Este documento descreve o processo para configurar as regras de acesso ao plano de controle para Secure Firewall Threat Defense e Adaptive Security Appliance (ASA).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O tráfego normalmente atravessa um firewall e é roteado entre interfaces de dados; em algumas circunstâncias, é benéfico negar o tráfego destinado 'ao' firewall seguro. O firewall seguro da Cisco pode usar uma lista de controle de acesso (ACL) de plano de controle para restringir o tráfego "para a caixa". Um exemplo de quando uma ACL de plano de controle pode ser útil para controlar quais pares podem estabelecer um túnel VPN (Site-to-Site ou Remote Access VPN) para o firewall seguro.
O tráfego normalmente atravessa firewalls de uma interface (de entrada) para outra interface (de saída), o que é conhecido como tráfego por meio da caixa e é gerenciado pelas políticas de controle de acesso (ACP) e pelas regras de pré-filtro.
Imagem 1. Exemplo de tráfego pronto para usar
Há outros casos em que o tráfego é diretamente destinado a uma interface FTD (Site-to-Site ou VPN de acesso remoto), o que é conhecido como tráfego para a caixa e é gerenciado pelo plano de controle dessa interface específica.
Imagem 2. Exemplo de tráfego pronto para usarNo próximo exemplo, um conjunto de endereços IP de um determinado país tenta forçar a rede via VPN, tentando fazer login no FTD RAVPN. A melhor opção para proteger o FTD contra esses ataques de força bruta de VPN é configurar uma ACL de plano de controle para bloquear essas conexões à interface externa do FTD.
Este é o procedimento que você deve seguir em um FMC para configurar uma ACL de plano de controle para bloquear ataques de força bruta de VPN de entrada para uma interface FTD externa:
Etapa 1. Abra a interface gráfica do usuário (GUI) do FMC via HTTPS e faça login com suas credenciais:
Imagem 3. Página de início de sessão do FMC
Etapa 2. Você deve criar uma ACL estendida. Para isso, navegue até Objetos > Gerenciamento de objetos:
Imagem 4. Gerenciamento de Objetos
Etapa 2.1. No painel esquerdo, navegue até Access List > Extended para criar uma ACL estendida:
Imagem 5. Menu da ACL estendida
Etapa 2.2. Selecione Add Extended Access List:
Imagem 6. Adicionar ACL estendida
Etapa 2.3. Digite um nome para a ACL estendida e clique no botão Add para criar uma entrada de controle de acesso (ACE):
Imagem 7. Entradas da ACL estendida
Etapa 2.4. Altere a ação ACE para Block, e adicione a rede de origem para corresponder ao tráfego que deve ser negado para o FTD, mantenha a rede de destino como Any (Qualquer) e clique no botão Add (Adicionar) para concluir a entrada ACE.
Neste exemplo, a entrada de ACE configurada bloqueia os ataques de força bruta de VPN provenientes da sub-rede 192.168.1.0/24:
Imagem 8. Redes Negadas
Etapa 2.5. Se precisar adicionar mais entradas ACE, clique no botão Add novamente e repita a etapa 2.4. Depois disso, clique no botão Save para concluir a configuração da ACL:
Imagem 9. Entradas de ACL estendida concluídas
Etapa 3. Em seguida, você deve configurar um Objeto Flex-Config para aplicar a ACL do plano de controle à interface FTD externa. Navegue até o painel esquerdo e selecione a opção FlexConfig > Objeto FlexConfig.
Imagem 10. Menu Objeto FlexConfig
Etapa 3.1. Clique em Adicionar objeto FlexConfig:
Imagem 11. Adicionar Objeto Flexconfig
Etapa 3.2. Adicione um nome para o objeto FlexConfig e insira um objeto de política de ACL. Selecione Inserir > Inserir objeto de política > Objeto de ACL estendida:
Imagem 12. Variável de Objeto FlexConfig
Etapa 3.3. Adicione um nome para a variável de objeto ACL e selecione a ACL estendida que foi criada na Etapa 2.3, clique no botão Save:
Imagem 13. Atribuição de ACL variável de objeto FlexConfig
Etapa 3.4. Configure a ACL do plano de controle como entrada para a interface externa.
