配置部署

本章介绍如何将配置更改下载到一台或多台托管设备。

关于配置部署

所有设备配置均由 管理中心 管理,然后部署到受管设备。

需要部署的配置更改

系统使用红色状态文本标记过期策略,表明其需要策略更新的目标设备的数量。要清除此状态,必须将策略重新部署到设备。

需要部署

需要部署的配置更改包括:

  • 修改访问控制策略:对访问控制规则、默认操作、策略目标、安全情报过滤、高级选项(包括预处理)等等的任何更改。

  • 修改访问控制策略调用的任何策略:SSL 策略、网络分析策略、入侵策略、文件策略、身份策略或 DNS 策略。

  • 更改访问控制策略或其调用的策略中所使用的任何可重用对象或配置:

    • 网络、端口、VLAN 标记、URL 和地理位置对象。

    • 安全情报列表和源

    • 应用过滤器或检测器

    • 入侵策略变量集

    • 文件列表

    • 与解密相关的对象和安全区域

  • 更新系统软件、入侵规则或漏洞数据库 (VDB)。

请记住,可以从 Web 界面中的多个位置更改其中某些配置。例如,可以使用对象管理器(对象 > 对象管理)修改安全区域,但是修改设备配置(设备 > 设备管理)中的接口类型还可更改区域并要求部署。

不需要部署

请注意,以下更新 要求部署:

  • 使用上下文菜单自动对安全情报源进行更新和对安全情报全局阻止或不阻止列表进行添加

  • 对 URL 过滤数据的自动更新

  • 计划的地理位置数据库 (GeoDB) 更新

部署预览

预览提供要在设备上部署的所有策略和对象更改的快照。策略更改包括新策略、现有策略的更改以及已删除的策略。对象更改包括策略中使用的已添加和修改的对象。未使用的对象更改不会显示,因为它们没有部署在设备上。

点击部署作业旁边的预览图标,查看待部署到设备上的作业的配置更改日志。更改日志包括:

  • 比较视图 (Comparison View):并排比较自上次部署以来所做的所有设备配置更改。

  • 高级视图 (Advanced View):显示要应用于设备的待处理 CLI 命令。

有关查看部署预览的详细信息,请参阅部署配置更改

首次添加接口或平台设置策略时,预览中显示所有默认值(即使未有变更)以及其他配置的设置。同样,在高可用性对配置或中断后的首次预览中也会显示设置的高可用性相关策略和默认值(即使未有变更)。

要查看自动回滚导致的更改,请参阅编辑部署设置

不支持的功能

  • 仅当对象与任何设备或接口关联时,预览中才会显示添加的对象和属性的更改。删除的对象不显示。

  • 以下策略不支持预览:

    • 高可用性

    • 网络发现

    • 网络分析

    • 设备设置

  • 规则级别的用户信息不可用于入侵策略。

  • 预览不会显示跨策略的规则重新排序。

    对于 DNS 策略,重新排序的规则作为规则添加和删除项显示在预览列表中。例如,将规则从规则顺序中的位置 1 移动到位置 3 显示为好像该规则已从位置 1 中删除,并作为新规则添加到位置 3 中。同样,删除规则时,其下的规则会列为已编辑的规则,因为它们的位置已更改。更改按它们在策略中出现的最终顺序显示。

  • 以下 HA 场景不支持预览:

    • 如果设备处于单机模式并已建立链,则会触发自动部署。对于该特定作业,不支持预览。将鼠标悬停在 预览预览图标 上时会显示一条消息,指明这是 HA 引导程序部署,并且不支持预览。

    • 配置组 - 考虑设备最初为独立设备的流程。随后进行了三个部署。在第四个部署中,设备是 HA 引导程序部署。在这些之后,用户会部署设备 5、6 和 7。部署 7 是 HA 中断部署,而用户会部署设备 8、9 和 10。

      在此流程中,不支持 3 和 5 之间的预览,因为 4 是 HA 部署。同样,也不支持 8 和 3 之间的预览。仅支持从 3 到 1、7、6、5、4 和 10、9 和 8 的预览。

    • 如果设备已损坏(HA 已损坏),则新设备会被视为新设备。

选择性策略部署

管理中心 允许您在设备上应该部署的所有更改的列表内选择特定的策略,并只部署所选的策略。选择性部署仅可用于以下策略:

  • 访问控制策略

  • 入侵策略

  • 恶意软件和文件策略

  • DNS 策略

  • 身份策略

  • SSL 策略

  • QoS 策略

  • 预过滤策略

  • 网络发现

  • NAT 策略

  • 路由策略

  • VPN 策略

选择性部署策略有特定的限制。按照下表中的内容,了解何时可以使用选择性策略部署。

表 1. 选择性部署的限制

类型

说明

情景

完整部署

对于特定部署场景,完整部署是必要的, 管理中心 在这类场景下不支持选择性部署。如果在这类场景下遇到错误,可选择要部署在设备上的所有更改以继续。

需要完整部署的场景包括:

  • 升级 威胁防御管理中心后的第一次部署。

  • 恢复 威胁防御 后的第一次部署。

  • 修改 威胁防御 接口设置后的第一次部署。

  • 修改虚拟路由器设置后的第一次部署。

  • 威胁防御 设备移动到新域(从全局域到子域或从子域到全局域)时。

关联策略部署

管理中心 识别相互关联和依赖的策略。选择一个相互关联的策略时,其余相互关联的策略将自动选中。

自动选择关联策略的场景:

  • 新对象与现有策略关联时。

  • 修改现有策略的对象时。

自动选择多个策略的场景:

  • 当新对象与现有策略关联并且同一对象已与其他策略关联时,所有关联的策略将自动选中。

  • 修改共享对象时,所有关联的策略将自动选中。

相互依赖的策略更改(使用彩色标记显示)

管理中心 动态检测策略之间以及共享对象与策略之间的依赖关系。对象或策略的相互依赖关系使用彩色标记显示。

自动选择以彩色显示的互相依赖策略或对象的场景:

  • 所有过期策略都有相互依赖的更改时。

    例如,当访问控制策略、入侵策略和 NAT 策略过期时。由于访问控制策略和 NAT 策略共享一个对象,因此系统将同时选择所有策略进行部署。

  • 所有过期策略共享一个对象,而该对象被修改时。

访问策略组规范

当您点击显示或隐藏策略显示或隐藏策略图标 时,访问策略组的策略将同时在预览窗口中的访问策略组 (Access Policy Group) 下列出。

访问策略组策略的场景和预期行为如下:

  • 如果访问控制策略过期,则在选择访问控制策略进行部署时,将选择该组下的所有其他过期策略,但文件策略和入侵策略除外。

    但是,如果访问控制策略已过期,则无论是否选择访问控制策略,都可以单独选择或取消选择入侵和文件策略,除非有任何相关更改。例如,如果为访问控制规则分配了新的入侵策略,则表明存在相关更改,则选择访问控制策略和入侵策略中的任何一个时,都会自动选择访问控制策略和入侵策略。

  • 如果没有过期的访问控制策略,可以选择此组中的其他过期策略单独部署。

系统用户名

管理中心 将用户名显示为 system 以执行以下操作:

  • 回滚

  • 升级

  • 威胁防御 备份和恢复

  • SRU 更新

  • LSP 更新

  • VDB 更新

自动启用应用检测器

如果执行的是应用控制,但是禁用所需的检测器,则系统会在策略部署时自动启用系统提供的适当检测器。如果不存在检测器,则系统会为该应用启用最新修改的用户定义检测器。

网络发现策略更改带来的资产重新发现

将更改部署到网络发现策略时,系统会删除并重新发现受监控网络中主机的网络映射中的 MAC 地址、TTL 和跳数信息。此外,受影响的受管设备还会放弃任何尚未发送到 管理中心的发现数据。

Snort 重新启动场景

当受管设备上的流量检测引擎(称为 Snort 进程)重启时,检测会中断,直到该进程继续运行。 流量在此中断期间丢弃还是不进一步检查而直接通过,取决于目标设备处理流量的方式。有关详细信息,请参阅Snort 重启流量行为 此外,无论 Snort 进程是否重新启动,部署时的资源需求都可能导致少量数据包未经检测即被丢弃。

下表中的任何场景都将导致 Snort 进程重新启动。

表 2. Snort 重新启动场景

重新启动场景

更多信息

部署需要 Snort 进程重新启动的特定配置。

部署或激活时重启 Snort 进程的配置

修改立即重新启动 Snort 进程的配置。

会立即重新启动 Snort 进程的更改

流量激活当前部署的自动应用程序旁路 (AAB) 配置。

配置自动应用旁路

启用或禁用“将连接事件记录到 RAM 磁盘”功能。

请参阅排除 FMC 未处理事件耗尽故障中的记录到 Ramdisk 部分

设备的重启警告

部署过程中,“部署”页中的 检查中断 列会指定部署的配置是否在 威胁防御 设备上重启 Snort 进程。当名为 Snort 进程的流量检测引擎重启时,检测会中断,直到该进程恢复为止。流量将会中断还是在中断期间允许未经检测而通过,取决于设备对流量的处理方式。请注意,您可以继续进行部署,取消部署并修改配置,也可以将部署推迟到部署对网络的影响最低时执行。

检查中断列显示并展开设备配置列表时,系统会以检查中断检查中断图标指示任何将重启 Snort 进程的特定配置类型。将鼠标指针悬停在图标上时,会显示一条消息,通知您部署配置可能会中断流量。

下表总结了“部署”页面中显示的检测中断警告。

表 3. 检测中断指示器

类型

检测中断

说明

威胁防御

检查中断检查中断图标

至少有一个配置(如果已部署)会中断设备上的检测并可能会中断流量,具体取决于设备对流量的处理方式。展开设备配置列表可以了解详细信息。

--

部署的配置不会中断设备上的流量。

未确定

系统无法确定部署的配置是否可能会中断设备上的流量。

进行软件升级后,有些情况下是在呼叫支持期间,首次部署之前会显示“不确定”状态。

错误错误图标

系统因内部错误而无法确定状态。

取消操作,然后再次点击部署 (Deploy),以便系统可以重新确定检测中断 (Inspect Interruption) 状态。如果问题仍然存在,请与支持人员联系。

sensor

--

被识别为 传感器 的设备不是 威胁防御 设备;系统无法确定部署的配置是否会中断此设备上的流量。

有关会为各类设备重启 Snort 进程的所有配置的信息,请参阅部署或激活时重启 Snort 进程的配置

在策略应用期间检测流量

在策略应用期间检查流量是一项高级访问控制策略常规设置,支持受管设备在部署配置更改时检查流量;该设置在部署的配置需要重启 Snort 进程时不适用。可以按如下方式配置此选项:

  • 已启用 - 在部署过程中会检查流量,除非某些配置要求重启 Snort 进程。

    当部署的配置不需要 Snort 重启时,系统最初使用当前部署的访问控制策略检查流量,并在部署期间切换到您正在部署的访问控制策略。

  • 已禁用 - 部署期间不会检查流量。Snort 进程在您部署时总是会重启。

下图展示了当启用或禁用在策略应用期间检查流量 (Inspect traffic during policy apply) 时,Snort 如何重启。


小心


在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,部署某些配置会重新启动 Snort 进程,这会中断流量检测。流量在此中断期间丢弃还是不进一步检查而直接通过,取决于目标设备处理流量的方式。请参阅Snort 重启流量行为部署或激活时重启 Snort 进程的配置


Snort 重启流量行为

下表说明在 Snort 进程重新启动时不同设备处理流量的方式。

表 4. 威胁防御Threat Defense Virtual 重新启动流量影响

接口配置

重启流量行为

内联:Snort 故障时自动打开:关闭:禁用

被丢弃

内联:Snort 故障时自动打开:关闭:启用

不检查直接通过

在系统识别 Snort 已关闭之前,某些数据包可能会在缓冲区中延迟几秒钟。此延迟可能因负载分布而异。但是,缓冲的数据包最终会通过。

路由式、透明(包括 EtherChannel、冗余、子接口):preserve-connection 启用(configure snort preserve-connection enable ;默认)

有关详细信息,请参阅Cisco Secure Firewall Threat Defense 命令参考

现有 TCP/UDP 流:只要在 Snort 关闭时至少有一个数据包到达,无需检查即可通过

新 TCP/UDP 数据流和所有非 TCP/UDP 数据流:丢弃

请注意,即使启用 preserve-connection ,以下流量也会丢弃:

  • 纯文本、与Analyze规则操作或Analyze all tunnel traffic 默认策略操作 匹配的贯通式隧道流量

  • 与访问控制规则不匹配,并由默认操作处理的连接。

  • 解密的 TLS/SSL 流量

  • 安全搜索流量

  • 强制网络门户流量

路由式、透明(包括 EtherChannel、冗余、子接口):preserve-connection 禁用 (configure snort preserve-connection disable )

被丢弃

内联:分流模式

立即传出数据包,副本绕过 Snort

被动

不中断,不检查



除了当 Snort 进程在重启时关闭这一情况下的流量处理外,在 Snort 进程繁忙时,流量也可不检查直接通过或丢弃,具体取决于 Snort 故障时自动打开繁忙选项(请参阅配置内联集)的配置。设备只支持“故障保护”选项或“Snort 故障时自动打开”选项,不同时支持这两个选项。


如果 Snort 进程在部署期间正忙但未关闭,则在 CPU 总负载超过 60% 的情况下,路由式、交换式或透明接口上可能会丢弃某些数据包。

警告


在 Snort 规则更新过程中,请勿重新启动系统。

当 snort 无法足够快速地处理数据包时,会出现 Snort-busy 丢弃。Lina 不知道 Snort 是否由于处理延迟而繁忙,是否卡住或由于呼叫阻塞。当传输队列已满时,发生 snort-busy 丢弃。根据传输队列利用率,Lina 将尝试在队列服务正常时进行访问。

部署或激活时重启 Snort 进程的配置

如下所述,部署以下任何配置(AAB 除外)都会重启 Snort 进程。部署 AAB 不会导致重启,但过多的数据包延迟会激活当前部署的 AAB 配置,从而导致 Snort 进程的部分重启。

访问控制策略高级设置
  • 禁用应用策略期间检查流量时部署。

  • 添加或删除 SSL 策略。

文件策略

首先或最后部署以下任一配置;请注意,尽管以其他方式部署这些文件策略配置不会导致重启,但部署非文件策略配置则可能会导致重启。

  • 执行下列操作之一:

    • 当部署的访问控制策略包括至少一个文件策略时,启用或禁用检查存档

    • 当已启用检查存档时,添加第一个文件策略规则或删除最后一个文件策略规则(请注意,需要至少一个规则才能使检查存档生效)。

  • Detect FilesBlock Files 规则中启用或禁用 Store files

  • 添加第一个将恶意软件云查找阻止恶意软件规则操作与分析选项(Spero 分析或 MSEXE动态分析本地恶意软件分析)或存储文件选项(恶意软件未知正常自定义)组合到一起的活动文件规则,或删除最后一个符合上述条件的活动文件规则。

请注意,仅在您的配置满足以下条件时,将这些文件策略配置部署到安全区或隧道区域的访问控制规则才会导致重启:

  • 您的访问控制规则中的源或目标安全区必须匹配与目标设备上的接口相关的安全区。

  • 除非您的访问控制规则中的目标区域为任何,否则规则中的源隧道区域必须与分配给预过滤器策略中隧道规则的隧道区域相匹配。

身份策略
  • 当禁用 SSL 解密时(即,当访问控制策略不包含 SSL 策略时),请添加第一个或删除最后一个主动身份验证规则。

    主动身份验证规则具有主动身份验证规则操作或被动身份验证规则操作,并且如果无法建立被动或 VPN 识别,则使用主动身份验证已选中。

网络发现
  • 使用网络发现策略,通过 HTTP、FTP 或 MDNS 协议启用或禁用基于流量的非授权用户检测。

设备管理
  • MTU:在设备上的所有非管理接口中更改最高 MTU 值。

  • 自动应用旁路 (AAB):当前部署的 AAB 配置会在 Snort 进程出现故障或设备误配置导致单个数据包使用过多处理时间时激活。结果是 Snort 进程部分重启,以缓解极高的延迟或防止流量彻底停顿。此部分重启会导致几个数据包在不检查的情况下通过或丢弃,具体取决于设备处理流量的方式。

更新
  • 系统更新:在包含新版本 Snort 二进制或数据采集库 (DAQ) 的软件更新后首次部署配置。

  • VDB:对于运行 Snort 2 的受管设备,在安装包含适用于受管设备的更改的漏洞数据库 (VDB) 更新后首次部署配置需要重新启动检测引擎,并可能导致临时流量中断。这些情况下,系统会显示消息,警告您选择 管理中心 以开始安装。当 VDB 更改处于待处理状态时,部署对话框将为 威胁防御 设备提供其他警告。仅适用于 管理中心 的 VDB 更新不会导致检测引擎重启,并且您无法部署这些更新。

    对于运行 Snort 3 的受管设备,在安装漏洞数据库 (VDB) 更新后首次部署配置可能会暂时中断应用检测,但不会出现流量中断。

会立即重新启动 Snort 进程的更改

以下更改将立即重新启动 Snort 进程,而不执行部署过程。 重启对流量的影响取决于目标设备处理流量的方式。有关详细信息,请参阅Snort 重启流量行为

  • 采取以下任何涉及应用或应用检测器的操作:

    • 激活或者停用系统或自定义应用检测器。

    • 删除激活的自定义检测器。

    • 保存并重新激活已激活的自定义检测器。

    • 创建用户定义的应用。

    系统会提醒您继续操作会重新启动所有受管设备上的 Snort 进程,并允许您取消;重启会在当前域或其任何子域中的任何受管设备上发生。

  • 创建或中断 威胁防御 高可用性对。

    消息会向您发出警告,指明继续创建高可用性对会重启主用和辅助设备上的 Snort 进程,并允许您取消。

策略管理的要求和必备条件

型号支持

任意。

支持的域

任意

用户角色

  • 管理员

  • 网络管理员

  • 安全审批人

部署配置更改的最佳实践

以下是部署配置更改的准则。

可靠的管理连接

管理中心 与设备之间的管理连接是一个安全的 TLS-1.3 加密通信通道。

出于安全目的,您不需要通过额外的加密隧道(例如站点间 VPN)运行此流量。例如,如果 VPN 发生故障,您将失去管理连接,因此我们建议使用简单的管理路径。


小心


建议不要通过在设备本身上终止的 VPN 隧道进行设备的管理连接。如果部署的配置更改导致 VPN 关闭,则管理连接将被断开,如果不直接连接到设备,将无法恢复配置。

如果管理流量从 VPN 终端接口流出,请确保将管理流量排除在 VPN 隧道之外。


最大并发部署数

在同一作业中,部署的设备数不应超过 管理中心 允许的最大设备数的 25%。例如,对于 FMCv300,最大作业大小应为 75 台设备(300 台的 25%)。并发部署到更多设备可能会导致性能问题。

部署共享策略

为获得最佳性能,请部署到使用相同策略的设备。为共享策略的每组设备创建单独的部署作业。

部署时间和内存限制

部署所需的时间取决于多个因素,包括(但不限于):

