Лого на CISCOКонфигурација за безбедност на катализаторот CISCO SD-WAN

Содржини скриј
1 Безбедносна виртуелна слика
2 Инсталирајте и конфигурирајте IPS/IDS, URL-F, или AMP Безбедносни политики
3 Идентификувајте ја препорачаната безбедносна верзија за виртуелна слика
4 Поставете ја виртуелната слика за безбедност на Cisco на Cisco SD-WAN Manager
5 Надградете безбедносна виртуелна слика
6 Документи / ресурси
6.1 Референци

Безбедносна виртуелна слика

CISCO SD-WAN Конфигурација за безбедност на катализаторот - икона 1За да се постигне поедноставување и конзистентност, решението Cisco SD-WAN е ребрендирано како Cisco Catalyst SD-WAN. Дополнително, од Cisco IOS XE SD-WAN Release 17.12.1a и Cisco Catalyst SD-WAN Release 20.12.1, се применуваат следните промени во компонентите: Cisco vManage во Cisco Catalyst SD-WAN Manager, Cisco vAnalytics во SD-WAN Catalyst Анализа, Cisco vBond to Cisco Catalyst SD-WAN Validator и Cisco vSmart to Cisco Catalyst SD-WAN контролер. Видете ги најновите Белешки за издавање за сеопфатен список на сите промени на името на брендот на компонентите. Додека преминуваме кон новите имиња, може да има некои недоследности во комплетот документација поради фазен пристап кон ажурирањата на корисничкиот интерфејс на софтверскиот производ.

Cisco SD-WAN Manager користи безбедносна виртуелна слика за да овозможи безбедносни карактеристики како што се Систем за спречување на упад (IPS), систем за откривање на упад (IDS), URL Филтрирање (URL-F) и напредна заштита од малициозен софтвер (AMP) на Cisco IOS XE Catalyst SD-WAN уреди. Овие карактеристики овозможуваат хостирање на апликации, анализа на сообраќајот во реално време и евиденција на пакети на IP мрежите. Откако сликата file е поставено во складиштето за софтвер за менаџер на Cisco SD-WAN, можете да креирате политика, проfile, и шаблони на уреди кои автоматски ќе ги туркаат политиките и ажурирањата на точните уреди.
Пред да ги користите овие функции, прво мора да инсталирате и конфигурирате IPS/IDS, URL-F, или AMP безбедносни политики, а потоа вчитајте ја соодветната виртуелна слика за безбедност на Cisco SD-WAN Manager. Откако ќе го надградите софтверот на уредот, мора да ја надградите и Виртуелната слика за безбедност.
Ова поглавје опишува како да ги извршувате овие задачи.

  • Инсталирајте и конфигурирајте IPS/IDS, URL-F, или AMP Безбедносни политики, на страница 1
  • Идентификувајте ја препорачаната безбедносна верзија на виртуелна слика, на страница 4
  • Поставете ја виртуелната слика за безбедност на Cisco на Cisco SD-WAN Manager, на страница 4
  • Надградете безбедносна виртуелна слика, на страница 5

Инсталирајте и конфигурирајте IPS/IDS, URL-F, или AMP Безбедносни политики

Инсталирање и конфигурирање на IPS/IDS, URL-F, или AMP безбедносните политики бараат следниов тек на работа:
Задача 1: Создадете образец за безбедносна политика за IPS/IDS, URL-F, или AMP Филтрирање
Задача 2: Создадете шаблон за функции за хостирање на апликации за безбедност
Задача 3: Креирајте шаблон за уред

Задача 4: Прикачете уреди на Шаблонот на уредот
Креирајте образец за безбедносна политика

  1. Од менито Cisco SD-WAN Manager, изберете Конфигурација > Безбедност.
  2. Кликнете Додај безбедносна политика.
  3. Во прозорецот Додај безбедносна политика, изберете го вашето безбедносно сценарио од списокот со опции.
  4. Кликнете Продолжи.

Создадете шаблон за функции за хостирање на апликации за безбедност
Функцијата проfile Шаблонот конфигурира две функции:

  • NAT: Овозможува или оневозможува Превод на мрежни адреси (NAT), што ги штити внатрешните IP адреси кога се надвор од заштитниот ѕид.
  • Resource Profile: Доделува стандардни или високи ресурси на различни подмрежи или уреди.

CISCO SD-WAN Конфигурација за безбедност на катализаторот - икона 1Карактеристика проfile шаблонот, иако не е строго потребен, се препорачува.

