CDO 및 Threat Defense 업그레이드에 대한 온보딩

추가 디바이스 지원 및 온보딩

이제 클러스터링된 디바이스, AWS VPC 환경 및 Azure VNET 환경을 클라우드 제공 Firewall Management Center에 온보딩할 수 있습니다. 현재 이러한 디바이스를 온보딩하려면 로그인 자격 증명이 필요합니다. 클러스터링된 디바이스는 지정된 관리 플랫폼에서 이미 구성되어 있어야 합니다. 자세한 내용은 https://docs.defenseorchestrator.com의 다음 항목을 참조하십시오.

• 클러스터 온보딩

• AWS VPC와 연결된 디바이스 온보딩

• Azure VNet 환경 온보딩

무인 Threat Defense 업그레이드

Threat Defense 업그레이드 마법사는 이제 새로운 무인 모드 메뉴를 사용하여 무인 업그레이드를 지원합니다. 업그레이드할 대상 버전 및 디바이스를 선택하고 몇 가지 업그레이드 옵션을 지정한 다음 단계를 수행하면 됩니다. 로그아웃하거나 브라우저를 닫을 수도 있습니다.

무인 업그레이드에서는 시스템에서 자동으로 필요한 업그레이드 패키지를 디바이스에 복사하고 호환성 및 준비도 확인을 수행한 다음 업그레이드를 시작합니다. 마법사를 수동으로 진행할 때와 마찬가지로 업그레이드 단계를 "통과"하지 않는 디바이스(예: 검사 실패)는 다음 단계에 포함되지 않습니다. 업그레이드가 완료되면 확인 및 업그레이드 후 작업을 시작합니다.

복사 및 확인 단계 중에 무인 모드를 일시 중지하고 다시 시작할 수 있습니다. 그러나 무인 모드를 일시 중지해도 진행 중인 작업은 중지되지 않습니다. 시작된 복사 및 확인은 완료될 때까지 실행됩니다. 마찬가지로, 무인 모드를 중지하여 진행 중인 업그레이드를 취소할 수 없습니다. 업그레이드를 취소하려면 Device Management(디바이스 관리) 페이지의 Upgrade(업그레이드) 탭 및 메시지 센터에서 액세스할 수 있는 Upgrade Status(업그레이드 상태) 팝업을 사용합니다.

Management Center용 Cisco Secure Firewall Threat Defense 업그레이드 설명서의 Threat Defense 업그레이드를 참조하십시오.

Snort 3으로 자동 업그레이드

Threat Defense에서 버전 7.3 이상으로 업그레이드하는 경우 더 이상 Snort 2를 Snort 3으로 업그레이드 옵션을 비활성화할 수 없습니다. 소프트웨어 업그레이드 후에는 설정을 구축할 때 모든 적격 디바이스가 Snort 2에서 Snort 3으로 업그레이드됩니다. 개별 디바이스를 다시 전환할 수는 있지만 Snort 2는 향후 릴리스에서 더 이상 사용되지 않으므로 지금 사용을 중지하는 것이 좋습니다.

맞춤형 침입 또는 네트워크 분석 정책 사용으로 인한 자동 업그레이드 부적격 디바이스의 경우, 향상된 탐지 및 성능을 위해 Snort 3으로 수동 업그레이드하는 것이 좋습니다.

마이그레이션 지원은 Cisco Secure Firewall Management Center Snort 3 구성 가이드를 참조하십시오.

Firepower 4100/9300의 CDO 매니지드 Secure Firewall Threat Defense 디바이스

Firepower 4100/9300은 하나 이상의 논리적 디바이스를 설치할 수 있는 유연한 보안 플랫폼입니다. Management Center에 Threat Defense기능을 추가하기 전에 Secure Firewall 섀시 관리자 또는 FXOS CLI를 사용하여 섀시 인터페이스를 구성하고 논리적 디바이스를 추가하고 인터페이스를 Firewall 4100/9300 섀시의 디바이스에 할당해야 합니다.

인터페이스

IPv6 DHCP 개선 사항

DHCP(Dynamic Host Configuration Protocol)는 IP 주소와 같은 네트워크 구성 매개 변수를 DHCP 클라이언트에 제공합니다. Threat Defense 디바이스에서는 위협 방어 디바이스 인터페이스에 연결된 DHCP 클라이언트에 DHCP 서버를 제공할 수 있습니다. DHCP 서버는 DHCP 클라이언트에 직접 네트워크 컨피그레이션 매개변수를 제공합니다.

