Cisco Secure Dynamic Attributes Connector

以下主题讨论如何配置和使用Cisco Secure Dynamic Attributes Connector

关于 Cisco Secure Dynamic Attributes Connector

dynamic attributes connector 让您能够在 Cisco Secure Firewall Management Center 访问控制规则中使用来自各种云服务平台的服务标签和类别。

支持的连接器

我们目前支持:

表 1. Cisco Secure Dynamic Attributes Connector 版本和 平台列出的受支持连接器列表

CSDAC 版本/平台

AWS

AWS 安全组

AWS 服务标记

Azure

Azure 服务标签

Cisco Cyber Vision

思科多云防御

通用文本

GitHub

Google Cloud

Microsoft Office 365

vCenter

Webex

Zoom

版本 1.1(本地)

版本 2.0(本地)

版本 2.2(本地)

版本 2.3(本地)

版本 3.0(本地)

云交付 (思科防御协调器)

Cisco Secure Firewall Management Center 7.4.1

Cisco Secure Firewall Management Center 7.6

有关连接器的详细信息:

工作原理

由于工作负载的动态性质和 IP 地址重叠的必然性,网络结构(例如 IP 地址)在虚拟、云和容器环境中并不可靠。客户需要根据非网络结构(例如虚拟机名称或安全组)定义策略规则,以便即使 IP 地址或 VLAN 发生更改,防火墙策略也能保持不变。

下图显示了系统的总体运行情况。

“Cisco Secure Dynamic Attributes Connector 会查询 VMware vCenter 等云服务,并向安全管理中心提供 VLAN、网络和标签等信息,以用作访问控制规则中的选择条件。这样,当云系统中的 IP 地址信息(比方说)发生更改时,您不必不断更新网络对象”

  • 系统支持某些公共云提供商。

    本主题讨论受支持的 连接器 (即与这些提供程序的连接)。

  • dynamic attributes connectorCisco Secure Firewall Management Center 一起提供。

相关主题

Cisco Secure Dynamic Attributes Connector 的历史记录

功能

管理中心最低版本

威胁防御最低版本

详细信息

新连接器

7.6

7.6

AWS 安全组、AWS 服务标签和 Cisco Cyber Vision

这些连接器可以像 思科防御协调器 一样发送本地 Cisco Secure Firewall Management Center 动态对象。

要从本地 dynamic attributes connector 接收动态对象,需要使用 3.0 版本的本地动态属性连接器。

Cisco Secure Dynamic Attributes Connector

7.4.0

7.4.0

引入了此功能。

Cisco Secure Dynamic Attributes Connector 现在包含在 Cisco Secure Firewall Management Center中。您可以在访问控制规则中使用 dynamic attributes connector 从基于云的平台(例如 Microsoft Azure)获取 IP 地址,而无需部署到托管设备。

详细信息:

新的/修改后的屏幕: 集成 > Dynamic Attributes Connector

Cisco Secure Dynamic Attributes Connector的系统要求

Cisco Secure Dynamic Attributes Connector 具有以下内存要求:

FMCv:RAM 大小

Cisco Secure Firewall Management Center 硬件型号

最大数量(连接器 + Azure AD 领域)

至少 32 GB

Firepower 1000、Firepower 1600、vFMC

10

至少 64 GB

Firepower 2500、Firepower 2600、vFMC 300

20

至少 128 GB

Firepower 4500、Firepower 4600

30

上述限制适用于虚拟机和物理机。

系统会阻止您超出上述限制,因为可能会导致部署问题。

启用 Cisco Secure Dynamic Attributes Connector

此任务讨论如何在 Cisco Secure Firewall Management Center启用 Cisco Secure Dynamic Attributes Connectordynamic attributes connector 是一种集成,支持在 管理中心 访问控制规则中使用来自云网络产品的对象。

过程


步骤 1

如果尚未登录,请登录 Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > Dynamic Attributes Connector

步骤 3

滑动到已启用 (Enabled)

步骤 4

启用 dynamic attributes connector 时,系统会显示消息。

如果出现错误,请重试。如果错误仍然存在,请联系思科 TAC。


为 Docker 容器配置网络和子网

Cisco Secure Dynamic Attributes Connector 使用 Docker 容器检索 Cisco Secure Firewall Management Center中的连接器数据。为避免与网络中使用的 Cisco Secure Firewall Management Center 管理接口和其他 IP 地址冲突,您可以选择使用本节中讨论的 命令来更改 Docker IP 地址和范围。

关于 Docker 网络

dynamic attributes connector 使用 Docker 守护程序需要以下网络:

  • Docker 后台守护程序在内部使用的docker0

  • 一系列名为 vethnumber的 IPv6 网络。

    这些是 dynamic attributes connector使用的内部网桥网络。

  • dynamic attributes connector 连接器使用的 Docker 网桥网络,名为 br-number

在启用 dynamic attributes connector 之前,只有一个名为 Docker0 的 Docker 接口,设置为 172.18.0.1/16(对于 Cisco Secure Firewall Management Center Virtual;本地管理器使用不同的 IP 地址范围)。示例部分的表格提供了详细信息。

更改 Docker 网络和子网

首先启用 dynamic attributes connector,如 启用 Cisco Secure Dynamic Attributes Connector中所述。

要更改 Docker 网络和子网,请以具有 root 权限的用户身份运行 /usr/local/sf/bin/change_docker_subnet.sh -b CIDR-network-s address-pool-size ,其中:

  • -b CIDR-network 以 CIDR 表示法设置网络基址池。

  • -s address-pool-size 设置网络基址的网络掩码。如果网络范围与现有网络范围重叠,可以使用此选项限制基址范围内的地址数量;特别是,我们建议 Cisco Secure Firewall Management Center 型号的某些 -s 值,以确保不会超过计算机中的可用 RAM。(Docker 容器由 dynamic attributes connector 连接器使用,这些限制显示在 Cisco Secure Dynamic Attributes Connector的系统要求中。)


重要


分配给 Docker 的网络必须在内部网络范围内,并且 不得Cisco Secure Firewall Management Center 或内部网络中的其他设备使用的网络冲突。


示例

下表显示示例。

Cisco Secure Firewall Management Center 型号

推荐 -s 值

示例 -b 值

Cisco Secure Dynamic Attributes Connector 使用的容器地址

Firepower 1000、Firepower 1600、vFMC

27

(子网掩码 255.255.255.224)

172.19.0.0/16

30 个 IP 地址

docker0: 172.19.0.1

网桥网络 br-编号 网关 172.19.0.33 ,子网 为 172.19.0.32/27

172.19.0.38/27、172.19.0.39/27网络中创建的连接器

Firepower 2500、Firepower 2600、vFMC 300

26

(子网掩码 255.255.255.192)

192.168.0.0/16

62 个 IP 地址

docker0: 192.168.1.1

网桥网络 br-编号 网关 192.168.1.65,子网为 192.168.1.64/26

192.168.1.71/26、192.168.1.72/26网络中创建的连接器

Firepower 4500、Firepower 4600

25

(子网掩码 255.255.255.128)

192.168.0.0/16

126 个 IP 地址

docker0: 192.168.1.1

网桥网络 br-编号 网关 192.168.1.129,子网为 192.168.1.128/25

192.168.1.136/25192.168.1.135/25等网络中创建的连接器

作为参考,完整的命令如下:

sudo /usr/local/sf/bin/change_docker_subnet.sh -b 172.19.0.0/16 -s 27
sudo /usr/local/sf/bin/change_docker_subnet.sh -b 192.168.0.0/16 -s 26
sudo /usr/local/sf/bin/change_docker_subnet.sh -b 192.168.0.0/16 -s 25

