logo ng CISCOCISCO SD-WAN Catalyst Security Configuration

Mga nilalaman magtago
1 Seguridad Virtual na Larawan
2 I-install at I-configure ang IPS/ID, URL-F, o AMP Mga Patakaran sa Seguridad
3 Tukuyin ang Inirerekomendang Seguridad na Bersyon ng Virtual na Larawan
4 I-upload ang Cisco Security Virtual Image sa Cisco SD-WAN Manager
5 Mag-upgrade ng Security Virtual Image
6 Mga Dokumento / Mga Mapagkukunan
6.1 Mga sanggunian

Seguridad Virtual na Larawan

CISCO SD-WAN Catalyst Security Configuration - icon 1Upang makamit ang pagpapasimple at pagkakapare-pareho, ang solusyon ng Cisco SD-WAN ay binago bilang Cisco Catalyst SD-WAN. Bilang karagdagan, mula sa Cisco IOS XE SD-WAN Release 17.12.1a at Cisco Catalyst SD-WAN Release 20.12.1, ang mga sumusunod na pagbabago sa bahagi ay naaangkop: Cisco vManage sa Cisco Catalyst SD-WAN Manager, Cisco vAnalytics sa Cisco Catalyst SD-WAN Analytics, Cisco vBond hanggang Cisco Catalyst SD-WAN Validator, at Cisco vSmart hanggang Cisco Catalyst SD-WAN Controller. Tingnan ang pinakabagong Mga Tala sa Paglabas para sa isang komprehensibong listahan ng lahat ng pagbabago sa pangalan ng brand ng component. Habang lumilipat kami sa mga bagong pangalan, maaaring may ilang hindi pagkakapare-pareho sa set ng dokumentasyon dahil sa isang dahan-dahang diskarte sa mga update sa user interface ng produkto ng software.

Gumagamit ang Cisco SD-WAN Manager ng Security Virtual Image para paganahin ang mga feature ng seguridad tulad ng Intrusion Prevention System (IPS), Intrusion Detection System (IDS), URL Pag-filter (URL-F), at Advanced na Proteksyon sa Malware (AMP) sa Cisco IOS XE Catalyst SD-WAN Devices. Ang mga feature na ito ay nagbibigay-daan sa pagho-host ng application, real-time na pagsusuri sa trapiko, at packet logging sa mga IP network. Kapag ang imahe file ay na-upload sa Cisco SD-WAN Manager Software Repository, maaari kang lumikha ng patakaran, profile, at mga template ng device na awtomatikong magtutulak ng mga patakaran at update sa mga tamang device.
Bago mo gamitin ang mga feature na ito, kailangan mo munang i-install at i-configure ang IPS/ID, URL-F, o AMP mga patakaran sa seguridad, at pagkatapos ay i-upload ang nauugnay na Security Virtual Image sa Cisco SD-WAN Manager. Pagkatapos i-upgrade ang software sa device, dapat mo ring i-upgrade ang Security Virtual Image.
Inilalarawan ng kabanatang ito kung paano isasagawa ang mga gawaing ito.

  • I-install at I-configure ang IPS/ID, URL-F, o AMP Mga Patakaran sa Seguridad, sa pahina 1
  • Tukuyin ang Inirerekomendang Seguridad na Bersyon ng Virtual na Larawan, sa pahina 4
  • I-upload ang Cisco Security Virtual Image sa Cisco SD-WAN Manager, sa pahina 4
  • Mag-upgrade ng Security Virtual Image, sa pahina 5

I-install at I-configure ang IPS/ID, URL-F, o AMP Mga Patakaran sa Seguridad

Pag-install at pag-configure ng IPS/ID, URL-F, o AMP Ang mga patakaran sa seguridad ay nangangailangan ng sumusunod na daloy ng trabaho:
Gawain 1: Gumawa ng Template ng Patakaran sa Seguridad para sa IPS/IDS, URL-F, o AMP Pag-filter
Gawain 2: Gumawa ng Feature na Template para sa Security App Hosting
Gawain 3: Gumawa ng Template ng Device

Gawain 4: Maglakip ng Mga Device sa Template ng Device
Gumawa ng Template ng Patakaran sa Seguridad

  1. Mula sa menu ng Cisco SD-WAN Manager, piliin ang Configuration > Security.
  2. I-click ang Magdagdag ng Patakaran sa Seguridad.
  3. Sa window na Magdagdag ng Patakaran sa Seguridad, piliin ang iyong senaryo ng seguridad mula sa listahan ng mga opsyon.
  4. I-click ang Magpatuloy.