이제 클라우드 제공 Firewall Management Center은 Secure Firewall Threat Defense 디바이스에 대해 다음과 같은 IPv6 주소 지정 기능을 지원합니다:

• DHCPv6 주소 클라이언트: Threat Defense는 DHCPv6 서버에서 IPv6 전역 주소 및 선택 사항인 기본 경로를 가져옵니다.

• DHCPv6 접두사 위임 클라이언트: Threat Defense는 DHCPv6 서버에서 위임된 접두사를 가져옵니다. 그런 다음 이러한 접두사를 사용하여 SLAAC(Stateless Address Auto Configuration) 클라이언트가 동일한 네트워크에서 IPv6 주소를 자동으로 구성할 수 있도록 다른 Threat Defense 인터페이스 주소를 구성할 수 있습니다.

• 위임된 접두사에 대한 BGP 라우터 알림.

• DHCPv6 스테이트리스 서버: Threat Defense는 SLAAC 클라이언트가 위협 방어에 IR(정보 요청) 패킷을 보낼 때 SLAAC 클라이언트에 도메인 이름 등의 기타 정보를 제공합니다. Threat Defense는 IR 패킷만 수락하고 클라이언트에 주소를 할당하지는 않습니다.

자세한 내용은 Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center로 Firewall Threat Defense 관리에서 IPv6 주소 지정 구성을 참조하십시오.

루프백 인터페이스 지원

루프백 인터페이스는 물리적 인터페이스를 에뮬레이트하는 소프트웨어 인터페이스입니다. IPv4 및 IPv6 주소를 사용하는 여러 물리적 인터페이스를 통해 연결할 수 있습니다.

고정 및 동적 VTI VPN 터널의 이중화를 위해 루프백 인터페이스를 구성할 수 있습니다. Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense 관리에서 일반 방화벽 인터페이스를 참조하십시오.

Azure 게이트웨이 로드 밸런서의 Threat Defense Virtual에 대해 페어링된 프록시 VXLAN

Azure 게이트웨이 로드 밸런서(GWLB)와 함께 사용하기 위해 Azure에서 가상 Threat Defense에 대해 페어링된 프록시 모드 VXLAN 인터페이스를 구성할 수 있습니다. 가상 Threat Defense는 페어링된 프록시에서 VXLAN 세그먼트를 활용하여 단일 NIC에서 외부 인터페이스 및 내부 인터페이스를 정의합니다.

Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense 관리에서 퍼블릭 클라우드의 Threat Defense Virtual 클러스터링을 참조하십시오.

이중화 관리자 액세스 데이터 인터페이스

이제 관리자 액세스를 위해 데이터 인터페이스를 사용할 때 기본 인터페이스가 다운되는 경우 관리 기능을 대신하도록 보조 데이터 인터페이스를 구성할 수 있습니다. 디바이스는 SLA 모니터링을 사용하여 고정 경로 및 두 인터페이스를 모두 포함하는 ECMP(Equal-Cost Multi-Path) 영역의 실행 가능성을 추적하므로 관리 트래픽이 두 인터페이스를 모두 사용할 수 있습니다. 자세한 내용은 Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center로 Firewall Threat Defense 관리에서 이중화 관리자 액세스 데이터 인터페이스 구성을 참조하십시오.

원격 액세스 VPN

원격 액세스 VPN의 TLS 1.3

이제 TLS 1.3을 사용하여 원격 액세스 VPN 연결을 암호화할 수 있습니다. Threat Defense Platform(위협 방어 플랫폼) 설정을 사용하여 디바이스가 원격 액세스 VPN 서버 역할을 할 때 TLS 1.3 프로토콜을 사용해야 하도록 지정합니다. Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense의 플랫폼 설정을 참조하십시오.

사이트 대 사이트 VPN

동적 Virtual Tunnel Interface 지원

동적 VTI를 생성하고 이를 사용하여 허브 및 스포크 토폴로지에서 경로 기반 사이트 간 VPN을 구성할 수 있습니다. 이전에는 고정 VTI만 사용하여 허브 및 스포크 토폴로지에서 경로 기반 사이트 간 VPN을 구성할 수 있었습니다.

