在阿里云上部署 Threat Defense Virtual

概述

阿里云是一种公共云环境。Threat Defense Virtual 可在阿里云环境中作为访客运行。

Alibaba 支持的实例类型

Alibaba 上的 Threat Defense Virtual 可以使用以下实例类型:

网络增强机器类型

配置

vCPU 数量

内存 (GB)

支持的最大接口数

ecs.g5ne.xlarge

4

16

4

ecs.g5ne.2xlarge

8

32

6

ecs.g5ne.4xlarge

16

64

8

Note

Threat Defense Virtual 至少需要四个接口 (ENI) 来支持实例。


Note

我们不支持调整实例类型的大小和部署 Threat Defense Virtual。您只能使用全新的部署来部署具有不同实例大小的 Threat Defense Virtual

网络要求

  • 您可以创建一个具有四个 Vswitch(子网)的 VPC,以支持基本Threat Defense Virtual

  • 管理 Vswitch 必须可用于部署实例的同一区域中,否则必须创建实例。

相关文档

有关实例类型及其配置的更多信息,请参阅阿里云

端到端程序

请参阅以下任务以在您的 Alibaba 上部署 Threat Defense Virtual

工作空间

步骤

Alibaba 控制台

https://marketplace.alibabacloud.com/。在Alibaba 控制台中创建用户账户。

Alibaba VPC 控制面板

创建 VPC:创建并配置您的 Alibaba 账户专用的 VPC。

Alibaba VPC 控制面板

添加互联网网关:添加互联网网关以控制 VPC 与互联网的连接。

Alibaba VPC 控制面板

添加 vSwitch:将 VSwitch(子网)添加到 VPC。

Alibaba VPC 控制面板

添加路由表:将路由表连接到为 VPC 配置的网关。

Alibaba ECS 控制面板

创建安全组:创建安全组,并在安全组中通过规则指定允许的协议、端口和源 IP 地址范围。

Alibaba ECS 控制面板

创建网络接口:使用静态 IP 地址为 Threat Defense Virtual 创建网络接口。

Alibaba ECS 控制面板

创建弹性 IP 地址:弹性 IP 是预留公共 IP,用于远程访问 Threat Defense Virtual 以及其他实例。

管理中心或设备管理器

部署 Threat Defense Virtual:从 Alibaba 门户部署 Threat Defense Virtual。

管理中心

管理 Threat Defense Virtual:

前提条件

  • Alibaba 账户。您可以在 https://www.alibaba.com/ 创建一个。

  • 需要 SSH 客户端(例如,Windows 上的 PuTTY 或 Macintosh 上的终端)才能访问 Threat Defense Virtual 控制台。

  • 思科智能账户。您可以在 Cisco 软件中心 https://software.cisco.com/ 创建一个。

  • 许可 Threat Defense Virtual

    • 所有安全服务的许可证授权均在 Management Center Virtual中配置。

    • 有关如何管理许可证的详细信息,请参阅《Cisco Secure Firewall Management Center 配置指南》中的“许可 Cisco Secure Firewall 系统”。

  • Threat Defense Virtual 接口要求:

    • 管理接口 (1) - 用于将 Threat Defense Virtual 连接到 Management Center Virtual

    • 第二个接口用于诊断;不能用于直通流量。

      在 6.7 和更高版本中,可以选择为 FMC 管理配置数据接口,而非管理接口。管理接口是数据接口管理的前提条件,因此您仍需要在初始设置中对其进行配置。在高可用性部署中,不支持从数据接口进行 FMC 访问。

      有关为 FMC 访问配置数据接口的详细信息,请参阅 FTD 命令参考中的 configure network management-data-interface 命令。

    • 流量接口 (2) - 用于将 Threat Defense Virtual 连接到内部主机和公共网络。

  • 通信路径:

    • 用于访问 Threat Defense Virtual的公共和弹性 IP。

支持的软件平台

The Threat Defense Virtual Auto Scale解决方案与软件版本无关,适用于管理中心托管的 threat defense virtual 设备。有关思科软件和硬件兼容性的信息,包括操作系统和托管环境要求,请参阅《Cisco Secure Firewall Threat Defense 兼容性指南》

