본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 일부 지역에서 본 콘텐츠의 현지 언어 번역을 제공할 수 있습니다. 이러한 번역은 정보 제공의 목적으로만 제공되며, 불일치가 있는 경우 본 콘텐츠의 영어 버전이 우선합니다.
이 문서에서는 FMC(Firepower Management Center)에서 구축한 센서에 적용되는 액세스 제어 규칙 변환에 대해 설명합니다.
다음 항목에 대해 알고 있는 것이 좋습니다.
이 문서의 정보는 아래의 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
액세스 제어 규칙은 다음 파라미터 중 하나 또는 여러 파라미터의 조합을 사용하여 생성됩니다.
액세스 규칙에서 사용되는 파라미터의 조합에 따라 센서에서 규칙 확장이 변경됩니다. 이 문서에서는 FMC의 다양한 규칙 조합과 이러한 각 조합에 연관된 센서의 개별 확장에 대해 중점적으로 설명합니다.
아래 그림에 나와 있는 것과 같은 FMC의 액세스 규칙 컨피그레이션을 가정해 보겠습니다.
이 컨피그레이션에는 Management Center의 단일 규칙이 포함되어 있습니다. 그러나 센서에서 구축하고 나면 이 규칙은 그림에 나와 있는 것처럼 4개 규칙으로 확장됩니다.
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart)
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart)
268435456 allow any any any any any any any any (ipspolicy 2)
소스로 구성된 2개 서브넷과 대상 주소로 구성된 2개 호스트가 포함된 규칙을 구축하면 센서에서 이 규칙은 4개 규칙으로 확장됩니다.
참고: 대상 네트워크를 기준으로 액세스를 차단하는 요건이 적용되는 경우 보안 인텔리전스의 블랙리스트 기능을 사용하여 이 확장을 수행하는 것이 더욱 효율적입니다.
아래 그림에 나와 있는 것과 같은 FMC의 액세스 규칙 컨피그레이션을 가정해 보겠습니다.
이 컨피그레이션에는 Management Center의 단일 규칙이 포함되어 있습니다. 그러나 센서에서 구축하고 나면 이 규칙은 그림에 나와 있는 것처럼 8개 규칙으로 확장됩니다.
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
Management Center의 단일 규칙에서 소스로 구성된 2개 서브넷, 대상 주소로 구성된 2개 호스트, 그리고 맞춤형 URL 개체 2개가 포함된 규칙을 구축하면 센서에서 이 규칙은 8개 규칙으로 확장됩니다. 즉, 각 맞춤형 URL 범주에 대해 소스 및 목적지 IP/포트 범위 조합이 구성 및 생성됩니다.
아래 그림에 나와 있는 것과 같은 FMC의 액세스 규칙 컨피그레이션을 가정해 보겠습니다.
이 컨피그레이션에는 Management Center의 단일 규칙이 포함되어 있습니다. 그러나 센서에서 구축하고 나면 이 규칙은 그림에 나와 있는 것처럼 16개 규칙으로 확장됩니다.
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 80 any 6 (log dcforward flowstart) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 443 any 6 (log dcforward flowstart) (url "twitter.com")
268435456 allow any any any any any any any any (ipspolicy 2)
소스로 구성된 2개 서브넷, 대상 주소로 구성된 2개 호스트, 그리고 2개 포트를 대상으로 하는 맞춤형 URL 개체 2개가 포함된 규칙을 구축하면 센서에서 이 규칙은 16개 규칙으로 확장됩니다.
참고: 액세스 규칙에 포트를 사용해야 하는 요건이 있으면 표준 애플리케이션용으로 포함되어 있는 애플리케이션 탐지기를 사용합니다. 이렇게 하면 효율적인 방식으로 규칙을 확장할 수 있습니다.
아래 그림에 나와 있는 것과 같은 FMC의 액세스 규칙 컨피그레이션을 가정해 보겠습니다.
포트 대신 애플리케이션 탐지기를 사용하면 그림에 나와 있는 것처럼 확장되는 규칙의 수가 16개에서 8개로 줄어듭니다.
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 1.1.1.1 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 3.3.3.3 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "facebook.com")
268436480 allow any 2.2.2.2 32 any any 4.4.4.4 32 any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url "twitter.com")
아래 그림에 나와 있는 것과 같은 FMC의 액세스 규칙 컨피그레이션을 가정해 보겠습니다.
AllowFile 규칙에는 일부 애플리케이션 탐지기, 침입 정책 및 파일 정책의 2개 VLAN ID와 일치하는 줄 하나가 있습니다. AllowFile 규칙은 아래와 같이 2개 규칙으로 확장됩니다.
268436480 allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
268436480 allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4)
IPS 정책 및 파일 정책은 각 액세스 제어 규칙에 대해 고유하지만, 같은 규칙에서 여러 애플리케이션 탐지기를 참조하므로 애플리케이션 탐지기는 확장에 포함되지 않습니다. 즉, VLAN ID 2개와 애플리케이션 탐지기 3개가 포함된 규칙이 있다고 가정하면 각 VLAN에 대해 하나씩 2개의 규칙만 생성됩니다.
