المقدمة
يصف هذا المستند الخطوات اللازمة لتأكيد إصدار الشبكة النشط (FTD) الذي يتم تشغيله من Cisco Firepower Threat Defense (FTD) عند إدارته بواسطة مدير جهاز أمان FirePOWER (FDM) من Cisco أو مركز إدارة FirePOWER (FMC) من Cisco أو Cisco Defense Orchestrator (CDO).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- مركز إدارة FireSIGHT (FMC) من Cisco
- الدفاع ضد تهديد FirePOWER (FTD) من Cisco
- مدير جهاز FirePOWER (FDM) من Cisco
- Cisco Defense Orchestrator (CDO)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Firepower Threat Defense (FTD) الإصدار 6.7.0 و 7.0.0
- مركز إدارة Cisco Firepower (FMC) الإصدار 6.7.0 و 7.0.0
- Cisco Defense Orchestrator (CDO)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
قام نظام منع الاقتحام SNORT®بإطلاق برنامج Snort 3 رسميا، وهو عبارة عن ترقية شاملة تتميز بتحسينات وميزات جديدة تعمل على تحسين الأداء والمعالجة السريعة وقابلية التطوير المحسنة لشبكتك، بالإضافة إلى مجموعة من الإضافات التي تزيد عن 200+ بحيث يتمكن المستخدمون من إنشاء إعداد مخصص لشبكتهم.
وتشمل مزايا الشورت 3، على سبيل المثال لا الحصر، ما يلي:
-
أداء محسن
-
تحسين فحص SMBv2
-
إمكانات اكتشاف البرامج النصية الجديدة
-
فحص HTTP/2
-
مجموعات القواعد المخصصة
-
بناء الجملة الذي يجعل قواعد التطفل المخصصة أكثر سهولة للكتابة
-
الأسباب ل " كان سيخفض " نتائج داخل أحداث التسلل
-
لا تتم إعادة تشغيل أي عمليات تغيير عند نشر التغييرات إلى قاعدة بيانات المحول (VDB) ونهج طبقة المقابس الآمنة (SSL) وأجهزة اكتشاف التطبيقات المخصصة ومصادر هوية المدخل المقيد واكتشاف هوية خادم TLS
-
قابلية صيانة محسنة، بسبب إرسال بيانات تتبع بيانات خاصة ب 3 أجهزة إستشعار عن بعد إلى شبكة نجاح Cisco وسجلات أستكشاف الأخطاء وإصلاحها بشكل أفضل
تم تقديم الدعم ل Snort 3.0 ل 6.7.0 Cisco Firepower Threat Defense (FTD)، فقط عند إدارة FTD من خلال مدير أجهزة FirePOWER (FDM) من Cisco.
ملاحظة: بالنسبة لعمليات النشر الجديدة في برنامج الإرسال فائق السرعة (FTD) الإصدار 6.7.0 التي تتم إدارتها بواسطة FDM، يعد برنامج Snort 3.0 محرك الفحص الافتراضي. إذا قمت بترقية FTD إلى 6.7 من إصدار أقدم، فإن Snort 2.0 يبقى محرك التفتيش النشط، لكن يمكنك التبديل إلى Snort 3.0.
ملاحظة: بالنسبة لهذا الإصدار، لا يدعم برنامج Snort 3.0 الموجهات الظاهرية أو قواعد التحكم في الوصول المستندة إلى الوقت أو فك تشفير إتصالات TLS 1.1 أو الاتصالات الأقل. قم بتمكين snort 3.0 فقط إذا لم تكن بحاجة إلى هذه الميزات.
بعد ذلك، قدم Firepower الإصدار 7.0 دعم SNORT 3.0 لأجهزة الدفاع عن تهديد FirePOWER التي تتم إدارتها بواسطة كل من Cisco FDM ومركز إدارة FirePOWER (FMC) من Cisco.
