FMC 배포 실패 문제 해결 오류 "이 규칙에는 위협 라이센스가 필요하지만 하나 이상의 장치에 위협 라이센스 "가 없습니다.

문제

• FMC(Secure Firewall Management Center)가 FTD(Secure Firewall Threat Defense) 방화벽에 컨피그레이션 변경 사항을 배포하지 못합니다.

• 구축 시도 중에 다음과 같은 검증 오류 메시지가 생성됩니다. "[Global Do-Not-Block List for DNS] 이 규칙에는 위협 라이센스가 필요하지만 하나 이상의 디바이스에 위협 라이센스가 없습니다."

• 이 문제는 모든 컨피그레이션 변경 사항이 대상 디바이스에 구축되는 것을 방지합니다.

FMC_Deploy_Error.png

환경

• Cisco FMC(Secure Firewall Management Center)

• Cisco FTD(Secure Firewall Threat Defense) - 위협 라이센스 없음(IPS)

• 전역으로 구성된 DNS 보안 인텔리전스 정책

해결

1단계. FMC에서 Objects(개체) > Security Intelligence(보안 인텔리전스) > DNS Lists and Feeds(DNS 목록 및 피드)로 이동합니다.

FMC_Navigate_DNS_Lists_and_Feeds.png

2단계. Global-Do-Not-Block-List-for-DNS 객체를 편집합니다.

FMC_Edit_DNS_Lists_and_Feeds.png

3단계. 목록에서 URL 객체를 제거하고 저장합니다.

Remove_URLs_from_List.png

4단계. 정책을 구축합니다.

또는 FTD에 IPS(Threat) 라이센스를 할당합니다.


이러한 컨피그레이션 수정 후 이전 라이센스 검증 오류 없이 FTD 방화벽에 대한 구축이 성공적으로 완료되었습니다.

원인

DNS 보안 인텔리전스 정책 요구 사항과 대상 장치의 사용 가능한 라이선스 수준이 일치하지 않아 구축 오류가 발생했습니다. FTD 방화벽은 Threat 라이센스 없이 구성되었지만 글로벌 DNS 보안 인텔리전스 정책에는 특별히 Threat 라이센스 기능이 필요한 규칙이 포함되어 있습니다.

전역 차단/차단 안 함 목록이 포함된 DNS 보안 인텔리전스 기능이 제대로 작동하려면 위협 라이센스가 필요합니다. FMC에서 이러한 DNS 보안 인텔리전스 규칙이 포함된 컨피그레이션 변경 사항을 Threat 라이센스가 없는 디바이스에 구축하려고 시도하면 검증 오류가 발생하면서 구축이 차단되었습니다.

관련 콘텐츠

• https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/100/management-center-device-config-10-0/access-security-intelligence.html#Cisco_Reference.dita_b01f7b93-dd79-4804-9b23-b8057810e02f

• Cisco 기술 지원 및 다운로드