排除FMC部署故障錯誤

問題

本文檔概述如何排除Secure Firewall Management Center(FMC)部署失敗錯誤「此規則需要威脅許可證，但至少有一個裝置沒有威脅許可證」。

• 安全防火牆管理中心(FMC)無法將配置更改部署到安全防火牆威脅防禦(FTD)防火牆。

• 在部署嘗試期間，系統會生成一條驗證錯誤消息，說明：「[DNS的全域性禁止阻止清單]此規則需要威脅許可證，但至少有一個裝置沒有威脅許可證。」

• 該問題可阻止將任何配置更改部署到目標裝置。

FMC_Deploy_Error.png

環境

• 思科安全防火牆管理中心(FMC)

• 無威脅許可證(IPS)的思科安全防火牆威脅防禦(FTD)

• 全域性配置的DNS安全情報策略

解析

步驟1.在FMC上，導覽至Objects > Security Intelligence > DNS Lists and Feed:

FMC_Navigate_DNS_Lists_and_Feeds.png

步驟2.編輯Global-Do-Not-Block-List-for-DNS對象：

FMC_Edit_DNS_Lists_and_Feeds.png

步驟3.從清單中刪除URL對象，然後按一下Save:

Remove_URLs_from_List.png

步驟4. 部署策略。

或者，為FTD分配威脅(IPS)許可證。

完成這些配置修改後，成功完成了對FTD防火牆的部署，未遇到先前的許可證驗證錯誤。

原因

部署失敗是由於DNS安全情報策略要求與目標裝置上的可用許可證級別不匹配引起的。FTD防火牆未設定威脅許可證，但全域DNS安全情報策略包含特別需要威脅許可證功能的規則。

具有全域性阻止/無阻止清單的DNS安全情報功能需要威脅許可證才能正常工作。當FMC嘗試將包含這些DNS安全情報規則的配置更改部署到沒有威脅許可證的裝置時，系統阻止部署，並出現驗證錯誤。

相關內容

• 安全情報的要求和前提條件

• 思科技術支援與下載