Directives pour le téléchargement des données depuis Firepower Management Center vers les périphériques gérés
Options de téléchargement
-
ePub (91.3 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone -
Mobi (Kindle) (80.5 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Langage exempt de préjugés
Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
À propos de cette traduction
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Contenu
Introduction
Pour maintenir un déploiement Firepower, vous devez télécharger régulièrement des données depuis Firepower Management Center vers les périphériques qu'il gère. Ce document fournit des informations que vous pouvez utiliser pour transférer les mises à jour de Firepower Management Center vers des périphériques gérés.
Directives générales de téléchargement
Pour prendre en charge le fonctionnement quotidien de votre système Firepower, Cisco recommande de maintenir une bande passante réseau dédiée d'au moins 256 kbits/s entre l'interface externe et chaque périphérique géré. Assurez-vous que la bande passante allouée entre Firepower Management Center et le commutateur qu'il utilise pour communiquer avec ses périphériques gérés est suffisante pour prendre en charge au moins 256 kbits/s pour chaque périphérique. Une bande passante supplémentaire peut être requise lors du téléchargement de mises à jour logicielles depuis Firepower Management Center vers un périphérique géré, ou lors du téléchargement simultané de plusieurs mises à jour de stratégie ou de données vers un périphérique géré.
Attention : Le téléchargement de mises à jour sur des périphériques gérés peut affecter l'inspection du trafic, le flux de trafic et l'état des liaisons. Dans le cas des mises à jour logicielles, le corrélateur de données est désactivé pendant qu'une mise à jour est en cours. Par conséquent, Cisco vous recommande de télécharger les mises à jour dans une fenêtre de maintenance ou à un moment où la charge sur le périphérique géré en cours de mise à jour est minimale et qu'une interruption aura le moins d'impact sur votre déploiement.
Le temps nécessaire pour effectuer n'importe quel type de téléchargement de données depuis Firepower Management Center vers un périphérique géré dépend de la taille du package de données et de la bande passante réseau dédiée entre les deux appliances. Les téléchargements de données vers les périphériques gérés échoueront s'ils ne peuvent pas se terminer dans les délais impartis. Firepower applique les activités de téléchargement.
Note: Les besoins en bande passante cités dans le présent document présument des liaisons sans perte entre les appareils ; si votre réseau connaît une latence élevée ou des taux élevés de perte de paquets, une bande passante supplémentaire sera nécessaire pour terminer les téléchargements dans les délais requis par Firepower.
Si, après avoir ajusté votre environnement réseau à l'aide des informations contenues dans ce document, vous ne pouvez pas télécharger un package de mise à jour sur un périphérique géré dans le délai imparti, contactez le centre d'assistance technique de Cisco.
Téléchargement des mises à jour logicielles
La taille des packages de mise à jour logicielle varie considérablement ; reportez-vous aux notes de version de Firepower System pour votre version pour connaître le processus de mise à jour complet ainsi que la taille du package de données. Firepower applique un délai d'expiration d'1 heure aux téléchargements de logiciels. Le tableau suivant fournit des formules permettant d'estimer le temps nécessaire au téléchargement d'un logiciel en fonction de la taille du package et de la bande passante dédiée disponible entre les périphériques.
| Taille du package | Temps de téléchargement à 256 kbits/s | Délai de téléchargement à 512 kbits/s | Temps de téléchargement à 2 Mbits/s | Durée de téléchargement à 3 Mbits/s |
| X Mo | 32 X secondes | 16 X secondes | 4 secondes | 3 secondes |
Attention : Étant donné que le processus de mise à jour peut affecter l'inspection du trafic, le flux de trafic et l'état de la liaison, et que le corrélateur de données est désactivé lors d'une mise à jour en cours, Cisco vous recommande d'effectuer la mise à jour logicielle dans une fenêtre de maintenance ou à un moment où l'interruption aura le moins d'impact sur votre déploiement.
Téléchargement des mises à jour de la base de données de vulnérabilité
La taille des mises à jour de la base de données de vulnérabilité est comprise entre 30 et 70 Mo. Le téléchargement d'une mise à jour VDB à partir de Firepower Management Center vers un périphérique géré échoue s'il ne se termine pas dans l'heure. Avec une bande passante réseau dédiée, le doublement de la bande passante disponible pour le téléchargement réduit de moitié environ le temps nécessaire pour terminer le téléchargement. Par exemple, le tableau ci-dessous présente les bandes passantes et les délais de téléchargement d'un package VDB de 65 Mo :
| Taille du package | Temps de téléchargement à 256 kbits/s | Délai de téléchargement à 512 kbits/s | Temps de téléchargement à 2 Mbits/s | Délai de téléchargement à 4 Mbits/s |
| 65 Mo | 2130 secondes | 1065 secondes | 273 secondes | 136 secondes |
Les téléchargements de mises à jour VDB se produisent de manière asynchrone.
Attention : L'installation d'une mise à jour VDB redémarre le processus Snort lorsque vous déployez des modifications de configuration, interrompant temporairement l'inspection du trafic. Le fait que le trafic tombe en panne ou passe sans autre inspection dépend du modèle du périphérique géré et de la manière dont il gère le trafic. Pour plus d'informations, reportez-vous au Guide de configuration de Firepower Management Center.
