Aclare las acciones de la regla de la directiva del ... · posibles se muestran en la imagen: Cómo...
Transcript of Aclare las acciones de la regla de la directiva del ... · posibles se muestran en la imagen: Cómo...
Aclare las acciones de la regla de la directiva delcontrol de acceso de la defensa de la amenazade FirePOWER Contenido
IntroducciónprerrequisitosRequisitosComponentes UtilizadosAntecedentesCómo se despliega el ACPConfigurarAcciones disponibles ACPCómo ACP y directiva de Prefilter interactivaAcción del bloque ACPDescenso temprano de LINA del escenario 1.Descenso del escenario 2. debido resoplar veredictoEl ACP permite la acciónEl escenario 1. ACP permite la acción (las condiciones L3/L4)El escenario 2. ACP permite la acción (las condiciones L3-7)El veredicto Rápido-delantero del Snort del escenario 3. con permiteAcción de la confianza ACPAcción de la confianza del escenario 1. ACP (condiciones L3/L4)Acción de la confianza del escenario 2. ACP (condición L7)Acción de la confianza del escenario 3. ACP (L3/L4 con el SI inhabilitado)Acción del bloque de la directiva de PrefilterAcción del fastpath de la directiva de PrefilterAcción del fastpath de la directiva de Prefilter (En línea-conjunto)La directiva de Prefilter analiza la acciónEl escenario 1. Prefilter analiza con la regla de bloques ACPEl escenario 2. Prefilter analiza con el ACP permite la reglaEl escenario 3. Prefilter analiza con la regla de la confianza ACPEl escenario 4. Prefilter analiza con la regla de la confianza ACPComportamiento FTD con los protocolos que abren las conexiones secundariasGuías de consulta de la regla FTDSummaryInformación Relacionada
Introducción
Este documento describe las diversas acciones disponibles en la directiva del control de accesode la defensa de la amenaza de FirePOWER (FTD) (ACP) y la directiva de Prefilter. Además, laoperación de fondo de cada acción se examina junto con su interacción con las otras funcionescomo el flujo descarga y los protocolos que abren las conexiones secundarias.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
El flujo descarga●
Capturas de paquetes en los dispositivos adaptantes del dispositivo de seguridad (ASA)●
Trazalíneas del paquete en los dispositivos ASA●
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software yhardware.
Versión 6.2.2 (estructura 81) de la defensa de la amenaza de Cisco FirePOWER 4110●
Versión 6.2.2 (estructura 81) del centro de administración de FirePOWER (FMC)●
La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo,asegúrese de entender el posible impacto de cualquier comando.
Productos Relacionados
Este documento se puede también utilizar con estas versiones de software y hardware:
ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X●
ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X●
FPR2100, FPR4100, FPR9300●
VMware (ESXi), servicios web del Amazonas (AWS), máquina virtual Corazón-basada (KVM)●
Módulo del router del router del servicio integrado (ISR)●
Versión de software 6.1.x FTD y posterior●
Nota: El flujo Offload se soporta solamente en las Plataformas FPR4100 y FPR9300.
Antecedentes
FTD es una imagen del software unificada que consiste en 2 motores principales:
Motor de LINA●
Motor del Snort●
Esta figura muestra cómo obran recíprocamente los 2 motores:
Un paquete ingresa la interfaz de ingreso y es manejado por el motor de LINA●
Si es requerido por la directiva FTD el paquete es examinado por el motor del Snort●
El motor del Snort vuelve un veredicto (lista blanca o lista negra) para el paquete●
Los descensos del motor de LINA o adelante el paquete basados en el veredicto del Snort●
Cómo se despliega el ACP
La directiva FTD se configura en FMC cuando utilizan a la Administración del apagado-cuadro(telecontrol) o al administrador de dispositivo de FirePOWER (FDM) cuando utilizan a laadministración local. En ambos escenarios, el ACP se despliega como:
Una lista de control de acceso (ACL) global nombrada como CSM_FW_ACL_ al motor FTDLINA
●
Reglas del control de acceso en el archivo de /var/sf/detection_engines/UUID/ngfw.rules almotor del Snort FTD
●
Configurar
Acciones disponibles ACP
El FTD ACP contiene una o más reglas y cada regla puede tener uno de estas acciones y tal ycomo se muestra en de la imagen:
Permita●
Confianza●
Monitor●
Bloque●
Bloque con la restauración●
Bloque interactivo●
Bloque interactivo con la restauración●
Semejantemente, una directiva de Prefilter puede contener una o más reglas y las accionesposibles se muestran en la imagen:
Cómo ACP y directiva de Prefilter interactiva
La directiva de Prefilter consiguió introducida en 6.1 versión y servicios 2 propósitos principales:
Permite el examen del tráfico de túnel donde el motor FTD LINA marca el encabezado IPexterno mientras que el motor del Snort marca el encabezado IP interno. Másespecíficamente, en caso del tráfico de túnel (e.g. GRE) las reglas en la directiva de Prefilteractúan siempre en los outerheaders mientras que las reglas en el ACP son siempreaplicables a las sesiones interiores (encabezados internos). El tráfico de túnel refiere a estosprotocolos:
1.