Sintaxe da linha de comando:
access-group "variable name starting with $ symbol" in interface "interface-name" control-plane
Isso se traduz no próximo exemplo de comando, que usa a variável ACL criada na Etapa 2.3 VAR-ACL-UNWANTED-COUNTRY:
access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane
É assim que você deve configurar a janela do objeto FlexConfig. Depois disso, selecione o botão Salvar para concluir o objeto FlexConfig:
Imagem 14. Linha de comando de Objeto Flexconfig completo
Etapa 4. Você deve aplicar a configuração do Objeto FlexConfig ao FTD, navegue até Dispositivos > FlexConfig:
Imagem 15. Menu de Política FlexConfig
Etapa 4.1. Clique em Nova política, se ainda não houver um FlexConfig criado para seu FTD, edite a política FlexConfig existente:
Imagem 16. Criação da Política FlexConfig
Etapa 4.2. Adicione um nome para a nova política FlexConfig e selecione o FTD ao qual deseja aplicar a ACL de plano de controle criada:
Imagem 17. Atribuição de dispositivo de Política FlexConfig
Etapa 4.3. No painel esquerdo, procure o objeto FlexConfig criado na Etapa 3.2 e, em seguida, adicione-o à política FlexConfig clicando na seta para a direita localizada no meio da janela. Em seguida, clique no botão Save:
Imagem 18. Atribuição de objeto de Política FlexConfig
Etapa 5. Continue a implantar a alteração de configuração no FTD navegando para Implantar > Implantação avançada:
Imagem 19. Implantação Avançada do FTD
Etapa 5.1. Selecione o FTD ao qual deseja aplicar a política FlexConfig. Se tudo estiver correto, clique em Implantar:
Imagem 20. Validação da implantação do FTD
Etapa 5.2. Em seguida, uma janela de confirmação da implantação é exibida, adicione um comentário para rastrear a implantação e continue em Implantar:
Imagem 21. Comentários de Disponibilização do FTD
Etapa 5.3. Uma mensagem de aviso pode ser exibida ao implantar alterações do FlexConfig. Clique em Implantar apenas se tiver certeza total de que a configuração de política está correta:
Imagem 22. Aviso do Flexconfig de Disponibilização do FTD
Etapa 5.4. Confirmar se a implantação da política foi bem-sucedida para o FTD:
Imagem 23. Implantação do FTD bem-sucedida
Etapa 6. Se você criar uma nova ACL de plano de controle para o seu FTD ou se editou uma ACL existente que esteja ativamente em uso, é importante destacar as alterações de configuração feitas. Estas não se aplicam às ligações já estabelecidas ao DTF. Você deve limpar manualmente as tentativas de conexão ativa com o FTD, conectar-se ao CLI do FTD e limpar as conexões ativas.
Para limpar a conexão ativa para um endereço IP de host específico:
> clear conn address 192.168.1.10 all
Para limpar as conexões ativas de toda uma rede de sub-rede:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para limpar as conexões ativas para um intervalo de endereços IP:
> clear conn address 192.168.1.1-192.168.1.10 all
Este é o procedimento que você deve seguir com um FDM para configurar uma ACL de plano de controle para bloquear ataques de força bruta de VPN recebidos para a interface FTD externa:
Etapa 1. Abra a GUI do FDM via HTTPS e efetue logon com suas credenciais:
Imagem 24. Página de Login do FDM
Etapa 2. Você deve criar uma rede de objetos. Navegue até Objetos:
Imagem 25. Painel principal do FDM
Etapa 2.1. No painel esquerdo, selecione Redes e clique no botão '+' para criar um novo objeto de rede:
Imagem 26. Criação de objetos
Etapa 2.2. Adicione um nome para o objeto de rede, selecione o tipo de rede do objeto, adicione o endereço IP, o endereço de rede ou o intervalo de IPs para corresponder ao tráfego que deve ser negado para o FTD. Em seguida, clique no botão Ok para concluir a rede do objeto.
