Cisco Defense Orchestrator 基础知识

思科防御协调器 (CDO) 通过清晰简洁的界面提供策略管理的独特视图。以下主题介绍了首次使用CDO的基础知识。

请求 CDO 租户

您可以申请 CDO 租户的 30 天免费试用,以自行激活和管理您的设备。然后,您可以联系思科客户团队将您的租户升级到许可的租户。

准备工作

如果尚未创建 SecureX 帐户,请创建一个。请参阅创建 SecureX 帐户

操作步骤

  1. 转至https://www.defenseorchestrator.com/new

  2. 选择要调配 CDO 租户的区域。

  3. 点击 Sign Up with SecureX。

  4. 使用您的 SecureX 账户登录。

    成功登录后,您将收到一封电子邮件,其中包含您注册的电子邮件 ID 上的租户详细信息。系统将在您选择的区域中创建一个新的 CDO 租户。按照邮件中的说明访问新的 CDO 租户。

    有关首次登录 CDO 租户的信息,请参阅新 CDO 租户的初始登录

    有关管理 CDO 租户和各种租户设置的信息,请参阅租户管理

请求额外的 CDO 租户

如果要为现有租户创建其他租户,请联系您的客户经理。

许可证

要从 自行激活和管理设备,您需要根据要管理的设备购买基本订用和设备特定的期限订用。思科防御协调器

关于许可证

CDO 需要基本订用租户授权和设备许可证来管理设备。您可以根据所需的租户数量购买一个或多个基本订用,并根据设备型号和数量购买设备许可证。CDO换句话说,购买基本订用会为您提供一个租户,对于您选择使用的每台设备,您都需要单独的设备许可证。CDOCDO出于规划部署的目的,请注意,每个租户可以通过安全设备连接器 (SDC) 管理大约 500 台设备,并使用云连接器管理任意数量的设备。CDO有关详细信息,请参阅安全设备连接器 (SDC)。https://www.cisco.com/c/en/us/td/docs/security/cdo/managing-asa-with-cdo/managing-asa-with-cisco-defense-orchestrator/basics-of-cisco-defense-orchestrator.html#Cisco_Concept.dita_e19faf6e-4e1b-4bb3-ad82-48a080430e8c

订用

思科防御协调器 订用是基于期限的:

  • 基本 - 提供一年、三年和五年订用,并提供访问租户和自行激活充分许可设备的权利。CDO

  • 设备许可证 - 为您选择管理的任何受支持设备提供一年、三年和五年的订用。例如,如果您购买了思科 Firepower 1010 设备的三年软件订用,则可以选择使用 管理思科 Firepower 1010 设备三年。云交付的防火墙管理中心CDO

有关 支持的思科安全设备的详细信息,请参阅 CDO 支持的软件和硬件。https://docs.defenseorchestrator.com/#!c-software-and-hardware-supported-by-cdo.htmlCDO


重要


您不需要两个单独的设备许可证来管理高可用性设备对。CDO如果您有安全防火墙 ASA (ASA) 或安全防火墙威胁防御 (FTD) 高可用性对,则购买一个 ASA 或 FTD 设备许可证就足够了,因为会将高可用性设备对视为一台设备。CDO




您无法通过思科智能许可门户管理许可。CDO


软件订用支持

基本订用包括在订用期限内有效的软件订用支持,并可免费访问软件更新、主要升级和思科技术支持中心 (TAC)。CDO虽然默认选择软件支持,但您也可以根据自己的要求利用解决方案支持。CDO

评估许可证

思科防御协调器 试用期许可证

您可以从您的 SecureX 账户申请 30 天试用。思科防御协调器 有关详细信息,请参阅请求 CDO 租户。https://docs.defenseorchestrator.com/#!c-provision-cdo-tenant-securex.html

云交付的防火墙管理中心 评估许可证

提供 90 天的评估许可证,在此之后,服务将被阻止。云交付的防火墙管理中心威胁防御

要了解如何在租户上调配 ,请参阅为租户请求 。云交付的防火墙管理中心CDO云交付的防火墙管理中心CDO

云交付防火墙管理中心和威胁防御许可证

您无需购买单独的许可证即可在 中使用 ;租户的基本订用包括的成本。云交付的防火墙管理中心CDOCDO云交付的防火墙管理中心



不支持气隙网络中的设备的特定许可证预留 (SLR)。云交付的防火墙管理中心


云交付防火墙管理中心的威胁防御许可证

您需要为 管理的每台设备购买单独的许可证。Secure Firewall Threat Defense云交付的防火墙管理中心有关详细信息,请参阅使用 Cisco 防御协调器中的云交付防火墙管理中心管理防火墙威胁防御中的许可证

要了解如何处理迁移到 的设备的许可,请参阅将威胁防御从管理中心迁移到云。CDO云交付的防火墙管理中心https://www.cisco.com/c/en/us/td/docs/security/cdo/cloud-delivered-firewall-management-center-in-cdo/managing-firewall-threat-defense-services-with-cisco-defense-orchestrator/m-change-firewall-threat-defense-device-management-from-secure-firewall-management-center-to-cdo.html#Cisco_Concept.dita_f7a16928-88d3-420a-9dc6-84c35fdd406b

更多支持的设备和许可证

除了通过 支持设备外, 还管理以下设备:Secure Firewall Threat Defense云交付的防火墙管理中心CDO

  • Cisco Secure Firewall ASA

  • Cisco Secure Firewall Cloud Native

  • 本地 Cisco Secure Firewall Management Center

  • 思科 Meraki MX 安全设备

  • 思科 IOS 设备

  • 可使用 SSH 访问的设备

  • Amazon Web 服务 (AWS) 虚拟私有云 (VPC)

  • Duo 管理面板

  • Umbrella 组织

您将需要基本授权许可证和特定于要管理的设备的许可证。CDO

安全设备连接器 (SDC)

使用设备凭证将设备载入 CDO 时,CDO 认为最佳实践是在网络中下载并部署安全设备连接器 (SDC),以代理设备与 CDO 之间的通信。但是,如果您愿意,可以使设备通过其外部接口从 CDO 接收直接通信。自适应安全设备 (ASA)、FDM 管理 设备、Firepower 管理中心 (FMC)、安全防火墙云原生设备以及 SSH 和 IOS 设备都可以使用 SDC 载入 CDO。

SDC 监控需要在受管设备上执行的命令,以及需要发送到受管设备的消息。SDC 代表 CDO 执行命令,代表受管设备向 CDO 发送消息,并将受管设备的应答返回给 CDO。

SDC 使用通过 HTTPS (TLS 1.2) 的 AES-128-GCM 签名和加密的安全通信消息与 CDO 通信。载入的设备和服务的所有凭证都会直接从浏览器加密到 SDC,并使用 AES-128-GCM 进行静态加密。只有 SDC 可以访问设备凭证。其他 CDO 服务均无权访问凭证。有关如何允许在 SDC 和 CDO 之间通信的信息,请参阅将 思科防御协调器 连接到托管设备

SDC 可以安装在设备上,作为虚拟机监控程序上的虚拟机,也可以安装在 AWS 或 Azure 等云环境中。您可以使用 CDO 提供的组合虚拟机和 SDC 映像安装 SDC,也可以创建自己的虚拟机并在其上安装 SDC。SDC 虚拟设备包括 CentOS 操作系统,并在 Docker 容器中运行。

每个 CDO 租户可以拥有无限数量的 SDC。这些 SDC 不会在租户之间共享,而是专用于单个租户。单个 SDC 可以管理的设备数量取决于这些设备上实施的功能及其配置文件的大小。但是,出于规划部署的目的,预计一个 SDC 可支持大约 500 台设备。

为租户部署多个 SDC 还具有以下优势:

  • 您可以使用 CDO 租户管理更多设备,而不会降低性能。

  • 您可以将 SDC 部署到网络中的隔离网段,并且仍然使用相同的 CDO 租户管理该网段中的设备。如果没有多个 SDC,您将需要使用不同的 CDO 租户管理这些隔离网段中的设备。

部署第二个或后续 SDC 的程序与部署第一个 SDC 的程序相同。租户上的初始 SDC 包含租户的名称和数字 1,并显示在 CDO 的“安全连接器” 页面上。每个额外的 SDC 都按顺序编号。请参阅使用 CDO 的 VM 映像部署安全设备连接器在您自己的虚拟机上部署安全设备连接器

思科防御协调器 连接到托管设备

CDO 通过云连接器或安全设备连接器 (SDC) 连接到其管理的设备。

如果可以直接从互联网访问您的设备,则应使用云连接器连接到您的设备。如果可以将设备配置为,则允许从云区域中的 CDO IP 地址对端口 443 进行入站访问。

如果无法从互联网访问您的设备,您可以在网络中部署本地 SDC,以允许 CDO 与您的设备进行通信。如果您可以将设备配置为,则允许端口 443(或您为设备管理配置的任何端口)上的完全入站访问。

您的网络中需要有本地 SDC 才能载入:

  • 无法从云访问的 ASA 设备。

  • 使用无法从云和“凭证载入”方法访问的 FDM 管理 设备。

  • Cisco IOS 设备。

  • 具有 SSH 访问权限的设备。

所有其他设备和服务都不需要本地 SDC。CDO 将使用其“云连接器”进行连接。请参阅下一部分,了解入站访问必须允许的 IP 地址。

通过云连接器将设备连接到 CDO

通过云连接器将 CDO 直接连接到您的设备时,您应允许 EMEA、美国或 APJC 区域中的各种 IP 地址在端口 443(或您为设备管理配置的任何端口)上进行入站访问。

如果您是欧洲、中东或非洲 (EMEA) 地区的客户,并且您在 https://defenseorchestrator.eu/ 连接到 CDO,请允许从以下 IP 地址进行入站访问:

  • 35.157.12.126

  • 35.157.12.15

如果您是美国地区的客户,并且您通过 https://defenseorchestrator.com 连接到 CDO,请允许从以下 IP 地址进行入站访问:

  • 52.34.234.2

  • 52.36.70.147

如果您是亚太地区-日本-中国 (APJC) 地区的客户,并且您通过 https://www.apj.cdo.cisco.com/ 连接到 CDO,请允许来自以下 IP 地址的入站访问:

  • 54.199.195.111

  • 52.199.243.0

使用 SDC 将设备连接到 CDO

当通过 SDC 将 CDO 连接到您的设备时,您希望 CDO 管理的设备必须允许在端口 443(或您为设备管理配置的任何端口)上进行完全入站访问。这是使用管理访问控制规则配置的。

您还必须确保部署了 SDC 的虚拟机与受管设备的管理接口建立了网络连接。

ASACisco Secure Firewall Cloud Native 连接到 SDC 的特殊注意事项

具体而言,对于 ASACisco Secure Firewall Cloud Native,SDC 使用与 ASDM 相同的安全通信通道。

如果管理的 ASACisco Secure Firewall Cloud Native 也配置为接受 AnyConnect VPN 客户端连接,则必须将 ASDM HTTP 服务器端口更改为 1024 或更高的值。请注意,此端口号将与将 ASACisco Secure Firewall Cloud Native 设备载入 CDO 时使用的端口号相同。

ASACisco Secure Firewall Cloud Native 命令示例

以下示例假定 ASACisco Secure Firewall Cloud Native 外部接口名为“outside”,并且在 ASACisco Secure Firewall Cloud Native 上配置了 AnyConnect 客户端,因此 ASDM HTTP 服务器正在侦听端口 8443。

要启用外部接口,请输入以下命令:

欧洲、中东和非洲地区:

http 35.157.12.126 255.255.255.255 outside

http 35.157.12.15 255.255.255.255 outside

美国:

http 52.34.234.2 255.255.255.255 outside

http 52.36.70.147 255.255.255.255 outside

亚太地区-日本-中国地区:

http 54.199.195.111 255.255.255.255 outside

http 52.199.243.0 255.255.255.255 outside

要启用 ASDM HTTP 服务器端口,在使用 AnyConnect VPN 客户端的情况下,请输入以下命令:

http server enable 8443

使用 CDO 的 VM 映像部署安全设备连接器

使用设备凭证将 CDO 连接到设备时,最佳做法是在网络中下载并部署 SDC,以管理 CDO 与设备之间的通信。通常,这些设备不是基于边界的,没有公共 IP 地址,或者具有通往外部接口的开放端口。自适应安全设备 (ASA)、FDM 管理 设备、Firepower 管理中心 (FMC)、安全防火墙云原生设备以及 SSH 和 IOS 设备都可以使用 SDC 载入 CDO。

SDC 监控需要在受管设备上执行的命令,以及需要发送到受管设备的消息。SDC 代表 CDO 执行命令,代表受管设备向 CDO 发送消息,并将受管设备的应答返回给 CDO。

单个 SDC 可以管理的设备数量取决于这些设备上实施的功能及其配置文件的大小。但是,出于规划部署的目的,我们预计一个 SDC 可支持大约 500 台设备。有关详细信息,请参阅在单个 CDO 租户上使用多个 SDC

此程序介绍如何使用 CDO 的 VM 映像在网络中安装 SDC。这是创建 SDC 的首选、最简单、最可靠的方法。如果需要使用您创建的 VM 创建 SDC,请执行 在您自己的虚拟机上部署安全设备连接器

开始之前

在部署 SDC 之前,请查看以下前提条件:

  • CDO 需要严格的证书检查,并且不支持 SDC 和互联网之间的 Web/内容代理。如果使用代理服务器,请禁用对安全设备连接器 (SDC) 和 CDO 之间的流量进行检查。

  • SDC 必须在 TCP 端口 443 或您为设备管理配置的端口上具有对互联网的完全出站访问权限。CDO 管理的设备还必须允许来自此端口的入站流量。

  • 查看 使用安全设备连接器连接到思科防御协调器 以确保适当的网络访问。

  • CDO 支持使用 vSphere Web 客户端或 ESXi Web 客户端安装其 SDC VM OVF 映像。

  • CDO 不支持使用 vSphere 桌面客户端安装 SDC VM OVF 映像。

  • ESXi 5.1 虚拟机监控程序。

  • Cent OS 7 访客操作系统。

  • 仅具有一个 SDC 的 VMware ESXi 主机的系统要求:

    • VMware ESXi 主机需要 2 个 CPU。

    • VMware ESXi 主机至少需要 2 GB 内存。

    • VMware ESXi 需要 64 GB 磁盘空间来支持虚拟机,具体取决于您的调配选择。

  • Docker 的 IP 必须与 SDC 的 IP 范围设备 IP 范围位于不同的子网中。

  • 在开始安装之前收集以下信息:

    • 要用于 SDC 的静态 IP 地址。

    • 您在安装过程中创建的 rootcdo 用户的密码。

    • 您的组织使用的 DNS 服务器的 IP 地址。

    • SDC 地址所在网络的网关 IP 地址。

    • 时间服务器的 FQDN 或 IP 地址。

  • SDC 虚拟机配置为定期安装安全补丁,为此,需要打开端口 80 出站。

过程


步骤 1

登录到要为其创建 SDC 的 CDO 租户。

步骤 2

从 CDO 菜单中,选择工具和服务 (Tools & Services) > 安全连接器 (Secure Connectors)

步骤 3

在安全连接器 页面上,点击蓝色加号按钮,然后选择安全设备连接器 (Secure Device Connector)

步骤 4

在步骤 1 中,点击下载 SDC VM 映像 (Download the SDC VM image)。这将在单独的选项卡中打开。

步骤 5

从 zip 文件中提取所有文件。它们看起来和下面有些相似:

  • CDO-SDC-VM-ddd50fa.ovf

  • CDO-SDC-VM-ddd50fa.mf

  • CDO-SDC-VM-ddd50fa-disk1.vmdk

步骤 6

使用 vSphere Web 客户端以管理员身份登录 VMware 服务器。

 

请勿使用 ESXi Web 客户端。

步骤 7

按照提示从 OVF 模板部署安全设备连接器虚拟机。

步骤 8

设置完成后,打开 SDC VM。

步骤 9

打开新 SDC VM 的控制台。

步骤 10

使用用户名 cdo 登录。默认密码为 adm123

步骤 11

在提示符后,键入 sudo sdc-onboard setup

 [cdo@localhost ~]$ sudo sdc-onboard setup

步骤 12

出现密码提示时,输入 adm123

步骤 13

按照提示为用户 root创建新密码。输入 root 用户的密码。

步骤 14

按照提示为 cdo 用户创建新密码。输入 cdo 用户的密码。

步骤 15

当系统提示请选择要连接的 CDO 域 (Please choose the CDO domain you connect to) 时,请输入您的 Cisco Defense Orchestrator 域信息。

步骤 16

系统提示时,输入以下的 SDC 的域信息:

  1. IP 地址/CIDR

  2. 网关

  3. DNS 服务器

  4. NTP 服务器或 FQDN

  5. Docker 网桥

    如果 Docker 网桥不适用,请按 Enter 键。

步骤 17

当系统提示 这些值是否正确时?(是/否)(Are these values correct? [y/n]), 使用 y确认您的输入。

步骤 18

确认您的输入内容。

步骤 19

当系统提示 您是否要设置 SDC 时?(是/否)(Would you like to setup the SDC now? [y/n]),输入 n

步骤 20

VM 控制台会自动将您注销。

步骤 21

创建与 SDC 的 SSH 连接。以 cdo 身份登录并输入密码。

步骤 22

在提示符后,键入 sudo sdc-onboard bootstrap

[cdo@localhost ~]$ sudo sdc-onboard bootstrap 

步骤 23

当系统提示输入 [sudo] 密码时,请输入您在步骤 14 中创建的 cdo 密码。

步骤 24

当系统提示请从 CDO 的安全连接器页面复制引导程序数据 (Please copy the bootstrap data form the Secure Connector Page of CDO) 时,请执行以下程序:

  1. 登录 CDO。

  2. 从 CDO 菜单中选择 管理 > 安全连接器

  3. 在操作窗格中,点击部署现场安全设备连接器 (Deploy an On-Premises Secure Device Connector)

  4. 点击对话框第 2 步中的复制引导程序数据 (Copy the bootstrap data),然后粘贴到 SSH 窗口中。

步骤 25

当系统提示 您是否想更新这些设置?(是/否)(Do you want to update these setting? [y/n]),输入 n

步骤 26

返回“安全设备连接器”(Secure Device Connector) 页面。刷新屏幕,直到您看到新 SDC 的状态更改为活动 (Active)


在您自己的虚拟机上部署安全设备连接器

使用设备凭证将 CDO 连接到设备时,最佳做法是在网络中下载并部署安全设备连接器 (SDC),以管理 CDO 与设备之间的通信。通常,这些设备不是基于边界的,没有公共 IP 地址,或者具有通往外部接口的开放端口。自适应安全设备 (ASA)、FDM 管理 设备、Firepower 管理中心 (FMC) 和安全防火墙云原生设备均可使用设备凭证载入 CDO。

SDC 监控需要在受管设备上执行的命令,以及需要发送到受管设备的消息。SDC 代表 CDO 执行命令,代表受管设备向 CDO 发送消息,并将受管设备的应答返回给 CDO。

单个 SDC 可以管理的设备数量取决于这些设备上实施的功能及其配置文件的大小。但是,出于规划部署的目的,我们预计一个 SDC 可支持大约 500 台设备。有关详细信息,请参阅在单个 CDO 租户上使用多个 SDC

