在Firepower威脅防禦上配置NetFlow安全事件記錄

下載選項

  • PDF     (1.3 MB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2026 年 6 月 23 日
文件 ID:216126

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本檔案介紹如何透過Firepower管理中心(FMC)對Firepower威脅防禦(FTD)設定NetFlow安全事件記錄(NSEL)。

必要條件

需求

思科建議您瞭解以下主題:

  • FMC知識
  • FTD知識
  • FlexConfig策略知識

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • FTD版本6.6.1
  • FMC版本6.6.1

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

背景資訊

本檔案介紹如何透過Firepower管理中心(FMC)對Firepower威脅防禦(FTD)設定NetFlow安全事件記錄(NSEL)。

FlexConfig文本對象與預定義FlexConfig對象中使用的變數相關聯。預定義的FlexConfig對象和相關文本對象可在FMC中找到,用於配置NSEL。FMC中有四個預定義的FlexConfig對象和三個預定義的文本對象。預定義的FlexConfig對象是只讀的,無法修改。要修改NetFlow的引數,可以複製對象。

表中列出了四個預定義對象:

Four Predefined Objects

表格中列出了三個預定義的文本對象:

Three Predefined Text Objects

設定

本節介紹如何通過FlexConfig策略在FMC上配置NSEL。

步驟1.設定Netflow文本對象的引數。

  1. 要設定變數引數,請導航到對象> FlexConfig >文本對象
  2. 編輯netflow_Destination對象。
  3. 定義多變數型別和計數設定為3。
  4. 設定介面名稱、目標IP地址和埠。在此配置示例中,介面為DMZ,NetFlow收集器IP地址為10.20.20.1,UDP埠為2055。

Interface is DMZ, NetFlow Collector IP Address is 10.20.20.1, and UDP Port is 2055

附註:使用netflow_Event_Types和netflow_Parameters的預設值。

步驟2.配置擴展訪問清單對象以匹配特定流量。

  1. 要在FMC上建立擴展訪問清單,請導航至對象>對象管理,然後在左側選單的訪問清單下選擇擴展
  2. 按一下「Add Extended Access List」。
  3. 填寫「名稱」欄位。在本例中,名稱為flow_export_acl。
  4. 按一下「新增」。
  5. 配置訪問控制條目以匹配特定流量。在此示例中,從主機10.10.10.1到任何目的地的流量以及主機172.16.0.20和192.168.1.20之間的流量被排除。包括任何其他流量。

Configure the Access Control Entries to Match Specific Traffic

步驟3.配置FlexConfig對象。

  1. 要配置FlexConfig對象,請導航到對象> FlexConfig > FlexConfig對象,然後按一下新增FlexConfig對象
  2. 定義標識必須為其匯出NetFlow事件的流量的類對映。 
  3. 在本示例中,對象的名稱為flow_export_class。
  4. 選擇步驟2中建立的訪問清單。
  5. 按一下Insert > Insert Policy Object > Extended ACL Object並分配名稱。
  6. 然後,按一下「新增」。在本例中,變數的名稱為flow_export_acl。
  7. 按一下「Save」。

Click on Insert Policy Object and then Extended ACL Object and Assign a Name

在右側空白欄位中新增後續配置行,並將先前定義的變量($flow_export_acl.)包括在match access-list配置行中。

請注意, $符號開始於變數名稱。這樣有助於定義變數後面的變數。 

class-map flow_export_class
match access-list $flow_export_acl

完成後按一下Save

Notice that a $ Symbol Begins the Variable Name

步驟4.配置Netflow目標

  1. 要配置Netflow目標,請導航到對象 > FlexConfig > FlexConfig對象,然後由Netflow進行過濾。
  2. 制對象Netflow_Add_Destination。現在建立了Netflow_Add_Destination_Copy。 
  3. 分配在步驟3中建立的類。您可以建立新的策略對映以將流匯出操作應用於定義的類。在本示例中,類插入到當前策略(全域性策略)中。
## destination: interface_nameif destination_ip udp_port
## event-types: any subset of {all, flow-create, flow-denied, flow-teardown, flow-update}
flow-export destination $netflow_Destination.get(0) $netflow_Destination.get(1) $netflow_Destination.get(2) 
policy-map global_policy
  class flow_export_class
  #foreach ( $event_type in $netflow_Event_Types )
  flow-export event-type $event_type destination $netflow_Destination.get(1)
  #end

4.完成後按一下Save

Configure the Netflow Destination

步驟5.將FlexConfig原則指定給FTD

  1. 導覽至Devices > FlexConfig,然後建立一個新原則(除非已經有一個原則是為其他用途建立並已指定給同一個FTD)。 在本示例中,已建立FlexConfig。
  2. 編輯FlexConfig策略並選擇在前面步驟中建立的FlexConfig對象。在此示例中,使用預設的Netflow匯出引數,因此選擇了Netflow_Set_Parameters。
  3. 儲存更改並進行部署。