GRE●
IP en IP●
IPv6-in-IP●
Puerto 3544 de Teredo●
Proporciona el control de acceso temprano (EAC) que permite que un flujo desvíe totalmenteel motor del Snort tal y como se muestra en de la imagen.
2.
Las reglas de Prefilter se despliegan en FTD como elementos del control de acceso L3/L4 (ACE)y se ponen sobre el L3/L4 configurado ACP ACE tal y como se muestra en de la imagen:
Nota: Las reglas de Prefilter v/s ACP = primero hacen juego son aplicadas.
Acción del bloque ACP
Considere la topología mostrada en la imagen:
Descenso temprano de LINA del escenario 1.
El ACP contiene una regla de bloques que utilice una condición L4 (puerto destino TCP 80) tal ycomo se muestra en de la imagen:
La directiva desplegada en el Snort:
268435461 deny any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6
La directiva desplegada en LINA. Observe que la regla está avanzada como niega acción:
firepower# show access-list
…
access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L4 RULE: Rule1
access-list CSM_FW_ACL_ line 10 advanced deny tcp host 192.168.1.40 host 192.168.2.40 eq www
rule-id 268435461 event-log flow-start (hitcnt=0) 0x6149c43c
Verifique el comportamiento:
Cuando intentos del Host-a (192.168.1.40) para abrir HTTP session al Host-b (192.168.2.40) queel TCP sincroniza los paquetes (SYN) son caídos por el motor FTD LINA sin alcanzar el motor delSnort o el destino:
firepower# show capture
capture CAPI type raw-data buffer 33554432 trace trace-count 100 interface INSIDE [Capturing -
430 bytes]
match ip host 192.168.1.40 any
capture CAPO type raw-data buffer 33554432 trace trace-count 100 interface OUTSIDE [Capturing -
0 bytes]
match ip host 192.168.1.40 any
firepower# show capture CAPI
1: 11:08:09.672801 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920
<mss 1460,sackOK,timestamp 4060517 0>
2: 11:08:12.672435 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920
<mss 1460,sackOK,timestamp 4063517 0>
3: 11:08:18.672847 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920
<mss 1460,sackOK,timestamp 4069517 0>
4: 11:08:30.673610 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920
<mss 1460,sackOK,timestamp 4081517 0>
firepower# show capture CAPI packet-number 1 trace
1: 11:08:09.672801 192.168.1.40.32789 > 192.168.2.40.80: S 3249160620:3249160620(0) win 2920
<mss 1460,sackOK,timestamp 4060517 0>
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny tcp host 192.168.1.40 host 192.168.2.40 eq www rule-id
268435461 event-log flow-start
access-list CSM_FW_ACL_ remark rule-id 268435461: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268435461: L4 RULE: Rule1
Additional Information:
<- No Additional Information = No Snort Inspection
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Descenso del escenario 2. debido resoplar veredicto
El ACP contiene una regla de bloques que utilice una condición L7 (aplicación HTTP) tal y comose muestra en de la imagen:
La directiva desplegada en el Snort:
268435461 deny any 192.168.1.40 32 any any 192.168.2.40 32 any any any (appid 676:1)
Appid 676:1 = HTTP
La directiva desplegada en LINA.
Nota: La regla se avanza como acción del permiso porque LINA no puede determinar que lasesión utiliza el HTTP. En FTD el mecanismo de detección de la aplicación está en el motordel Snort.
firepower# show access-list
…
access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L7 RULE: Rule1
access-list CSM_FW_ACL_ line 10 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id
268435461 (hitcnt=0) 0xb788b786
Para una regla de bloques que utilice la aplicación como condición, la traza de un paquete realmuestra que la sesión es caída por la LINA debida resoplar veredicto del motor.
Nota: Para que el motor del Snort determine la aplicación tiene que examinar algunospaquetes (generalmente 3-10 que depende del decodificador de la aplicación). Así algunospaquetes se permiten con el FTD y lo hacen al destino. Los paquetes permitidos todavíaestán conforme al control de la directiva de la intrusión basado en la política de acceso >avanzado > “directiva de la intrusión usada antes de que la regla del control de acceso sea”opción determinada.