检验网络

要验证网络设置,请输入 sudo docker network inspect muster-net。命令结果以 JSON 格式显示。

故障排除

以下是使用此命令可能遇到的常见错误的一些解决方案。

错误: 拉取子网值不能大于大小
解决方案:更改 -s 的值,使其小于 CIDR 网络值。

例如,

错误sudo /usr/local/sf/bin/change_docker_subnet.sh -b 172.19.0.0/16 -s 8

正确sudo /usr/local/sf/bin/change_docker_subnet.sh -b 172.19.0.0/16 -s 20

错误:运行命令后,Docker 网络错误。
解决方案:重新启动 Docker 后台守护程序: sudo pmtool restartbyid docker
错误: 无法连接到位于 unix:///var/run/docker.sock 的 Docker 后台守护程序。Docker 守护程序是否正在运行?
解决方案:重新启动 Docker: pmtool restartbyid docker
错误:输入不能为空
-s 需要此参数。
错误: 提取大小 - 32 - 不能大于 32 或小于 0
解决方案:更改 -s 的值,使其大于 0 且小于 32。

关于控制面板

要访问 Cisco Secure Dynamic Attributes Connector 控制面板,请登录 Cisco Secure Firewall 管理器并点击页面顶部的 集成 > Dynamic Attributes Connector

如果 Cisco Secure Dynamic Attributes Connector 未启用,请移动滑块将其启用。此过程需要几分钟时间才能完成。

Cisco Secure Dynamic Attributes Connector 控制面板页面会显示连接器、适配器和过滤器的状态。以下是未配置系统的控制面板示例:

思科安全动态属性连接器控制面板显示有关已配置的连接器、过滤器和适配器的概览信息

您可以通过控制面板来执行的操作包括:

  • 添加、编辑和删除连接器动态属性过滤器。

  • 了解连接器动态属性过滤器之间的关系。

  • 查看警告和错误。

相关主题

未配置系统的控制面板

未配置系统的 Cisco Secure Dynamic Attributes Connector 控制面板页面示例:

思科安全动态属性连接器控制面板显示有关已配置的连接器、过滤器和适配器的概览信息

控制面板最初显示您可以为系统配置的所有类型的连接器。您可以执行以下任何操作:

  • 将鼠标指针悬停在连接器上,然后点击 新建一个。

  • 点击转到连接器 (Go to Connectors) 以添加、编辑或删除连接器(适用于同时创建、编辑或删除多个连接器)。

    有关详细信息,请参阅创建连接器

相关主题

已配置系统的控制面板

已配置系统的 Cisco Secure Dynamic Attributes Connector 控制面板页面示例:

点击图中的某个区域以了解详细信息,或点击该图后面的链接之一。

Cisco Dynamic Attributes Connector 控制面板显示有关已配置的连接器和过滤器概览信息 创建连接器 创建动态属性过滤器

控制面板显示以下内容(从左到右):

“连接器”(Connectors) 列

“过滤器”(Filters) 列

连接器列表,其中包含指示每种类型的配置数量的编号。连接器会收集可以发送到 Cisco Secure Firewall 管理器的动态属性。动态属性过滤器会指定要发送的数据。

点击 以查看有关所有已配置连接器的详细信息。您还可以点击连接器的名称来添加、编辑或删除连接器;或者查看有关它们的详细信息。有关详细信息,请参阅添加、编辑或删除连接器

与每个连接器关联的动态属性过滤器列表,其中带有一个数字,表示每个过滤器与连接器关联的数量。

点击 以查看有关所有已配置过滤器的详细信息。您还可以点击过滤器的名称来添加、编辑或删除过滤器;或者查看有关它们的详细信息。有关详细信息,请参阅添加、编辑或删除动态属性过滤器



某些连接器(例如 Outlook 365 和 Azure 服务标记)会自动提取可用的动态对象,而无需使用动态属性过滤器。这些连接器在 列中显示为自动 (Auto)


控制面板会指明对象是否可用。控制面板页面会每 15 秒刷新一次,但您可以随时点击页面顶部的 刷新 刷新图标 来立即刷新。如果问题仍然存在,请检查网络连接。

相关主题

添加、编辑或删除连接器

通过控制面板,您可以查看或编辑连接器。您可以点击连接器的名称以查看该连接器的所有实例,也可以点击 以查看以下其他选项:

  • 转到连接器可同时查看所有连接器;您可以在此处添加、编辑和删除连接器。

  • 添加连接器 (Add Connector) > 类型以添加指定类型的连接器。

点击连接器列 () 中的任意连接器可显示更多相关信息;示例如下:

从控制面板显示有关连接器的更多信息

您有以下选择:

  • 点击 编辑图标 (编辑图标 以编辑此连接器。

  • 点击 更多图标 (更多图标 以查看其他选项。

  • 点击 关闭面板。

  • 点击 版本以显示版本。如果思科 TAC 需要,您可以选择将版本复制到剪贴板。

通过面板底部的表格,您可以添加动态属性过滤器;或编辑或 dynamic attributes connector 删除连接器。示例如下:

在页面底部,您可以添加、编辑或删除动态属性过滤器

点击 添加图标 (添加图标 以便为此连接器添加动态属性过滤器。有关详细信息,请参阅创建动态属性过滤器

将鼠标指针悬停在“操作”(Actions) 列上,以编辑或删除指示的连接器。

查看错误信息

要查看连接器的错误信息,请执行以下操作:

  1. 在控制面板上,点击显示错误的连接器的名称。

  2. 在右侧窗格中,点击 信息信息图标

    示例如下。

    点击 “I” 按钮可查看有关连接器的警告

  3. 要解决此问题,请按照创建 Office 365 连接器中所述编辑连接器设置。

  4. 如果您无法解决问题,请点击版本 (Version) 并将版本复制到文本文件。

  5. 向思科 TAC 提供所有这些信息。https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

添加、编辑或删除动态属性过滤器

控制面板让您能够添加、编辑或删除动态属性过滤器。您可以点击过滤器的名称以查看该过滤器的所有实例,也可以点击 以查看下列附加选项:

  • 转至动态属性过滤器 以查看所有已配置的动态属性过滤器。您可以从这里添加、编辑或删除动态属性过滤器。

  • 添加动态属性过滤器以添加过滤器。

有关添加动态属性过滤器的详细信息,请参阅创建动态属性过滤器

如下所示:

从控制面板显示有关动态属性过滤器的信息



某些连接器(例如 Outlook 365 和 Azure 服务标记)会自动提取可用的动态对象,而无需使用动态属性过滤器。这些连接器在 列中显示为自动 (Auto)


您有以下选择:

  • 点击过滤器实例可查看与连接器关联的动态属性过滤器的摘要信息。

  • 点击 添加图标 (添加图标 以添加新的动态属性过滤器。

    有关详细信息,请参阅创建动态属性过滤器

  • 在表示指明的连接器没有关联的动态属性过滤器的过滤器列 () 中点击 。如果没有关联的过滤器,连接器将无法向 管理中心 发送任何内容。

    解决此问题的一种方法是点击过滤器列中的 ,然后点击添加动态属性过滤器 (Add Dynamic Attributes Filter)。示例如下。

    添加动态属性过滤器,以便管理中心可以开始接收动态对象

  • 点击 以添加、编辑或删除过滤器。

  • 点击 关闭面板。

创建连接器

连接器是云服务的接口。连接器从云服务检索网络信息,以便网络信息可用于 Cisco Secure Firewall Management Center上的访问控制策略。

我们支持以下内容:

表 2. Cisco Secure Dynamic Attributes Connector 版本和 平台列出的受支持连接器列表

CSDAC 版本/平台

AWS

AWS 安全组

AWS 服务标记

Azure

Azure 服务标签

Cisco Cyber Vision

思科多云防御

通用文本

GitHub

Google Cloud

Microsoft Office 365

vCenter

Webex

Zoom

版本 1.1(本地)

版本 2.0(本地)

版本 2.2(本地)

版本 2.3(本地)

版本 3.0(本地)

云交付 (思科防御协调器)

