მარშრუტიზატორებისთვის:

1. Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ კონფიგურაცია > შაბლონები.
2. დააწკაპუნეთ მოწყობილობის შაბლონებზე და შემდეგ აირჩიეთ შაბლონის შექმნა > ფუნქციის შაბლონიდან.
   Cisco vManage Release 20.7.1 და უფრო ადრე გამოშვებებში, Device Templates ეწოდება Device.
3. მოწყობილობის მოდელის ჩამოსაშლელი სიიდან აირჩიეთ მოწყობილობის მოდელი.
4. მოწყობილობის როლის ჩამოსაშლელი სიიდან აირჩიეთ მოწყობილობის როლი.
5. შეიყვანეთ შაბლონის სახელი და აღწერა.
6. გადაახვიეთ გვერდი ქვემოთ კონფიგურაციის ქვემენიუში, რომელიც საშუალებას გაძლევთ აირჩიოთ არსებული შაბლონი, შექმნათ ახალი შაბლონი ან view არსებული შაბლონი. მაგampახალი სისტემის შაბლონის შესაქმნელად დააწკაპუნეთ თარგის შექმნა.

მიამაგრეთ მოწყობილობები მოწყობილობის შაბლონს

1. Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ კონფიგურაცია > შაბლონები.
2. დააწკაპუნეთ მოწყობილობის შაბლონებზე და შემდეგ აირჩიეთ შაბლონის შექმნა > ფუნქციის შაბლონიდან.
   Cisco vManage Release 20.7.1 და უფრო ადრე გამოშვებებში, Device Templates ეწოდება Device.
3. სასურველი მოწყობილობის შაბლონის რიგში დააწკაპუნეთ … და აირჩიეთ მოწყობილობების მიმაგრება.
4. მოწყობილობების მიმაგრების ფანჯარაში აირჩიეთ სასურველი მოწყობილობები ხელმისაწვდომი მოწყობილობების სიიდან და დააწკაპუნეთ მარჯვნივ მიმართულ ისარზე, რომ გადაიტანოთ ისინი არჩეული მოწყობილობების სიაში.
5. დააჭირეთ მიმაგრებას.

იდენტიფიცირება რეკომენდებული უსაფრთხოების ვირტუალური გამოსახულების ვერსია

ზოგჯერ შეიძლება დაგჭირდეთ შეამოწმოთ რეკომენდებული უსაფრთხოების ვირტუალური გამოსახულების (SVI) გამოშვების ნომერი მოცემული მოწყობილობისთვის. ამის შესამოწმებლად Cisco SD-WAN მენეჯერის გამოყენებით:
ნაბიჯი 1
Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ მონიტორი > მოწყობილობები.
Cisco vManage გამოშვება 20.6.x და უფრო ადრე: Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ მონიტორი > ქსელი.
ნაბიჯი 2
აირჩიეთ WAN – Edge.
ნაბიჯი 3
აირჩიეთ მოწყობილობა, რომელიც იმუშავებს SVI.
გამოჩნდება სისტემის სტატუსის გვერდი.
ნაბიჯი 4
გადაახვიეთ მოწყობილობის მენიუს ბოლოს და დააწკაპუნეთ რეალურ დროში.
სისტემის ინფორმაციის გვერდი ნაჩვენებია.
ნაბიჯი 5
დააწკაპუნეთ მოწყობილობის პარამეტრების ველზე და მენიუდან აირჩიეთ უსაფრთხოების აპის ვერსიის სტატუსი.
ნაბიჯი 6
სურათის სახელი ნაჩვენებია რეკომენდირებული ვერსიის სვეტში. ის უნდა შეესაბამებოდეს თქვენს როუტერისთვის არსებულ SVI-ს Cisco-ს ჩამოტვირთვებიდან webსაიტი.

ატვირთეთ Cisco უსაფრთხოების ვირტუალური სურათი Cisco SD-WAN მენეჯერში

როუტერის თითოეული სურათი მხარს უჭერს ვერსიების სპეციფიკურ დიაპაზონს ჰოსტირებული აპლიკაციისთვის. IPS/IDS-ისთვის და URL- გაფილტვრით, თქვენ შეგიძლიათ იპოვოთ მოწყობილობის მხარდაჭერილი ვერსიების დიაპაზონი (და რეკომენდებული ვერსია) მოწყობილობის პარამეტრების გვერდზე.
როდესაც უსაფრთხოების პოლიტიკა ამოღებულია Cisco IOS XE Catalyst SD-WAN მოწყობილობებიდან, ვირტუალური გამოსახულების ან Snort ძრავა ასევე ამოღებულია მოწყობილობებიდან.