ملاحظة: بالنسبة لعمليات النشر الجديدة في برنامج الإرسال فائق السرعة (FTD) الإصدار 7.0، يعد الطراز Snort 3 الآن محرك الفحص الافتراضي. تستمر عمليات النشر التي تمت ترقيتها في إستخدام Snort 2، ولكن يمكنك التبديل في أي وقت.
تحذير: يمكنك التبديل بحرية بين الشورتين 2.0 و 3.0، حتى يمكنك الرجوع إلى التغيير إذا لزم الأمر. تتم مقاطعة حركة المرور عند تبديل الإصدارات.
تحذير: قبل التبديل إلى Snort 3، يوصى بشدة بقراءة دليل تكوين FirePOWER Management Center snort 3 وفهمه. عليك أن تولي اهتماما خاصا لقيود الميزات وإرشادات الترحيل. على الرغم من أن الترقية إلى Snort 3 مصممة لتقليل التأثير إلى الحد الأدنى، إلا أن الميزات لا تقوم بالتعيين بدقة. يمكن أن تساعدك الخطة والتحضير قبل الترقية على التأكد من معالجة حركة المرور كما هو متوقع.
تحديد إصدار Active Snort الذي يتم تشغيله على FTD
واجهة سطر الأوامر (CLI) ل FTD
لتحديد إصدار snort النشط الذي يتم تشغيله على FTD، قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) في FTD وقم بتشغيل الأمر show snort3 status:
مثال 1: عندما لا يوجد إخراج معروض، يقوم FTD بتشغيل snort 2.
>show snort3 status
>
مثال 2: عندما يعرض الإخراج "يتم تشغيل snort 2 حاليا"، يقوم FTD بتشغيل snort 2.
>show snort3 status
Currently running Snort 2
المثال 3: عندما يعرض الإخراج "يتم تشغيل snort 3 حاليا"، يقوم FTD بتشغيل snort 3.
>show snort3 status
Currently running Snort 3
تتم إدارة FTD بواسطة Cisco FDM
لتحديد إصدار البرنامج النشط الذي يتم تشغيله على FTD الذي تتم إدارته بواسطة Cisco FDM، أكمل الخطوات التالية:
- قم بتسجيل الدخول إلى Cisco FTD من خلال واجهة الويب FDM.
- من القائمة الرئيسية، حدد سياسات.
- ثم حدد علامة التبويب إقتحام.
- ابحث عن إصدار snort أو قسم محرك الفحص لتأكيد إصدار snort النشط في FTD.
مثال 1: يشغل FTD الإصدار 2 من snort.
مثال 2: يشغل FTD صيغة snort صيغة 3.
تتم إدارة برنامج الإرسال فائق السرعة (FTD) بواسطة Cisco FMC
لتحديد إصدار التمثال النشط الذي يتم تشغيله على FTD تتم إدارته بواسطة وحدة التحكم في الإدارة الأساسية (FMC) من Cisco، أكمل الخطوات التالية:
- سجل الدخول إلى واجهة ويب Cisco FMC.
- من قائمة الأجهزة، حدد إدارة الجهاز.
- ثم حدد جهاز FTD المناسب.
- انقر أيقونة تحرير القلم الرصاص.
- حدد علامة التبويب الجهاز وابحث عن قسم محرك الفحص لتأكيد إصدار snort النشط في FTD:
مثال 1: يشغل FTD الإصدار 2 من snort.
مثال 2: يشغل FTD صيغة snort صيغة 3.
تتم إدارة برنامج الإرسال فائق السرعة (FTD) بواسطة Cisco CDO
لتحديد إصدار البرنامج النشط الذي يتم تشغيله على FTD تتم إدارته بواسطة Cisco Defense Orchestrator، أكمل الخطوات التالية:
- سجل الدخول إلى واجهة الويب Cisco Defense Orchestrator.
- من قائمة المخزون، حدد جهاز FTD المناسب.
- في قسم تفاصيل الجهاز، ابحث عن إصدار snort:
مثال 1: يشغل FTD الإصدار 2 من snort.
مثال 2: يشغل FTD صيغة snort صيغة 3.
معلومات ذات صلة