За да креирате карактеристика проfile шаблон, следете ги овие чекори:

  1. Од менито Cisco SD-WAN Manager, изберете Конфигурација > Шаблони.
  2. Кликнете на Шаблони за карактеристики и потоа кликнете Додај шаблон.
    CISCO SD-WAN Конфигурација за безбедност на катализаторот - икона 1 Во Cisco vManage Release 20.7.1 и претходните изданија, шаблоните за функции се нарекуваат функција.
  3. Од списокот Избери уреди, изберете ги уредите што сакате да ги поврзете со шаблонот.
  4. Под Основни информации, кликнете Безбедносна апликација Хостинг.
  5. Внесете име и опис на шаблонот.
  6. Во Параметрите на безбедносната политика, приспособете ги параметрите на безбедносната политика доколку е потребно.
    • Овозможете или оневозможете ја функцијата Превод на мрежна адреса (NAT), врз основа на вашиот случај на употреба. Стандардно, NAT е вклучен.
    • Кликнете на паѓачката стрелка за да поставите граници за политиката. Стандардно е Стандардно.
    Глобално: Овозможува NAT за сите уреди прикачени на шаблонот.
    Специфичен уред: Овозможува NAT само за одредени уреди. Ако изберете Специфичен уред, внесете го името на клучот на уредот.
    Стандардно: ја овозможува стандардната политика NAT за уредите прикачени на шаблонот.
    • Поставете Resource Profile. Оваа опција го поставува бројот на случаи на шмркање што ќе се користат на рутерот. Стандардно е Ниско што покажува еден пример на шмркање. Медиум означува два примери, а Високо означува три примери.
    • Кликнете на паѓачката стрелка за да поставите граници за профи ресурситеfile. Стандардно е Global.
    Глобално: Го овозможува избраниот професионален ресурсfile за сите уреди прикачени на шаблонот.
    Специфичен уред: Овозможува проfile само за одредени уреди. Ако изберете Специфичен уред, внесете го името на клучот на уредот.
    Стандардно: го овозможува стандардниот ресурс проfile за уреди прикачени на шаблонот.
  7. Поставете преземање URL База на податоци на уред до Да ако сакате да ја преземете URL-F база на податоци на уредот. Во овој случај, уредот бара во локалната база на податоци пред да се обиде со пребарување на облак.
  8. Кликнете Зачувај.

Креирајте шаблон за уред
За да ги активирате политиките што сакате да ги примените, можете да креирате шаблон за уред што ќе ги придвижи политиките до уредите на кои им се потребни. Достапните опции се разликуваат во зависност од типот на уредот. За прampLe, уредите Cisco SD-WAN Manager бараат поограничена подгрупа од шаблонот на поголемиот уред. Ќе видите само валидни опции за тој модел на уред.
За да креирате шаблон за безбедносен уред, следете го ова на прampле за рутери од моделот VEdge 2000:

  1. Од менито Cisco SD-WAN Manager, изберете Конфигурација > Шаблони.
  2. Кликнете на Шаблони за уреди, а потоа изберете Креирај шаблон > Од шаблон за функции.
    CISCO SD-WAN Конфигурација за безбедност на катализаторот - икона 1 Во Cisco vManage Release 20.7.1 и претходните изданија, Шаблони за уреди се нарекуваат Уред.
  3. Од паѓачката листа Модел на уред, изберете го моделот на уредот.
  4. Од паѓачката листа Улога на уредот, изберете ја улогата на уредот.
  5. Внесете име и опис на шаблонот.
  6. Скролувајте надолу на страницата до подменито за конфигурација што ви дозволуваат да изберете постоечки шаблон, да креирате нов образец или view постоечкиот шаблон. За прample, за да креирате нов системски шаблон, кликнете Креирај Шаблон.

Прикачете уреди на Шаблонот на уредот

  1. Од менито Cisco SD-WAN Manager, изберете Конфигурација > Шаблони.
  2. Кликнете на Шаблони за уреди, а потоа изберете Креирај шаблон > Од шаблон за функции.
    CISCO SD-WAN Конфигурација за безбедност на катализаторот - икона 1 Во Cisco vManage Release 20.7.1 и претходните изданија, Шаблони за уреди се нарекуваат Уред.
  3. Во редот на саканиот шаблон за уред, кликнете … и изберете Прикачи уреди.
  4. Во прозорецот Прикачи уреди, изберете ги саканите уреди од списокот Достапни уреди и кликнете на стрелката што покажува десно за да ги преместите во списокот Избрани уреди.
  5. Кликнете Прикачи.

