Comprenez l'extension de règle sur des périphériques de puissance de feu

Transcription

1 Comprenez l'extension de règle sur des périphériques de puissance de feu Contenu Introduction Conditions préalables Conditions requises Composants utilisés Informations générales Compréhension de l'extension de règle Extension d'une règle basée par IP Extension d'une règle basée par IP utilisant l'url de coutume Extension d'une règle basée par IP utilisant des ports Extension d'une règle basée par IP utilisant des VLAN Extension d'une règle basée par IP avec des catégories URL L'extension d'un IP a basé la règle avec des zones Formule générale pour l'extension de règle Dépannage de la panne de déploiement devant ordonner l'extension Informations connexes Introduction Ce document décrit la traduction des règles de contrôle d'accès au capteur une fois déployé du centre de Gestion de puissance de feu (FMC). Conditions préalables Conditions requises Cisco vous recommande de prendre connaissance des rubriques suivantes : La connaissance de la technologie de puissance de feu La connaissance sur configurer des stratégies de contrôle d'accès sur FMC Composants utilisés Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes : Version et ultérieures de centre de Gestion de puissance de feu Version de logiciel courante de l'image de la défense de puissance de feu ASA (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) et en haut

2 Version de logiciel courante de l'image de la puissance de feu SFR ASA (ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X) et en haut Version et ultérieures de capteur de gamme 7000/8000 de puissance de feu Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurezvous que vous comprenez l'effet potentiel de toute commande. Informations générales Une règle de contrôle d'accès est créée avec l'utilisation d'une ou de plusieurs combinaisons de ces paramètres : Adresse IP (source et destination) Ports (source et destination) URL (catégories et coutume fournies par système URLs) Détecteurs d'application VLAN Zones Basé sur la combinaison des paramètres utilisés dans la règle d'accès, l'extension de règle change sur le capteur. Ce document met en valeur de diverses combinaisons des règles sur le FMC et de leurs extensions associées respectives sur les capteurs. Compréhension de l'extension de règle Extension d'une règle basée par IP Considérez la configuration d'une règle d'accès du FMC, suivant les indications de l'image : C'est une règle simple au centre de Gestion. Cependant, après l'avoir déployé vers le capteur, il développe dans quatre règles suivant les indications de l'image : allow any any any any any any (log dcforward flowstart) allow any any any any any any (log dcforward flowstart) allow any any any any any any (log dcforward flowstart) allow any any any any any any (log dcforward flowstart) allow any any any any any any any any (ipspolicy 2)

3 Quand vous déployez une règle avec deux sous-réseaux configurés comme source et deux hôtes configurés comme adresses de destination, cette règle est développée à quatre règles sur le capteur. Remarque: Si la condition requise est de bloquer accès basé sur sur des réseaux de destination, une meilleure manière d'exécuter ceci est d'utiliser la caractéristique des listes noires sous des renseignements de sécurité. Extension d'une règle basée par IP utilisant l'url de coutume C'est une règle simple au centre de Gestion. Cependant, après l'avoir déployé vers le capteur, il est développé dans huit règles suivant les indications de l'image : allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any (log dcforward flowstart) (url allow any any any any any any any any (ipspolicy 2) Quand vous déployez une règle avec deux sous-réseaux configurés comme source, deux hôtes configurés comme adresses de destination et deux objets faits sur commande URL dans une règle simple au centre de Gestion, cette règle est développés à huit règles sur le capteur. Ceci signifie que pour chaque catégorie URL de coutume il y a une combinaison des plages de source et de destination IP/port, qui sont configurées et créées. Extension d'une règle basée par IP utilisant des ports

4 C'est une règle simple au centre de Gestion. Cependant, après l'avoir déployé vers le capteur, il est développé dans seize règles suivant les indications de l'image : allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any 6 (log dcforward flowstart) (url allow any any any any any any any any (ipspolicy 2) Quand vous déployez une règle avec deux sous-réseaux configurés comme source, deux hôtes configurés comme les adresses de destination et deux objets faits sur commande URL destinés à deux ports, cette règle développe à seize règles sur le capteur. Remarque: S'il y a une condition requise d'utiliser les ports dans la règle d'accès, utilisez les détecteurs d'application qui sont présents pour des applications standard. Ceci aide l'extension de règle pour se produire d'une façon efficace.

5 Quand vous utilisez des détecteurs d'application au lieu des ports, le nombre de règles développées réduit de seize à huit suivant les indications de l'image : allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url allow any any any any any any (log dcforward flowstart) (appid 676:1, 1122:1) (url Extension d'une règle basée par IP utilisant des VLAN La règle AllowFile a une ligne simple appariant deux id VLAN avec quelques détecteurs d'application, stratégies d'intrusion et stratégies de fichier. La règle AllowFile développera à deux règles allow any any any any any any 1 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4) allow any any any any any any 2 any (log dcforward flowstart) (ipspolicy 5) (filepolicy 1 enable) (appid 535:4, 1553:4, 3791:4) Les stratégies IPS et les stratégies de fichier sont seules pour chaque règle de contrôle d'accès mais des détecteurs d'application multiple sont référés dans la même règle et par conséquent ne participent pas à l'extension. Quand vous considérez une règle avec deux id VLAN et trois détecteurs d'application, il y a seulement deux règles, une pour chaque VLAN.