  • 发送至设备的配置。例如,如果阻止的安全情报条目数显示增加,部署时间可能要长一些。

  • 设备型号和内存。内存较低的设备,部署时间可能要长一些。

请勿超过设备的能力。如果超过目标设备所支持的规则或策略最大数量,系统会显示警告。最大值取决于许多因素 - 不仅包括设备内存及处理器的数量,还与策略和规则复杂性有关。有关优化策略和规则的信息,请参阅访问控制规则的最佳实践

使用维护窗口减轻流量中断的影响

我们强烈建议在维护窗口或在中断的影响最低时部署。

在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,部署某些配置会重新启动 Snort 进程,这会中断流量检测。流量在此中断期间丢弃还是不进一步检查而直接通过,取决于目标设备处理流量的方式。请参阅Snort 重启流量行为部署或激活时重启 Snort 进程的配置

对于 威胁防御 设备,如果部署中断了流量或检测,“部署”(Deploy) 对话框中的检测中断 (Inspect Interruption) 列会显示警告。您可以继续,也可以取消或延迟部署;有关详细信息,请参阅设备的重启警告

部署配置

在配置部署后,无论何时对该配置进行更改,您都必须向受影响设备部署更改。您可以在消息中心查看部署状态。

部署会更新以下组件:

  • 设备和接口配置

  • 与设备相关的策略:NAT、VPN、QoS、平台设置

  • 访问控制策略以及相关策略:DNS、文件、身份、入侵、网络分析、预过滤器、SSL

  • 网络发现策略

  • 入侵规则更新

  • 与其中任一元素相关联的配置和对象

您可以将系统配置为自动部署,方法如下:安排一个部署任务,或者将系统设置为在导入入侵规则更新时进行部署。如果允许入侵规则更新修改系统提供的基本策略以进行入侵和网络分析,则自动部署策略的方法尤其有用。入侵规则更新还可修改访问控制策略中高级预处理和性能选项的默认值。

部署配置更改

更改配置后,将其部署到受影响的设备。我们强烈建议在维护窗口或在任何流量和检测中断的影响最低时部署。


小心


在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,部署某些配置会重新启动 Snort 进程,这会中断流量检测。流量在此中断期间丢弃还是不进一步检查而直接通过,取决于目标设备处理流量的方式。请参阅Snort 重启流量行为部署或激活时重启 Snort 进程的配置

开始之前

  • 确保所有受管设备都使用安全区域对象的相同修订版。如果已编辑安全区域对象:在编辑要同步的全部设备上接口的区域设置前,请勿将配置更改部署到任何设备。您必须同时部署到所有受管设备。

  • 要预览部署更改,请启用 REST API 访问。要启用 REST API 访问,请执行 《Cisco Secure Firewall Management Center 管理指南》启用 REST API 访问 中的步骤。



如果在部署过程中正在通过设备 CLI 读取设备配置,则部署过程将失败。请勿在部署期间执行命令,例如 show running-config


过程


步骤 1

管理中心 菜单栏上,点击部署

步骤 2

要快速部署,请选中特定设备,然后点击部署 (Deploy),或者点击全部部署 (Deploy All) 以部署到所有设备。否则,对于其他部署选项,请点击高级部署 (Advanced Deploy)

此程序的其余部分适用于高级部署 (Advanced Deploy) 屏幕。

图 1. 快速部署
部署
图 2. 高级部署
高级部署

步骤 3

点击 展开箭头展开箭头图标 以查看要部署的设备特定的配置更改。

图 3. 扩展
高级部署
  • 修改者列列出了修改策略或对象的用户。展开设备列表时,您可以参照每个策略列表查看修改了策略的用户。有关何时显示系统用户(而不是已登录用户)的信息,请参阅系统用户名

     

    没有为已删除的策略和对象提供用户名。

  • 检查中断列指示在部署过程中是否可能导致设备中的流量检查中断。

    当状态指示(是)部署会中断 威胁防御 设备上的检查并可能中断流量时,展开的列表将用 检查中断检查中断图标 指示导致中断的特定配置。

    如果设备的此列中这一条为空白,则表明在部署过程中该设备上不会出现流量检查中断。

    请参阅 设备的重启警告 中的信息,可帮助您识别在部署到 威胁防御 设备时会中断流量检查并可能中断流量的配置。

  • 上次修改时间列指定上次更改配置的时间。

  • 预览列允许您预览下一次要部署的更改。

  • 状态列提供每个部署的状态。有关详细信息,请参阅查看部署状态

步骤 4

预览 (Preview) 列中,点击 预览预览图标 以查看可以部署的配置更改。

图 4. 预览
预览

 

如果您在 系统系统齿轮图标 > 配置 > 信息 中更改 管理中心 名称,则部署预览不会指定此更改,但它需要部署。

有关预览不支持的功能,请参阅部署预览

比较视图 (Comparison View) 选项卡列出了所有策略和对象更改。左侧窗格以树状结构组织列出设备中更改的所有不同策略类型。

图 5. 比较视图
比较视图

过滤器图标 () 允许您在用户级别和策略级别过滤策略。

左侧窗格中列出策略中的所有添加、更改或删除项,或者在左侧窗格中选择的对象。右侧窗格中的两个列提供上次部署的配置设置(在 “部署版本” 列中)与应该部署的更改(在 “待处理版本” 列中)。上次部署的配置设置源自 管理中心 中上次保存的部署的快照,而不是来自设备。设置的背景颜色根据页面右上角的图例分类显示。

修改者 (Modified By) 列列出了修改或添加了配置设置的用户。在策略级别, 管理中心 显示所有修改过策略的用户,而在规则级别, 管理中心 只显示最后修改规则的用户。

您可以点击下载报告 (Download Report) 按钮下载更改日志的副本。

高级视图 (Advanced View) 选项卡显示将应用的 CLI 命令。如果您熟悉用于 威胁防御 后端的 ASA CLI,则此视图非常有用。

图 6. 高级视图
高级视图

步骤 5

使用 显示或隐藏策略显示或隐藏策略图标 可选择性地查看或隐藏关联的未修改策略。

图 7. 显示或隐藏策略
显示或隐藏策略

步骤 6

选中设备名称旁边的复选框以部署所有配置更改,或点击 策略选择策略选择图标 以选择部署个别策略或配置,而保留其余的更改不予部署。

您也可以使用此选项查看特定策略或配置之间相互依赖的更改。管理中心 动态检测策略之间的依赖关系(例如,访问控制策略和入侵策略之间),以及共享对象和策略之间的依赖关系。相互依赖的更改以彩色标记表示,以指定一组相互依赖的部署更改。选择一个部署更改时,相互依赖的更改将自动选中。