동적 VTI를 사용 하면 대규모 엔터프라이즈 허브 및 스포크 구축을 위한 피어를 쉽게 구성할 수 있습니다. 단일 동적 VTI는 허브의 여러 고정 VTI 구성을 대체할 수 있습니다. 허브 구성을 변경하지 않고 허브에 새 스포크를 추가할 수 있습니다. Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense의 Secure Firewall Threat Defense용 사이트 간 VPN을 참조하십시오.

라우팅

클라우드 제공 Firewall Management Center는 이제 Secure Firewall Threat Defense 디바이스에서 BFD(Bidirectional Forwarding Detection) 구성을 지원합니다. BFD는 두 시스템 간에 전달되는 모든 데이터 프로토콜 상의 유니캐스트, 포인트 투 포인트 모드에서 작동합니다. 그러나 Threat Defense에서 BFD는 BGP 프로토콜에서만 지원됩니다. 디바이스의 BFD 구성에는 템플릿 및 정책을 생성하고 BGP 네이버 설정에서 BFD 지원을 활성화하는 작업이 포함됩니다.

자세한 내용은 Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center로 Firewall Threat Defense 관리에서 Bidirectional Forwarding Detection 라우팅을 참조하십시오.

Virtual Tunnel Interface에서 EIGRP (IPv4) 라우팅 지원

이제 EIGRP(IPv4) 라우팅이 Virtual Tunnel Interface에서 지원됩니다. 이제 EIGRP(IPv4) 프로토콜을 사용하여 라우팅 정보를 공유하고 피어 간에 VTI 기반 VPN 터널을 통해 트래픽 흐름을 라우팅할 수 있습니다. Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense의 VTI용 추가 구성을 참조하십시오.

IPv4 또는 IPv6 OSPF는 Threat Defense 디바이스의 VTI 인터페이스에서 구성할 수 있습니다. OSPF를 사용하여 라우팅 정보를 공유하고 디바이스 간에 VTI 기반 VPN 터널을 통해 트래픽을 라우팅할 수 있습니다. Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense 관리의 Secure Firewall Threat Defense용 사이트 간 VPN을 참조하십시오.

액세스 제어 및 위협 탐지

암호 해독 정책

기능을 더 잘 반영하기 위해 SSL 정책에서 암호 해독 정책으로 이름이 변경되었습니다. 이제 하나 이상의 Decrypt - Resign(암호 해독 - 다시 서명) 또는 Decrypt - Known Key(암호 해독 - 알려진 키) 규칙을 동시에 사용하여 암호 해독 정책을 구성할 수 있습니다.

Policies(정책) > Access Control(액세스 제어) > Decryption(해독)로 이동하여 시작하십시오.

이제 Create Decryption Policy(암호 해독 정책 생성) 대화 상자에 Outbound Connections(아웃바운드 연결) 및 Inbound Connections(인바운드 연결)라는 두 개의 탭 페이지가 있습니다.

Outbound Connections(아웃바운드 연결) 탭 페이지를 사용하여 Decrypt - Resign(암호 해독 - 다시 서명) 규칙 작업으로 하나 이상의 암호 해독 규칙을 구성합니다. (동시에 인증 기관을 업로드하거나 생성할 수 있습니다.) CA와 네트워크 및 포트의 각 조합은 하나의 암호 해독 규칙을 생성합니다.

Inbound Connections(인바운드 연결) 탭 페이지를 사용하여 Decrypt - Known Key(암호 해독 - 알려진 키) 규칙 작업으로 하나 이상의 암호 해독 규칙을 구성합니다. (서버의 인증서를 동시에 업로드할 수 있습니다.) 서버 인증서와 네트워크 및 포트의 각 조합은 하나의 암호 해독 규칙을 생성합니다.

상태 모니터링

CDO은 이제 클라우드 제공 Firewall Management Center에서 수행되는 구축의 상태를 알려줍니다. 알림 메시지에는 구축의 성공, 실패 또는 진행 중 여부에 대한 정보, 구축 시간 및 날짜, 클라우드 제공 Firewall Management Center의 구축 기록 페이지에 대한 링크가 포함됩니다. 자세한 내용은 Cisco Defense Orchestrator를 사용한 FDM 디바이스 관리의 알림을 참조하십시오.

