Turvalisus Virtuaalne pilt

Lihtsustamise ja järjepidevuse saavutamiseks on Cisco SD-WAN lahendus ümber nimetatud Cisco Catalyst SD-WAN-iks. Lisaks kehtivad Cisco IOS XE SD-WAN-i versioonist 17.12.1a ja Cisco Catalyst SD-WAN-i versioonist 20.12.1 järgmised komponentide muudatused: Cisco vManage kuni Cisco Catalyst SD-WAN Manager, Cisco vAnalytics kuni Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator ja Cisco vSmart to Cisco Catalyst SD-WAN kontroller. Kõigi komponentide kaubamärginime muudatuste põhjaliku loendi saamiseks vaadake uusimaid väljalaskemärkmeid. Uutele nimedele ülemineku ajal võib dokumentatsioonikomplektis esineda mõningaid ebakõlasid tarkvaratoote kasutajaliidese värskenduste etapiviisilise lähenemise tõttu.

Cisco SD-WAN Manager kasutab turvalisuse virtuaalset pilti, et lubada turvafunktsioone, nagu sissetungi ennetussüsteem (IPS), sissetungimise tuvastamise süsteem (IDS), URL Filtreerimine (URL-F) ja täiustatud pahavarakaitse (AMP) Cisco IOS XE Catalyst SD-WAN seadmetes. Need funktsioonid võimaldavad rakenduste hostimist, reaalajas liikluse analüüsi ja pakettide logimist IP-võrkudes. Kord pilt file laaditakse üles Cisco SD-WAN Manageri tarkvarahoidlasse, saate luua poliitika, profileja seadmemallid, mis suunavad eeskirjad ja värskendused automaatselt õigetesse seadmetesse.
Enne nende funktsioonide kasutamist peate esmalt installima ja konfigureerima IPS/IDS, URL-F või AMP turvapoliitikad ja seejärel laadige Cisco SD-WAN Manageri üles asjakohane virtuaalne turbepilt. Pärast seadme tarkvara uuendamist peate uuendama ka turvalisuse virtuaalset pilti.
Selles peatükis kirjeldatakse, kuidas neid ülesandeid täita.

• Installige ja konfigureerige IPS/IDS, URL-F või AMP Turvapoliitika, lk 1
• Tuvastage soovitatud virtuaalse pildi turbeversioon, lk 4
• Laadige Cisco Security Virtual Image üles Cisco SD-WAN Manageri, lk 4
• Täiendage virtuaalset turvapilti, lk 5

Installige ja konfigureerige IPS/IDS, URL-F või AMP Turvapoliitika

IPS/IDS installimine ja konfigureerimine, URL-F või AMP turvapoliitikad nõuavad järgmist töövoogu.
Ülesanne 1: looge IPS/IDS-i jaoks turvapoliitika mall, URL-F või AMP Filtreerimine
Ülesanne 2: looge funktsioonide mall turvarakenduste hostimiseks
Ülesanne 3: looge seadme mall

Ülesanne 4: kinnitage seadmed seadme mallile
Looge turvapoliitika mall

1. Valige Cisco SD-WAN Manageri menüüst Konfiguratsioon > Turvalisus.
2. Klõpsake nuppu Lisa turbepoliitika.
3. Aknas Lisa turbepoliitika valige valikute loendist oma turbestsenaarium.
4. Klõpsake nuppu Jätka.

Looge turvarakenduste hostimiseks funktsioonimall
Funktsioon profile mall konfigureerib kaks funktsiooni:

• NAT: lubab või keelab võrguaadresside tõlkimise (NAT), mis kaitseb sisemisi IP-aadresse tulemüürist väljaspool.
• Ressurss Profile: eraldab vaike- või kõrged ressursid erinevatele alamvõrkudele või seadmetele.

Funktsiooniprofffile mall, kuigi see pole rangelt nõutav, on soovitatav.