有关详细信息,请参阅选择性策略部署

 
  • 部署共享对象的更改后,受影响的策略也应随其一起部署。在部署过程中选择共享对象时,受影响的策略会自动选中。

  • 计划部署和使用 REST API 的部署不支持选择性部署。在这些情况下,您只能选择完全部署所有更改。

  • 部署前对警告和错误的检查不仅在所选策略上执行,还在所有过期的策略上执行。因此,警告或错误列表也显示取消选择的策略。

  • 同样,“部署”页上检查中断列的指示会考虑所有过时的策略,而不仅是选定的策略。有关检查中断列的信息,请参阅设备的重启警告

步骤 7

选择要部署的设备或策略后,点击估计 (Estimate) 以粗略估计部署持续时间

图 8. 估价
估计
图 9. 部署时间
部署时间

持续时间是一个粗略估计值(精确度约为 70%),在少数情况下,部署所花费的实际时间可能有所不同。如果部署不超过 20 台设备,该估计值是可靠的。

当估计值不可用时,表示数据不可用,因为所选设备上的第一次成功部署还未完成。这种情况可能发生在 管理中心 重新映像、版本升级或高可用性故障转移之后。

 

当批量更改策略(在批量策略迁移的情况下)和选择性部署时,估计值不正确且不可靠,因为估计值基于启发式技术。

步骤 8

点击部署 (Deploy)

步骤 9

如果系统在要部署的更改中发现错误或警告,则会在验证消息窗口中显示它们。要查看完整详细信息,请点击警告或错误前的箭头图标。

有以下选项可供选择:

  • 部署 - 继续部署而无需解决警告情况。选中忽略警告 (Ignore warnings) 复选框,以忽略警告并部署更改。如果系统识别错误,则无法继续。
  • 关闭 - 退出而不部署。解决错误和警告情况,并尝试重新部署该配置。

下一步做什么

  • (可选)监控部署状态;请参阅《Cisco Secure Firewall Management Center 管理指南》中的 查看部署消息

  • 如果部署失败,请参阅部署配置更改的最佳实践

  • 在部署期间,如果部署中存在特定的配置更改,则部署失败可能导致流量中断。例如,在集群环境中,接口上配置的 IP 地址与站点 IP 不在同一子网中。由于此错误,部署会失败,并且设备会在处理回滚操作时尝试清除配置。这些事件会共同导致部署失败,从而中断流量。

    请参阅下表,了解在部署失败时可能导致流量中断的配置更改。

    配置更改

    存在?

    流量受影响?

    访问控制策略中的威胁防护服务更改

    兼容

    兼容

    VRF

    兼容

    兼容

    接口

    兼容

    兼容

    QoS

    兼容

    兼容



    仅当 管理中心威胁防御 版本为 6.2.3 或更高版本时,部署期间中断流量的配置更改才是有效的。


将现有配置重新部署到设备

可以将现有(未改变)的配置强制部署到单台受管设备。我们强烈建议在维护窗口或在任何流量和检测中断的影响最低时部署。


小心


在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。此外,部署某些配置会重新启动 Snort 进程,这会中断流量检测。流量在此中断期间丢弃还是不进一步检查而直接通过,取决于目标设备处理流量的方式。请参阅Snort 重启流量行为部署或激活时重启 Snort 进程的配置

开始之前

查看部署配置更改的最佳实践中所述的准则。

过程


步骤 1

选择设备 > 设备管理

步骤 2

点击要强制部署的设备旁边的 编辑编辑图标

步骤 3

点击 设备

步骤 4

点击 常规 部分标题旁边的 编辑编辑图标

步骤 5

请点击 强制部署强制部署图标

 

强制部署比常规部署需要更多时间,因为它涉及要在 威胁防御 上部署的策略规则的完整生成。

步骤 6

点击 部署

系统会识别出您正在部署的配置中的所有错误或警告。您可以点击继续继续,而不解决警告状况。但是,如果系统识别到错误,则无法继续。


下一步做什么

管理部署

查看部署状态

在“部署”页上,状态列提供每个设备的部署状态。如果正在进行部署,则会显示部署进度的实时状态,否则会显示以下状态之一:

  • 待处理 - 表示设备中有要部署的更改。

  • 警告或错误 - 表示部署前检查已发现部署的警告或错误之处,而且您没有继续部署。如果出现任何警告,可以继续进行部署,但如果有任何错误,则不能继续。



    “状态”列仅提供“部署”页上单个用户会话的警告或错误状态。如果您离开或刷新该页面,状态将变为“待处理”。


  • 失败 - 表示先前的部署失败。点击状态以查看详细信息。

  • 排队中 - 表示部署已启动,而系统尚未开始部署过程。

  • 已完成 - 表示部署已成功完成。

查看部署历史记录

在部署历史记录中,将捕获最近 10 次成功部署、最近 5 次失败部署以及最近 5 次回滚部署。

过程


步骤 1

管理中心 菜单栏上,点击部署 (Deploy),然后点击 部署历史记录部署历史记录图标

图 10. 部署历史记录图标
部署历史记录

所有先前部署和回滚作业的列表按时间倒序显示。

图 11. 部署历史记录页面
部署历史记录

步骤 2

点击所需部署作业旁边的 展开箭头展开箭头图标,以便查看作业中包含的设备及其部署状态。

图 12. 扩展
展开
  • 查看部署说明 (Deployment Notes) 列中的说明。

    部署说明是用户可以在部署过程中添加的自定义说明,而这些说明是可选的。

步骤 3

(可选)点击 脚本详细信息脚本详细信息图标 以查看发送到设备的命令以及收到的响应。

图 13. 脚本详细信息图标
脚本详细信息图标
图 14. 脚本详细信息
脚本详细信息

该脚本包含以下各节:

  • Snort 应用 (Snort Apply) - 如果 Snort 相关的策略中有任何故障或响应,则此部分中会显示消息。通常,该部分为空。

  • CLI 应用 (CLI Apply) - 此部分涵盖使用发送到设备的命令配置的功能。

     

    回滚操作的脚本不会提供 CLI 命令信息。要查看回滚命令,请参阅查看部署回滚脚本

  • Infrastructure Messages - 此部分显示不同部署模块的状态。

CLI 应用 (CLI Apply) 部分中,部署脚本包括发送到设备的命令以及从该设备返回的任何响应。这些响应可以是信息性消息或错误消息。对于失败的部署,请查找指示命令错误的消息。如果您正在使用 FlexConfig 策略配置自定义的功能,则检查这些错误特别有用。这些错误可帮助您纠正尝试配置这些命令的 FlexConfig 对象中的脚本。

 
为托管功能发送的命令与从 FlexConfig 策略生成的命令之间没有显著差异。

例如,以下序列显示 管理中心 发送了命令来为 GigabitEthernet0/0 配置外部逻辑名。设备的响应是自动将安全级别设置为 0。威胁防御 不会将安全级别用于任何操作。


========= CLI APPLY =========

FMC >> interface GigabitEthernet0/0
FMC >>  nameif outside
FTDv 192.168.0.152 >> [info] : INFO: Security level for "outside" set to 0 by default.

