Linee guida per il download dei dati da Firepower Management Center ai dispositivi gestiti

Introduzione

La gestione di un'installazione Firepower richiede il download periodico dei dati da Firepower Management Center ai dispositivi che gestisce. In questo documento vengono fornite informazioni che consentono di trasferire gli aggiornamenti da Firepower Management Center ai dispositivi gestiti.

Linee guida generali per il download

Per supportare il funzionamento quotidiano del sistema Firepower, Cisco consiglia di mantenere una larghezza di banda di rete dedicata di almeno 256 kbps tra l'interfaccia esterna e ciascun dispositivo gestito. Accertarsi che la larghezza di banda assegnata tra Firepower Management Center e lo switch utilizzato per comunicare con i dispositivi gestiti sia sufficiente a supportare almeno 256 kbps per ciascun dispositivo. Può essere necessaria una larghezza di banda aggiuntiva quando si scaricano aggiornamenti software da Firepower Management Center a un dispositivo gestito o quando si scaricano contemporaneamente più aggiornamenti di criteri o dati in un dispositivo gestito.

Attenzione: Il download degli aggiornamenti dei dispositivi gestiti può influire sull'ispezione del traffico, sul flusso del traffico e sullo stato del collegamento. Nel caso di aggiornamenti software, il Data Correlator viene disattivato mentre è in corso un aggiornamento. Cisco consiglia pertanto di scaricare gli aggiornamenti in una finestra di manutenzione o in un momento in cui il carico sul dispositivo gestito da aggiornare è minimo e un'interruzione avrà il minore impatto sull'implementazione.

Il tempo necessario per eseguire qualsiasi tipo di download di dati da Firepower Management Center a un dispositivo gestito dipende dalle dimensioni del pacchetto di dati e dalla larghezza di banda di rete dedicata tra i due accessori. I download di dati su dispositivi gestiti non riusciranno se non possono essere completati entro i periodi di timeout previsti. Firepower impone attività di download.

Nota: I requisiti di larghezza di banda citati nel presente documento presumono collegamenti senza perdita tra gli accessori; se la rete presenta un'elevata latenza o alte velocità di perdita dei pacchetti, sarà necessaria una larghezza di banda aggiuntiva per completare i download entro i timeout richiesti da Firepower.

Se, dopo aver regolato l'ambiente di rete utilizzando le informazioni riportate in questo documento, non è possibile scaricare un pacchetto di aggiornamento su un dispositivo gestito entro il periodo di timeout, contattare Cisco TAC.

Download degli aggiornamenti software

Le dimensioni dei pacchetti di aggiornamento software variano notevolmente; vedere le note di rilascio del sistema Firepower per la versione in uso per il processo di aggiornamento completo e per le dimensioni del pacchetto dati. Firepower applica un timeout di 1 ora ai download di software. Nella tabella seguente vengono fornite formule per approssimare la quantità di tempo necessaria per il download del software, in base alle dimensioni del pacchetto e alla larghezza di banda dedicata disponibile tra i dispositivi.

Dimensione pacchetto	Tempo di download a 256 kbps	Tempo di download a 512 kbps	Tempo di download a 2 mbps	Tempo di download a 3 mbps
X MB	32X secondi	16X secondi	4X secondi	3X secondi

Attenzione: Poiché il processo di aggiornamento può influire sull'ispezione del traffico, sul flusso del traffico e sullo stato del collegamento, e poiché il Correlatore dati è disabilitato durante l'esecuzione di un aggiornamento, Cisco consiglia di eseguire l'aggiornamento software in una finestra di manutenzione o in un momento in cui l'interruzione avrà il minore impatto sulla distribuzione.

Download degli aggiornamenti del database delle vulnerabilità

Le dimensioni degli aggiornamenti del database di vulnerabilità variano da 30 a 70 MB. Il download di un aggiornamento VDB da Firepower Management Center a un dispositivo gestito non riesce se il processo non viene completato entro un'ora. Data la larghezza di banda di rete dedicata, raddoppiare la larghezza di banda disponibile per il download riduce di circa la metà il tempo necessario per completare il download. Ad esempio, la tabella seguente presenta le larghezze di banda e i tempi di download per un pacchetto VDB di 65 MB:

Dimensione pacchetto	Tempo di download a 256 kbps	Tempo di download a 512 kbps	Tempo di download a 2 mbps	Tempo di download a 4 mbps
65 MB	2130 secondi	1065 secondi	273 secondi	136 secondi

I download degli aggiornamenti VDB vengono eseguiti in modo asincrono.