Cisco Secure Firewall Management Center 7.4.1

Cisco Secure Firewall Management Center 7.6

表 3. Cisco Secure Dynamic Attributes Connector 版本和 平台列出的受支持连接器列表

CSDAC 版本/平台

AWS

AWS 安全组

AWS 服务标记

Azure

Azure 服务标签

Cisco Cyber Vision

思科多云防御

通用文本

GitHub

Google Cloud

Microsoft Office 365

vCenter

Webex

Zoom

版本 1.1(本地)

版本 2.0(本地)

版本 2.2(本地)

版本 2.3(本地)

版本 3.0(本地)

有关详细信息,请参阅以下各节之一:

Amazon Web 服务连接器 - 关于用户权限和导入的数据

Cisco Secure Dynamic Attributes Connector 会将动态属性从 AWS 导入 Cisco Secure Firewall Management Center ,以便用于访问控制策略。

动态属性已导入

我们从 AWS 导入以下动态属性:

  • 标签,可用于组织 AWS EC2 资源的用户定义的键值对。

    有关更多信息,请参阅 AWS 文档中的 标记 EC2 资源

  • AWS 中虚拟机的 IP 地址

所需的最低权限

Cisco Secure Dynamic Attributes Connector 要求用户至少具有允许 ec2:DescribeTagsec2:DescribeVpcsec2:DescribeInstances 以便能够导入动态属性的策略。

创建对 Cisco Secure Dynamic Attributes Connector 具有最小权限的 AWS 用户

此任务讨论如何设置具有最低权限的服务帐户,以向 Cisco Secure Firewall Management Center 发送动态属性。有关这些属性的列表,请参阅 Amazon Web 服务连接器 - 关于用户权限和导入的数据

开始之前

您必须已设置 Amazon Web 服务 (AWS) 帐户。有关执行此操作的更多信息,请参阅 AWS 文档中的此文章

过程

步骤 1

以具有网络管理员角色的用户身份登录 AWS 控制台。

步骤 2

在控制面板中,点击安全、身份和合规性 (Security, Identity & Compliance) > IAM

步骤 3

点击访问管理 (Access Management) > 用户 (Users)

步骤 4

点击添加用户 (Add Users)

步骤 5

用户名 (User Name) 字段中,输入用于标识用户的名称。

步骤 6

点击访问密钥 - 编程访问 (Access Key - Programmatic Access)

步骤 7

在“设置权限”(Set permissions) 页面中,点击下一步 (Next) 而不授予用户任何访问权限;稍后执行此操作。

步骤 8

如果需要,向用户添加标签。

步骤 9

点击创建用户

步骤 10

点击 Download.csv,将用户的密钥下载到计算机。

 

这是您检索用户密钥的唯一机会。

步骤 11

点击关闭 (Close)

步骤 12

在身份和访问管理 (IAM) 页面的左侧列中,点击访问管理 (Access Management) > 策略 (Policies)

步骤 13

点击创建策略 (Create Policy)

步骤 14

在“创建策略”(Create Policy) 页面中,点击 JSON

创建 JSON 策略

步骤 15

在字段中输入以下策略:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeTags",
				"ec2:DescribeInstances",
				"ec2:DescribeVpcs"
			],
			"Resource": "*"
		}
	]
}

步骤 16

点击下一步 (Next)

步骤 17

点击审核 (Review)

步骤 18

在“查看策略”(Review Policy) 页面中输入请求的信息,然后点击创建策略 (Create Policy)

步骤 19

在“策略”(Policies) 页面上,在搜索字段中输入全部或部分策略名称,然后按 Enter 键。

步骤 20

点击您刚刚创建的策略。

步骤 21

点击操作 (Actions) > 附加 (Attach)

步骤 22

如有必要,请在搜索字段中输入全部或部分用户名,然后按 Enter 键。

步骤 23

点击附加策略 (Attach Policy)


下一步做什么

创建 AWS 连接器

创建 AWS 连接器

此任务讨论如何配置将数据从 AWS 发送到 Cisco Secure Firewall Management Center 以用于访问控制策略的连接器。

开始之前
创建至少具有创建对 Cisco Secure Dynamic Attributes Connector 具有最小权限的 AWS 用户中所述权限的用户。
过程

步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

提取间隔

(默认为 30 秒。)从 AWS 检索 IP 映射的间隔。

地区

(必需。)输入您的 AWS 区域代码。

访问密钥

(必需。)输入访问密钥。

加密密钥

(必需。)输入加密密钥。

步骤 5

点击保存 (Save)

步骤 6

确保“状态”(Status) 列中显示确定 (OK)


Amazon Web 服务安全组连接器 - 关于用户权限和导入的数据

Cisco Secure Dynamic Attributes Connector 会将动态属性从 AWS 导入 Cisco Secure Firewall Management Center ,以便用于访问控制策略。

所需的最低权限

Cisco Secure Dynamic Attributes Connector 要求用户至少具有允许 ec2:DescribeTagsec2:DescribeVpcsec2:DescribeInstances 以便能够导入动态属性的策略。

创建对 Cisco Secure Dynamic Attributes Connector 具有最小权限的 AWS 用户

此任务讨论如何设置具有最低权限的服务帐户,以向 Cisco Secure Firewall Management Center 发送动态属性。有关这些属性的列表,请参阅 Amazon Web 服务连接器 - 关于用户权限和导入的数据

开始之前

您必须已设置 Amazon Web 服务 (AWS) 帐户。有关执行此操作的更多信息,请参阅 AWS 文档中的此文章

过程

步骤 1

以具有网络管理员角色的用户身份登录 AWS 控制台。

步骤 2

在控制面板中,点击安全、身份和合规性 (Security, Identity & Compliance) > IAM

步骤 3

点击访问管理 (Access Management) > 用户 (Users)

步骤 4

点击添加用户 (Add Users)

步骤 5

用户名 (User Name) 字段中,输入用于标识用户的名称。

步骤 6

点击访问密钥 - 编程访问 (Access Key - Programmatic Access)

步骤 7

在“设置权限”(Set permissions) 页面中,点击下一步 (Next) 而不授予用户任何访问权限;稍后执行此操作。

步骤 8

如果需要,向用户添加标签。

步骤 9

点击创建用户

步骤 10

点击 Download.csv,将用户的密钥下载到计算机。

 

这是您检索用户密钥的唯一机会。

步骤 11

点击关闭 (Close)

步骤 12

在身份和访问管理 (IAM) 页面的左侧列中,点击访问管理 (Access Management) > 策略 (Policies)

步骤 13

点击创建策略 (Create Policy)

步骤 14

在“创建策略”(Create Policy) 页面中,点击 JSON

创建 JSON 策略

步骤 15

在字段中输入以下策略:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeTags",
				"ec2:DescribeInstances",
				"ec2:DescribeVpcs"
			],
			"Resource": "*"
		}
	]
}

步骤 16

点击下一步 (Next)

步骤 17

点击审核 (Review)

步骤 18

在“查看策略”(Review Policy) 页面中输入请求的信息,然后点击创建策略 (Create Policy)

步骤 19

在“策略”(Policies) 页面上,在搜索字段中输入全部或部分策略名称,然后按 Enter 键。

步骤 20

点击您刚刚创建的策略。

步骤 21

点击操作 (Actions) > 附加 (Attach)

步骤 22

如有必要,请在搜索字段中输入全部或部分用户名,然后按 Enter 键。

步骤 23

点击附加策略 (Attach Policy)


下一步做什么

创建 AWS 连接器

创建 AWS 安全组连接器

此任务讨论如何配置将 AWS 安全组数据发送到 Cisco Secure Firewall Management Center 以用于访问控制策略的连接器。

开始之前
执行以下所有操作:
过程

步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

提取间隔

(默认为 30 秒。)从 AWS 检索 IP 映射的间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

地区

(必需。)输入您的 AWS 区域代码。

AWS 访问密钥

(必需。)输入访问密钥。

AWS 加密密钥

(必需。)输入加密密钥。

步骤 5

点击保存 (Save)

