安装和配置安全终端虚拟私有云

简介

本文档介绍并重点介绍如何在ESXi环境中的服务器上成功部署虚拟私有云(VPC)。 有关快速入门指南、部署策略、授权指南、控制台和管理员用户指南等其他文档，请访问本网站文档

作者：Roman Valenta，Cisco TAC工程师。

先决条件

要求:

VMware ESX 5或更高版本

• 云代理模式（仅限）：128 GB RAM，8个CPU核心（建议使用2个CPU和4个核心），VMware Datastore的最小可用磁盘空间为1 TB
• 驱动器类型：空隙模式所需的SSD，建议用于代理
• RAID类型：一个RAID 10组（带区镜像）
• 最低VMware Datastore规模：2 TB
• RAID 10组(4K)的最小数据存储随机读取数：60K IOPS
• RAID 10组(4K)的最小数据存储随机写入数：30K IOPS

Cisco 建议您了解以下主题：

• 有关如何使用证书的基本知识。
• 有关如何在DNS服务器（Windows或Linux）下设置DNS的基本知识
• 在VMWare ESXi中安装开放式虚拟设备(OVA)模板

在本实验中用到：

VMware ESX 6.5

• 云代理模式（仅限）：48 GB RAM，8个CPU核心（建议使用2个CPU和4个核心），VMware Datastore上的最小可用磁盘空间为1 TB
• 驱动器类型：SATA
• RAID类型：一个RAID 1
• 最低VMware Datastore规模：1 TB
• MobaXterm 20.2（类似于PuTTY的多终端程序）
• Cygwin64（用于下载AirGap更新）

此外

• 使用openSSL或XCA创建的证书
• DNS服务器（Linux或Windows）我的实验室使用Windows Server 2016和CentOS-8
• 用于测试终端的Windows VM
• 许可证

如果内存低于48GB RAM，那么版本3.2+ VPC将无法使用。

注意：私有云OVA创建驱动器分区，因此无需在VMWare.服务器中指定这些分区，该服务器解析干净的接口主机名。‌

有关特定于版本的硬件要求的详细信息，请参阅VPC设备产品手册。

注：本文档中的信息是从特定实验环境中的设备创建的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。‌

VPC部署

选择eDelivery或授权邮件中提供的URL。下载OVA文件并继续安装

VM安装

步骤1:

导航到文件>部署OVF模板以打开部署OVF模板向导，如图所示。

注意:厚调配在创建磁盘时保留空间。如果选择此选项，则可以提高调配精简的性能。但是，这不是强制性的。现在选择Next，如图所示。

步骤 2：

选择Browse...以选择OVA文件，然后在Next中选择。您注意到OVF模板详细信息页面上的默认OVA参数，如图所示。选择下一步。

初始管理接口设置

在VM启动后，通过VM控制台执行初始配置。

步骤 1：

您可能注意到，如果接口未从DHCP服务器接收IP地址，则URL显示[UNCONFIGURED]。请注意，此接口是Management接口。这不是Production接口。

步骤 2：

可以通过Tab、Enter和箭头键进行导航。

导航到CONFIG_NETWORK，然后选择键盘上的Enter键，开始配置安全终端私有云的管理IP地址。如果不想使用DHCP，请选择No并选择Enter 键。

在出现的窗口中，选择Yes，然后选择Enter键。

如果IP已在使用中，您将使用此错误日志进行处理。只需返回并选择独一无二且未使用的产品。

如果一切顺利，您会看到如下输出

步骤 3：

等到蓝色屏幕再次弹出您的新静态IP。另请注意一次性密码。请记下笔记，然后打开我们的浏览器。

通过Web GUI进行vPC的初始配置

步骤 1：

打开Web浏览器并导航到设备的管理IP地址。当安全终端私有云最初生成自己的HTTPS证书时，您可能会收到证书错误，如图所示。将浏览器配置为信任安全终端私有云的自签HTTPS证书。