步骤 4

(可选)点击预览预览图标以查看设备上部署的策略和对象更改与之前部署的版本。

图 15. 预览图标
预览图标
  1. 要比较任意两个版本并查看更改日志,请在下拉框中选择所需的版本,然后点击显示 (Show) 按钮。下拉框会显示部署作业名称和部署结束时间。

    图 16. 比较版本
    比较版本

     

    下拉框还会显示失败的部署。

  2. 修改者列列出了修改策略或对象的用户。

    1. 在策略级别,管理中心 会显示已修改策略的所有用户名。

    2. 在规则级别,管理中心 会显示最后修改规则的用户。

  3. 您还可以点击下载为报告 (Download Report) 按钮下载更改日志的副本。

 
  • 认证登记、HA 操作和失败的部署不支持部署历史记录预览。

  • 注册设备后,创建的作业历史记录不支持预览。

步骤 5

(可选)针对每个部署作业,点击 更多更多图标 图标并执行其他操作:

  • 书签 (Bookmark) - 为部署作业添加书签。

  • 编辑部署说明 (Edit Deployment Notes) - 编辑为部署作业添加的自定义部署说明。

  • 生成报告 (Generate Report) - 生成可用于审核的部署报告。此报告包括具有预览和脚本信息的作业属性,并且报告可以作为 PDF 文件下载。

    1. 点击生成报告 (Generate Report) 以再次生成报告。

      图 17. 生成报告
    2. 生成报告 (Generate Report) 弹出窗口中,选中邮件 (Email) 复选框。

    3. 如果配置了邮件中继主机,也可以通过邮件发送报告。如果未配置邮件中继主机,请使用 编辑编辑图标 图标来配置或修改邮件中继主机。有关更多信息,请参阅《Cisco Secure Firewall Management Center 管理指南》中的配置邮件中继主机和通知地址

    4. 收件人列表 (Recipient List) 中,您可以输入多个邮件地址并以分号分隔。

    5. 点击生成 (Generate) 以生成报告,然后此报告将通过邮件发送给收件人。

    6. 在“通知任务”(Notifications task) 选项卡中,您可以跟踪进度。完成报告生成后,点击通知任务选项卡中的链接以下载 PDF 报告。


设置配置版本数

管理中心 将设备配置文件历史记录作为配置版本存储在磁盘上。您可以指定要为每台设备保留的配置版本数。此设置允许您估计磁盘上设备配置文件的大小,并将其保持在允许的限制内。减少配置版本的数量可以减少备份大小并提高 管理中心 HA 同步速度。

管理中心 高可用性部署中,配置版本设置仅在主用 管理中心上可用。

开始之前

版本 7.4.0 不支持此功能。

过程

步骤 1

管理中心 菜单栏上,选择 部署 > 部署历史记录部署历史记录图标

步骤 2

点击 部署设置

步骤 3

要保留的版本数 下拉列表中选择要为每台设备保留的配置版本数。

 

减少版本数量会删除最早的配置版本,以匹配您选择的版本大小。您无法回滚或预览已删除的版本。

  • 最大允许磁盘大小:用于存储配置版本的最大大小为 20 GB。 管理中心 会定期计算配置版本的大小,并在配置版本的大小超过 20 GB 时发送运行状况警报。要解决运行状况警报,请选择估计配置版本大小小于 20 GB 的 要保留的版本数

  • 当前配置版本大小:上一次在 管理中心 部署的配置文件的大小。

  • 估计配置版本大小管理中心上配置文件的大致大小。它是根据您选择保留的配置版本数计算的。

步骤 4

点击保存 (Save)


回滚部署

您可以将设备回滚到以前部署的配置。在策略部署后,如果通过设备的流量以非预期方式受到影响,则回滚提供了一个选项,可将设备恢复到故障部署之前存在的较早状态。

回滚为中断操作:所有现有的连接和路由都会被丢弃,并且流量会中断。

识别破坏性配置

如果部署出现问题并以非预期方式导致流量中断,您应确定导致该情况的部署更改并进行修复,下次部署将成功。

请参阅以下方法来比较配置。

回滚之前

  1. 请选择 部署 > 部署历史记录,展开上一个部署的作业(导致流量中断的作业),然后点击预览图标(预览图标)。

    预览页面提供了一个用于比较部署的选项,可用于识别与先前部署相比的部署的特定更改。

  2. 确定导致问题的更改后,请纠正配置并将其重新部署到设备上。

回滚之后

  1. 成功执行回滚操作后,选择 部署 > 部署,然后点击回滚设备旁边的 预览 图标。

  2. 查看回滚配置和待定部署 管理中心 中的当前更改之间的更改。

  3. 确定导致问题的更改后,请纠正配置并将其重新部署到设备上。

回滚准则和限制

  • 您可以回滚到当前部署的版本之前的最后 10 个版本中的任何一个。不支持回滚到之前的版本。对于不支持的版本,回滚图标将呈灰色显示。

  • 您必须先执行部署,然后才能再次回滚。

  • 执行回滚后,回滚的设备在 管理中心上标记为过期。您对配置所做的更改仍在等待下一次部署。要查看待处理的更改,请选择 部署 > 部署,然后点击回滚设备旁边的 预览 图标。

  • 对于访问列表非常大的设备,如果 对象组搜索 设置被禁用,回滚操作可能需要更长时间才能完成。要验证 对象组搜索 此设置,请转至 设备 > 设备管理,选择设备,然后点击 编辑高级设置

  • 对于 Firepower 4100/9300,请确保任何回滚版本的当前 机箱管理器 接口配置都相同。否则,回滚接口配置可能与您的实际接口不匹配。

  • 如果回滚版本和当前版本的管理器访问接口(管理器或数据接口)不同,则不支持回滚。

  • 独立认证登记也会在“部署历史记录”(Deployment History) 页面中列为部署作业。但是,您无法回滚到这些版本。从证书注册后创建的部署版本回滚也会恢复证书关联。在回滚后的下一次部署中,请在继续部署之前手动关联证书。

