فشل نشر برنامج FTD الخاص بجدار الحماية الآمن

مسألة

تمت ملاحظة انقطاع الشبكة وانقطاعها على برنامج الدفاع ضد تهديد الطاقة النارية (FTD) من Cisco Firewall. أدت الحوادث المتكررة إلى رفض حركة المرور، بما في ذلك إتصالات SNMP، وطلبت إعادة تمهيد الجهاز والمراقبة المستمرة لتحديد السبب الرئيسي والتخفيف من التأثير أكثر.

البيئة

• أجهزة Cisco Secure Firewall Firepower 1140 (تؤثر على أي طراز طراز FTD)

• إصدارات برنامج FTD: 7.4.2.4 (تأثرت الإصدارات الأخرى أيضا)

• سياسات التحكم في الوصول (ACP) الديناميكية القائمة على الكائنات

• عمليات نشر السياسات المتكررة

قرار

لمعالجة مشاكل تجاوز الفشل ونشر السياسة المتكررة على أجهزة FTD لجدار الحماية الآمن من Cisco، يجب اتباع مجموعة شاملة من خطوات أستكشاف الأخطاء وإصلاحها وإصلاحها وإصلاحها. تم تنظيم سير العمل المدرج لتوفير فصل وشرح واضحين لكل خطوة، بما في ذلك المراقبة وجمع البيانات والتشخيصات وإرشادات الترقية.

1: إستخدام أدوات تتبع الحزم للتحقق من التوجيه والوصول لحركة المرور المقصودة.

firepower# packet-tracer input INPUTNAMEIF tcp SRCIP 54321 DSTIP 443
firepower# packet-tracer input INPUTNAMEIF icmp SRCIP 8 0 DSTIP

2: أستخدم عمليات الالتقاط في FTD لتحديد ما إذا كان يتم إسقاط الحزم عند الإدخال "بواسطة قاعدة تم تكوينها" على الرغم من وجود قاعدة صحيحة ومسار صالح لحركة المرور.

firepower# capture 1 interface INPUTIFNAME trace detail trace-count 1000 match ip host SRCIP host DSTIP
firepower# capture x type asp-drop all match ip host SRCIP host DSTIP
firepower# show capture
capture 1 type raw-data trace detail trace-count 1000 interface inside [Capturing - 31565 bytes] 
  match ip 10.1.1.0 255.255.255.0 any 
capture x type asp-drop all [Capturing - 31565 bytes] 
  match ip 10.1.1.0 255.255.255.0 any 

3: راجع سجلات رسائل FTD للحصول على دليل على وجود خلل CSCwo78475.

> expert
admin@FTD-1:~$ sudo su
Password:
root@FTD-1:/Volume/home/admin# cat /ngfw/var/log/messages | grep -E "New inspector|did not finish|swapped"
Feb 10 18:35:03 FTD-device SF-IMS[28366]: New inspector is not initializing Identity API because it's already inited. 
Feb 10 18:35:03 FTD-device SF-IMS[28366]: New inspector has different policy groups or ABP name to ID mappings from existing Identity API. Need to rebuild user group hash, group bit hash and ABP name to ID mapping 
Feb 10 18:35:10 FTD-device SF-IMS[28366]: Reading the muster data snapshot did not finish in time: 4 sec. 
Feb 10 18:36:22 FTD-device SF-IMS[28366]: Identity API state swapped

4: مطابقة الطوابع الزمنية لهذه السجلات مع تلك الخاصة بسجلات النشر في FTD.

Feb 10 18:34:45 FTD-device policy_apply.pl[18923]: INFO  Deployment type is NORMAL_DEPLOYMENT and device_version is 7.4.2.4  (Framework::FTDHA 59 <- Framework 845 <- Transaction 1142)
Feb 10 18:37:03 FTD-device policy_apply.pl[30894]: INFO  finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox took 1 (memory = 189.78 MB, change = 65.10 MB)  (Framework 4878<1504 <- Transaction 1833 <- main 231)

5: إذا كانت أنظمة FTD موجودة في HA، يمكن تجاوز الفشل إلى برنامج FTD الاحتياطي والتحقق منه بعد ذلك لضمان إسترداد حركة المرور.

6: إذا تم العثور على سجلات وشروط مطابقة في FTD، يتأثر الجهاز بالعيب ويمكن ترقيته إلى 7.4.3. وفي الوقت نفسه، يمكن قصر عمليات النشر على بعد ساعات العمل لتقليل تأثير حركة مرور البيانات.

السبب

ويعزى السبب الكامن وراء الآثار التي لوحظت على حركة المرور ومسائل نشر السياسات إلى وجود عيب معروف يؤثر على برامج FTD، ولا سيما:

• معرف تصحيح الأخطاء من Cisco CSCwo78475: تضرب حركة المرور قواعد سياسة التحكم بالوصول (ACP) غير الصحيحة أثناء نشر السياسة على أجهزة FTD مع الكائنات الديناميكية. قد يؤدي ذلك إلى رفض حركة المرور الشرعية، حتى عند وجود قواعد مناسبة في التكوين الجاري. ثابت في الإصدار 7.4.3.

المحتوى ذي الصلة

• معرف تصحيح الأخطاء من Cisco CSCwo78475: تضرب حركة المرور قواعد ACP غير صحيحة أثناء نشر النهج على FTD باستخدام الكائنات الديناميكية

• الدعم الفني والتنزيلات من Cisco: الدعم الفني والتنزيلات من Cisco