在浏览器中键入您之前配置的STATIC IP。

步骤 2：

登录后，您需要重置密码。在Old Password字段中使用控制台中的初始密码。在New Password（新密码）字段中使用您的新密码。在“新密码”字段中重新输入新密码。在“更改密码”中选择。

步骤 3：

登录后，您需要重置密码。在Old Password字段中使用控制台中的初始密码。在New Password（新密码）字段中使用您的新密码。在“新密码”字段中重新输入新密码。在“更改密码”中选择。

步骤 4：

在下一页上，向下滚动到底部，接受许可协议。选择“我已阅读并同意”(on I have read and agree)。

步骤 5：

接受协议后，您会看到安装屏幕，如图所示。如果您想从备份恢复，可以在此处进行恢复，但本指南将继续使用Clean Installation选项。在Clean Installation部分中选择Start。

步骤 6：

你需要的第一件事就是获得许可证，甚至可以继续前进。购买产品时，您将收到许可证和密码。选择on +Upload License File。选择许可证文件并输入密码。选择Upload License。如果上传失败，请检查密码是否正确。如果上传成功，将显示包含有效许可证信息的屏幕。选择“下一步”。 如果仍然无法安装许可证，请与Cisco技术支持联系。

 

 

 

步骤 7：

您将收到欢迎页面，如图所示。此页显示配置私有云之前必须拥有的信息。仔细阅读要求。选择Next以启动安装前配置。

配置

步骤 1：

注意：请注意，在下一组幻灯片中，我们包含一些独占内容（如图所示），这些内容仅是AIR GAP模式所独有的，应将其括起来并标记为AIRGAP ONLY

 ︾ ︾ AIRGAP ONLY ︾ ︾

仅︽︽AIRGAP︽︽

步骤 2：

导航到Secure Endpoint Console Account页面。管理用户用于控制台，以创建策略、计算机组并添加其他用户。输入控制台帐户的名称、电子邮件地址和密码。选择Next。

 

如果在从OVA文件部署时解决此问题，则您有两种选择：稍后继续并修复此问题，或者关闭以部署到已部署的虚拟机并相应地调整。重新启动后，继续您离开的位置。

注：这已在OVA文件中修复，适用于版本3.5.2，使用128GB RAM和8CPU核心正确加载

注：除非用于实验，否则请仅使用建议值

重新启动后，我们继续原来的位置。

确保也为ETH1配置静态IP。

注意：除非您已为接口创建MAC地址预留，否则切勿将设备配置为使用DHCP。如果接口的IP地址发生更改，则可能导致已部署的安全终端连接器出现严重问题。‌如果未配置DNS服务器，您可以使用公共DNS临时功能完成安装。

步骤 3：

步骤 4：

您将看到“日期和时间”页面。输入要用于日期和时间同步的一个或多个NTP服务器的地址。您可以使用内部或外部NTP服务器，并指定多个以逗号或空格分隔的列表。将时间与浏览器同步，或从设备控制台运行amp-ctl ntpdate以强制与NTP服务器进行即时时间同步。选择“下一步”。

 ︾ ︾ AIRGAP ONLY ︾ ︾

仅︽︽AIRGAP︽︽

步骤 5：

您将看到Certificate Authorities页面，如图所示。选择on Add Certificate Authority以添加根证书。

步骤 6：

下一步是配置思科云页面，如图所示。选择适当的思科云区域。如果需要为安全终端私有云设备创建防火墙例外以与思科云进行通信以进行文件查找和设备更新，请展开View Hostnames。选择Next。

 

步骤 7：

导航至通知页面，如图所示。选择关键通知和定期通知的频率。输入要接收安全终端设备警报通知的邮件地址。您可以使用邮件别名，或通过逗号分隔列表指定多个地址。您还可以指定设备使用的发件人姓名和邮件地址。这些通知与安全终端控制台订阅不同。如果您有多个安全终端私有云设备，您还可以指定唯一的设备名称。选择“下一步”。