准则和限制

支持的功能

  • 基本产品调配

  • Day 0 配置

  • 使用公钥或密码的 SSH。

  • Alibaba UI 控制台,用于访问 Threat Defense Virtual 以进行任何调试。

  • Alibaba UI UI 停止/重启

  • 支持的实例类型:ecs.g5ne.xlarge、ecs.g5ne.2xlarge 和 ecs.g5ne.4xlarge。

  • 超线程

  • 自带许可证 (BYOL) 许可证支持。

Threat Defense Virtual 智能许可的性能层

支持性能级许可,该级别许可可基于部署要求提供不同的吞吐量级别和 VPN 连接限制。

Table 1. 基于授权的许可功能限制

性能层

设备规格(核心/RAM)

速率限制

RA VPN 会话限制

FTDv5,100Mbps

4 核/8 GB

100Mbps

50

FTDv10,1Gbps

4 核/8 GB

1Gbps

250

FTDv20,3Gbps

4 核/8 GB

3 Gbps

250

FTDv30,5Gbps

8 核/16 GB

5Gbps

250

FTDv50,10Gbps

12 核/24 GB

10Gbps

750

FTDv,16Gbps

16 核/34 GB

16Gbps

10,000

  • 使用 Cisco 智能许可证帐户的 BYOL(自带许可证)

有关许可 Threat Defense Virtual 设备时的准则,请参阅 Threat Defense Virtual 管理中心配置中的“许可 Threat Defense Virtual 系统”一章。

性能优化

为实现 Threat Defense Virtual的最佳性能,您可以对 VM 和主机进行调整。有关详细信息,请参阅阿里云上的虚拟化调整和优化

接收端扩展 - Threat Defense Virtual 支持接收端扩展 (RSS),网络适配器利用这项技术将网络接收流量分发给多个处理器内核。在 7.0 及更高版本上受支持。有关详细信息,请参阅用于接收端扩展 (RSS) 的多个 RX 队列

不支持的功能

  • FDM

  • 高可用性功能

  • Autoscale

  • IPv6

  • SR-IOV

限制

  • 版本 7.2 不支持透明、内联和被动模式。

  • Alibaba 中不支持东西流量。

  • 不支持巨型帧,因为它仅限于 Alibaba 提供的几种实例类型。有关更多信息,请参阅阿里云


Note
Threat Defense Virtual 必须有四个接口才能启动。

许可

  • 支持使用 Cisco 智能许可证帐户的 BYOL(自带许可证)。

配置策略和设备设置

在安装 Threat Defense Virtual 并将设备添加到 Management Center Virtual 后,您可以使用 Management Center Virtual 用户界面为在 Alibaba 上运行的 Threat Defense Virtual 配置设备管理设置。您可以使用 Threat Defense Virtual 实例配置和应用访问控制策略和其他相关策略来管理流量。

安全策略可对 Threat Defense Virtual提供的服务进行控制(例如下一代 IPS 过滤和应用过滤)。您可以使用 Management Center Virtual配置 Threat Defense Virtual上的安全策略。有关如何配置安全策略的详细信息,请参阅《Cisco Secure Firewall 配置指南》或 Management Center Virtual 中的在线帮助。

创建 VPC

虚拟私有云 (VPC) 是 Alibaba 账户专用的虚拟网络。该网络逻辑上与阿里云中的其他虚拟网络相隔离。您可以将 Management Center Virtual 和 Threat Defense Virtual 实例等阿里云资源启动到 VPC 中。您可以配置 VPC,选择其 IP 地址范围,创建 VSwitch(子网),并配置路由表、网络网关和安全设置。

Procedure

Step 1

登录 https://www.alibabacloud.com 并选择您所在的区域。

阿里云会被划分为彼此隔离的多个区域。区域显示在屏幕的右上角。一个区域中的资源不会出现在另一个区域中。请定期检查以确保您在预期的区域内。

Step 2

点击产品 (Products) > VPC

Step 3

点击VPC 控制面板 (VPC Dashboard) > 您的 VPC (Your VPCs)

Step 4

点击创建 VPC (Create VPC)

Step 5

创建 VPC对话框中输入以下信息:

  1. 用于标识 VPC 的用户自定义名称标签

  2. IP 地址的 IPv4 CIDR 块。CIDR(无类别域间路由) 是 IP 地址及其关联路由前缀的紧凑表示。例如,10.0.0.0/24。

  3. IPv4 CIDR 块 (IPv4 CIDR block) 中选择阿里云提供的 IPv4 CIDR 块 (Alibaba Cloud-provided IPv4 CIDR block),以在虚拟私有云中启用 IPv4。

  4. 默认的租户设置,以确保在此 VPC 中启动的实例启动时使用指定的租户属性。

Step 6

点击确定 (OK) 以创建 VPC。

What to do next

添加互联网网关到 VPC 中,详见下一部分。

添加互联网网关

您可以添加互联网网关(NAT 网关)以控制 VPC 与互联网的连接。您可以将 VPC 之外的 IP 地址流量路由至互联网网关。

准备工作

  • 为 Threat Defense Virtual 实例创建 VPC。

Procedure

Step 1

点击产品 (Products) > VPC

Step 2

点击VPC 控制面板 (VPC Dashboard) > 互联网网关 (Internet Gateways),然后点击创建互联网网关 (Create Internet Gateway)