ნაბიჯი 1 თქვენი როუტერის პროგრამული უზრუნველყოფის ჩამოტვირთვის გვერდიდან, იპოვეთ სურათი UTD Engine IOS XE SD-WAN-ისთვის.
ნაბიჯი 2 დააწკაპუნეთ ჩამოტვირთვაზე სურათის ჩამოსატვირთად file.
ნაბიჯი 3 Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ Maintenance > Software Repository
ნაბიჯი 4 აირჩიეთ ვირტუალური სურათები.
ნაბიჯი 5 დააწკაპუნეთ ვირტუალური სურათის ატვირთვაზე და აირჩიეთ vManage ან დისტანციური სერვერი – vManage. იხსნება vManage-ში ვირტუალური სურათის ატვირთვის ფანჯარა.
ნაბიჯი 6 გადაათრიეთ და ჩამოაგდეთ, ან დაათვალიერეთ სურათი file.
ნაბიჯი 7 დააჭირეთ ატვირთვას. როდესაც ატვირთვა დასრულდება, გამოჩნდება დამადასტურებელი შეტყობინება. ახალი ვირტუალური სურათი გამოჩნდება ვირტუალური სურათების პროგრამული უზრუნველყოფის საცავში.

უსაფრთხოების ვირტუალური სურათის განახლება

როდესაც Cisco IOS XE Catalyst SD-WAN მოწყობილობა განახლდება ახალ პროგრამულ სურათზე, უსაფრთხოების ვირტუალური სურათი ასევე უნდა განახლდეს ისე, რომ ისინი ემთხვეოდეს. თუ პროგრამული უზრუნველყოფის სურათებში არის შეუსაბამობა, VPN შაბლონის დაჭერა მოწყობილობაზე ვერ მოხერხდება.
თუ IPS Signature Update ოფცია ჩართულია, შესაბამისი IPS ხელმოწერის პაკეტი ავტომატურად განახლდება, როგორც განახლების ნაწილი. თქვენ შეგიძლიათ ჩართოთ პარამეტრი ადმინისტრაცია > პარამეტრები > IPS ხელმოწერის განახლება.
მოწყობილობისთვის ვირტუალური სურათის ჰოსტინგის აპლიკაციის განახლებისთვის, მიჰყევით ამ ნაბიჯებს:

ნაბიჯი 1 მიჰყევით ნაბიჯებს ატვირთეთ სწორი Cisco Security ვირტუალური სურათი vManage-ში, რომ ჩამოტვირთოთ SVI-ის რეკომენდებული ვერსია თქვენი როუტერისთვის. გაითვალისწინეთ ვერსიის სახელი.
ნაბიჯი 2 Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ Maintenance > Software Repository > Virtual Images, რათა დაადასტუროთ, რომ გამოსახულების ვერსია, რომელიც მითითებულია სვეტის „რეკომენდებული ვერსიის“ ქვეშ, ემთხვევა ვირტუალური სურათების ცხრილში ჩამოთვლილ ვირტუალურ სურათს.
ნაბიჯი 3 Cisco SD-WAN მენეჯერის მენიუდან აირჩიეთ Maintenance > Software Upgrade. გამოჩნდება WAN Edge Software-ის განახლების გვერდი.
ნაბიჯი 4 აირჩიეთ მოწყობილობები, რომელთა განახლება გსურთ და მონიშნეთ ველი მარცხენა სვეტში. როდესაც თქვენ აირჩევთ ერთ ან მეტ მოწყობილობას, გამოჩნდება პარამეტრების მწკრივი, ასევე თქვენს მიერ არჩეული რიგების რაოდენობა.
ნაბიჯი 5 როცა კმაყოფილი იქნებით თქვენი არჩევანით, აირჩიეთ ვირტუალური სურათის განახლება ოფციების მენიუდან. ვირტუალური სურათის განახლების დიალოგური ფანჯარა გამოჩნდება.
ნაბიჯი 6 თქვენს მიერ არჩეული თითოეული მოწყობილობისთვის აირჩიეთ განახლების სწორი ვერსია ჩამოსაშლელი მენიუდან განახლება ვერსიამდე.
ნაბიჯი 7 როდესაც აირჩევთ განახლების ვერსიას თითოეული მოწყობილობისთვის, დააწკაპუნეთ განახლებაზე. როდესაც განახლება დასრულდება, გამოჩნდება დამადასტურებელი შეტყობინება.

დოკუმენტები / რესურსები

CISCO SD-WAN კატალიზატორის უსაფრთხოების კონფიგურაცია [pdf] მომხმარებლის სახელმძღვანელო SD-WAN, SD-WAN Catalyst Security Configuration, Catalyst Security Configuration, Security Configuration, Configuration

ცნობები

• მომხმარებლის სახელმძღვანელო