此程序介绍如何使用您自己的虚拟机映像在网络中安装 SDC。



安装 SDC 的首选、最简单、最可靠的方法是下载 CDO 的 SDC OVA 映像并进行安装。对于说明,请参阅 使用 CDO 的 VM 映像部署安全设备连接器


开始之前

  • CDO 需要严格的证书检查,并且不支持 SDC 和互联网之间的 Web/内容代理。

  • SDC 必须在 TCP 端口 443 上具有对互联网的完全出站访问权限。

  • 关于网络指南,请查看使用安全设备连接器连接到思科防御协调器

  • 安装了 vCenter Web 客户端或 ESXi Web 客户端的 VMware ESXi 主机。



    我们不支持使用 vSphere 桌面客户端进行安装。


  • ESXi 5.1 虚拟机监控程序。

  • Cent OS 7 访客操作系统。

  • 仅具有 SDC 的 VM 的系统要求:

    • VMware ESXi 主机需要 2 个 CPU。

    • VMware ESXi 主机至少需要 2 GB 内存。

    • VMware ESXi 需要 64 GB 磁盘空间来支持虚拟机,具体取决于您的调配选择。此值假定您对分区使用逻辑卷管理 (LVM),因此您可以根据需要扩展所需的磁盘空间。

  • 更新 VM 上的 CPU 和内存后,打开 VM 并确保“安全连接器”页面指示 SDC 处于“活动”状态。

  • 执行此过程的用户应该能够轻松地在 Linux 环境中使用 vi 可视化编辑器编辑文件。

  • 如果您在 CentOS 虚拟机上安装本地 SDC,我们建议您定期安装 Yum 安全补丁。根据您的 Yum 配置,要获取 Yum 更新,您可能需要在端口 80 和 443 上打开出站访问。您还需要配置 yum-cron 或 crontab 来安排更新。与您的安全运营团队合作,确定是否需要更改任何安全策略以允许您获取 Yum 更新。



开始之前:不要将程序中的命令复制并粘贴到终端窗口中,而应键入这些命令。某些命令包括 “n-dash”,在剪切和粘贴过程中,这些命令可以作为 “m-dash” 应用,这可能会导致命令失败。


过程


步骤 1

登录到要为其创建 SDC 的 CDO 租户。

步骤 2

从 CDO 菜单中,选择工具和服务 (Tools & Services) > 安全连接器 (Secure Connectors)

步骤 3

在安全连接器 页面上,点击蓝色加号按钮,然后选择安全设备连接器 (Secure Device Connector)

步骤 4

将窗口中步骤 2 中的引导程序数据复制到记事本。

步骤 5

安装 CentOS 7 虚拟机,至少为 SDC 分配以下 RAM 和磁盘空间:

  • 8 GB RAM

  • 10GB 磁盘空间

步骤 6

安装后,配置基本网络,例如指定 SDC 的 IP 地址、子网掩码和网关。

步骤 7

配置 DNS(域名服务器)服务器。

步骤 8

配置 NTP(网络时间协议)服务器。

步骤 9

在 CentOS 上安装 SSH 服务器,以便与 SDC 的 CLI 轻松交互。

步骤 10

运行 yum 更新,然后安装软件包: open-vm-toolsnettoolsbind-utils

[root@sdc-vm ~]# yum update -y 
               [root@sdc-vm ~]# yum install -y open-vm-tools net-tools bind-utils 

步骤 11

安装 AWS CLI 软件包;请参阅https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html

 

请勿使用 --user 标志。

步骤 12

安装 Docker CE 软件包;请参阅https://docs.docker.com/install/linux/docker-ce/centos/#install-docker-ce

 

使用“使用存储库安装”方法。

步骤 13

启动 Docker 服务并使其在启动时启动:


 [root@sdc-vm ~]# systemctl start docker
 [root@sdc-vm ~]# systemctl enable docker
 Created symlink from /etc/systemd/system/multiuser.target.wants/docker.service to
     /usr/lib/systemd/system/docker.service. 

步骤 14

创建两个用户:“cdo”和“sdc”。cdo 用户将是您登录以运行管理功能的用户(因此您无需直接使用 root 用户),sdc 用户将是运行 SDC docker 容器的用户。


  [root@sdc-vm ~]# useradd cdo
  [root@sdc-vm ~]# useradd sdc –d /usr/local/cdo

步骤 15

为 cdo 用户设置密码。


  [root@sdc-vm ~]# passwd cdo 
  Changing password for user cdo.
  New password: <type password> 
  Retype new password: <type password> 
  passwd: all authentication tokens updated successfully. 

步骤 16

将 cdo 用户添加到“wheel”组,为其提供管理 (sudo) 权限。


   [root@sdc-vm ~]# usermod -aG wheel cdo
   [root@sdc-vm ~]# 

步骤 17

安装 Docker 时,会创建一个用户组。根据 CentOS/Docker 的版本,它可能被称为 “docker” 或 “dockerroot”。检查 /etc/group 文件以查看创建的组,然后将 sdc 用户添加到此组。


  [root@sdc-vm ~]# grep docker /etc/group
   docker:x:993:
  [root@sdc-vm ~]#
  [root@sdc-vm ~]# usermod -aG docker sdc
  [root@sdc-vm ~]# 

步骤 18

如果 /etc/docker/daemon.json 文件不存在,请创建该文件,并使用以下内容填充。创建后,重新启动 Docker 后台守护程序。

 

确保在 "group" 项中输入的组名称与您在上一步中在 /etc/group 文件中找到的组匹配。

[root@sdc-vm ~]# cat /etc/docker/daemon.json
         {
            "live-restore": true,
            "group": "docker"
         }
         [root@sdc-vm ~]# systemctl restart docker 
         [root@sdc-vm ~]# 

步骤 19

如果您当前使用的是 vSphere 控制台会话,请切换到 SSH 并使用 “cdo” 用户登录。登录后,更改为“sdc”用户。当系统提示输入密码时,请输入 “cdo” 用户的密码。

[cdo@sdc-vm ~]$ sudo su sdc
               [sudo] password for cdo: <type password for cdo user>
               [sdc@sdc-vm ~]$ 

步骤 20

将目录更改为 /usr/local/cdo

步骤 21

创建一个名为 bootstrapdata 的新文件,并将部署现场安全设备连接器向导的步骤 2 中的引导程序数据粘贴到此文件中。保存文件。您可以使用 vi nano 创建该文件。

步骤 22

引导程序数据采用 base64 编码。对其进行解码并将其导出到名为 extractedbootstrapdata 的文件

[sdc@sdc-vm ~]$ base64 -d /usr/local/cdo/bootstrapdata > /usr/local/cdo/extractedbootstrapdata
              [sdc@sdc-vm ~]$ 

运行 cat 命令以查看解码后的数据。命令和解码后的数据应如下所示:

[sdc@sdc-vm ~]$ cat /usr/local/cdo/extractedbootstrapdata
               CDO_TOKEN="<token string>"
               CDO_DOMAIN="www.defenseorchestrator.com"
               CDO_TENANT="<tenant-name>"
               CDO_BOOTSTRAP_URL="https://www.defenseorchestrator.com/sdc/bootstrap/tenant-name/<tenant-name-SDC>" 

步骤 23

运行以下命令,将解码的引导程序数据部分导出到环境变量。

[sdc@sdc-vm ~]$ sed -e 's/^/export /g' extractedbootstrapdata > sdcenv && source sdcenv
              [sdc@sdc-vm ~]$ 

步骤 24

从 CDO 下载引导程序捆绑包。

[sdc@sdc-vm ~]$ curl -O -H "Authorization: Bearer $CDO_TOKEN" "$CDO_BOOTSTRAP_URL"
               100 10314 100 10314 0 0 10656 0 --:--:-- --:--:-- --:--:-- 10654
               [sdc@sdc-vm ~]$ ls -l /usr/local/cdo/*SDC
               -rw-rw-r--. 1 sdc sdc 10314 Jul 23 13:48 /usr/local/cdo/tenant-name-SDC 

步骤 25

解压缩 SDC tar 包,并运行 bootstrap.sh 文件以安装 SDC 软件包。

[sdc@sdc-vm ~]$ tar xzvf /usr/local/cdo/tenant-name-SDC
               <snipped – extracted files>
               [sdc@sdc-vm ~]$
               [sdc@sdc-vm ~]$ /usr/local/cdo/bootstrap/bootstrap.sh
               [2018-07-23 13:54:02] environment properly configured
               download: s3://onprem-sdc/toolkit/prod/toolkit.tar to toolkit/toolkit.tar
               toolkit.sh
               common.sh
               [2018-07-23 13:54:04] startup new container
               Unable to find image 'ciscodefenseorchestrator/sdc_prod:latest' locally
               sha256:d98f17101db10e66db5b5d6afda1c95c29ea0004d9e4315508fd30579b275458: Pulling from
               ciscodefenseorchestrator/sdc_prod
               08d48e6f1cff: Pull complete
               ebbd10b629b1: Pull complete
               d14d580ef2ed: Pull complete
               45421d451ab8: Pull complete
               <snipped – downloads>
               no crontab for sdc

SDC 现在应在 CDO 中显示“活动”。


下一步做什么

使用 Terraform 模块在 AWS VPC 上部署安全设备连接器

开始之前

在尝试在 AWS VPC 上部署 SDC 之前,请查看以下前提条件:

  • CDO 需要严格的证书检查,并且不支持 SDC 和互联网之间的 Web/内容代理。如果使用代理服务器,请禁用对安全设备连接器 (SDC) 和 CDO 之间的流量进行检查。

  • 查看 使用安全设备连接器连接到思科防御协调器 以确保适当的网络访问。

  • 您需要一个 AWS 账户、一个至少具有一个子网的 AWS VPC 和一个 AWS Route53 托管区域。

  • 确保您有 CDO 引导程序数据、AWS VPC ID 及其子网 ID。

  • 确保您部署 SDC 的专用子网连接了 NAT 网关。

  • 在运行防火墙管理 HTTP 接口的端口上打开从防火墙到连接到 NAT 网关的弹性 IP 的流量。

过程


步骤 1

在 Terraform 文件中添加以下代码行;请确保手动输入变量:

module "example-sdc" {
  source             = "git::https://github.com/cisco-lockhart/terraform-aws-cdo-sdc.git?ref=v0.0.1"
  env                = "example-env-ci"
  instance_name      = "example-instance-name"
  instance_size      = "r5a.xlarge"
  cdo_bootstrap_data = "<replace-with-cdo-bootstrap-data>"
  vpc_id             = <replace-with-vpc-id>
  subnet_id          = <replace-with-private-subnet-id>
}

有关输入变量和说明的列表,请参阅安全设备连接器 Terraform 模块

步骤 2

instance_id 注册为 Terraform 代码中的输出:

output "example_sdc_instance_id" {
  value = module. example-sdc.instance_id
}

您可以使用 instance_id 连接到 SDC 实例,以便使用 AWS 系统管理器会话管理器 (SSM) 进行故障排除。有关可用输出的列表,请参阅安全设备连接器 Terraform 模块中的输出


下一步做什么

要对 SDC 进行任何故障排除,您需要使用 AWS SSM 连接到 SDC 实例。请参阅 AWS 系统管理器会话管理器,了解有关如何连接到实例的更多信息。请注意,出于安全原因,使用 SSH 连接到 SDC 实例的端口不会被公开。

更改安全设备连接器的 IP 地址

开始之前

  • 您必须是管理员才能执行此任务。

  • SDC 必须在 TCP 端口 443 或您为设备管理配置的端口上具有对互联网的完全出站访问权限。



更改 SDC 的 IP 地址后,您无需将任何设备重新载入 CDO。


过程


步骤 1

创建与 SDC 的 SSH 连接或打开虚拟机的控制台,并以 CDO 用户身份登录。

步骤 2

如果您希望在更改 IP 地址之前查看 SDC VM 的网络接口配置信息,请使用 ifconfig 命令。

 [cdo@localhost ~]$ ifconfig

步骤 3

要更改接口的 IP 地址,请键入 sudo sdc-onboard setup 命令。

 [cdo@localhost ~]$ sudo sdc-onboard setup

步骤 4

出现提示时,请输入密码。

 [sudo] password for cdo:

步骤 5

在提示符后键入 n 以重置 root 和 CDO 密码。

 Would you like to reset the root and cdo passwords? (y/n):

步骤 6

在提示符后键入 y 以重新配置网络。

 Would you like to re-configure the network? (y/n):

步骤 7

出现提示时,输入要分配给 SDC 的新 IP 地址和 SDC VM 的其他域信息:

  1. IP 地址

  2. 网关

  3. DNS 服务器

  4. NTP 服务器或 FQDN

    如果 NTP 服务器或 FQDN 不适用,请按 Enter 键。

  5. Docker 网桥

    如果 Docker 网桥不适用,请按 Enter 键。

步骤 8

当系统提示输入值是否正确时,请使用 y 确认输入。

 Are these values correct? (y/n):

 

在键入 y 之前,请确保您的值准确无误,因为在此命令后,您与旧 IP 地址的 SSH 连接将丢失。

步骤 9

使用分配给 SDC 的新 IP 地址创建 SSH 连接并登录。

步骤 10

您可以运行连接状态测试命令,以确保 SDC 正常运行。

 [cdo@localhost ~]$ sudo sdc-onboard status

所有检查都必须以绿色显示 [ OK ]

 

如果在 VM 的控制台中执行此程序,则在确认值正确后,连接状态测试将自动运行并显示状态。

步骤 11

您还可以通过 CDO 用户界面检查 SDC 的连接。要执行此操作,请打开 CDO 应用并导航至工具和服务 > 安全连接器页面。

步骤 12

刷新页面并选择已更改 IP 地址的安全连接器。

步骤 13

操作窗格中,点击请求检测信号

您应该会看到已成功请求心跳消息,并且上次心跳应显示当前日期和时间。

重要

 

您所做的 IP 地址更改仅在格林威治标准时间上午 3:00 后反映在 SDC 的详细信息窗格中。

有关在 VM 上部署 SDC 的信息,请参阅在您自己的虚拟机上部署安全设备连接器


删除安全设备连接器


Warning


此程序会删除您的安全设备连接器 (SDC)。这一操作不可逆。在执行此操作后,您将无法管理连接到该 SDC 的设备,直到安装新的 SDC 并重新连接设备。重新连接设备可能需要您为要重新连接的每个设备重新输入管理员凭证。


要从租户中删除 SDC,请遵循以下程序:

Procedure


Step 1

删除连接到您要删除的 SDC 的任何设备。您可以采用以下两种方式之一:

  • 将某些设备移至不同的 SDC 或完全移出 SDC。有关详细信息,请参阅下文:

  • 从 CDO 中删除连接到您要删除的 SDC 的任何设备。

    1. 请参阅查找使用同一 SDC 连接到 CDO 的所有设备,以便确定 SDC 使用的所有设备。

    2. 清单 (Inventory) 页面中,选择您确定的所有设备。

    3. 在“设备操作”(Device Actions) 窗格中,点击删除 (Remove),然后点击确定 (OK) 以确认您的操作。

Step 2

从 CDO 菜单中,选择工具和服务 (Tools & Services) > 安全连接器 (Secure Connectors)

Step 3

在“安全连接器” (Secure Connectors) 页面上,点击蓝色加号按钮,然后选择安全设备连接器 (Secure Device Connector)

Step 4

在“安全连接器”(Secure Device Connector) 表中,选择要删除的 SDC。其设备计数现在应为零。

Step 5

在“操作”(Actions) 窗格中,点击 删除 (Remove)。您会收到以下警告:

Warning

 

您即将删除 <sdc_name>。删除 SDC 的操作不可逆。删除 SDC 需要先创建并载入新的 SDC,然后才能载入或重新载入设备。

由于您当前有已载入的设备,因此删除 SDC 将要求您在设置新的 SDC 后重新连接这些设备并再次提供凭证。

  • 如果您有任何问题或疑虑,请点击取消 (Cancel) 并联系 CDO 支持。

  • 如果要继续,请输入 <sdc_name> 在下面的文本框中,然后点击确定 (OK)

Step 6

在确认对话框中,如果您想继续,请输入警告消息中所述的 SDC 名称。

Step 7

点击确定 (OK) 以确认删除 SDC。


将 ASA 从一个 SDC 移至另一个 SDC

CDO 支持每个租户使用多个 SDC。在单个 CDO 租户上使用多个 SDC您可以使用以下程序将受管 ASA 从一个 SDC 移至另一个 SDC:

过程


步骤 1

在导航栏中,点击 设备和服务

步骤 2

点击设备 (Devices) 选项卡,然后点击 ASA 选项卡。

步骤 3

选择要移动到其他 SDC 的 ASA。

步骤 4

设备操作 (Device Actions) 窗格中,点击更新凭证 (Update Credentials)

步骤 5

点击 Secure Device Connector 按钮,然后选择要将设备移动到的 SDC。

步骤 6

输入用于登录设备的管理员用户名和密码,然后点击更新 (Update)。除非已更改,否则管理员用户名和密码与您用于载入 ASA 的凭证相同。您不必将这些更改部署到设备。

 

如果所有 ASA 都使用相同的凭证,则可以将 ASA 从一个 SDC 批量移至另一个 SDC。如果 ASA 具有不同的凭证,则必须一次将其从一个 SDC 移至另一个 SDC。


更新 Meraki MX 连接凭证

如果您从 Meraki 控制面板生成新的 API 密钥,则必须在 CDO 中更新连接凭证。要生成新密钥,请参阅 生成和检索 Meraki API 密钥 以获取更多信息。CDO 不允许您更新设备本身的连接凭证;如有必要,您可以在 Meraki 控制面板中手动刷新 API 密钥。您必须在 CDO UI 中手动更新 API 密钥,以更新凭证并重新建立通信。


Note


如果 CDO 无法同步设备,CDO 中的连接状态可能会显示“凭证无效”。如果是这种情况,您可能已尝试使用 API 密钥。确认所选 Meraki MX 的 API 密钥正确无误。


使用以下程序更新 Meraki MX 设备的凭证:

Procedure


Step 1

在导航栏中,点击 设备和服务

Step 2

点击设备 (Devices) 选项卡,然后点击 Meraki 选项卡。

Step 3

选择要更新其连接凭证的 Meraki MX。

Step 4

设备操作 (Device Actions) 窗格中,点击更新凭证 (Update Credentials)

Step 5

输入 CDO 用于登录设备的 API 密钥 (API key) ,然后点击更新 (Update)。除非已更改,否则此 API 密钥与您用于载入 Meraki MX 的凭证相同。您不必将这些更改部署到设备。


重命名安全设备连接器

过程


步骤 1

从 CDO 菜单中,选择工具和服务 (Tools & Services) > 安全连接器 (Secure Connectors)

步骤 2

选择要重命名的 SDC。

步骤 3

在详细信息窗格中,点击 SDC 名称旁边的编辑图标

步骤 4

重命名 SDC。


此新名称将显示在 CDO 界面中出现 SDC 名称的任何位置,包括资产窗格的“安全设备连接器”过滤器。

更新您的安全设备连接器

使用此程序作为故障排除工具。通常,SDC 会自动更新,您不必使用此程序。但是,如果 VM 上的时间配置不正确,则 SDC 无法与 AWS 建立用于接收更新的连接。此程序将启动 SDC 更新,并应解决由于时间同步问题而导致的错误。

