安装软件更新
您可以安装系统数据库和系统软件的更新。以下主题介绍如何安装这些更新。
更新系统数据库和源
系统使用许多个数据库和安全智能源来提供高级服务。思科会对这些数据库和源提供更新,以便您的安全策略采用可用的最新信息。
系统数据库和源更新概述
威胁防御 使用以下数据库 和源 提供高级服务。
- 入侵规则
-
随着新的漏洞被发现,思科 Talos 情报小组 (Talos) 会发布入侵规则更新,您可以导入更新的规则。这些更新会影响入侵规则、预处理器规则和使用这些规则的策略。
入侵规则更新提供全新和更新的入侵规则及预处理器规则、现有规则的修改状态和修改的默认入侵策略设置。另外,规则更新还可能删除规则,提供新规则类别和默认变量,并修改默认变量值。
要使入侵规则更新所做的更改生效,必须重新部署配置。
入侵规则更新可能很大,所以请在网络使用量低的环境下更新重要规则。在慢速网络中,更新尝试可能会失败,您将需要重试。
- 地理位置数据库 (GeoDB)
-
Cisco 地理位置数据库 (GeoDB) 是一个与可路由的 IP 地址关联的地理数据数据库(例如国家、城市、坐标) 。
GeoDB 更新提供物理位置 的更新信息,系统会将这些信息与所检测到的可路由 IP 地址相关联。您可以使用地理位置数据作为访问控制规则的条件。
更新 GeoDB 所需的时间取决于您的设备;安装通常需要 30-40 分钟。虽然 GeoDB 更新不会中断任何其他系统功能(包括正在进行的地理位置信息收集),但更新执行时的确会占用系统资源。制定更新计划时需要考虑这一点。
- 漏洞数据库 (VDB)
-
思科漏洞数据库 (VDB) 包含主机可能易受感染的已知漏洞,以及操作系统、客户端和应用指纹。防火墙系统可将指纹与漏洞关联,帮助您确定某个特定主机是否会增加网络受攻击的风险。思科 Talos 情报小组 (Talos) 定期发布 VDB 更新。
更新漏洞映射所需的时间取决于网络映射中的主机数量。您可能希望在系统使用量低的期间安排更新,以尽可能地降低对任何系统停机的影响。一般说来,将网络中的主机数除以 1000,即可估算出执行更新所需的大致时间(分钟)。
在更新 VDB 后必须部署配置,才能使更新的应用检测器和操作系统指纹生效。
- 思科 Talos 情报小组 (Talos) 安全智能源
-
Talos 提供对安全智能策略中使用的定期更新智能源的访问权限。具有安全威胁(如恶意软件、垃圾邮件、僵尸网络和网络钓鱼)的站点出现和消失的速度可能比您更新和部署自定义配置的速度要快。这些源包含已知威胁的地址和 URL。当系统更新源时,不必重新部署。新列表可用于评估后续连接。
- URL 类别/信誉数据库
-
系统从思科综合安全智能 (CSI) 获取 URL 类别和信誉数据库。如果您配置过滤类别和信誉的 URL 过滤访问控制规则,请求的 URL 将根据数据库进行匹配。您可以在
上配置数据库更新和某些其他 URL 过滤首选项。您不能通过管理其他系统数据库更新的方式管理 URL 类别/信誉数据库更新。
更新系统数据库
您可以在方便之时,手动检索和执行系统数据库更新。从思科支持站点可检索更新。因此,系统的管理地址必须可连接互联网。
或者,您可以从互联网中自行检索更新软件包,然后从您的工作站上传这些更新软件包。此方法主要用于气隙网络,在其中没有用于从 Cisco 检索更新的互联网路径。从下载系统软件升级的相同文件夹中下载 software.cisco.com 的更新。
注 |
在 2022 年 5 月,我们将 GeoDB 拆分为两个包:一个将 IP 地址映射到国家/地区/大洲的国家/地区代码包,以及一个包含与可路由 IP 地址相关的上下文数据的 IP 包。 设备管理器 没有,也从未使用过 IP 数据包中的信息。此拆分可在本地托管 威胁防御 部署中节省大量磁盘空间。如果您自己从 Cisco 获取 GeoDB,请确保获取国家/地区代码软件包,该软件包与旧的一体化软件包具有相同的文件名:Cisco_GEODB_Update-date-build。 |
另外,您还可以设置计划来定期检索和应用数据库更新。由于这些更新可能很大,所以请将它们安排在网络活动少的时间进行更新。
注 |
在更新数据库时,您可能会发现用户界面响应操作的速度迟缓。 |
开始之前
为了避免对进行的更改造成任何潜在影响,请先将配置部署到设备,再手动更新这些数据库。
请注意,VDB 和 URL 类别更新可删除应用或类别。您需要更新使用这些已弃用项目的任何访问控制或 SSL 解密规则,然后才能部署更改。
过程
步骤 1 |
点击设备,然后点击“更新”摘要中的查看配置。 此时将打开“更新”(Updates) 页面。该页面上的信息显示每个数据库的当前版本,以及每个数据库的最后更新日期和时间。 |
||
步骤 2 |
要手动更新某数据库,请点击该数据库的相关部分中的以下其中一个选项:
规则和 VDB 更新需要部署配置,使其处于活动状态。当您从云端更新时,系统会询问是否要立即部署;点击是。如果点击否,请记住尽早启动部署作业。 如果上传自己的文件,则必须手动部署更改。
|
||
步骤 3 |
(可选)要设置定期数据库更新计划,请执行以下操作:
|
更新思科安全智能源
思科 Talos 情报小组 (Talos) 提供对定期更新的安全智能源的访问权限。具有安全威胁(如恶意软件、垃圾邮件、僵尸网络和网络钓鱼)的站点出现和消失的速度可能比您更新和部署自定义配置的速度要快。当系统更新源时,不必重新部署。新列表可用于评估后续连接。
如果要对系统从互联网更新源的时间进行严格控制,可以禁用该源的自动更新。但是,自动更新可确保获取最新的相关数据。
过程
步骤 1 |
点击设备 (Device),然后点击“更新”(Updates) 摘要中的查看配置 (Save)。 此时将打开“更新”页面。页面上的信息显示安全智能源的当前版本以及其上次更新日期和时间。 |
步骤 2 |
要手动更新源,请点击安全智能源 (Security Intelligence Feeds) 组中的立即更新 (Update Now)。 如果您在高可用性组中的一台设备上手动更新源,也需要在另一台设备上手动进行此更新,以确保一致性。 |
步骤 3 |
(可选。)要配置定期更新频率,请执行以下操作: |
升级 威胁防御
使用此程序可升级 独立 威胁防御 设备。如果您需要更新 FXOS,请先执行此操作。 要升级高可用性威胁防御,请参阅 升级 高可用性 威胁防御。
小心 |
升级时会丢弃流量。即使系统显示为非活动或无响应,也不要在升级过程中手动重新启动或关闭;您可以将系统置于不可用状态并要求重新映像。您可以手动取消失败或正在进行的 主要和维护 升级,并重试失败的升级。如果问题持续存在,请联系 思科 TAC。 有关升级过程中可能遇到的这些问题和其他问题的详细信息,请参阅 故障排除 威胁防御升级。 |
开始之前
完成预升级核对表。确保部署中保持正常运行,并且能够成功通信。
提示 |
升级前核对表包括规划(从阅读 Cisco Secure Firewall Threat Defense 版本说明开始)、备份、获取升级包以及执行相关升级(例如 Firepower 4100/9300 的 FXOS)。它还包括必要的配置更改检查、 就绪性检查、 磁盘空间检查,以及运行和计划任务的检查。 对于详细的升级说明,包括升级前的检查清单,请参阅适用于您的版本的 《适用于设备管理器的 Cisco 安全防火墙威胁防御升级指南》 。 |
过程
步骤 1 |
选择 设备,然后点击“更新”面板中的 查看配置 。 |
步骤 2 |
上传升级包。 您只能上传一个软件包。如果上传新的软件包,它将替换旧的软件包。确保您的目标版本和设备型号有正确的软件包。点击 浏览 或 替换文件 以开始上传。 上传完成后,系统将显示确认对话框。在点击 确定之前,可以选择 立即运行升级 以 选择回滚选项并立即升级。如果您现在升级,请务必完成尽可能多的升级前核对表(请参阅下一步)。 |
步骤 3 |
执行最终的升级前检查,包括就绪性检查。 重新查看预升级核对表。确保您已完成所有相关任务,尤其是最终检查。 如果不手动运行就绪性检查,它将在您启动升级时运行。如果就绪检查失败,则会取消升级。有关详细信息,请参阅运行 威胁防御的 升级就绪性检查。 |
步骤 4 |
点击 立即升级 以开始安装过程。 |
步骤 5 |
尽可能重新登录并验证升级是否成功。 设备摘要页面显示当前运行的软件版本。 |
步骤 6 |
完成升级后的任务。
|
运行 威胁防御的 升级就绪性检查
在系统安装升级之前,它会运行就绪性检查,以确保升级对系统有效,并会检查有时会阻止成功升级的其他项目。如果就绪性检查失败,您应在再次尝试安装之前修复问题。如果检查失败,下次尝试安装时系统会提示您,并且您可以选择是否强制安装。
您还可以在启动升级之前手动运行就绪性检查,如本程序所述。
开始之前
上传要检查的升级软件包。
过程
步骤 1 |
选择设备,然后点击“更新”摘要中的查看配置。 系统升级部分将显示当前运行的软件版本和您已上传的任何更新。 |
步骤 2 |
查看就绪性检查部分。
|
步骤 3 |
如果就绪性检查失败,您应在安装升级之前解决问题。详细信息包括有关如何解决指示问题的帮助。对于失败的脚本,请点击显示恢复消息链接以查看信息。 以下是一些典型问题:
|
监控 升级威胁防御
当您开始升级 威胁防御 时,系统会自动将您注销并转到状态页面,您可以在其中监控总体升级进度。该页面包含用于取消正在进行中的安装的选项。如果禁用了自动回滚并且升级失败,则该页面允许您手动取消或重试升级。
您还可以通过 SSH 连接到设备并使用 CLI: show upgrade status 。添加 continuous 关键字可在创建日志条目时查看日志条目,添加 detail 可查看详细信息。添加这两个关键字来获取持续的详细信息。
升级完成后,当设备重新启动时,您将失去对状态页面和 CLI 的访问权限。
取消中 或重试中 威胁防御 升级
使用升级状态页面或 CLI 以手动取消失败或正在进行的 主要和维护 升级,并重试失败的升级:
-
升级状态页面:点击 取消升级 可取消正在进行的升级。如果升级失败,您可以点击 取消升级 以停止作业并返回到升级前的设备状态,也可以点击 继续 以重试升级。
-
CLI:使用 upgrade cancel 以取消正在进行的升级。如果升级失败,您可以使用 upgrade cancel 以停止作业并返回到升级前的设备状态,也可以使用 upgrade retry 以重试升级。
注 |
默认情况下,在升级失败时 威胁防御 自动将其恢复到升级前的状态(“自动取消”)。要能够手动取消或重试失败的 升级,请在启动升级时禁用自动取消选项。在高可用性部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。 |
这些选项不支持打补丁。有关恢复成功升级的信息,请参阅 恢复中 威胁防御。
恢复中 威胁防御
如果主要或维护升级成功但系统未按预期运行,则可以进行恢复。恢复 威胁防御 可将软件恢复到上次主要或维护升级前的状态;无法保留升级后配置更改。修补后恢复必然也会删除修补程序。请注意,您无法恢复 单个修补程序或 修补程序。
以下程序介绍如何从 设备管理器恢复。如果您无法进入 设备管理器,可以使用 upgrade revert 命令从 SSH 会话中的 威胁防御 命令行恢复。您可以使用该 show upgrade revert-info 命令查看系统将恢复到哪个版本。
开始之前
如果设备属于高可用性对,则必须恢复这两台设备。理想情况下,同时在两台设备上启动恢复,以便恢复配置,而不会出现故障转移问题。打开与两台设备的会话,并验证每台设备都可以恢复,然后启动恢复过程。请注意,在恢复期间流量将中断,因此请尽可能在非工作时间执行此操作。
对于 Firepower 4100/9300 机箱,主要 威胁防御 版本具有特别限定和推荐的配套 FXOS 版本。这意味着在恢复 威胁防御 软件后,您可能正在运行非推荐版本的 FXOS(太新)。尽管新版本的 FXOS 与旧版 威胁防御 版本向后兼容,但我们会对推荐的组合执行增强测试。您无法降级 FXOS,因此,如果您发现自己需要执行降级,并且想要运行推荐的组合,则需要重新映像设备。
过程
步骤 1 |
选择设备,然后点击更新摘要中的查看配置。 |
步骤 2 |
在系统升级部分中,点击恢复升级链接。 系统将显示确认对话框,其中显示当前版本以及系统将恢复到的版本。如果没有可恢复的可用版本,则不会显示恢复升级链接。 |
步骤 3 |
如果您熟悉目标版本(并且有一个目标版本可用),请点击恢复。 恢复后,必须向智能软件管理器重新注册设备。 |
故障排除 威胁防御升级
当您升级任何设备时,无论是独立设备还是高可用性对,都可能发生这些问题。要解决特定于高可用性升级的问题,请参阅 高可用性 威胁防御升级故障排除。
- 升级包错误。
-
要查找升级包正确的型号,请在 思科支持和下载站点上选择或搜索您的型号,然后浏览至相应版本的软件下载页面。列出了可用的升级包以及安装包、修补程序和其他适用的下载。升级包文件名反映平台、软件包类型(升级、补丁、修补程序)、软件版本和内部版本。
从 6.2.1 及更高版本进行升级包经过签名,并在 .sh.REL.tar 中终止。请勿解压已签名的升级包。请勿通过邮件来重命名升级包或传送它们。
- 升级期间根本无法访问设备。
-
设备在升级期间或在升级失败时停止传输流量。升级之前,请确保来自您所在位置的流量不必遍历设备本身即可访问设备的管理界面。
- 设备在升级期间显示为非活动状态或无响应。
-
您可以手动取消正在进行的 主要和维护 升级;请参阅 取消中 或重试中 威胁防御 升级。如果设备无响应,或者如果您无法取消升级,请联系 思科 TAC。
- 升级成功,但系统未按预期运行。
-
首先,确保缓存的信息得到刷新。不要简单地刷新浏览器窗口以重新登录。相反,请从 URL 中删除任何“额外”路径并重新连接到主页;例如,http://threat-defense.example.com/。
- 升级失败。
-
启动 主要或维护 升级时,请使用 升级失败自动取消... (自动取消)选项,用于选择升级失败时的操作,如下所示:
-
自动取消已启用(默认):如果升级失败,则升级会取消,并且设备会自动恢复到升级前的状态。请更正所有问题,然后重试。
-
自动取消已禁用:如果升级失败,设备将保持原样。请更正问题并立即重试,或手动取消升级并稍后重试。
有关详细信息,请参阅取消中 或重试中 威胁防御 升级。如果无法重试或取消,或者问题持续存在,请联系 思科 TAC。
-
重新映像设备
重新映像设备包括擦除设备配置和安装新软件映像。重新映像是为了通过出厂默认配置实现安全安装。
在以下情况下,您可以重新映像设备:
-
要将系统从 ASA 软件转换为 威胁防御软件。无法将运行 ASA 映像的设备升级为运行 威胁防御映像的设备。
-
设备无法正常工作,而修复配置的所有尝试均失败。
有关如何重新映像设备的信息,请参阅针对您的设备型号编写的 重新映像 Cisco ASA 或威胁防御设备 或 威胁防御快速入门 指南。如需查阅上述指南,请访问 http://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html。