防火墙系统的智能许可
思科智能许可是一种灵活的许可模式,为您提供一种更简便、更快速、更一致的方式来购买和管理整个思科产品组合和整个组织中的软件。此外它很安全,您可以控制用户可访问的内容。借助智能许可,您可以:
-
轻松激活: 智能许可建立了可在整个组织中使用的软件许可证池,不再需要产品激活密钥 (PAK)。
-
统一管理: 利用 My Cisco Entitlements (MCE),您可以在一个易于使用的门户中全面了解您的所有 Cisco 产品和服务,始终了解您拥有以及正在使用的产品和服务。
-
许可证灵活性: 您的软件没有与硬件节点锁定,因此您可以根据需要轻松使用和传输许可证。
要使用智能许可,您必须先在 Cisco Software Central (software.cisco.com) 上创建智能帐户。
有关思科许可的更详细概述,请访问 cisco.com/go/licensingguide
思科智能软件管理器
在为 威胁防御设备购买一个或多个许可证时,可以在思科智能软件管理器中对其进行管理:https://software.cisco.com/#SmartLicensing-Inventory。通过思科智能软件管理器,您可以为组织创建一个主账户。
默认情况下,许可证分配给主账户下的默认虚拟帐户。作为账户管理员,您可以创建其他虚拟帐户;例如,为区域、部门或子公司创建账户。使用多个虚拟帐户有助于管理大量许可证和设备。
许可证和设备按虚拟帐户进行管理;只有该虚拟帐户的设备可以使用分配给该账户的许可证。如果您需要其他许可证,则可以从另一个虚拟帐户传输未使用的许可证。您还可以在虚拟帐户之间传输设备。
当您向思科智能软件管理器注册某个设备时,会在管理器中创建一个产品实例注册令牌,然后将其输入 设备管理器。注册的设备将基于使用的令牌与某个虚拟帐户相关联。
有关思科智能软件管理器的详细信息,请参阅该管理器的在线帮助。
与许可证颁发机构的定期通信
使用产品实例注册令牌注册 威胁防御 设备时,设备会向思科许可证颁发机构注册。许可证颁发机构会为该设备与许可证颁发机构之间的通信颁发 ID 证书。此证书有效期为 1 年,但需要每 6 个月续签一次。如果 ID 证书到期(通常在九个月或一年内未通信),设备将恢复撤销注册状态,许可的功能将被暂停使用。
设备定期与许可证颁发机构进行通信。如果您在思科智能软件管理器中进行更改,则可以刷新设备上的授权,以使更改立即生效。另外,也可以等待设备按计划通信。常规许可证通信每 12 小时进行一次,但如果设备具有宽限期,则会最多运行 90 天,而不会进行自动通报。您必须在 90 天截止前与许可证颁发机构联系。
智能许可证类型
下表介绍了 威胁防御设备可用的许可证。
购买 威胁防御设备会自动附带基本许可证。其他所有许可证均是可选的。
许可证 |
持续时间 |
授予的功能 |
---|---|---|
基本 |
永久 |
可选期限的许可证中未包括的所有功能。 注册时,基本许可证会自动添加到您的帐户。Cisco Secure Firewall 3100 是个例外。购买防火墙时,您将获得基础许可证,并且该许可证的管理方式与您账户中的其他许可证一样。例如,您需要在注册时确保许可证位于正确的虚拟帐户中。 您还必须指定是否在使用此令牌注册的产品上允许出口控制功能。仅在您的国家/地区满足出口控制标准时,才可以选择此选项。此选项控制您对高级加密和需要高级加密的功能的使用。 |
威胁 |
基于期限 |
需要使用以下策略:
|
恶意软件 |
基于期限 |
文件策略(还需要 威胁)。 |
URL |
基于期限 |
URL 策略 - 基于类别和信誉的 URL 过滤或 DNS 查找请求过滤。 您可以对单个 URL 执行 URL 过滤,而不使用此许可证。 |
RA VPN:
|
基于期限或永久,取决于许可证类型。 |
远程接入 VPN 配置。您的基础许可证必须允许出口控制功能,以便配置远程访问 RA VPN。在注册设备时,您需要选择是否满足出口要求。 设备管理器 可以使用任何有效 AnyConnect 客户端 许可证。可用功能不因许可证类型不同而不同。如果尚未购买,请参阅远程访问 VPN 的许可要求。 另请参阅《思科 AnyConnect 订购指南》http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf。 |
Threat Defense Virtual 许可
本部分描述可用于 threat defense virtual 的性能分级许可授权。
可以在任何受支持的 threat defense virtual vCPU/内存配置中使用任何 threat defense virtual 许可证。这可让 threat defense virtual 客户在各种各样的 VM 资源占用空间中运行。这还会增加受支持的 AWS 和 Azure 实例类型的数量。配置 threat defense virtual VM 时,支持的 vCPU 最大核数为 16(对于 VMware 和 KVM 上的 FTDv ;支持的最大内存为 32GB RAM 。
Threat Defense Virtual 智能许可的性能级别
RA VPN 的会话限制由安装的 threat defense virtual 平台授权级别确定,并通过速率限制器强制执行。下表总结了基于授权层和速率限制器的会话限制。
性能层 |
设备规格(核心/RAM) |
速率限制 |
RA VPN 会话限制 |
---|---|---|---|
FTDv5,100Mbps |
4 核/8 GB |
100Mbps |
50 |
FTDv10,1Gbps |
4 核/8 GB |
1Gbps |
250 |
FTDv20,3Gbps |
4 核/8 GB |
3 Gbps |
250 |
FTDv30,5Gbps |
8 核/16 GB |
5Gbps |
250 |
FTDv50,10Gbps |
12 核/24 GB |
10Gbps |
750 |
FTDv100,16Gbps |
16 核/32 GB |
16Gbps |
10,000 |
Threat Defense Virtual 性能级许可准则和限制
许可 threat defense virtual 设备时,请时刻注意以下准则和限制。
-
threat defense virtual 支持性能级许可,该级别许可可基于部署要求提供不同的吞吐量级别和 VPN 连接限制。
-
可以在任何受支持的 threat defense virtual 核心/内存配置中使用任何 threat defense virtual 许可证。这可让 threat defense virtual 客户在各种各样的 VM 资源占用空间中运行。
-
无论您的设备是处于评估模式还是已注册到 思科智能软件管理器,您都可以在部署 threat defense virtual时选择性能级别。
注
确保智能许可账户包含所需的可用许可证。选择与您账户中的许可证相匹配的级别很重要。如果要将 threat defense virtual 升级到 7.0 版,可以选择 FTDv - 变量来保持当前的许可证合规性。threat defense virtual 会根据您的设备功能(内核数/RAM)继续执行会话限制。
-
部署新 threat defense virtual 设备或使用 REST API 调配 threat defense virtual 时,默认性能级别为 FTDv50。
-
基本许可证以订用为基础,并映射到性能级别。您的虚拟帐户需要具有 threat defense virtual 设备的 基本 许可证授权,以及 威胁、恶意软件和 URL 过滤 许可证的授权。
-
每个 HA 对等体使用一个授权,并且每个 HA 对等体上的授权必须匹配,包括基本许可证。
-
高可用性对的性能级别更改应应用于主对等体。
-
通用 PLR 许可单独应用于高可用性对中的每台设备。辅助设备不会自动镜像主设备的性能级别,而是必须手动更新。
出口控制设置对加密功能的影响
注册设备时,您还必须指定是否在使用此令牌注册的产品上允许出口控制功能。仅在您的国家/地区满足出口控制标准时,才可以选择此选项。此选项控制您对高级加密和需要高级加密的功能的使用。
评估模式被视为与使用非出口合规账户进行注册相同。这意味着在评估模式下运行时,无法配置远程访问 VPN 或使用高级加密算法。
最特别的是,DES 标准仅在评估或非出口合规模式下可用。
因此,如果您配置加密功能(例如站点间 VPN),或加密高可用性组中的故障转移连接,可能会在注册出口合规账户后最终出现连接问题。如果该功能在评估模式下使用 DES,则在您注册账户后该配置将被破坏。
考虑以下建议来避免与加密相关的问题:
-
在注册设备之前,避免配置加密功能,例如站点间 VPN 和加密的故障转移连接。
-
使用出口合规账户注册设备后,编辑您在评估模式下配置的所有加密功能,并选择更安全的加密算法。测试并验证这些功能中的每项功能,以确保它们正常运行。
注 |
如果您在评估模式下配置了 HA 故障转移加密,还需要重新启动 HA 组中的两台设备,才能开始使用更强的加密。建议您先删除加密,以避免两台设备将自己视为主用设备的“脑裂”情况。 |
可选许可证过期或被禁用的影响
如果以下任一可选许可证过期,您可以继续使用需要该许可证的功能。但是,该许可证将被标记为不合规,您需要购买许可证并将其添加到您的账户,才能使该许可证恢复合规状态。
如果禁用了某个可选许可证,系统将做出如下反应:
-
恶意软件 - 系统会停止查询安全恶意软件分析云,并且还会停止确认从安全恶意软件分析云发送的追溯性事件。如果现有访问控制策略包含文件策略,则您无法重新部署这些策略。请注意,在禁用恶意软件许可证后的很短时间内,系统可以使用现有缓存文件处置情况。在时间窗过期后,系统将向这些文件分配不可用的处置情况。
-
威胁 - 系统将不再应用入侵或文件策略。对于安全智能策略,系统不再应用策略并停止下载智能源更新。您无法重新部署需要该许可证的现有策略。
-
URL - 带有 URL 类别条件的访问控制规则会立即停止过滤 URL 或 DNS 查找请求,且系统不会再下载对 URL 数据的更新。如果现有访问控制策略包含的规则带有基于类别和信誉的 URL 标准,则不能重新部署现有的访问控制策略。
-
RA VPN - 您不能编辑远程访问 VPN 配置,但可以将其删除。用户仍可使用 RA VPN 配置进行连接。但是,如果您更改设备注册,致使系统不再符合导出规定,则远程访问 VPN 配置会立即停止,且所有远程用户都无法通过 VPN 进行连接。