Procedure


Step 1

连接到 SDC。您可以使用 SSH 进行连接,也可以使用 VMware 虚拟机监控程序中的控制台视图。)

Step 2

cdo 用户身份登录 SDC。

Step 3

切换到 SDC 用户以更新 SDC Docker 容器:

 [cdo@sdc-vm ~]$ sudo su sdc
                [sudo] password for cdo: <type password for cdo user>
                [sdc@sdc-vm ~]$ 

Step 4

升级 SDC 工具包:

[cdo@sdc-vm ~]$ /usr/local/cdo/toolkit/toolkit.sh upgradeToolkit
               [sdc@sdc-vm ~]$ 

Step 5

升级 SDC:

[cdo@sdc-vm ~]$ /usr/local/cdo/toolkit/toolkit.sh upgradeSDC
               [sdc@sdc-vm ~]$ 

在单个 CDO 租户上使用多个 SDC

通过为租户部署多个 SDC,您可以管理更多设备,而不会出现性能下降。单个 SDC 可以管理的设备数量取决于这些设备上实施的功能及其配置文件的大小。

您可以在租户上安装无限数量的 SDC。每个 SDC 可以管理一个网段。这些 SDC 会将这些网段中的设备连接到同一个 CDO 租户。如果没有多个 SDC,您将需要使用不同的 CDO 租户管理隔离网段中的设备。

部署第二个或后续 SDC 的程序与部署第一个 SDC 的程序相同。您可以使用 CDO 提供的 VM 映像部署 SDC,也可以安装自己的 VM 并在其上安装 SDC。租户的初始 SDC 包含租户的名称和数字 1。每个额外的 SDC 都按顺序编号。

查找所有使用相同 SDC 连接到 CDO 的设备

请按照以下程序识别所有使用相同 SDC 连接到 CDO 的设备:

Procedure


Step 1

在导航栏中,点击清单 (Inventory)

Step 2

点击设备 (Devices) 选项卡以找到设备。

Step 3

点击设备类型选项卡。

Step 4

如果已指定任何过滤条件,请点击“清单”(Inventory) 表顶部的清除按钮,以显示您使用 CDO 管理的所有设备和服务。

Step 5

点击过滤器按钮 以展开过滤器菜单。

Step 6

在过滤器的“安全设备连接器”(Secure Device Connectors) 部分中,选中您感兴趣的 SDC 的名称。“清单”(Inventory) 表仅显示通过您在过滤器中选中的 SDC 连接到 CDO 的设备。

Step 7

(可选)检查过滤器菜单中的其他过滤器,以便进一步细化搜索。

Step 8

(可选)完成后,点击清单表顶部的清除按钮,以便显示您使用 CDO 管理的所有设备和服务。


安全设备连接器开源和第三方许可证归属

================================================================================

* amqplib *

amqplib 版权所有 (c) 2013, 2014

米歇尔·布里根<mikeb@squaremobius.net>

此软件包“amqplib”根据 MIT 许可证获得许可。可以在此目录中的文件 LICENSE-MIT 中找到副本,或从以下位置下载

http://opensource.org/licenses/MIT

================================================================================

* async *

版权所有 (c) 2010-2016 Caolan McMaho

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

* bluebird *

MIT 许可证 (MIT)

版权所有 (c) 2013-2015 Petka Antonov

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

*cheerio *

版权所有 (c) 2012 马特穆勒<mattmuelle@gmail.com>

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

* command-line-args *

MIT 许可证 (MIT)

版权所有 (c) 2015 Lloyd Brookes <75镑@gmail.com>

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

* ip *

此软件根据 MIT 许可证获得许可。

Fedor Indutny, 2012 版权所有。

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

* json-buffer *

版权所有 (c) 2013 Dominic Tarr

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

* json-stable-stringify *

此软件在 MIT 许可证下发布:

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

* json-stringify-safe *

ISC 许可证

版权所有 (c) Isaac Z. Schlueter 和贡献者

特此授予出于任何目的使用、复制、修改和/或分发本软件的权限,前提是所有副本中均包含上述版权声明和本许可声明。

本软件按“原样”提供,作者否认与本软件相关的所有担保,包括对适销性和适用性的所有暗示担保。在任何情况下,作者均不对因使用、数据或利润损失而导致的任何特殊、直接、间接或后果性损害负责,无论是因合同、过失或其他原因造成的与本软件的使用或性能相关。

================================================================================

* lodash *

版权所有 JS 基金会和其他贡献者 < https://js.foundation/ >https://js.foundation/

基于 Underscore.js,版权所有,

DocumentCloud 和 Investigative Reporters & Editors < >http://underscorejs.org/

该软件由许多个人自愿提供。有关确切的贡献历史记录,请参阅以下位置的修订历史记录: https://github.com/lodash/lodash

以下许可证适用于本软件的所有部分,但作为

记录如下:

====

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

====

通过 CC0 放弃示例代码的版权和相关权利。示例代码定义为文档中显示的所有源代码。

CC0: http://creativecommons.org/publicdomain/zero/1.0/

====

位于 node_modules 和 vendor 目录中的文件是此软件使用的外部维护的库,它们有自己的许可证;我们建议您阅读它们,因为它们的术语可能与上述术语不同。

================================================================================

* log4js *

版权所有 2015 Gareth Jones(许多其他人的贡献)

根据 Apache 许可证 2.0 版本 (\“许可\”) 授权; 除非遵守本许可的规定,否则不得使用此文件。 您可以通过以下网址获取许可证副本:

http://www.apache.org/licenses/LICENSE-2.0

除非适用法律要求或达成书面协议, 根据许可证分发的软件均\“按原样\”分发, 且不附带任何明示或默示的保证或条件。 请参阅许可证,了解许可证中有关语言管理权限和限制的特定规定。

================================================================================

* mkdirp *

版权所有 2010 James Galliday (mail@substack.net)

此项目是在 MIT/X11 许可证下发布的免费软件:

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

* node-forge *

新 BSD 许可证(3 个子句)

版权所有 (c) 2010, Digital Bazaar, Inc.

版权所有。

对源代码或二进制形式代码的重新发行和使用(包含或不含修改)需要符合下列条件:

* 源代码的重新分发必须保留上述版权声明、本条件列表及以下免责声明。

* 以二进制形式重新发行时,必须通过文档和/或在发行时一并提供的其它材料复制上述版权声明、此条件清单和下面的免责声明。

* 未经事先明确书面许可,不得使用 Digital Bazaar, Inc. 及其参与者姓名宣传或推广本软件的衍生产品。

该软件由版权所有者和贡献者按“原样”提供,不承担任何明示或暗示的担保,包括但不限于用于特定用途的适销性和适用性的暗示担保。在任何情况下,DIGITAL BAZAAR 对于以任何方式使用该软件造成的任何直接、间接、意外、特殊、惩罚性或后果性损害(包括但不限于替代货物或服务的采购;用途丧失、数据丢失或利润损失;或业务中断),均不承担任何责任,无论导致前述损害的原因与责任推断如何,也无论是否因合同、严格责任或侵权(包括疏忽或其他原因)造成该等损害,即使已被告知发生此类损害的可能性。

================================================================================

* request *

Apache 许可证

版本 2.0,2004 年 1 月

http://www.apache.org/licenses/

使用、复制和分发条款和条件

1. 定义。

“许可”是指本文档第 1- 9 节规定的使用、复制和分发的条款和条件。

“许可方”是指版权所有者或由版权所有者授权进行许可授予的实体。

“法律实体”是指实施实体以及所有其他控制该实体、由该实体控制或与该实体共同受控制的实体的联合整体。在此定义中,“控制”是指 (i) 通过合同或其他方式,有权直接或间接决定此类实体的方向或管理,或 (ii) 拥有此类实体百分之五十 (50%) 或以上已发行股份的所有权,或 (iii) 拥有此类实体的受益所有权。

“您”(或“您的”)是指行使此许可证所授权限的个人或法律实体。

“源”形式是指用于进行修改的首选形式,包括但不限于软件源代码、文档源和配置文件。

“目标”形式是指任何通过对源形式进行机械转换或翻译所获得的形式,包括但不限于经过编译的对象代码、生成的文档以及转换为其他媒体类型。

“作品”是指根据许可(如作品包含或随附的版权声明所示)提供的源形式或目标形式的著作(下面的附录中提供了一个示例)。

“衍生作品”是指任何基于作品创作(或从作品衍生而来)的,其编辑修订、注释、详细描述或其他修改等从整体上构成原创作品的源形式或目标形式的作品。根据此项许可,衍生作品不包括与作品及其衍生作品分离之作品,或仅与作品及其衍生作品的接口相链接(或以名称绑定)之作品。

“投稿”是指任何创作作品,包括作品的原始版本和对该作品或衍生作品所做的任何修改或增补,由版权所有者或经授权可代表版权所有者进行提交的个人或法律实体特意提交给许可方以纳入其作品中。在此定义中,“提交”是指发送给许可方或其代表的任何电子、口头或书面形式的通信,包括但不限于通过许可方管理的或代表许可方管理的电邮清单、源代码控制系统以及发布跟踪系统为讨论和改善作品而进行的通信,但不包括由版权所有者以书面形式明显标注或指定为“非投稿”的通信。“投稿者”是指许可方,以及许可方已收到其投稿并随后纳入作品中的任何个人或代表该个人的法律实体。

“贡献者”是指许可方以及代表许可方收到文稿并随后纳入作品的任何个人或法人实体。

2. 版权许可的授予。根据此项许可的条款和条件,每位投稿者特此授予您一项永久的、全球性的、非专有的、免费且无版权费的、不可撤销的版权许可,准许您对作品和衍生作品的源形式或目标形式进行复制、制备衍生作品、公开陈列、公开演示、授予分许可,以及分发。

3. 专利许可的授予。根据此项许可的条款和条件,每位投稿者特此授予您一项永久的、全球性的、非专有的、免费且无版权费的、不可撤销的(除非本节另有规定)专利许可,准许您制作、已经制作、使用、邀约销售、销售、进口和以其他方式转让作品,此类许可仅适用于投稿者可予许可的专利权利要求,并且如不授予许可,则单独使用其投稿或将其投稿与提交以供纳入其中的作品组合使用必定构成对前述要求的侵权。如果您对任何实体提起专利法律诉讼(包括交叉诉讼或反诉),主张作品或作品中所含投稿构成直接或共同专利侵权,则根据此项许可授予您的针对该作品的任何专利许可都将在提起上述诉讼之日起终止。

4. 再分发。您可以在任何介质中以源或对象形式复制和分发作品或其衍生作品的副本,无论是否进行修改,前提是您满足以下条件:

您必须向作品或衍生作品的任何其他接收者提供本许可证的副本;和

您必须在任何已修改的文件上放置醒目的通知,说明您更改了文件;和

您必须在您分发的任何衍生作品的源形式中保留作品的源形式的所有版权、专利、商标和归属声明,不包括与衍生作品任何部分无关的声明;和

如果作品包含“通知”文本文件作为其分发的一部分,则您分发的任何衍生作品必须包括该通知文件中包含的归属通知的可读副本,不包括不属于任何部分的通知衍生作品,至少在以下位置:作为衍生作品的一部分分发的通知文本文件;在源表单或文档中(如果与衍生作品一起提供);或者,在衍生作品生成的显示中,如果以及通常出现此类第三方通知。声明文件的内容仅供参考,并不构成对许可的修改。您可在您分发的衍生作品中随同作品的声明文本或以附录形式添加自己的归属声明,前提是附加的归属声明不得构成对许可的修改。只要您对作品的使用、复制和分发符合此项许可规定的条件,您可以为自身所做的修改添加自己的版权声明并可就自身所修改内容或任何此类衍生作品作为整体的使用、复制或分发提供附加或不同的许可条款和条件。

5. 投稿的提交。除非您明确作出不同声明,否则您向许可方提交的旨在纳入作品中的任何投稿均受此项许可的条款和条件的约束,无任何附加条款或条件。尽管有上述规定,如您与许可方就该等投稿签订了任何单独许可协议,此项许可的条款不得取代或修改该单独许可协议的条款。

6. 商标。此项许可并未授予您使用许可方的商号、商标、服务标记或产品名称的权限,除非此类使用是合理和惯例性描述作品来源和复制声明文件内容之所必需。

7. 免责声明。除非适用法律要求或达成书面协议,否则许可方均“按原样”提供作品(且每位投稿者均“按原样”提供其投稿),不附带任何明示或默示的保证或条件,包括但不限于关于所有权、非侵权、适销性或适用性的保证或条件。您应全权负责确定使用或再分发作品的适当性,并且承担行使此项许可项下权限的所有风险。

8. 责任限制。在任何情况下,在任何法律理论下,无论是侵权(包括过失)、合同或其他理论,除非适用法律要求(例如故意和重大过失行为)或达成书面协议,否则对于您所遭受的损害,包括因此项许可或者因使用或无法使用作品而产生的任何性质的直接、间接、特殊、附带或后果性损害(包括但不限于商誉损失、停工、计算机失效或故障等损害,或任何及所有其他商业损害或损失),任何投稿者概不负责,即使投稿者已被告知发生此类损害的可能性,也是如此。

9. 接受担保或附加责任。再分发作品或衍生作品时,您可以选择接受与此项许可一致的支持、担保、赔偿或其他责任义务和/或权利,并就此收取费用。但是,在接受上述义务时,您只可代表您自己并对此全权负责,不得代表任何其他投稿者,除非您同意,如因您接受任何此类担保或附加责任,致使此等投稿者承担任何责任或遭受任何索赔,您将对其作出赔偿、为其辩护并保护其免受损害。

条款和条件结束

================================================================================

* rimraf *

ISC 许可证

版权所有 (c) Isaac Z. Schlueter 和贡献者

特此授予出于任何目的使用、复制、修改和/或分发本软件的权限,前提是所有副本中均包含上述版权声明和本许可声明。

本软件按“原样”提供,作者否认与本软件相关的所有担保,包括对适销性和适用性的所有暗示担保。在任何情况下,作者均不对因使用、数据或利润损失而导致的任何特殊、直接、间接或后果性损害负责,无论是因合同、过失或其他原因造成的与本软件的使用或性能相关。

================================================================================

* uuid *

版权所有 (c) 2010-2012 Robert Kieffer

MIT 许可证 - http://opensource.org/licenses/mit-license.php

================================================================================

* 验证器 *

版权所有 (c) 2016 Chris O'Hara<cohara87@gmail.com>

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。

================================================================================

* 何时 *

开源计划 OSI - MIT 许可证

http://www.opensource.org/licenses/mit-license.php

版权所有 (c) 2011 布赖恩·卡瓦利埃

特此授予获得本软件和相关文档文件(“软件”)副本的任何人无限制地处理本软件的权限,包括但不限于使用、复制、修改、合并的权利发布、分发、再许可和/或销售软件的副本,并允许获得本软件的人员这样做,但须遵守以下条件:

上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。

所述软件“按原样”提供且不附带任何明示或默示保证,包括但不限于关于适销性、适用特定用途以及不侵权的保证。在任何情况下,作者或版权持有人对软件或软件的使用或其他处理所导致、产生或与之相关的任何索赔、损害赔偿或其他责任概不负责,无论是出于合同、侵权行为还是其他原因皆是如此。================================================================================

登录到 CDO

要登录 思科防御协调器 (CDO),客户需要具有符合 SAML 2.0 标准的身份提供程序 (IdP)、多因素身份验证提供程序以及 CDO 中的用户记录

IdP 账户包含用户的凭证,IdP 根据这些凭证对用户进行身份验证。多因素身份验证提供了额外的身份安全层。CDO 用户记录主要包含用户名、与其关联的 CDO 租户以及用户的角色。当用户登录时,CDO 会尝试将 IdP 的用户 ID 映射到 CDO 中租户的现有用户记录。当 CDO 找到匹配项时,用户已登录到该租户。

除非您的企业有自己的单点登录身份提供程序,否则身份提供程序是思科安全云登录。Cisco Security Cloud Sign On 使用 Duo 进行多因素身份验证。客户可以选择将自己的 IdP 与 CDO 集成

要登录 CDO,您必须首先在 Cisco Security Cloud Sign On 中创建一个账户,使用 Duo Security 来配置多因素身份验证 (MFA),并让租户超级管理员创建 CDO 记录。

2019 年 10 月 14 日,CDO 将所有先前存在的租户转换为使用 Cisco Security Cloud Sign On 作为其身份提供程序和 Duo for MFA。



  • 如果您使用自己的单点登录身份提供程序登录 CDO,则转换到 Cisco Security Cloud Sign On 不会影响您。您可以继续使用自己的登录解决方案。

  • 如果您正在免费试用 CDO,则此过渡确实会影响您。


如果您的 CDO 租户是在 2019 年 10 月 14 日或之后创建的,请参阅新 CDO 租户的初始登录

如果您的 CDO 租户在 2019 年 10 月 14 日之前就已存在,请参阅迁移到 Cisco Security Cloud Sign On 身份提供程序

CDO 租户的初始登录

思科防御协调器 (CDO) 使用 Cisco Security Cloud Sign On 作为身份提供程序,并使用 Duo 进行多重身份验证 (MFA)。要登录 CDO,必须先在 Cisco Secure Sign-On 中创建账户,然后再使用 Duo 配置 MFA

v 需要 MFA,它为保护您的用户身份提供额外的一重保障。双因素身份验证(一种 MFA)需要两个部分或因素来确保登录 CDO 的用户身份真实。第一个因素是用户名和密码,第二个是按需生成的一次性密码 (OTP)。


重要


如果您的 CDO 租户在 2019 年 10 月 14 日之前就已存在,请使用 迁移到 Cisco Security Cloud Sign On 身份提供程序 登录说明,而不是本文。


准备工作

安装 DUO Security。我们建议您在手机上安装 Duo Security 应用。如果您对于如何安装 Duo 有疑问,请查看 Duo 双因素身份验证指南:注册指南

时间同步。您要使用移动设备生成一次性密码。由于 OTP 是基于时间的,所以您的设备时钟与实时同步是非常重要的。请确保您的设备时钟自动或手动设置为正确的时间。

后续操作?