Assign the FlexConfig Policy to the FTD

附註:要匹配所有流量而不需要匹配特定流量,您可以從步驟2跳到步驟4,並使用預定義的NetFlow對象。 

Use the Predefined NetFlow Objects

note-icon

附註:新增傳送NetFlow資料包的第二個NSEL收集器。在步驟1中,新增4個變數以新增到第二個Netflow收集器IP地址。

netflow_Destination

在第4步中新增配置行:flow-export destination $netflow_Destination.get(0)$netflow_Destination.get(1)$netflow_Destination.get(2) 

輯對應變數的變數$netflow_Destination.get。在此示例中,變數值為3。例如:

flow-export destination $netflow_Destination.get(0) $netflow_Destination.get(1) $netflow_Destination.get(2)
flow-export destination $netflow_Destination.get(0) $netflow_Destination.get(3) $netflow_Destination.get(2)

此外,在配置行中新增第二個變數$netflow_Destination.get: flow-export event-type $event_type destination $netflow_Destination.get(1)。 舉例來說:

flow-export event-type $event_type destination $netflow_Destination.get(1) $netflow_Destination.get(3)

驗證此組態,如下圖所示:

Validate this Configuration

驗證

可以在FlexConfig策略中驗證NetFlow配置。若要預覽組態,請按一下Preview ConfigSelect FTD,然後驗證組態。

Select the FTD and Verify the Configuration

透過安全殼層(SSH)存取FTD,並執行system support diagnostic-cli指令並運行以下指令:

> system support diagnostic-cli 
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower# show access-list flow_export_acl
access-list flow_export_acl; 3 elements; name hash: 0xe30f1adf
access-list flow_export_acl line 1 extended deny object-group ProxySG_ExtendedACL_34359742097 object 10.10.10.1 any (hitcnt=0) 0x8edff419 
access-list flow_export_acl line 1 extended deny ip host 10.10.10.1 any (hitcnt=0) 0x3d4f23a4 
access-list flow_export_acl line 2 extended deny object-group ProxySG_ExtendedACL_34359742101 object 172.16.0.20 object 192.168.1.20 (hitcnt=0) 0x0ec22ecf 
access-list flow_export_acl line 2 extended deny ip host 172.16.0.20 host 192.168.1.20 (hitcnt=0) 0x134aaeea 
access-list flow_export_acl line 3 extended permit object-group ProxySG_ExtendedACL_30064776111 any any (hitcnt=0) 0x3726277e 
access-list flow_export_acl line 3 extended permit ip any any (hitcnt=0) 0x759f5ecf 
firepower# sh running-config class-map flow_export_class
class-map flow_export_class
match access-list flow_export_acl
firepower# show running-config policy-map 
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map 
inspect ftp 
inspect h323 h225 
inspect h323 ras 
inspect rsh 
inspect rtsp 
inspect sqlnet 
inspect skinny 
inspect sunrpc 
inspect xdmcp 
inspect sip 
inspect netbios 
inspect tftp 
inspect icmp 
inspect icmp error 
inspect ip-options UM_STATIC_IP_OPTIONS_MAP 
inspect snmp 
class flow_export_class
flow-export event-type all destination 10.20.20.1
class class-default
set connection advanced-options UM_STATIC_TCP_MAP
firepower# show running-config | include flow
access-list flow_export_acl extended deny object-group ProxySG_ExtendedACL_34359742097 object 10.10.10.1 any 
access-list flow_export_acl extended deny object-group ProxySG_ExtendedACL_34359742101 object 172.16.0.20 object 192.168.1.20 
access-list flow_export_acl extended permit object-group ProxySG_ExtendedACL_30064776111 any any 
flow-export destination DMZ 10.20.20.1 2055
class-map flow_export_class
match access-list flow_export_acl
class flow_export_class
flow-export event-type all destination 10.20.20.1

相關資訊

修訂記錄

修訂 發佈日期 意見
4.0
23-Jun-2026
更新的拼寫、句子結構、步驟編號和間距。
3.0
16-Oct-2023
已更新具有不同IP地址的多個NetFlow對象的螢幕截圖
2.0
10-Feb-2023
已更新格式。已更正CCW警報。重新認證。
1.0
16-Oct-2020
初始版本
TAC Authored

由思科工程師貢獻

  • Oscar Montoya Torres
    Technical Consulting Engineer
  • Cesar Ivan Monterrubio Ramirez
    Technical Consulting Engineer

這份文件是否有所幫助?

Feedback意見

讓思科協助您