클러스터 상태 모니터링 설정

이제 클라우드 제공 Firewall Management Center 웹 인터페이스에서 클러스터 상태 모니터 설정을 수정할 수 있습니다. 이전 버전에서 FlexConfig를 사용하여 이러한 설정을 구성하는 경우, 시스템은 구축을 허용하지만 FlexConfig 설정이 우선적으로 적용되므로 구성을 다시 실행하라는 경고를 표시합니다.

Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense 관리의 클러스터 상태 모니터링 설정 편집을 참조하십시오.

디바이스 클러스터에 대한 향상된 상태 모니터링

이제 각 클러스터의 상태 모니터를 사용하여 전체 클러스터 상태, 로드 분포 메트릭, 성능 메트릭, CCL(클러스터 제어 링크) 및 데이터 처리량 등을 볼 수 있습니다.

Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense 관리의 클러스터 상태 모니터를 참조하십시오.

새 상태 모니터링 알림

클라우드 제공 Firewall Management Center에서는 이제 Firepower 4100/9300 섀시의 온도 및 전원 공급 장치를 모니터링할 수 있는 새로운 상태 모듈을 제공합니다.

새로운 Environment Status(환경 상태) 및 Power Supply(전력 공급 장치) 상태 모듈을 사용하여 맞춤형 상태 대시보드를 생성하고 물리적 어플라이언스의 온도 및 전원 공급 장치에 대한 임계값을 설정할 수 있습니다. Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense 관리의 상태 모니터 알림을 참조하십시오.

라이선싱

통신 사업자 라이선스

Cisco Smart Licensing은 시스코 포트폴리오 및 조직 전체에서 소프트웨어를 보다 쉽고 빠르고 일관적인 방식으로 구매하고 관리할 수 있는 유연한 라이선싱 모델입니다. 클라우드 제공 Firewall Management Center는 이제 기존 스마트 라이선스 외에 통신 사업자 라이선스를 지원합니다. 통신 사업자 라이선스는 GTP/GPRS, Diameter, SCTP 및 M3UA 검사 구성을 허용합니다. Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center를 사용하여 Firewall Threat Defense 관리의 라이선스를 참조하십시오.

유용성, 성능 및 문제 해결

코어 할당 성능 프로파일

Secure Firewall Threat Defense 디바이스의 CPU 코어는 Lina 및 Snort의 두 가지 기본 시스템 프로세스에 할당됩니다. Lina는 VPN 연결, 라우팅 및 기타 기본 레이어 3/4 처리를 처리합니다. Snort는 침입 및 악성코드 방지, URL 필터링, 애플리케이션 필터링 및 심층 패킷 검사가 필요한 기타 기능을 포함한 고급 검사를 제공합니다.

이제 성능 프로파일을 사용하여 데이터 플레인 및 Snort에 할당된 시스템 코어의 백분율을 조정하여 시스템 성능을 조정할 수 있습니다. VPN 및 침입 정책의 상대적 사용에 따라 원하는 성능 프로파일을 선택할 수 있습니다. 자세한 내용은 Cisco Defense Orchestrator에서 클라우드 제공 Firewall Management Center로 Firewall Threat Defense 관리에서 성능 프로파일 구성을 참조하십시오.

ID

프록시 시퀀스

프록시 시퀀스는 LDAP, Active Directory 또는 ISE/ISE-PIC 서버와 통신하는 데 사용할 수 있는 하나 이상의 매니지드 디바이스입니다. 이는 Cisco Defense Orchestrator(CDO)가 Active Directory 또는 ISE/ISE-PIC 서버와 통신할 수 없는 경우에만 필요합니다. (예를 들어 CDO는 퍼블릭 클라우드에 있지만 Active Directory 또는 ISE/ISE-PIC는 프라이빗 클라우드에 있을 수 있습니다.)

하나의 매니지드 디바이스를 프록시 시퀀스로 사용할 수 있지만, 둘 이상의 매니지드 디바이스를 설정하는 것이 좋습니다. 그러면 하나의 매니지드 디바이스가 Active Directory 또는 ISE/ISE-PIC와 통신할 수 없는 경우 다른 매니지드 디바이스가 인계받을 수 있습니다.

Integration(통합) > Other Integrations(기타 통합) > Realms(영역) > Proxy Sequence(프록시 시퀀스)으로 이동하여 프록시 시퀀스를 생성합니다.