步骤 6

确保“状态”(Status) 列中显示确定 (OK)


创建 AWS 服务标签连接器

本主题讨论了如何为 Amazon Web 服务 (AWS) 标签创建到 Cisco Secure Firewall Management Center 的连接器,以供在访问控制策略中使用。

有关详细信息,请参阅 AWS 文档网站上的以下资源:

过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

URL

(必需。)除非建议,否则请勿更改 URL。

步骤 5

点击保存 (Save)

步骤 6

确保“状态”(Status) 列中显示确定 (OK)


Azure 连接器 - 关于用户权限和导入的数据

Cisco Secure Dynamic Attributes Connector 会将动态属性从 Azure 导入 Cisco Secure Firewall Management Center ,以便用于访问控制策略。

动态属性已导入

我们从 Azure 导入以下动态属性:

  • 标签,与资源、资源组和订用关联的键值对。

    有关详细信息,请参阅 Microsoft 文档中的本页面

  • Azure 中虚拟机的 IP 地址

所需的最低权限

Cisco Secure Dynamic Attributes Connector 要求至少具有读者 (Reader) 权限的用户才能导入动态属性。

创建对 Cisco Secure Dynamic Attributes Connector 具有最小权限的 Azure 用户

此任务讨论如何设置具有最低权限的服务帐户,以向 Cisco Secure Firewall Management Center 发送动态属性。有关这些属性的列表,请参阅 Azure 连接器 - 关于用户权限和导入的数据

开始之前

您必须已经拥有 Microsoft Azure 帐户。要进行设置,请参阅 Azure 文档站点上的本页面

过程

步骤 1

以订用所有者的身份登录到 Azure 门户

步骤 2

点击 Azure Active Directory

步骤 3

查找要设置的应用的 Azure Active Directory 实例。

步骤 4

点击添加 (Add) > 应用注册 (App registration)

步骤 5

名称 (Name) 字段中,输入用于标识此应用的名称。

步骤 6

在此页面上输入贵组织所要求的其他信息。

步骤 7

点击注册 (Register)

步骤 8

在下一页上,记录下客户端 ID(也称为应用 ID)和租户 ID(也称为目录 ID)。

示例如下。

记下应用和租户 ID

步骤 9

点击客户端凭证旁边的 添加证书或密钥

步骤 10

点击新建客户端密钥 (New Client Secret)

步骤 11

输入请求的信息,然后点击添加 (Add)

步骤 12

字段的值复制到剪贴板。此值是客户端密钥, 而不是 密钥 ID

立即将客户端密钥复制到剪贴板,因为您不会再看到它

步骤 13

返回到 Azure 门户主页面,然后点击订用 (Subscriptions)

步骤 14

点击您的订用的名称。

步骤 15

将订用 ID 复制到剪贴板。

将订用 ID 复制到剪贴板

步骤 16

点击访问控制 (IAM) (Access Control [IAM])

步骤 17

点击添加 (Add) > 添加角色分配 (Add role assignment)

步骤 18

点击读者 (Reader),然后点击下一步 (Next)

步骤 19

点击选择成员 (Select Members)

步骤 20

在页面右侧,点击您注册的应用的名称,然后点击选择 (Select)

将角色与您的应用关联

步骤 21

点击查看 + 分配 (Review + Assign),然后按照提示完成操作。


下一步做什么

请参阅创建 Azure 连接器

创建 Azure 连接器

此任务讨论如何创建从 Azure 向 Cisco Secure Firewall Management Center 发送数据的连接器,以用于访问控制策略中。

开始之前
创建至少具有 创建对 Cisco Secure Dynamic Attributes Connector 具有最小权限的 Azure 用户 中所述权限的 Azure 用户。
过程

步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

提取间隔

(默认为 30 秒。)从 Azure 检索 IP 映射的间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

订用 ID

(必需。)输入 Azure 订用 ID。

租户 ID

(必需。)输入租户 ID。

客户端 ID

(必需。)输入您的客户端 ID。

客户端密钥

(必需。)输入您的客户端密钥。

步骤 5

点击保存 (Save)

步骤 6

确保“状态”(Status) 列中显示确定 (OK)


创建 Azure 服务标签连接器

本主题讨论了如何为 Azure 服务标签创建到 Cisco Secure Firewall Management Center 的连接器,以供在访问控制策略中使用。Microsoft 会每周更新与这些标记的 IP 地址关联。

有关详细信息,请参阅 Microsoft TechNet 上的虚拟网络服务标签

过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

提取间隔

(默认为 30 秒。)从 Azure 检索 IP 映射的间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

订用 ID

(必需。)输入 Azure 订用 ID。

租户 ID

(必需。)输入租户 ID。

客户端 ID

(必需。)输入您的客户端 ID。

客户端密钥

(必需。)输入您的客户端密钥。

步骤 5

点击保存 (Save)

步骤 6

确保“状态”(Status) 列中显示确定 (OK)


创建思科 Cyber Vision 连接器

此任务讨论如何将数据从 Cisco Cyber Vision 发送到 Cisco Secure Firewall Management Center

开始之前

必须可从运行 dynamic attributes connector 的计算机访问 Cisco Cyber Vision。您必须知道其 IP 地址、端口和 API 密钥。

要在 Cyber Vision 管理控制台中查找 API 密钥,请点击管理 (Admin) > API > 令牌 (Token),然后点击显示 (Show) 以显示令牌,并点击 以将令牌复制到剪贴板。

过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

Cyber Vision 前缀

输入一个字母数字字符串,以便在将对象发送到 Cisco Secure Firewall Management Center 时标识来自此 Cyber Vision IP 地址的动态对象。

如果您有一个 Cyber Vision IP 地址,则可以输入任何值,例如 1

提取间隔

(默认值为 60 秒。)从 Cyber Vision 获取数据映射的时间间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

IP

(必需。)输入 Cyber Vision IP 地址。

端口

(必需。)输入 Cyber Vision 侦听端口。

令牌

(必需。)输入 API 令牌。

步骤 5

点击测试 (Test) 并确保测试成功后再保存连接器。

步骤 6

点击保存 (Save)

步骤 7

确保“状态”(Status) 列中显示确定 (OK)


创建通用文本连接器

此任务讨论如何创建手动维护的 IP 地址临时列表,并按您选择的时间间隔(默认情况下为 30 秒)进行检索。您可以随时更新地址列表。

开始之前

创建包含 IP 地址的文本文件,并将其放在可从 Cisco Secure Firewall Management Center 访问的 Web 服务器上。IP 地址可以包含 CIDR 表示法。文本文件每行只能有一个 IP 地址。

例如,访问控制规则中的“允许列表”可能有一个 IP 地址列表,访问控制规则中的“阻止列表”可能有另一个 IP 地址列表。

每个文本文件最多可以指定 10,000 个 IP 地址。



请勿 在 IP 地址中包含方案 (http:// or https://)。


过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入名称和可选说明。

步骤 5

(可选。)在提取间隔 (Pull Interval) 字段中,更改动态属性连接器从 text 文件检索 IP 地址的频率(以秒为单位)。默认值为 30 秒。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

步骤 6

URL 字段中,输入要从中检索 IP 地址的每个 URL,每行一个 URL。

步骤 7

(可选。)点击添加其他 URL (Add another URL) 以添加要监控的其他 URL。

步骤 8

(可选。)如果安全连接到 Web 服务器需要证书链,您有以下选择:

  • 点击 获取证书 > 获取 以自动获取证书,或者,如果无法获取证书,请按照 手动获取证书颁发机构 (CA) 链中所述手动获取证书。

  • 点击 获取证书 > 从文件浏览 以上传您之前下载的证书链。

步骤 9

点击测试 (Test) 并确保测试成功后再保存连接器。

步骤 10

点击保存 (Save)

步骤 11

确保“状态”(Status) 列中显示确定 (OK)