아래 그림에 나와 있는 것과 같은 FMC의 액세스 규칙 컨피그레이션을 가정해 보겠습니다.
차단 규칙은 Adult and pornography Any Reputation(성인 및 음란물 모든 평판) 및 Alcohol and Tobacco Reputations 1-3(주류 및 담배 평판 1~3)의 URL 범주를 차단합니다. 이 규칙은 Management Center의 단일 규칙이지만 센서에 구축하면 아래에 나와 있는 것처럼 2개 규칙으로 확장됩니다.
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 11)
268438530 deny any any any any any any any any (log dcforward flowstart) (urlcat 76) (urlrep le 60)
소스로 구성된 2개 서브넷, 대상 주소로 구성된 2개 호스트, 2개 포트를 대상으로 하는 맞춤형 URL 개체 2개 및 URL 범주 2개가 포함된 단일 규칙을 구축하면 센서에서 이 규칙은 32개 규칙으로 확장됩니다.
영역은 정책에서 참조하는 할당된 번호입니다.
정책에서 참조하는 영역이 정책을 푸시하는 디바이스의 인터페이스에 할당되어 있지 않으면 해당 영역은 임의로 간주되며, 영역이 임의 인 경우 규칙은 확장되지 않습니다.
규칙에서 보안 영역과 대상 영역이 같으면 영역 요소는 임의로 간주되며, 영역이 임의이면 규칙은 확장되지 않으므로 규칙이 하나만 생성됩니다.
아래 그림에 나와 있는 것과 같은 FMC의 액세스 규칙 컨피그레이션을 가정해 보겠습니다.
이 컨피그레이션에는 두 개의 규칙이 있는데, 한 규칙에는 영역이 구성되어 있지만 소스 영역과 대상 영역이 같으며 다른 규칙에는 구체적인 컨피그레이션이 없습니다. 이 예에서 Interfaces(인터페이스) 액세스 규칙은 규칙으로 변환되지 않습니다.
268438531 allow any any any any any any any any (log dcforward flowstart)<-----Allow Access Rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<----------Default Intrusion Prevention Rule
영역 기반 제어가 같은 인터페이스에 적용되는 경우에는 규칙이 확장되지 않으므로 센서에서는 두 규칙이 모두 동일하게 표시됩니다.
규칙에서 참조되는 영역이 디바이스의 인터페이스에 할당되어 있어야 영역 기반 액세스 제어 규칙 액세스를 위한 규칙이 확장됩니다.
아래에 나와 있는 것과 같은 FMC의 액세스 규칙 컨피그레이션을 가정해 보겠습니다.
여기서 규칙 인터페이스에는 소스 영역에 영역 기반 규칙이 적용되어 있으며 내부 영역과 대상 영역이 내부, 외부, DMZ로 포함되어 있습니다. 이 규칙에서는 인터페이스에 내부 및 DMZ 인터페이스 영역이 구성되어 있으며 외부 영역은 디바이스에 없습니다. 이와 동일한 규칙은 아래와 같이 확장됩니다.
268436480 allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ)
268438531 allow any any any any any any any any (log dcforward flowstart)<--------Allow Access rule
268434432 allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)<--------Default Intrusion Prevention: Balanced Security over Connectivity
여기서는 영역이 명확하게 지정된 특정 인터페이스 페어, 즉 Internal(내부) > DMZ에 대해서는 규칙이 생성되지만, Internal(내부) > Internal(내부) 규칙은 생성되지 않습니다.
확장되는 규칙의 수는 유효한 연결된 영역에 대해 생성할 수 있는 영역 소스 및 대상 페어의 수에 비례하며, 여기에는 동일한 소스 및 대상 영역 규칙이 포함됩니다.
센서의 규칙 수 = (소스 서브넷 또는 호스트의 수) * (대상 서브넷의 수) * (소스 포트 수) * (목적지 포트 수) * (맞춤형 URL의 수) * (VLAN 태그의 수) * (URL 범주의 수) * (유효한 소스 및 대상 영역 페어의 수)
참고: 계산 시에는 필드의 임의 값이 1로 대체됩니다. 즉, 규칙 조합에서 임의 값은 1로 간주되며 규칙은 증가하거나 확장되지 않습니다.
액세스 규칙에 항목을 추가한 후에 구축에서 장애가 발생하는 경우 규칙 확장 제한에 도달했다면 아래에 나와 있는 단계를 수행합니다.
/var/log/action.queue.log에서 다음 키워드가 포함된 메시지를 확인합니다.
오류 - 너무 많은 규칙 - 작성 중인 규칙 28개, 최대 규칙 수 9094개
위의 메시지는 확장 중인 규칙 수에 문제가 있음을 나타냅니다. 이 경우 FMC의 컨피그레이션을 확인하여 위에서 설명한 시나리오에 따라 규칙을 최적화하십시오.