Professionaalse funktsiooni loomiseksfile malli, järgige neid samme:

1. Valige Cisco SD-WAN Manageri menüüst Konfiguratsioon > Mallid.
2. Klõpsake nuppu Funktsioonimallid ja seejärel nuppu Lisa mall.
   Cisco vManage'i versioonis 20.7.1 ja varasemates versioonides nimetatakse funktsioonimalle funktsiooniks.
3. Valige loendist Valige seadmed seadmed, mida soovite malliga seostada.
4. Klõpsake jaotises Põhiteave valikut Turvarakenduste hostimine.
5. Sisestage malli nimi ja kirjeldus.
6. Jaotises Turvapoliitika parameetrid kohandage vajadusel turbepoliitika parameetreid.
   • Lubage või keelake võrguaadressi tõlkimise (NAT) funktsioon olenevalt teie kasutusjuhtumist. Vaikimisi on NAT sees.
   • Poliitikale piiride määramiseks klõpsake rippmenüü noolt. Vaikimisi on Vaikimisi.
   Globaalne: lubab NAT-i kõigi malliga ühendatud seadmete jaoks.
   Seadmespetsiifiline: lubab NAT-i ainult määratud seadmete jaoks. Kui valite Seadmespetsiifilised, sisestage seadme võtme nimi.
   Vaikimisi: lubab malliga ühendatud seadmete jaoks NAT-i vaikepoliitika.
   • Määrake Resource Profile. See suvand määrab ruuteris kasutatavate snort-juhtumite arvu. Vaikimisi on madal, mis näitab üht norskamist. Keskmine tähistab kahte eksemplari ja kõrge kolme eksemplari.
   • Ressursiprofi piiride määramiseks klõpsake rippmenüü nooltfile. Vaikimisi on globaalne.
   Globaalne: lubab valitud ressursiprofessionaalifile kõigi malliga ühendatud seadmete jaoks.
   Seadmespetsiifiline: lubab profile ainult määratud seadmete jaoks. Kui valite Seadmespetsiifilised, sisestage seadme võtme nimi.
   Vaikimisi: lubab vaikeressursi profile malli külge kinnitatud seadmete jaoks.
7. Määra allalaadimine URL Andmebaas seadmes valikule Jah, kui soovite alla laadida URL-F andmebaas seadmes. Sel juhul otsib seade enne pilveotsingu proovimist kohalikust andmebaasist üles.
8. Klõpsake nuppu Salvesta.

Looge seadme mall
Rakendatavate reeglite aktiveerimiseks saate luua seadmemalli, mis edastab reeglid seadmetele, mis neid vajavad. Saadaolevad valikud sõltuvad seadme tüübist. Näiteksample, vajavad Cisco SD-WAN Manageri seadmed suurema seadmemalli piiratumat alamhulka. Näete ainult selle seadmemudeli jaoks kehtivaid valikuid.
Turvaseadme malli loomiseks järgige seda ntample vEdge 2000 mudeli ruuterite jaoks:

1. Valige Cisco SD-WAN Manageri menüüst Konfiguratsioon > Mallid.
2. Klõpsake valikul Seadme mallid ja seejärel valige Loo mall > Funktsioonimallist.
   Cisco vManage'i versioonis 20.7.1 ja varasemates versioonides nimetatakse seadmemalle seadmeks.
3. Valige rippmenüüst Seadme mudel seadme mudel.
4. Valige rippmenüüst Seadme roll seadme roll.
5. Sisestage malli nimi ja kirjeldus.
6. Kerige lehel alla konfiguratsiooni alammenüüdeni, mis võimaldavad valida olemasoleva malli, luua uue malli või view olemasolevat malli. Näiteksampuue süsteemimalli loomiseks klõpsake nuppu Loo mall.

Kinnitage seadmed seadme mallile

1. Valige Cisco SD-WAN Manageri menüüst Konfiguratsioon > Mallid.
2. Klõpsake valikul Seadme mallid ja seejärel valige Loo mall > Funktsioonimallist.
   Cisco vManage'i versioonis 20.7.1 ja varasemates versioonides nimetatakse seadmemalle seadmeks.
3. Klõpsake soovitud seadmemalli real … ja valige Manusta seadmed.
4. Valige aknas Manusta seadmed loendist Saadaolevad seadmed soovitud seadmed ja klõpsake parempoolset noolt, et teisaldada need loendisse Valitud seadmed.
5. Klõpsake nuppu Manusta.

