Richtlinien zum Herunterladen von Daten vom FirePOWER Management Center auf verwaltete Geräte

Einführung

Um eine FirePOWER-Bereitstellung aufrechtzuerhalten, müssen Sie regelmäßig Daten vom FirePOWER Management Center auf die verwalteten Geräte herunterladen. Dieses Dokument enthält Informationen, mit denen Sie Updates erfolgreich vom FirePOWER Management Center auf verwaltete Geräte übertragen können.

Allgemeine Download-Richtlinien

Zur Unterstützung des täglichen Betriebs Ihres FirePOWER-Systems empfiehlt Cisco, eine dedizierte Netzwerkbandbreite von mindestens 256 Kbit/s zwischen der externen Schnittstelle und jedem verwalteten Gerät beizubehalten. Achten Sie darauf, dass die Bandbreite zwischen dem FirePOWER Management Center und dem Switch, den es für die Kommunikation mit seinen verwalteten Geräten verwendet, für mindestens 256 Kbit/s pro Gerät ausreicht. Beim Herunterladen von Software-Updates vom FirePOWER Management Center auf ein verwaltetes Gerät oder beim gleichzeitigen Herunterladen mehrerer Richtlinien- oder Datenaktualisierungen auf ein verwaltetes Gerät ist möglicherweise zusätzliche Bandbreite erforderlich.

Vorsicht: Das Herunterladen von Updates auf verwaltete Geräte kann sich auf die Überprüfung des Datenverkehrs, den Datenverkehrsfluss und den Verbindungsstatus auswirken. Bei Software-Updates wird der Data Correlator deaktiviert, während eine Aktualisierung ausgeführt wird. Cisco empfiehlt daher, Updates in einem Wartungsfenster oder zu einem Zeitpunkt herunterzuladen, an dem die Last für das zu aktualisierende verwaltete Gerät minimal ist und eine Unterbrechung die geringste Auswirkung auf Ihre Bereitstellung hat.

Die Zeit, die zum Herunterladen von Daten vom FirePOWER Management Center auf ein verwaltetes Gerät erforderlich ist, hängt von der Größe des Datenpakets und der dedizierten Netzwerkbandbreite zwischen den beiden Appliances ab. Datendownloads auf verwaltete Geräte schlagen fehl, wenn sie nicht innerhalb der festgelegten Zeitüberschreitungszeiträume abgeschlossen werden können, in denen Firepower Download-Aktivitäten durchsetzt.

Hinweis: Bei den in diesem Dokument genannten Bandbreitenanforderungen wird von verlustfreien Verbindungen zwischen Appliances ausgegangen. Wenn in Ihrem Netzwerk hohe Latenz oder hohe Paketverluste auftreten, wird zusätzliche Bandbreite benötigt, um die Downloads innerhalb der für Firepower erforderlichen Zeitüberschreitungen abzuschließen.

Wenn Sie nach der Anpassung Ihrer Netzwerkumgebung mithilfe der Informationen in diesem Dokument innerhalb der Ablaufzeit kein Aktualisierungspaket auf ein verwaltetes Gerät herunterladen können, wenden Sie sich an das Cisco TAC.

Herunterladen von Software-Updates

Die Größe der Softwareaktualisierungspakete variiert erheblich. Weitere Informationen zum vollständigen Update-Prozess und zur Größe des Datenpakets finden Sie in den Firepower System Release Notes für Ihre Version. Firepower wendet eine Zeitüberschreitung von 1 Stunde auf Software-Downloads an. Die folgende Tabelle enthält Formeln zur ungefähren Zeit, die ein Software-Download in Abhängigkeit von der Paketgröße und der verfügbaren dedizierten Bandbreite zwischen Geräten benötigt.

Packungsgröße	Download-Zeit bei 256 Kbit/s	Download-Zeit bei 512 Kbit/s	Download-Zeit: 2 Mbit/s	Download-Zeit: 3 Mbit/s
X MB	32 X Sekunden	16 X Sekunden	4-fache Sekunden	3 X Sekunden

Vorsicht: Da sich der Aktualisierungsvorgang auf die Überprüfung des Datenverkehrs, den Datenverkehrsfluss und den Verbindungsstatus auswirken kann und der Data Correlator während einer Aktualisierung deaktiviert ist, empfiehlt Cisco, die Software-Aktualisierung in einem Wartungsfenster oder zu einem Zeitpunkt durchzuführen, zu dem die Unterbrechung die Bereitstellung am wenigsten beeinträchtigt.

Herunterladen von Schwachstellendatenbankaktualisierungen

Updates der Schwachstellendatenbank liegen im Bereich von 30 bis 70 MB. Das Herunterladen eines VDB-Updates vom FirePOWER Management Center auf ein verwaltetes Gerät schlägt fehl, wenn es nicht innerhalb einer Stunde abgeschlossen wird. Angesichts der dedizierten Netzwerkbandbreite nimmt die Verdoppelung der verfügbaren Bandbreite für den Download etwa die Hälfte der Zeit in Anspruch, die zum Abschließen des Downloads erforderlich ist. In der folgenden Tabelle werden beispielsweise die Bandbreiten und die Download-Zeit für ein VDB-Paket mit 65 MB dargestellt:

Packungsgröße	Download-Zeit bei 256 Kbit/s	Download-Zeit bei 512 Kbit/s	Download-Zeit: 2 Mbit/s	Download-Zeit: 4 Mbit/s
65 MB	2130 Sekunden	1065 Sekunden	273 Sekunden	136 Sekunden

VDB-Update-Downloads treten asynchron auf.

