排除FMC部署故障错误"；此规则需要威胁许可证，但至少一台设备没有威胁许可证"

问题

• 安全防火墙管理中心(FMC)无法将配置更改部署到安全防火墙威胁防御(FTD)防火墙。

• 在部署尝试期间，系统会生成一条验证错误消息，说明："[DNS的全局不阻止列表]此规则需要威胁许可证，但至少一台设备没有威胁许可证。"

• 此问题会阻止将任何配置更改部署到目标设备。

FMC_Deploy_Error.png

环境

• Cisco Secure Firewall Management Center (FMC)

• 无威胁许可证(IPS)的思科安全防火墙威胁防御(FTD)

• 全局配置的DNS安全情报策略

分辨率

第1步：在FMC上，导航到对象(Objects)>安全情报(Security Intelligence)> DNS列表和源(DNS Lists and Feeds):

FMC_Navigate_DNS_Lists_and_Feeds.png

步骤2.编辑Global-Do-Not-Block-List-for-DNS对象：

FMC_Edit_DNS_Lists_and_Feeds.png

步骤3.从列表中删除URL对象并保存：

Remove_URLs_from_List.png

步骤4.部署策略。

或者，为FTD分配威胁(IPS)许可证。


在这些配置修改后，成功完成了对FTD防火墙的部署，未遇到以前的许可证验证错误。

原因

部署失败是由于DNS安全情报策略要求与目标设备上的可用许可证级别不匹配引起的。FTD防火墙配置时没有威胁许可证，但全局DNS安全情报策略包含特别需要威胁许可证功能的规则。

具有全局阻止/无阻止列表的DNS安全情报功能需要威胁许可证才能正常运行。当FMC尝试将包含这些DNS安全情报规则的配置更改部署到没有威胁许可证的设备时，系统会阻止部署，并出现验证错误。

相关内容

• https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/100/management-center-device-config-10-0/access-security-intelligence.html#Cisco_Reference.dita_b01f7b93-dd79-4804-9b23-b8057810e02f

• 思科技术支持和下载