ASA に関する FAQ: ASA はなぜ IPS ポリシーが設定されていない IPS モジュールにパケットを送信するのか。
概要
設定に侵入防御システム(IPS) モジュール ポリシーがないとき Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)がインスペクション用の組み込みサービスモジュールにトラフィックをなぜ送信 するかもしれませんかこの資料に記述されています。
Q. 設定される IPS ポリシーがないとき ASA がインスペクション用の IPS モジュールにパケットを送信する理由
A.
ASA が設定されたときに、そして接続はまだアクティブであることインスペクション用の IPS モジュールにトラフィックを送信 するために接続が構築されたことは可能性のあるです。
たとえば、ASA5515-IPS の顧客はソフトウェア IPS モジュールにトラフィックを送信 する ポリシーマップで設定されたポリシーがありません; ただし、トラフィックは ASA からのモジュールで到着します。
IPS のパケット ディスプレイ 機能を使用するとき、ASA から IPS に来るトラフィックを表示できます:
14:34:38.341927 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.341992 IP 192.168.1.2.1719 > 192.168.10.39.1888: UDP, length 128
14:34:38.345031 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34
14:34:38.345068 IP 192.168.1.2.1719 > 192.168.110.39.1888: UDP, length 34
インターフェイスを検知する IPS のインターフェイス統計情報は削除され、パケットは受信されました:
sensor# show interfaces portChannel
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Up
Admin Enabled Status = Enabled
Link Speed = N/A
Link Duplex = N/A
Missed Packet Percentage = 0
Total Packets Received = 128
Total Bytes Received = 17904
Total Packets Transmitted = 128
Total Bytes Transmitted = 17904
問題の原因は IPS モジュールにトラフィックを送信 するために設定が ASA に追加された connnections はクリアされませんでした以前 IPS 設定が ASA で取除かれた後いつかそれであり。 これは絶えずトラフィックを通過させる非 TCP プロトコルとよくあります。
ASA で、IPS モジュールで見るパケットに接続 エントリがあったかどうか確認するために show conn コマンドを入力して下さい。 動作期間を見るために、show conn detail コマンドを入力して下さい。 接続を確認するために IPS に、ASA のオフ conn <address> コマンドをそれらの特定の接続をクリアするために入力しなければならないかもしれませんリダイレクトされません:
ASA# clear conn address 192.168.1.2
3 connection(s) deleted.
ASA#
フィードバック