此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章介绍将 threat defense virtual 部署到 Nutanix 环境的程序。
Cisco Cisco Secure Firewall Threat Defense Virtual (之前称为 Firepower Threat Defense Virtual)将 Cisco Secure Firewall 功能带到虚拟环境,支持采用一致的安全策略来跟踪物理、虚拟和云环境以及云之间的工作负载。
本章介绍了具有 AHV 虚拟机管理程序的 Nutanix 环境中的 threat defense virtual 功能,包括功能支持、系统要求、指南和限制。 本章还介绍了管理 threat defense virtual 的选项。
在开始部署之前,了解您的管理选项非常重要。您可以使用 Cisco Secure Firewall Management Center 来管理和监控 threat defense virtual。(之前称为 Firepower 管理中心)
Nutanix 企业云平台是一个融合的外向扩展计算和存储系统,用于托管和存储虚拟机。您可以运行多个虚拟机,这些虚拟机使用 Nutanix AHV 来运行未修改的 threat defense virtual OS 映像。每个虚拟机都有专用的虚拟化硬件:网卡、磁盘、图形适配器等等。
以下流程图说明了在使用 Day-0 配置文件的 Nutanix 平台上部署 Threat Defense Virtual 的工作流程。
|
工作空间 |
步骤 |
|
|---|---|---|
|
|
Linux 主机 |
在 Nutanix 上部署 Threat Defense Virtual:下载并保存 Threat Defense Virtual qcow2 文件。 |
|
|
Linux 主机 |
在 Nutanix 上部署 Threat Defense Virtual:将 qcow2 文件上传到 Nutanix 环境。 |
|
|
Nutanix Prism Web 控制台 |
在 Nutanix 上部署 Threat Defense Virtual:准备 Day-0 配置文件(。 |
|
|
Nutanix Prism Web 控制台 |
在 Nutanix 上部署 Threat Defense Virtual:在 Nutanix 上部署 Threat Defense Virtual。 |
|
|
管理中心 |
管理 Threat Defense Virtual: |
以下流程图说明了在没有 Day-0 配置文件的情况下在 Nutanix 平台上部署 Threat Defense Virtual 的工作流程。
|
工作空间 |
步骤 |
|
|---|---|---|
|
|
Linux 主机 |
在 Nutanix 上部署 Threat Defense Virtual:下载并保存 Threat Defense Virtual qcow2 文件。 |
|
|
Nutanix Prism Web 控制台 |
在 Nutanix 上部署 Threat Defense Virtual:将 qcow2 文件上传到 Nutanix 环境。 |
|
|
Nutanix Prism Web 控制台 |
在 Nutanix 上部署 Threat Defense Virtual:在 Nutanix 上部署 Threat Defense Virtual。 |
|
|
管理中心 |
管理 Threat Defense Virtual: |
| 管理器版本 | 设备版本 |
|---|---|
| 管理中心 7.0 | 威胁防御 7.0 |
有关 threat defense virtual 支持的虚拟机管理程序的最新信息,请参阅《Cisco Secure Firewall Threat Defense 兼容性指南》。
根据所需部署的实例数量和使用要求,threat defense virtual部署所使用的具体硬件可能会有所不同。每个 threat defense virtual 实例都需要服务器保证最小的资源配置,这包括内存数量、CPU 数和磁盘空间。
|
设置 |
值 |
||
|---|---|---|---|
|
性能级别 |
7.0 及更高版本 threat defense virtual 支持性能级许可,该级别许可可基于部署要求提供不同的吞吐量级别和 VPN 连接限制。
请参阅Cisco Secure Firewall Management Center 配置 中的“许可系统”一章,了解在许可 threat defense virtual 设备时的准则。
|
||
|
存储 |
50 GB(可调整)
|
 注 |
threat defense virtual 的最小网络数量是 4 个数据接口(管理、诊断、外部和内部)。 |
所有安全服务的许可证授权均在 管理中心中配置。
有关如何管理许可证的更多信息,请参阅《Cisco Secure firewall Management Center 配置指南》中的系统许可。
| 组件 | 版本 |
|---|---|
| Nutanix Acropolis操作系统 (AOS) |
5.15.5 LTS 及更高版本 |
|
Nutanix 集群检查 (NCC) |
4.0.0.1 |
|
Nutanix AHV |
20201105.12 及更高版本 |
|
Nutanix Prism Web 控制台 |
- |
部署模式 - 路由(独立)、路由 (HA)、内联分流、内联、被动和透明
许可 - 仅 BYOL
IPv6
Threat Defense Virtual 本地 HA
巨型帧
VirtIO
为实现 threat defense virtual的最佳性能,您可以对 VM 和主机进行调整。有关详细信息,请参阅 Nutanix 上的虚拟化调整和优化。