6 Extension d'une règle basée par IP avec des catégories URL La règle de bloc bloque des catégories URL pour l'adulte et la pornographie toutes les réputation et réputations d'alcool et de tabac 1-3. C'est une règle simple au centre de Gestion mais quand vous le déployez vers le capteur il est développée dans deux règles suivant les indications de ceci : deny any any any any any any any any (log dcforward flowstart) (urlcat 11) deny any any any any any any any any (log dcforward flowstart) (urlcat 76) (urlrep le 60) Quand vous déployez une règle simple avec deux sous-réseaux configurés comme source et deux hôtes configurés comme adresses de destination, avec deux objets faits sur commande URL destinés à deux ports avec deux catégories URL, cette règle développe à trente-deux règles sur le capteur. L'extension d'un IP a basé la règle avec des zones Les zones sont des assigned number qui sont mis en référence dans les stratégies. Si une zone est mise en référence dans une stratégie mais cette zone n'est assignée à aucune interface sur le périphérique auquel la stratégie est poussée, la zone en est considérée en tant qu'et ne mène à aucune extension des règles. Si la zone de source et la zone de destination sont identique dans la règle, le facteur de zone en est considéré en tant qu'et seulement une règle est ajoutée puisque n'en mène à aucune extension des règles.

7 Il y a deux règles. Une règle a des zones configurées mais la source et la zone de destination est identique. L'autre règle n'a aucune configuration spécifique. Dans cet exemple, la règle d'accès d'interfaces ne se traduit pas à une règle allow any any any any any any any any (log dcforward flowstart)<-----allow Access Rule allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)< Default Intrusion Prevention Rule Sur le capteur les les deux les règles apparaissent en tant que même chose parce que le contrôle basé par zone impliquant les mêmes interfaces ne mène pas à une extension. L'extension des règles pour l'accès de règle de contrôle d'accès basé par zone se produit quand la zone référencée dans la règle est assignée à une interface sur le périphérique. Considérez la configuration d'une règle d'accès du FMC comme affiché ci-dessous : Les interfaces de règle implique des règles basées par zone de la zone de source en tant que des zones internes et de destination comme internes, externes et DMZ. Dans cette interface d'internaland DMZ de règle des zones sont configurées sur les interfaces et externe n'existe pas sur le périphérique. C'est l'extension de la même chose : allow 0 any any 2 any any any any (log dcforward flowstart) <------Rule for Internal to DMZ) allow any any any any any any any any (log dcforward flowstart)< allow Access rule allow any any any any any any any any (log dcforward flowstart) (ipspolicy 17)< Default Intrusion Prevention: Balanced Security over Connectivity Une règle est créée pour la paire spécifique d'interface qui est interne > DMZ avec la spécification de zone claire et une règle interne > interne n'est pas créée. Le nombre de règles développées est proportionnel au nombre de source de zone et les paires de destination qui peuvent être créées pour des zones associées valides et ceci incluent les mêmes règles de source et de zone de destination. Remarque: Des règles handicapées du FMC ne sont pas propagées et ne sont pas développées au capteur pendant le déploiement de stratégie. Formule générale pour l'extension de règle Nombre de règles sur le capteur = (nombre de sous-réseaux ou d'hôtes de source) * (nombre de destination S) * (nombre de ports de source) * (nombre de destinations port) * (nombre de coutume URLs) * (nombre de balises VLAN) * (nombre de catégories URL) * (le nombre de source

8 valide et la destination répartissent en zones des paires) Remarque: Pour les calculs, n'importe quelle valeur dans le domaine est substituée par la valeur 1.The dans la combinaison de règle est considérée en tant que 1 et elle n'augmente pas ou développe la règle. Dépannage de la panne de déploiement devant ordonner l'extension Quand il y a une panne de déploiement après fabrication de l'ajout à la règle d'accès, suivez les étapes mentionnées ci-dessous pour les cas où la limite d'extension de règle a été atteinte Vérifiez /var/log/action.queue.log pour des messages avec les mots clé suivants : Erreur - trop de règles - règle d'écriture 28, règles maximum 9094 Le message ci-dessus indique qu'il y a un problème avec le nombre de règles qui sont développées. Vérifiez la configuration sur le FMC pour optimiser les règles basées sur le scénario discuté ci-dessus. Informations connexes Guide de configuration de centre de Gestion de puissance de feu, version 6.0 Support et documentation techniques - Cisco Systems