Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la traduction des règles de contrôle d'accès au capteur lors du déploiement à partir du Centre de gestion Firepower (FMC).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Une règle de contrôle d'accès est créée avec l'utilisation d'une ou plusieurs combinaisons de ces paramètres :
En fonction de la combinaison des paramètres utilisés dans la règle d'accès, l'extension de la règle change sur le capteur. Ce document présente diverses combinaisons de règles sur le FMC et leurs extensions respectives sur les capteurs.
Considérez la configuration d’une règle d’accès à partir du FMC, comme l’illustre l’image :
Il s'agit d'une règle unique sur le Management Center. Cependant, après l'avoir déployé sur le capteur, il s'étend en quatre règles, comme le montre l'image :
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268435456 allow any any any any any any any any (ipspolicy 2)
Lorsque vous déployez une règle avec deux sous-réseaux configurés comme adresse source et deux hôtes configurés comme adresse de destination, cette règle est étendue à quatre règles sur le capteur.
Note: Si l'exigence est de bloquer l'accès en fonction des réseaux de destination, il est préférable d'utiliser la fonctionnalité des listes noires sous Security Intelligence.
Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :
Il s'agit d'une règle unique sur le Management Center. Cependant, après l'avoir déployé sur le capteur, il est étendu en huit règles, comme le montre l'image :
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
Lorsque vous déployez une règle avec deux sous-réseaux configurés en tant que source, deux hôtes configurés en tant qu'adresses de destination et deux objets URL personnalisés dans une seule règle sur Management Center, cette règle est étendue à huit règles sur le capteur. Cela signifie que pour chaque catégorie d'URL personnalisée, il existe une combinaison de plages d'adresses IP/de ports source et de destination, qui sont configurées et créées.
Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :
Il s'agit d'une règle unique sur le Management Center. Cependant, après l'avoir déployé sur le capteur, il est étendu à seize règles, comme le montre l'image :
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
Lorsque vous déployez une règle avec deux sous-réseaux configurés comme source, deux hôtes configurés comme adresses de destination et deux objets URL personnalisés destinés à deux ports, cette règle s'étend à seize règles sur le capteur.
Remarque : s'il est nécessaire d'utiliser les ports dans la règle d'accès, utilisez des détecteurs d'application qui sont présents pour les applications standard. Cela aide à l'expansion des règles de manière efficace.
Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :
Lorsque vous utilisez des détecteurs d'applications plutôt que des ports, le nombre de règles étendues passe de seize à huit, comme le montre l'image :
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :
La règle AllowFile a une ligne unique qui correspond à deux ID VLAN avec certains détecteurs d'application, stratégies d'intrusion et stratégies de fichiers. La règle AllowFile s'étend à deux règles.
268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
Les stratégies IPS et les stratégies de fichiers sont uniques pour chaque règle de contrôle d'accès, mais plusieurs détecteurs d'application sont référencés dans la même règle et ne participent donc pas à l'extension. Lorsque vous considérez une règle comportant deux ID de VLAN et trois détecteurs d'application, il n'y a que deux règles, une pour chaque VLAN.
Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :
La Règle de blocage bloque les catégories d'URL pour Adultes et pornographie Toute réputation et réputation d'alcool et de tabac 1-3. Il s'agit d'une règle unique sur Management Center, mais lorsque vous la déployez sur le capteur, elle est développée en deux règles, comme illustré ci-dessous :
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 11)
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 76) (urlrep le 60)
Lorsque vous déployez une règle unique avec deux sous-réseaux configurés en tant qu'adresse source et deux hôtes configurés en tant qu'adresse de destination, ainsi que deux objets URL personnalisés destinés à deux ports avec deux catégories d'URL, cette règle s'étend à trente-deux règles sur le capteur.
Les numéros attribués aux zones sont référencés dans les stratégies.
Si une zone est référencée dans une stratégie mais que cette zone n'est affectée à aucune interface sur le périphérique vers lequel la stratégie est poussée, la zone est considérée comme any et une any n'entraîne aucune extension des règles.
Si la zone source et la zone de destination sont identiques dans la règle, le facteur de zone est considéré comme n'importe quelle et une seule règle est ajoutée car ANY n'entraîne aucune extension des règles.
Considérez la configuration d’une règle d’accès à partir du FMC comme illustré sur l’image :
Il y a deux règles. Une règle a des zones configurées mais la zone source et la zone de destination sont identiques. L'autre règle n'a pas de configuration spécifique. Dans cet exemple, la règle d'accès Interfaces ne se traduit pas en règle.
268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule
Sur le capteur, les deux règles apparaissent comme identiques, car le contrôle basé sur la zone impliquant les mêmes interfaces ne conduit pas à une extension.
L'extension des règles d'accès aux règles de contrôle d'accès basées sur les zones se produit lorsque la zone référencée dans la règle est affectée à une interface sur le périphérique.
Considérez la configuration d’une règle d’accès à partir du FMC comme indiqué ci-dessous :
La règle Interfaces implique des règles basées sur une zone avec une zone source en tant que zones internes et de destination en tant que zones internes, externes et DMZ. Dans cette règle, les zones d'interface DMZ et Interne sont configurées sur les interfaces et Externe n'existe pas sur le périphérique.Il s'agit de l'extension de la même :
268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity
Une règle est créée pour une paire d'interfaces spécifique qui est Interne > DMZ avec une spécification de zone claire et une règle Interne > Interne n'est pas créée.
Le nombre de règles étendues est proportionnel au nombre de paires source et de destination de zone qui peuvent être créées pour les zones associées valides et qui incluent les mêmes règles de zone source et de destination.
Note: Les règles désactivées du FMC ne sont pas propagées et ne sont pas étendues au capteur lors du déploiement de la stratégie.
Nombre de règles sur le capteur = (Nombre de sous-réseaux ou d'hôtes source) * (Nombre de ports source) * (Nombre de ports source) * (Nombre de ports de destination) * (Nombre d'URL personnalisées)* (Nombre d'étiquettes VLAN)* (Nombre de catégories d'URL)* (Nombre de paires de zones source et de destination valides)
Note: Pour les calculs, toute valeur du champ est remplacée par 1. La valeur any de la combinaison de règles est considérée comme 1 et n'augmente ni ne développe la règle.
En cas d'échec du déploiement après ajout à la règle d'accès, suivez les étapes mentionnées ci-dessous pour les cas où la limite d'extension de la règle a été atteinte
Consultez le fichier /var/log/action.queue.log pour les messages contenant les mots clés suivants :
Erreur - trop de règles - écriture de la règle 28, règles max 9094
Le message ci-dessus indique qu'il y a un problème avec le nombre de règles en cours d'extension. Vérifiez la configuration sur le FMC pour optimiser les règles en fonction du scénario décrit ci-dessus.