CISCO logoSigurnosna konfiguracija CISCO SD-WAN katalizatora

Sadržaj sakriti
1 Sigurnosna virtuelna slika
2 Instalirajte i konfigurišite IPS/IDS, URL-Ž, ili AMP Sigurnosne politike
3 Identifikujte preporučenu verziju sigurnosne virtuelne slike
4 Otpremite Cisco Security Virtual Image u Cisco SD-WAN Manager
5 Nadogradite sigurnosnu virtuelnu sliku
6 Dokumenti / Resursi
6.1 Reference

Sigurnosna virtuelna slika

Sigurnosna konfiguracija CISCO SD-WAN Catalyst - ikona 1Kako bi se postiglo pojednostavljenje i konzistentnost, Cisco SD-WAN rješenje je rebrendirano u Cisco Catalyst SD-WAN. Osim toga, od Cisco IOS XE SD-WAN izdanja 17.12.1a i Cisco Catalyst SD-WAN izdanja 20.12.1, primjenjuju se  sljedeće promjene komponenti: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN SD Analitika, Cisco vBond za Cisco Catalyst SD-WAN validator i Cisco vSmart za Cisco  Catalyst SD-WAN kontroler. Pogledajte najnovije napomene o izdanju za sveobuhvatnu listu svih promjena imena marke komponenti. Dok prelazimo na nova imena, neke nedosljednosti mogu biti prisutne u skupu dokumentacije  zbog postupnog pristupa ažuriranjima korisničkog interfejsa softverskog proizvoda.

Cisco SD-WAN Manager koristi sigurnosnu virtuelnu sliku da omogući sigurnosne funkcije kao što su sistem za prevenciju upada (IPS), sistem za otkrivanje upada (IDS), URL Filtriranje (URL-F) i Napredna zaštita od zlonamjernog softvera (AMP) na Cisco  IOS XE Catalyst SD-WAN uređajima. Ove karakteristike omogućavaju hostovanje aplikacija, analizu saobraćaja u realnom vremenu i evidentiranje paketa na IP mrežama. Jednom slika file je učitano u Cisco SD-WAN Manager Software Repository, možete  kreirati politiku, profile, i predlošci uređaja koji će automatski prebaciti pravila i ažuriranja na ispravne uređaje.
Prije nego što koristite ove funkcije, prvo morate instalirati i konfigurirati IPS/IDS, URL-Ž, ili AMP bezbednosne politike, a zatim otpremite relevantnu bezbednosnu virtuelnu sliku u Cisco SD-WAN Manager. Nakon nadogradnje softvera na uređaju,  također morate nadograditi Sigurnosnu virtuelnu sliku.
Ovo poglavlje opisuje kako izvršiti ove zadatke.

  • Instalirajte i konfigurišite IPS/IDS, URL-Ž, ili AMP Sigurnosne politike, na stranici 1
  • Identifikujte preporučenu verziju sigurnosne virtuelne slike, na stranici 4
  • Otpremite Cisco Security Virtual Image u Cisco SD-WAN Manager, na stranici 4
  • Nadogradite sigurnosnu virtuelnu sliku, na stranici 5

Instalirajte i konfigurišite IPS/IDS, URL-Ž, ili AMP Sigurnosne politike

Instalacija i konfiguracija IPS/IDS-a, URL-Ž, ili AMP sigurnosne politike zahtijevaju sljedeći tok posla:
Zadatak 1: Kreirajte predložak sigurnosne politike za IPS/IDS, URL-Ž, ili AMP Filtriranje
Zadatak 2: Kreirajte predložak za sigurnosne aplikacije
Zadatak 3: Kreirajte predložak uređaja

Zadatak 4: Priključite uređaje na predložak uređaja
Kreirajte predložak sigurnosne politike

  1. U meniju Cisco SD-WAN Manager izaberite Konfiguracija > Sigurnost.
  2. Kliknite Dodaj sigurnosnu politiku.
  3. U prozoru Dodaj sigurnosnu politiku izaberite svoj sigurnosni scenarij sa liste opcija.
  4. Kliknite Nastavi.

Kreirajte predložak za sigurnosne aplikacije
Funkcija profile predložak konfigurira dvije funkcije:

  • NAT: Omogućava ili onemogućava prevođenje mrežnih adresa (NAT), koje štiti interne IP adrese kada su izvan zaštitnog zida.
  • Resource Profile: Dodjeljuje zadane ili visoke resurse različitim podmrežama ili uređajima.

Sigurnosna konfiguracija CISCO SD-WAN Catalyst - ikona 1Funkcija profesionalacfile šablon, iako nije striktno obavezan, preporučuje se.