Verifique el comportamiento:
Cuando intentos del Host-a (192.168.1.40) para establecer HTTP session con el Host-b(192.168.2.40) que la captura del ingreso de LINA muestra:
firepower# show capture CAPI
8 packets captured
1: 11:31:19.825564 192.168.1.40.32790 > 192.168.2.40.80: S 357753151:357753151(0) win 2920
<mss 1460,sackOK,timestamp 5450579 0>
2: 11:31:19.826403 192.168.2.40.80 > 192.168.1.40.32790: S 1283931030:1283931030(0) ack
357753152 win 2896 <mss 1380,sackOK,timestamp 5449236 5450579>
3: 11:31:19.826556 192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack
1283931031 win 2920 <nop,nop,timestamp 5450580 5449236>
4: 11:31:20.026899 192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack
1283931031 win 2920 <nop,nop,timestamp 5450781 5449236>
5: 11:31:20.428887 192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack
1283931031 win 2920 <nop,nop,timestamp 5451183 5449236>
...
La captura de la salida:
firepower# show capture CAPO
5 packets captured
1: 11:31:19.825869 192.168.1.40.32790 > 192.168.2.40.80: S 1163713179:1163713179(0) win 2920
<mss 1380,sackOK,timestamp 5450579 0>
2: 11:31:19.826312 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack
1163713180 win 2896 <mss 1460,sackOK,timestamp 5449236 5450579>
3: 11:31:23.426049 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack
1163713180 win 2896 <mss 1460,sackOK,timestamp 5452836 5450579>
4: 11:31:29.426430 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack
1163713180 win 2896 <mss 1460,sackOK,timestamp 5458836 5450579>
5: 11:31:41.427208 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack
1163713180 win 2896 <mss 1460,sackOK,timestamp 5470836 5450579>
La traza muestra que el primer paquete (TCP SYN) es permitido por el Snort puesto que elveredicto de la detección de la aplicación está pendiente:
firepower# show capture CAPI packet-number 1 trace
1: 11:31:19.825564 192.168.1.40.32790 > 192.168.2.40.80: S 357753151:357753151(0) win 2920
<mss 1460,sackOK,timestamp 5450579 0>
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435461
access-list CSM_FW_ACL_ remark rule-id 268435461: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268435461: L7 RULE: Rule1
Additional Information:
This packet will be sent to snort for additional processing where a verdict will be reached
...
Phase: 10
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 23194, packet dispatched to next module
…
Phase: 12
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: TCP, SYN, seq 357753151
AppID: service unknown (0), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997,
icmpType 0, icmpCode 0
Firewall: pending rule-matching, id 268435461, pending AppID
NAP id 1, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet
Result:
input-interface: OUTSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow
Lo mismo para el paquete TCP SYN/ACK:
firepower# show capture CAPO packet-number 2 trace
2: 11:31:19.826312 192.168.2.40.80 > 192.168.1.40.32790: S 354801457:354801457(0) ack
1163713180 win 2896 <mss 1460,sackOK,timestamp 5449236 5450579>
…
Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 23194, using existing flow
…
Phase: 5
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: TCP, SYN, ACK, seq 1283931030, ack 357753152
AppID: service unknown (0), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997,
icmpType 0, icmpCode 0
Firewall: pending rule-matching, id 268435461, pending AppID
NAP id 1, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: INSIDE
output-status: up
output-line-status: up
Action: allow
El Snort vuelve un veredicto del DESCENSO después de examinar el tercer paquete:
firepower# show capture CAPI packet-number 3 trace
3: 11:31:19.826556 192.168.1.40.32790 > 192.168.2.40.80: P 357753152:357753351(199) ack
1283931031 win 2920 <nop,nop,timestamp 5450580 5449236>
Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 23194, using existing flow
Phase: 5
Type: SNORT
Subtype:
Result: DROP
Config:
Additional Information:
Snort Trace:
Packet: TCP, ACK, seq 357753152, ack 1283931031
AppID: service HTTP (676), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0(0) -> 0, vlan 0, sgt 65535, user 9999997,
url http://192.168.2.40/128k.html
Firewall: block rule, id 268435461, drop
Snort: processed decoder alerts or actions queue, drop
NAP id 1, IPS id 0, Verdict BLACKLIST, Blocked by Firewall
Snort Verdict: (black-list) black list this flow
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
Action: drop
Drop-reason: (firewall) Blocked or blacklisted by the firewall preprocessor
Usted puede también ejecutar la traza del soporte del comando system del modo FTD CLISH.Esta herramienta proporciona 2 funciones:
Muestra el veredicto del Snort para cada paquete mientras que se envía a la biblioteca deadquisición de datos (DAQ) y se ve en LINA. DAQ es un componente establecido entre elmotor FTD LINA y el motor del Snort
●
Permite ejecutar el Firewall-motor-debug del soporte de sistema al mismo tiempo para verqué sucede dentro del motor sí mismo del Snort
●
Aquí está la salida:
> system support trace
Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.1.40
Please specify a client port:
Please specify a server IP address: 192.168.2.40
Please specify a server port:
Enable firewall-engine-debug too? [n]: y
Monitoring packet tracer debug messages
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, SYN, seq 2620409313
192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 New session
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Starting with minimum 2, 'Rule1', and SrcZone
first with zones -1 -> -1, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 0,
payload 0, client 0, misc 0, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0 ->
0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 pending rule order 2, 'Rule1', AppID