Gumawa ng Feature na Template para sa Security App Hosting
Ang tampok na profile kino-configure ng template ang dalawang function:

  • NAT: Pinapagana o hindi pinapagana ang Network Address Translation (NAT), na nagpoprotekta sa mga panloob na IP address kapag nasa labas ng firewall.
  • Resource Profile: Naglalaan ng default o mataas na mapagkukunan sa iba't ibang subnet o device.

CISCO SD-WAN Catalyst Security Configuration - icon 1Isang tampok na profile template, habang hindi mahigpit na kinakailangan, ay inirerekomenda.

Upang lumikha ng isang tampok na profile template, sundin ang mga hakbang na ito:

  1. Mula sa menu ng Cisco SD-WAN Manager, piliin ang Configuration > Templates.
  2. I-click ang Mga Template ng Tampok at pagkatapos ay i-click ang Magdagdag ng Template.
    CISCO SD-WAN Catalyst Security Configuration - icon 1 Sa Cisco vManage Release 20.7.1 at mga naunang release, ang Feature Templates ay tinatawag na Feature.
  3. Mula sa listahan ng Piliin ang Mga Device, piliin ang mga device na gusto mong iugnay sa template.
  4. Sa ilalim ng Pangunahing Impormasyon, i-click ang Security App Hosting.
  5. Ilagay ang Pangalan at Paglalarawan ng Template.
  6. Sa ilalim ng Mga Parameter ng Patakaran sa Seguridad, i-customize ang mga parameter ng patakaran sa seguridad kung kinakailangan.
    • Paganahin o huwag paganahin ang tampok na Network Address Translation (NAT), batay sa iyong kaso ng paggamit. Bilang default, naka-on ang NAT.
    • I-click ang drop-down na arrow upang magtakda ng mga hangganan para sa patakaran. Ang default ay Default.
    Global: Pinapagana ang NAT para sa lahat ng device na naka-attach sa template.
    Partikular sa Device: Pinapagana ang NAT para lang sa mga partikular na device. Kung pipiliin mo ang Device Specific, ilagay ang pangalan ng isang device key.
    Default: Pinapagana ang default na patakaran ng NAT para sa mga device na naka-attach sa template.
    • Itakda ang Resource Profile. Itinatakda ng opsyong ito ang bilang ng mga snort instance na gagamitin sa isang router. Ang default ay Low na nagpapahiwatig ng isang snort instance. Ang katamtaman ay nagpapahiwatig ng dalawang pagkakataon at ang Mataas ay nagpapahiwatig ng tatlong pagkakataon.
    • I-click ang drop-down na arrow upang magtakda ng mga hangganan para sa resource profile. Ang default ay Global.
    Global: Pinapagana ang napiling resource profile para sa lahat ng device na naka-attach sa template.
    Partikular sa Device: Pinapagana ang profile para lamang sa mga partikular na device. Kung pipiliin mo ang Device Specific, ilagay ang pangalan ng isang device key.
    Default: Pinapagana ang default na resource profile para sa mga device na naka-attach sa template.
  7. Itakda ang Download URL Database sa Device sa Oo kung gusto mong i-download ang URL-F database sa device. Sa kasong ito, tumitingin ang device sa lokal na database bago subukan ang cloud lookup.
  8. I-click ang I-save.

