PDF(815.7 KB) عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub(583.0 KB) العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle)(481.6 KB) عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٦ مارس ٢٠٢٥
معرّف المستند:222904
لغة خالية من التحيز
تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تحديد ما إذا كان فحص بروتوكول LINA لإطار السياسة النمطية (MPF)، يقوم بإسقاط حركة مرور البيانات في "برنامج الإرسال فائق السرعة (FTD) الآمن من Cisco".
المتطلبات الأساسية
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco.
مركز مدير جدار الحماية الآمن (FMC) من Cisco.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
مركز مدير جدار الحماية الآمن (FMC) الظاهري من Cisco، الإصدار 7.4.2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تكون محركات التفتيش مطلوبة في جدار حماية للخدمات التي تقوم بدمج معلومات عنونة IP في حزمة بيانات المستخدم أو التي تفتح القنوات الثانوية على المنافذ المعينة بشكل ديناميكي.
يمكن أن يساعد فحص البروتوكول في منع حركة المرور الضارة من دخول الشبكة من خلال فحص محتوى حزم الشبكة وحظر حركة مرور البيانات أو تعديلها استنادا إلى التطبيق أو البروتوكول المستخدم. ونتيجة لهذا فإن محركات الفحص من الممكن أن تؤثر على الإنتاجية الإجمالية. يتم تمكين العديد من محركات الفحص الشائعة على جدار الحماية بشكل افتراضي، وقد تكون هناك حاجة إليه لتمكين محركات أخرى حسب الشبكة.
التكوينات الافتراضية
بشكل افتراضي، يتضمن تكوين FTD LINA سياسة تطابق كل حركة مرور فحص التطبيق الافتراضية.
يطبق التفتيش على الحركة مرور على كل قارن (سياسة عالمية).
تتضمن حركة مرور فحص التطبيق الافتراضية حركة مرور البيانات إلى المنافذ الافتراضية لكل بروتوكول. يمكنك تطبيق سياسة عامة واحدة فقط، لذلك إذا كنت تريد تغيير السياسة العامة، على سبيل المثال، لتطبيق فحص على منافذ غير قياسية، أو لإضافة عمليات فحص لم يتم تمكينها بشكل افتراضي، تحتاج إما إلى تحرير السياسة الافتراضية أو تعطيلها وتطبيق سياسة جديدة.
قم بتشغيل الأمر show running-config policy-map على LINA، واجهة سطر الأوامر (CLI) من خلال دعم النظام diagnostic-cli، للحصول على المعلومات.
firepower# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class_snmp
inspect snmp
class class-default
set connection advanced-options UM_STATIC_TCP_MAP
!
التعرف على عمليات إسقاط الحزم بسبب فحص بروتوكول MPF
حتى عند توافق حركة المرور مع سياسة التحكم في الوصول (ACP) المعينة إلى جدار الحماية، في سيناريوهات معينة، تقوم عملية التفتيش بإنهاء الاتصالات نظرا لسلوك حركة مرور معين تم إستقباله بواسطة جدار الحماية، أو بسبب عدم اعتماد تصميم أو معيار تطبيق أو حد للتفتيش.
أثناء أستكشاف أخطاء حركة المرور وإصلاحها، تكون العملية المفيدة هي:
قم بتعيين سجلات التقاط الوقت الفعلي على الواجهات التي تتدفق منها حركة المرور (واجهات الدخول والخروج)، الأمر:
باستخدام اللقطات، يمكنك تضمين تفاصيل التتبع الخاصة برقم الحزمة X للخيار ويجب أن توفر مرحلة النتائج حسب مرحلة أخذ الاتصال، كما يفعل أمر packet-tracer، ولكن مع هذا الخيار تضمن أنها حركة مرور في الوقت الفعلي.
firepower# show capture packet number X trace detail
ضبط إسقاط مسار الأمان السريع في الوقت الفعلي (ASP)، يعرض نوع الالتقاط asp-drop الحزم أو الاتصالات التي تم إسقاطها بواسطة ASP، هناك قائمة بالأسباب التي يمكنك العثور عليها في الارتباطات ذات الصلة للمستند، الأمر:
يمكن تجاهل عمليات إسقاط فحص البروتوكول، حيث يمكن ملاحظة نتيجة السماح في مراحل Packet-tracer. ولهذا السبب، من المهم التحقق دائما من سبب الإسقاط باستخدام سجلات الالتقاط في الوقت الفعلي.