 

步骤 8::

接下来，导航至SSH Keys页面，如图所示。选择on Add SSH Key以输入要添加到设备的所有公钥。SSH密钥允许您通过具有根权限的远程外壳访问设备。只有受信任的用户才能被授予访问权限。您的私有云设备需要OpenSSH格式的RSA密钥。您稍后可以通过Administration Portal中的Configuration > SSH添加更多SSH密钥。选择Next。

 

接下来，您将看到“服务”部分。在接下来的页面中，您需要为这些设备服务分配主机名并上传适当的证书和密钥对。在接下来的几张幻灯片中，我们可以看到6个证书中的一个的配置。

服务

步骤 1：

在配置过程中，您可能会遇到这些错误。

您可能会注意到的第一个“错误”以3个箭头突出显示。要绕过此检查，只需取消选中“Disable Strict TLS Check”

不使用严格TLS检查

步骤 2：

如果您未选中“Validate DNS Name”，则会出现下一个错误。这里有两个选择。

#1：取消选中Validate DNS复选标记 

#2：返回到DNS服务器并配置其余主机记录。 

现在，对其余证书重复相同过程五次。

身份验证

— 身份验证服务可用于未来版本的私有云，以处理用户身份验证。

安全终端控制台

— 控制台是安全终端管理员可访问安全终端控制台的DNS名称，安全终端连接器可接收新策略和更新。

 处置服务器

- Disposition Server是安全终端连接器发送和检索云查找信息的DNS名称。

Disposition Server — 扩展协议

— 处置服务器 — 扩展协议是较新的安全终端连接器发送和检索云查找信息的DNS名称。

处置更新服务

— 将Cisco Threat Grid设备链接到私有云设备时，使用处置更新服务。Threat Grid设备用于从安全终端控制台发送要分析的文件，而Threat Grid使用Disposition Update Service在文件分析后更新其处置情况(安全或恶意的)。

Firepower 管理中心

- Firepower管理中心链接可将Cisco Firepower管理中心(FMC)设备链接到私有云设备。这允许您在FMC控制面板中显示安全终端数据。有关FMC与安全终端集成的详细信息，请参阅您的FMC文档。

注意：一旦设备完成安装，就无法更改主机名。

记下所需的主机名。您需要为安全终端私有云创建六个唯一的DNS A记录。每个记录都指向虚拟私有云控制台接口(eth1)的相同IP地址，并且必须由私有云和安全终端解析。

步骤 3：

在下一页下载，然后验证恢复文件。

您将看到“恢复”页面，如图所示。在开始安装之前，您必须下载并验证配置的备份。恢复文件包含所有配置以及服务器密钥。如果丢失恢复文件，则无法恢复配置，必须重新安装所有安全终端连接器。如果没有原始密钥，您必须使用新密钥重新配置整个私有云基础设施。恢复文件包含与opadmin门户相关的所有配置。备份文件包含恢复文件的内容以及任何控制面板门户数据（如事件、连接器历史记录等）。如果您希望只恢复opadmin而不恢复事件数据及所有数据，则可以使用恢复文件。如果从备份文件恢复，则会恢复opadmin和控制面板门户数据。

选择on Download以将备份保存到本地计算机。下载文件后，选择Choose File上传备份文件并验证其未损坏。选择Next以验证文件并继续。

 

 ︾ ︾ AIRGAP ONLY ︾ ︾

 

 

 仅︽︽AIRGAP︽︽

您会看到类似输入内容……

注意：当您位于此页面时，不会刷新，因为它可能会导致问题。

安装完成后，点击reboot按钮

︾ ︾ AIRGAP ONLY ︾ ︾

仅︽︽AIRGAP︽︽

设备完全启动后，下次使用管理员界面登录时，您会看到此控制面板。 您可能会注意到开始时的CPU使用率较高，但如果您用几分钟时间，CPU使用率会降低。

几分钟后……

从此处导航至安全终端控制台。点击标志右边看上去像火的小图标。

 ︾ ︾ AIRGAP ONLY ︾ ︾

如您所见，由于DB Protect Snapshot（DB保护快照），以及客户端定义、DFC和Tetra，我们未通过健全性检查。这必须通过下载的ISO文件来完成，该文件之前通过amp-sync准备并上传到VM或存储在NFS位置。

 

AirGap更新软件包

为了接收Protect DB，我们必须第一次使用此命令

./amp-sync all

注：请通过此命令下载所有软件包，然后进行验证，耗时可能超过24小时。取决于速度和链路质量。对于使用1Gig光纤的情况，最终需要近25小时才能完成。部分原因还在于此下载直接从AWS进行，因此被限制。 最后，请注意此下载量相当大。就我而言，下载的文件是323GB。‌

在本示例中，我们使用CygWin64

1.下载并安装x64版本的Cygwin。
2.运行setup-x86_64.exe并完成安装过程，选择所有默认值。
3.选择下载镜像。
4.选择要安装的软件包：
All -> Net -> curl
所有 — >实用程序 — > genisoimage
All -> Utils -> xmlstarlet
* VPC 3.8.x up - > xorriso

 

发行说明第#58页。您可以看到，xorriso现在为必填项。我们将ISO的格式更改为ISO 9660，该依赖关系是将图像转换为正确的格式，以便完成更新。遗憾的是，CygWin64不在其任何内置存储库中提供xorriso。然而，对于那些仍希望使用CygWin64的客户，有办法克服这个问题。

 

为了能够再次使用CygWin，您必须从GitHub存储库手动下载xorriso。 打开浏览器并键入<Latest xorriso.exe 1.5.2 pre-build for Windows>，它应该作为名为<PeyTy/xorriso-exe-for-windows - GitHub>的第一个链接导航到该GitHub页面，然后下载<xorriso-exe-for-windows-master.zip>文件到您找到的其他几个名为<xorriso.exe>的文件中，复制此文件，并将其粘贴到您的本地Cyg的<CygWin64\bin路径Win安装。请尝试再次运行<amp-sync>命令。您不应再看到错误消息并下载开始和完成，如图所示。

在Airgap模式下执行当前(在本例中)3.2.0 VPC的备份。

您可以从CLI使用此命令

rpm -qa | grep Pri

也可以导航到操作>备份，如映像中所示，并在那里执行备份。

将通过amp-sync生成的最新ISO传输到VPC。根据您的速度，这最多也可能需要几个小时。在本例中，传输时间超过16小时

/data/tmp

上传完成后，安装ISO

mount /data/tmp/PrivateCloud-3.2.0-Updates-2021-11-03-prod.iso /data/updates/

 

导航至打开UI以执行更新 操作(Operations)>更新设备(Update Device)>选择检查更新ISO。

在本例中，我首先继续更新内容

然后选择Import Protect DB。

 

 
您可以看到这是另一个很长的过程，可能需要很长时间才能完成。

 

 

问题#1 - Data Store的房间耗尽

 

在这里，您可以找到两个问题。由于3.5.2之前的vPC无法安装外部NFS存储，因此您必须将更新ISO文件上传到/data/temp目录。就我而言，由于我的Datastore只有1TB，我用尽了房间，VM崩溃了。换句话说，您至少需要2 TB的数据存储空间才能成功部署低于3.5.2版的AirGap VPC

以下映像来自ESXi服务器，它显示当您尝试启动VM时HDD上没有更多可用空间这一错误。通过将128 GB RAM临时切换到64 GB，我可以从此错误中恢复。然后我又能重新开始了。另请注意，如果您将此VM调配为瘦客户端，则瘦客户端部署的缺点是磁盘大小可以增加，但即使您释放一些空间，磁盘大小也不会缩小。换句话说，假设您将300GB文件上传到vPC的目录，然后将其删除。ESXi中的磁盘仍然显示硬盘上的空间减少300GB