Attenzione: L'installazione di un aggiornamento VDB riavvia il processo Snort quando si distribuiscono le modifiche alla configurazione, interrompendo temporaneamente l'ispezione del traffico. La possibilità che il traffico cada durante l'interruzione o passi senza ulteriori controlli dipende dal modello del dispositivo gestito e dalla modalità di gestione del traffico. Per ulteriori informazioni, vedere la Guida alla configurazione di Firepower Management Center.

Download degli aggiornamenti dei criteri di controllo di accesso e delle regole di intrusione

La dimensione di una regola di controllo d'accesso e di un aggiornamento delle regole di intrusione varia in base a diversi fattori, tra cui il numero di regole nell'aggiornamento, le condizioni all'interno delle regole, il numero di oggetti riutilizzabili a cui le regole fanno riferimento e il numero di combinazioni di set di variabili di criteri di intrusione a cui fanno riferimento le regole. Sebbene nessuna formula fissa sia in grado di prevedere le dimensioni del pacchetto per gli aggiornamenti dei criteri di controllo di accesso e delle regole di intrusione, nella tabella seguente sono riportati alcuni esempi che è possibile utilizzare per stimare le dimensioni del pacchetto. Per ogni pacchetto di esempio, la tabella fornisce la larghezza di banda di rete dedicata minima richiesta tra i due accessori per completare il download entro il timeout di 5 minuti imposto dal sistema.

Descrizione criterio	Dimensioni stimate pacchetto	Larghezza di banda minima
4 criteri di intrusione e criteri 1K (tutti e 4 i criteri di intrusione predefiniti e 1000 regole di controllo di accesso)	7,8 MB	223 kbps
4 criteri per le intrusioni e 5000 (tutti e 4 i criteri per le intrusioni predefinite + 5000 regole per il controllo degli accessi)	8,2 MB	256 kbps
4 criteri di intrusione e 10K criteri (tutti e 4 i criteri di intrusione predefiniti e 10000 regole di controllo di accesso)	9 MB	256 kbps

Nella tabella vengono illustrati solo alcuni scenari di aggiornamento dei criteri di esempio. I pacchetti di aggiornamento dei criteri che includono criteri aggiuntivi come i criteri di file o di sistema saranno più grandi e richiederanno una larghezza di banda aggiuntiva per il download entro il timeout imposto dal sistema Firepower.

Attenzione: La distribuzione degli aggiornamenti del controllo di accesso e delle regole di intrusione può aumentare le richieste di risorse e comportare la perdita di un numero ridotto di pacchetti senza ispezione. Inoltre, la distribuzione di alcune configurazioni riavvia il processo Snort, che interrompe l'ispezione del traffico. La possibilità che il traffico cada durante l'interruzione o passi senza ulteriori controlli dipende dal modello del dispositivo gestito e dalla modalità di gestione del traffico. Per ulteriori informazioni, vedere la Guida alla configurazione di Firepower Management Center.

Download degli elenchi URL

A causa dei limiti di memoria, alcuni modelli di dispositivi eseguono la maggior parte del filtro URL con un set di categorie e reputazione più piccolo e meno granulare. Di conseguenza, le dimensioni dei file scaricati dall'elenco degli URL variano a seconda del modello del dispositivo; le dimensioni approssimative sono indicate nella tabella seguente:

Dimensione pacchetto	Download elenco URL completo	Aggiornamento elenco URL
Periferiche con memoria superiore	450 MB	40-80 MB
Periferiche con memoria inferiore	20 MB	20 MB

I dispositivi a memoria ridotta includono la famiglia 7100 e i seguenti modelli ASA: ASA5506-X, ASA5506H-X, ASA5506W-X, ASA5508-X, ASA5512-X, ASA5515-X, ASA5516-X e ASA5525-X. (Per NGIPSv, vedere la Guida all'installazione virtuale di Firepower System per informazioni sull'allocazione della corretta quantità di memoria per eseguire il filtro degli URL basato su categoria e reputazione. )

Il download di un elenco di URL o di un aggiornamento dell'elenco di URL di dimensioni comprese tra 1 e 100 MB non riesce se non viene completato entro 10 minuti (600 secondi). Il download di un elenco di URL o di un aggiornamento dell'elenco di URL di dimensioni comprese tra 100 MB e 4 GB non riesce se non viene completato entro un'ora (3600 secondi).

Data la larghezza di banda di rete dedicata, raddoppiare la larghezza di banda disponibile per il download significa circa la metà del tempo necessario per completare il download, come mostrato negli esempi seguenti: 

Dimensione pacchetto	Tempo di download a 256 kbps	Tempo di download a 512 kbps	Tempo di download a 2 mbps	Tempo di download a 4 mbps
20 MB	640 secondi	320 secondi	80 secondi	42 secondi
450 MB	14745 secondi	7373 secondi	1887 secondi	944 secondi

I download degli aggiornamenti dell'elenco di URL vengono eseguiti in modo asincrono.