请继续 创建新的 Cisco Security Cloud Sign On 账户并配置 Duo 多因素身份验证。这是 4 步流程。您需要完成所有四个步骤。

登录失败故障排除

登录失败,因为您无意中登录到错误的 CDO 区域

请确保您登录的是适当的 CDO 区域。登录 https://sign-on.security.cisco.com 后,您可以选择要访问的区域。点击 CDO 磁贴访问 Defenseorchestrator.com 或点击 CDO (EU) 访问 Defenseorchestrator.eu。

迁移到 Cisco Security Cloud Sign On 身份提供程序

在 2019 年 10 月 14 日,思科防御协调器(CDO) 会将租户转换为 Cisco Security Cloud Sign On 作为身份提供程序,并使用 Duo 进行多因素身份验证 (MFA)。要登录 CDO,必须先在 Cisco Secure Sign-On 中激活帐户,然后再使用 Duo 配置 MFA

CDO 需要 MFA,它为保护您的用户身份提供额外的一重保障。双因素身份验证(一种 MFA)需要两个部分或因素来确保登录 CDO 的用户身份真实。第一个因素是用户名和密码,第二个是按需生成的一次性密码 (OTP)。



  • 如果您使用自己的单点登录身份提供程序登录 CDO,则转换到 Cisco Security Cloud Sign On 和 Duo 不会影响您。您可以继续使用自己的登录解决方案。

  • 如果您正在免费试用 CDO,则此过渡适用于您。

  • 如果您的 CDO 租户是在 2019 年 10 月 14 日或之后创建的,请参阅新 CDO 租户的初始登录,而不是本文。


准备工作

我们强烈建议在迁移之前执行以下步骤:

  • 安装 DUO Security。我们建议您在手机上安装 Duo Security 应用。如果您对于如何安装 Duo 有疑问,请查看 Duo 双因素身份验证指南:注册指南

  • 时间同步。您要使用移动设备生成一次性密码。由于 OTP 是基于时间的,所以您的设备时钟与实时同步是非常重要的。请确保您的设备时钟自动或手动设置为正确的时间。

  • 创建新的思科 Secure Sign-On 账户并配置 Duo 多因素身份验证。这是 4 步流程。您需要完成所有四个步骤。

迁移后的登录失败故障排除

由于用户名或密码不正确,CDO 登录失败

解决方法 如果您尝试登录 CDO ,并且知道您使用的是正确的用户名和密码,但登录失败,或者您尝试“忘记密码”无法恢复有效的密码,则您可能已尝试在未创建新 Cisco Security Cloud Sign On 帐户的情况下进行登录,则您需要按照创建新的 Cisco Security Cloud Sign On 账户并配置 Duo 多因素身份验证中的说明注册新的 Cisco Security Cloud Sign On 帐户。

登录到 Cisco Security Cloud Sign On 控制面板成功,但您无法启动 CDO

解决方法 您可能使用与 CDO 租户不同的用户名创建了 Cisco Security Cloud Sign On 账户。请联系思科技术支持中心 (TAC),以规范 CDO 和 Cisco Secure Sign-On 之间的用户信息。

使用保存的书签登录失败

解决方法 您可能正在尝试使用浏览器中保存的旧书签登录。书签可能指向 https://cdo.onelogin.com。https://cdo.onelogin.com/

解决方法 登录 https://sign-on.security.cisco.com

从 Cisco Security Cloud Sign On 控制面板启动 CDO

Procedure


Step 1

在 Cisco Security Cloud Sign On 控制板上点击适当的 CDO 按钮。CDO 磁贴会将您导向 https://defenseorchestrator.com,而 CDO (EU) 磁贴会将您导向 https://defenseorchestrator.eu

Step 2

请点击身份验证器徽标以选择 Duo Security 或 Google Authenticator, 如果您已设置这两个身份验证器。

  • 如果您在现有租户上已有用户记录,则将登录该租户。

  • 如果您在多个门户上已有用户记录,您将能够选择要连接的门户。

  • 如果您在若干租户上已有用户记录,则将能够选择要连接的 CDO 租户。

  • 如果您在现有租户上尚无用户记录,将能够了解有关 CDO 的详细信息或申请试用租户。

门户视图检索并显示来自多个租户的整合信息。有关详细信息,请参阅 管理多租户门户

租户视图显示您拥有用户记录的多个租户。


管理租户的超级管理员

最佳做法是限制租户上的超级管理员数量。确定哪些用户应具有超级管理员权限,查看用户管理,并将其他用户的角色更改为“管理员”。用户管理

CDO 支持的软件和硬件

CDO 文档介绍其支持的软件和设备。它不会指出 CDO 不支持的软件和设备。如果我们未明确声明对软件版本或设备类型的支持,则表示不支持。

云设备支持详情

下表介绍了基于云的设备的软件和设备类型支持。阅读附属链接,了解有关下表中设备类型的载入和功能的详细信息:

设备类型

注意

Amazon Web 服务 VPC

AWS VPC 通过 AWS 控制台接收更新。有关平台和可用服务的详细信息,请参阅 AWS 文档。

您必须先在 AWS 控制台中启动 AWS VPC,然后再将其载入 CDO

Google 云平台

Google 云平台 (GCP) 会通过 GCP 控制台接收任何更新。有关平台和可用服务的详细信息,请参阅 Google Cloud 文档。请参阅

Microsoft Azure

Azure 通过 Azure 控制台接收任何更新。有关平台和可用服务的详细信息,请参阅 Azure 文档。

浏览器支持

CDO 支持以下浏览器的最新版本:

  • Google Chrome

  • Mozilla Firefox

思科防御协调器平台维护计划

Cisco Defense Orchestrator 维护计划

CDO 会每周更新其平台,提供新功能和质量改进。根据此计划,更新可在 3 小时内完成。

大多数情况下,更新会在星期四完成,但如有必要,也可以安排在星期五和星期日进行维护。

表 1. CDO 维护时间表

星期

时间

(24 小时制)

星期四

09:00 UTC - 12:00 UTC

星期五

09:00 UTC - 12:00 UTC

星期日

09:00 UTC - 12:00 UTC

在此维护期间,您仍然可以访问您的租户,并且如果您有 云交付的防火墙管理中心,也可以访问该平台。此外,您已载入CDO的设备将继续执行其安全策略。



我们建议您在维护期间不要使用 CDO 来在其管理的设备上部署配置更改。


如果发生阻止 CDO 或 云交付的防火墙管理中心 进行通信的故障,则会尽快在所有受影响的租户上解决该故障,即使并非是在维护时间窗口之内。

云交付的防火墙管理中心维护时间表

CDO 更新云交付的防火墙管理中心环境前大约 1 周通知在租户上部署了云交付的防火墙管理中心的客户。通过邮件通知租户的超级管理员和管理员用户。CDO 还会在其主页上显示一个横幅,通知所有用户即将发布的更新。

在分配给租户区域的维护日的 3 小时维护期内,对租户进行更新最多可能需要 1 小时。在更新租户时,您将无法访问云交付的防火墙管理中心环境,但仍可访问 CDO 的其余部分。

表 2. 云交付的防火墙管理中心维护时间表

星期

时间

(24 小时制)

地区

星期三

04:00 UTC - 07:00 UTC

欧洲、中东或非洲 (EMEA)

星期三

17:00 UTC - 20:00 UTC

亚太地区-日本 (APJ)

星期四

09:00 UTC - 12:00 UTC

美洲地区

租户管理

Cisco Defense Orchestrator (CDO) 使您能够在“设置”页面上自定义租户和个人用户帐户的某些方面。在 CDO 菜单栏中,点击左侧导航面板中的设置 (Settings)

常规设置

在右上角的管理下拉列表中,点击设置 (Settings)

请参阅以下有关常规 CDO 设置的主题:

用户设置

选择所需的 CDO UI 显示语言。此选择仅影响进行此更改的用户。

我的令牌

有关详细信息,请参阅 API 令牌。API 令牌

租户设置

启用更改请求跟踪

启用更改请求跟踪会影响租户的所有用户。要启用更改请求跟踪,请执行以下程序:

Procedure

Step 1

在右上角的“管理”下拉列表中,点击 设置

Step 2

点击常规选项卡。

Step 3

点击更改请求跟踪 (Change Request Tracking) 下的滑块。

确认后,您会在界面的左下角看到“更改请求”(Change Request) 工具栏,并在“更改日志”(Change Log) 中看到“更改请求”(Change Request) 下拉菜单。


阻止思科支持人员查看您的租户

思科支持将其用户与您的租户相关联,以解决支持请求或主动修复影响多个客户的问题。但是,如果您愿意,可以通过更改帐户设置来阻止思科支持人员访问您的租户。为此,请滑动“防止思科支持人员查看此租户”下的按钮,以显示绿色复选标记。

要防止思科支持人员查看您的租户,请执行以下程序:

Procedure

Step 1

在右上角的管理下拉列表中,点击设置 (Settings)

Step 2

点击常规选项卡。

Step 3

点击阻止思科支持人员查看此租户 (Prevent Cisco support from viewing this tenant) 下的滑块。


启用自动接受设备更改的选项

启用设备更改自动接受后, Defense Orchestrator 可以自动接受直接在设备上进行的任何更改。如果禁用或稍后禁用此选项,则需要先查看每个设备冲突,然后才能接受它。

要启用设备更改自动接受,请执行以下程序:

Procedure

Step 1

在右上角的“管理”下拉列表中,点击 设置

Step 2

点击常规选项卡。

Step 3

点击启用自动接受设备更改的选项 (Enable the option to auto-accept device changes) 下的滑块。


默认冲突检测间隔

此时间间隔将确定 CDO 轮询已载入的设备以了解更改的频率。此选择会影响使用此租户管理的所有设备,并且可以随时更改。


Note


选择一个或多个设备后,可以通过清单 (Inventory) 页面中的冲突检测 (Conflict Detection) 选项覆盖此选择。


要配置此选项并选择新的冲突检测间隔,请执行以下程序:

Procedure

Step 1

在右上角的“管理”下拉列表中,点击 设置

Step 2

点击常规设置 (General Settings) 选项卡。

Step 3

点击默认冲突检测间隔 (Default Conflict Detection Interval) 下拉菜单,然后选择一个时间值。


启用计划自动部署的选项

如果启用计划自动部署选项,您就可以计划在方便的未来日期和时间进行部署。启用后,您可以计划单次或定期自动部署。要计划自动部署,请参阅计划自动部署

请注意,如果其本身的 有待处理的更改,则在CDO上对设备所做的更改不会自动部署到该设备。如果设备未处于已同步 (Synced) 状态(例如检测到冲突 (Conflict Detected)未同步 (Not Synced)),则不会执行计划部署。作业页面会列出计划部署失败的所有实例。

如果启用计划自动部署的选项 (Enable the Option to Schedule Automatic Deployments) 被关闭,则所有计划的部署都将被删除。


Important


如果使用CDO为一台设备创建多个计划部署,则新部署会覆盖现有部署。如果使用 API 创建多个计划部署,则必须首先删除现有部署,然后才能计划新的部署。


要启用该选项以计划自动部署,请执行以下程序:

Procedure

Step 1

在右上角的“管理”下拉列表中,点击 设置

Step 2

点击常规设置 (General Settings) 选项卡。

Step 3

点击启用计划自动部署的选项 (Enable the option to schedule automatic deployments) 下的滑块。


Web 分析

网络分析可根据页面点击量向思科提供匿名产品使用情况信息。这类信息包括查看的页面、在页面上花费的时间、浏览器版本、产品版本、设备主机名等。此信息可帮助思科确定功能使用模式,帮助思科改进产品。所有使用情况数据均为匿名数据,且不会传输敏感数据。

默认启用网络分析。要禁用 Web 分析或在将来启用,请执行以下程序:

Procedure

Step 1

在右上角的管理下拉列表中,点击设置 (Settings)

Step 2

点击常规设置 (General Settings) 选项卡。

Step 3

点击网络分析 (Web Analytics) 下的滑块。


租户 ID

租户 ID 标识租户。如果您需要联系思科技术支持中心 (TAC),此信息将非常有用。

租户名称

您的租户名称还标识您的租户。请注意,租户名称不是组织名称。如果您需要联系思科技术支持中心 (TAC),此信息将非常有用。

通知设置

您可以订用电子邮件通知,以便在与您的租户关联的设备遇到特定操作时从 CDO 接收通知。虽然这些通知适用于与您的租户关联的所有设备,但并非所有设备类型都支持所有可用的选项。另请注意,对下面列出的 CDO 通知所做的更改会实时自动更新,不需要部署。

来自 CDO 的邮件通知会指明操作类型和受影响的设备。有关设备当前状态和操作内容的更多信息,我们建议您登录 CDO 并检查受影响设备的更改日志

在左侧的导航栏中,点击设置 (Settings) > 通知设置 (Notification Settings)

发送设备工作流程警报


Note


您必须具有超级管理员用户角色才能更改这些设置或手动订用通知。有关详细信息,请参阅用户角色


请务必检查您想要通知的所有设备工作流程场景。手动检查以下任何操作:

  • 部署 (Deployments) - 此操作不包括 SSH 或 IOS 设备的集成实例。

  • 备份 (Backups) - 此操作仅适用于 FDM 管理 设备。

  • 升级 (Upgrades) - 此操作仅适用于 ASA 和 FDM 管理 设备。

  • FTD 迁移到云 - 此操作适用于更改 FTD

    FMCCDO 的设备管理器。

发送设备事件警报


Note


您必须具有超级管理员用户角色才能更改这些设置或手动订用通知。有关详细信息,请参阅用户角色


请务必检查您想要通知的所有设备工作流程场景。手动检查以下任何操作:

  • 离线 (Went offline) - 此操作适用于与您的租户关联的所有设备。

  • 恢复在线 (Back online) - 此操作适用于与您的租户关联的所有设备。

  • 检测到冲突 (Conflict detected) - 此操作适用于与您的租户关联的所有设备。

发送后台日志搜索警报

您必须具有超级管理员用户角色才能更改这些设置或手动订用通知。有关详细信息,请参阅用户角色

当任何人登录到租户创建后台搜索时,向您发送警报。请务必检查您想要通知的所有设备工作流程场景。手动检查以下任何操作:

  • 搜索已开始 (Search started) - 搜索开始时收到通知。这适用于立即搜索和计划搜索。

  • 搜索完成 (Search completed) - 搜索结束时收到通知。这适用于立即搜索和计划搜索。

  • 搜索失败 (Search failed) - 搜索失败时收到通知。这适用于立即搜索和计划搜索。请检查参数或查询,然后重试。

用户

启用订用以接收警报 (Subscribe to receive alerts) 切换按钮,以便将与您的租户登录关联的邮件添加到通知列表。要从邮件程序列表中删除您的邮件,请取消选择切换按钮,使其呈灰色显示。

请注意,某些用户角色对此设置页面的订用操作具有有限的访问权限;具有超级管理员用户角色的用户可以添加或删除邮件条目。要将除您自己以外的其他人或备用邮箱联系人添加到订用用户列表,请点击 并手动输入邮箱。


Warning


如果要手动添加用户,请务必输入正确的邮箱。CDO 不会检查与您的租户关联的已知用户的邮件地址。


查看 CDO 通知

点击通知图标 可查看租户上发生的最新警报。CDO 中的通知将在 30 天后从通知列表中删除。


Note


您在发送警报 (Send Alerts When) 部分中所做的选择会影响 CDO 中显示的通知类型。


服务集成

在您的消息传递应用上启用传入 Webhook,并直接将 CDO 通知接收到您的应用控制面板。您必须手动允许所选应用上的传入 Webhook 并检索 Webhook URL,以便在 CDO 中启用此选项。有关详细信息,请参阅启用 CDO 通知服务集成

为 CDO 通知启用服务集成

启用服务集成,以便通过指定的消息传送应用或服务来转发 CDO 通知。您需要从消息传递应用生成 Webhook URL,并将 CDO 指向 CDO通知设置 (Notification Settings) 页面中的 Webhook 以接收通知。

CDO 本身支持 Cisco Webex 和 Slack 作为服务集成。发送到这些服务的邮件会经过专门的格式化,可用于通道和自动化机器人。



通知设置 (Notification Settings) 页面中选择的通知是转发到消息传送应用的事件。


Webex Teams 的传入 Webhook
开始之前

CDO 通知显示在指定的工作空间中,或显示为私人邮件中的自动化机器人。有关 Webex Teams 如何处理 Webhook 的更多信息,请参阅面向开发人员的 Webex。https://developer.webex.com/docs/api/guides/webhooks

使用以下程序为 Webex Teams 允许传入 Webhook:

过程

步骤 1

打开 Webex Teams 应用。

步骤 2

在窗口的左下角,点击应用图标。此操作将在您的首选浏览器中的新选项卡中打开思科 Webex 应用中心。

步骤 3

使用搜索栏查找传入 Webhook。

步骤 4

选择连接 (Connect)。此操作会在新选项卡中打开 OAuth 授权以允许应用。

步骤 5

选择接受 (Accept)。该选项卡会自动重定向到应用的配置页面。

步骤 6

进行以下配置:

  • Webhook 名称 - 提供用于标识此应用提供的消息的名称。

  • 选择空间 - 使用下拉菜单选择空间。空间必须已存在于 Webex 团队中。如果空间不存在,您可以在 Webex Teams 中创建新空间并刷新应用的配置页面以显示新空间。

步骤 7

选择添加。您选择的 Webex Space 将收到添加应用的通知。

步骤 8

复制 Webhook URL。

步骤 9

登录至 CDO

步骤 10

在左侧的导航栏中,点击设置 (Settings) > 通知设置 (Notification Settings)

步骤 11

滚动到服务集成。

步骤 12

点击蓝色加号按钮。

步骤 13

输入 Name。此名称在 CDO 中显示为已配置的服务集成。它不会出现在转发到已配置服务的任何事件中。

步骤 14

展开下拉菜单并选择 Webex 作为服务类型。

步骤 15

粘贴从服务生成的 Webhook URL。

步骤 16

点击“确定”。


Slack 的传入 Webhook

CDO 通知显示在指定渠道中,或显示为私人邮件中的自动机器人。有关 Slack 如何处理传入 Webhook 的详细信息,请参阅 Slack 应用。https://api.slack.com/tutorials/slack-apps-hello-world

使用以下程序允许 Slack 的传入 Webhook:

过程

步骤 1

登录您的 Slack 帐户。

步骤 2

在左侧的面板中,滚动到底部并选择添加应用。

步骤 3

在应用目录中搜索传入 Webhook 并找到该应用。选择添加

步骤 4

如果您不是 Slack 工作空间的管理员,则必须向组织的管理员发送请求,并等待应用添加到您的账户。选择请求配置。输入可选消息,然后选择提交请求。

步骤 5

为工作空间启用传入 Webhook 应用后,刷新 Slack 设置页面,然后选择将新 Webhook 添加到工作空间。

步骤 6

​​​​​使用下拉菜单选择要在其中显示 CDO 通知的 Slack 通道。选择授权 (Authorize)。如果您在等待请求启用时离开此页面,只需登录 Slack 并在左上角选择工作空间名称即可。从下拉菜单中选择自定义工作空间,然后选择配置应用。导航至管理自定义集成。 > 选择传入 Webhook 以打开应用的登录页面,然后从选项卡中选择配置。这将列出您的工作空间中启用了此应用的所有用户。您只能查看和编辑账户的配置。选择您的工作空间名称以编辑配置并继续。

步骤 7

“Slack 设置”页面会将您重定向到应用的配置页面。找到并复制 Webhook URL。

步骤 8

登录至 CDO

步骤 9

在左侧的导航栏中,点击设置 (Settings) > 通知设置 (Notification Settings)

步骤 10

滚动到服务集成。

步骤 11

点击蓝色加号按钮。

步骤 12

输入 Name。此名称在 CDO 中显示为已配置的服务集成。它不会出现在转发到已配置服务的任何事件中。

步骤 13

展开下拉菜单并选择 Slack 作为服务类型。

步骤 14

粘贴从服务生成的 Webhook URL。

步骤 15

点击“确定”。


自定义集成的传入 Webhook
开始之前

CDO 不会为自定义集成设置消息格式。如果您选择集成自定义服务或应用,CDO 会发送 JSON 消息。

有关如何启用传入 Webhook 和生成 Webhook URL 的信息,请参阅服务文档。获得 Webhook URL 后,请使用以下程序启用 Webhook:

过程

步骤 1

从您选择的自定义服务或应用生成并复制 Webhook URL。

步骤 2

登录至 CDO

步骤 3

在左侧的导航栏中,点击设置 (Settings) > 通知设置 (Notification Settings)

步骤 4

滚动到服务集成。

步骤 5

点击蓝色加号按钮。

步骤 6

输入 Name。此名称在 CDO 中显示为已配置的服务集成。它不会出现在转发到已配置服务的任何事件中。

步骤 7

展开下拉菜单并选择自定义作为服务类型。

步骤 8

粘贴从服务生成的 Webhook URL。

步骤 9

点击“确定”。


日志记录设置

查看每月事件日志记录限制以及限制重置前剩余的天数。请注意,存储的日志记录表示思科云接收的压缩事件数据。

点击查看历史使用情况可查看租户在过去 12 个月内收到的所有日志记录。

您还可以使用链接请求额外的存储空间。

将 SAML 单点登录与 Cisco Defense Orchestrator 集成

思科防御协调器 (CDO) 使用 Cisco Secure Sign-On 作为 SAML 单点登录身份提供商 (Idp),并使用 Duo Security 进行多因素身份验证 (MFA)。这是 CDO 的首选身份验证方法。

但是,如果客户希望将自己的 SAML 单点登录 IdP 解决方案与 CDO 集成,只要他们的 IdP 支持 SAML 2.0 和身份提供程序启动的工作流程,就可以。

要将您自己的 SAML 解决方案与 CDO 集成,您必须联系支持人员并创建案例。有关说明,请参阅《思Cisco Security Cloud Sign On 第三方身份提供程序集成指南》。


Attention


提交支持案例时,请确保为您的请求选择手动选择技术 (Manually Select A Technology),然后选择 SecureX - 登录和管理 (SecureX - Sign-on and Administration),以便与正确的团队联系。


更新 SSO 证书

您的身份提供程序 (IdP) 通常与 SecureX SSO 集成。创建思科 TAC 支持案例并提供 metadata.xml 文件。有关更多信息,请参阅《思科 SecureX 登录第三方身份提供程序集成指南》。


注意


当您提交支持案例时,请确保为您的请求选择手动选择技术,然后选择 SecureX - 登录和管理,以便联系正确的团队。


(仅限旧版)如果您的身份提供程序 (IdP) 直接与 CDO 集成,请向 CDO TAC 提交支持请求,并提供 metadata.xml 文件。



我们强烈建议您将 IdP 与 SecureX SSO 集成,而不是直接将其与 CDO 集成。


API 令牌

开发人员在进行 CDO REST API 调用时使用 CDO API 令牌。必须在 REST API 授权报头中插入 API 令牌,调用才能成功。API 令牌是“长期”访问令牌,不会过期;但是,您可以续订和撤销它们。

您可以从 CDO 中生成 API 令牌。这些令牌仅在生成后立即可见,并且只要“常规设置”页面处于打开状态。如果您在 CDO 中打开另一个页面并返回到常规设置 (General Settings) 页面,则该令牌不再可见,但很明显已发出令牌。

个人用户可以为特定租户创建自己的令牌。一个用户不能代表另一个用户生成令牌。令牌特定于账户-租户对,不能用于其他用户-租户组合。

API 令牌格式和声明

API 令牌是 JSON Web 令牌 (JWT)。要了解有关 JWT 令牌格式的更多信息,请阅读 JSON Web 令牌简介

CDO API 令牌提供以下一组声明:

  • id - 用户/设备 uid

  • parentId - 租户 uid

  • ver - 公钥的版本(初始版本为 0,例如 cdo_jwt_sig_pub_key.0

  • 订用 - 安全服务交换 订用(可选)

  • client_id - "api-client"

  • jti - 令牌 ID

令牌管理

生成 API 令牌
Procedure

Step 1

在左侧的导航栏中,点击设置 (Settings) > 常规设置 (General Settings)

Step 2

在我的令牌中,点击生成 API 令牌。

Step 3

根据企业维护敏感数据的最佳实践,将令牌保存在安全位置。


续订 API 令牌

API 令牌不会过期。但是,如果令牌丢失、遭到破坏或符合其企业的安全准则,用户可以选择更新其 API 令牌。

Procedure

Step 1

在左侧导航栏中,点击 设置 (Settings) > 常规设置 (General Settings)

Step 2

在“我的令牌”(My Tokens) 中,点击续约 (Renew)CDO 会生成新的令牌。

Step 3

根据企业维护敏感数据的最佳实践,将新令牌保存在安全位置。


撤销 API 令牌
Procedure

Step 1

在左侧导航栏中,点击 设置 (Settings) > 常规设置 (General Settings)

Step 2

在“我的令牌”(My Tokens) 中,点击撤销 (Revoke)CDO 将撤销令牌。


身份提供程序账户与思科防御协调器用户记录之间的关系

要登录思科防御协调器 (CDO),客户需要具有符合 SAML 2.0 标准的身份提供程序 (IdP)、多因素身份验证提供程序以及 CDO 中的用户记录。IdP 账户包含用户的凭证,IdP 根据这些凭证对用户进行身份验证。多因素身份验证提供了额外的身份安全层。CDO 用户记录主要包含用户名、与其关联的 CDO 租户以及用户的角色。当用户登录时,CDO 会尝试将 IdP 的用户 ID 映射到 CDO 中租户的现有用户记录。当 CDO 找到匹配项时,用户将登录到该租户。

除非您的企业有自己的单点登录身份提供程序,否则身份提供程序是思科安全云登录。Cisco Security Cloud Sign On 使用 Duo 进行多因素身份验证。客户可以选择将自己的 IdP 与 CDO 集成

登录工作流程

以下是 IdP 账户如何与 CDO 用户记录交互以登录 CDO 用户的简化说明:

Procedure

Step 1

用户通过登录到符合 SAML 2.0 标准的身份提供程序 (IdP)(例如 Cisco Security Cloud Sign On (https://sign-on.security.cisco.com))来请求访问 CDO,以进行身份验证。

Step 2

IdP 发出用户真实可信的 SAML 断言,门户显示用户可以访问的应用,例如表示 https://defenseorchestrator.com 或 https://defenseorchestrator.eu 或 https://www.apj.cdo 的磁贴.cisco.com/。https://defenseorchestrator.com/https://defenseorchestrator.eu/https://www.apj.cdo.cisco.com/

Step 3

CDO 验证 SAML 断言,提取用户名并尝试在其租户中查找与该用户名对应的用户记录。

  • 如果用户在 CDO 上的单个租户上有用户记录,则 CDO 会向用户授予对租户的访问权限,并且用户的角色决定了他们可以执行的操作。

  • 如果用户在多个租户上有用户记录,则 CDO 会向经过身份验证的用户显示可供他们选择的租户列表。用户选择一个租户并允许访问该租户。用户在该特定租户上的角色决定了他们可以执行的操作。

  • 如果 CDO 没有将经过身份验证的用户映射到租户上的用户记录,则 CDO 会显示一个登录页面,让用户有机会了解有关 CDO 的更多信息或请求免费试用。

CDO 中创建用户记录不会在 IdP 中创建账户,在 IdP 中创建账户不会在 CDO 中创建用户记录。

同样,删除 IdP 上的账户并不意味着您已从 CDO 中删除用户记录;但是,如果没有 IdP 账户,则无法向 CDO 对用户进行身份验证。删除 CDO用户记录并不意味着您已删除 IdP 账户;但是,如果没有 CDO用户记录,经过身份验证的用户将无法访问 CDO 租户。


此架构的含义

使用 Cisco Security Cloud Sign On 的客户

对于使用 CDO 的 Cisco Security Cloud Sign On 身份提供程序的客户,超级管理员可以在 CDO 中创建用户记录,并且用户可以向 CDO 自行注册。如果两个用户名匹配,并且用户已正确进行身份验证,则用户可以登录 CDO

如果超级管理员需要阻止用户访问 CDO,他们只需删除 CDO 用户的用户记录即可。Cisco Security Cloud Sign On 账户仍然存在,如果超级管理员想要恢复用户,他们可以使用与 Cisco Security Cloud Sign On 相同的用户名创建新的 CDO 用户记录。

如果客户遇到需要致电我们的技术支持中心 (TAC) 的 CDO 问题,客户可以为 TAC 工程师创建用户记录,以便他们可以调查租户并向客户报告信息和建议。

拥有自己的身份提供程序的客户

对于拥有自己的身份提供程序的客户,他们可以控制身份提供程序账户和 CDO 租户。这些客户可以在 CDO 中创建和管理身份提供程序账户和用户记录。

如果他们需要阻止用户访问 CDO,他们可以删除 IdP 账户和/或 CDO 用户记录。

如果他们需要思科 TAC 的帮助,他们可以为其 TAC 工程师创建具有只读角色的身份提供程序账户和 CDO 用户记录。然后,TAC 工程师将能够访问客户的 CDO 租户,进行调查,并向客户报告信息和建议。

思科托管服务提供商

如果思科托管服务提供商 (MSP) 使用 CDO 的 Cisco Security Cloud Sign On IdP,则他们可以自行注册 Cisco Security Cloud Sign On,他们的客户可以在 CDO 中为其创建用户记录,以便 MSP 可以管理客户的租户。当然,客户可以在选择时完全控制删除 MSP 的记录。

管理多租户门户

CDO 多租户门户视图检索并显示来自多个租户的所有设备的信息。此多租户门户显示设备状态、设备上运行的软件版本等。


Note


在多租户门户中,您可以跨多个区域添加租户,并查看这些租户管理的设备。您无法从多租户门户编辑任何租户或配置任何设备。


准备工作

多租户门户仅在您的租户上启用该功能时可用。要为租户启用多租户门户,请向思科 TAC 提交支持请求。解决支持请求并创建门户后,门户上具有“超级管理员”(Super Admin) 角色的用户就可以向其添加租户。

我们建议您从 Web 浏览器清除缓存和 Cookie,以避免可能发生的某些浏览器相关问题。

多租户门户

门户提供以下菜单:

  • 设备

    • 显示驻留在添加到门户的租户中的所有设备。使用过滤器和搜索字段搜索要查看的设备。您可以点击设备以查看其状态、自行激活方法、防火墙模式、故障切换模式、软件版本等。

    • 该界面提供了一个列选择器,允许您选择或清除要在表中查看的设备属性。除“AnyConnect 远程访问 VPN”外,默认情况下会选择所有其他设备属性。如果您自定义表,CDO 会在您下次登录 CDO 时记住您的选择。

    • 您可以点击设备以在右侧查看其详细信息。

    • 您可以将门户信息导出为逗号分隔值 (.csv) 文件。此信息可帮助您分析设备或将其发送给无权访问的人员。每次导出数据时,CDO 都会创建一个新的 .csv 文件,其中创建的文件会在名称中包含日期和时间。

    • 您只能从管理设备的 CDO 租户管理设备。多租户门户提供管理设备 (Manage devices) 链接,可将您定向到 CDO 租户页面。如果您在该租户上有账户,并且该租户与门户位于同一区域,您将在设备上看到此链接。如果您没有访问租户的权限,您将看不到管理设备链接。您可以联系组织中的超级管理员获取权限。


    Note


    如果管理设备的租户位于其他区域,您将在该区域看到用于登录 CDO 的链接。如果您无权访问该区域中的 CDO 或该区域中的租户,您将无法管理设备。


  • 租户

    • 显示添加到门户的租户。

    • 它允许超级管理员用户将租户添加到门户。

    • 您可以点击 查看 CDO 租户的主页。

将租户添加到多租户门户

具有超级管理员角色的用户可以向门户添加租户。您可以跨多个区域添加租户。例如,您可以将欧洲区域的租户添加到美国区域,反之亦然。


Important


我们建议您为租户创建仅 API 用户,并生成用于向 CDO 进行身份验证的 API 令牌。



Note


如果要将多个租户添加到门户,请从每个租户生成 API 令牌并将其粘贴到文本文件中。然后,您可以轻松地将租户逐个添加到门户,而无需每次都切换到租户以生成令牌。


Procedure

Step 1

在左侧的导航栏中,点击设置 (Settings) > 常规设置 (General Settings) > 我的令牌 (My Tokens)

Step 2

点击生成 API 令牌,然后复制它。

Step 3

转到门户,然后点击租户选项卡。

Step 4

点击右侧的添加租户按钮。

Step 5

粘贴令牌,然后点击保存。


从多租户门户删除租户

Procedure

Step 1

转到门户,然后点击租户选项卡。

Step 2

点击右侧显示的相应删除图标,删除所需的租户。

Step 3

点击删除 (Remove)。关联的设备也会从门户中删除。


管理租户门户设置

Cisco Defense Orchestrator ( Defense Orchestrator )使您能够在“设置”页面上自定义多租户门户和个人用户帐户的某些方面。点击左侧导航栏中的设置,访问设置 (Settings) 页面。

设置

常规设置

网络分析可根据页面点击量向思科提供匿名产品使用情况信息。这类信息包括查看的页面、在页面上花费的时间、浏览器版本、产品版本、设备主机名等。此信息可帮助思科确定功能使用模式,帮助思科改进产品。所有使用情况数据均为匿名数据,且不会传输敏感数据。

默认启用网络分析。要禁用 Web 分析或在将来启用,请执行以下程序:

  1. CDO 控制面板中,点击左侧导航栏中的设置 (Settings)

  2. 点击 General Settings

  3. 点击网络分析 (Web Analytics) 下的滑块。

用户管理

您可以在用户管理 (User Management) 屏幕上查看与多租户门户关联的所有用户记录。您可以添加、编辑或删除用户帐户。有关详细信息,请参阅用户管理

切换租户

如果您有多个门户租户,则可以在不同的门户或租户之间切换,而无需注销 CDO。

Procedure

Step 1

在多租户门户上,点击右上角显示的租户菜单。

Step 2

点击切换租户 (Switch tenant)

Step 3

选择要查看的门户或租户。


思科成功网络

思科成功网络是一项用户启用的云服务。启用思科成功网络时,设备与思科云之间会建立安全连接以传输使用情况信息和统计信息。数据流遥测提供一种机制,可从设备选择相关数据,并以结构化的格式将其传输至远程管理站,从而获得以下优势:

  • 通知您在网络中可用来改进产品效果的未使用功能。

  • 通知您适用于您产品的其他技术支持服务和监控。

  • 帮助思科改善我们的产品。

设备将建立并始终维护该安全连接,使您能够注册思科成功网络。注册设备后,可以更改思科成功网络设置。



  • 对于 威胁防御可用性对,主用设备的选择会覆盖备用设备上的思科成功网络设置。

  • CDO 不会管理思科成功网络设置。通过 防火墙设备管理器用户界面管理的设置和遥测信息。


启用或禁用思科成功网络

在初始系统设置期间,系统会提示您将设备注册到思科智能软件管理器。如果您选择使用 90 天的评估许可证,必须在评估期结束前注册设备。要注册该设备,请使用思科智能软件管理器(在“智能许可”页面上)注册该设备,或者通过输入注册密钥使用CDO进行注册。

注册设备时,您的虚拟帐户会向设备分配许可证。注册设备也会注册已启用的任何可选许可证。

您可以通过禁用思科成功网络随时关闭此连接,但只能通过 防火墙设备管理器 UI 禁用此选项。禁用上述功能将断开设备与云的连接。断开连接不会影响接收更新或运行智能许可功能,该功能将继续正常运行。有关详细信息,请参阅《Firepower 设备管理器配置指南》(6.4.0 版或更高版本)系统管理一章的“连接到思科成功网络”部分。

用户管理

CDO 中创建或编辑用户记录之前,请阅读身份提供程序账户与防御协调器用户记录之间的关系以了解身份提供程序 (IdP) 账户与用户记录的交互方式。CDO 用户需要 CDO 记录和相应的 IdP 账户,这样他们才能通过身份验证并访问您的 CDO 租户。

除非您的企业有自己的 IdP,否则思科安全登录是所有 CDO 租户的身份提供程序。本文的其余部分假设您使用思科安全登录作为身份提供程序。

您可以在用户管理 (User Management) 屏幕上查看与您的租户关联的所有用户记录。这包括临时与您的账户关联以解决支持请求的任何思科支持工程师。

查看与您的租户关联的用户记录

过程


步骤 1

在右上角的“管理”下拉列表中,点击 设置

步骤 2

点击用户管理

 

要防止思科支持人员访问您的租户,请在“常规设置”页面中配置您的账户设置。常规设置


用户管理中的 Active Directory 组

对于大量用户的高周转率的租户,您可以将 CDO 映射到 Active Directory (AD) 组,而不是将个人用户添加到 CDO,以便更轻松地管理用户列表和用户角色。任何用户更改(例如添加新用户或删除现有用户)现在都可以在 Active Directory 中完成,而不再需要在 CDO 中完成。

您必须具有超级管理员用户角色,才能从“用户管理”页面添加、编辑或删除 AD 组。有关详细信息,请参阅用户角色

“Active Directory 组”选项卡

设置 (Settings) 页面的“用户管理”(User Management) 部分具有当前映射到 CDO 的 Active Directory 组的选项卡。最重要的是,此页面显示 AD 管理器中分配的 AD 组的角色。

AD 组中的用户不会在 Active Directory Groups 选项卡或 Users 选项卡中单独列出。

“审核日志”选项卡

“设置”(Settings) 页面的“用户管理”(User Management) 部分有一个用于审核日志的选项卡。此新部分显示访问 CDO 租户的所有用户的最后登录时间,以及每个用户在上次登录时的角色。这包括显式用户登录和 AD 组登录。

多角色用户

作为 CDO 中 IAM 功能的扩展,用户现在可以拥有多个角色。

一个用户可以属于 AD 中的多个组,并且每个组都可以在 CDO 中定义为不同的 CDO 角色。用户在登录时获得的最终权限是用户所属的 CDO 中定义的所有 AD 组的角色的组合。例如,如果用户属于两个 AD 组,并且这两个组都以两个不同的角色(例如仅编辑和仅部署)添加到 CDO 中,则该用户将同时具有仅编辑和仅部署权限。这适用于任意数量的组和角色。

AD 组映射只需在 CDO 中定义一次,然后通过在不同组之间添加、删除或移动用户,即可在 AD 中实现对用户的访问和权限管理。



如果用户既是单个用户又是同一租户上的 AD 组的一部分,则单个用户的用户角色将覆盖 AD 组的用户角色。


准备工作

在将 AD 组映射作为用户管理形式添加到 CDO 之前,您必须将 AD 与 SecureX 集成。如果您的 AD 身份提供程序 (IdP) 尚未集成,则必须执行以下操作:

  1. 向思科 TAC 提交支持案例,并请求使用以下信息进行自定义 AD IdP 集成:https://mycase.cloudapps.cisco.com/case

    • 您的 CDO 租户名称和区域。

    • 定义自定义路由的域(例如:@cisco.com、@myenterprise.com)。

    • XML 格式的证书和联合元数据。

  2. 在 AD 中添加以下自定义 SAML 声明。请注意,这些值区分大小写。

    • SamlADUserGroupIds - 此属性描述用户在 AD 上的所有组关联。例如,在 Azure 中选择 + 添加组申领,如下面的屏幕截图所示:

      图 1. Active Directory 中定义的自定义声明
    • SamlSourceIdpIssuer - 此属性唯一标识 AD 实例。例如,在 Azure 中选择 + 添加组申领,然后滚动查找 Azure AD 标识符,如下面的屏幕截图所示:

      图 2. 找到 Azure Active Directory 标识符

添加用于用户管理的 Active Directory 组

过程


步骤 1

登录 CDO

步骤 2

在右上角的“管理”下拉列表中,点击 设置

步骤 3

点击 用户管理 选项卡。

步骤 4

选择表顶部的 Active Directory 组选项卡。

步骤 5

如果当前没有 AD 组,请点击添加 AD 组。如果有现有条目,请点击添加按钮。

步骤 6

输入以下信息:

  • 组名称 (Group Name) - 输入唯一的名称。此名称不必与 AD 中的组名称匹配。CDO 不支持此字段的特殊字符。

  • 组标识符 - 从您的 AD 手动输入组标识符。组标识符的值应与自定义声明定义中的组标识符相同。它可以是与组的唯一标识对应的任何值,例如,my-f Favorite-group、12345 等。

  • AD 颁发者 - 手动输入 AD 中的 AD 颁发者值。

  • 角色 - 确定此 AD 组中包含的所有用户的角色。有关详细信息,请参阅用户角色。

  • (可选)备注 - 添加适用于此 AD 组的任何备注。

步骤 7

点击确定


编辑用于用户管理的 Active Directory 组

开始之前

请注意,在 CDO 中编辑 AD 组的用户管理仅允许修改 CDO 如何限制 AD 组。您无法在 CDO 中编辑 AD 组本身。必须使用 AD 编辑 AD 组中的用户列表。

过程


步骤 1

登录 CDO

步骤 2

在右上角的“管理”下拉列表中,点击 设置

步骤 3

点击 用户管理 选项卡。

步骤 4

选择表顶部的 Active Directory 组选项卡。

步骤 5

确定要编辑的 AD 组,然后选择编辑图标。

步骤 6

修改以下值:

  • 组名称 (Group Name) - 输入唯一的名称。CDO 不支持此字段的特殊字符。

  • 组标识符 - 从您的 AD 手动输入组标识符。组标识符的值应与自定义声明定义中的组标识符相同。它可以是与组的唯一标识对应的任何值,例如,my-f Favorite-group、12345 等。

  • AD 颁发者 - 手动输入 AD 中的 AD 颁发者值。

  • 角色 - 确定此 AD 组中包含的所有用户的角色。有关详细信息,请参阅用户角色。

  • 备注 - 添加适用于此 AD 组的任何备注。


删除用于用户管理的 Active Directory 组

过程


步骤 1

登录 CDO

步骤 2

在右上角的“管理”下拉列表中,点击 设置

步骤 3

点击 用户管理 选项卡。

步骤 4

选择表顶部的 Active Directory 组选项卡。

步骤 5

确定要删除的 AD 组。

步骤 6

选择删除图标。

步骤 7

点击确定以确认要删除 AD 组。


创建新的 CDO 用户

要创建新的 CDO 用户,需要执行这两项任务。它们不需要按顺序执行:

完成这些任务后,用户可以从 Cisco Secure Sign-On 控制面板打开 CDO。新用户从思科安全登录控制面板打开 CDO

为新用户创建 Cisco Security Cloud Sign On 账户

新用户可以随时自行创建 Cisco Security Cloud Sign On 账户。他们不需要知道他们将被分配到的租户的名称。

关于登录 CDO

思科防御协调器 (CDO) 使用 Cisco Security Sign On 作为身份提供程序,并使用 Duo 进行多重身份验证 (MFA)。要登录 CDO,必须先在 Cisco Security Cloud Sign On 中创建账户,然后再使用 Duo 配置 MFA

CDO 需要 MFA,它为保护您的用户身份提供额外的一重保障。双因素身份验证(一种 MFA)需要两个部分或因素来确保登录 CDO 的用户身份真实。第一个因素是用户名和密码,第二个是按需生成的一次性密码 (OTP)。


Important


如果您的 CDO 租户在 2019 年 10 月 14 日之前就已存在,请使用 迁移到 Cisco Security Cloud Sign On 身份提供程序 登录说明,而不是本文。


登录前

安装 DUO Security。我们建议您在手机上安装 Duo Security 应用。如果您对于如何安装 Duo 有疑问,请查看 Duo 双因素身份验证指南:注册指南

时间同步。您要使用移动设备生成一次性密码。由于 OTP 是基于时间的,所以您的设备时钟与实时同步是非常重要的。请确保您的设备时钟自动或手动设置为正确的时间。

创建新的 Cisco Security Cloud Sign On 账户并配置 Duo 多因素身份验证

初始登录工作流程分为四步。您需要完成所有四个步骤。

Procedure

Step 1

注册新的 Cisco Security Cloud Sign On 账户

  1. 浏览到 https://sign-on.security.cisco.com

  2. 在“登录”屏幕的底部,点击注册

  3. 填写“创建帐户”(Create Account) 对话框中的字段。

    我们为您提供了以下提示:

    • 电子邮件 (Email) - 输入您最终将用于登录 CDO 的邮箱地址。

    • 密码 (Password) - 输入强密码。

  4. 在您点击创建帐户 (Create Account) 之后。

    Cisco 会将验证电子邮件发送到您注册的地址。打开电子邮件,然后点击激活帐户 (Activate Account)

Step 2

使用 Duo 设置多因素身份验证

我们建议在设置多因素身份验证时使用移动设备。

  1. 设置多因素身份验证 (Set up multi-factor authentication) 屏幕中,点击配置因素 (Configure factor)

  2. 点击开始设置 (Start setup) ,按照提示选择移动设备,然后验证该移动设备与您的账户是否配对。

    有关详细信息,请参阅 Duo 双因素身份验证指南:注册指南。如果您的设备上已经有 Duo 应用,您将收到此帐户的激活代码。Duo 支持一个设备上的多个帐户。

  3. 在向导结束时,点击继续登录

  4. 通过双因素身份验证登录 Cisco Security Cloud Sign On。

Step 3

(可选)将 Google 身份验证器设置为附加身份验证器

  1. 选择要与 Google Authenticator 配对的移动设备,然后点击下一步

  2. 按照安装向导中的提示设置 Google Authenticator。

Step 4

配置思科安全登录账户的账户恢复选项

  1. 选择恢复电话号码以使用 SMS 重置帐户。

  2. 选择安全图像。

  3. 点击创建帐户。现在,您会看到包含 CDO 应用图块的 Cisco Security Sign-On 控制板。您还可以看到其他应用图块。

    Tip

     

    您可以在控制板上拖动图块以按您喜欢的顺序进行排序,创建选项卡对图块分组并重命名选项卡。


使用您的 CDO 用户名创建 CDO 用户记录

只有具有“超级管理员”权限的 CDO 用户才能创建 CDO 用户记录。超级管理员应使用上述 创建您的 CDO 用户名 任务中指定的相同邮箱地址创建用户记录。

使用以下程序创建具有适当用户角色的用户记录:

Procedure


Step 1

登录 CDO

Step 2

在右上角的管理下拉列表中,点击设置 (Settings)

Step 3

点击用户管理 (User Management) 选项卡。

Step 4

点击蓝色加号按钮 ,将新用户添加到租户。

Step 5

提供用户的邮件地址。

Note

 

用户的邮箱地址必须与 Cisco Secure Log-On 账户的邮箱地址相对应。

Step 6

从下拉菜单中选择用户的 角色

Step 7

点击确定 (OK)


新用户从思科安全登录控制面板打开 CDO

Procedure


Step 1

在 Cisco Secure Sign-On 控制板上点击适当的 CDO 磁贴。CDO 磁贴会将您导向 https://defenseorchestrator.com,而CDO (EU) 磁贴会将您导向 https://defenseorchestrator.eu

Step 2

请点击身份验证器徽标以选择 Duo Security 或 Google Authenticator, 如果您已设置这两个身份验证器。

  • 如果您在现有租户上已有用户记录,则将登录该租户。

  • 如果您在多个门户上已有用户记录,您将能够选择要连接的门户。

  • 如果您在若干租户上已有用户记录,则将能够选择要连接的 CDO 租户。

  • 如果您在现有租户上尚无用户记录,将能够了解有关 CDO 的详细信息或申请试用租户。

门户视图检索并显示来自多个租户的整合信息。有关详细信息,请参阅管理多个 CDO 租户。管理多租户门户

租户视图显示您拥有用户记录的多个租户。


思科防御协调器中的用户角色

思科防御协调器 (CDO) 中有多种用户角色:只读、仅编辑、仅部署、管理员和超级管理员。为每个租户上的每个用户配置用户角色。如果 CDO 用户可以访问多个租户,则他们可能具有相同的用户 ID,但在不同的租户中具有不同的角色。用户可能在一个租户上具有只读角色,在另一个租户上具有超级管理员角色。当接口或文档提及只读用户、管理员用户或超级管理员用户时,我们描述的是该用户对特定租户的权限级别。

只读角色

分配了只读角色的用户会在每个页面上看到此蓝色横幅:

具有只读角色的用户可以执行以下操作:

  • 查看 CDO 中的任何页面或任何设置。

  • 搜索和过滤任何页面的内容。

  • 比较设备配置,查看更改日志,并查看 VPN 映射。

  • 查看有关任何页面上的任何设置或对象的每个警告。

  • 生成、刷新和撤销自己的 API 令牌。请注意,如果只读用户撤销自己的令牌,则无法重新创建令牌。

  • 通过我们的界面联系支持人员,并可以导出更改日志。

只读用户不能执行以下操作:

  • 创建、更新、配置或删除任何页面上的任何内容。

  • 载入设备。

  • 逐步完成创建对象或策略等内容所需的任务,但无法保存。

  • 创建 CDO 用户记录。

  • 更改用户角色。

  • 将访问规则附加或分离到策略。

仅编辑角色

具有“仅编辑”角色的用户可以执行以下操作:

  • 编辑和保存设备配置,包括但不限于对象、策略、规则集、接口、VPN 等。

  • 允许通过读取配置操作进行配置更改。

  • 利用“变更请求管理”操作。

仅编辑用户不能执行以下操作:

  • 将更改部署到一台设备或多台设备。

  • 丢弃暂存的更改或通过 OOB 检测到的更改。

  • 上传 AnyConnect 软件包,或配置这些设置。

  • 为设备安排或手动启动映像升级。

  • 计划或手动启动安全数据库升级。

  • 在 Snort 2 和 Snort 3 版本之间手动切换。

  • 创建模板。

  • 更改现有的 OOB Change 设置。

  • 编辑系统管理设置。

  • 载入设备。

  • 删除设备。

  • 删除 VPN 会话或用户会话。

  • 创建 CDO 用户记录。

  • 更改用户角色。

仅部署角色

具有“仅部署”角色的用户可以执行以下操作:

  • 将暂存更改部署到一台设备或多台设备。

  • 恢复或恢复 ASA 设备的配置更改。

  • 为设备安排或手动启动映像升级。

  • 计划或手动启动安全数据库升级。

  • 利用“变更请求管理”操作。

仅部署用户不能执行以下操作:

  • 在 Snort 2 和 Snort 3 版本之间手动切换。

  • 创建模板。

  • 更改现有的 OOB Change 设置。

  • 编辑系统管理设置。

  • 载入设备。

  • 删除设备。

  • 删除 VPN 会话或用户会话。

  • 创建、更新、配置或删除任何页面上的任何内容。

  • 载入设备。

  • 逐步完成创建对象或策略等内容所需的任务,但无法保存。

  • 创建 CDO 用户记录。

  • 更改用户角色。

  • 将访问规则附加或分离到策略。

VPN 会话管理器角色

“VPN 会话管理器”(Sessions Manager) 角色专为监控远程接入 VPN 连接而非站点间 VPN 连接的管理员而设计。

具有 VPN 会话管理器角色的用户可以执行以下操作:

  • 查看 CDO 中的任何页面或任何设置。

  • 搜索和过滤任何页面的内容。

  • 比较设备配置,查看更改日志,并查看 RA VPN 映射。

  • 查看有关任何页面上的任何设置或对象的每个警告。

  • 生成、刷新和撤销自己的 API 令牌。请注意,如果 VPN 会话管理器用户撤销其自己的令牌,则无法重新创建该令牌。

  • 通过我们的界面联系支持人员并导出更改日志。

  • 终止现有的 RA VPN 会话。

VPN 会话管理器用户不能执行以下操作:

  • 创建、更新、配置或删除任何页面上的任何内容。

  • 载入设备。

  • 逐步完成创建对象或策略等内容所需的任务,但无法保存。

  • 创建 CDO 用户记录。

  • 更改用户角色。

  • 将访问规则附加或分离到策略。

管理角色

管理员用户对 CDO 的大多数方面具有完全访问权限。管理员用户可以执行以下操作:

  • 在 CDO 中创建、读取、更新和删除任何对象或策略,并配置任何设置。

  • 载入设备。

  • 查看 CDO 中的任何页面或任何设置。

  • 搜索和过滤任何页面的内容。

  • 比较设备配置,查看更改日志,并查看 VPN 映射。

  • 查看有关任何页面上的任何设置或对象的每个警告。

  • 生成、刷新和撤销自己的 API 令牌。如果他们的令牌被撤销,他们可以通过我们的界面联系支持人员,并可以导出更改日志。

管理员用户不能执行以下操作:

  • 创建 CDO 用户记录。

  • 更改用户角色。

超级管理员角色

超级管理员用户可以完全访问 CDO 的所有方面。超级管理员可以执行以下操作:

  • 更改用户角色。

  • 创建用户记录。


Note


虽然超级管理员可以创建 CDO 用户记录,但该用户记录并不是用户登录租户所需的全部内容。用户还需要具有租户使用的身份提供程序的账户。除非您的企业有自己的单点登录身份提供程序,否则身份提供程序是思科安全云登录。用户可以自行注册 Cisco Security Cloud Sign On 账户;有关详细信息,请参阅新 CDO 租户的初始登录


  • CDO 中创建、读取、更新和删除任何对象或策略,并配置任何设置。

  • 载入设备。

  • 查看 CDO 中的任何页面或任何设置。

  • 搜索和过滤任何页面的内容。

  • 比较设备配置,查看更改日志,并查看 VPN 映射。

  • 查看有关任何页面上的任何设置或对象的每个警告。

  • 生成、刷新和撤销自己的 API 令牌。如果他们的令牌被撤销,他们可以

  • 通过我们的界面联系支持人员,并可以导出更改日志。

更改用户角色的记录

用户记录是当前记录的用户角色。通过查看与您的租户关联的用户,您可以确定每个用户的记录。通过更改用户角色,您可以更改用户记录。用户的角色通过其在“用户管理”表中的角色进行标识。有关详细信息,请参阅用户管理。用户管理

您必须是超级管理员才能更改用户记录。如果您的租户没有超级管理员,请联系 Defense Orchestrator 支持。CDO 客户如何通过 TAC 提交支持请求

为用户角色创建用户记录

CDO 用户需要 CDO 记录和相应的 IdP 账户,以便他们可以进行身份验证并访问您的 CDO 租户。此程序会在 Cisco Security Cloud Sign On 中创建用户的 CDO 用户记录,而不是用户的账户。如果用户在 Cisco Security Cloud Sign On 中没有账户,则可以通过导航到 https://sign-on.security.cisco.com 并点击登录 (Sign up) 屏幕底部的“注册”来自行注册。


Note


您需要在 CDO 上具有超级管理员角色才能执行此任务。


创建用户记录

使用以下程序创建具有适当用户角色的用户记录:

Procedure


Step 1

登录 CDO

Step 2

在右上角的“管理”下拉列表中,点击 设置

Step 3

点击 用户管理 选项卡。

Step 4

点击蓝色加号按钮 ,将新用户添加到租户。

Step 5

提供用户的邮件地址。

Note

 

用户的邮箱地址必须与 Cisco Secure Log-On 账户的邮箱地址相对应。

Step 6

从下拉菜单中选择用户的 角色

Step 7

点击 v。

Note

 

虽然超级管理员可以创建 CDO 用户记录,但该用户记录并不是用户登录租户所需的全部内容。用户还需要具有租户使用的身份提供程序的账户。除非您的企业有自己的单点登录身份提供程序,否则身份提供程序是思科安全登录。用户可以自行注册 Cisco Secure Sign-On 账户;有关详细信息,请参阅新 CDO 租户的初始登录


创建仅 API 用户

过程


步骤 1

登录 CDO

步骤 2

在右上角的“管理”下拉列表中,点击 设置

步骤 3

点击 用户管理 选项卡。

步骤 4

点击蓝色加号按钮 ,将新用户添加到租户。

步骤 5

选择仅 API 用户 (API Only User) 复选框。

步骤 6

用户名字段中,输入用户的名称,然后点击确定

重要

 

用户名不能是邮件地址或包含“@”字符,因为“@yourtenant”后缀将自动附加到用户名。

步骤 7

从下拉菜单中选择用户的 角色

步骤 8

点击确定

步骤 9

点击 用户管理 选项卡。

步骤 10

在新的仅 API 用户的令牌列中,点击生成 API 令牌以获取 API 令牌。


编辑用户角色的用户记录

您需要具有超级管理员的角色才能执行此任务。如果超级管理员更改已登录的 CDO 用户的角色,则在其角色更改后,该用户将自动从其会话中注销。用户重新登录后,他们将承担新角色。


Note


您需要在 CDO 上具有超级管理员角色才能执行此任务。



Caution


更改用户记录的角色将删除与用户记录关联的 API 令牌(如果有)。API 令牌用户角色更改后,用户必须生成新的 API 令牌。


编辑用户角色


Note


如果 CDO 用户已登录,并且超级管理员更改其角色,则该用户必须注销并重新登录,更改才会生效。


要编辑用户记录中定义的角色,请执行以下程序:

Procedure


Step 1

登录 CDO

Step 2

在右上角的“管理”下拉列表中,点击 设置

Step 3

点击 用户管理 选项卡。

Step 4

点击用户行中的编辑图标。

Step 5

从“角色”(Role) 下拉菜单中选择用户的新角色

Step 6

如果用户记录显示有与用户关联的 API 令牌,则需要确认要更改用户的角色并删除 API 令牌。

Step 7

点击 v。

Step 8

如果 CDO 删除了 API 令牌,请联系用户,以便他们可以创建新的 API 令牌。


删除用户角色的用户记录

删除 CDO 中的用户记录会破坏用户记录与 Cisco Security Cloud Sign On 账户的映射,从而防止关联用户登录 CDO。删除用户记录时,也会删除与该用户记录关联的 API 令牌(如果有)。删除 CDO 中的用户记录不会删除 Cisco Security Cloud Sign On 中的用户 IdP 账户。


Note


您需要在 CDO 上具有超级管理员角色才能执行此任务。


删除用户记录

要删除用户记录中定义的角色,请参阅以下程序:

Procedure


Step 1

登录 CDO

Step 2

在右上角的管理下拉列表中,点击设置 (Settings)

Step 3

点击用户管理 (User Management) 选项卡。

Step 4

点击要删除的用户所在行的垃圾桶图标

Step 5

点击确定 (OK)

Step 6

点击确定,确认要从租户中删除帐户。


云交付的防火墙管理中心 应用页面

从 CDO 的主菜单打开 云交付的防火墙管理中心 应用页面。

导航至 工具和服务 (Tools & Services) > 防火墙管理中心 (Firewall Management Center)

