Comprendre l'extension des règles sur les périphériques FirePOWER

Options de téléchargement

  • PDF     (1.1 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.1 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (704.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 juin 2017
ID du document:200522

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit la traduction des règles de contrôle d'accès au capteur lors du déploiement à partir du Centre de gestion Firepower (FMC).

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissance de la technologie Firepower
  • Connaissances sur la configuration des stratégies de contrôle d'accès sur FMC

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Firepower Management Center version 6.0.0 et ultérieure
  • Image ASA Firepower Defense (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) exécutant le logiciel version 6.0.1 et ultérieure
  • Image ASA Firepower SFR (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) exécutant le logiciel version 6.0.0 et ultérieure
  • Capteur de la gamme Firepower 7000/8000 version 6.0.0 et ultérieure

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Une règle de contrôle d'accès est créée avec l'utilisation d'une ou plusieurs combinaisons de ces paramètres :

  • Adresse IP (source et destination)
  • Ports (source et destination)
  • URL (catégories et URL personnalisées fournies par le système)
  • Détecteurs d'applications
  • Réseaux locaux virtuels (VLAN)
  • Zones

En fonction de la combinaison des paramètres utilisés dans la règle d'accès, l'extension de la règle change sur le capteur. Ce document présente diverses combinaisons de règles sur le FMC et leurs extensions respectives sur les capteurs.

Présentation de l'extension des règles

Extension d'une règle IP

Considérez la configuration d’une règle d’accès à partir du FMC, comme l’illustre l’image :

Il s'agit d'une règle unique sur le Management Center. Cependant, après l'avoir déployé sur le capteur, il s'étend en quatre règles, comme le montre l'image :

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart)
268435456 allow any any  any any any  any any any  (ipspolicy 2)

  

Lorsque vous déployez une règle avec deux sous-réseaux configurés comme adresse source et deux hôtes configurés comme adresse de destination, cette règle est étendue à quatre règles sur le capteur.

Note: Si l'exigence est de bloquer l'accès en fonction des réseaux de destination, il est préférable d'utiliser la fonctionnalité des listes noires sous Security Intelligence.

Extension d'une règle IP à l'aide d'une URL personnalisée

Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :

Il s'agit d'une règle unique sur le Management Center. Cependant, après l'avoir déployé sur le capteur, il est étendu en huit règles, comme le montre l'image :

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any  (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any  (log dcforward flowstart) (url "twitter.com")
268435456 allow any any  any any any  any any any  (ipspolicy 2) 

Lorsque vous déployez une règle avec deux sous-réseaux configurés en tant que source, deux hôtes configurés en tant qu'adresses de destination et deux objets URL personnalisés dans une seule règle sur Management Center, cette règle est étendue à huit règles sur le capteur. Cela signifie que pour chaque catégorie d'URL personnalisée, il existe une combinaison de plages d'adresses IP/de ports source et de destination, qui sont configurées et créées.

Extension d'une règle IP à l'aide de ports

Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :

Il s'agit d'une règle unique sur le Management Center. Cependant, après l'avoir déployé sur le capteur, il est étendu à seize règles, comme le montre l'image :

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)

Lorsque vous déployez une règle avec deux sous-réseaux configurés comme source, deux hôtes configurés comme adresses de destination et deux objets URL personnalisés destinés à deux ports, cette règle s'étend à seize règles sur le capteur.

Remarque : s'il est nécessaire d'utiliser les ports dans la règle d'accès, utilisez des détecteurs d'application qui sont présents pour les applications standard. Cela aide à l'expansion des règles de manière efficace. 

Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :

Lorsque vous utilisez des détecteurs d'applications plutôt que des ports, le nombre de règles étendues passe de seize à huit, comme le montre l'image :

268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")

Extension d’une règle basée sur IP à l’aide de VLAN

Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :

La règle AllowFile a une ligne unique qui correspond à deux ID VLAN avec certains détecteurs d'application, stratégies d'intrusion et stratégies de fichiers. La règle AllowFile s'étend à deux règles.


268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)

Les stratégies IPS et les stratégies de fichiers sont uniques pour chaque règle de contrôle d'accès, mais plusieurs détecteurs d'application sont référencés dans la même règle et ne participent donc pas à l'extension. Lorsque vous considérez une règle comportant deux ID de VLAN et trois détecteurs d'application, il n'y a que deux règles, une pour chaque VLAN.