Neste exemplo, a rede de objetos configurada tem a intenção de bloquear ataques de força bruta de VPN provenientes da sub-rede 192.168.1.0/24:
Imagem 27. Adicionar Objeto de Rede
Etapa 3. Em seguida, você deve criar uma ACL estendida e navegar até a guia Device no menu superior:
Imagem 28. Página de definições do dispositivo
Etapa 3.1. Role para baixo e selecione View Configuration no quadrado Advanced Configuration, conforme mostrado na imagem:
Imagem 29. Configuração Avançada do FDM
Etapa 3.2. Em seguida, no painel esquerdo, navegue até Smart CLI > Objects e clique em CREATE SMART CLI OBJECT.
Imagem 30. Objetos Smart CLI
Etapa 3.3. Adicione um nome para a ACL estendida. Para criar, selecione Extended Access List no menu suspenso de modelos de CLI e configure as ACEs necessárias usando o objeto de rede criado na Etapa 2.2. Em seguida, clique no botão OK para concluir a ACL:
Imagem 31. Criação da ACL estendida
Etapa 4. Em seguida, você deve criar um objeto FlexConfig, navegar até o painel esquerdo e selecionar FlexConfig > Objetos FlexConfig e, em seguida, clicar em CRIAR OBJETO FLEXCONFIG:
,
Imagem 32. Objetos FlexConfig
Etapa 4.1. Adicione um nome para o objeto FlexConfig para criar e configurar a ACL do plano de controle como entrada para a interface externa.
Sintaxe da linha de comando:
access-group "ACL-name" in interface "interface-name" control-plane
Isso se traduz no próximo exemplo de comando, que usa a ACL estendida criada na Etapa 3.3 ACL-UNWANTED-COUNTRY:
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
É assim que ele pode ser configurado na janela do objeto FlexConfig. Selecione o botão OK para concluir o objeto FlexConfig:
Imagem 3. Criação do Objeto FlexConfig
Etapa 5. Continue para criar uma política FlexConfig. Navegue até Flexconfig > FlexConfig Policy, clique no botão "+" e selecione o objeto FlexConfig que foi criado na Etapa 4.1:
Imagem 34. Política FlexConfig
Etapa 5.1. Validate the FlexConfig preview mostra a configuração correta para a ACL do plano de controle criada e clique no botão Save:
Imagem 35. Visualização da Política FlexConfig
Etapa 6. Implante as alterações de configuração no FTD que deseja proteger contra os ataques de força bruta da VPN. Em seguida, clique no botão Deployment no menu superior e confirme se as alterações de configuração para implantar estão corretas e clique em DEPLOY NOW:
Imagem 36. Implantação Pendente
Etapa 6.1. Validar que a implantação da política foi bem-sucedida:
Imagem 37. Implantação bem-sucedida
Etapa 7. Se você criar uma nova ACL de plano de controle para o seu FTD ou se editou uma ACL existente que esteja ativamente em uso, é importante destacar as alterações de configuração feitas. Estas não se aplicam às ligações já estabelecidas ao DTF. Você deve limpar manualmente as tentativas de conexão ativa com o FTD, conectar-se ao CLI do FTD e limpar as conexões ativas.
Para limpar a conexão ativa para um endereço IP de host específico:
> clear conn address 192.168.1.10 all
Para limpar as conexões ativas de toda uma rede de sub-rede:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para limpar as conexões ativas para um intervalo de endereços IP:
> clear conn address 192.168.1.1-192.168.1.10 all
Este é o procedimento que você deve seguir com uma CLI do ASA, isto é, configurar uma ACL de plano de controle para bloquear ataques de força bruta de VPN de entrada para a interface externa:
Etapa 1. Faça login no ASA de firewall seguro via CLI e obtenha acesso ao comando configure terminal.
asa# configure terminal
Etapa 2. Execute o próximo comando para configurar uma ACL estendida; isso bloqueia um endereço IP de host ou de rede para o tráfego que deve ser bloqueado para o ASA.