创建 GitHub 连接器

此部分讨论如何创建将数据发送到 Cisco Secure Firewall Management Center 以用于访问控制策略的 GitHub 连接器。与这些标签关联的 IP 地址由 GitHub 进行维护。您不必创建动态属性过滤器。

有关详细信息,请参阅关于 GitHub 的 IP 地址



请勿更改 URL,否则将无法检索任何 IP 地址。


过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入名称和可选说明。

步骤 5

(可选。)在提取间隔 (Pull Interval) 字段中,更改动态属性连接器从 GitHub 检索 IP 地址的频率(以秒为单位)。默认值为 21,600 秒(6 小时)。

步骤 6

点击保存 (Save)

步骤 7

确保“状态”(Status) 列中显示确定 (OK)


Google 云连接器 - 关于用户权限和导入的数据

Cisco Secure Dynamic Attributes Connector 会将动态属性从 Google Cloud 导入 Cisco Secure Firewall Management Center ,以便用于访问控制策略。

动态属性已导入

我们会从 Google 云导入以下动态属性:

  • 标签,可用于组织 Google 云资源的键值对。

    有关详细信息,请参阅 Google 云文档中的创建和管理标签

  • 网络标记,与组织、文件夹或项目关联的键值对。

    有关详细信息,请参阅 Google 云文档中的创建和管理标签

  • Google 云中虚拟机的 IP 地址

所需的最低权限

Cisco Secure Dynamic Attributes Connector 要求至少具有基本 > 查看者权限的用户才能导入动态属性。

创建对 Cisco Secure Dynamic Attributes Connector 具有最小权限的 Google 云用户

此任务讨论如何设置具有最低权限的服务帐户,以向 Cisco Secure Firewall Management Center 发送动态属性。有关这些属性的列表,请参阅 Google 云连接器 - 关于用户权限和导入的数据

开始之前

您必须已设置 Google 云帐户。有关执行此操作的详细信息,请参阅 Google 云文档中的设置环境

过程

步骤 1

以所有者角色的用户身份登录您的 Google 云帐户。

步骤 2

点击IAM 和管理 (IAM & Admin) > 服务帐户 (Service Accounts) > 创建服务帐户 (Create Service Account)

步骤 3

输入以下信息:

  • 服务帐户名称:用于标识此帐户的名称;例如,CSDAC

  • 服务帐户 ID:应在您输入服务帐户名称后填写唯一值。

  • 服务帐户说明:输入可选说明。

有关服务帐户的详细信息,请参阅 Google 云文档中的了解服务帐户

步骤 4

点击创建并继续 (Create and Continue)

步骤 5

按照屏幕上的提示操作,直到显示“授予用户对此服务帐户的访问权限”部分。

步骤 6

授予用户基本 > 查看者角色。

步骤 7

点击完成 (Done)

系统将显示服务帐户列表。

步骤 8

点击您所创建的服务帐户一行末尾的 更多 (更多图标)

步骤 9

点击管理密钥 (Manage Keys)

步骤 10

点击添加密钥 (Add Key) > 创建新密钥 (Create New Key)

为用户创建新密钥

步骤 11

点击 JSON

步骤 12

点击创建 (Create)

JSON 密钥将下载到您的计算机。

步骤 13

配置 GCP 连接器时,请将密钥放在手边。


下一步做什么

请参阅创建 Google 云连接器

创建 Google 云连接器

开始之前

准备好 Google 云 JSON 格式的服务帐户数据;它是设置连接器所必需的。

过程

步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

提取间隔

(默认为 30 秒。)从 AWS 检索 IP 映射的间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

GCP 区域

(必需。)输入您的 Google 云所在的 GCP 区域。有关详细信息,请参阅 Google 云文档中的区域和地区

服务帐户

粘贴 Google 云服务帐户的 JSON 代码。

步骤 5

点击保存 (Save)

步骤 6

确保“状态”(Status) 列中显示确定 (OK)


创建 Office 365 连接器

此任务讨论如何为 Office 365 标记创建连接器,从而将数据发送到 Cisco Secure Firewall Management Center 以便用于访问控制策略。Microsoft 会每周更新与这些标记的 IP 地址关联。您不必创建动态属性过滤器即可使用数据。

有关详细信息,请参阅 docs.microsoft.com 上的 Office 365 URL 和 IP 地址范围

过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

提取间隔

(默认为 30 秒。)从 Azure 检索 IP 映射的间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

基本 API URL

(必需。)输入要从中检索 Office 365 信息的 URL(如果其与默认值不同)。有关详细信息,请参阅 Microsoft 文档站点上的 Office 365 IP 地址和 URL Web 服务

实例名称

(必需。)从列表中,点击实例名称。有关详细信息,请参阅 Microsoft 文档站点上的 Office 365 IP 地址和 URL Web 服务

禁用可选 IP

(必需。)输入 true false

步骤 5

点击保存 (Save)

步骤 6

确保“状态”(Status) 列中显示确定 (OK)


vCenter 连接器 - 关于用户权限和导入的数据

Cisco Secure Dynamic Attributes Connector 会将动态属性从 vCenter 导入 Cisco Secure Firewall Management Center ,以便用于访问控制策略。

动态属性已导入

我们会从 vCenter 导入以下动态属性:

  • 操作系统

  • MAC 地址

  • IP 地址

  • NSX 标记

所需的最低权限

Cisco Secure Dynamic Attributes Connector 要求至少具有只读权限的用户才能导入动态属性。

创建对 Cisco Secure Dynamic Attributes Connector具有最小权限的 vCenter 用户

此任务讨论如何设置具有最低权限的服务帐户,以向 Cisco Secure Firewall Management Center 发送动态属性。有关这些属性的列表,请参阅 vCenter 连接器 - 关于用户权限和导入的数据

开始之前

您必须已设置 vCenter 服务器帐户。有关执行此操作的详细信息,请参阅 vCenter 文档中的关于 vCenter 服务器安装和设置

过程

步骤 1

以管理员身份登录 vCenter。

步骤 2

点击菜单 (Menu) > 管理 (Administration)

步骤 3

在左侧窗格中,点击单点登录 (Single Sign On) > 用户和组 (Users and Groups)

步骤 4

域 (Domain) 列表中,点击域的名称以添加用户。

步骤 5

点击添加用户 (Add User)

步骤 6

输入请求的信息,然后点击添加 (Add)

步骤 7

在左侧窗格中,点击访问控制 (Access Control) > 全局权限 (Global Permissions)

步骤 8

点击添加 (添加图标)。

步骤 9

用户 (User) 字段中,点击您在其中创建用户的 vCenter 域的名称。

步骤 10

在搜索字段中,输入用户名的一部分。

步骤 11

角色 (Role) 列表中,点击只读 (Read-only)

步骤 12

选择 传播到子项 复选框。

创建角色时,请确保将其传播给其子角色

步骤 13

点击确定 (OK)


下一步做什么

请参阅创建 vCenter 连接器

创建 vCenter 连接器

此任务讨论如何为 VMware vCenter 创建连接器,从而将数据发送到 Cisco Secure Firewall Management Center 以用于访问控制策略。

开始之前

如果使用不受信任的证书与 vCenter 通信,请参阅手动获取证书颁发机构 (CA) 链

过程

步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

输入可选的说明。

提取间隔

(默认为 30 秒。)从 vCenter 检索 IP 映射的间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

主机

(必需。)输入以下任意命令:

  • vCenter 的完全限定主机名

  • vCenter 的 IP 地址

  • (可选。)A 端口

请勿输入方案(例如 https://)或末尾斜杠。

例如,myvcenter.example.com192.0.2.100:9090

用户

(必需。)输入至少具有只读角色的用户的用户名。用户名区分大小写。

密码

(必需。)输入用户的密码。

NSX IP

如果使用 vCenter 网络安全可视化 (NSX),请输入其 IP 地址。

NSX 用户

输入至少具有审核员角色的 NSX 用户的用户名。

NSX 类型

输入 NSX-T

NSX 密码

输入 NSX 用户的密码。

vCenter 证书

您有以下选择:

以下是成功获取证书链的示例:

为 vCenter 连接器获取 CA 证书的示例

展开对话框顶部的证书 CA 链会显示类似于以下内容的证书。

如果展开证书,则可以看到链中的证书

如果无法通过这种方式获取证书,您可以手动获取证书链,如 手动获取证书颁发机构 (CA) 链中所述。

步骤 5

点击保存 (Save)


创建 Webex 连接器

此部分讨论如何创建将数据发送到 Cisco Secure Firewall Management Center 以用于访问控制策略的 Webex 连接器。与这些标签关联的 IP 地址由 Webex 进行维护。您不必创建动态属性过滤器。

有关详细信息,请参阅 Webex Calling 的端口参考

过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

提取间隔

(默认为 30 秒。)从 Webex 检索 IP 映射的间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

运营商预留 IP

(必需。)(必需。)滑动至已启用以检索任何保留的 IP 地址。

步骤 5

点击测试 (Test) 并确保测试成功后再保存连接器。

步骤 6

点击保存 (Save)

步骤 7

确保“状态”(Status) 列中显示确定 (OK)


创建 Zoom 连接器

此部分讨论如何创建将数据发送到 Cisco Secure Firewall Management Center 以用于访问控制策略的 Zoom 连接器。与这些标签关联的 IP 地址由 Zoom 进行维护。您不必创建动态属性过滤器。

有关详细信息,请参阅 Zoom 网络防火墙或代理服务器设置

过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > 动态属性连接器 > 连接器

步骤 3

执行以下任一操作:

  • 添加新连接器:点击添加图标 (添加图标,然后点击连接器名称。

  • 编辑或删除连接器:点击更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

说明

名称

(必需。)输入名称以唯一标识此连接器。

说明

可选说明。

提取间隔

(默认为 30 秒。)从 Zoom 检索 IP 映射的间隔。

最小拉取间隔时间 (Pull Interval) 值为 1 秒。您可以将最大值设置为任何想要的值。我们建议不要将最小值设得太低,因为这会产生大量流量,而且在适用情况下,可能会导致您为流量付费。

运营商预留 IP

(必需。)滑动至已启用以检索任何保留的 IP 地址。

步骤 5

点击测试 (Test) 并确保测试成功后再保存连接器。

步骤 6

点击保存 (Save)

步骤 7

确保“状态”(Status) 列中显示确定 (OK)


创建动态属性过滤器

使用 Cisco Secure Dynamic Attributes Connector 定义的动态属性过滤器会在 Cisco Secure Firewall Management Center 中显示为可在访问控制策略中使用的动态对象。例如,您可以将财务部门对 AWS 服务器的访问权限限制为 Microsoft Active Directory 中定义的财务组成员。



您不能为 通用文本、 Office 365 Azure 服务标签、Webex 或缩放 创建动态属性过滤器。这些类型的云对象会提供自己的 IP 地址。


有关访问控制规则的详细信息,请参阅使用动态属性过滤器来创建访问控制规则

开始之前

创建连接器

过程


步骤 1

登录 Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > Dynamic Attributes Connector

步骤 3

点击动态属性过滤器 (Dynamic Attributes Filters) 选项卡。

  • 添加新过滤器:点击 添加 (添加图标)

  • 编辑或删除过滤器:点击 更多更多图标,然后点击行末尾的编辑 (Edit)删除 (Delete)

步骤 4

输入以下信息。

项目

说明

名称

用于在访问控制策略和 Cisco Secure Firewall Management Center 对象管理器(外部属性 (External Attributes) > 动态对象 (Dynamic Object))中标识动态过滤器(作为动态对象)的唯一名称。

连接器

在列表中点击要使用的连接器的名称。

查询

请点击 添加添加图标

步骤 5

要添加或编辑查询,请输入以下信息。

项目 说明

密钥

点击列表中的一个键。密钥会从连接器获取。

操作

点击以下选项之一:
  • 等于 (Equals) 会将密钥与值完全匹配。

  • 包含 (Contains) 会将键与值匹配(如果值的任何部分匹配)。

点击任意 (Any)全部 (All),然后点击列表中的一个或多个值。点击添加其他值 (Add another value) 以便向查询中添加值。

步骤 6

点击显示预览 (Show Preview) 以便显示查询返回的网络或 IP 地址的列表。

步骤 7

完成后,点击保存 (Save)

步骤 8

(可选。)验证 Cisco Secure Firewall Management Center 中的动态对象。

  1. 至少要以具有网络管理员角色的用户身份登录 Cisco Secure Firewall Management Center

  2. 点击对象 (Objects) > 对象管理 (Object Management)

  3. 在左侧窗格中,点击外部属性 (External Attributes) > 动态对象 (Dynamic Object)

    您创建的动态属性查询应显示为动态对象。

动态属性过滤器示例

本主题提供了设置动态属性过滤器的一些示例。

示例:vCenter

以下示例显示了一个条件:VLAN。

此示例显示了查找 VLAN 的简单 vCenter 动态属性过滤器

以下示例显示了使用 OR 连接的三个条件:查询匹配三个主机中的任何一个。

查找三个主机中任意一个的另一个示例 vCenter 动态属性过滤器;通过 OR 连接查询

示例:Azure

以下示例显示了一个条件:标记为财务应用的服务器。

查找财务应用标签的示例 Azure 动态属性过滤器

示例:AWS

以下示例显示了一个条件:值为 1 的 FinanceApp。

示例 Amazon Web 服务动态属性过滤器,用于查找值为 1 的 FinanceApp 标签

手动获取证书颁发机构 (CA) 链

在事件中无法自动获取证书颁发机构链,使用以下浏览器特定程序之一获取用于安全连接到 vCenter 管理中心

证书链是根证书和所有从属证书。

您可以选择使用以下程序之一连接到以下设备:

  • vCenter 或 NSX

  • 管理中心

获取证书链 - Mac(Chrome 和 Firefox)

使用此程序在 Mac OS 上使用 Chrome 和 Firefox 浏览器来获取证书链。

  1. 打开终端窗口。

  2. 输入以下命令。

    security verify-cert -P url[:port]

    其中 url 是 vCenter 管理中心 的 URL(包括方案)。 例如:

    security verify-cert -P https://myvcenter.example.com

    如果使用 NAT 或 PAT 访问 vCenter 管理中心,可以按如下方式添加端口:

    security verify-cert -P https://myvcenter.example.com:12345
  3. 将整个证书链保存到纯文本文件中。

    • 包括所有 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 分隔符。

    • 排除任何无关的文本(例如,证书的名称和尖括号 (< and >) 中包含的任何文本以及尖括号本身。

  4. 对 vCenter 管理中心 重复这些任务。

获取证书链 - Windows Chrome

使用此程序在 Windows 上使用 Chrome 浏览器来获取证书链。

  1. 使用 Chrome 登录 vCenter 管理中心

  2. 在浏览器地址栏中点击主机名左侧的锁图标。

  3. 点击证书 (Certificate)

  4. 点击认证路径 (Certification Path) 选项卡。

  5. 点击证书链中顶部的(即第一个)证书。

  6. 点击查看证书 (View Certificates)

  7. 点击详细信息 (Details) 选项卡。

  8. 点击复制到文件 (Copy to File)

  9. 按照提示创建包含整个证书链的 CER 格式证书文件。

    当系统提示您选择导出文件格式时,点击 Base 64-Encoded X.509 (.CER),如下图所示。

    在证书导出向导中,选择 Base 64 编码的 X.509 并导出证书

  10. 按照提示完成导出。

  11. 在文本编辑器中打开证书。

  12. 对证书链中的所有证书重复此过程。

    您必须先按顺序将每个证书粘贴到文本编辑器中。

  13. 对 vCenter 管理中心 重复这些任务。

获取证书链 - Windows Firefox

使用以下程序为 Windows 或 Mac OS 上的 Firefox 浏览器来获取证书链。

  1. 使用 Firefox 登录 vCenter 管理中心

  2. 点击主机名左侧的锁图标。

  3. 点击右箭头(显示连接详细信息)。下图显示了一个示例。

    在 Firefox 中,显示连接详细信息以查看用于连接到 FMC 的证书

  4. 点击更多信息 (More Information)

  5. 点击查看证书 (View Certificates)

  6. 如果生成的对话框包含选项卡页面,请点击与顶层 CA 对应的选项卡页面。

  7. 滚动到“其他”(Miscellaneous) 部分。

  8. 点击下载行中的 PEM(链)(PEM [chain])。下图显示了一个示例。

    获取 PEM 链以配置 FMC 适配器

  9. 保存文件。

  10. 对 vCenter 管理中心 重复这些任务。

在访问控制策略中使用动态对象

通过 dynamic attributes connector,您可以在访问控制规则中配置动态过滤器(在 Cisco Secure Firewall Management Center 中可视为动态对象)。

关于访问控制规则中的动态对象

在创建连接器并在连接器上保存动态属性过滤器之后,动态对象会自动从 dynamic attributes connector 推送到 Cisco Secure Firewall 管理器。

您可以在访问控制规则的动态属性 (Dynamic Attributes) 选项卡页面上使用这些动态对象,这类似于使用安全组标记 (SGT) 的方式。您可以将动态对象添加为源或目标属性;例如,在访问控制阻止规则中,您可以将财务动态对象添加为目标属性,以阻止通过匹配规则中其他条件的对象访问财务服务器。



您不能为 通用文本、 Office 365 Azure 服务标签、Webex 或缩放 创建动态属性过滤器。这些类型的云对象会提供自己的 IP 地址。


使用动态属性过滤器来创建访问控制规则

本主题讨论如何使用动态对象(这些动态对象以您之前创建的动态属性过滤器来命名)创建访问控制规则。

开始之前

创建动态属性过滤器,如创建动态属性过滤器中所述。


您不能为 通用文本、 Office 365 Azure 服务标签、Webex 或缩放 创建动态属性过滤器。这些类型的云对象会提供自己的 IP 地址。


过程


步骤 1

登录至 Cisco Secure Firewall Management Center

步骤 2

请点击 策略 > 访问控制标题 > 访问控制

步骤 3

点击访问控制策略旁边的 编辑编辑图标

步骤 4

点击添加规则 (Add Rule)

步骤 5

点击动态属性 (Dynamic Attributes) 选项卡。

步骤 6

在“可用属性”(Available Attributes) 部分中,点击列表中的动态对象 (Dynamic Objects)

下图显示了一个示例。

将使用 Dynamic Attributes Connector 创建的动态属性配置为访问控制规则中的动态对象。正确使用这些对象,就像使用网络对象一样。

前面的示例显示了一个名为 FinanceNetwork 的动态对象,该对象对应于 Cisco Secure Dynamic Attributes Connector 中创建的动态属性过滤器。

步骤 7

将所需对象添加到源或目标属性。

步骤 8

如果需要,向规则中添加其他条件。


下一步做什么

Cisco Secure Firewall Management Center 设备配置指南》中的动态属性规则条件

禁用 Cisco Secure Dynamic Attributes Connector

如果您不想再从云源收集动态对象,可以禁用 Cisco Secure Dynamic Attributes Connector 中的 Cisco Secure Firewall Management Center ,如以下任务中所述。

过程


步骤 1

如果尚未登录,请登录 Cisco Secure Firewall Management Center

步骤 2

请点击 集成 > Dynamic Attributes Connector

步骤 3

滑动到 已禁用


使用命令行进行故障排除

为了帮助您进行高级故障排除和使用思科 TAC,我们提供L 以下故障排除工具。要使用这些工具,请以任何用户身份登录运行 dynamic attributes connector 的 Ubuntu 主机。

检查容器状态

要检查 dynamic attributes connector Docker 容器的状态,请输入以下命令:

cd /usr/local/sf/csdac
sudo ./muster-cli status

输出示例如下:

=============================================== CORE SERVICES ===============================================
          Name                        Command               State                   Ports                
---------------------------------------------------------------------------------------------------------
muster-bee                 /bin/sh -c /app/bee              Up      127.0.0.1:15050->50050/tcp, 50443/tcp
muster-envoy               /docker-entrypoint.sh runs ...   Up      127.0.0.1:6443->8443/tcp             
muster-local-fmc-adapter   ./docker-entrypoint.sh run ...   Up                                           
muster-ui-backend          ./docker-entrypoint.sh run ...   Up      50031/tcp                            
muster-user-analysis       ./docker-entrypoint.sh run ...   Up      50070/tcp                            
=========================== CONNECTORS AND ADAPTERS ===========================
             Name                           Command               State     Ports  
-----------------------------------------------------------------------------------
muster-connector-o365.1.muster   ./docker-entrypoint.sh run ...   Up      50070/tcp

停止、启动或重新启动 Cisco Secure Dynamic Attributes Connector Docker容器

如果 ./muster-cli status 指示容器已关闭或在出现问题时重新启动容器,您可以输入以下命令:

停止并重新启动:

cd ~/csdac/app
sudo ./muster-cli stop
sudo ./muster-cli start

仅启动:

cd ~/csdac/app
sudo ./muster-cli start

启用应用调试日志记录并生成故障排除文件

如果思科 TAC 建议这样做,请启用调试日志记录并生成故障排除文件,如下所示:

cd ~/csdac/app
sudo ./muster-cli debug-on
sudo ./muster-cli ts-gen

故障排除文件名为 ts-bundle-timestamp.tar 并在同一目录中创建。

下表显示了故障排除文件的位置以及故障排除文件中的日志。

位置

它包含的内容

/csdac/app/ts-bundle-timestamp/info

etcd 数据库内容

/csdac/app/ts-bundle-timestamp/logs

容器日志文件

/csdac/app/ts-bundle-timestamp/status.log

容器状态、版本和映像状态

为容器启用调试

如果您首先按如下方式获取容器的名称,则可以选择为单个容器启用调试:

cd /usr/local/sf/csdac
sudo ./muster-cli versions

输出示例如下:

CSDAC version: 1.0.0
CONTAINERS VERSIONS
CONTAINER                      | APP VERSION          | COMMIT                        
===============================================================================
muster-bee                     | fmc7.4-13            | 944d50c6c384567693d6ecc5a31420de57f6ce2f
muster-envoy                   | fmc7.4-25            | 5e5f6d83164a4acbef5b106aa39e2e3f68fa738f
muster-local-fmc-adapter       | fmc7.4-17            | c5902f818baa8e27d7c0b8027490dcacc28c0168
muster-ui-backend              | fmc7.4-64            | 165a1f5f0d763aa75829a30b5ffbddf0012682b6
muster-user-analysis           | fmc7.4-43            | 63cd64e29a92599908c3eb684d91e9f685d8c740
muster-connector-o365.1.muster | fmc7.4-8             | 28f075d315c8867f667b828970c9fbad35fa89cc

例如,要为 Office 365 连接器启用调试,请输入以下命令。

sudo ./muster-cli container-debug-on muster-connector-o365.1.muster

要禁用该连接器的调试,请输入以下命令。

sudo ./muster-cli container-debug-off muster-connector-o365.1.muster

验证 Cisco Secure Firewall Management Center 上的动态对象

要验证连接器是否正在 Cisco Secure Firewall Management Center 上创建对象,您可以在 Cisco Secure Firewall Management Center 上以管理员身份使用以下命令:

sudo tail f /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

示例:成功创建对象

26-Aug-2021 12:41:35.912,[INFO],(DefenseCenterServiceImpl.java:1442)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-10
** REST Request [ CSM ]
** ID : 18b25356-fd6b-4cc4-8d27-bbccb52a6275
** URL: POST /audit
{
  "version": "7.1.0",
  "requestId": "18b25356-fd6b-4cc4-8d27-bbccb52a6275",
  "data": {
    "userName": "csdac-centos7",
    "subsystem": "API",
    "message": "POST https://myfmc.example.com/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f
/object/dynamicobjects Created (201) - The request has been fulfilled and resulted in a new resource being created",
    "sourceIP": "192.0.2.103",
    "domainUuid": "e276abec-e0f2-11e3-8169-6d9ed49b625f",
    "time": "1629981695431"
  },
  "deleteList": []
}