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: pending rule-matching, 'Rule1', pending AppID
192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, SYN, ACK, seq 3700371680, ack 2620409314
192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Starting with minimum 2, 'Rule1', and SrcZone
first with zones -1 -> -1, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 0,
payload 0, client 0, misc 0, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0 ->
0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 pending rule order 2, 'Rule1', AppID
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: pending rule-matching, 'Rule1', pending AppID
192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, ACK, seq 2620409314, ack 3700371681
192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service HTTP (676), application unknown (0)
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Starting with minimum 2, 'Rule1', and SrcZone
first with zones -1 -> -1, geo 0(0) -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc
676, payload 0, client 686, misc 0, user 9999997, url http://192.168.2.40/128k.html, xff
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0(0)
-> 0, vlan 0, sgt 65535, user 9999997, url http://192.168.2.40/128k.html
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 match rule order 2, 'Rule1', action Block
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 deny action
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: block rule, 'Rule1', drop
192.168.1.40-32791 > 192.168.2.40-80 6 Snort: processed decoder alerts or actions queue, drop
192.168.1.40-32791 > 192.168.2.40-80 6 AS 1 I 0 Deleting session
192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict BLACKLIST
192.168.1.40-32791 > 192.168.2.40-80 6 ===> Blocked by Firewall
Resumen
La acción del bloque ACP consigue desplegada como cualquier regla del permit or deny enLINA que dependa de las condiciones de la regla
●
Si las condiciones son L3/L4 entonces la LINA bloquea el paquete. En caso del TCP sebloquea el primer paquete (TCP SYN)
●
Si las condiciones son L7 entonces el paquete se remite al motor del Snort para el examenadicional. En caso del TCP, algunos paquetes se permiten con FTD hasta que el Snortalcance un veredicto. Los paquetes permitidos todavía están conforme al control de ladirectiva de la intrusión basado en la política de acceso > avanzado > “directiva de la intrusiónusada antes de que la regla del control de acceso sea” opción determinada.
●
El ACP permite la acción
El escenario 1. ACP permite la acción (las condiciones L3/L4)
Normalmente, usted configuraría una regla de la permit para especificar los exámenes adicionalescomo una directiva de la intrusión y/o una directiva del archivo. En este primer escenario aquí, sedemuestra la operación de una regla de la permit cuando la condición L3/L4 es aplicada.
Considere esta topología tal y como se muestra en de la imagen:
Esta directiva es aplicada tal y como se muestra en de la imagen:
La directiva desplegada en el Snort. Observe que la regla está desplegada como acción de lapermit:
# Start of AC rule.
268435461 allow any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6
La directiva en LINA.
Nota: Se despliega la regla mientras que una acción del permiso que esencialmentesignifica reorienta para resoplar para el examen adicional.
firepower# show access-list
…
access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L7 RULE: Rule1
access-list CSM_FW_ACL_ line 10 advanced permit tcp host 192.168.1.40 host 192.168.2.40 eq www
rule-id 268435461 (hitcnt=1) 0x641a20c3
Para ver cómo un flujo que hace juego una regla de la permit es manejado por FTD allí seaalgunas maneras:
Verifique las estadísticas del Snort●
Con el uso del soporte de sistema localice la herramienta CLISH●
Con el uso de la captura con la traza en LINA y opcionalmente con el captura-tráfico en elmotor del Snort
●
Captura de LINA contra el captura-tráfico del Snort:
Verifique el comportamiento:
Borre las estadísticas del Snort, habilite la traza del soporte de sistema de CLISH e inicie un flujoHTTP del Host-a (192.168.1.40) al Host-b (192.168.2.40). Todos los paquetes se remiten al motordel Snort y consiguen el veredicto del PASO por el Snort:
firepower# clear snort statistics
> system support trace
Please specify an IP protocol:
Please specify a client IP address: 192.168.1.40
Please specify a client port:
Please specify a server IP address: 192.168.2.40
Please specify a server port:
Enable firewall-engine-debug too? [n]:
Monitoring packet tracer debug messages
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32797 6 Packet: TCP, SYN, seq 361134402
192.168.2.40-80 - 192.168.1.40-32797 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32797 > 192.168.2.40-80 6 Firewall: allow rule, 'Rule1', allow
192.168.1.40-32797 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32797 6 Packet: TCP, SYN, ACK, seq 1591434735, ack 361134403
192.168.2.40-80 - 192.168.1.40-32797 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32797 > 192.168.2.40-80 6 Firewall: allow rule, 'Rule1', allow
192.168.1.40-32797 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32797 6 Packet: TCP, ACK, seq 361134403, ack 1591434736
192.168.2.40-80 - 192.168.1.40-32797 6 AppID: service HTTP (676), application unknown (0)
192.168.1.40-32797 > 192.168.2.40-80 6 Firewall: allow rule, 'Rule1', allow
192.168.1.40-32797 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Las estadísticas del Snort reflejan los veredictos antedichos del PASO del Snort:
> show snort statistics
Packet Counters:
Passed Packets 54
Blocked Packets 0
Injected Packets 0
Packets bypassed (Snort Down) 0
Packets bypassed (Snort Busy) 0
Flow Counters:
Fast-Forwarded Flows 0
Blacklisted Flows 0
...