Vorsicht: Bei der Installation eines VDB-Updates wird der Snort-Prozess neu gestartet, wenn Sie Konfigurationsänderungen bereitstellen, wodurch die Datenverkehrsprüfung vorübergehend unterbrochen wird. Ob der Datenverkehr während dieser Unterbrechung sinkt oder ohne weitere Überprüfung weiterläuft, hängt vom Modell des verwalteten Geräts und von der Art der Verarbeitung des Datenverkehrs ab. Weitere Informationen finden Sie im Konfigurationsleitfaden für das FirePOWER Management Center.

Herunterladen von Aktualisierungen für Zugriffskontrollrichtlinien und Zugriffskontrollregeln

Die Größe einer Zugriffskontrollrichtlinie und der Aktualisierung von Zugriffsregeln hängt von einer Reihe von Faktoren ab, darunter die Anzahl der Regeln in der Aktualisierung, die Bedingungen in den Regeln, die Anzahl wiederverwendbarer Objekte, auf die sich die Regelreferenz bezieht, und die Anzahl der Kombinationen von Zugriffsrichtlinien-Variablen in der Regel. Obwohl keine feste Formel die Paketgröße für Aktualisierungen von Zugriffskontrollrichtlinien und Zugriffskontrollregeln vorhersagen kann, enthält die folgende Tabelle Beispiele, mit denen Sie Ihre eigene Paketgröße berechnen können. Für jedes Beispielpaket stellt die Tabelle die minimale dedizierte Netzwerkbandbreite bereit, die zwischen den beiden Appliances erforderlich ist, um den Download innerhalb der vom System erzwungenen 5-minütigen Zeitspanne abzuschließen.

Richtlinienbeschreibung	Geschätzte Paketgröße	Mindestbandbreite
4 Intrusion-Policies und 1.000-Richtlinien (alle 4 Standard-Intrusion-Regeln und 1.000 Zugriffskontrollregeln)	7,8 MB	223 Kbit/s
4 Zugriffsrichtlinien und 5.000 Richtlinien (alle 4 Standardzugriffsregeln + 5.000 Zugriffskontrollregeln)	8,2 MB	256 Kbit/s
4 Zugriffsrichtlinien und 10.000 Richtlinien (alle 4 Standard-Zugriffskontrollregeln und 10.000 Zugriffskontrollregeln)	9 MB	256 Kbit/s

Die Tabelle zeigt nur einige Beispielszenarien für Richtlinienaktualisierungen. Richtlinien-Aktualisierungspakete, die zusätzliche Richtlinien wie Datei- oder Systemrichtlinien enthalten, sind größer und erfordern zusätzliche Bandbreite, um sie innerhalb der vom FirePOWER-System gesetzten Frist herunterzuladen.

Vorsicht: Die Bereitstellung von Aktualisierungen für Zugriffskontrolle und Zugriffsregeln kann zu einem erhöhten Ressourcenbedarf führen und dazu führen, dass eine kleine Anzahl von Paketen ohne Überprüfung verworfen wird. Zusätzlich wird bei der Bereitstellung einiger Konfigurationen der Snort-Prozess neu gestartet, wodurch die Datenverkehrsüberprüfung unterbrochen wird. Ob der Datenverkehr während dieser Unterbrechung sinkt oder ohne weitere Überprüfung weiterläuft, hängt vom Modell des verwalteten Geräts und von der Art der Verarbeitung des Datenverkehrs ab. Weitere Informationen finden Sie im Konfigurationsleitfaden für das FirePOWER Management Center.

Herunterladen von URL-Listen

Aufgrund von Speicherbeschränkungen führen einige Geräte die meisten URL-Filterung mit einer kleineren, weniger detaillierten Gruppe von Kategorien und Reputationen durch. Die Größe der URL-Listendownloads hängt vom jeweiligen Gerätemodell ab. Die ungefähren Größen sind in der folgenden Tabelle dargestellt:

Packungsgröße	Vollständiger URL-Listendownload	URL-Listenaktualisierung
Geräte mit höherer Speicherkapazität	450 MB	40 - 80 MB
Geräte mit niedrigerem Speicherbedarf	20 MB	20 MB

Zu den Geräten mit niedrigerem Speicher gehören die 7100-Familie und die folgenden ASA-Modelle: ASA5506-X, ASA5506H-X, ASA5506W-X, ASA5508-X, ASA5512-X, ASA5515-X, ASA5516-X und ASA5525-X. (Informationen zur Zuweisung des richtigen Arbeitsspeichers für Kategorie- und reputationsbasierte URL-Filterung finden Sie im Handbuch zur virtuellen Installation des FirePOWER-Systems.)

Beim Herunterladen einer URL-Liste oder eines URL-Listenupdates mit einer Größe von 1 bis 100 MB treten Fehler auf, wenn die Aktualisierung nicht innerhalb von 10 Minuten (600 Sekunden) abgeschlossen ist. Beim Herunterladen einer URL-Liste oder einer URL-Liste mit einer Größe von 100 MB bis 4 GB treten Fehler auf, wenn die Aktualisierung nicht innerhalb von 1 Stunde (3600 Sekunden) abgeschlossen ist.

Bei dedizierter Netzwerkbandbreite entspricht die Verdoppelung der verfügbaren Bandbreite ungefähr der Hälfte der Zeit, die zum Herunterladen benötigt wird, wie in den folgenden Beispielen gezeigt: 

Packungsgröße	Download-Zeit bei 256 Kbit/s	Download-Zeit bei 512 Kbit/s	Download-Zeit: 2 Mbit/s	Download-Zeit: 4 Mbit/s
20 MB	640 Sekunden	320 Sekunden	80 Sekunden	42 Sekunden
450 MB	14745 Sekunden	7373 Sekunden	1887 Sekunden	944 Sekunden

Das Herunterladen von URL-Listenaktualisierungen erfolgt asynchron.