“防火墙管理中心”页面显示以下信息:

  • 如果您的租户上没有部署 云交付的防火墙管理中心 ,请点击 请求 FMC

  • 云交付的防火墙管理中心上部署的Secure Firewall Threat Defense设备数量。

  • CDO云交付的防火墙管理中心页面之间的连接状态。

  • 云交付的防火墙管理中心的最后一次心跳。这表示上次将云交付的防火墙管理中心本身的状态及其管理的设备数量与此页面上的表同步。

  • 所选云交付的防火墙管理中心的主机名。

使用操作管理设置窗格中的链接,打开云交付的防火墙管理中心页面以执行与所点击的链接关联的配置任务。

打开 云交付的防火墙管理中心 页面后,点击蓝色问号按钮,然后选择 页面级帮助 以了解有关您所在页面的详细信息,以及您可以采取的进一步操作。

更新 云交付的防火墙管理中心 设备计数和状态

操作窗格中,点击检查更改。表中的设备计数和状态信息将使用上次此页面和云交付的防火墙管理中心同步时可用的信息进行更新。每 10 分钟进行一次同步。

支持在不同的选项卡上打开 CDO 和 云交付的防火墙管理中心 应用

云交付的防火墙管理中心中配置 威胁防御 设备或对象时,您可以在其他浏览器选项卡中打开相应的配置页面,以便在 CDO 和 云交付的防火墙管理中心 门户中同时工作,而无需注销。例如,您可以在 云交付的防火墙管理中心 上创建对象,同时监控从安全策略生成的 CDO 上的事件日志。

此功能适用于导航到 云交付的防火墙管理中心 门户的所有 CDO 链接。要在新选项卡中打开 云交付的防火墙管理中心 门户,请执行以下操作:

在 CDO 门户上,按住 Ctrl (Windows) 或 Command (Mac) 按钮,然后点击相应的链接。



点击一下即可在同一选项卡中打开 云交付的防火墙管理中心 页面。


以下是在新选项卡中打开 云交付的防火墙管理中心 门户页面的一些示例:

  • 选择工具和服务 (Tools & Services) > 防火墙管理中心 (Firewall Management Center)

    在右侧窗格中,按住 Ctrl (Windows) 或 Command (Mac) 按钮,然后点击要访问的页面。

  • 选择对象 (Objects) > 其他 FTD 对象 (Other FTD Objects)

  • 点击 CDO 页面右上角的搜索图标,然后在显示的搜索字段中输入搜索字符串。

    在搜索结果中,按住 Ctrl (Windows) 或 Command (Mac) 按钮,然后点击箭头图标。

  • 选择控制面板 (Dashboard) > 快速操作 (Quick Actions)

    按住 Ctrl (Windows) 或 Command (Mac) 按钮,然后点击管理 FTD 策略 (Manage FTD Policies)管理 FTD 对象 (Manage FTD Objects)



当您切换到新的 CDO 租户时,已在新选项卡中打开的相应 云交付的防火墙管理中心 门户将注销。


设备和服务管理

Cisco Defense Orchestrator (CDO) 提供查看、管理、过滤和评估支持的设备和服务的功能。https://docs.defenseorchestrator.com/Configuration_Guides/Devices_and_Services/Software_and_Hardware_Supported_by_CDO在“资产”页面中,您可以:

  • 用于 CDO 管理的载入设备和服务。

  • 查看受管设备和服务的配置状态和连接状态。

  • 在单独的选项卡中查看已自行激活的设备和模板。请参阅查看资产页面信息

  • 评估各个设备和服务并采取措施。

  • 查看设备和服务特定信息并解决问题。

  • 查看由以下人员管理的威胁防御设备的设备运行状况:

    对于 云交付的防火墙管理中心 管理的威胁防御设备,您还可以查看集群中设备的节点状态。

  • 按名称、类型、IP 地址、型号名称、序列号或标签搜索设备或模板。搜索不区分大小写。提供多个搜索词会调出至少与其中一个搜索词匹配的设备和服务。请参阅搜索

  • 设备或模板过滤器可按设备类型、硬件和软件版本、Snort 版本、配置状态、连接状态、冲突检测以及保护设备连接器和标签进行过滤。请参阅过滤器。过滤器

在 CDO 中更改设备的 IP 地址

在使用 IP 地址将设备载入 Cisco Defense Orchestrator (CDO) 时,CDO 会将该 IP 地址存储在其数据库中,并使用该 IP 地址与设备通信。如果设备的 IP 地址发生更改,您可以更新 CDO 中存储的 IP 地址以匹配新地址。在 CDO 上更改设备的 IP 地址不会更改设备的配置。

要更改 CDO 用于与设备通信的 IP 地址,请执行以下程序:

Procedure


Step 1

在导航栏中,点击 设备和服务

Step 2

点击设备 (Devices) 选项卡以找到设备。

Step 3

点击设备类型选项卡。

您可以使用 过滤器搜索 功能查找所需的设备。

Step 4

选择要更改其 IP 地址的设备。

Step 5

设备详细信息 (Device Details) 窗格上方,点击设备 IP 地址旁边的编辑按钮。

Step 6

在字段中输入新的 IP 地址,然后点击蓝色的复选按钮。

设备本身不会发生更改,因此设备的配置状态将继续显示已同步。


在 CDO 中更改设备的名称

所有设备、型号、模板和服务在自行激活或在 CDO 中创建时都会获得一个名称。您可以更改该名称,而无需更改设备本身的配置。

Procedure


Step 1

在导航栏中,点击设备和服务 (Devices & Services)

Step 2

点击设备 (Device) 选项卡以找到设备。

Step 3

选择要更改其名称的设备。

Step 4

设备详细信息 (Device Details) 窗格上方,点击设备名称旁边的编辑按钮。

Step 5

在字段中输入新的名称,然后点击蓝色的复选按钮。

设备本身不会发生更改,因此设备的配置状态将继续显示已同步。


导出设备和服务列表

本文介绍如何将设备和服务列表导出为逗号分隔值 (.csv) 文件。转换为该格式后,您可以在电子表格应用(例如 Microsoft Excel)中打开该文件,以对列表中的项目进行排序和过滤。

导出按钮在设备和模板选项卡中可用。您还可以从所选设备类型选项卡下的设备导出详细信息。

在导出设备和服务列表之前,请查看过滤器窗格并确定清单表是否显示要导出的信息。清除所有过滤器以查看所有受管设备和服务,或过滤信息以显示所有设备和服务的子集。导出功能会导出您在清单表中看到的内容。

Procedure


Step 1

在 CDO 导航栏中,点击清单 (Inventory)

Step 2

点击 设备 选项卡以查找设备,或点击 模板 选项卡以查找型号设备。

Step 3

点击相应的设备类型选项卡以从该选项卡下的设备导出详细信息,或点击全部 (All) 以从所有设备导出详细信息。

您可以使用 过滤器搜索 功能查找所需的设备。

Step 4

点击将列表导出到 CSV (Export list to CSV)

Step 5

如果出现提示,请保存 .csv 文件。

Step 6

在电子表格应用中打开 .csv 文件,对结果进行排序和过滤。


导出设备配置

一次只能导出一个设备配置。使用以下程序将设备的配置导出到 JSON 文件:

过程


步骤 1

在导航栏中,点击设备和服务 (Devices & Services)

步骤 2

点击 设备 选项卡以查找设备,或点击 模板 选项卡以查找型号设备。

步骤 3

点击设备类型选项卡。

您可以使用 过滤器搜索 功能查找所需的设备。

步骤 4

选择所需的设备以便将其突出显示。

步骤 5

在操作窗格中,选择导出配置。

步骤 6

选择确认以将配置另存为 JSON 文件。


将设备批量重新连接到 CDO

CDO 允许管理员同时尝试将多个受管设备重新连接到 CDO。当设备 CDO 管理的 标记为“无法访问”时,CDO 无法再检测到带外配置更改或管理设备。断开连接可能有许多不同的原因。尝试重新连接设备是恢复 CDO 对设备的管理的简单第一步。


Note


如果您要重新连接具有新证书的设备,CDO 会自动审核并接受设备上的新证书,并继续与其重新连接。但是,如果您仅与一台设备重新连接,CDO 会提示您手动查看并接受证书,以继续与其重新连接。


Procedure


Step 1

在导航栏中,点击 设备和服务

Step 2

点击 设备 选项卡以找到设备。

Step 3

点击设备类型选项卡。

使用过滤器查找连接状态为“无法访问”的设备。

Step 4

从过滤结果中,选择要尝试重新连接的设备。

Step 5

点击重新连接 (Reconnect) 。请注意,CDO 仅提供可应用于所有选定设备的操作的命令按钮。

Step 6

查看通知 (notifications) 选项卡,了解批量设备重新连接操作的进度。如果您想了解有关批量设备重新连接作业中的操作是如何成功或失败的更多信息,请点击蓝色查看链接,您将被定向到 作业页面

Tip

 

如果由于设备的证书或凭证已更改而导致重新连接失败,则必须单独重新连接到这些设备,以添加新凭证并接受新证书。


在租户之间移动设备

在将设备载入 CDO 租户后,无法将设备从一个 CDO 租户迁移到另一个租户。如果要将设备移至新租户,您需要从旧租户中删除设备并将其重新载入新租户。

编写设备说明

使用此程序为设备创建单个纯文本注释文件。

Procedure


Step 1

在导航栏中,点击设备和服务 (Devices & Services)

Step 2

点击 设备 选项卡以查找设备,或点击 模板 选项卡以查找型号设备。

Step 3

点击设备类型选项卡。

Step 4

选择要为其创建备注的设备或型号。

Step 5

在左侧的管理 (Management) 窗格中,点击备注 (Notes)

Step 6

点击右侧的编辑器按钮,然后选择默认文本编辑器、Vim 或 Emacs 文本编辑器。

Step 7

编辑“备注”(Notes) 页面。

Step 8

点击保存 (Save)

注释会被保存在选项卡中。

查看资产页面信息

资产页面显示所有已自行激活的物理和虚拟设备以及从已激活设备创建的模板。该页面根据设备和模板的类型对其进行分类,并在专用于每种设备类型的相应选项卡中显示它们。您可以使用搜索功能或应用过滤器在所选设备类型选项卡中查找设备。

您可以在此页面上查看以下详细信息:

  • 设备选项卡显示载入 CDO 的所有实时设备。

  • 模板显示从实时设备或导入到 CDO 的配置文件创建的所有模板设备。

标签和过滤

标签用于对设备或对象进行分组。您可以在载入期间或在载入之后随时将标签应用于一台或多台设备。您可以在创建对象后对其应用标签。将标签应用于设备或对象后,即可按该标签过滤设备表或对象表的内容。



应用于设备的标签不会扩展到其关联对象,应用于共享对象的标签不会扩展到其关联对象。


可以使用以下语法“group name:label”创建标签组。例如,Region: East 或 Region:West。如果您要创建这两个标签,则组标签将为区域,您可以在该组中选择 East 或 West。

将标签应用于设备和对象

要将标签应用于设备,请执行以下步骤:

过程


步骤 1

要向设备添加标签,请点击左侧导航窗格中的设备和服务。要向对象添加标签,请点击左侧导航窗格中的对象。

步骤 2

点击 设备 选项卡以查找设备,或点击 模板 选项卡以查找型号设备。

步骤 3

点击设备类型选项卡。

步骤 4

在生成的表中选择一个或多个设备或型号。

步骤 5

在右侧的添加组和标签字段中,指定设备的标签。

步骤 6

点击蓝色 + 图标。


AWS VPC 中的标签和标签

当您将 AWS VPC 载入 CDO 时,CDO 会在配置过程中读取所有 AWS VPC 标签。也就是说,它们从 AWS 复制并存储在 CDO 的数据库中。这些标签表示为 CDO 标签,可以在设备和服务 (Devices & Services) 页面上查看,就像任何其他设备类型上的标签一样。如果您从 CDO 删除现有标签或创建新标签,这些更改不会同步到 AWS VPC。您必须使用 AWS 控制台手动进行相同的更改。在载入 AWS VPC 后,在 AWS 控制台中创建或修改的 VPC 标签不会存储在 CDO 的配置副本中,也不会作为带外更改被检测出来。

过滤器

您可以在清单 (Inventory)对象 (Objects) 页面上使用许多不同的过滤器来查找要查找的设备和对象。

要过滤,请点击设备和服务、策略和对象选项卡的左侧窗格中的

清单过滤器允许您按设备类型、硬件和软件版本、Snort 版本、配置状态、连接状态、冲突检测以及保护设备连接器和标签进行过滤。您可以应用过滤器在所选设备类型选项卡中查找设备。您可以使用过滤器在所选设备类型选项卡中查找设备。

对象过滤器允许您按设备、问题类型、共享对象、未关联的对象和对象类型进行过滤。您可以在结果中包含或不包含系统对象。您还可以使用搜索字段在过滤器结果中搜索包含特定名称、IP 地址或端口号的对象。

过滤设备和对象时,您可以组合搜索词来创建多个潜在的搜索策略来查找相关结果。

在以下示例中,过滤器应用于“问题(已使用或不一致)AND 具有其他值的共享对象 AND 类型为网络 OR 服务的对象”。

查找所有使用相同 SDC 连接到 CDO 的设备

请按照以下程序识别所有使用相同 SDC 连接到 CDO 的设备:

Procedure


Step 1

在导航栏中,点击清单 (Inventory)

Step 2

点击设备 (Devices) 选项卡以找到设备。

Step 3

点击设备类型选项卡。

Step 4

如果已指定任何过滤条件,请点击“清单”(Inventory) 表顶部的清除按钮,以显示您使用 CDO 管理的所有设备和服务。

Step 5

点击过滤器按钮 以展开过滤器菜单。

Step 6

在过滤器的“安全设备连接器”(Secure Device Connectors) 部分中,选中您感兴趣的 SDC 的名称。“清单”(Inventory) 表仅显示通过您在过滤器中选中的 SDC 连接到 CDO 的设备。

Step 7

(可选)检查过滤器菜单中的其他过滤器,以便进一步细化搜索。

Step 8

(可选)完成后,点击清单表顶部的清除按钮,以便显示您使用 CDO 管理的所有设备和服务。


用于管理设备的 CLI 宏

CLI 宏是可以使用的完整形式的 CLI 命令,或者是可以在运行之前修改的 CLI 命令的模板。所有宏都可以在一个或多个 设备上同时运行。

使用类似模板的 CLI 宏可同时在多台设备上运行相同的命令。CLI 宏可促进设备配置和管理的一致性。使用完全格式的 CLI 宏获取有关设备的信息。您可以立即在 设备上使用不同的 CLI 宏。

您可以创建 CLI 宏来监控您经常执行的任务。有关详细信息,请参阅创建 CLI 宏

CLI 宏是系统定义的或用户定义的。系统定义的宏由 CDO 提供,无法编辑或删除。用户定义的宏由您创建,可以编辑或删除。


Note


只有在设备载入 CDO 后,才能为设备创建宏。


以 ASA 为例,如果要查找其中一个 ASA 上的特定用户,可以运行以下命令:

show running-config | grep username

运行命令时,您要将 username 替换为要搜索的用户的用户名。要使用此命令来创建宏,请使用相同的命令并在用户名周围加上大括号。

您可以随意命名参数。您还可以使用此参数名称创建相同的宏:

参数名称可以是描述性的,并且必须使用字母数字字符和下划线。命令语法,在本例中为
show running-config | grep
命令的一部分,必须对要向其发送命令的设备使用正确的 CLI 语法。

从新命令创建 CLI 宏

Procedure


Step 1

在创建 CLI 宏之前,请在 CDO 的命令行界面中测试命令,以便确保命令语法正确并返回可靠的结果。

Note

 

Step 2

在导航栏中,点击清单 (Inventory)

Step 3

点击 设备 (Devices)选项卡以找到设备。

Step 4

点击相应的设备类型选项卡,然后选择在线和同步的设备。

Step 5

点击 >_Command Line Interface。

Step 6

点击 CLI 宏收藏夹星标 ,以查看已经存在的宏。

Step 7

点击加号按钮

Step 8

请为宏指定唯一的名称。如果需要,请为 CLI 宏提供说明和注释。

Step 9

命令 (Command) 字段中输入完整命令。

Step 10

运行命令时,将要修改的命令部分替换为用大括号括起来的参数名称。

Step 11

点击创建。您创建的宏可用于该类型的所有设备,而不只是您最初指定的设备。

要运行命令,请参阅在设备上运行 CLI 宏


从 CLI 历史记录或现有 CLI 宏创建 CLI 宏

在此程序中,您将从已运行的命令、另一个用户定义的宏或从系统定义的宏创建用户定义的宏。

过程


步骤 1

在导航栏中,点击 设备和服务

 

如果要从 CLI 历史记录创建用户定义的宏,请选择运行命令的设备。CLI 宏在同一账户上的设备之间共享,但不是 CLI 历史记录。

步骤 2

点击设备选项卡。

步骤 3

点击相应的设备类型选项卡,然后选择在线和同步的设备。

步骤 4

点击 >_命令行接口。

步骤 5

查找要生成 CLI 宏的命令,然后选择该命令。使用以下方法之一:

  • 点击时钟可查看您在该设备上运行的命令。选择要转换为宏的命令,命令将显示在命令窗格中。

  • 点击 CLI 宏收藏夹星标 ,以查看已经存在的宏。选择要更改的用户定义或系统定义的 CLI 宏。命令显示在命令窗格中。

步骤 6

使用 命令窗格中的 命令,点击 CLI 宏金色星标。命令现在是新 CLI 宏的基础。

步骤 7

请为宏指定唯一的名称。如果需要,请为 CLI 宏提供说明和注释。

步骤 8

查看命令字段中的命令,并进行所需的更改。

步骤 9

运行命令时,将要修改的命令部分替换为用大括号括起来的参数名称。

步骤 10

点击创建。您创建的宏可用于该类型的所有设备,而不只是您最初指定的设备。

要运行命令,请参阅运行 CLI 宏


运行 CLI 宏

Procedure


Step 1

在导航栏中,点击 设备和服务

Step 2

点击设备选项卡。

Step 3

点击相应的设备类型选项卡,然后选择一个或多个设备。

Step 4

点击 >_命令行接口。

Step 5

在命令面板中,点击星号

Step 6

从命令面板中选择 CLI 宏。

Step 7

使用以下两种方式之一运行宏:

  • 如果宏没有要定义的参数,请点击发送 (Send)。命令的响应显示在响应窗格中。就行了。

  • 如果宏包含参数,例如下面的配置 DNS 宏,请点击 >_ 查看参数。

Step 8

在“参数”(Parameters) 窗格中,在“参数”(Parameters) 字段中填写参数的值。

Step 9

点击 Send。在 CDO 成功发送命令并更新设备配置后,您会收到消息完成!

