排除FMC部署失敗錯誤";此規則需要威脅許可證,但至少有一個裝置沒有威脅許可證"
目錄
問題
安全防火牆管理中心(FMC)無法將配置更改部署到安全防火牆威脅防禦(FTD)防火牆。
在部署嘗試期間,系統會生成一條驗證錯誤消息,說明:「[DNS的全域性禁止阻止清單]此規則需要威脅許可證,但至少有一個裝置沒有威脅許可證。」
該問題可阻止將任何配置更改部署到目標裝置。
FMC_Deploy_Error.png
環境
思科安全防火牆管理中心(FMC)
無威脅許可證(IPS)的思科安全防火牆威脅防禦(FTD)
全域性配置的DNS安全情報策略
解析
步驟1.在FMC上,導覽至Objects > Security Intelligence > DNS Lists and Feeds:
FMC_Navigate_DNS_Lists_and_Feeds.png
步驟2.編輯Global-Do-Not-Block-List-for-DNS對象:
FMC_Edit_DNS_Lists_and_Feeds.png
步驟3.從清單中移除URL物件並保存:
Remove_URLs_from_List.png
步驟4.部署策略。
或者,為FTD分配威脅(IPS)許可證。
完成這些配置修改後,成功完成了對FTD防火牆的部署,未遇到先前的許可證驗證錯誤。
原因
部署失敗是由於DNS安全情報策略要求與目標裝置上的可用許可證級別不匹配引起的。FTD防火牆未設定威脅許可證,但全域DNS安全情報策略包含特別需要威脅許可證功能的規則。
具有全域性阻止/無阻止清單的DNS安全情報功能需要威脅許可證才能正常工作。當FMC嘗試將包含這些DNS安全情報規則的配置更改部署到沒有威脅許可證的裝置時,系統阻止部署,並出現驗證錯誤。
相關內容
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
06-May-2026
|
初始版本 |
意見