Tuvastage soovitatud virtuaalse pildi turbeversioon

Mõnikord võite soovida kontrollida antud seadme jaoks soovitatud Security Virtual Image (SVI) väljalaskenumbrit. Selle kontrollimiseks Cisco SD-WAN Manageri abil tehke järgmist.
1. samm
Valige Cisco SD-WAN Manageri menüüst Monitor > Seadmed.
Cisco vManage Release 20.6.x ja varasemad versioonid: valige Cisco SD-WAN Manageri menüüst Monitor > Network.
2. samm
Valige WAN – Edge.
3. samm
Valige seade, mis töötab SVI-ga.
Kuvatakse leht Süsteemi olek.
4. samm
Kerige seadme menüü lõpuni ja klõpsake nuppu Reaalajas.
Kuvatakse süsteemiteabe leht.
5. samm
Klõpsake väljal Seadme suvandid ja valige menüüst Turvarakenduse versiooni olek.
6. samm
Pildi nimi kuvatakse veerus Soovitatav versioon. See peaks ühtima teie ruuteri jaoks saadaoleva SVI-ga Cisco allalaadimistest websaidile.

Laadige Cisco Security virtuaalne pilt üles Cisco SD-WAN Manageri

Iga ruuteri kujutis toetab hostitud rakenduse teatud versioonide valikut. IPS/IDS ja URL- Filtreerimisel leiate seadme toetatud versioonid (ja soovitatavad versioonid) selle seadmesuvandite lehelt.
Kui Cisco IOS XE Catalyst SD-WAN-seadmetest eemaldatakse turvapoliitika, eemaldatakse seadmetest ka Virtual Image või Snort mootor.

1. samm Leidke oma ruuteri tarkvara allalaadimise lehelt pilt UTD Engine for IOS XE SD-WAN.
2. samm Pildi allalaadimiseks klõpsake nuppu Laadi alla file.
3. samm Valige Cisco SD-WAN Manageri menüüst Maintenance > Software Repository
4. samm Valige Virtuaalsed pildid.
5. samm Klõpsake Laadi üles virtuaalne pilt ja valige kas vManage või Remote Server – vManage. Avaneb aken Laadi üles virtuaalne pilt vManage'i.
6. samm Pukseerige või sirvige pildile file.
7. samm Klõpsake nuppu Laadi üles. Kui üleslaadimine on lõppenud, kuvatakse kinnitusteade. Uus virtuaalne pilt kuvatakse tarkvara virtuaalsete piltide hoidlas.

Täiendage virtuaalset turvapilti

Kui Cisco IOS XE Catalyst SD-WAN-seadet uuendatakse uuele tarkvarapildile, tuleb uuendada ka virtuaalset turvapilti, et need ühtiksid. Kui tarkvara kujutised ei ühti, nurjub VPN-malli tõukeseade seadmesse.
Kui suvand IPS-i allkirja värskendamine on lubatud, värskendatakse värskenduse osana automaatselt sobivat IPS-i allkirjapaketti. Seade saate lubada menüüst Administreerimine > Sätted > IPS-i allkirja värskendus.
Seadme virtuaalset pilti hostiva rakenduse täiendamiseks toimige järgmiselt.

1. toiming Järgige juhiseid jaotises Laadige üles õige Cisco Security virtuaalkujutis vManage'i, et laadida alla oma ruuterile soovitatav SVI versioon. Pange tähele versiooni nime.
2. samm Valige Cisco SD-WAN Manageri menüüst Maintenance > Software Repository > Virtual Images, et kontrollida, kas veerus Recommended Version loetletud pildiversioon vastab tabelis Virtual Images loetletud virtuaalsele kujutisele.
3. samm Valige Cisco SD-WAN Manageri menüüst Maintenance > Software Upgrade. Kuvatakse WAN Edge'i tarkvara uuendamise leht.
4. samm Valige seadmed, mida soovite uuendada, ja märkige vasakpoolseimas veerus olevad märkeruudud. Kui olete valinud ühe või mitu seadet, kuvatakse valikute rida ja valitud ridade arv.
5. samm Kui olete oma valikutega rahul, valige suvandite menüüst Upgrade Virtual Image. Kuvatakse dialoogiboks Virtual Image Upgrade.
6. samm Valige iga valitud seadme jaoks õige versiooniuuenduse versioon rippmenüüst Upgrade to Version.
7. samm Kui olete valinud iga seadme jaoks uuendusversiooni, klõpsake nuppu Uuenda. Kui värskendamine on lõppenud, kuvatakse kinnitusteade.

Dokumendid / Ressursid

CISCO SD-WAN katalüsaatori turvakonfiguratsioon [pdfKasutusjuhend SD-WAN, SD-WAN katalüsaatori turvakonfiguratsioon, katalüsaatori turvakonfiguratsioon, turvakonfiguratsioon, konfiguratsioon

Viited

• Kasutusjuhend