Step 10

发送命令后,您可能会看到消息“某些命令可能已对运行配置进行了更改”(Some commands may have made changes to the running config) 以及两个链接。

  • 点击写入磁盘 (Write to Disk) 会将此命令所做的更改以及运行配置中的任何其他更改保存到设备的启动配置中。

  • 点击消除 (Dismiss),可关闭消息。


编辑 CLI 宏

您可以编辑用户定义的 CLI 宏,但不能编辑系统定义的宏。编辑 CLI 宏会更改所有 设备。宏并非特定于特定设备。

Procedure


Step 1

在导航栏中,点击 设备和服务

Step 2

点击设备选项卡。

Step 3

点击适当的设备类型选项卡。

Step 4

请选择您的设备。

Step 5

点击 命令行接口 (Command Line Interface)

Step 6

选择要编辑的用户定义的宏。

Step 7

点击宏标签中的编辑图标。

Step 8

在编辑宏对话框中编辑 CLI 宏。

Step 9

点击保存 (Save)

有关如何运行 CLI 宏的说明,请参阅运行 CLI 宏


删除 CLI 宏

您可以删除用户定义的 CLI 宏,但不能删除系统定义的宏。删除 CLI 宏会删除所有设备的宏。宏并非特定于特定设备。

Procedure


Step 1

在导航栏中,点击 设备和服务

Step 2

点击设备选项卡。

Step 3

点击适当的设备类型选项卡。

Step 4

请选择您的设备。

Step 5

点击 >_命令行接口 (Command Line Interface)

Step 6

选择要删除的用户定义的 CLI 宏。

Step 7

点击 CLI 宏标签中的垃圾桶图标

Step 8

确认要删除 CLI 宏。


对象

对象是可在一个或多个安全策略中使用的信息容器。使用对象可以轻松维护策略一致性。您可以创建单个对象,使用不同的策略,修改对象,然后将该更改传播到使用该对象的每个策略。如果没有对象,则需要单独修改需要进行相同更改的所有策略。

当您载入设备时, 会识别该设备使用的所有对象,保存它们,并在“对象”(Objects) 页面上列出它们。CDO在“对象”(Objects) 页面中,可以编辑现有对象并创建要在安全策略中使用的新对象。

CDO 将多台设备上使用的对象称为共享对象,并在对象 (Objects) 页面中使用此标记 进行标识。

有时,共享对象会产生一些“问题”,并且不再在多个策略或设备之间完美共享:

  • 重复对象是指同一设备上具有不同名称但值相同的两个或多个对象。这些对象通常可用于类似的目的,并供不同的策略使用。重复的对象由此问题图标标识:

  • 不一致对象是指两台或多台设备上具有相同名称但值不同的对象。有时,用户会在不同的配置中创建具有相同名称和内容的对象,但随着时间的推移,这些对象的值会出现分歧,从而造成不一致。不一致的对象由此问题图标标识:

  • 未使用的对象是设备配置中存在但未被其他对象、访问列表或 NAT 规则引用的对象。未使用的对象由此问题图标标识:

您还可以创建在规则或策略中立即使用的对象。您可以创建不与任何规则或策略关联的对象。在规则或策略中使用该未关联的对象时,会创建该对象的副本并使用该副本。CDO

您可以通过导航至对象菜单或在网络策略的详细信息中查看对象来查看对象。CDO

CDO 允许您从一个位置跨受支持的设备管理网络和服务对象。使用 ,您可以通过以下方式管理对象:CDO

  • 根据各种条件搜索和过滤所有对象。对象过滤器

  • 查找设备上的重复、未使用和不一致的对象,并合并、删除或解决这些对象问题。

  • 查找未关联的对象,如果未使用,请将其删除。

  • 发现跨设备通用的共享对象。

  • 在提交更改之前,评估对象更改对一组策略和设备的影响。

  • 比较一组对象及其与不同策略和设备的关系。

  • 捕获设备在自行激活后使用的对象。CDO

如果您在创建、编辑或读取已载入设备的对象时遇到问题,请参阅以了解详细信息。对思科防御协调器进行故障排除

对象类型

下表介绍您可以为设备创建和使用 CDO 管理的对象。

共享对象

Cisco Defense Orchestrator (CDO) 会调用多个设备上具有相同名称和相同内容的对象,即共享对象。共享对象由此图标标识
对象 (Objects) 页面上。使用共享对象可以轻松维护策略,因为您可以在一个位置修改对象,并且该更改会影响使用该对象的所有其他策略。如果没有共享对象,则需要单独修改需要进行相同更改的所有策略。

查看共享对象时,CDO 会在对象表中显示该对象的内容。共享对象具有完全相同的内容。CDO 在详细信息窗格中显示对象元素的组合视图或“平面化”视图。请注意,在详细信息窗格中,网络元素被展平为一个简单的列表,而不是直接与命名对象关联。

对象覆盖

对象覆盖允许您覆盖特定设备上共享网络对象的值。CDO 会使用您在配置覆盖时指定的设备的相应值。虽然对象位于两个或多个名称相同但值不同的设备上,但 CDO 不会将其识别为不一致对象,因为这些值是作为覆盖值添加的。

您可以创建其定义适用于大多数设备的对象,然后使用覆盖为需要不同定义的几个设备指定对象的修改。您还可以创建需要为所有设备覆盖的对象,但其使用使您能够为所有设备创建单个策略。对象覆盖允许您创建较小的一组在设备间使用的共享策略,而不会失去在各个设备需要时修改策略的能力。

例如,假设您的每个办公室都有一台打印机服务器,并且您创建了一个打印机服务器对象 print-server。您的 ACL 中有一条规则,用于拒绝打印机服务器访问互联网。打印机服务器对象有一个您想在办公室之间更改的默认值。您可以使用对象覆盖来实现此目的,并在所有位置保持规则和“printer-server”对象的一致性,但它们的值可能不同。


Note


如果存在不一致的对象,您可以将它们合并为一个具有覆盖的共享对象。有关详细信息,请参阅解决不一致的对象问题


未关联的对象

您可以创建对象以立即在规则或策略中使用。您还可以创建不与任何规则或策略关联的对象。当您在规则或策略中使用该未关联的对象时,CDO 会创建该对象的副本并使用该副本。原始未关联对象仍保留在可用对象列表中,直到被夜间维护作业删除或您将其删除。

未关联的对象作为副本保留在 CDO 中,以确保在意外删除与对象关联的规则或策略时不会丢失所有配置。

要查看未关联的对象,请点击对象选项卡的左侧窗格,然后选中未关联的复选框。

比较对象

Procedure


Step 1

在左侧的 CDO 导航栏中,点击对象 (Objects)并选择一个选项。

Step 2

过滤页面上的对象以查找要比较的对象。

Step 3

点击比较按钮

Step 4

最多选择三个要比较的对象。

Step 5

并排查看屏幕底部的对象。

  • 点击“对象详细信息”(Object Details) 标题栏中的向上和向下箭头,可查看更多或更少的对象详细信息。

  • 展开或折叠详细信息和关系框以查看更多或更少的信息。

Step 6

(可选)“关系”框显示对象的使用方式。它可能与设备或策略相关联。如果对象与设备关联,您可以点击设备名称,然后点击查看配置以查看设备的配置。CDO 显示设备的配置文件,并突出显示该对象的条目。


过滤器

您可以在清单 (Inventory)对象 (Objects) 页面上使用许多不同的过滤器来查找要查找的设备和对象。

要过滤,请点击设备和服务、策略和对象选项卡的左侧窗格中的

清单过滤器允许您按设备类型、硬件和软件版本、Snort 版本、配置状态、连接状态、冲突检测以及保护设备连接器和标签进行过滤。您可以应用过滤器在所选设备类型选项卡中查找设备。您可以使用过滤器在所选设备类型选项卡中查找设备。

对象过滤器允许您按设备、问题类型、共享对象、未关联的对象和对象类型进行过滤。您可以在结果中包含或不包含系统对象。您还可以使用搜索字段在过滤器结果中搜索包含特定名称、IP 地址或端口号的对象。

过滤设备和对象时,您可以组合搜索词来创建多个潜在的搜索策略来查找相关结果。

在以下示例中,过滤器应用于“问题(已使用或不一致)AND 具有其他值的共享对象 AND 类型为网络 OR 服务的对象”。

对象过滤器

要过滤,请点击“对象”(Objects) 选项卡的左侧窗格的

  • 所有对象 (All Objects) - 此过滤器提供您在 CDO 中注册的所有设备中可用的所有对象。此过滤器可用于浏览所有对象,或作为搜索或进一步应用子过滤器的起点。

  • 共享对象 (Shared Objects) - 此快速过滤器显示 CDO 发现的在多台设备上共享的所有对象。

  • 按设备排列的对象 (Objects By Device) - 允许您选择特定设备,以便可以查看在所选设备上找到的对象。

子过滤器 (Sub filters) - 在每个主过滤器中,您可以应用子过滤器以进一步缩小选择范围。这些子过滤器基于对象类型 - 网络、服务、协议等。

此过滤器栏中的选定过滤器将返回与以下条件匹配的对象:

* 位于两台设备之一上的对象。(点击按设备过滤 (Filter by Device) 以指定设备。)AND 是

* 不一致 对象 AND 是

* 网络 (Network) 对象 OR 服务 (Service) 对象 AND

* 包含"" 在对象命名约定中

由于选中了显示系统对象 (Show System Objects),因此结果将包括系统对象和用户定义的对象。

显示系统对象过滤器

某些设备随附常见服务的预定义对象。这些系统对象很方便,因为它们已经为您创建,您可以在规则和策略中使用它们。对象表中可以有许多系统对象。系统对象无法编辑或删除。

默认情况下,显示系统对象处于关闭状态。要在对象表中显示系统对象,请选中过滤器栏中的显示系统对象 (Show System Objects)。要隐藏对象表中的系统对象,请在过滤器栏中保持未选中状态。

如果隐藏系统对象,它们将不会包含在搜索和过滤结果中。如果显示系统对象,它们将包含在对象搜索和过滤结果中。

配置对象过滤器

您可以根据需要过滤任意数量的条件。过滤所依据的类别越多,预期的结果就越少。

Procedure

Step 1

在左侧的 CDO 导航栏中,点击对象 (Objects)并选择一个选项。

Step 2

点击页面顶部的过滤器图标 ,打开过滤器面板。取消选中任何已选中的过滤器,以确保不会无意中过滤掉任何对象。此外,查看搜索字段并删除可能已在搜索字段中输入的任何文本。

Step 3

如果要将结果限制为在特定设备上找到的结果,请执行以下操作:

  1. 点击按设备过滤 (Filter By Device)

  2. 搜索所有设备或点击设备选项卡以仅搜索特定类型的设备。

  3. 选中要包含在过滤条件中的设备。

  4. 点击确定 (OK)

Step 4

选中显示系统对象 (Show System Objects) 以在搜索结果中包含系统对象。取消选中显示系统对象 (Show System Objects) 可从搜索结果中排除系统对象。

Step 5

选中要作为过滤依据的对象问题。如果选中多个问题,则选中的任何类别的对象都将包含在过滤器结果中。

Step 6

如果要查看存在问题但被管理员忽略的对象,请选中已忽略 (Ignored) 的问题。

Step 7

如果要过滤两台或多台设备之间共享的对象,请在共享对象 (Shared Objects) 中选中所需的过滤器。

  • 默认值 (Default Values):过滤仅具有默认值的对象。

  • 覆盖值 (Override Values):过滤具有覆盖值的对象。

  • 其他值 (Additional Values):过滤具有其他值的对象。

Step 8

如果要过滤不属于任何规则或策略的对象,请选中未关联 (Unassociated)

Step 9

选中要作为过滤依据的对象类型 (Object Types)

Step 10

您还可以将对象名称、IP 地址或端口号添加到对象搜索字段,以在过滤结果中查找符合搜索条件的对象。


何时从过滤条件中排除设备

将设备添加到过滤条件时,结果会显示设备上的对象,但不会显示这些对象与其他设备的关系。例如,假设 ObjectA 在 ASA1 和 ASA2 之间共享。如果要过滤对象以查找 ASA1 上的共享对象,则会找到 ObjectA,但关系窗格只会显示该对象位于 ASA1 上。

要查看与对象相关的所有设备,请不要在搜索条件中指定设备。按其他条件过滤并添加搜索条件(如果您愿意)。选择 CDO 识别的对象,然后在“关系”窗格中进行查看。您将看到与对象相关的所有设备和策略。

忽略对象

解决具有未使用、重复或不一致问题对象的方法之一是忽略它们。您可以决定,尽管对象未使用、重复或不一致,但该状态存在正当理由,并且您选择不解决对象问题。解决未使用的对象问题解决重复对象问题解决不一致的对象问题在未来的某个时候,您可能希望解析这些被忽略的对象。由于 CDO 在搜索对象问题时不显示已忽略的对象,因此您需要过滤已忽略对象的对象列表,然后对结果执行操作。

Procedure


Step 1

在左侧的 CDO 导航栏中,点击对象 (Objects)并选择一个选项。

Step 2

过滤和搜索被忽略的对象。对象过滤器

Step 3

对象 (Object) 表中,选择要取消忽略的对象。一次可以取消忽略一个对象。

Step 4

点击详细信息窗格中的取消忽略。

Step 5

确认您的请求。现在,当您按问题过滤对象时,您应该会找到以前忽略的对象。


删除对象

可以删除单个对象或多个对象。

删除单个对象


Caution


如果 云交付的防火墙管理中心 被部署在您的租户上:

您在 页面上对网络对象和组所做的更改会反映在 对象 (Objects) > 其他 FTD 对象 (Other FTD Objects) 页面上的相应的 云交付的防火墙管理中心 网络对象或组中。

从任一页面删除网络对象或组都会从两个页面中删除该对象或组。


Procedure

Step 1

在左侧的 CDO 导航栏中,选择对象 (Objects)并选择一个选项。

Step 2

使用对象过滤器和搜索字段找到要删除的对象,然后将其选中。

Step 3

查看关系窗格。如果在策略或对象组中使用了对象,则在将其从该策略或组中删除之前,无法删除该对象。

Step 4

点击“操作”(Actions) 窗格中,点击编辑图标

Step 5

点击确定,确认要删除对象。

Step 6

查看并部署您所做的更改,或等待并一次部署多个更改。


删除一组未使用的对象

当您载入设备并开始解决对象问题时,您会发现许多未使用的对象。一次最多可以删除 50 个未使用的对象。

过程

步骤 1

使用问题过滤器查找未使用的对象。您还可以使用设备过滤器通过选择无设备来查找未与设备关联的对象。过滤对象列表后,系统将显示对象复选框。

步骤 2

选中对象表标题中的全选复选框,以选择过滤器找到的显示在对象表中的所有对象;或者,选中要删除的各个对象的各个复选框。

步骤 3

点击“操作”(Actions) 窗格中,点击编辑图标

步骤 4

立即查看并部署您所做的更改,或等待并一次部署多个更改。


网络对象

网络对象 可以包含主机、网络 IP 地址、IP 地址范围、完全限定域名 (FQDN)或用 CIDR 符号表示的子网 。网络组是添加到组中的网络对象和其他单个地址或子网络的集合。网络对象和网络组用于访问规则、网络策略和 NAT 规则。您可以使用 CDO 创建、更新和删除网络对象和网络组。

跨产品重用网络对象

如果您的 思科防御协调器 租户具有云交付的防火墙管理中心

在创建 Secure Firewall Threat DefenseFDM 管理 威胁防御、ASA 或 Meraki 网络对象或组时,对象的副本也会被添加到在配置 云交付的防火墙管理中心 时使用的对象 (Objects) > 其他 FTD 对象 (Other FTD Objects) 页面上的对象列表中。

对任一页面上的网络对象或组所做的更改适用于两个页面上的对象或组实例。从一个页面删除对象也会从另一个页面删除该对象的相应副本。

例外情况

  • 如果 云交付的防火墙管理中心 已存在同名的网络对象,则不会在 思科防御协调器对象 (Objects) > 其他 FTD 对象 (Other FTD Objects) 页面上复制新的 Secure Firewall Threat DefenseFDM 管理 威胁防御、ASA 或 Meraki 网络对象

  • 由本地 Cisco Secure Firewall Management Center 管理的载入 威胁防御 设备中的网络对象和组不会复制到对象 (Objects) > 其他 FTD 对象 (Other FTD Objects) 页面,因此无法在 云交付的防火墙管理中心 中使用。

    请注意,对于已迁移云交付的防火墙管理中心 的本地 Cisco Secure Firewall Management Center 实例,如果在部署到 FTD 设备的策略中使用网络对象和组,它们将复制到 CDO 对象页面。

  • 新租户上会自动启用在 CDO 和 云交付的防火墙管理中心 之间共享网络对象,但现有租户必须另行请求。如果您的网络对象未与 云交付的防火墙管理中心 共享,请联系 TAC 以在您的租户上启用这些功能。

查看网络对象

使用 CDO 创建的网络对象以及已载入的设备配置中的 CDO 识别的网络对象会显示在对象页面上。它们标有对象类型。这使您可以按对象类型进行过滤,以快速找到要查找的对象。

在“对象”(Objects) 页面上选择网络对象时,您可在“详细信息”(Details) 窗格中看到该对象的值。“关系”(Relationships) 窗格显示对象是否用于策略中,以及对象存储在什么设备上。

在点击网络组时,您会看到该组的内容。网络组是网络对象为其提供的所有值的综合体。

AWS 安全组和云安全组对象

AWS 安全组和云安全组对象之间的关系

Amazon Web 服务 (AWS) 控制台中的安全组是充当安全组中包含的实例和其他实体的虚拟防火墙的规则集合。安全组可以与其他安全组、端口、端口范围、IPV4 或 IPV6 地址、子网和负载均衡器关联。

在将 AWS VPC 载入 CDO 时,AWS 安全组将转换为 CDO 云安全组对象。AWS 控制台不支持包含多个源、目标或端口/端口范围的规则。如果您在 CDO 和部署中的单个规则中定义了多个源、目标或端口/端口范围,则 CDO 会在将它们部署到 AWS VPC 之前将其转换为单独的规则。例如,如果您在 CDO 中创建允许从一个安全组“A”到另一个安全组“B”的流量的出站规则,则 CDO 会将此作为两个单独的规则部署到 AWS:(1) 以允许出站从安全组对象 A 到安全组对象 B 的流量,以及 (2) 允许从安全组对象 A 到 IPv6 地址的出站流量。

请注意,安全组与各个 AWS VPC 关联,并且不能跨设备类型共享。这意味着您无法与 ASA、FTD、IOS、SSH 或 Meraki 设备共享云安全组对象。

在 AWS 和其他受管设备之间共享对象

服务对象

协议对象

协议对象是一种包含不太常用或传统协议的服务对象。协议对象由名称和协议编号来标识。CDO 可识别 ASA 和 Firepower(FDM 管理 设备)配置中的这些对象,并为其提供自己的“协议”过滤器,以便您可以轻松找到它们。

ICMP 对象

互联网控制消息协议 (ICMP) 对象是专门用于 ICMP 和 IPv6-ICMP 消息的服务对象。当 ASA 和 Firepower 配置中的这些设备已载入时,CDO 会识别这些对象,并且 CDO 会为其提供自己的“ICMP”过滤器,以便您轻松找到这些对象。

使用 CDO,您可以从 ASA 配置中重命名或删除 ICMP 对象。您可以使用 CDO 在 Firepower 配置中创建、更新和删除 ICMP 和 ICMPv6 对象。


Note


对于 ICMPv6 协议,AWS 不支持选择特定参数。仅支持允许所有 ICMPv6 消息的规则。