Extension d'une règle basée sur IP avec des catégories d'URL

Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :

La Règle de blocage bloque les catégories d'URL pour Adultes et pornographie Toute réputation et réputation d'alcool et de tabac 1-3. Il s'agit d'une règle unique sur Management Center, mais lorsque vous la déployez sur le capteur, elle est développée en deux règles, comme illustré ci-dessous :


268438530 deny any any  any any any  any any any  (log dcforward flowstart) (urlcat 11)
268438530 deny any any  any any any  any any any  (log dcforward flowstart) (urlcat 76) (urlrep le 60)

Lorsque vous déployez une règle unique avec deux sous-réseaux configurés en tant qu'adresse source et deux hôtes configurés en tant qu'adresse de destination, ainsi que deux objets URL personnalisés destinés à deux ports avec deux catégories d'URL, cette règle s'étend à trente-deux règles sur le capteur.

Extension d'une règle basée sur IP avec des zones

Les numéros attribués aux zones sont référencés dans les stratégies.

Si une zone est référencée dans une stratégie mais que cette zone n'est affectée à aucune interface sur le périphérique vers lequel la stratégie est poussée, la zone est considérée comme any et une any n'entraîne aucune extension des règles.

Si la zone source et la zone de destination sont identiques dans la règle, le facteur de zone est considéré comme n'importe quelle et une seule règle est ajoutée car ANY n'entraîne aucune extension des règles.

Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :

Il y a deux règles. Une règle a des zones configurées mais la zone source et la zone de destination sont identiques. L'autre règle n'a pas de configuration spécifique. Dans cet exemple, la règle d'accès Interfaces ne se traduit pas en règle.


268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule

Sur le capteur, les deux règles apparaissent comme identiques, car le contrôle basé sur la zone impliquant les mêmes interfaces ne conduit pas à une extension.

L'extension des règles d'accès aux règles de contrôle d'accès basées sur les zones se produit lorsque la zone référencée dans la règle est affectée à une interface sur le périphérique.

Considérez la configuration d’une règle d’accès à partir du FMC comme indiqué ci-dessous :

La règle Interfaces implique des règles basées sur une zone avec une zone source en tant que zones internes et de destination en tant que zones internes, externes et DMZ. Dans cette règle, les zones d'interface DMZ et Interne sont configurées sur les interfaces et Externe n'existe pas sur le périphérique.Il s'agit de l'extension de la même :


268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity

Une règle est créée pour une paire d'interfaces spécifique qui est Interne > DMZ avec une spécification de zone claire et une règle Interne > Interne n'est pas créée.

Le nombre de règles étendues est proportionnel au nombre de paires source et de destination de zone qui peuvent être créées pour les zones associées valides et qui incluent les mêmes règles de zone source et de destination.

Note: Les règles désactivées du FMC ne sont pas propagées et ne sont pas étendues au capteur lors du déploiement de la stratégie.

Formule générale pour l'extension des règles

Nombre de règles sur le capteur = (Nombre de sous-réseaux ou d'hôtes source) * (Nombre de ports source) * (Nombre de ports source) * (Nombre de ports de destination) * (Nombre d'URL personnalisées)* (Nombre d'étiquettes VLAN)* (Nombre de catégories d'URL)* (Nombre de paires de zones source et de destination valides)

Note: Pour les calculs, toute valeur du champ est remplacée par 1. La valeur any de la combinaison de règles est considérée comme 1 et n'augmente ni ne développe la règle.

Dépannage de l'échec du déploiement en raison de l'extension des règles

En cas d'échec du déploiement après ajout à la règle d'accès, suivez les étapes mentionnées ci-dessous pour les cas où la limite d'extension de la règle a été atteinte

Consultez le fichier /var/log/action.queue.log pour les messages contenant les mots clés suivants :

Erreur - trop de règles - écriture de la règle 28, règles max 9094

Le message ci-dessus indique qu'il y a un problème avec le nombre de règles en cours d'extension. Vérifiez la configuration sur le FMC pour optimiser les règles en fonction du scénario décrit ci-dessus.

Informations connexes

TAC Authored

Contribution d’experts de Cisco

  • Raghunath Kulkarni
    Ingénieur TAC Cisco
  • Avinash N
    Ingénieur TAC Cisco
  • Prashant Joshi
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits