Diretrizes para download de dados do Firepower Management Center para dispositivos gerenciados

Introduction

A manutenção de uma implantação do Firepower exige que você faça o download periódico dos dados do Firepower Management Center para os dispositivos que ele gerencia. Este documento fornece informações que você pode usar para transferir com êxito atualizações do Firepower Management Center para dispositivos gerenciados.

Diretrizes gerais de download

Para suportar a operação diária do sistema Firepower, a Cisco recomenda manter uma largura de banda de rede dedicada de pelo menos 256 kbps entre a interface externa e cada dispositivo gerenciado. Certifique-se de que a largura de banda alocada entre o Firepower Management Center e o switch que ele usa para se comunicar com seus dispositivos gerenciados é suficiente para suportar pelo menos 256 kbps para cada dispositivo. Pode ser necessária largura de banda adicional ao transferir atualizações de software do Firepower Management Center para um dispositivo gerido ou ao transferir simultaneamente várias atualizações de política ou de dados para um dispositivo gerido.

Caution: O download de atualizações para dispositivos gerenciados pode afetar a inspeção de tráfego, o fluxo de tráfego e o estado do link. No caso de atualizações de software, o Correlacionador de Dados é desabilitado enquanto uma atualização está em andamento. Portanto, a Cisco recomenda que você faça o download de atualizações em uma janela de manutenção ou em um momento em que a carga no dispositivo gerenciado sendo atualizada é mínima e uma interrupção terá o menor impacto na sua implantação.

O tempo necessário para executar qualquer tipo de download de dados do Firepower Management Center para um dispositivo gerenciado depende do tamanho do pacote de dados e da largura de banda de rede dedicada entre os dois dispositivos. Os downloads de dados para dispositivos gerenciados falharão se não puderem ser concluídos dentro dos períodos de tempo limite designados que o Firepower aplica às atividades de download.

Note: Os requisitos de largura de banda citados neste documento presumem links sem perdas entre dispositivos; se sua rede sofrer alta latência ou altas taxas de perda de pacotes, será necessária largura de banda adicional para concluir os downloads dentro dos limites de tempo que o Firepower exige.

Se, após ajustar o ambiente de rede usando as informações neste documento, você não puder fazer o download de um pacote de atualização para um dispositivo gerenciado dentro do período de tempo limite, entre em contato com o TAC da Cisco.

Download de atualizações de software

Os tamanhos do pacote de atualização de software variam muito; consulte as Notas de versão do sistema Firepower para obter a versão completa do processo de atualização, bem como o tamanho do pacote de dados. O Firepower aplica um tempo limite de 1 hora aos downloads de software. A tabela a seguir fornece fórmulas para aproximar a quantidade de tempo que um download de software levará dependendo do tamanho do pacote e da largura de banda dedicada disponível entre dispositivos.

Caution: Como o processo de atualização pode afetar a inspeção de tráfego, o fluxo de tráfego e o estado do enlace e porque o Correlacionador de Dados está desabilitado enquanto uma atualização está em andamento, a Cisco recomenda que você execute a atualização de software em uma janela de manutenção ou em um momento em que a interrupção terá o menor impacto na sua implantação.

Baixando Atualizações do Banco de Dados de Vulnerabilidade

As atualizações do banco de dados de vulnerabilidade variam de 30 a 70 MB. O download de uma atualização de VDB do Firepower Management Center para um dispositivo gerenciado falhará se não for concluído em 1 hora. Dada a largura de banda de rede dedicada, o dobro da largura de banda disponível para o download aproximadamente reduz para metade o tempo necessário para concluir o download. Por exemplo, a tabela abaixo apresenta as larguras de banda e os tempos de download de um pacote VDB de 65 MB:

Os downloads de atualização de VDB ocorrem de forma assíncrona.

Caution: A instalação de uma atualização de VDB reinicia o processo Snort quando você implanta alterações de configuração, interrompendo temporariamente a inspeção de tráfego. Se o tráfego cai durante essa interrupção ou passa sem inspeção adicional depende do modelo do dispositivo gerenciado e como ele lida com o tráfego. Consulte o Guia de Configuração do Firepower Management Center para obter mais informações.

Baixando as atualizações da política de controle de acesso e da regra de intrusão

O tamanho de uma política de controle de acesso e de uma atualização de regra de intrusão varia dependendo de vários fatores, incluindo o número de regras na atualização, as condições dentro das regras, o número de objetos reutilizáveis que a referência de regras e o número de combinações de conjunto de variáveis de política de intrusão que a referência de regras. Embora nenhuma fórmula fixa possa prever o tamanho do pacote para atualizações de políticas de controle de acesso e de regras de intrusão, a tabela a seguir fornece exemplos que você pode usar para estimar o seu próprio tamanho de pacote. Para cada pacote de exemplo, a tabela fornece a largura de banda de rede dedicada mínima necessária entre os dois dispositivos para concluir o download dentro do tempo limite de 5 minutos que o sistema impõe.

A tabela descreve apenas alguns cenários de atualização de política de exemplo. Os pacotes de atualização de políticas que incluem políticas adicionais, como políticas de arquivos ou do sistema, serão maiores e exigirão largura de banda adicional para download dentro do tempo limite que o sistema Firepower impõe.

Caution: A implantação de atualizações de controle de acesso e de regra de intrusão pode aumentar as demandas de recursos e resultar em um pequeno número de pacotes que caem sem inspeção. Além disso, a implantação de algumas configurações reinicia o processo Snort, o que interrompe a inspeção do tráfego. Se o tráfego cai durante essa interrupção ou passa sem inspeção adicional depende do modelo do dispositivo gerenciado e como ele lida com o tráfego. Consulte o Guia de Configuração do Firepower Management Center para obter mais informações.

Download de listas de URL

Devido às limitações de memória, alguns modelos de dispositivos executam a maioria da filtragem de URL com um conjunto menor, menos granular, de categorias e reputações. Consequentemente, os downloads da lista de URLs variam de tamanho, dependendo do modelo do dispositivo; os tamanhos aproximados são mostrados na tabela a seguir:

Os dispositivos de memória mais baixa incluem a família 7100 e os seguintes modelos ASA: ASA5506-X, ASA5506H-X, ASA5506W-X, ASA5508-X, ASA5512-X, ASA5515-X, ASA5516-X e ASA5525-X. (Para NGIPSv, consulte o Guia de Instalação Virtual do Sistema Firepower para obter informações sobre como alocar a quantidade correta de memória para executar a filtragem de URLs baseada em categoria e reputação.)

O download de uma lista de URL ou atualização da lista de URL que varia de 1 a 100 MB falhará se não for concluído em 10 minutos (600 segundos). O download de uma lista de URL ou atualização da lista de URL que varia de 100 MB a 4 GB falhará se não for concluído em 1 hora (3600 segundos).

Dada a largura de banda de rede dedicada, o dobro da largura de banda disponível para o download aproximadamente reduz para metade o tempo necessário para concluir o download, como mostrado nos exemplos abaixo: 

Os downloads de atualizações de listas de URL ocorrem de forma assíncrona.