فهم توسيع القاعدة على أجهزة FirePOWER
المحتويات
المقدمة
يصف هذا المستند ترجمة قواعد التحكم في الوصول إلى المستشعر عند نشرها من مركز إدارة FirePOWER (FMC).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة تقنية FirePOWER
- معرفة حول تكوين سياسات التحكم في الوصول على FMC
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- مركز إدارة Firepower الإصدار 6.0.0 والإصدارات الأحدث
- صورة دفاع ASA Firepower (ASA 5515-X، ASA 5525-X، ASA 5545-X، ASA 5555-X، ASA 5585-X) التي تشغل الإصدار 6.0.1 وأعلى من البرنامج
- صورة ASA FirePOWER SFR (ASA 5515-X، ASA 5525-X، ASA 5545-X، ASA 5555-X، ASA 5585-X) التي تشغل الإصدار 6.0.0 وأعلى من البرنامج
- مستشعر Firepower 7000/8000 Series الإصدار 6.0.0 والإصدارات الأعلى
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يتم إنشاء قاعدة التحكم بالوصول باستخدام مجموعة واحدة أو عدة مجموعات من هذه المعلمات:
- عنوان IP (المصدر والوجهة)
- المنافذ (المصدر والوجهة)
- URL (يوفر النظام الفئات وعناوين URL مخصصة)
- أجهزة اكتشاف التطبيقات
- VLANs
- المناطق
استنادا إلى مجموعة المعلمات المستخدمة في قاعدة الوصول، يتغير توسيع القاعدة على المستشعر. يسلط هذا المستند الضوء على توليفات مختلفة من القواعد المتعلقة بوحدة إدارة الاتصالات الفيدرالية (FMC) والتوسعات المرتبطة بها على أجهزة الاستشعار.
فهم توسيع القاعدة
توسيع قاعدة مستندة إلى IP
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC)، كما هو موضح في الصورة:
هذه قاعدة واحدة في مركز الإدارة. على أي حال، بعد نشره على المستشعر، فإنه يوسع إلى أربع قواعد كما هو موضح في الصورة:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268435456 allow any any any any any any any any (ipspolicy 2)
عند نشر قاعدة باستخدام شبكتين فرعيتين تم تكوينهما كمصدر ومضيفتين تم تكوينهما كعناوين وجهة، يتم توسيع هذه القاعدة إلى أربع قواعد على المستشعر.
توسيع قاعدة مستندة إلى IP باستخدام URL مخصص
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
هذه قاعدة واحدة في مركز الإدارة. ومع ذلك، بعد نشره على المستشعر، يتم توسيعه إلى ثماني قواعد كما هو موضح في الصورة:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
عند نشر قاعدة باستخدام شبكتين فرعيتين تم تكوينهما كمصدر ومضيفين تم تكوينهما كعناوين وجهة وكائنين ل URL مخصصين في قاعدة واحدة على مركز الإدارة، يتم توسيع هذه القاعدة إلى ثماني قواعد على المستشعر. هذا يعني أنه لكل فئة عنوان URL مخصصة هناك مجموعة من نطاقات منفذ/IP للمصدر والوجهة، والتي يتم تكوينها وإنشاؤها.
توسيع القاعدة المستندة إلى IP باستخدام المنافذ
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
هذه قاعدة واحدة في مركز الإدارة. ومع ذلك، بعد نشره على المستشعر، يتم توسيعه إلى ستة عشر قاعدة كما هو موضح في الصورة:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
عند نشر قاعدة باستخدام شبكتين فرعيتين تم تكوينهما كمصدر ومضيفين تم تكوينهما كعناوين وجهة وكائنين محددين لعنوان URL معينين إلى منفذين، تمتد هذه القاعدة إلى ست عشرة قاعدة على المستشعر.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
عندما تستخدم مكتشفات التطبيقات بدلا من المنافذ، فإن عدد القواعد الموسعة يقلل من ستة عشر إلى ثمانية كما هو موضح في الصورة:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
توسيع قاعدة مستندة إلى IP باستخدام شبكات VLAN
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
تحتوي القاعدة AllowFile على سطر واحد يطابق معرفات شبكات VLAN مع بعض كاشفات التطبيقات ونهج الاقتحام ونهج الملفات. سيتم توسيع القاعدة AllowFile إلى قاعدتين.
268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
تكون نهج IPS ونهج الملفات فريدة لكل قاعدة تحكم في الوصول ولكن تتم الإشارة إلى كاشفات التطبيقات المتعددة في نفس القاعدة ومن ثم لا تشارك في عملية التوسعة. عندما تضع قاعدة مع معرفات شبكات VLAN إثنين وثلاثة مكتشفات تطبيقات في الاعتبار، هناك قاعدتان فقط، واحدة لكل شبكة VLAN.