 

问题#2 — 旧更新

第2^个问题是，如果您先运行软件更新，就像我在第2^次试运行中执行的操作一样，从3.2.0开始，我最终使用VPC升级到3.5.2，因此，由于3.2.0版本因我不再使用原始3.2.0版本而变得无效，我不得不下载全新的ISO更新文件。

如果您尝试再次安装ISO更新文件，则会看到此错误。

 

 

此图片显示了如何将更新映像装载到VPC的备用方法。在3.5.x版本中，您可以使用远程位置（如NFS存储）与VPC共享更新文件。

 

“健全性检查失败”与“保护DB当前在VPC上不可用”相关

 

 

下一次更新自动开始

 

在导入保护数据库这一非常漫长的过程之后，您可以移动并更新客户端定义和软件，大约需要3个多小时。

 
最后，请注意，此过程将需要很长时间。

对于VPC设备，请访问包含如何更新HW设备、安装ISO文件以及从USB引导的其他方法的TZ。

https://www.cisco.com/c/en/us/support/docs/security/amp-virtual-private-cloud-appliance/217134-upgrade-procedure-for-airgapped-amp-priv.html#anc5

 

 仅︽︽AIRGAP︽︽

基本故障排除

问题#1 - FQDN和DNS服务器

您可能遇到的第一个问题是，如果您的DNS服务器未建立，并且所有FQDN均未正确记录和解析。当您尝试通过安全终端“fire”图标导航到安全终端控制台时，问题可能如下所示。  如果只使用IP地址，则它有效，但无法下载连接器。如下面的第^三张图。

 

如果您如图所示修改本地计算机上的HOSTS文件，则解决了此问题，并最终出现错误。

尝试下载安全终端连接器安装程序时收到此错误。

经过一些故障排除后，唯一正确的解决方案是设置DNS服务器。

DNS Resolution Console: nslookup vPC-Console.cyberworld.local (Returned 1, start 2021-03-02 15:43:00 +0000, finish 2021-03-02 15:43:00 +0000, duration 0.047382799

================================================================================

Server:         8.8.8.x
Address:        8.8.8.x#53

** server can't find vPC-Console.cyberworld.local: NXDOMAIN

在DNS服务器中记录所有FQDN并将虚拟私有云中的记录从公共DNS更改为DNS服务器后，一切都会按预期开始工作。

此时，您可以登录并下载连接器

 

 

您将获得适用于您的环境的初始安全终端策略向导。它会引导您选择您使用的防病毒产品（如果有）以及代理（如果有的话），并引导您选择要部署的策略类型。根据连接器的操作系统选择相应的“设置……”按钮。

您将看到“现有安全产品”页面，如图所示。选择您使用的安全产品。它会自动生成适用的例外项，以防止您的终端出现性能问题。选择“下一步”。

 

下载连接器。

问题#2 — 根CA的问题

您可能会面临的下一个问题是，如果您使用自己的内部证书，则首次安装后，连接器可能会显示为disconnected。

安装连接器后，安全终端会被视为已断开连接。运行诊断捆绑包并查看日志，您可以确定问题。

根据从诊断包收集的输出，您可以看到根CA错误

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1011]: GET request https://vPC-Console.cyberworld.local/health failed (60): SSL peer certificate or SSH remote key was not OK (SSL certificate problem: unable to get local issuer certificate)

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1051]: async request failed (SSL peer certificate or SSH remote key was not OK) to https://vPC-Console.cyberworld.local/health

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1074]: response failed with code 60 

将根CA上传到受信任的根CA存储并重新启动安全终端服务后。一切如预期开始工作。

退回安全终端服务连接器后，连接器将如预期一样联机。

 

经过测试的恶意活动