FirePOWER デバイスのルールの展開について
目次
概要
この資料はセンサーに展開されたとき Firepower Management Center (FMC)からのアクセスコントロール ルールの変換を記述したものです。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower テクノロジーのナレッジ
- FMC のアクセスコントロール ポリシーの設定のナレッジ
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Firepower Management Center バージョン 6.0.0 および それ 以上
- ソフトウェア バージョン 6.0.1 を実行する ASA Firepower 防衛イメージ(ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X)以上に
- ソフトウェア バージョン 6.0.0 を実行する ASA Firepower SFR イメージ(ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5585-X)以上に
- Firepower 7000/8000 シリーズ センサ バージョン 6.0.0 以上に
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
背景説明
アクセスコントロール ルールは 1 の使用かこれらのパラメータの複数の組み合わせで作成されます:
- IP アドレス(送信元および宛先)
- ポート(送信元および宛先)
- URL (システムによって提供されるカテゴリーおよびカスタム URL)
- アプリケーション探知器
- VLAN
- ゾーン
アクセス規則で使用されるパラメータの組み合せに基づくセンサーのルール展開変更。 この資料は FMC のルールおよびセンサーのそれぞれ関連する展開のさまざまな組み合わせを強調表示したものです。
ルール展開の概要
IP によって基づくルールの展開
イメージに示すように FMC からのアクセス規則の設定を、考慮して下さい:
これは管理センターの単一ルールです。 ただし、センサーへのそれを展開した後、それはイメージに示すように 4 つのルールに拡張します:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268435456 allow any any any any any any any any (ipspolicy 2)
宛先アドレスで設定される出典および 2 つのホストで 2 つのサブネットが設定されているルールを展開するときこのルールはセンサーの 4 つのルールに拡張されます。
カスタム URL を使用して IP によって基づくルールの展開
イメージに示すように FMC からのアクセス規則の設定を考慮して下さい:
これは管理センターの単一ルールです。 ただし、センサーへのそれを展開した後、それはイメージに示すように 8 つのルールに拡張されます:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
出典で 2 つのサブネットが設定されているルールを展開するとき管理センターの単一ルールの宛先アドレスおよび 2 つのカスタム URL オブジェクトで設定される 2 つのホストはセンサーの 8 つのルールにこのルール拡張されます。 これは各カスタム URL カテゴリのための設定され、作成される送信元および宛先 IP/port 範囲の組み合せがあることを意味します。
ポートを使用して IP によって基づくルールの展開
イメージに示すように FMC からのアクセス規則の設定を考慮して下さい:
これは管理センターの単一ルールです。 ただし、センサーへのそれを展開した後、それはイメージに示すように 16 のルールに拡張されます:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
出典で 2 つのサブネットが設定されているルールを展開するとき送信される 2 つのポートへの宛先アドレスおよび 2 つのカスタム URL オブジェクトで設定される 2 つのホストはセンサーの 16 のルールにこのルール拡張します。
イメージに示すように FMC からのアクセス規則の設定を考慮して下さい:
ポートの代りにアプリケーション探知器を使用するとき、拡張されたルールの数はイメージに示すように 16 から 8 つをから減らします:
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
VLAN を使用して IP によって基づくルールの展開
イメージに示すように FMC からのアクセス規則の設定を考慮して下さい:
ルール AllowFile にいくつかのアプリケーション探知器、不正侵入ポリシーおよびファイル ポリシーに 2 VLAN ID をマッチさせる単一 行があります。 ルール AllowFile は 2 つのルールに拡張します。
268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
IPS ポリシーおよびファイル ポリシーは各アクセスコントロール ルールのためにユニークですが、複数のアプリケ− ション探知器は同じルールで参照され、展開にそれ故に加わりません。 2 VLAN ID および 3 つのアプリケーション探知器とのルールを考えるとき、たった 2 つのルールが、各 VLAN のための 1 つあります。
URL カテゴリーの IP によって基づくルールの展開
イメージに示すように FMC からのアクセス規則の設定を考慮して下さい:
ブロックルールは大人およびポルノグラフィーのための URL カテゴリーを評判およびアルコールおよびタバコ評判 1-3 ブロックします。 これはこれに示すように 2 つのルールにセンサーにそれを展開するとき管理センターの単一ルールそれ拡張されますですが、:
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 11)
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 76) (urlrep le 60)
宛先アドレスで設定される出典および 2 つのホストで 2 つのサブネットが設定されている単一ルールを展開するとき送信される 2 つの URL カテゴリーの 2 つのポートへの 2 つのカスタム URL オブジェクトと共に、このルールはセンサーの 32 のルールに拡張します。
IP の展開はゾーンとのルールを基づかせていました
ゾーンはポリシーで参照される割り当て番号です。
ゾーンがポリシーで参照されるが、そのゾーンがポリシーが押されているデバイスのあらゆるインターフェイスに割り当てられなければ、ゾーンはとして考慮され、ルールのあらゆる展開に導きません。
ソース ゾーンおよび宛先 ゾーンがルールに同じである場合、ゾーン ファクタはとして考慮され、ANY がルールのあらゆる展開の原因とならないので 1 つのルールだけ追加されます。
イメージに示すように FMC からのアクセス規則の設定を考慮して下さい:
2 つのルールがあります。 1 つのルールに設定されるゾーンがありますが、送信元および宛先 ゾーンは同じです。 他のルールに特定の設定がありません。 この例では、インターフェイス アクセス規則はルールに変換しません。
268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule
センサーでルールは両方とも同じとして同じインターフェイスを含むゾーンによって基づく制御が展開の原因とならないので現われます。
ゾーンによって基づくアクセスコントロール ルール アクセスのためのルールの展開はルールで参照されるゾーンがデバイスのインターフェイスに割り当てられるとき発生します。
下記に示されているように FMC からのアクセス規則の設定を考慮して下さい:
ルール インターフェイスは内部ように内部としてソース ゾーンとゾーンによって基づくルールをおよび宛先 ゾーン、外部および DMZ 含みます。 ルール Internaland この DMZ インターフェイスでゾーンはインターフェイスで設定され、外部はデバイスにありません。これは同じの展開です:
268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity
ルールは内部 > クリア ゾーン 仕様の DMZ であり、内部 > 内部ルールが作成されない特定のインターフェイス ペアのために作成されます。
拡張されるルールの数は有効な関連ゾーンのために作成することができるこれには同じ送信元および宛先 ゾーン ルールが含まれていますゾーン ソースと宛先のペアの数に比例して。
ルール展開のための概要数式
センサーのルールの数 = (出典サブネットまたはホストの数) * (宛先 S の数) * (送信元ポートの数) * (宛先ポートの数) * (カスタム URL の数) * (VLAN タグの数) * (URL カテゴリーの数) * (有効 な 送信元および宛先 ゾーン ペアの数)
展開を支配すること当然のトラブルシューティング配備失敗
配備失敗がアクセス規則へ付加を作った後あるとき、ルール展開制限が達したケースのために下記に述べられるステップに従って下さい
次のキーワードとメッセージがあるように /var/log/action.queue.log を確認して下さい:
エラー-余りにも多くのルール-書き込みルール 28、最大値ルール 9094
上記のメッセージは拡張されているルールの数に問題があることを示します。 上で説明されているシナリオに基づいてルールを最適化するために FMC の設定をチェックして下さい。
フィードバック