¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Entienda la extensión de la regla en los dispositivos de FirePOWER

Opciones de descarga

  • PDF     (1.1 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (703.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de junio de 2017
ID del documento:200522
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe la traducción de reglas del control de acceso al sensor cuando está desplegado del centro de administración de FirePOWER (FMC).

Prerequisites

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimiento de la tecnología de FirePOWER
  • Conocimiento en configurar las directivas del control de acceso en FMC

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 6.0.0 y posterior del centro de administración de FirePOWER
  • Versión de software corriente 6.0.1 de la imagen de la defensa ASA FirePOWER (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) y arriba
  • Versión de software corriente 6.0.0 de la imagen ASA FirePOWER SFR (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) y arriba
  • Versión Sensor 6.0.0 de las 7000/8000 Series de FirePOWER y arriba

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Una regla del control de acceso se crea con el uso de uno o las combinaciones múltiples de estos parámetros:

  • Dirección IP (fuente y destino)
  • Puertos (fuente y destino)
  • URL (categorías y aduana proporcionadas sistema URL)
  • Detectores de la aplicación
  • VLAN
  • Zonas

De acuerdo con la combinación de parámetros usados en la regla de acceso, los cambios de la extensión de la regla en el sensor. Este documento resalta las diversas combinaciones de reglas en el FMC y de sus extensiones asociadas respectivas en los sensores.

Comprensión de la extensión de la regla

La extensión de un IP basó la regla

Considere la configuración de una regla de acceso del FMC, tal y como se muestra en de la imagen:

Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en cuatro reglas tal y como se muestra en de la imagen:

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart)
268435456 allow any any  any any any  any any any  (ipspolicy 2)

  

Cuando usted despliega una regla con dos subredes configuradas como la fuente y dos host configurados como direcciones destino, esta regla se amplía a cuatro reglas en el sensor.

Note: Si el requisito es bloquear el acceso basado en las redes de destino, una mejor manera de realizar esto es utilizar la característica de las listas negras bajo inteligencia de Seguridad.

La extensión de un IP basó la regla usando la aduana URL

Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:

Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en ocho reglas tal y como se muestra en de la imagen:

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "twitter.com")
268435456 allow any any  any any any  any any any  (ipspolicy 2) 

Cuando usted despliega una regla con dos subredes configuradas como fuente, dos host configurados como las direcciones destino y dos objetos de encargo URL en una sola regla en el centro de administración, esta regla se amplían a ocho reglas en el sensor. Esto significa que para cada categoría de la aduana URL hay una combinación de origen y los rangos del destino IP/port, se configuran y se crean que.

La extensión de un IP basó la regla usando los puertos

Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:

Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en dieciséis reglas tal y como se muestra en de la imagen:

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)

Cuando usted despliega una regla con dos subredes configuradas como fuente, dos host configurados como las direcciones destino y dos objetos de encargo URL destinados a dos puertos, esta regla se amplían a dieciséis reglas en el sensor.

Note: Si hay un requisito de utilizar los puertos en la regla de acceso, utilice los detectores de la aplicación que están presentes para las aplicaciones estándars. Esto ayuda a la extensión de la regla para suceder en una forma eficiente. 

Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:

Cuando usted utiliza los detectores de la aplicación en vez de los puertos, el número de reglas ampliadas reduce a partir el dieciséis a ocho tal y como se muestra en de la imagen:

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")

La extensión de un IP basó la regla usando los VLA N

Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:

La regla AllowFile tiene una sola línea que corresponde con dos identificaciones de VLAN con algunos detectores de la aplicación, directivas de la intrusión y directivas del archivo. La regla AllowFile se ampliará a dos reglas.


268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)

Las directivas IPS y las directivas del archivo son únicas para cada regla del control de acceso pero los detectores de la aplicación múltiple se refieren en la misma regla y por lo tanto no participan en la extensión. Cuando usted considera una regla con dos identificaciones de VLAN y tres detectores de la aplicación, hay solamente dos reglas, una para cada VLA N.

La extensión de un IP basó la regla con las categorías URL

Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:

La regla de bloques bloquea las categorías URL para el adulto y la pornografía cualquier reputación y reputación del alcohol y del tabaco 1-3. Esto es una sola regla en el centro de administración pero cuando usted lo despliega al sensor él se amplía en dos reglas tal y como se muestra en de esto:


268438530 deny any any  any any any  any any any  (log dcforward flowstart) (urlcat 11)
268438530 deny any any  any any any  any any any  (log dcforward flowstart) (urlcat 76) (urlrep le 60)

Cuando usted despliega una sola regla con dos subredes configuradas como la fuente y dos host configurados como direcciones destino, junto con dos objetos de encargo URL destinados a dos puertos con dos categorías URL, esta regla se amplía a treinta y dos reglas en el sensor.

La extensión de un IP basó la regla con las zonas

Las zonas son los assigned number que se refieren a las directivas.

Si una zona se refiere a una directiva pero esa zona no se asigna a ninguna interfaz en el dispositivo al cual se está avanzando la directiva, la zona se considera como ninguno y no lleva a ninguna extensión de las reglas.

Si la zona de origen y la Zona de destino son lo mismo en la regla, el factor de la zona se considera como ningunos y se agrega solamente una regla puesto que NINGUNA no lleva a ninguna extensión de las reglas.

Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:

Hay dos reglas. Una regla tiene zonas configuradas pero la fuente y la Zona de destino es lo mismo. La otra regla no tiene ninguna configuración específica. En este ejemplo, la regla de acceso de las interfaces no traduce a una regla.


268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule

En el sensor ambas las reglas aparecen como lo mismo porque el control basado zona que implica las mismas interfaces no lleva a una extensión.

La extensión de las reglas para el acceso basado zona de la regla del control de acceso ocurre cuando la zona referida a la regla se asigna a una interfaz en el dispositivo.

Considere la configuración de una regla de acceso del FMC como se muestra abajo:

Las interfaces de la regla implican las reglas basadas zona con la zona de origen como interno y las Zonas de destino como internas, externo y DMZ. En esta interfaz de Internaland DMZ de la regla las zonas se configuran en las interfaces y el externo no existe en el dispositivo. Ésta es la extensión lo mismo:


268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity

Una regla se crea para el par específico de la interfaz que es interno > DMZ con la especificación de la zona clara y una regla interna > interna no se crea.

El número de reglas ampliadas es proporcional al número de fuente de la zona y los pares del destino que se pueden crear para las zonas asociadas válidas y éste incluyen las mismas reglas de la fuente y de la Zona de destino.

Note: Las reglas discapacitadas del FMC no se propagan y no se amplían al sensor durante la implementación de política.

Fórmula general para la extensión de la regla

Número de reglas en el sensor = (número de subredes de origen o de host) * (número del destino S) * (número de puertos de origen) * (número de puertos destino) * (número de la aduana URL) * (número de etiquetas del VLA N) * (número de categorías URL) * (número de pares de la fuente válida y de la Zona de destino)

Note: Para los cálculos, cualquier valor en el campo es substituido por el valor 1.The en la combinación de la regla se considera como 1 y no aumenta ni amplía la regla.

Resolver problemas a la falla debido del despliegue para gobernar la extensión

Cuando hay un error del despliegue después de hacer la adición a la regla de acceso, siga los pasos mencionados abajo para los casos donde se ha alcanzado el límite de la extensión de la regla

Marque /var/log/action.queue.log para los mensajes con las palabras claves siguientes:

Error - demasiadas reglas - regla de escritura 28, reglas máximas 9094

El mensaje antedicho indica que hay un problema con el número de reglas se estén ampliando que. Marque la configuración en el FMC para optimizar las reglas basadas en el escenario discutido arriba.

Información Relacionada

TAC Authored

Con la colaboración de ingenieros de Cisco

  • Raghunath Kulkarni
    Ingeniero de Cisco TAC
  • Avinash N
    Ingeniero de Cisco TAC
  • Prashant Joshi
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Discusiones relacionadas con la comunidad de Cisco

Este documento se aplica a estos productos

Acerca de Cisco
Contáctenos
Trabaje con Nosotros