Gumawa ng Template ng Device
Para i-activate ang mga patakarang gusto mong ilapat, maaari kang gumawa ng template ng device na magtutulak ng mga patakaran sa mga device na nangangailangan ng mga ito. Ang mga available na opsyon ay nag-iiba ayon sa uri ng device. Para kay exampAng mga Cisco SD-WAN Manager device ay nangangailangan ng mas limitadong subset ng mas malaking template ng device. Makakakita ka lang ng mga wastong opsyon para sa modelo ng device na iyon.
Para gumawa ng template ng security device, sundin ang ex na itoample para sa vEdge 2000 model routers:

  1. Mula sa menu ng Cisco SD-WAN Manager, piliin ang Configuration > Templates.
  2. I-click ang Mga Template ng Device, at pagkatapos ay piliin ang Lumikha ng Template > Mula sa Template ng Tampok.
    CISCO SD-WAN Catalyst Security Configuration - icon 1 Sa Cisco vManage Release 20.7.1 at mga naunang release, ang Device Templates ay tinatawag na Device.
  3. Mula sa drop-down na listahan ng Modelo ng Device, piliin ang modelo ng device.
  4. Mula sa drop-down na listahan ng Tungkulin ng Device, piliin ang tungkulin ng device.
  5. Ilagay ang Pangalan at Paglalarawan ng Template.
  6. Mag-scroll pababa sa pahina sa mga submenu ng pagsasaayos na nagbibigay-daan sa iyong pumili ng kasalukuyang template, lumikha ng bagong template, o view ang umiiral na template. Para kay exampat, para gumawa ng bagong System template, i-click ang Create Template.

Maglakip ng Mga Device sa Template ng Device

  1. Mula sa menu ng Cisco SD-WAN Manager, piliin ang Configuration > Templates.
  2. I-click ang Mga Template ng Device, at pagkatapos ay piliin ang Lumikha ng Template > Mula sa Template ng Tampok.
    CISCO SD-WAN Catalyst Security Configuration - icon 1 Sa Cisco vManage Release 20.7.1 at mga naunang release, ang Device Templates ay tinatawag na Device.
  3. Sa hilera ng gustong template ng device, i-click ang … at piliin ang Mag-attach ng Mga Device.
  4. Sa window ng Attach Devices, piliin ang mga gustong device mula sa listahan ng Mga Available na Device, at i-click ang right-pointing arrow upang ilipat ang mga ito sa listahan ng Mga Napiling Device.
  5. I-click ang Attach.

Tukuyin ang Inirerekomendang Seguridad na Bersyon ng Virtual na Larawan

Kung minsan, maaaring gusto mong suriin ang inirerekomendang numero ng paglabas ng Security Virtual Image (SVI) para sa isang partikular na device. Upang suriin ito gamit ang Cisco SD-WAN Manager:
Hakbang 1
Mula sa menu ng Cisco SD-WAN Manager, piliin ang Monitor > Mga Device.
Cisco vManage Release 20.6.x at mas maaga: Mula sa menu ng Cisco SD-WAN Manager, piliin ang Monitor > Network.
Hakbang 2
Piliin ang WAN - Edge.
Hakbang 3
Piliin ang device na tatakbo sa SVI.
Ang pahina ng Katayuan ng System ay ipinapakita.
Hakbang 4
Mag-scroll sa dulo ng menu ng device, at i-click ang Real Time.
Ipinapakita ang pahina ng Impormasyon ng System.
Hakbang 5
I-click ang field na Mga Opsyon sa Device, at piliin ang Katayuan ng Bersyon ng App ng Seguridad mula sa menu.
Hakbang 6
Ang pangalan ng larawan ay ipinapakita sa column na Inirerekomendang Bersyon. Dapat itong tumugma sa magagamit na SVI para sa iyong router mula sa mga pag-download ng Cisco website.

I-upload ang Cisco Security Virtual Image sa Cisco SD-WAN Manager

Ang bawat imahe ng router ay sumusuporta sa isang partikular na hanay ng mga bersyon para sa isang naka-host na application. Para sa IPS/ID at URL-Pag-filter, mahahanap mo ang hanay ng mga sinusuportahang bersyon (at ang inirerekomendang bersyon) para sa isang device sa page ng Mga Opsyon sa Device nito.
Kapag ang isang patakaran sa seguridad ay inalis mula sa Cisco IOS XE Catalyst SD-WAN device, ang Virtual Image o Snort engine ay aalisin din sa mga device.