Téléchargement des mises à jour des règles de contrôle d'accès et d'intrusion
La taille d'une stratégie de contrôle d'accès et d'une mise à jour de règle d'intrusion varie en fonction d'un certain nombre de facteurs, notamment le nombre de règles dans la mise à jour, les conditions dans les règles, le nombre d'objets réutilisables dans la référence de règles et le nombre de combinaisons de jeu de variables de stratégie d'intrusion dans la référence de règles. Bien qu'aucune formule fixe ne puisse prédire la taille du package pour les mises à jour des règles de contrôle d'accès et des règles d'intrusion, le tableau suivant fournit des exemples que vous pouvez utiliser pour estimer la taille de votre propre package. Pour chaque exemple de package, le tableau fournit la bande passante réseau dédiée minimale requise entre les deux appliances pour terminer le téléchargement dans le délai de 5 minutes que le système applique.
| Description de la stratégie | Taille estimée du package | Bande passante minimale |
| 4 stratégies d'intrusion et 1 000 stratégies (les 4 règles d'intrusion par défaut et les règles de contrôle d'accès 1 000) | 7,8 Mo | 223 kbps |
| 4 stratégies d'intrusion et 5 000 stratégies (les 4 règles d'intrusion par défaut + les règles de contrôle d'accès 5 000) | 8,2 Mo | 256 kbps |
| 4 stratégies d'intrusion et 10 000 stratégies (les 4 règles d'intrusion par défaut et 10 000 règles de contrôle d'accès) | 9 Mo | 256 kbps |
Le tableau ne présente que quelques exemples de scénarios de mise à jour de stratégie. Les packages de mise à jour de stratégie qui incluent des stratégies supplémentaires telles que les stratégies de fichiers ou de système seront plus volumineux et nécessiteront une bande passante supplémentaire pour le téléchargement dans le délai imparti par le système Firepower.
Attention : Le déploiement des mises à jour des règles de contrôle d'accès et d'intrusion peut augmenter les demandes de ressources et entraîner la perte d'un petit nombre de paquets sans inspection. En outre, le déploiement de certaines configurations redémarre le processus Snort, ce qui interrompt l'inspection du trafic. Le fait que le trafic tombe en panne ou passe sans autre inspection dépend du modèle du périphérique géré et de la manière dont il gère le trafic. Pour plus d'informations, reportez-vous au Guide de configuration de Firepower Management Center.
Téléchargement des listes d'URL
En raison de limitations de mémoire, certains modèles de périphériques exécutent la plupart des filtres d'URL avec un ensemble de catégories et de réputations plus petits, moins granulaires. Par conséquent, les téléchargements de listes d'URL varient en fonction du modèle de périphérique ; les tailles approximatives sont indiquées dans le tableau suivant :
| Taille du package | Téléchargement complet de la liste d'URL | Mise à jour de la liste d'URL |
| Périphériques à mémoire supérieure | 450 Mo | 40 à 80 Mo |
| Périphériques de mémoire inférieure | 20 Mo | 20 Mo |
Les périphériques de mémoire inférieure incluent la gamme 7100 et les modèles ASA suivants : ASA5506-X, ASA5506H-X, ASA5506W-X, ASA5508-X, ASA5512-X, ASA5515-X, ASA5516-X et ASA5525-X. (Pour NGIPSv, reportez-vous au Guide d'installation virtuelle de Firepower System pour plus d'informations sur l'allocation de la quantité de mémoire appropriée pour effectuer un filtrage des URL basé sur la catégorie et la réputation.)
Le téléchargement d'une liste d'URL ou d'une liste d'URL dont la taille varie de 1 à 100 Mo échoue s'il ne se termine pas dans les 10 minutes (600 secondes). Le téléchargement d'une liste d'URL ou d'une liste d'URL dont la taille varie de 100 Mo à 4 Go échoue s'il ne se termine pas dans l'heure (3 600 secondes).
En raison de la bande passante réseau dédiée, le doublement de la bande passante disponible pour le téléchargement représente environ la moitié du temps nécessaire pour terminer le téléchargement, comme indiqué dans les exemples ci-dessous :
| Taille du package | Temps de téléchargement à 256 kbits/s | Délai de téléchargement à 512 kbits/s | Temps de téléchargement à 2 Mbits/s | Délai de téléchargement à 4 Mbits/s |
| 20 Mo | 640 secondes | 320 secondes | 80 secondes | 42 secondes |
| 450 Mo | 14745 secondes | 7373 secondes | 1887 secondes | 944 secondes |
Les téléchargements des mises à jour de la liste d'URL se produisent de manière asynchrone.
Contribution d’experts de Cisco
- Constantia RiouxCisco Engineering
- Nazmul RajibCisco Engineering
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)
Ce document s’applique à ces produits
- 3000 Series Industrial Security Appliances (ISA)
- ASA 5500-X with FirePOWER Services
- FirePOWER 7000 Series Appliances
- FirePOWER 8000 Series Appliances
- Firepower 2100 Series
- Firepower 4100 Series
- Firepower 9300 Series
- NGIPS Virtual Appliance
- Secure Firewall Management Center
- Secure Firewall Threat Defense
- Secure Firewall Threat Defense Virtual