Za kreiranje funkcije profile predložak, slijedite ove korake:

  1. U meniju Cisco SD-WAN Manager izaberite Konfiguracija > Predlošci.
  2. Kliknite na Predlošci funkcija, a zatim kliknite na Dodaj predložak.
    Sigurnosna konfiguracija CISCO SD-WAN Catalyst - ikona 1 U Cisco vManage izdanju 20.7.1 i ranijim izdanjima, predlošci funkcija se nazivaju Feature.
  3. Sa liste Select Devices izaberite uređaje koje želite da povežete sa predloškom.
  4. U odeljku Osnovne informacije kliknite na Security App Hosting.
  5. Unesite naziv i opis predloška.
  6. Pod Parametri sigurnosne politike, prilagodite parametre sigurnosne politike ako je potrebno.
    • Omogućite ili onemogućite funkciju prevođenja mrežnih adresa (NAT), na osnovu vašeg slučaja upotrebe. Podrazumevano, NAT je uključen.
    • Kliknite na padajuću strelicu da postavite granice za politiku. Podrazumevano je Default.
    Globalno: Omogućava NAT za sve uređaje priključene na predložak.
    Specifično za uređaj: Omogućuje NAT samo za određene uređaje. Ako odaberete Device Specific, unesite naziv ključa uređaja.
    Zadano: Omogućuje zadanu NAT politiku za uređaje priključene na predložak.
    • Postavite Resource Profile. Ova opcija postavlja broj snort instanci koje će se koristiti na ruteru. Podrazumevano je Nisko što označava jednu instancu šmrkanja. Srednji označava dva slučaja, a Visoki označava tri slučaja.
    • Kliknite na padajuću strelicu da biste postavili granice za profesionalca resursafile. Podrazumevano je Globalno.
    Globalno: Omogućuje odabrani resurs profile za sve uređaje priključene na šablon.
    Specifično za uređaj: Omogućuje profesionalnufile samo za određene uređaje. Ako odaberete Device Specific, unesite naziv ključa uređaja.
    Podrazumevano: Omogućuje podrazumevani resursni profile za uređaje priključene na šablon.
  7. Postavite Preuzimanje URL Baza podataka na uređaju na Da ako želite da preuzmete URL-F baza podataka na uređaju. U ovom slučaju, uređaj traži u lokalnoj bazi podataka prije pokušaja pretraživanja u oblaku.
  8. Kliknite na Save.

Kreirajte predložak uređaja
Da biste aktivirali pravila koja želite primijeniti, možete kreirati predložak uređaja koji će progurati pravila na uređaje kojima su potrebna. Dostupne opcije se razlikuju u zavisnosti od vrste uređaja. Za nprampDakle, uređaji Cisco SD-WAN Manager zahtijevaju  ograničeniji podskup većeg predloška uređaja. Vidjet ćete samo važeće opcije za taj model uređaja.
Da biste kreirali predložak sigurnosnog uređaja, slijedite ovaj nprample za rutere modela vEdge 2000:

  1. U meniju Cisco SD-WAN Manager izaberite Konfiguracija > Predlošci.
  2. Kliknite na Predlošci uređaja, a zatim odaberite Kreiraj predložak > Iz predloška funkcije.
    Sigurnosna konfiguracija CISCO SD-WAN Catalyst - ikona 1 U Cisco vManage izdanju 20.7.1 i ranijim izdanjima, Predlošci uređaja se nazivaju Uređaj.
  3. Sa padajuće liste Model uređaja odaberite model uređaja.
  4. Sa padajuće liste Uloga uređaja odaberite ulogu uređaja.
  5. Unesite naziv i opis predloška.
  6. Pomičite se prema dolje na stranici do podizbornika za konfiguraciju koji vam omogućavaju da odaberete postojeći predložak, kreirate novi predložak ili view postojeći šablon. Za nprampda biste kreirali novi sistemski predložak, kliknite na Kreiraj predložak.

Priključite uređaje na predložak uređaja

  1. U meniju Cisco SD-WAN Manager izaberite Konfiguracija > Predlošci.
  2. Kliknite na Predlošci uređaja, a zatim odaberite Kreiraj predložak > Iz predloška funkcije.
    Sigurnosna konfiguracija CISCO SD-WAN Catalyst - ikona 1 U Cisco vManage izdanju 20.7.1 i ranijim izdanjima, Predlošci uređaja se nazivaju Uređaj.
  3. U redu predloška željenog uređaja kliknite ... i odaberite Priloži uređaje.
  4. U prozoru Attach Devices izaberite željene uređaje sa liste dostupnih uređaja i kliknite na strelicu koja pokazuje desno da biste ih premestili na listu Selected Devices.
  5. Kliknite na Priloži.