  • 如果您升级 管理中心,则以前软件版本的所有回滚版本都将不再可用于设备,即使您没有升级设备。

  • 如果升级设备,则只能回滚到当前软件版本的版本。

  • 如果回滚了 FlexConfig 对象且部署频率被设为一次的设备的部署,则您将无法重新部署该对象,即使该对象在“预览”(Preview) 页面上显示为过期。在回滚后,您必须手动取消分配,然后在下一次部署之前将 FlexConfig 对象重新分配给设备。

  • 对于高可用性,以下场景不支持回滚:

    • 当要回滚到的版本包含高可用性引导程序配置时。换句话说,首次为独立设备形成高可用性时的部署。

    • 当前处于独立模式的设备是先前部署版本中高可用性对的一部分时。

  • 有关集群,请参阅以下准则:

    • 当前处于独立模式的设备是先前部署版本中集群的一部分时,回滚不受支持。

    • (安全防火墙 3100/4200 和私有云中的 threat defense virtual )如果更改集群引导程序配置或添加或删除节点,则无法回滚到这些更改之前的版本。

在回滚之后未恢复的配置

回滚会恢复设备上的所有配置,但个别配置除外。有关详细信息,请参阅下表。

在回滚期间已恢复的配置

在回滚期间未恢复的配置

  • 所有策略配置

  • 接口配置

  • SRU 配置

  • VDB 配置

  • LSP 配置

  • VPN 配置

  • FXOS 配置

  • Snort 二进制文件

     

    支持从 Snort 3 回滚到 Snort 2 版本策略,反之亦然。

  • 地理位置数据库

执行回滚

您可以将设备回滚到以前部署的配置。在策略部署后,如果通过设备的流量以非预期方式受到影响,则回滚提供了一个选项,可将设备恢复到故障部署之前存在的较早状态。

回滚仅恢复所选设备上的配置。

过程

步骤 1

选择 部署 >部署历史记录部署历史记录图标

所有先前部署作业的列表将按时间倒序显示。

步骤 2

点击回滚 (Rollback)

步骤 3

通过点击 作业 并从 所选作业 下拉列表中选择作业,或者选择 设备列表来过滤显示的设备列表。

步骤 4

(可选) 在 搜索设备 搜索框中输入设备名称,以便过滤设备列表。

步骤 5

选中要回滚的设备旁边的复选框,然后从 回滚版本 下拉列表中选择每个设备的版本。

图 18. 所选作业列表
所选作业列表
图 19. 设备列表
设备列表

此外,还会列出特定回滚版本的作业名称和关联的部署说明。

步骤 6

(可选) 点击预览图标(预览图标)以查看在所选版本中部署的更改。

步骤 7

点击回滚 (Rollback)


下一步做什么

要了解回滚的状态,请选择部署 (Deploy) > 部署 (Deployment)。您可以在设备名称旁边查看回滚状态。

查看部署回滚脚本

回滚脚本是发送到设备的命令以及从设备返回的响应的书面版本。如果回滚操作失败, 部署 > 部署历史记录 页面中的脚本会提供失败原因。但是,要了解为成功执行回滚操作而执行的 CLI 命令,请在回滚操作完成后执行以下步骤。请注意,这些信息仅在下一次部署之前可用。



CLI 命令信息在回滚完成后并且仅在下一次部署之前可用。回滚操作后的第一次部署会清除所有与回滚相关的信息。




对于任何回滚部署,部署说明会随回滚作业自动更新。在部署历史记录 (Deployment History) 页面中,用户可以使用“搜索”(Search) 选项轻松过滤回滚作业。


过程

步骤 1

Cisco Secure Firewall Management Center 菜单栏中,选择系统 (System) > 运行状况 (Health) > 监控 (Monitor)

步骤 2

从左窗格中选择已回滚的设备。

步骤 3

点击查看系统和故障排除详细信息 (View System & Troubleshooting Details) 链接。

步骤 4

点击高级故障排除

步骤 5

点击 威胁防御 CLI

步骤 6

命令 (Command) 下拉框中选择 show

步骤 7

参数 (Parameter) 字段中输入 running

步骤 8

点击执行 (Execute)


下载多个设备的策略更改报告

下载有关自上次部署多台设备以来所做 威胁防御 的策略和对象更改的报告。您可以以包含以下报告的 zip 文件的形式下载报告:

  • 每台设备的待处理变更报告,在其中预览策略中的添加、更新或删除,或将在设备上部署的对象。有关详细信息,请参阅 部署配置更改部署预览

  • 根据报告状态对每台设备进行分类的合并报告。

过程


步骤 1

选择 部署 > 高级部署

步骤 2

选中要为其生成待处理策略更改报告的设备旁边的复选框,然后点击 待处理更改报告

步骤 3

点击 待处理更改报告。报告在后台生成。

步骤 4

管理中心 菜单栏上,选择 通知 > 任务 以查看报告生成任务。

报告请求任务完成后,下载链接将显示在任务通知中。

步骤 5

点击 下载报告 链接以下载报告。


比较策略

要查看策略更改是否符合您的组织的标准或优化系统性能,您可以检查两个策略之间的区别,或者已保存策略和正在运行策略之间的区别。

您可以比较以下策略类型:

  • DNS

  • 文件

  • 健康状况

  • 身份

  • 入侵(仅限 Snort 2 策略)

  • 网络分析

  • SSL

比较视图以并排形式显示两个策略。突出显示两个策略之间的差异:

  • 蓝色表示两个策略中此突出显示的设置存在不同,并且用红色文本注明其不同之处。

  • 绿色表示突出显示的设置出现在一个策略中但未出现在另一个策略中。

开始之前

仅当您有特定策略的访问权限和任何所需的许可,并且处于配置该策略的正确域中时,才能比较策略。

过程


步骤 1

访问要比较的策略的管理页面:

  • DNS - 策略 > 访问控制 > DNS
  • 文件 - 策略 > 访问控制 > 恶意软件和文件
  • 运行状况 - 系统系统齿轮图标 > 运行状况 (Health) > 策略 (Policy)
  • 身份 - 策略 > 访问控制 > 身份
  • 入侵 - 策略 > 访问控制 > 入侵

     

    您只能比较 Snort 2 策略。

  • 网络分析 - 策略 (Policies) > 访问控制 (Access Control),然后点击网络分析策略 (Network Analysis Policy)策略 > 访问控制 > 入侵,然后点击 网络分析策略

     

    如果自定义用户角色限制对此处列出的第一个路径的访问,请使用第二个路径访问该策略。

  • SSL - 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)

步骤 2

点击比较策略 (Compare Policies)

步骤 3

对比 (Compare Against) 下拉列表中,选择要进行的比较类型:

  • 要比较两个不同的策略,请选择其他策略 (Other Policy)
  • 要比较同一策略的两个版本,请选择其他版本 (Other Revision)
  • 要将其他策略与当前有效的策略进行比较,请选择运行配置 (Running Configuration)

步骤 4

根据所选的比较类型,您将具有以下选项:

  • 如果要比较两个不同的策略,请从策略 A (Policy A)策略 B (Policy B) 下拉列表中选择要比较的策略。
  • 如果要比较运行配置与其他策略,请从策略 B (Policy B) 下拉列表中选择第二个策略。

步骤 5

点击确定 (OK)

步骤 6

查看比较结果:

  • 比较查看器 - 要使用比较查看器逐个浏览策略差异,请点击标题栏上方的上一个 (Previous)下一个 (Next)
  • 比较报告 - 要生成 PDF 报告来列出两个策略之间的差异,请点击比较报告 (Comparison Report)


生成当前策略报告

对于大多数策略,可以生成两种报告。有关单个策略的报告提供该策略的当前已保存配置的详细信息,而比较报告仅列出两个策略之间的区别。您可以为运行状况策略之外的所有策略类型生成单策略报告。



入侵策略报告将基本策略中的设置与策略层的设置组合在一起,不区分源自基本策略或策略层的设置。


开始之前

仅当您有特定策略的访问权限和任何所需的许可,并且处于配置该策略的正确域中时,才能生成策略报告。

过程


步骤 1

访问要为其生成报告的策略的管理页面:

  • 访问控制 -策略 > 访问控制
  • DNS - 策略 > 访问控制 > DNS
  • 文件 - 策略 > 访问控制 > 恶意软件和文件
  • 运行状况 - 系统系统齿轮图标 > 运行状况 (Health) > 策略 (Policy)
  • 身份 - 策略 > 访问控制 > 身份
  • 入侵 - 策略 > 访问控制 > 入侵
  • NAT-设备 > NAT
  • 网络分析 - 策略 (Policies) > 访问控制 (Access Control),然后点击网络分析策略 (Network Analysis Policy)策略 > 访问控制 > 入侵,然后点击 网络分析策略

     

    如果自定义用户角色限制对此处列出的第一个路径的访问,请使用第二个路径访问该策略。

  • SSL - 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)

步骤 2

点击要生成报告的策略旁边的报告报告图标


配置部署的历史记录

功能

最低 管理中心

最低 威胁防御

详情

设置为设备回滚保留的部署历史文件数量。

任意

任意

现在可以设置为设备回滚保留的部署历史文件数量,最多为 10 个(默认值)。这样可以帮助你节省管理中心的磁盘空间。

新增/修改的屏幕:部署 (Deploy) > 部署历史记录部署历史记录图标 > 部署设置 (Deployment Setting) > 配置版本设置 (Configuration Version Setting)

其他版本限制:不支持管理中心版本 7.3.x 或 7.4.0。

查看并生成有关自上次部署以来的配置更改的报告。

任意

任意

您可以生成、查看和下载(作为 zip 文件)以下关于上次部署后配置更改的报告:

  • 每台设备的策略变更报告,在其中预览策略中的添加、变更或删除,或将在设备上部署的对象。

  • 根据策略变更报告生成的状态对每台设备进行分类的合并报告。

这在升级管理中心或威胁防御设备后尤其有用,这样就能在部署前看到升级所做的更改。

新增/修改的屏幕:部署 (Deploy) > 高级部署 (Advanced Deploy)

其他版本限制:不支持管理中心版本 7.3.x 或 7.4.0。

在部署配置更改时生成报告并通过邮件发送。

7.2

任意

您现在可以为任何部署生成报告。

新增/修改的页面:部署 (Deploy) > 部署历史记录部署历史记录图标 图标 > 更多更多图标生成报告 (Generate Report)

部署预览和预览中的用户信息。

7.0

任意

“部署”(Deployment) 页面具有以下新添加的功能:

  • 部署 (Deployment) 页面上,修改者 (Modified By) 列会根据每个策略列表列出已修改策略的用户。

  • 过滤器部署支持 - 部署 (Deployment) 页面上的过滤器图标会提供一个选项,用于过滤待部署的设备列表。过滤器图标提供了根据所选设备和用户名过滤列表的选项。

  • 部署历史预览 - 点击预览 (Preview) 以查看设备上部署的策略和对象更改与之前部署的版本。在部署历史记录中,将捕获最近 10 次成功部署、最近 5 次失败部署以及最近 5 次回滚部署。

  • 部署说明 - 部署说明 (Deployment Notes) 是用户可以在部署过程中添加的自定义和可选说明。您可以在部署历史记录 (Deployment History) 页面中查看部署说明 (Deployment Notes) 列。

  • 部署回滚也可用于 Snort 3 策略。

威胁防御 设备上回滚部署。

6.7

6.7

回滚是一种部署功能,用于删除 威胁防御 设备上的现有部署,并可以使用以前部署的配置来重新配置设备。

新增/修改的页面:部署 (Deploy) > 部署历史 (Deployment History) 页面提供了一个带有回滚图标的新回滚列。展开作业时也会看到类似的回滚图标,以便在设备级别启动回滚。

新部署 Web 界面。

6.6

任意

管理中心 菜单栏上的部署 (Deploy) 按钮更改为部署 (Deploy) 菜单。它下面包含两个新的子菜单选项。这些是部署 (Deployment)部署历史 (Deployment History)。“部署”(Deployment) 页面经过改进,添加了新功能,新的“部署历史”(Deployment History) 页面提供所有以前部署的图例。

“部署”(Deployment) 页面具有以下新添加的功能:

  • 部署状态 - 在“部署”(Deployment) 页上,状态列提供每个设备的部署状态。

  • 部署估计 - 选择设备、策略或配置后,“部署”(Deployment) 页上将提供估计 (Estimate)链接。点击估计 (Estimate) 链接后会显示部署持续时间的估计值。

  • 部署预览 - 预览可提供要在设备上部署的所有策略和对象更改的快照。策略更改包括新策略、现有策略的更改以及已删除的策略。对象更改包括策略中使用的已添加和修改的对象。

  • 选择性策略部署 - 管理中心 允许您在设备上应该部署的所有更改的列表内选择特定的策略,并只部署所选的策略。