Los paquetes pasajeros = examinaron por el motor del Snort
El escenario 2. ACP permite la acción (las condiciones L3-7)
Se considera el comportamiento similar cuando la regla de la permit se despliega como sigue.
Solamente una condición L3/L4 tal y como se muestra en de la imagen:
Una condición L7 (e.g. directiva de la intrusión, directiva del archivo, aplicación etc) tal y como semuestra en de la imagen:
Resumen
Para resumir, éste es cómo un flujo es manejado por un FTD desplegado en un FP4100/9300cuando una regla de la permit se corresponde con tal y como se muestra en de la imagen:
Nota: La entrada-salida de la Administración (MIO) es el Supervisor Engine del chasis defirePOWER.
El veredicto Rápido-delantero del Snort del escenario 3. con permite
Hay los escenarios específicos donde el motor del Snort FTD da un veredicto WHITELIST(rápido-delantero) y el resto del flujo se descarga al motor de LINA (en algunos casos entonces sedescarga al HW Accelarator - SmartNIC). Estos incluyen:
Directiva del control de acceso con la acción de la confianza1.Tráfico SSL sin una directiva SSL configurada2.directiva de la ARCHIVO-detección3.Bypass(IAB) inteligente de la aplicación4.
El antedicho se puede visualizar a:
o en algunos casos a:
Puntos principales
La regla de la permit se despliega como permite en el Snort y permite en LINA●
En la mayoría de los casos, todos los paquetes de una sesión se remiten para resoplar motorpara el examen adicional
●
Utilice los casos
Usted configuraría una regla de la permit cuando usted necesita el examen L7 por el motor delSnort por ejemplo:
Directiva de la intrusión●
Directiva del archivo●
Acción de la confianza ACP
Acción de la confianza del escenario 1. ACP (condiciones L3/L4)
Si usted no quiere aplicar ninguna acciones L7 en el nivel del Snort (e.g. directiva de la intrusión,directiva del archivo, detección de la aplicación, Filtrado de URL, inteligencia de Seguridad etc)entonces se recomienda para utilizar la acción de la confianza en su regla.
Considere la topología tal y como se muestra en de la imagen:
Esta directiva es aplicada tal y como se muestra en de la imagen:
La regla de la confianza como se despliega en el motor del Snort FTD:
# Start of AC rule.
268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6
Nota: El número 6 es el (TCP) del protocolo.
La regla en FTD LINA:
access-list CSM_FW_ACL_ line 10 advanced permit tcp host 192.168.1.40 host 192.168.2.40 eq www
rule-id 268435461 (hitcnt=0) 0x641a20c3
Verifique el comportamiento:
Inicie HTTP session del Host-a (192.168.1.40) al Host-b (192.168.2.40) mientras que usted estáfuncionando con la herramienta de la traza CLI del soporte de sistema. Hay solamente unpaquete (el TCP SYN) que se remite para resoplar motor. El motor del Snort envía a LINA elveredicto WHITELIST que esencialmente descarga el resto del flujo a la LINA sí mismo:
> system support trace
Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.1.40
Please specify a client port:
Please specify a server IP address: 192.168.2.40
Please specify a server port:
Enable firewall-engine-debug too? [n]:
Monitoring packet tracer debug messages
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32791 6 Packet: TCP, SYN, seq 69186463
192.168.2.40-80 - 192.168.1.40-32791 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32791 > 192.168.2.40-80 6 Firewall: trust/fastpath rule, 'Rule1', allow
192.168.1.40-32791 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict WHITELIST
La captura de LINA muestra a flujo cuál pasa con él:
> show capture CAPI
29 packets captured
1: 19:14:29.214817 192.168.1.40.32791 > 192.168.2.40.80: S 69186463:69186463(0) win 2920 <mss
1460,sackOK,timestamp 3139222 0>
2: 19:14:29.215549 192.168.2.40.80 > 192.168.1.40.32791: S 413254738:413254738(0) ack
69186464 win 2896 <mss 1380,sackOK,timestamp 3137895 3139222>
3: 19:14:29.215687 192.168.1.40.32791 > 192.168.2.40.80: P 69186464:69186662(198) ack
413254739 win 2920 <nop,nop,timestamp 3139223 3137895>
4: 19:14:29.216038 192.168.2.40.80 > 192.168.1.40.32791: . 413254739:413256107(1368) ack
69186662 win 2698 <nop,nop,timestamp 3137896 3139223>
5: 19:14:29.216053 192.168.2.40.80 > 192.168.1.40.32791: P 413256107:413257475(1368) ack
69186662 win 2698 <nop,nop,timestamp 3137896 3139223>
6: 19:14:29.216144 192.168.1.40.32791 > 192.168.2.40.80: . ack 413257475 win 2736
<nop,nop,timestamp 3139224 3137896>
7: 19:14:29.216251 192.168.2.40.80 > 192.168.1.40.32791: P 413257475:413258843(1368) ack
69186662 win 2698 <nop,nop,timestamp 3137896 3139224>
…
cuando usted localiza el primer paquete, usted puede ver el veredicto WHITELIST:
firepower# show capture CAPI packet-number 1 trace
1: 19:14:29.214817 192.168.1.40.32791 > 192.168.2.40.80: S 69186463:69186463(0) win 2920
<mss 1460,sackOK,timestamp 3139222 0>