接收端扩展 - threat defense virtual 支持接收端扩展 (RSS),网络适配器利用这项技术将网络接收流量分发给多个处理器内核。在 7.0 及更高版本上受支持。有关详细信息,请参阅用于接收端扩展 (RSS) 的多个 RX 队列。
如果您观察到异常行为,例如 Snort 需要很长时间才能关闭,或者 VM 通常缓慢,或者在执行某个进程时,请从 threat defense virtual 和 VM 主机收集日志。收集总体 CPU 使用情况、内存、I/O 使用情况和读/写速度日志将有助于对问题进行故障排除。
当 Snort 关闭时,观察到高 CPU 和 I/O 使用率。如果在内存不足且没有专用 CPU 的单个主机上创建了大量 threat defense virtual 实例,则 Snort 将需要很长时间才能关闭,这将导致创建 Snort 核心。
Nutanix AHV 上的 Threat Defense Virtual 不支持接口热插拔。请勿在 threat defense virtual 通电时尝试添加/删除接口。
Nutanix AHV 不支持 SR-IOV 或 DPDK-OVS。
注 |
Nutanix AHV 使用 VirtIO 支持访客内 DPDK。有关详细信息,请参阅 AHV 上的 DPDK 支持。 |
需要两个管理接口和两个数据接口来启动。支持共计 11 个接口
注 |
|
threat defense virtual 的默认配置假设您将管理接口(管理和诊断)和内部接口置于同一子网,并且管理地址使用内部地址作为访问互联网的网关(经过外部接口)。
threat defense virtual 首次启动时,必须启用至少四个接口。您的系统必须要有四个接口才能部署。
threat defense virtual 支持共计 11 个接口 - 1 个管理接口、1 个诊断接口,以及最多 9 个用于数据流量的网络接口。接口到网络分配必须遵循以下顺序:
管理接口(必需)
诊断接口(必需)
外部接口(必需)
内部接口(必需)
5-11 数据接口(可选)
注 |
threat defense virtual 的最小网络数量是 4 个数据接口。 |
对于控制台访问,通过 telnet 支持终端服务器。
以下是支持的 vCPU 和内存参数:
|
CPU |
内存 |
Threat Defense Virtual 平台规模 |
|---|---|---|
|
4 |
8 GB |
4vCPU/8GB(默认) |
|
8 |
16 GB |
8vCPU/16GB |
|
12 |
24 GB |
12vCPU/24GB |
|
16 |
32 GB |
16vCPU/32GB |
请查看 threat defense virtual 接口的以下网络适配器、源网络和目标网络的对应关系:
|
网络适配器 |
源网络 |
目标网络 |
功能 |
|---|---|---|---|
|
vnic0* |
Management0-0 |
Management0/0 |
管理 |
|
vnic1 |
诊断 |
诊断 |
诊断 |
|
vnic2* |
GigabitEthernet0-0 |
GigabitEthernet0/0 |
外部 |
|
vnic3* |
GigabitEthernet0-1 |
GigabitEthernet0/1 |
内部 |
|
*连接到同一子网。 |
|||
您可以使用以下方法管理您的 Cisco Secure Firewall Threat Defense Virtual 设备:
如果要管理大量设备或要使用 威胁防御 支持的更复杂的功能和配置,请使用 管理中心 来配置您的设备。
从 Cisco.com 下载 Threat Defense Virtual qcow2 文件:https://software.cisco.com/download/navigator.html
注 |
需要 Cisco.com 登录信息和思科服务合同。 |
查看概述一章。
有关 Nutanix 和系统兼容性,请参阅《Cisco Secure Firewall Threat Defense 兼容性指南》 。
|
步骤 |
任务 |
更多信息 |
|---|---|---|
|
1 |
查看先决条件。 | 在 Nutanix 上部署的前提条件 |
|
2 |
将 threat defense virtual qcow2 文件上传到 Nutanix 环境。 | 将 Threat Defense Virtual QCOW2 文件上传到 Nutanix |
|
3 |
(可选)准备一个 Day 0 配置文件,其中包含了在部署虚拟机时需要应用的初始配置数据。 | 准备 Day 0 配置文件 |
|
4 |
将 threat defense virtual 部署到 Nutanix 环境。 |
|
|
5 |
(可选)如果未使用 Day 0 配置文件来设置 threat defense virtual,请通过登录 CLI 来完成设置。 |
要将 threat defense virtual 部署到 Nutanix 环境,则必须在 Prism Web 控制台中从 threat defense virtual qcow2 磁盘文件创建映像。
从 Cisco.com 下载 threat defense virtual qcow2 磁盘文件:https://software.cisco.com/download/navigator.html
|
步骤 1 |
登录到 Nutanix Prism Web 控制台。 |
|
步骤 2 |
打击齿轮图标打开设置 (Settings) 页面。 |
|
步骤 3 |
点击左侧窗格中的映像配置 (Image Configuration)。 |
|
步骤 4 |
点击上传映像 (Upload Image)。 |
|
步骤 5 |
创建映像。
|
|
步骤 6 |
请等待,直到新映像出现在映像配置 (Image Configuration) 页面中。 |
在部署 threat defense virtual 之前,您可以准备一个 Day 0 配置文件。此文件是一个文本文件,其中包含了在部署虚拟机时需要应用的初始配置数据。
请记住:
如果使用 Day 0 配置文件进行部署,该过程将允许您执行 threat defense virtual 设备的整个初始设置。
如果您在没有 Day 0 配置文件的情况下进行部署,则必须在启动后配置系统所需的设置;有关更多信息,请参阅完成 Threat Defense Virtual 设置。
可以指定:
接受《最终用户许可协议》(EULA)。
系统的主机名。
管理员账户的新管理员密码。
初始防火墙模式;设置初始防火墙模式:已路由或透明。
如果您打算使用本地 设备管理器 管理部署,可以仅为防火墙模式输入已路由。不能使用 设备管理器 配置透明防火墙模式接口。
管理模式;请参阅如何管理 Cisco Secure Firewall Threat Defense Virtual 设备。
输入 管理中心 字段(FmcIp、FmcRegKey 和 FmcNatId)的信息。
使设备可以在管理网络上进行通信的网络设置。
|
步骤 1 |
使用您选择的文本编辑器来创建一个新的文本文件。 |
||
|
步骤 2 |
在文本文件中输入配置详细信息,如下例所示: 示例:
|
||
|
步骤 3 |
将文件另存为“day0-config.txt”。 |
||
|
步骤 4 |
为每个要部署的 threat defense virtual 重复步骤 1-3 以创建唯一的默认配置文件。 |
确保您计划部署的 threat defense virtual 的映像显示在映像配置 (Image Configuration) 页面上。
|
步骤 1 |
登录到 Nutanix Prism Web 控制台。 |
||
|
步骤 2 |
从主菜单栏中,点击视图下拉列表,然后选择 VM。  |
||
|
步骤 3 |
在 VM 控制面板上,点击创建 VM (Create VM)。 |
||
|
步骤 4 |
执行以下操作:
|
||
|
步骤 5 |
输入计算详细信息。
|
||
|
步骤 6 |
将磁盘连接到 threat defense virtual 实例。
|
||
|
步骤 7 |
配置至少四个虚拟网络接口。 在网络适配器 (NIC) (Network Adapters [NIC]) 下,点击添加新 NIC (Add New NIC),选择网络,然后点击添加 (Add)。 重复此过程以便添加更多网络接口。 Nutanix 上的 threat defense virtual 支持共计 11 个接口 - 一个管理接口、一个诊断接口,以及最多九个用于数据流量的网络接口。接口到网络分配必须遵循以下顺序:
|
||
|
步骤 8 |
配置 threat defense virtual 的关联策略。 在 VM 主机关联 (VM Host Affinity) 下,点击设置关联 (Set Affinity),选择主机,然后点击保存 (Save)。 选择多个主机以确保即使节点出现故障也可运行 threat defense virtual。 |
||
|
步骤 9 |
如果您已准备了 Day 0 配置文件,请执行以下操作:
|
||
|
步骤 10 |
点击保存 (Save) 以部署 threat defense virtual。threat defense virtual 实例会显示在 VM 表格视图中。 |
||
|
步骤 11 |
在 VM 表格视图中,选择新创建的 threat defense virtual 实例,然后点击打开电源 (Power On)。 |
如果您使用 Day 0 配置文件来设置 threat defense virtual,则后续步骤取决于您选择的管理模式。
如果为本地管理 (ManageLocally)选择否 (No),您将使用 管理中心 管理 threat defense virtual;请参阅使用 Cisco Secure Firewall Management Center 来管理 Cisco Secure Firewall Threat Defense Virtual。
如果未使用 Day 0 配置文件来设置 threat defense virtual,请通过登录 CLI 来完成 threat defense virtual 设置。有关说明,请参阅完成 Threat Defense Virtual 设置。
由于 threat defense virtual 设备没有 Web 界面,如果您在没有 Day 0 配置文件的情况下进行部署,必须使用 CLI 来设置虚拟设备。
|
步骤 1 |
打开 threat defense virtual的控制台。 |
|
步骤 2 |
在 firepower login 提示符下,使用默认凭据(username admin,password Admin123)登录。 |
|
步骤 3 |
当 threat defense virtual 系统启动时,安装向导会提示您执行以下操作,并输入配置系统所需的下列信息:
|
|
步骤 4 |
检查设置向导的设置。默认值或以前输入的值会显示在括号中。要接受之前输入的值,请按 Enter 键。 |
|
步骤 5 |
根据提示完成系统配置。 |
|
步骤 6 |
当控制台返回到 # 提示符时,验证设置是否成功。 |
|
步骤 7 |
关闭 CLI。 |
接下来的步骤取决于您选择的管理模式。
如果为启用本地管理器 (Enable Local Manager) 选择否 (No),您将使用 管理中心 管理 threat defense virtual;请参阅使用 Cisco Secure Firewall Management Center 来管理 Cisco Secure Firewall Threat Defense Virtual。
有关如何选择管理选项的概述,请参阅如何管理 Cisco Secure Firewall Threat Defense Virtual 设备。
反馈