توسيع قاعدة مستندة إلى IP مع فئات URL
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
وتحظر قاعدة الحظر تصنيفات عنوان URL للبالغين والمواد الإباحية أي سمعة أو سمعة للكحول والتبغ 1-3. هذه قاعدة واحدة في "مركز الإدارة" ولكن عند نشرها إلى المستشعر يتم توسيعها إلى قاعدتين كما هو موضح في هذا:
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 11)
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 76) (urlrep le 60)
عند نشر قاعدة واحدة باستخدام شبكتين فرعيتين تم تكوينهما كمصدر ومضيفين تم تكوينهما كعناوين وجهة، بالإضافة إلى كائنين محددين لعنوان URL يتم توجيههما إلى منفذين بفئتي عنوان URL، تتوسع هذه القاعدة إلى إثنين وثلاثين قاعدة على المستشعر.
توسيع قاعدة قائمة على IP مع وجود مناطق
المناطق هي أرقام معينة يتم الرجوع إليها في السياسات.
إذا تمت الإشارة إلى منطقة في سياسة ولكن لم يتم تعيين هذه المنطقة إلى أي واجهة على الجهاز الذي يتم دفع السياسة إليه، يتم إعتبار المنطقة كأي ولا يؤدي أي إلى أي توسيع للقواعد.
إذا كانت منطقة المصدر ومنطقة الوجهة متماثلتين في القاعدة، يتم إعتبار عامل المنطقة أي قاعدة، وتتم إضافة قاعدة واحدة فقط لأن أي قاعدة لا تؤدي إلى أي توسيع للقواعد.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح في الصورة:
هناك قاعدتان. تحتوي قاعدة واحدة على مناطق تم تكوينها ولكن منطقة المصدر والوجهة هي نفسها. القاعدة الأخرى ليس لها تكوين محدد. في هذا المثال، لا تتم ترجمة قاعدة الوصول إلى الواجهات إلى قاعدة.
268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule
على المستشعر، تظهر القواعد نفسها لأن التحكم المستند إلى المنطقة الذي يشتمل على نفس الواجهات لا يؤدي إلى التوسعة.
يحدث توسيع القواعد للوصول إلى "قاعدة التحكم بالوصول" المستند إلى المنطقة عندما يتم تعيين المنطقة المشار إليها في القاعدة إلى واجهة على الجهاز.
ضع في الاعتبار تكوين قاعدة وصول من وحدة التحكم في إدارة اللوحة الأساسية (FMC) كما هو موضح أدناه:
تتضمن واجهات القواعد قواعد قائمة على المناطق مع إعتبار منطقة المصدر مناطق داخلية ووجهة كمناطق داخلية وخارجية ومنفذ DMZ. في هذه القاعدة تم تكوين مناطق الواجهة InternalAND DMZ على الواجهات ولا يوجد "خارجي" على الجهاز.هذا هو توسيع نفس الشيء:
268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity
يتم إنشاء قاعدة لزوج واجهة محدد يكون داخليا > DMZ مع مواصفات منطقة واضحة ولا يتم إنشاء قاعدة داخلية > داخلية.
يتناسب عدد القواعد الموسعة مع عدد أزواج مصدر المنطقة والوجهة التي يمكن إنشاؤها للمناطق المقترنة الصالحة وهذا يتضمن نفس قواعد منطقة المصدر والوجهة.
الصيغة العامة لتوسيع القاعدة
عدد القواعد على المستشعر = (عدد الشبكات الفرعية أو البيئات المضيفة للمصدر) * (عدد منافذ المصدر) * (عدد منافذ المصدر) * (عدد منافذ الوجهة) * (عدد عناوين URL المخصصة)* (عدد علامات VLAN)* (عدد فئات عنوان URL)*( عدد أزواج مناطق المصدر والوجهة الصالحة)
فشل نشر أستكشاف الأخطاء وإصلاحها بسبب توسيع القاعدة
عند حدوث فشل في النشر بعد إجراء إضافة إلى قاعدة الوصول، اتبع الخطوات المذكورة أدناه للحالات التي تم الوصول فيها إلى حد توسيع القاعدة
تحقق من /var/log/action.queue.log الرسائل التي تحتوي على الكلمات الأساسية التالية :
خطأ - العديد من القواعد - كتابة القاعدة 28، الحد الأقصى للقواعد 9094
تشير الرسالة الواردة أعلاه إلى وجود مشكلة في عدد القواعد التي يتم توسيعها. تحقق من التكوين على وحدة التحكم في إدارة الهيكل (FMC) لتحسين القواعد استنادا إلى السيناريو الذي تمت مناقشته أعلاه.
التعليقات