Neste exemplo, você cria uma nova ACL chamada ACL-UNWANTED-COUNTRY e a entrada de ACE configurada bloqueia os ataques de força bruta de VPN provenientes da sub-rede 192.168.1.0/24:
asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
Etapa 3. Execute o próximo comando access-group para configurar a ACL ACL-UNWANTED-COUNTRY como uma ACL de plano de controle para a interface ASA externa:
asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Etapa 4. Se você criar uma nova ACL de plano de controle ou se editou uma ACL existente que esteja ativamente em uso, é importante realçar as alterações de configuração feitas. Isso não se aplica a conexões já estabelecidas com o ASA, você deve limpar manualmente as tentativas de conexão ativas com o ASA e limpar as conexões ativas.
Para limpar a conexão ativa para um endereço IP de host específico:
asa# clear conn address 192.168.1.10 all
Para limpar as conexões ativas de toda uma rede de sub-rede:
asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para limpar as conexões ativas para um intervalo de endereços IP:
asa# clear conn address 192.168.1.1-192.168.1.10 all
Para ataques de bloqueio imediatos do firewall seguro, você pode executar o comando shun. O comando hunpermite bloquear conexões de um host de ataque, revisar mais detalhes sobre o comando shun:
Sintaxe do comando Shun:
shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]
Para desativar um shun, execute a forma no desse comando:
no shun source_ip [ vlan vlan_id]
Para evitar um endereço IP de host, continue neste exemplo para o firewall seguro. Neste exemplo, o comando shun é usado para bloquear ataques de força bruta de VPN provenientes do endereço IP de origem 192.168.1.10.
Etapa 1. Efetue login no FTD via CLI e execute o comando shun:
> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Etapa 2. Você pode executar os comandos show para confirmar os endereços IP shun no FTD e para monitorar as contagens de ocorrências shun por endereço IP:
> show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
> show shun statistics diagnostic=OFF, cnt=0 outside=ON, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:00:28)
Etapa 1. Faça login no ASA via CLI e aplique o comando shun:
asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Etapa 2. Você pode executar os comandos show para confirmar os endereços IP shun no ASA e monitorar as contagens de acertos shun por endereço IP:
asa# show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
asa# show shun statistics outside=ON, cnt=0 inside=OFF, cnt=0 dmz=OFF, cnt=0 outside1=OFF, cnt=0 mgmt=OFF, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:01:39)
Para confirmar se a configuração da ACL do plano de controle está estabelecida para o firewall seguro, siga estas etapas:
Etapa 1. Efetue login no firewall seguro via CLI e execute os próximos comandos para confirmar se a configuração da ACL do plano de controle foi aplicada.
Exemplo de saída para o FTD gerido pelo FMC:
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Exemplo de saída para o FTD gerenciado pelo FDM:
> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Exemplo de saída do ASA:
asa# show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Etapa 2. Para confirmar se a ACL do plano de controle está bloqueando o tráfego necessário, execute o comando packet-tracer para simular uma conexão TCP 443 de entrada com a interface externa do firewall seguro. Em seguida, execute o comando show access-list <acl-name> , a contagem de ocorrências da ACL pode ser incrementada toda vez que uma conexão de força bruta de VPN para o firewall seguro é bloqueada pela ACL do plano de controle.
Neste exemplo, o comando packet-tracer simula uma conexão TCP 443 de entrada originada do host 192.168.1.10 e destinada ao endereço IP externo do firewall seguro. A saída do packet-tracer confirma que o tráfego está sendo descartado e a saída do show access-list exibe os incrementos da contagem de ocorrências para a ACL do plano de controle no local:
Exemplo de saída para FTD
> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443 Phase: 1 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 21700 ns Config: Additional Information: Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Time Taken: 21700 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA
> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf
asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Elapsed time: 19688 ns Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 17833 ns Config: Additional Information: Result: input-interface: outside input-status: up input-line-status: up Action: drop Time Taken: 37521 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA asa# show access-list ACL-UNWANTED-COUNTRY access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac
| Revisão | Data de publicação | Comentários |
|---|---|---|
3.0 |
01-Jul-2026
|
Texto alternativo, ortografia, gramática, estrutura de frases, espaçamento e alertas do CCW atualizados. |
2.0 |
10-Apr-2025
|
Formatação, texto alternativo, cabeçalhos fixos, idioma DEI |
1.0 |
21-Dec-2023
|
Versão inicial |