Step 3

输入用户自定义的名称标签以标识网关,然后点击确定 (OK) 以创建网关。

Step 4

选择上一步中创建的网关。

Step 5

点击绑定到 VPC (Bind to VPC) 并选择之前创建的 VPC。

Step 6

点击确定 (OK) 以将网关绑定到您的 VPC。

默认情况下,在创建 NAT 网关并将其绑定到 VPC 之前,在 VPC 中启动的实例无法与互联网通信。

What to do next

添加 VSwitch(子网)到 VPC 中,详见下一部分。

添加 vSwitch

您可以对 Threat Defense Virtual 实例可连接的 VPC IP 地址范围进行分段。您可以根据安全和运营需要创建 vSwitch(子网),以实现实例的分组。对于 Threat Defense Virtual,您需要创建一个用于管理的 vSwitch 和用于流量的 VSwitch。

准备工作

  • 为 Threat Defense Virtual 实例创建四个 VPC。如创建 VPC 部分中所述。

  • 为每个 VPC 添加一个 vSwitch(子网)。

Procedure

Step 1

点击产品 (Products) > VPC

Step 2

点击 VPC 控制面板 (VPC Dashboard) > VSwitches,然后点击点击 vSwitch (Click vSwitch)

Step 3

创建 vSwitch (Create vSwitch) 对话框中输入以下信息:

  1. 用于标识 vSwitch 的用户自定义名称标签

  2. 用于此 vSwitch 的 VPC

  3. 此 vSwitch 将驻留的区域。选择无首选项 (No Preference),由阿里云来选择区域。

  4. IP 地址 (IPv4) CIDR 块。vSwitch 中的 IP 地址范围必须为 VPC 的 IP 地址范围的子集。地址块大小必须介于网络掩码 /16 和 /28 之间。vSwitch 大小可以与 VPC 相等。

Step 4

点击确定 (OK) 以创建 vSwitch。

Step 5

如需多个 vSwitch,重复以上步骤。为管理流量创建单独的 vSwitch,根据需要为数据流量创建多个 vSwitch。

What to do next

添加路由表到 VPC 中,详见下一部分。

添加路由表

您可以将路由表连接到为 VPC 配置的网关。您还可以关联多个子网与单个路由表,但子网一次只可以关联一个路由表。

Procedure

Step 1

点击产品 (Products) > VPC

Step 2

点击VPC 控制面板 (VPC Dashboard) > 路由表 (Route Tables),然后点击创建路由 (Create Route)

Step 3

输入用于标识路由表的用户自定义名称标签

Step 4

从下拉列表中选择将使用此路由表的 VPC

Step 5

点击确定 (OK)以创建路由表。

Step 6

选择创建的路由表。

Step 7

点击路由 (Routes) 选项卡,以在详细信息窗格中显示路由信息。

Step 8

点击编辑 (Edit),然后点击添加其他路由 (Add another route)

  1. 目标 (Destination) 列中,为所有 IPv4 流量输入 0.0.0.0/0

  2. 目标列中,选择您的网关。

Step 9

点击保存

What to do next

创建安全组,详见下一部分。

创建安全组

您可以创建安全组,并在安全组中通过规则指定允许的协议、端口和源 IP 地址范围。可以创建具有不同规则的多个安全组;可以将这些规则分配给每个实例。

Procedure

Step 1

点击产品 (Products) > ECS

Step 2

点击ECS 控制面板 (ECS Dashboard) > 安全组 (Security Groups)

Step 3

点击创建安全组

Step 4

创建安全组对话框中输入以下信息:

  1. 用于标识安全组的用户自定义安全组名称

  2. 此安全组的说明

  3. 与此安全组关联的 VPC

Step 5

配置安全组规则

  1. 点击入站规则 (Inbound Rules) 选项卡,然后点击添加规则 (Add Rule)

    Note

     

    要从 Alibaba 外部管理 Management Center Virtual,需要 HTTPS 和 SSH 访问。您应指定相应的源 IP 地址。此外,如果在 Alibaba VPC 内同时配置 Management Center Virtual 和 Threat Defense Virtual,则应允许专用 IP 管理子网访问。

