Entienda la extensión de la regla en los dispositivos de FirePOWER

Transcripción

1 Entienda la extensión de la regla en los dispositivos de FirePOWER Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Antecedentes Comprensión de la extensión de la regla La extensión de un IP basó la regla La extensión de un IP basó la regla usando la aduana URL La extensión de un IP basó la regla usando los puertos La extensión de un IP basó la regla usando los VLA N La extensión de un IP basó la regla con las categorías URL La extensión de un IP basó la regla con las zonas Fórmula general para la extensión de la regla Resolver problemas a la falla debido del despliegue para gobernar la extensión Información Relacionada Introducción Este documento describe la traducción de reglas del control de acceso al sensor cuando está desplegado del centro de administración de FirePOWER (FMC). Prerequisites Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: Conocimiento de la tecnología de FirePOWER Conocimiento en configurar las directivas del control de acceso en FMC Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Versión y posterior del centro de administración de FirePOWER Versión de software corriente de la imagen de la defensa ASA FirePOWER (ASA X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) y arriba

2 Versión de software corriente de la imagen ASA FirePOWER SFR (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) y arriba Versión Sensor de las 7000/8000 Series de FirePOWER y arriba La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Antecedentes Una regla del control de acceso se crea con el uso de uno o las combinaciones múltiples de estos parámetros: Dirección IP (fuente y destino) Puertos (fuente y destino) URL (categorías y aduana proporcionadas sistema URL) Detectores de la aplicación VLAN Zonas De acuerdo con la combinación de parámetros usados en la regla de acceso, los cambios de la extensión de la regla en el sensor. Este documento resalta las diversas combinaciones de reglas en el FMC y de sus extensiones asociadas respectivas en los sensores. Comprensión de la extensión de la regla La extensión de un IP basó la regla Considere la configuración de una regla de acceso del FMC, tal y como se muestra en de la Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en cuatro reglas tal y como se muestra en de la allow any any any any any any (log dcforward flowstart) allow any any any any any any (log dcforward flowstart) allow any any any any any any (log dcforward flowstart) allow any any any any any any (log dcforward flowstart)

3 allow any any any any any any any any (ipspolicy 2) Cuando usted despliega una regla con dos subredes configuradas como la fuente y dos host configurados como direcciones destino, esta regla se amplía a cuatro reglas en el sensor. Note: Si el requisito es bloquear el acceso basado en las redes de destino, una mejor manera de realizar esto es utilizar la característica de las listas negras bajo inteligencia de Seguridad. La extensión de un IP basó la regla usando la aduana URL Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en ocho reglas tal y como se muestra en de la allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any any any (ipspolicy 2) Cuando usted despliega una regla con dos subredes configuradas como fuente, dos host configurados como las direcciones destino y dos objetos de encargo URL en una sola regla en el centro de administración, esta regla se amplían a ocho reglas en el sensor. Esto significa que para cada categoría de la aduana URL hay una combinación de origen y los rangos del destino IP/port, se configuran y se crean que. La extensión de un IP basó la regla usando los puertos

4 Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en dieciséis reglas tal y como se muestra en de la allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any any any any any (ipspolicy 2) Cuando usted despliega una regla con dos subredes configuradas como fuente, dos host configurados como las direcciones destino y dos objetos de encargo URL destinados a dos puertos, esta regla se amplían a dieciséis reglas en el sensor. Note: Si hay un requisito de utilizar los puertos en la regla de acceso, utilice los detectores de la aplicación que están presentes para las aplicaciones estándars. Esto ayuda a la extensión de la regla para suceder en una forma eficiente.

5 Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la Cuando usted utiliza los detectores de la aplicación en vez de los puertos, el número de reglas ampliadas reduce a partir el dieciséis a ocho tal y como se muestra en de la allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url La extensión de un IP basó la regla usando los VLA N Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la La regla AllowFile tiene una sola línea que corresponde con dos identificaciones de VLAN con algunos detectores de la aplicación, directivas de la intrusión y directivas del archivo. La regla AllowFile se ampliará a dos reglas allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)

6 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4) Las directivas IPS y las directivas del archivo son únicas para cada regla del control de acceso pero los detectores de la aplicación múltiple se refieren en la misma regla y por lo tanto no participan en la extensión. Cuando usted considera una regla con dos identificaciones de VLAN y tres detectores de la aplicación, hay solamente dos reglas, una para cada VLA N. La extensión de un IP basó la regla con las categorías URL Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la La regla de bloques bloquea las categorías URL para el adulto y la pornografía cualquier reputación y reputación del alcohol y del tabaco 1-3. Esto es una sola regla en el centro de administración pero cuando usted lo despliega al sensor él se amplía en dos reglas tal y como se muestra en de esto: deny any any any any any any any any (log dcforward flowstart) (urlcat 11) deny any any any any any any any any (log dcforward flowstart) (urlcat 76) (urlrep le 60) Cuando usted despliega una sola regla con dos subredes configuradas como la fuente y dos host configurados como direcciones destino, junto con dos objetos de encargo URL destinados a dos puertos con dos categorías URL, esta regla se amplía a treinta y dos reglas en el sensor. La extensión de un IP basó la regla con las zonas Las zonas son los assigned number que se refieren a las directivas. Si una zona se refiere a una directiva pero esa zona no se asigna a ninguna interfaz en el dispositivo al cual se está avanzando la directiva, la zona se considera como ninguno y no lleva a ninguna extensión de las reglas. Si la zona de origen y la Zona de destino son lo mismo en la regla, el factor de la zona se considera como ningunos y se agrega solamente una regla puesto que NINGUNA no lleva a ninguna extensión de las reglas. Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la

7 Hay dos reglas. Una regla tiene zonas configuradas pero la fuente y la Zona de destino es lo mismo. La otra regla no tiene ninguna configuración específica. En este ejemplo, la regla de acceso de las interfaces no traduce a una regla allow any any any any any any any any (log dcforward flowstart)<-----allow Access Rule allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)< Default Intrusion Prevention Rule En el sensor ambas las reglas aparecen como lo mismo porque el control basado zona que implica las mismas interfaces no lleva a una extensión. La extensión de las reglas para el acceso basado zona de la regla del control de acceso ocurre cuando la zona referida a la regla se asigna a una interfaz en el dispositivo. Considere la configuración de una regla de acceso del FMC como se muestra abajo: Las interfaces de la regla implican las reglas basadas zona con la zona de origen como interno y las Zonas de destino como internas, externo y DMZ. En esta interfaz de Internaland DMZ de la regla las zonas se configuran en las interfaces y el externo no existe en el dispositivo. Ésta es la extensión lo mismo: allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ) allow any any any any any any any any (log dcforward flowstart)< allow Access rule allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)< Default Intrusion Prevention: Balanced Security over Connectivity Una regla se crea para el par específico de la interfaz que es interno > DMZ con la especificación de la zona clara y una regla interna > interna no se crea. El número de reglas ampliadas es proporcional al número de fuente de la zona y los pares del destino que se pueden crear para las zonas asociadas válidas y éste incluyen las mismas reglas

8 de la fuente y de la Zona de destino. Note: Las reglas discapacitadas del FMC no se propagan y no se amplían al sensor durante la implementación de política. Fórmula general para la extensión de la regla Número de reglas en el sensor = (número de subredes de origen o de host) * (número del destino S) * (número de puertos de origen) * (número de puertos destino) * (número de la aduana URL) * (número de etiquetas del VLA N) * (número de categorías URL) * (número de pares de la fuente válida y de la Zona de destino) Note: Para los cálculos, cualquier valor en el campo es substituido por el valor 1.The en la combinación de la regla se considera como 1 y no aumenta ni amplía la regla. Resolver problemas a la falla debido del despliegue para gobernar la extensión Cuando hay un error del despliegue después de hacer la adición a la regla de acceso, siga los pasos mencionados abajo para los casos donde se ha alcanzado el límite de la extensión de la regla Marque /var/log/action.queue.log para los mensajes con las palabras claves siguientes: Error - demasiadas reglas - regla de escritura 28, reglas máximas 9094 El mensaje antedicho indica que hay un problema con el número de reglas se estén ampliando que. Marque la configuración en el FMC para optimizar las reglas basadas en el escenario discutido arriba. Información Relacionada Guía de configuración del centro de administración de FirePOWER, versión 6.0 Soporte Técnico y Documentación - Cisco Systems