ASA FirePOWER アップグレード時の動作
ASA FirePOWER module にトラフィックをリダイレクトする ASA サービス ポリシーは、Firepower ソフトウェア アップグレードの間(Snort プロセスを再起動する特定の設定を導入するときなど)にモジュールがトラフィックを処理する方法を決定します。
トラフィック リダイレクションのポリシー | トラフィックの動作 |
---|---|
フェール オープン(sfr fail-open ) |
インスペクションなしで転送 |
フェール クローズ(sfr fail-close ) |
ドロップされる |
モニタのみ(sfr {fail-close}|{fail-open} monitor-only ) |
パケットをただちに出力、コピーへのインスペクションなし |
ASA FirePOWER 展開時のトラフィックの動作
Snort プロセスを再起動している間のトラフィックの動作は、ASA FirePOWER module をアップグレードする場合と同じです。
アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『『Firepower Management Center 構成ガイド』』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。
展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。 さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。サービス ポリシーにより、中断中にインスペクションせずにトラフィックをドロップするか通過するかが決定されます。