تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند ترجمة قواعد التحكم في الوصول إلى المستشعر عند نشرها من مركز إدارة FirePOWER (FMC).
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يتم إنشاء قاعدة التحكم بالوصول باستخدام مجموعة واحدة أو عدة مجموعات من هذه المعلمات:
استنادا إلى مجموعة المعلمات المستخدمة في قاعدة الوصول، يتغير توسيع القاعدة على المستشعر. يسلط هذا المستند الضوء على توليفات مختلفة من القواعد المتعلقة بوحدة إدارة الاتصالات الفيدرالية (FMC) والتوسعات المرتبطة بها على أجهزة الاستشعار.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC)، كما هو موضح في الصورة:
هذه قاعدة واحدة في مركز الإدارة. على أي حال، بعد نشره على المستشعر، فإنه يوسع إلى أربع قواعد كما هو موضح في الصورة:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268435456 allow any any any any any any any any (ipspolicy 2)
عند نشر قاعدة باستخدام شبكتين فرعيتين تم تكوينهما كمصدر ومضيفتين تم تكوينهما كعناوين وجهة، يتم توسيع هذه القاعدة إلى أربع قواعد على المستشعر.
ملاحظة: إذا كان المتطلب هو حظر الوصول بناء على شبكات الوجهة، فإن الطريقة الأفضل للقيام بذلك هي إستخدام ميزة القوائم السوداء بموجب إستخبارات الأمان.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
هذه قاعدة واحدة في مركز الإدارة. ومع ذلك، بعد نشره على المستشعر، يتم توسيعه إلى ثماني قواعد كما هو موضح في الصورة:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
عند نشر قاعدة باستخدام شبكتين فرعيتين تم تكوينهما كمصدر ومضيفين تم تكوينهما كعناوين وجهة وكائنين ل URL مخصصين في قاعدة واحدة على مركز الإدارة، يتم توسيع هذه القاعدة إلى ثماني قواعد على المستشعر. هذا يعني أنه لكل فئة عنوان URL مخصصة هناك مجموعة من نطاقات منفذ/IP للمصدر والوجهة، والتي يتم تكوينها وإنشاؤها.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
هذه قاعدة واحدة في مركز الإدارة. ومع ذلك، بعد نشره على المستشعر، يتم توسيعه إلى ستة عشر قاعدة كما هو موضح في الصورة:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
عند نشر قاعدة باستخدام شبكتين فرعيتين تم تكوينهما كمصدر ومضيفين تم تكوينهما كعناوين وجهة وكائنين محددين لعنوان URL معينين إلى منفذين، تمتد هذه القاعدة إلى ست عشرة قاعدة على المستشعر.
ملاحظة: في حالة وجود متطلبات لاستخدام المنافذ في قاعدة الوصول، أستخدم أجهزة اكتشاف التطبيقات الموجودة للتطبيقات القياسية. وهذا يساعد على توسيع القاعدة بطريقة فعالة.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
عندما تستخدم مكتشفات التطبيقات بدلا من المنافذ، فإن عدد القواعد الموسعة يقلل من ستة عشر إلى ثمانية كما هو موضح في الصورة:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
تحتوي القاعدة AllowFile على سطر واحد يطابق معرفات شبكات VLAN مع بعض كاشفات التطبيقات ونهج الاقتحام ونهج الملفات. سيتم توسيع القاعدة AllowFile إلى قاعدتين.
268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
تكون نهج IPS ونهج الملفات فريدة لكل قاعدة تحكم في الوصول ولكن تتم الإشارة إلى كاشفات التطبيقات المتعددة في نفس القاعدة ومن ثم لا تشارك في عملية التوسعة. عندما تضع قاعدة مع معرفات شبكات VLAN إثنين وثلاثة مكتشفات تطبيقات في الاعتبار، هناك قاعدتان فقط، واحدة لكل شبكة VLAN.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
وتحظر قاعدة الحظر تصنيفات عنوان URL للبالغين والمواد الإباحية أي سمعة أو سمعة للكحول والتبغ 1-3. هذه قاعدة واحدة في "مركز الإدارة" ولكن عند نشرها إلى المستشعر يتم توسيعها إلى قاعدتين كما هو موضح في هذا:
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 11)
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 76) (urlrep le 60)
عند نشر قاعدة واحدة باستخدام شبكتين فرعيتين تم تكوينهما كمصدر ومضيفين تم تكوينهما كعناوين وجهة، بالإضافة إلى كائنين محددين لعنوان URL يتم توجيههما إلى منفذين بفئتي عنوان URL، تتوسع هذه القاعدة إلى إثنين وثلاثين قاعدة على المستشعر.
المناطق هي أرقام معينة يتم الرجوع إليها في السياسات.
إذا تمت الإشارة إلى منطقة في سياسة ولكن لم يتم تعيين هذه المنطقة إلى أي واجهة على الجهاز الذي يتم دفع السياسة إليه، يتم إعتبار المنطقة كأي ولا يؤدي أي إلى أي توسيع للقواعد.
إذا كانت منطقة المصدر ومنطقة الوجهة متماثلتين في القاعدة، يتم إعتبار عامل المنطقة أي قاعدة، وتتم إضافة قاعدة واحدة فقط لأن أي قاعدة لا تؤدي إلى أي توسيع للقواعد.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
هناك قاعدتان. تحتوي قاعدة واحدة على مناطق تم تكوينها ولكن منطقة المصدر والوجهة هي نفسها. القاعدة الأخرى ليس لها تكوين محدد. في هذا المثال، لا تتم ترجمة قاعدة الوصول إلى الواجهات إلى قاعدة.
268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule
على المستشعر، تظهر القواعد نفسها لأن التحكم المستند إلى المنطقة الذي يشتمل على نفس الواجهات لا يؤدي إلى التوسعة.
يحدث توسيع القواعد للوصول إلى "قاعدة التحكم بالوصول" المستند إلى المنطقة عندما يتم تعيين المنطقة المشار إليها في القاعدة إلى واجهة على الجهاز.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح أدناه:
تتضمن واجهات القواعد قواعد قائمة على المناطق مع إعتبار منطقة المصدر مناطق داخلية ووجهة كمناطق داخلية وخارجية ومنفذ DMZ. في هذه القاعدة تم تكوين مناطق الواجهة InternalAND DMZ على الواجهات ولا يوجد "خارجي" على الجهاز.هذا هو توسيع نفس الشيء:
268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity
يتم إنشاء قاعدة لزوج واجهة محدد يكون داخليا > DMZ مع مواصفات منطقة واضحة ولا يتم إنشاء قاعدة داخلية > داخلية.
يتناسب عدد القواعد الموسعة مع عدد أزواج مصدر المنطقة والوجهة التي يمكن إنشاؤها للمناطق المقترنة الصالحة وهذا يتضمن نفس قواعد منطقة المصدر والوجهة.
ملاحظة: لا يتم نشر القواعد المعطلة من FMC ولا يتم توسيعها إلى المستشعر أثناء نشر السياسة.
عدد القواعد على المستشعر = (عدد الشبكات الفرعية أو البيئات المضيفة للمصدر) * (عدد منافذ المصدر) * (عدد منافذ المصدر) * (عدد منافذ الوجهة) * (عدد عناوين URL المخصصة)* (عدد علامات VLAN)* (عدد فئات عنوان URL)*( عدد أزواج مناطق المصدر والوجهة الصالحة)
ملاحظة: بالنسبة للحسابات، يتم إستبدال أي قيمة في الحقل ب 1.يتم إعتبار القيمة أي قيمة في مجموعة القواعد ك 1 ولا تقوم بزيادة القاعدة أو توسيعها.
عند حدوث فشل في النشر بعد إجراء إضافة إلى قاعدة الوصول، اتبع الخطوات المذكورة أدناه للحالات التي تم الوصول فيها إلى حد توسيع القاعدة
تحقق من /var/log/action.queue.log الرسائل التي تحتوي على الكلمات الأساسية التالية :
خطأ - العديد من القواعد - كتابة القاعدة 28، الحد الأقصى للقواعد 9094
تشير الرسالة الواردة أعلاه إلى وجود مشكلة في عدد القواعد التي يتم توسيعها. تحقق من التكوين على وحدة التحكم في إدارة الهيكل (FMC) لتحسين القواعد استنادا إلى السيناريو الذي تمت مناقشته أعلاه.