  2. 点击出站规则 (Outbound Rules) 选项卡,然后点击添加规则 (Add Rule) 以添加出站流量规则,或保留所有流量 (All traffic)(作为类型 (Type))和任意位置 (Anywhere)(作为目标 (Destination)) 的默认设置。

Step 6

点击创建以创建安全组。

What to do next

创建网络接口,详见下一部分。

创建网络接口

您可以使用静态 IP 地址 (IPv4) 或 DHCP 为 Threat Defense Virtual 创建网络接口。根据具体部署需要,创建网络接口(外部和内部)。

Procedure

Step 1

点击服务 (Services) > 弹性网络接口 (Elastic Network Interface)

Step 2

点击网络接口 (Network Interfaces)

Step 3

点击创建网络接口 (Yes, Create)

Step 4

创建网络接口对话框中输入以下信息:

  1. 网络接口的用户自定义说明(可选)。

  2. 从下拉列表中选择一个 vSwitch。确保选择要创建 Threat Defense Virtual 实例的 VPC 的 vSwitch。

  3. 输入专用 IP 地址。您可以使用静态 IP 地址 (IPv4) 或自动生成 (DHCP)。

  4. 选择一个或多个安全组。确保安全组已打开所有必需的端口。

Step 5

点击创建网络接口 (Create network interface) 以创建网络接口。

Step 6

选择刚创建的网络接口。

Step 7

右键点击并选择修改源/目的地址检查

Step 8

取消选中源/目标 (Source/destination check) 复选框下的启用 (Enable) 复选框,然后点击保存 (Save)

What to do next

创建弹性 IP 地址,详见下一部分。

创建弹性 IP 地址

创建实例时,实例会关联一个公共 IP 地址。停止和启动实例时,该公共 IP 地址 (IPv4) 会自动更改。要解决此问题,可使用弹性 IP 地址为实例分配一个永久性的公共 IP 地址。弹性 IP 地址是一个保留的公共 IP 地址,用于远程访问 Threat Defense Virtual 和其他实例。

Procedure

Step 1

点击产品 (Products) > 弹性计算服务 (Elastic Compute Service)

Step 2

弹性计算服务 (Elastic Compute Service) 控制面板中,点击左侧菜单中的弹性 IP (Elastic IP)

Step 3

点击分配弹性 IP 地址 (Allocate Elastic IP Address)

Step 4

配置 EIP 设置:

  1. 选择要分配 EIP 的区域

  2. 为 EIP 选择所需的带宽计划。例如,BYOL 或订用。

  3. 指定所需的带宽量。

  4. 查看您的选择,然后点击确定 (OK) 以分配 EIP。

Step 5

将 EIP 与实例关联:

  1. 分配 EIP 后,转至弹性计算服务 (Elastic Compute Service) 控制面板中的弹性 IP (Elastic IP) 部分。

  2. 找到您创建的 EIP,然后点击关联 (Associate)

  3. 选择要与 EIP 关联的 ECS 实例,然后点击确定 (OK)

Step 6

确保 EIP 现在列在关联的 ECS 实例下,并验证其连接性。

What to do next

部署 Threat Defense Virtual,详见下一部分。

配置 Alibaba 环境

要在 Alibaba 部署 Threat Defense Virtual,需要根据部署的特定要求和设置来配置 Alibaba VPC。在大多数情况下,设置向导将引导您完成设置过程。Alibaba 提供在线文档,其中您可以找到与服务(从简介到高级功能)相关的有用信息。有关更多信息,请参阅阿里云文档

Threat Defense Virtual 部署需要四个网络虚拟私有云 (VPC),您必须在部署 Threat Defense Virtual之前创建这些网络。

这四个网络 VPC 包括:

  • 管理子网的管理 VPC。

  • 诊断子网的诊断 VPC。

  • 内部子网的内部 VPC。

  • 外部子网的外部 VPC。

为更好地控制 Alibaba 设置,以下部分提供有关在启动 Threat Defense Virtual 实例之前如何配置 VPC 和 EC2 的指南:

准备工作

  • 创建您的阿里云账户。

部署 Threat Defense Virtual

Procedure

Step 1

转到 https://marketplace.alibabacloud.com/ 并搜索 Cisco Firepower NGFW Virtual (NGFWv) - BYOL 产品以部署 Threat Defense Virtual

Note

 