…
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit tcp host 192.168.1.40 host 192.168.2.40 eq www rule-id
268435461
access-list CSM_FW_ACL_ remark rule-id 268435461: ACCESS POLICY: ACP1 - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268435461: L7 RULE: Rule1
Additional Information:
This packet will be sent to snort for additional processing where a verdict will be reached
…
Phase: 12
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: TCP, SYN, seq 69186463
AppID: service unknown (0), application unknown (0)
Firewall: trust/fastpath rule, id 268435461, allow
NAP id 1, IPS id 0, Verdict WHITELIST
Snort Verdict: (fast-forward) fast forward this flow
Para el resto del flujo (e.g. TCP SYN/ACK) usted ve:
firepower# show capture CAPO packet-number 2 trace
2: 19:14:29.215503 192.168.2.40.80 > 192.168.1.40.32791: S 60351089:60351089(0) ack
1577779944 win 2896 <mss 1460,sackOK,timestamp 3137895 3139222>
…
Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 25353, using existing flow
Phase: 4
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (fast-forward) fast forward this flow
Las estadísticas del Snort confirman esto:
> show snort statistics
Packet Counters:
Passed Packets 0
Blocked Packets 0
Injected Packets 0
Packets bypassed (Snort Down) 0
Packets bypassed (Snort Busy) 0
Flow Counters:
Fast-Forwarded Flows 1
Blacklisted Flows 0
... 0
la captura del Snort-nivel también confirma esto:
> capture-traffic
Please choose domain to capture traffic from:
0 - management0
1 - Router
Selection? 1
Please specify tcpdump options desired.
(or enter '?' for a list of supported options)
Options: -n
19:04:17.429711 IP 192.168.1.40.32791 > 192.168.2.40.80: Flags [S], seq 69186463, win 2920,
options [mss 1380,sackOK,TS val 2527484 ecr 0], length 0
Consejo: El parámetro “n” no convierte los IP Addresses a los nombres.
Acción de la confianza del escenario 2. ACP (condición L7)
Considere esta regla ACP tal y como se muestra en de la imagen:
La regla como se despliega en el motor del Snort FTD:
268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 any any any (appid 676:1)
La regla en FTD LINA:
access-list CSM_FW_ACL_ line 10 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id
268435461 (hitcnt=0) 0xb788b786
Verifique el comportamiento
Inicie HTTP session del Host-a (192.168.1.40) al Host-b (192.168.2.40) mientras que ustedfunciona con la herramienta de la traza CLI del soporte de sistema. Hay algunos paquetes (2 eneste caso) que se envían para resoplar motor y para conseguir el veredicto del PASO mientrasque el AppID está pendiente. Después del Snort determina la aplicación él adelante el veredictoWHITELIST a LINA y el resto del flujo es manejado por LINA:
> system support trace
Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.1.40
Please specify a client port:
Please specify a server IP address: 192.168.2.40
Please specify a server port:
Enable firewall-engine-debug too? [n]:
Monitoring packet tracer debug messages
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32836 6 Packet: TCP, SYN, seq 3970971741
192.168.2.40-80 - 192.168.1.40-32836 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32836 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0 ->
0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32836 > 192.168.2.40-80 6 Firewall: pending rule-matching, 'Rule1', pending AppID
192.168.1.40-32836 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32836 6 Packet: TCP, SYN, ACK, seq 18638120, ack 3970971742
192.168.2.40-80 - 192.168.1.40-32836 6 AppID: service unknown (0), application unknown (0)
192.168.1.40-32836 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0 ->
0, vlan 0, sgt 65535, user 9999997, icmpType 0, icmpCode 0
192.168.1.40-32836 > 192.168.2.40-80 6 Firewall: pending rule-matching, 'Rule1', pending AppID
192.168.1.40-32836 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict PASS
Trace buffer and verdict reason are sent to DAQ's PDTS
Tracing enabled by Lina
192.168.2.40-80 - 192.168.1.40-32836 6 Packet: TCP, ACK, seq 3970971742, ack 18638121
192.168.2.40-80 - 192.168.1.40-32836 6 AppID: service HTTP (676), application unknown (0)
192.168.1.40-32836 > 192.168.2.40-80 6 Firewall: starting rule matching, zone -1 -> -1, geo 0(0)
-> 0, vlan 0, sgt 65535, user 9999997, url http://192.168.2.40/16k.html
192.168.1.40-32836 > 192.168.2.40-80 6 Firewall: trust/fastpath rule, 'Rule1', allow
192.168.1.40-32836 > 192.168.2.40-80 6 NAP id 1, IPS id 0, Verdict WHITELIST
La captura de LINA muestra que el paquete # 3 tenía el método HTTP GET:
firepower# show capture CAPI dump
1: 11:24:38.895888 192.168.1.40.32836 > 192.168.2.40.80: S 3970971741:3970971741(0) win
2920 <mss 1460,sackOK,timestamp 320516154 0>
0x0000 2c33 118d 570e 00c0 a801 2800 0800 4500 ,3..W.....(...E.