使用 管理中心进行故障排除

此任务讨论如何为 Cisco Secure Firewall Management Center生成故障排除文件。

开始之前

有关故障排除的完整详细信息,请参阅 《Cisco Secure Firewall Management Center 管理指南》中的故障排除一章。

过程


步骤 1

登录Cisco Secure Firewall Management Center

步骤 2

请点击 系统 (系统齿轮图标) > 运行状况 > 监控

步骤 3

在左侧窗格中,点击 防火墙管理中心

步骤 4

点击顶部的 系统和故障排除详细信息

步骤 5

点击 Generate Troubleshooting Files

步骤 6

将文件提供给思科 TAC 或您的 Beta 版协调员。


手动获取证书颁发机构 (CA) 链

在事件中无法自动获取证书颁发机构链,使用以下浏览器特定程序之一获取用于安全连接到 vCenter 管理中心

证书链是根证书和所有从属证书。

您可以选择使用以下程序之一连接到以下设备:

  • vCenter 或 NSX

  • 管理中心

获取证书链 - Mac(Chrome 和 Firefox)

使用此程序在 Mac OS 上使用 Chrome 和 Firefox 浏览器来获取证书链。

  1. 打开终端窗口。

  2. 输入以下命令。

    security verify-cert -P url[:port]

    其中 url 是 vCenter 管理中心 的 URL(包括方案)。 例如:

    security verify-cert -P https://myvcenter.example.com

    如果使用 NAT 或 PAT 访问 vCenter 管理中心,可以按如下方式添加端口:

    security verify-cert -P https://myvcenter.example.com:12345
  3. 将整个证书链保存到纯文本文件中。

    • 包括所有 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 分隔符。

    • 排除任何无关的文本(例如,证书的名称和尖括号 (< and >) 中包含的任何文本以及尖括号本身。

  4. 对 vCenter 管理中心 重复这些任务。

获取证书链 - Windows Chrome

使用此程序在 Windows 上使用 Chrome 浏览器来获取证书链。

  1. 使用 Chrome 登录 vCenter 管理中心

  2. 在浏览器地址栏中点击主机名左侧的锁图标。

  3. 点击证书 (Certificate)

  4. 点击认证路径 (Certification Path) 选项卡。

  5. 点击证书链中顶部的(即第一个)证书。

  6. 点击查看证书 (View Certificates)

  7. 点击详细信息 (Details) 选项卡。

  8. 点击复制到文件 (Copy to File)

  9. 按照提示创建包含整个证书链的 CER 格式证书文件。

    当系统提示您选择导出文件格式时,点击 Base 64-Encoded X.509 (.CER),如下图所示。

    在证书导出向导中,选择 Base 64 编码的 X.509 并导出证书

  10. 按照提示完成导出。

  11. 在文本编辑器中打开证书。

  12. 对证书链中的所有证书重复此过程。

    您必须先按顺序将每个证书粘贴到文本编辑器中。

  13. 对 vCenter 管理中心 重复这些任务。

获取证书链 - Windows Firefox

使用以下程序为 Windows 或 Mac OS 上的 Firefox 浏览器来获取证书链。

  1. 使用 Firefox 登录 vCenter 管理中心

  2. 点击主机名左侧的锁图标。

  3. 点击右箭头(显示连接详细信息)。下图显示了一个示例。

    在 Firefox 中,显示连接详细信息以查看用于连接到 FMC 的证书

  4. 点击更多信息 (More Information)

  5. 点击查看证书 (View Certificates)

  6. 如果生成的对话框包含选项卡页面,请点击与顶层 CA 对应的选项卡页面。

  7. 滚动到“其他”(Miscellaneous) 部分。

  8. 点击下载行中的 PEM(链)(PEM [chain])。下图显示了一个示例。

    获取 PEM 链以配置 FMC 适配器

  9. 保存文件。

  10. 对 vCenter 管理中心 重复这些任务。

安全要求

为了保护Cisco Secure Dynamic Attributes Connector,应将其安装在受保护的内部网络中。虽然dynamic attributes connector被配置为仅提供必要的服务和端口,但您必须确保该防御中心不会受到攻击。

如果 dynamic attributes connectorCisco Secure Firewall Management Center 位于同一个网络,您可以将 Cisco Secure Firewall Management Center 连接到与 dynamic attributes connector 相同的受保护内部网络。

无论如何部署设备,内部系统通信将始终加密。但是,您仍需采取措施,确保设备之间的通信不会出现中断、阻塞或受到篡改;例如,遭受分布式拒绝服务 (DDoS) 或中间人攻击。

互联网接入要求

默认情况下,dynamic attributes connector 会被配置为使用端口 443/tcp (HTTPS) 上的 HTTPS 通过互联网与 Firepower 系统通信。如果您不希望 dynamic attributes connector 直接访问互联网,则可以配置代理服务器。

以下信息会告知您 dynamic attributes connector 用来与 Cisco Secure Firewall Management Center 和外部服务器通信的 URL。

表 4. Cisco Secure Dynamic Attributes Connector 访问要求
URL 原因
https://fmc-ip/api/fmc_platform/v1/ auth/generatetoken

身份验证

https://fmc-ip/api/fmc_config/ v1/domain/domain-id/object/dynamicobjects

GET 和 POST 动态对象

https://fmc-ip/api/fmc_config/ v1/domain/ domain-id/object/dynamicobjects/ object-id/mappings?action=add

添加映射

https://fmc-ip/api/fmc_config/ v1/domain/domain-id /object/dynamicobjects/ object-id/mappings?action=remove

删除映射

表 5. Cisco Secure Dynamic Attributes Connector vCenter 访问要求
URL 原因
https://vcenter-ip/rest/com/vmware/cis/session

身份验证

https://vcenter-ip/rest/vcenter/vm

获取 VM 信息

https://nsx-ip/api/v1/fabric/virtual-machines/ vm-id

获取与虚拟机关联的 NSX-T 标签

从 DockerHub 迁移到 Amazon ECR

Cisco Secure Dynamic Attributes Connector 的 Docker 映像正在从 Docker Hub 迁移到 Amazon Elastic Container Registry (Amazon ECR)。

要使用新的字段包,必须允许通过防火墙或代理访问以下所有 URL:

Cisco Secure Dynamic Attributes Connector Azure 访问要求

dynamic attributes connector 会调用内置 SDK 方法获取实例信息。这些方法会在内部调用 https://login.microsoft.com(用于身份验证)和 https://management.azure.com(用于获取实例信息)。

Cisco Secure Dynamic Attributes Connector 的历史记录

功能

管理中心最低版本

威胁防御最低版本

详细信息

新连接器

7.6

7.6

AWS 安全组、AWS 服务标签和 Cisco Cyber Vision

这些连接器可以像 思科防御协调器 一样发送本地 Cisco Secure Firewall Management Center 动态对象。

要从本地 dynamic attributes connector 接收动态对象,需要使用 3.0 版本的本地动态属性连接器。

Cisco Secure Dynamic Attributes Connector

7.4.0

7.4.0

引入了此功能。

Cisco Secure Dynamic Attributes Connector 现在包含在 Cisco Secure Firewall Management Center中。您可以在访问控制规则中使用 dynamic attributes connector 从基于云的平台(例如 Microsoft Azure)获取 IP 地址,而无需部署到托管设备。

详细信息:

新的/修改后的屏幕: 集成 > Dynamic Attributes Connector