Entienda la extensión de la regla en los dispositivos de la potencia de fuego
Contenido
Introducción
Este documento describe la traducción de reglas del control de acceso al sensor cuando está desplegado del centro de administración de la potencia de fuego (FMC).
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento de la tecnología de la potencia de fuego
- Conocimiento en configurar las directivas del control de acceso en FMC
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Versión 6.0.0 y posterior del centro de administración de la potencia de fuego
- Versión de software corriente 6.0.1 de la imagen de la defensa de la potencia de fuego ASA (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) y arriba
- Versión de software corriente 6.0.0 de la imagen de la potencia de fuego SFR ASA (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) y arriba
- Versión Sensor 6.0.0 de las 7000/8000 Series de la potencia de fuego y arriba
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Antecedentes
Una regla del control de acceso se crea con el uso de uno o las combinaciones múltiples de estos parámetros:
- Dirección IP (fuente y destino)
- Puertos (fuente y destino)
- URL (categorías y aduana proporcionadas sistema URL)
- Detectores de la aplicación
- VLAN
- Zonas
De acuerdo con la combinación de parámetros usados en la regla de acceso, los cambios de la extensión de la regla en el sensor. Este documento resalta las diversas combinaciones de reglas en el FMC y de sus extensiones asociadas respectivas en los sensores.
Comprensión de la extensión de la regla
La extensión de un IP basó la regla
Considere la configuración de una regla de acceso del FMC, tal y como se muestra en de la imagen:
Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en cuatro reglas tal y como se muestra en de la imagen:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268435456 allow any any any any any any any any (ipspolicy 2)
Cuando usted despliega una regla con dos subredes configuradas como la fuente y dos host configurados como direcciones destino, esta regla se amplía a cuatro reglas en el sensor.
La extensión de un IP basó la regla usando la aduana URL
Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:
Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en ocho reglas tal y como se muestra en de la imagen:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
Cuando usted despliega una regla con dos subredes configuradas como fuente, dos host configurados como las direcciones destino y dos objetos de encargo URL en una sola regla en el centro de administración, esta regla se amplían a ocho reglas en el sensor. Esto significa que para cada categoría de la aduana URL hay una combinación de origen y los rangos del destino IP/port, se configuran y se crean que.
La extensión de un IP basó la regla usando los puertos
Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:
Esto es una sola regla en el centro de administración. Sin embargo, después de desplegarla al sensor, se amplía en dieciséis reglas tal y como se muestra en de la imagen:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
Cuando usted despliega una regla con dos subredes configuradas como fuente, dos host configurados como las direcciones destino y dos objetos de encargo URL destinados a dos puertos, esta regla se amplían a dieciséis reglas en el sensor.
Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:
Cuando usted utiliza los detectores de la aplicación en vez de los puertos, el número de reglas ampliadas reduce a partir el dieciséis a ocho tal y como se muestra en de la imagen:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
La extensión de un IP basó la regla usando los VLA N
Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:
La regla AllowFile tiene una sola línea que corresponde con dos identificaciones de VLAN con algunos detectores de la aplicación, directivas de la intrusión y directivas del archivo. La regla AllowFile se ampliará a dos reglas.
268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
Las directivas IPS y las directivas del archivo son únicas para cada regla del control de acceso pero los detectores de la aplicación múltiple se refieren en la misma regla y por lo tanto no participan en la extensión. Cuando usted considera una regla con dos identificaciones de VLAN y tres detectores de la aplicación, hay solamente dos reglas, una para cada VLA N.
La extensión de un IP basó la regla con las categorías URL
Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:
La regla de bloques bloquea las categorías URL para el adulto y la pornografía cualquier reputación y reputación del alcohol y del tabaco 1-3. Esto es una sola regla en el centro de administración pero cuando usted lo despliega al sensor él se amplía en dos reglas tal y como se muestra en de esto:
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 11)
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 76) (urlrep le 60)
Cuando usted despliega una sola regla con dos subredes configuradas como la fuente y dos host configurados como direcciones destino, junto con dos objetos de encargo URL destinados a dos puertos con dos categorías URL, esta regla se amplía a treinta y dos reglas en el sensor.
La extensión de un IP basó la regla con las zonas
Las zonas son los assigned number que se refieren a las directivas.
Si una zona se refiere a una directiva pero esa zona no se asigna a ninguna interfaz en el dispositivo al cual se está avanzando la directiva, la zona se considera como ninguno y no lleva a ninguna extensión de las reglas.
Si la zona de origen y la Zona de destino son lo mismo en la regla, el factor de la zona se considera como ningunos y se agrega solamente una regla puesto que NINGUNA no lleva a ninguna extensión de las reglas.
Considere la configuración de una regla de acceso del FMC tal y como se muestra en de la imagen:
Hay dos reglas. Una regla tiene zonas configuradas pero la fuente y la Zona de destino es lo mismo. La otra regla no tiene ninguna configuración específica. En este ejemplo, la regla de acceso de las interfaces no traduce a una regla.
268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule
En el sensor ambas las reglas aparecen como lo mismo porque el control basado zona que implica las mismas interfaces no lleva a una extensión.
La extensión de las reglas para el acceso basado zona de la regla del control de acceso ocurre cuando la zona referida a la regla se asigna a una interfaz en el dispositivo.
Considere la configuración de una regla de acceso del FMC como se muestra abajo:
Las interfaces de la regla implican las reglas basadas zona con la zona de origen como interno y las Zonas de destino como internas, externo y DMZ. En esta interfaz de Internaland DMZ de la regla las zonas se configuran en las interfaces y el externo no existe en el dispositivo. Ésta es la extensión lo mismo:
268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity
Una regla se crea para el par específico de la interfaz que es interno > DMZ con la especificación de la zona clara y una regla interna > interna no se crea.
El número de reglas ampliadas es proporcional al número de fuente de la zona y los pares del destino que se pueden crear para las zonas asociadas válidas y éste incluyen las mismas reglas de la fuente y de la Zona de destino.
Fórmula general para la extensión de la regla
Número de reglas en el sensor = (número de subredes de origen o de host) * (número del destino S) * (número de puertos de origen) * (número de puertos destino) * (número de la aduana URL) * (número de etiquetas del VLA N) * (número de categorías URL) * (número de pares de la fuente válida y de la Zona de destino)
Resolver problemas a la falla debido del despliegue para gobernar la extensión
Cuando hay un error del despliegue después de hacer la adición a la regla de acceso, siga los pasos mencionados abajo para los casos donde se ha alcanzado el límite de la extensión de la regla
Marque /var/log/action.queue.log para los mensajes con las palabras claves siguientes:
Error - demasiadas reglas - regla de escritura 28, reglas máximas 9094
El mensaje antedicho indica que hay un problema con el número de reglas se estén ampliando que. Marque la configuración en el FMC para optimizar las reglas basadas en el escenario discutido arriba.
Información Relacionada
ComentariosDéjenos ayudarlo
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)