0x0010 0038 c03d 0000 4006 35e2 c0a8 0128 c0a8 [email protected]....(..
0x0020 0228 8044 0050 ecb0 385d 0000 0000 9002 .(.D.P..8]......
0x0030 0b68 630e 0000 0204 05b4 0402 080a 131a .hc.............
0x0040 b03a 0000 0000 .:....
2: 11:24:38.896682 192.168.2.40.80 > 192.168.1.40.32836: S 18638120:18638120(0) ack
3970971742 win 2896 <mss 1380,sackOK,timestamp 320514827 320516154>
0x0000 00c0 a801 2800 2c33 118d 570e 0800 4500 ....(.,3..W...E.
0x0010 0038 1d1e 0000 4006 d901 c0a8 0228 c0a8 .8....@......(..
0x0020 0128 0050 8044 011c 6528 ecb0 385e 9012 .(.P.D..e(..8^..
0x0030 0b50 3efb 0000 0204 0564 0402 080a 131a .P>......d......
0x0040 ab0b 131a b03a .....:
3: 11:24:38.896849 192.168.1.40.32836 > 192.168.2.40.80: P 3970971742:3970971940(198)
ack 18638121 win 2920 <nop,nop,timestamp 320516155 320514827>
0x0000 2c33 118d 570e 00c0 a801 2800 0800 4500 ,3..W.....(...E.
0x0010 00fa c03e 0000 4006 351f c0a8 0128 c0a8 ...>[email protected]....(..
0x0020 0228 8044 0050 ecb0 385e 011c 6529 8018 .(.D.P..8^..e)..
0x0030 0b68 0f62 0000 0101 080a 131a b03b 131a .h.b.........;..
0x0040 ab0b 4745 5420 2f31 366b 2e68 746d 6c20 ..GET /16k.html
0x0050 4854 5450 2f31 2e30 0d0a 486f 7374 3a20 HTTP/1.0..Host:
...
Las estadísticas del Snort confirman el antedicho:
> show snort statistics
Packet Counters:
Passed Packets 2
Blocked Packets 0
Injected Packets 0
Packets bypassed (Snort Down) 0
Packets bypassed (Snort Busy) 0
Flow Counters:
Fast-Forwarded Flows 1
Blacklisted Flows 0
...
En FTD que los funcionamientos en los escenarios 1 y 2 del dispositivo FP4100/9300 se puedenvisualizar tal y como se muestra en de la imagen:
Acción de la confianza del escenario 3. ACP (L3/L4 con el SI inhabilitado)
En caso de que usted quisiera que el FTD aplicara los controles de la inteligencia de Seguridad(SI) a todos los flujos que el SI se habilita ya en el nivel ACP y usted puede especificar las fuentesSI (TALOS, alimentaciones, listas etc). Por otra parte, en caso de que usted quiera inhabilitarlo,usted inhabilita el SI para las redes global por el ACP, el SI para el URL y el SI para el DNS. El SIpara las redes y el URL se inhabilita tal y como se muestra en de la imagen:
En este caso la regla de la confianza se despliega a LINA como plena confianza:
> show access-list
...
access-list CSM_FW_ACL_ line 9 remark rule-id 268435461: L4 RULE: Rule1
access-list CSM_FW_ACL_ line 10 advanced trust ip host 192.168.1.40 host 192.168.2.40 rule-id
268435461 event-log flow-end (hitcnt=0) 0x5c1346d6
Nota: Como a partir de 6.2.2 TID de los soportes FTD. El TID trabaja de una manera similaral SI, pero en caso de que se inhabilite el SI, “no fuerza” la redirección de paquete aresoplar motor para el examen del TID.
