适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

Chapter Title

为系统授权许可

Results

已更新:
2020年6月16日

Chapter: 为系统授权许可

为系统授权许可

以下主题介绍如何向 Firepower 威胁防御设备授予许可证。

Firepower 系统的智能许可

通过思科智能许可,您可以集中购买和管理许可证池。与产品授权密钥 (PAK) 许可证不同,智能许可证未绑定到特定序列号或许可证密钥。通过智能许可,您可以直观地评估许可证使用情况和需求。

此外,智能许可不会阻止您使用尚未购买的产品功能。只要您向思科智能软件管理器进行了注册,即可立即开始使用许可证,并在以后购买该许可证。这使您能够部署和使用功能,并避免由于采购订单审批造成延迟。

思科智能软件管理器

在为 Firepower 威胁防御设备购买一个或多个许可证时,可以在思科智能软件管理器中对其进行管理:https://software.cisco.com/#SmartLicensing-Inventory。通过思科智能软件管理器,您可以为组织创建一个主账户。

默认情况下,许可证分配给主账户下的默认虚拟账户。作为账户管理员,您可以创建其他虚拟账户;例如,为区域、部门或子公司创建账户。使用多个虚拟账户有助于管理大量许可证和设备。

许可证和设备按虚拟账户进行管理;只有该虚拟账户的设备可以使用分配给该账户的许可证。如果您需要其他许可证,则可以从另一个虚拟账户传输未使用的许可证。您还可以在虚拟账户之间传输设备。

当您向思科智能软件管理器注册某个设备时,会在管理器中创建一个产品实例注册令牌,然后将其输入 Firepower 设备管理器。注册的设备将基于使用的令牌与某个虚拟账户相关联。

有关思科智能软件管理器的详细信息,请参阅该管理器的在线帮助。

与许可证颁发机构的定期通信

使用产品实例注册令牌注册 Firepower 威胁防御设备时,设备会向思科许可证颁发机构注册。许可证颁发机构会为该设备与许可证颁发机构之间的通信颁发 ID 证书。此证书有效期为 1 年,但需要每 6 个月续签一次。如果 ID 证书到期(通常在九个月或一年内未通信),设备将恢复撤销注册状态,许可的功能将被暂停使用。

设备定期与许可证颁发机构进行通信。如果您在思科智能软件管理器中进行更改,则可以刷新设备上的授权,以使更改立即生效。另外,也可以等待设备按计划通信。常规许可证通信每 30 天进行一次,但如果设备具有宽限期,则会最多运行 90 天,而不会进行自动通报。您必须在 90 天截止前与许可证颁发机构联系。

智能许可证类型

下表介绍了 Firepower 威胁防御设备可用的许可证。

购买 Firepower 威胁防御设备会自动附带基本许可证。其他所有许可证均是可选的。


无法购买 ISA 3000 设备的恶意软件或 URL 过滤许可证。

表 1. 智能许可证类型

许可证

持续时间

授予的功能

基础(自动包含)

永久

可选期限的许可证中未包括的所有功能。

您还必须指定是否在使用此令牌注册的产品上允许出口控制功能。仅在您的国家/地区满足出口控制标准时,才可以选择此选项。此选项控制您对高级加密和需要高级加密的功能的使用。

威胁

基于期限

入侵检测和防御 - 入侵策略用于分析网络流量是否存在入侵和漏洞利用,或者丢弃攻击性数据包。

文件控制 - 文件策略用于检测和选择性地阻止用户上传(发送)或下载(接收)特定类型的文件。通过面向 Firepower 的 AMP(需要恶意软件许可证),您可以检查和阻止包含恶意软件的文件。必须拥有威胁许可证才可使用任何类型的文件策略。

安全情报过滤 - 将选定流量丢弃后,通过访问控制规则对流量进行分析。动态源可用于根据最新情报立即丢弃连接。

恶意软件

基于期限

检查恶意软件的文件策略,将思科高级恶意软件保护 (AMP) 与适用于 Firepower 的 AMP(基于网络的高级恶意软件保护)和思科 Threat Grid结合使用。

文件策略可以检测和阻止通过网络传输的文件中的恶意软件。

URL 过滤

基于期限

基于类别和信誉的 URL 过滤。

您可以对单个 URL 执行 URL 过滤,而不使用此许可证。

远程接入RA VPN:

  • AnyConnect Plus

  • AnyConnect Apex

  • AnyConnect VPN Only

基于期限或永久,取决于许可证类型。

远程接入 VPN 配置。您的基础许可证必须允许出口控制功能,以便配置远程接入 RA VPN。在注册设备时,您需要选择是否满足出口要求。

Firepower 设备管理器可以使用任何有效的 AnyConnect 许可证。可用功能不因许可证类型不同而不同。如果尚未购买,请参阅远程接入 VPN 的许可要求

另请参阅《思科 AnyConnect 订购指南》http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf

可选许可证过期或被禁用的影响

如果可选许可证过期,您可以继续使用需要该许可证的功能。但是,该许可证将被标记为不合规,您需要购买许可证并将其添加到您的账户,才能使该许可证恢复合规状态。

如果禁用了某个可选许可证,系统将做出如下反应:

  • 恶意软件许可证 - 系统会停止查询 AMP 云,还会停止确认从 AMP 云发送的追溯性事件。如果现有访问控制策略包括的文件策略会应用恶意软件检测,则无法重新部署现有访问控制策略。请注意,在禁用恶意软件许可证后的很短时间内,系统可以使用现有缓存文件处置情况。在时间窗过期后,系统将向这些文件分配不可用的处置情况。

  • 威胁 - 系统将不再应用入侵或文件控制策略。对于安全情报策略,系统不再应用策略并停止下载情报源更新。您无法重新部署需要该许可证的现有策略。

  • URL 过滤 - 带有 URL 类别条件的访问控制规则会立即停止过滤 URL,且系统不再会下载对 URL 数据的更新。如果现有访问控制策略包含的规则带有基于类别和信誉的 URL 标准,则不能重新部署现有的访问控制策略。

  • RA VPN - 您不能编辑远程接入 VPN 配置,但可以将其删除。用户仍可使用 RA VPN 配置进行连接。但是,如果您更改设备注册,致使系统不再符合导出规定,则远程接入 VPN 配置会立即停止,且所有远程用户都无法通过 VPN 进行连接。

管理智能许可证

使用“智能许可证”页面可查看系统当前的许可证状态。系统必须获得许可。

该页面显示您使用的是 90 天评估许可证,还是已注册到思科智能软件管理器。注册后,您可以查看与思科智能软件管理器的连接状态,以及各类许可证的状态。

使用授权标识智能许可证代理状态:

  • 已授权(“已连接”、“足够的许可证”)- 设备已成功联系许可证颁发机构并向其注册,该机构已向设备授予许可证授权。设备现在处于合规状态。

  • 不合规 - 设备没有可用的许可证授权。许可功能可继续工作。但您必须购买或释放其他授权,才能变为合规状态。

  • 授权已过期 - 设备已连续 90 天或更长时间未与许可颁发机构通信。许可功能可继续工作。在此状态下,智能许可证代理将重试其授权申请。如果重试成功,代理将进入“不合规”或“已授权”状态,并开始新的授权期限。尝试手动同步设备。


点击智能许可证状态旁边的 i 按钮,可查看虚拟账户、出口管制功能,并可获链接来打开思科智能软件管理器。出口控制的功能控制软件受国家安全、外交政策和反恐怖主义法律和法规约束。

以下步骤程序概述了如何管理系统的许可证。

过程

步骤 1

点击 设备,然后点击“智能许可证”摘要中的查看配置
步骤 2

注册该设备。

只有注册到思科智能软件管理器,才能分配可选许可证。在评估期结束前进行注册。

请参阅注册设备

 

注册时,选择是否向思科发送使用数据。可以通过点击齿轮图标旁边的转到思科成功网络链接更改选择。

步骤 3

申请和管理可选功能许可证。

只有注册可选许可证后,才能使用该许可证控制的功能。请参阅启用或禁用可选许可证
步骤 4

维护系统许可。

您可以执行以下任务:

注册设备

购买 Firepower 威胁防御设备会自动附带基本许可证。基本许可证涵盖可选许可证未覆盖的所有功能。它是一种永久许可证。

在初始系统设置期间,系统会提示您将设备注册到思科智能软件管理器。如果您选择使用 90 天的评估许可证,必须在评估期结束前注册设备。

注册设备时,您的虚拟账户会向设备分配许可证。注册设备也会注册已启用的任何可选许可证。

开始之前

注册设备时,仅该设备被注册。如果设备已配置为高可用性,您必须登录到高可用性对的另一台设备注册该设备。

过程

步骤 1

点击 设备,然后点击“智能许可证”摘要中的查看配置
步骤 2

依次点击注册设备,并按照说明执行操作。

  1. 点击链接以打开思科智能软件管理器,然后登录您的账户或创建一个新账户(如果需要)。

  2. 生成新的令牌。

    在创建令牌时,指定该令牌的有效使用期限。建议的过期期限为 30 天。此期限定义令牌本身的过期日期,不会影响您使用该令牌注册的设备。如果令牌在使用前过期,只需生成一个新令牌即可。

    您还必须指定是否在使用此令牌注册的产品上允许出口控制功能。仅在您的国家/地区满足出口控制标准时,才可以选择此选项。此选项控制您对高级加密和需要高级加密的功能的使用。

  3. 复制该令牌,并将其粘贴到 Smart License Registration 对话框的编辑框中。

  4. 决定是否向思科发送使用数据。

    阅读“思科成功网络”步骤中的信息,单击 Sample Data 链接查看收集到的实际数据,然后决定是否选中 Enable Cisco Success Network 选项。虽然您未启用连接,但已向思科云服务服务器注册,因此可以根据需要启用云服务。

  5. 依次点击注册设备

启用或禁用可选许可证

您可以启用(注册)或禁用(解除)可选许可证。只有启用许可证后,才能使用该许可证控制的功能。

如果您不想再使用某个可选期限许可证包含的功能,可以禁用该许可证。禁用许可证会在思科智能软件管理器账户中将其释放,以便可将其应用到其他设备。

另外,在评估模式下运行时,还可启用这些许可证的评估版本。在评估模式下,只有注册设备,许可证才会注册到思科智能软件管理器。但是,您不能在评估模式下启用远程接入 RA VPN 许可证。

开始之前

在禁用许可证之前,请确保它不在使用中。重写或删除需要该许可证的任何策略。

对于在高可用性配置中运行的设备,只需在主用设备上上启用或禁用许可证。备用设备请求(或释放)必要许可证时,更改会在下一次部署配置时反映在备用设备上。启用许可证时,必须确保思科智能软件管理器账户具有足够的许可证,否则可能会造成一台设备合规,而另一台设备不合规。

过程

步骤 1

点击 设备,然后点击“智能许可证”摘要中的查看配置
步骤 2

根据需要,单击每个可选许可证的 Enable/Disable 控件。

  • Enable - 将许可证注册到您的思科智能软件管理器帐户,并启用控制的功能。现在,您可以配置和部署该许可证控制的策略了。

  • Disable - 取消许可证向思科智能软件管理器帐户的注册,并禁用控制的功能。新策略中无法配置这些功能,也不能再部署使用该功能的策略。

步骤 3

如果启用 RA VPN 许可证,请选择您账户中可用的许可证类型。

您可以使用以下任意 AnyConnect 许可证:PlusApexVPN Only。如果你有 Plus 和 Apex,并想同时使用这两个许可证,则可以两个都选择。

与思科智能软件管理器同步

系统定期与思科智能软件管理器同步许可证信息。常规许可证通信每 30 天进行一次,但如果设备具有宽限期,则最多运行 90 天,而不会进行自动通报。

不过,如果您在思科智能软件管理器中进行更改,可以刷新设备上的授权,以使更改立即生效。

同步可获取许可证的当前状态,并更新授权和 ID 证书。

过程

步骤 1

点击 设备,然后点击“智能许可证”摘要中的查看配置
步骤 2

从齿轮下拉列表中选择重新同步连接

注销设备

如果您不想再使用设备,可以从思科智能软件管理器中将其注销。注销后,您的虚拟账户将释放与该设备关联的基本许可证和所有可选许可证。可选许可证可以分配给其他设备。

注销设备后,该设备中的当前配置和策略将继续按原样运行,但无法进行或部署任何更改。

开始之前

当注销一台设备时,只有该设备被注销。如果该设备已配置高可用性,那么您必须登录到高可用性对的另一台设备才能注销该设备。

过程

步骤 1

单击 设备,然后单击 Smart License 摘要中的 View Configuration
步骤 2

从齿轮下拉列表中选择 Unregister Device
步骤 3

如果确实要注销设备,请阅读警告并点击注销

此文档是否有帮助?

Feedback反馈

联系我们