Идентификувајте ја препорачаната безбедносна верзија за виртуелна слика

Понекогаш, можеби ќе сакате да го проверите препорачаниот број на издавање за безбедносна виртуелна слика (SVI) за даден уред. За да го проверите ова користејќи Cisco SD-WAN Manager:
Чекор 1
Од менито Cisco SD-WAN Manager, изберете Монитор > Уреди.
Cisco vManage Release 20.6.x и порано: од менито Cisco SD-WAN Manager, изберете Монитор > Мрежа.
Чекор 2
Изберете WAN – Edge.
Чекор 3
Изберете го уредот што ќе работи на SVI.
Се прикажува страницата за статус на системот.
Чекор 4
Скролувајте до крајот на менито на уредот и кликнете во реално време.
Се прикажува страницата со Информации за системот.
Чекор 5
Кликнете на полето Опции на уредот и изберете Статус на верзијата на безбедносна апликација од менито.
Чекор 6
Името на сликата се прикажува во колоната Препорачана верзија. Треба да одговара на достапниот SVI за вашиот рутер од преземањата на Cisco webсајт.

Поставете ја виртуелната слика за безбедност на Cisco на Cisco SD-WAN Manager

Секоја слика на рутер поддржува одреден опсег на верзии за хостирана апликација. За IPS/IDS и URL-Со филтрирање, можете да го најдете опсегот на поддржани верзии (и препорачаната верзија) за уред на неговата страница Опции на уредот.
Кога безбедносната политика е отстранета од уредите Cisco IOS XE Catalyst SD-WAN, моторот Virtual Image или Snort исто така се отстранува од уредите.

Чекор 1 Од страницата за преземање софтвер за вашиот рутер, лоцирајте ја сликата UTD Engine за IOS XE SD-WAN.
Чекор 2 Кликнете на преземање за да ја преземете сликата file.
Чекор 3 Од менито Cisco SD-WAN Manager, изберете Одржување > Софтверско складиште
Чекор 4 Изберете Виртуелни слики.
Чекор 5 Кликнете Постави виртуелна слика и изберете vManage или Remote Server – vManage. Се отвора прозорецот Постави виртуелна слика во vManage.
Чекор 6 Повлечете и пуштете или прелистајте до сликата file.
Чекор 7 Кликнете Постави. Кога ќе заврши поставувањето, се прикажува порака за потврда. Новата виртуелна слика се прикажува во складиштето за софтвер за виртуелни слики.

Надградете безбедносна виртуелна слика

Кога уредот Cisco IOS XE Catalyst SD-WAN е надграден на нова софтверска слика, безбедносната виртуелна слика мора исто така да се надгради за да се совпаѓаат. Ако има несовпаѓање на сликите на софтверот, притискањето на шаблонот VPN до уредот нема да успее.
CISCO SD-WAN Конфигурација за безбедност на катализаторот - икона 1 Ако е овозможена опцијата IPS Signature Update, соодветниот пакет со потпис на IPS автоматски се ажурира како дел од надградбата. Поставката може да ја овозможите од Администрација > Поставки > Ажурирање на потписот IPS.
За да ја надградите апликацијата што е хостирана виртуелна слика за уред, следете ги овие чекори:

Чекор 1 Следете ги чекорите во Поставете ја правилната виртуелна слика за безбедност на Cisco на vManage за да ја преземете препорачаната верзија на SVI за вашиот рутер. Забележете го името на верзијата.
Чекор 2 Од менито Cisco SD-WAN Manager, изберете Одржување > Софтверско складиште > Виртуелни слики за да потврдите дека верзијата на сликата наведена во колоната Препорачана верзија се совпаѓа со виртуелна слика наведена во табелата за Виртуелни слики.
Чекор 3 Од менито Cisco SD-WAN Manager, изберете Одржување > Надградба на софтвер. Се прикажува страницата за надградба на WAN Edge Software.
Чекор 4 Изберете ги уредите што сакате да ги надградите и штиклирајте ги полињата во најлевата колона. Кога ќе изберете еден или повеќе уреди, се прикажува ред со опции, како и бројот на редови што сте ги избрале.
Чекор 5 Кога сте задоволни со вашиот избор, изберете Надградба на виртуелна слика од менито со опции. Се прикажува полето за дијалог Виртуелна надградба на сликата.
Чекор 6 За секој уред што сте го избрале, изберете ја правилната верзија за надградба од паѓачкото мени Надградба во верзија.
Чекор 7 Кога ќе изберете верзија за надградба за секој уред, кликнете Надгради. Кога ќе заврши ажурирањето, се прикажува порака за потврда.

Документи / ресурси

Конфигурација за безбедност на катализаторот CISCO SD-WAN [pdf] Упатство за корисникот
SD-WAN, SD-WAN катализатор за безбедност конфигурација, катализатор за безбедност конфигурација, безбедносна конфигурација, конфигурација

Референци

Оставете коментар

Вашата адреса за е-пошта нема да биде објавена. Задолжителните полиња се означени *