Hakbang 1 Mula sa pahina ng Pag-download ng Software para sa iyong router, hanapin ang larawang UTD Engine para sa IOS XE SD-WAN.
Hakbang 2 I-click ang pag-download upang i-download ang larawan file.
Hakbang 3 Mula sa menu ng Cisco SD-WAN Manager, piliin ang Maintenance > Software Repository
Hakbang 4 Pumili ng Mga Virtual na Larawan.
Hakbang 5 I-click ang Mag-upload ng Virtual na Larawan, at piliin ang alinman sa vManage o Remote Server – vManage. Ang Mag-upload ng Virtual na Larawan sa vManage ay bubukas.
Hakbang 6 I-drag at i-drop, o mag-browse sa larawan file.
Hakbang 7 I-click ang I-upload. Kapag nakumpleto ang pag-upload, may lalabas na mensahe ng kumpirmasyon. Ang bagong virtual na imahe ay ipinapakita sa Virtual Images Software Repository.

Mag-upgrade ng Security Virtual Image

Kapag ang Cisco IOS XE Catalyst SD-WAN device ay na-upgrade sa isang bagong software image, dapat ding i-upgrade ang security virtual image para magkatugma ang mga ito. Kung may mismatch sa mga imahe ng software, mabibigo ang isang VPN template push sa device.
CISCO SD-WAN Catalyst Security Configuration - icon 1 Kung ang opsyon sa IPS Signature Update ay pinagana, ang katugmang IPS signature package ay awtomatikong ina-update bilang bahagi ng upgrade. Maaari mong paganahin ang setting mula sa Administration > Settings > IPS Signature Update.
Upang i-upgrade ang application na nagho-host ng virtual na imahe para sa isang device, sundin ang mga hakbang na ito:

Hakbang 1 Sundin ang mga hakbang sa I-upload ang Tamang Cisco Security Virtual Image sa vManage upang i-download ang inirerekomendang bersyon ng SVI para sa iyong router. Tandaan ang pangalan ng bersyon.
Hakbang 2 Mula sa menu ng Cisco SD-WAN Manager, piliin ang Pagpapanatili > Software Repository > Mga Virtual na Larawan upang i-verify na ang bersyon ng larawang nakalista sa ilalim ng column na Inirerekomendang Bersyon ay tumutugma sa isang virtual na larawang nakalista sa talahanayan ng Virtual Images.
Hakbang 3 Mula sa menu ng Cisco SD-WAN Manager, piliin ang Maintenance > Software Upgrade. Ang pahina ng pag-upgrade ng WAN Edge Software ay nagpapakita.
Hakbang 4 Piliin ang mga device na gusto mong i-upgrade, at lagyan ng check ang mga check box sa pinakakaliwang column. Kapag nakapili ka ng isa o higit pang mga device, makikita ang isang hilera ng mga opsyon, pati na rin ang bilang ng mga row na iyong pinili.
Hakbang 5 Kapag nasiyahan ka sa iyong mga pagpipilian, piliin ang I-upgrade ang Virtual na Larawan mula sa menu ng mga pagpipilian. Nagpapakita ang dialog box ng Virtual Image Upgrade.
Hakbang 6 Para sa bawat device na iyong pinili, piliin ang tamang bersyon ng pag-upgrade mula sa drop-down na menu na Mag-upgrade sa Bersyon.
Hakbang 7 Kapag nakapili ka ng upgrade na bersyon para sa bawat device, i-click ang I-upgrade. Kapag nakumpleto ang pag-update, may lalabas na mensahe ng kumpirmasyon.

Mga Dokumento / Mga Mapagkukunan

CISCO SD-WAN Catalyst Security Configuration [pdf] Gabay sa Gumagamit
SD-WAN, SD-WAN Catalyst Security Configuration, Catalyst Security Configuration, Security Configuration, Configuration

Mga sanggunian

Mag-iwan ng komento

Ang iyong email address ay hindi maipa-publish. Ang mga kinakailangang field ay minarkahan *