文件說明請下載啟用Fortinet 相關產品SOP
說明:
編號CVE-2021-44228漏洞又被稱為Log4shell,危險等級:CVE-2021-40444(CVSS:3.1 10),屬重大危險等級。
發生於開源日誌資料庫Log4j,Log4j的JNDI功能可用於組態、紀錄訊息。
遠端程式碼執行(remote code execution,RCE)漏洞,是Log4j的JDNI API未能驗證遠端攻擊者由惡意LDAP或其他端點發送修改過參數的log訊息,而自LDAP伺服器下載惡意程式碼至受害系統執行,最嚴重可接管整臺系統。
建議作法:
進行資產盤點,若資訊系統架構中有Apache Log4j之伺服器主機,需依照附件進行版本升級,或更改系統參數。
更新Fortinet防火牆IPS Signature版本至19.00218。
UTM已安裝且註冊成功,但防毒病毒碼卻無法更新。請確認系統時間是否已正確設定,並於修正後,重新啟動UTM,病毒碼即可更新完成。
請先檢查是否啟動「網頁過濾」功能,若客有開啟該功能,請檢查該網頁是否設定於阻擋名單;若無開啟”網頁過濾”的功能,請檢查以下情況:
Cisco ISR 4000系列集成多業務路由器基於應用體驗路由器的概念,將多種服務集成到一個平台中,可以提供典型分支機構所需的所有服務。這些服務包括增加路由、交換、統一協作、安全性、WAN加速、應用程序優化以及應用程序可視性和控制(AVC)的能力。與此同時這些路由器專為擴展而設計,可以提供隨著時間的推移或是遠程站點不斷增長而來更高的性能和功能要求,而無需進行昂貴的系統或硬體升級。
Cisco ISR 4000系列ISR運行CiscoIOS®XE軟件。
您現在只需要一個用於路由器的Cisco IOS XE軟體映像,它包含所有特性和功能。您可以透過啟動授權有選擇地在此通用軟體映像中啟用功能。無論您的網絡中任何特定區域需要哪些特性或功能。
Cisco ISR 4000系列的打包和許可類似於Application Experience路由器(參見圖1):
圖1 Cisco ISR 4000系列ISR的打包和許可證模型
Cisco ISR 4000系列提供:
Cisco ISR第2代(ISR G2)路由器上提供的EHWIC模塊不適用於4000系列ISR。 4000系列針對需要高帶寬和更高應用性能的新分支機構環境,使大多數EHWIC無法應用。 此外較新的NIM架構允許在高端平台上實現更快,更強大的模塊。
不可以.NIM專為更新的架構而設計,不適用於Cisco 1900,2900和3900系列ISR。
機架安裝套件訂購部件號ACS-4450-RM-19 =適用於4451-X的備用19英寸機架安裝套件。對於4321,4331,4351和4431,您可以使用ACS-4320-RM-19 =、ACS-4330-RM-19 =、ACS-4430-RM-19 =和ACS-4450-RM- 19 =,對於新的4461,您可以將ACS-4460-RM-19 =用於19英寸機架套件
電信機架訂購部件號ACS-4450-RM-23 =適用於Cisco 4451-X的備用23英寸機架安裝套件。對於4461可訂購備件代碼ACS-4460-RM-23 =。同樣為Cisco 4431訂購ACS-4430-RM-23 =、為Cisco 4351或4331訂購ACS-4330-RM-23 =。
GigabitEthernet0是Cisco ISR 4000系列上的專用管理端口。 該接口直接連接到控制平面CPU,非常適合通過Telnet,安全外殼(SSH)協議,簡單網絡管理協議(SNMP)和其他管理協議管理路由器。 它也非常適合下載軟件映像,上載日誌以及連接到其他管理設備,如RADIUS,網絡時間協議(NTP),域名系統(DNS),動態主機配置協議(DHCP)和TACACS服務器。 該接口永遠不應用於通過系統轉發正常數據流量,因為每個數據包都會繞過平台數據平面直接進入控制平面CPU。 由於這種靈敏度,G0默認位於專用的Mgmt-Intf虛擬路由轉發(VRF)端口。 此設置可防止意外的路由錯誤,這些錯誤可能導致數據流量路由到管理網絡。
Cisco ISR 4000系列可選擇常規RJ-45控制台端口以及USB控制台端口。與ISR G2路由器一樣,一次只能使用一個控制台端口,優先考慮USB控制台端口。Cisco 4221路由器具有用於AUX和控制台的組合RJ-45端口。
Cisco Catalyst 2960-X系列交換機是世界上部署最廣泛的接入交換機的下一代產品。 它們具有可擴展性,智能性,簡單性和安全性 ,同時提供投資保護。 這些交換機還提供第3層路由功能,應用程序感知智能,並使規模擴大一倍。 它們是有史以來最環保的Cisco Catalyst接入交換機。 這些開關旨在降低總體擁有成本。
Cisco Catalyst 2960-X系列具有通用通用映像,並支持LAN Lite,LAN Base和IP Lite功能集,如表1所示。
表格1。2960-X系列支持的功能集
平台 |
IP Lite |
局域網基地 |
LAN Lite |
2960-XR |
是 |
沒有 |
沒有 |
2960-X |
沒有 |
是 |
是 |
三個Cisco IOS軟件功能集之間的差異是:
Cisco Catalyst 2960-X系列前面板貼紙具有功能集名稱。 從Cisco Catalyst 2960-X系列交換機的後部,LAN Lite型號不支持堆疊。 左側沒有用於插入堆疊模塊的位置。
從Cisco IOS軟件命令行,有兩種方法可以判斷交換機具有哪個軟件映像。
產品ID中的最後一個字母。 如果最後一個字母是“-L”,那就是LAN Base。 如果它是“-LL”,那就是LAN Lite。 如果它是“-I”,那就是IP Lite 例如:
不可以。功能集與硬體綁定,要獲得IP Lite的功能和特性,您必須購買IP Lite(2960-XR)交換機。
Cisco FlexStack-Plus是一種可熱插拔的模塊化堆疊解決方案,可提供真正的堆疊功能,所有交換機均可作為單個交換單元使用統一數據平面,使用單個IP地址。 Cisco Catalyst 2960-X系列支持Cisco FlexStack-Plus,最多可堆疊8個交換機,吞吐量為每秒80GE位。
FlexStack-Plus和FlexStack-Extended技術與FlexStack技術類似,但表3中列出了差異。
表3。FlexStack,FlexStack-Plus和FlexStack-Extended的比較
平台 |
Member |
bandwidth |
convergence |
的FlexStack |
4 |
40 Gbps |
1-2秒 |
的FlexStack-PLUS |
8 |
80 Gbps |
100毫秒 |
的FlexStack擴展 |
8 |
40 Gbps |
100毫秒 |
Cisco FlexStack-Extended支持遠程佈線間堆疊。FlexStack-Extended允許最多八個Cisco Catalyst 2960-X或2960-XR系列交換機的後面板堆疊。 FlexStack-Extended可以添加到帶有後堆疊插槽的Cisco Catalyst 2960-X或2960-XR系列。FlexStack-Extended有兩種模塊配置:光纖模塊(C2960X-FIBER-STK)和混合模塊(C2960X-HYBRID-STK)。
Hybrid模塊具有一個銅端口,可實現跨本地交換機堆棧的短距離連接,以及一個用於遠程連接的SFP+端口。 Hybrid模塊提供投資保護並與FlexStack-Plus兼容。光纖模塊有兩個SFP +端口,支持長距離的配線間隔堆疊。
LAN Base和IP Lite功能集模型是Cisco Catalyst 2960-X系列中的可堆疊模型。 LAN Lite功能集模型是一個獨立模型。 注意:無風扇SKU(帶Lan Base的WS-C2960X-24PSQ-L)不支持堆疊。
不,LAN Base和IP Lite功能集模型不能堆疊在一起。 LAN Base功能集模型只能與LAN Base功能集模型堆疊。 同樣,IP Lite功能集模型只能與IP Lite功能集模型堆疊。
不可以.Cisco Catalyst 2960-X和2960-XR交換機不能堆疊在一起,因為它們不共享通用功能集模型。
Cisco Catalyst 2960-X系列交換機具有增強的有限終身保修(E-LLW)。E-LLW提供與思科標準有限終身保修相同的條款,但在下一工作日交付更換硬體(如果有),以及90天8X5思科技術支持中心(TAC)支持。您的正式保修聲明(包括適用於Cisco軟件的保修)顯示在Cisco產品隨附的Cisco信息包中。 我們建議您在使用前仔細查看特定產品隨附的保修聲明。思科保留退還購買價格作為其專有保修補救措施的權利。有關保修條款的更多信息,請訪問cisco.com/go/warranty。
表11。保修條款
思科增強了有限終身硬件保修
設備覆蓋 |
適用於所有Cisco Catalyst 2960-X系列交換機。 |
保修期限 |
只要原始最終用戶繼續擁有或使用該產品,保修前提是風扇和電源期限為5年。 |
壽命終止政策 |
如果產品製造中斷,思科保修支持僅限於宣布停產後5年。 |
硬件更換 |
思科或其服務中心將採用商業上合理的方式運送Cisco Catalyst 2960-X替換部件,以便在下一工作日交付時提供。否則,更換件將在收到RMA請求後的10個工作日內發貨。實際交貨時間可能因客戶所在地而異。 |
生效日期 |
硬體保修從發貨給客戶之日開始(如果由思科經銷商轉售,則在思科原始發貨後不超過90天)。 |
TAC支持 |
思科將在客戶的本地工作時間內,每週工作8小時,每週工作5天,在最初購買的Cisco Catalyst 2960-X產品發貨之日起最多90天內對設備級問題進行基本配置,診斷和故障排除。 此支持不包括所考慮的特定設備之外的解決方案或網路級支持。 |
Cisco.com訪問 |
保修僅允許訪客訪問Cisco.com。 |
使用Cisco Catalyst LAN Lite,LAN Base或IP Lite(僅限2960-XR系列)軟體許可證的客戶將獲得維護更新和錯誤修復,旨在維護軟件與已發布規範,發行說明和行業標準合規性的合規性只要原始最終用戶繼續擁有或使用該產品,或者從該產品的銷售終止日期起最多一年,以較早者為準。
無線路由器或接入點的信號通常可延伸至約300英尺。
有許多方法可以保護您的WLAN,包括:
小型企業可以從WLAN體驗到許多好處。 幾個例子:
傳統的防火牆,是依照封包的來源IP、Port等第三、第四層的資訊,進行封包過濾,像防水閘門一樣,減少網路被惡意程式攻擊的可能性,但是NGFW必須做到更多。次世代防火牆(Next Generation Firewall,NGFW)要有能力看懂第七層應用層的流量,識別不同的應用程式流量,而且還要再更進一步識別使用者的身分、裝置等資訊。也就是說,NGFW能提供比傳統防火牆更好的可視性。
Palo Alto Networks NGFW針對已知和未知威脅,提供了三種資安授權服務,分別為Threat Prevention、PAN-DB URL Filtering以及WildFire。Threat Prevention 可以透過特徵碼來找出已知的威脅,包含Anti-Virus、Anti-Spyware以及Vulnerability;對於上網行為管控,透過PAN-DB URL Filtering功能可防止用戶端連線至惡意網站、釣魚網站以及惡意中繼站台;另外針對未知威脅的部份,可透過WildFire功能,即時將檔案送至雲端進行動態分析,分析的結果最快在5分鐘就可以得知,並得到防護的疫苗。以上的防護機制僅需要初次的人工設定作業,接下來都是系統自動化完成。
Palo Alto Networks NGFW有提供三種模式的HA備援機制,其中的HA1是兩台設備間會進行Configure File Sync(設定檔同步);HA2是兩台設備間會進行Session Sync(用戶端連線不中斷),而這兩種模式都是提供Active/Standby的備援,只有HA3才會提供Active/Active的備援。如果是考慮單點故障的風險,建議在架構佈署時可以考慮Virtual Wire模式(Transparent Mode),因為Palo Alto Networks 的Virtual Wire模式僅是電路的串接,並不影響到Mac、IP等交換資訊,所以假使真的發生單點故障時,只要人員至機房端跳線即可排除,可大幅縮短故障復原的時間。
對於Palo Alto Networks NGFW型號大小的選擇,通常會取決於Throughput(頻寬)及Session(會話數量),在頻寬的考量是以用戶打算要接入Palo Alto Networks NGFW的線路加總頻寬(其中包含了上傳/下載頻寬),另外就是要考量NGFW的防護方式,如果是僅使用防火牆功能,那就只要考慮Layer7 Firewall Throughput數據,如是考量使用授權功能,那就參考Threat Prevention Throughput數據。