Identifikujte preporučenu verziju sigurnosne virtuelne slike

Ponekad ćete možda htjeti provjeriti preporučeni broj izdanja Security Virtual Image (SVI) za dati uređaj. Da biste ovo provjerili koristeći Cisco SD-WAN Manager:
Korak 1
U meniju Cisco SD-WAN Manager izaberite Monitor > Uređaji.
Cisco vManage izdanje 20.6.x i starije: U meniju Cisco SD-WAN Manager izaberite Monitor > Mreža.
Korak 2
Odaberite WAN – Edge.
Korak 3
Odaberite uređaj koji će pokrenuti SVI.
Prikazuje se stranica Status sistema.
Korak 4
Dođite do kraja menija uređaja i kliknite na Real Time.
Prikazuje se stranica sa informacijama o sistemu.
Korak 5
Kliknite na polje Device Options (Opcije uređaja) i izaberite Security App Version Status iz menija.
Korak 6
Naziv slike se prikazuje u koloni Preporučena verzija. Trebalo bi da odgovara dostupnom SVI za vaš ruter iz Cisco preuzimanja website.

Otpremite Cisco Security Virtual Image u Cisco SD-WAN Manager

Svaka slika rutera podržava određeni raspon verzija za hostovanu aplikaciju. Za IPS/IDS i URL-Filtriranje, možete pronaći raspon podržanih verzija (i preporučenu verziju) za uređaj na njegovoj stranici s opcijama uređaja.
Kada se bezbednosna politika ukloni sa Cisco IOS XE Catalyst SD-WAN uređaja, virtuelna slika ili Snort motor se takođe uklanja sa uređaja.

Korak 1 Na stranici za preuzimanje softvera za vaš ruter pronađite sliku UTD Engine za IOS XE SD-WAN.
Korak 2 Kliknite na preuzimanje za preuzimanje slike file.
Korak 3 U meniju Cisco SD-WAN Manager izaberite Održavanje > Softversko spremište
Korak 4 Odaberite Virtual Images.
Korak 5 Kliknite na Upload Virtual Image i odaberite vManage ili Remote Server – vManage. Otvara se prozor Otpremanje virtuelne slike u vManage.
Korak 6 Prevucite i ispustite ili potražite sliku file.
Korak 7 Kliknite na Upload. Kada se upload završi, prikazuje se poruka potvrde. Nova virtuelna slika se prikazuje u repozitorijumu softvera za virtuelne slike.

Nadogradite sigurnosnu virtuelnu sliku

Kada se Cisco IOS XE Catalyst SD-WAN uređaj nadogradi na novu softversku sliku, sigurnosna virtuelna slika se takođe mora nadograditi tako da se podudaraju. Ako postoji neslaganje u slikama softvera, prebacivanje VPN šablona na uređaj neće uspjeti.
Sigurnosna konfiguracija CISCO SD-WAN Catalyst - ikona 1 Ako je omogućena opcija Ažuriranje IPS potpisa, odgovarajući paket IPS potpisa automatski se ažurira kao dio nadogradnje. Možete omogućiti postavku iz Administracija > Postavke > Ažuriranje IPS potpisa.
Za nadogradnju aplikacije koja hostuje virtuelnu sliku za uređaj, slijedite ove korake:

Korak 1 Pratite korake u Otpremanje ispravne Cisco bezbednosne virtuelne slike u vManage da biste preuzeli preporučenu verziju SVI-ja za vaš ruter. Obratite pažnju na naziv verzije.
Korak 2 Iz menija Cisco SD-WAN Manager odaberite Održavanje > Spremište softvera > Virtuelne slike kako biste provjerili da li verzija slike navedena u koloni Preporučena verzija odgovara virtuelnoj slici navedenoj u tabeli Virtuelne  slike.
Korak 3 U meniju Cisco SD-WAN Manager izaberite Održavanje > Nadogradnja softvera. Prikazuje se stranica za nadogradnju softvera WAN Edge.
Korak 4 Odaberite uređaje koje želite da nadogradite i označite potvrdne okvire u krajnjoj lijevoj koloni. Kada odaberete jedan ili više uređaja, prikazuje se red opcija, kao i broj redova koje ste odabrali.
Korak 5 Kada ste zadovoljni svojim izborom, izaberite Nadogradi virtuelnu sliku iz menija sa opcijama. Prikazuje se dijaloški okvir Virtual Image Upgrade.
Korak 6 Za svaki uređaj koji ste odabrali, odaberite ispravnu verziju nadogradnje iz padajućeg menija Nadogradnja na verziju.
Korak 7 Kada odaberete verziju nadogradnje za svaki uređaj, kliknite na Nadogradi. Kada se ažuriranje završi, prikazuje se poruka potvrde.

Dokumenti / Resursi

Sigurnosna konfiguracija CISCO SD-WAN katalizatora [pdf] Korisnički priručnik
SD-WAN, SD-WAN Catalyst sigurnosna konfiguracija, Catalyst sigurnosna konfiguracija, sigurnosna konfiguracija, konfiguracija

Reference

Ostavite komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *