Introducción
Este documento describe cómo implementar la característica de puente del Transmission Control Protocol (TCP) en las aplicaciones de la defensa de la amenaza de FirePOWER (FTD) vía el centro de administración de FirePOWER (FMC) usando la directiva de FlexConfig.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento del centro de administración de FirePOWER.
- Conocimiento básico de la defensa de la amenaza de FirePOWER.
- Comprensión de la característica de puente del estado TCP.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Versión 6.2 y posterior de la defensa de la amenaza de FirePOWER (FTD).
- Versión 6.2 y posterior del centro de administración de FirePOWER (FMC).
Antecedentes
Puente del estado TCP es una característica heredada del dispositivo de seguridad adaptante (ASA) y proporciona la ayuda al resolver problemas el tráfico que se podría caer por cualquier características de la normalización TCP, Asymmetric Routing condiciona y ciertas Inspecciones de la aplicación.
En el momento de escribir este documento, FMC no soporta naturalmente para configurar puente del estado TCP, a menos que se utilice la directiva de FlexConfig.
La defensa de la amenaza de FirePOWER utiliza los comandos configuration ASA de implementar algunas características, pero no todas las características. No hay conjunto único de comandos configuration de la defensa de la amenaza de FirePOWER. En lugar, la punta de FlexConfig es permitir que usted configure las características que no se soportan todavía directamente a través de las directivas y de las configuraciones del centro de administración de FirePOWER.
Note: Puente del estado TCP se debe utilizar solamente para los propósitos de Troubleshooting o cuando el Asymmetric Routing no puede ser resuelto. El uso de esta característica inhabilita las funciones de seguridad múltiples y puede causar el número alto de conexiones si no se implementa correctamente.
Para saber más sobre la característica de puente del estado TCP o su implementación en el ASA, refiera a la configuración la característica de puente del estado TCP en las 5500 Series ASA y la guía de configuración de las 5500 Series de Cisco ASA.
Configuración
Esta sección describe cómo configurar puente TCP en FMC con una directiva de FlexConfig.
Paso 1. Configure un objeto de la lista de acceso ampliada
Para crear una lista de acceso ampliada en FMC, vaya a la Administración del >Object de los objetos y en el menú izquierdo, bajo extendido selecto de la lista de acceso. Lista de acceso ampliada de ClickAdd.

Llene el campo de nombre del valor deseado. en este ejemplo, el nombre es TCP_Bypass. Botón Add del tecleo.

La acción para esta regla se debe configurar como permite. Una red definida del sistema puede ser utilizada o un nuevo objeto de red se puede crear para cada fuente y destino. En este ejemplo, la lista de acceso hace juego el tráfico IP de Host1 a Host2 pues ésta es la comunicación para aplicar puente del estado TCP. La lengueta del puerto se puede utilizar opcionalmente para hacer juego un puerto específico TCP o UDP. Haga clic en el botón Add para continuar.

Una vez que se seleccionan la fuente y las redes de destino o los host, haga clic en la salvaguardia.

Paso 2. Configure un objeto de FlexConfig
Navegue a los objetos > a la Administración del objeto > a FlexConfig > al objeto de FlexConfig y haga clic en agregan el botón del objeto de FlexConfig.

El nombre del objeto por este ejemplo se llama TCP_Bypass apenas como la lista de acceso. Este nombre no necesita hacer juego el nombre de la lista de acceso.
Seleccione el objeto de la directiva del separador de millares > el objeto del ACL ampliado.

Seleccione la lista de acceso creada en el paso 1 de la sección disponible de los objetos y asigne un nombre de variable. Entonces, haga clic en el botón Add. En este ejemplo, el nombre de variable es TCP_Bypass.
Haga clic en la salvaguardia.

Agregue las líneas de configuración siguientes en la derecha del campo vacío debajo del botón Insertar e incluya la variable definida previamente ($TCP_Bypass) en la línea de la configuración de la lista de acceso de la coincidencia. Observe que un símbolo $ prepended al nombre de variable. Esto ayuda a definir que una variable sigue después de ella.
class-map tcp_bypass
match access-list $TCP_Bypass
policy-map tcp_bypass_policy
class tcp_bypass
set connection advanced-options tcp-state-bypass
service-policy tcp_bypass_policy interface outside
En este ejemplo, se crea un directiva-mapa y se aplica a la interfaz exterior. Si puente del estado TCP requiere para ser configurado como parte de la directiva de servicio global, la correspondencia de la clase de los tcp_bypass se puede aplicar al global_policy.
Haga clic en la salvaguardia cuando está acabado.

Paso 3. Asigne una directiva de FlexConfig al FTD
Vaya a los dispositivos > a FlexConfig y cree una nueva directiva (a menos que hay ya una creada para otro propósito y asignada al mismo FTD). En este ejemplo la nueva directiva de FelxConfig se llama TCP_Bypass.

Asigne la directiva de TCP_Bypass FlexConfig al dispositivo FTD.

Seleccione el objeto de FlexConfig llamado TCP_Bypass creado en el paso 2 bajo sección definida por el usario y haga clic en la flecha para agregar ese objeto a la directiva.

Salve los cambios y despliegúelos,

Verificación
Acceda el FTD a través de SSH o de la consola y utilice el soporte de diagnóstico-CLI del comando system.
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower# show access-list TCP_Bypass
access-list TCP_Bypass; 1 elements; name hash: 0xec2b41eb
access-list TCP_Bypass line 1 extended permit object-group ProxySG_ExtendedACL_34359739205 object Host1 object Host2 log informational interval 300 (hitcnt=0) 0x42940b0e
access-list TCP_Bypass line 1 extended permit ip host 1.1.1.1 host 1.1.1.2 log informational interval 300 (hitcnt=0) 0x769561fc
firepower# show running-config class-map
!
class-map inspection_default
match default-inspection-traffic
class-map tcp_bypass
match access-list TCP_Bypass
!
firepower# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
set connection advanced-options UM_STATIC_TCP_MAP
policy-map tcp_bypass_policy
class tcp_bypass
set connection advanced-options tcp-state-bypass
!
Troubleshooting
Para resolver problemas esta característica, resultado de estos comandos útil.
- show conn [detail]
Shows connection information. Detailed information uses flags to indicate special connection characteristics.
For example, the “b” flag indicates traffic subject to TCP State Bypass
- show service-policy
Shows service policy statistics, including Dead Connection Detection (DCD) statistics
Links relacionados
https://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config/conns_connlimits.html
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118995-configure-asa-00.html
https://www.cisco.com/c/en/us/td/docs/security/firepower/620/configuration/guide/fpmc-config-guide-v62/flexconfig_policies.html