رسائل خطأ الإسقاط الشائعة
غالبا ما يتم إستخدام إسقاط مسار الأمان السريع (ASP) لأغراض تصحيح الأخطاء للمساعدة في أستكشاف أخطاء الشبكة وإصلاحها. يتم إستخدام الأمر show asp drop لعرض هذه الحزم أو الاتصالات التي تم إسقاطها، مما يوفر رؤى في أسباب عمليات الإسقاط، والتي يمكن أن تتضمن مشاكل مثل حالات فشل NAT أو حالات فشل الفحص أو حالات رفض قاعدة الوصول.
النقاط الرئيسية حول حالات إسقاط ASP:
عمليات إسقاط الإطارات: وهذه عمليات إسقاط مرتبطة بالحزم الفردية، مثل التضمين غير الصحيح أو لا يوجد مسار إلى المضيف.
حالات سقوط التدفق: وهذه مرتبطة بالاتصالات، مثل التدفقات التي يتم رفضها بواسطة قواعد الوصول أو حالات فشل NAT.
الاستخدام: الأمر في المقام الأول للتصحيح ويمكن أن يتغير المخرجات.
رسائل الخطأ هذه أو أسباب الإسقاط هي أمثلة يمكنك مواجهتها أثناء أستكشاف الأخطاء وإصلاحها. يمكن أن تؤجل حسب بروتوكول التفتيش المستخدم.
مثال إسقاط فحص RPC ل Sun
هذا سيناريو ل FTDv أحادي الذراع في نشر AWS، حركة مرور RPC يغلف بواسطة Geneve، إذا تم تمكين فحص RPC للشمس الاتصال.
يبدي الإنتاج ASP قطرات ل Sun RPC تفتيش، Sun RCP يستعمل ميناء 111 كغاية آخر ربط يكون Geneve عملية كبسلة ميناء أي يستعمل 6081 كغاية. سبب الإسقاط في الإخراج كما يمكنك ملاحظته هو "لا يوجد تجاور صالح"
يتم إسقاط حركة المرور على أنها "التجاور غير الصحيح" في ASP من محرك LINA لأن عنوان MAC المصدر والوجهة يتم ملؤه فجأة بالأصفار بعد الحزمة الثانية (SYN/ACK) من المصافحة ثلاثية الإتجاه.
سبب إسقاط ASP:
الاسم: عدم التجاور عدم التجاور الصحيح: يتزايد هذا العداد عندما يستقبل جهاز الأمان حزمة على تدفق موجود لم يعد لديه تجاور إخراج صالح. يمكن أن يحدث ذلك إذا لم تعد الخطوة التالية قابلة للوصول أو إذا حدث تغيير توجيه بشكل خاص في بيئة توجيه ديناميكية.
الحل: تعطيل فحص SunRPC.
مثال SQL*NET Inspection Drop
هذا السيناريو ل FTDv للوكيل أحادي الذراع في نشر AWS، إذا تم تمكين فحص SQL*Nel، يتم إسقاط حركة المرور المغلفة بواسطة Geneve.
الإنتاج ل الربط على قبض مدمج (أنت يستطيع لاحظت ال نفسه ربط رقم): السطر الأول: لم يتم تضمين التقاط حزمة ASP-Drop، يستخدم SQL*Net منفذ 1521 كوجهة. السطر الثاني: VNI قارن asp-drop على LINA، Gen يستعمل عملية كبسلة ميناء 6081 كغاية.
هناك إثنان سبب إسقاط مختلف في الإنتاج، بما أن أنت يستطيع لاحظت هم "tcp-buffer-timeout" و "tcp-not-syn"
الاسم: tcp-buffer-timeout مهلة المخزن المؤقت لحزمة TCP التي انتهت صلاحيتها: يتم زيادة هذا العداد وإسقاط الحزمة عندما يتم إحتجاز حزمة TCP قيد الانتظار خارج الأمر في المخزن المؤقت لمدة طويلة للغاية.بشكل خاص، يتم وضع حزم TCP في الأمر على الاتصالات التي يتم فحصها بواسطة جهاز الأمان أو عند إرسال الحزم إلى SSM للتفتيش. عند عدم وصول حزمة TCP المتوقعة التالية خلال فترة معينة، يتم إسقاط حزمة الخروج من الأمر الموجودة في قائمة الانتظار.
التوصيات: لا تصل حزمة TCP المتوقعة التالية بسبب الازدحام في الشبكة وهو أمر طبيعي في شبكة مشغولة. يجب أن تعيد آلية إعادة إرسال TCP في المضيف الطرفي إرسال الحزمة ويمكن أن تستمر الجلسة.
الاسم: tcp-not-syn حزمة TCP الأولى ليست syn: تم تلقي حزمة غير SYN كالحزمة الأولى من اتصال غير معترض وغير متصل.
التوصية: في الظروف العادية، يمكن ملاحظة ذلك عندما يكون الجهاز قد قام بالفعل بإغلاق اتصال، ولا يزال العميل أو الخادم يعتقد أن الاتصال مفتوح، ويستمر في إرسال البيانات. بعض الأمثلة التي يمكن أن يحدث فيها ذلك بعد إصدار 'مضيف محلي واضح' أو 'xlate واضح'. كذلك، إذا لم تتم إزالة الاتصالات مؤخرا، وإذا كان العداد يتزايد بسرعة، فيمكن أن يتعرض الجهاز للهجوم. التقاط تتبع sniffer للمساعدة في عزل السبب.
الحل: قم بتعطيل فحص SQL*Net عند حدوث نقل بيانات SQL على نفس المنفذ مثل منفذ TCP للتحكم في SQL 1521. يعمل جهاز الأمان كوكيل عند تمكين فحص SQL*Net وتقليل حجم نافذة العميل من 65000 إلى حوالي 16000 مما يتسبب في حدوث مشاكل في نقل البيانات.
مثال إسقاط فحص ICMP
هذا السيناريو خاص ببيئة نظام مجموعة FTD. يمكن إستخدام معرف ICMP لرأس ICMP كمنفذ المصدر للسلسلة 5-tupe في التدفق، لذلك فإن جميع الحزم 5-tupe من إختبار الاتصال هي نفسها، وسبب إسقاط ASP هو "inspection-icmp-seq-num-not-match" كما يمكنك ملاحظته في هذا الإخراج.
firepower#show cap asp-drop
1: 19:47:09.293136 10.0.5.8 > 10.50.0.53 icmp: echo reply Drop-reason: (inspect-icmp-seq-num-not-matched) ICMP Inspect seq num not matched, Drop-location: frame 0x00005584202e6509 flow (NA)/NA
الاسم: inspection-icmp-seq-num غير متطابق لم تتم مطابقة رقم فحص ICMP: يجب زيادة هذا العداد عندما لا يتطابق الرقم التسلسلي في رسالة الرد على ICMP Echo مع أي رسالة صدى ICMP التي مرت عبر الجهاز مسبقا على نفس الاتصال.
الحل: تعطيل فحص ICMP. في بيئة نظام المجموعة: يمكن أن يكون هناك إثنان أو أكثر من FTD في نظام المجموعة وحركة مرور ICMP غير متماثلين. تتم ملاحظة وجود تأخير لحذف تدفق ICMP، يتم إرسال إختبار الاتصال اللاحق بسرعة قبل تنظيف تدفق إختبار الاتصال السابق. في هذه الحالة، يمكن أن يحدث فقد لحزمة إختبار الاتصال المتتالية.
مثال إسقاط فحص SIP
في هذا السيناريو، استغرقت المكالمات خمس دقائق فقط، ثم تم قطع الاتصال. عند إستخدام RTP، يمكن أن يسقط فحص SIP الاتصالات. وكما يمكنك الملاحظة في إخراج التقاط الحزمة على الواجهة لحركة مرور VoIP، تعني علامة BYE في حركة مرور SIP أن المكالمة الهاتفية مغلقة في ذلك الوقت.
في هذا مثال آخر، يبدي ال syslog يخطط ip أي يستعمل ضرب، ال ip تركت مع فقط واحد ميناء يتوفر وال SIP جلسة سقطت على ال نفسه ميناء، SIP failed واجب إلى توزيع أيسر. إن يكون ضرب في إستعمال SIP تفتيش يستطيع سقطت التوصيل.
سبب إسقاط ASP: "غير قادر على إنشاء اتصال UDP من IP/port إلى IP/port بسبب الوصول إلى حد كتلة منفذ PAT لكل مضيف وهو x" و"تم إنهاؤه بواسطة محرك الفحص، السبب - إعادة التعيين استنادا إلى تكوين "الخدمة إعادة تينبمود"
Nov 18 2019 10:19:34: %FTD-6-607001: Pre-allocate SIP Via UDP secondary channel for 3111:10.11.0.13/5060 to 3121:10.21.0.12 from ACK message
Nov 18 2019 10:19:35: %FTD-6-302022: Built backup stub TCP connection for identity:172.16.2.20/2325 (172.16.2.20/2325) to 99:10.70.2.20/1470 (10.70.2.20/1470)
Nov 18 2019 10:19:38: %FTD-3-305016: Unable to create UDP connection from 3111:10.11.0.12/50195 to 3121:10.21.0.12/50195 due to reaching per-host PAT port block limit of 4.
Nov 18 2019 10:19:38: %FTD-4-507003: udp flow from 3111:10.11.0.12/5060 to 3121:10.21.0.12/5060 terminated by inspection engine, reason - reset based on 'service resetinbound' configuration.
Nov 18 2019 10:19:39: %FTD-3-305016: Unable to create UDP connection from 3111:10.11.0.12/50195 to 3121:10.21.0.12/50195 due to reaching per-host PAT port block limit of 4.
Nov 18 2019 10:19:39: %FTD-4-507003: udp flow from 3111:10.11.0.12/5060 to 3121:10.21.0.12/5060 terminated by inspection engine, reason - reset based on 'service resetinbound' configuration.
سبب إسقاط ASP:
الاسم: حد قائمة الانتظار غير المتزامن تم تجاوز حد قائمة انتظار التأمين غير المتزامن: يجب أن يكون لكل قائمة انتظار عمل تأمين غير متزامن حد أقصى يبلغ 1000. عند محاولة إرسال المزيد من حزم SIP إلى قائمة انتظار العمل، يجب إسقاط الحزمة. التوصية: يمكن إسقاط حركة مرور SIP فقط. عندما يكون لحزم SIP نفس التأمين الأصلي ويمكن وضعها في قائمة الانتظار نفسها الخاصة بالقفل غير المتزامن، يمكن أن يؤدي ذلك إلى إستنزاف الكتل، نظرا لأن المعالج الأحادي فقط هو الذي يعالج جميع الوسائط. إذا كانت حزمة SIP تحاول أن تكون في قائمة الانتظار عندما يتجاوز حجم قائمة انتظار تأمين غير متزامن الحد، فيجب إسقاط الحزمة.
الاسم: عنوان تكرار sp عنوان التكرار: يتزايد هذا العداد عندما تكون عناوين المصدر والوجهة في تدفق هي نفسها. يتم إستبعاد تدفقات SIP التي يتم فيها تمكين خصوصية العنوان، حيث أنه من الطبيعي أن يكون لتلك التدفقات نفس عنوان المصدر والوجهة.
التوصية: هناك شرطان محتملان عندما يمكن أن يزيد هذا العداد. واحد عندما يستلم الجهاز ربط مع المصدر عنوان تساوي الغاية. يمثل هذا نوع هجوم رفض الخدمة (DoS). والثانية عندما ال nat تشكيل من الجهاز nat عنوان مصدر أن يساوي أن الغاية.
الاسم: والد-مغلق تم إغلاق التدفق الأصلي: عندما يتم إغلاق التدفق الأصلي لتدفق ثانوي، يتم أيضا إغلاق التدفق الفرعي. على سبيل المثال، يمكن إغلاق تدفق بيانات FTP (تدفق ثانوي) لهذا السبب المحدد عند إنهاء تدفق التحكم (التدفق الأصلي) الخاص به. ويتم توضيح هذا السبب أيضا عندما يتم إغلاق تدفق ثانوي (ثقب رقم التعريف الشخصي) بواسطة تطبيق التحكم الخاص به. على سبيل المثال، عند إستلام رسالة "التضمين"، يجب أن يقوم محرك فحص SIP (التحكم في التطبيق) بإغلاق تدفقات SIP RTP المقابلة (التدفق الثانوي).
الحل: تعطيل فحص SIP. بسبب القيود على البروتوكول:
يدعم فحص SIP ميزة الدردشة فقط. لا يتم دعم اللوحة البيضاء ونقل الملفات ومشاركة التطبيقات. عميل RTC 5.0 غير مدعوم.
عند إستخدام ضرب، أي عنوان SIP يحتوي على عنوان IP داخلي بدون ميناء يستطيع لا يكون ترجمت وبالتالي العنوان داخلي يستطيع كنت تسربت خارج. إن يريد أنت أن يتجنب هذا تسرب، شكلت nat بدلا من ضرب.
يتم تمكين فحص SIP بشكل افتراضي باستخدام خريطة الفحص الافتراضية، والتي تتضمن: * امتدادات المراسلة الفورية (IM) عبر بروتوكول SIP: ممكن. * حركة مرور غير SIP على منفذ SIP: أسقطتا. * إخفاء عناوين IP للخادم ونقطة النهاية: معطل. * إصدار برنامج القناع وأولويات URI غير SIP: معطل. * تأكد من أن عدد الخطوات إلى الوجهة أكبر من 0: ممكن. * توافق RTP: غير مفروض. * توافق SIP: عدم إجراء التحقق من الحالة والتحقق من صحة الرأس.
استكشاف الأخطاء وإصلاحها
هذه بعض الأوامر المقترحة لاستكشاف أخطاء حركة المرور المتعلقة بفحص بروتوكول LINA MPF وإصلاحها.
إظهار نهج الخدمة عرض إحصائيات نهج الخدمة لعمليات فحص LINA MPF الممكنة.
Syntax
#Capture type asp-drop match
for example
#Capture asp type asp-drop all match ip any any
#Capture asp type asp-drop all match ip any host x.x.x.x
#Capture asp type asp-drop all match ip host x.x.x.x host x.x.x.x
كيفية تمكين عمليات فحص تطبيقات LINA MPF المحددة أو تعطيلها
هذه هي الخيارات المتاحة لتمكين أو تعطيل عمليات فحص تطبيق MPF LINA في "الدفاع ضد تهديد جدار الحماية الآمن من Cisco".
التكوين عبر FlexConfig: تحتاج إلى وصول المسؤول إلى واجهة مستخدم FMC، وهذا التغيير دائم في التكوين.
التكوين عبر CLI ل FTD: تحتاج إلى وصول المسؤول إلى FTD CLI، وهذا التغيير ليس دائما، إذا حدثت عملية إعادة تمهيد أو عملية نشر جديدة، تتم إزالة التكوين.
التكوين عبر FlexConfig
FlexConfig هي طريقة للملاذ الأخير لتكوين الميزات المستندة إلى ASA المتوافقة مع الدفاع عن التهديد ولكنها غير قابلة للتكوين في مركز الإدارة.
يكون التكوين لتعطيل الفحص أو تمكينه بشكل دائم على FlexConfig عبر واجهة مستخدم FMC، ويمكن تطبيقه بشكل عام أو لحركة مرور معينة فقط.
الخطوة 1.
على واجهة مستخدم FMC، انتقل إلى Objects > Object Management > FlexConfig > FlexConfig Object، وهناك يمكنك العثور على قائمة كائنات فحص البروتوكول الافتراضية.
كائنات فحص بروتوكول FlexConfig الافتراضية
الخطوة 2.
لتعطيل فحص بروتوكول محدد، يمكنك إنشاء كائن FlexConfig.
انتقل إلى الكائنات > إدارة الكائن > FlexConfig > FlexConfig Object > إضافة كائن FlexConfig
في هذا المثال، يجب أن تكون الصياغة لتعطيل فحص SIP من global_policy:
policy-map global_policy
class inspection_default
no inspect sip
عند تكوين كائن FlexConfig، يمكنك إختيار تردد النشر وكتابته.
النشر
إذا كان الكائن FlexConfig يشير إلى كائنات تتم إدارتها بواسطة النظام مثل كائنات الشبكة أو قائمة التحكم في الوصول (ACL)، فأختر كل وقت. وإلا، تعذر نشر تحديثات الكائنات.
أستخدم Once إذا كان الشيء الوحيد الذي تقوم به في الكائن هو مسح تكوين. بعد ذلك، قم بإزالة الكائن من نهج FlexConfig بعد النشر التالي.
النوع
إلحاق (الافتراضي.) يتم وضع الأوامر الموجودة في الكائن في نهاية التكوينات التي تم إنشاؤها من نهج مركز الإدارة. يجب أن تستخدم الإلحاق إذا كنت تستخدم متغيرات كائن السياسة، والتي تشير إلى كائنات تم توليدها من كائنات تتم إدارتها. إذا كانت الأوامر المولدة لنهج أخرى تتداخل مع تلك المحددة في الكائن، يجب أن تحدد هذا الخيار بحيث لا يتم إستبدال الأوامر الخاصة بك. هذا هو الخيار الأكثر أمانا.
الإعداد المسبق. يتم وضع الأوامر الموجودة في الكائن في بداية التكوينات التي تم إنشاؤها من نهج مركز الإدارة. أنت تستخدم عادة الإعداد للأوامر التي تقوم بمسح أو إلغاء تكوين ما.
إنشاء كائن لتعطيل بروتوكول واحد من الإعداد الافتراضي global_policy
الخطوة 3.
إضافة الكائنات في نهج FlexConfig المعين إلى LINA.
انتقل إلى الأجهزة > FlexConfig حدد سياسة FlexConfig المطبقة على جدار الحماية مع مشاكل الإسقاط.
لتعطيل كافة عمليات الفحص بشكل عام، حدد الكائن default_inspection_protocol_disable ضمن كائنات FlexConfig المعرفة بواسطة النظام، ثم انقر فوق السهم الأزرق في المنتصف لإضافته إلى نهج FlexConfig.
حدد الكائن المعرف من قبل النظام لتعطيل كل فحص البروتوكول
الخطوة 4.
بمجرد تحديد هذا الخيار، تأكد من ظهوره في المربعات الصحيحة، ولا تنس حفظ التكوين ونشره ليسري مفعوله.
الكائن المحدد لتعطيل فحص البروتوكول بالكامل
الخطوة 5. لتعطيل فحص بروتوكول واحد، حدد الكائن الذي تم إنشاؤه مسبقا من القائمة المعرفة من قبل المستخدم وقم بإضافته إلى النهج باستخدام السهم الموجود بين المربعات.
حدد هذا لتعطيل فحص بروتوكول واحد من global_policy
الخطوة 6.
بمجرد تحديد هذا الخيار، تأكد من ظهوره في المربعات الصحيحة، ولا تنس حفظ التكوين ونشره ليسري مفعوله.
التكوين باستخدام واجهة سطر الأوامر (CLI) ل FTD
يمكن تطبيق هذا الحل فورا من واجهة سطر الأوامر (CLI) الخاصة ب FTD لاختبار ما إذا كان الفحص يؤثر على حركة المرور. ومع ذلك، لا يتم حفظ تغيير التكوين في حالة حدوث عملية إعادة تمهيد أو عملية نشر جديدة.
يجب تنفيذ الأمر من واجهة سطر الأوامر (CLI) الخاصة ب FTD في وضع Clish.
> configure inspection disable
for example
> configure inspection SIP disable
التحقق من الصحة
للتحقق من فعالية تعطيل البروتوكول، قم بتنفيذ الأمر show running-config policy-map. في هذا المثال، يتم تعطيل فحص SIP لأنه لم يعد يظهر في قائمة البروتوكولات الافتراضية.
firepower# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class_snmp
inspect snmp
class class-default
set connection advanced-options UM_STATIC_TCP_MAP
!
firepower#