Alibaba 会被划分为彼此隔离的多个区域。区域显示在窗口的右上角。一个区域中的资源不会出现在另一个区域中。请定期检查以确保您在预期的区域内。

Step 2

点击产品链接以打开 Cisco Firepower NGFW Virtual (NGFWv) - BYOL 页面。

Step 3

点击选择您的计划 (Choose Your Plan)。您将被重定向到弹性计算服务 (Elastic Compute Service) 页面。

Step 4

自定义启动 (Custom Launch) 部分中输入以下详细信息:

  • 计费方法 (Billing Method):根据要求。

    Note

     

    计费方式适用于阿里云上的基础设施,您可以根据需要选择。

  • 区域 (Region):根据要求。

  • 网络和区域 (Network and Zone):从下拉列表中选择 VPC 和您之前创建的管理 vSwitch,或者使用创建 VPC (Create VPC)创建 vSwitch (Create vSwitch) 链接重新创建。

Step 5

移至实例和映像 (Instances and Images) 页面。

所有实例类型 (All Instance Types) 部分下,执行以下操作:

  • 实例 (Instance):选择以下任何受支持的实例类型 - ecs.g5ne.xlargeecs.g5ne.2xlargeecs.g5ne.4xlarge

  • 映像 (Image):最新的 Threat Defense Virtual 市场版本显示在市场映像 REC 部分中。

    1. 点击重新选择映像 (Reselect Image)。系统将显示“阿里云市场映像”对话框,其中包含您正在部署的 Threat Defense Virtual 映像详细信息。

    2. 从下拉列表中选择 Threat Defense Virtual 设备并点击选择 (Select)

Step 6

转到存储 (Storage) 部分。保留默认值并继续。

Step 7

转到带宽和安全组 (Bandwidth and Security Groups) 部分并执行以下操作:

  • ENI

    • 安全组 (Security Group):选择适当的安全组。

    • 主 ENI (Primary ENI):输入在网络和区域 (Network and Zone) 字段中选择的主接口,即管理 vSwitch。

    • 辅助 ENI (Secondary ENI):从现有辅助接口 (Existing Secondary Interface) 下拉列表中选择辅助接口,或通过选择所需的 vSwitch 创建新的辅助接口。

      Note

       

      在实例启动阶段,可以使用两个接口来部署实例,并且可以在从 ECS 控制台部署后连接其他两个接口。

    • 密钥对 (Key Pair):从下拉列表中选择现有的密钥对或创建新的密钥对。

Step 8

转到高级设置 (Advance Settings) 并执行以下操作:

  • 实例名称 (Instance Name):合适的实例名称。

  • 用户数据 (User Data):根据要求提供 Day-0 配置(不要选中输入 Base64 编码的信息 (Enter Base64 Encoded iInformation) 复选框)。

    使用管理中心来管理 Threat Defense Virtual 的 Day-0 配置示例:

    {
"AdminPassword": "<your_password>",
"Hostname": "<your_hostname>",
"ManageLocally": "No",
"FmcIp":  "<IP address of FMC>",
"FmcRegKey":"<registration_passkey>",
"FmcNatId":"<NAT_ID_if_required>"
}

    Note

     

    如果您在 Day-0 配置中未提供任何密码,则默认密码将是 Threat Defense Virtual 的实例 ID,如 Alibaba 控制台或 CLI 上所示。

Step 9

接受 ECS 服务条款,然后点击创建订单 (Create Order)

Threat Defense Virtual 使用两个接口来启动,您可以在 ECS 控制台上查看它们。

Note

 

要完成启动过程,必须使用四个接口来配置 Threat Defense Virtual

Step 10

要使用其他两个接口来配置 Threat Defense Virtual ,请执行以下操作:

  1. 在阿里云上,转到弹性计算服务 (Elastic Compute Service)

  2. 点击左侧窗格中网络和安全 (Network & Security) 下的 弹性网络接口 (Elastic Network Interface)

  3. 搜索之前创建的流量接口。

  4. 选中与流量接口对应的复选框,然后点击绑定到实例 (Bind to Instance)。系统将显示绑定到实例 (Bind to Instance) 对话框。

  5. 实例 (Instance) 字段中输入 Threat Defense Virtual 名称。

  6. 点击确认 (Confirm),将其配置为实例的 eth2 接口。

  7. 重复步骤 c步骤 f ,为 Threat Defense Virtual 配置 eth3 接口。

Step 11

点击 EC 控制面板 (EC Dashboard) > 实例 (Instances)

Step 12

在 Management Center Virtual 完成启动后,您应该就能够将其注册到 Management Center Virtual。