Verifique el comportamiento
Inicie HTTP session del Host-a (192.168.1.40) al Host-b (192.168.2.40). Puesto que esto un flujoFP4100 y de los soportes descarga en hardware estas cosas suceden:
Algunos paquetes se remiten a través del motor FTD LINA y el resto del flujo se descarga a●
SmartNIC (acelerador HW)No se remite ningunos paquetes para resoplar motor●
La tabla de conexiones FTD LINA muestra el indicador “o” qué medios el flujo fue descargado alHW. También observe la ausencia de indicador “N”. Esto esencialmente no significa “ningúncambio de dirección del Snort”:
firepower# show conn
1 in use, 15 most used
TCP OUTSIDE 192.168.2.40:80 INSIDE 192.168.1.40:32809, idle 0:00:00, bytes 949584, flags UIOo
Las estadísticas del Snort muestran solamente los eventos de registro al principio y en el final dela sesión:
firepower# show snort statistics
Packet Counters:
Passed Packets 0
Blocked Packets 0
Injected Packets 0
Packets bypassed (Snort Down) 0
Packets bypassed (Snort Busy) 0
Flow Counters:
Fast-Forwarded Flows 0
Blacklisted Flows 0
Miscellaneous Counters:
Start-of-Flow events 1
End-of-Flow events 1
Los registros FTD LINA muestran que para cada sesión había 2 flujos (uno por cada dirección)descargados al HW:
Sep 27 2017 20:16:05: %ASA-7-609001: Built local-host INSIDE:192.168.1.40
Sep 27 2017 20:16:05: %ASA-6-302013: Built inbound TCP connection 25384 for
INSIDE:192.168.1.40/32809 (192.168.1.40/32809) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Sep 27 2017 20:16:05: %ASA-6-805001: Offloaded TCP Flow for connection 25384 from
INSIDE:192.168.1.40/32809 (192.168.1.40/32809) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Sep 27 2017 20:16:05: %ASA-6-805001: Offloaded TCP Flow for connection 25384 from
OUTSIDE:192.168.2.40/80 (192.168.2.40/80) to INSIDE:192.168.1.40/32809 (192.168.1.40/32809)
Sep 27 2017 20:16:05: %ASA-6-805002: TCP Flow is no longer offloaded for connection 25384 from
OUTSIDE:192.168.2.40/80 (192.168.2.40/80) to INSIDE:192.168.1.40/32809 (192.168.1.40/32809)
Sep 27 2017 20:16:05: %ASA-6-805002: TCP Flow is no longer offloaded for connection 25384 from
INSIDE:192.168.1.40/32809 (192.168.1.40/32809) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Sep 27 2017 20:16:05: %ASA-6-302014: Teardown TCP connection 25384 for INSIDE:192.168.1.40/32809
to OUTSIDE:192.168.2.40/80 duration 0:00:00 bytes 1055048 TCP FINs
Sep 27 2017 20:16:05: %ASA-7-609002: Teardown local-host INSIDE:192.168.1.40 duration 0:00:00
En FTD que los funcionamientos en los escenarios 1 y 2 del dispositivo FP4100/9300 se puedenvisualizar tal y como se muestra en de la imagen:
Utilice los casos
Usted debe utilizar la acción de la confianza cuando usted quisiera que solamente algunospaquetes fueran marcados por el motor del Snort (e.g. detección de la aplicación, control SI) yel resto del flujo que se descargará al motor de LINA
●
Si usted utiliza FTD en FP4100/9300 y quisiera que el flujo desviara totalmente el examen delSnort después considere la regla de Prefilter con la acción del fastpath (véase la secciónrelacionada en este documento)
●
No utilice la acción de la confianza para los protocolos que las conexiones secundariasabiertas (e.g. FTP, el SORBO etc), solamente uso no prohiben a acción en lugar de otro(véase la sección relacionada en este documento)
●
Acción del bloque de la directiva de Prefilter
Considere la topología tal y como se muestra en de la imagen:
Considere también la directiva tal y como se muestra en de la imagen:
Ésta es la directiva desplegada en el motor del Snort FTD (archivo ngfw.rules):
# Start of tunnel and priority rules.
# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.
268437506 deny any 192.168.1.40 32 any any 192.168.2.40 32 any any any (tunnel -1
En LINA:
access-list CSM_FW_ACL_ line 1 remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter
access-list CSM_FW_ACL_ line 2 remark rule-id 268437506: RULE: Prefilter1
access-list CSM_FW_ACL_ line 3 advanced deny ip host 192.168.1.40 host 192.168.2.40 rule-id
268437506 event-log flow-start (hitcnt=0) 0x76476240
cuando usted localiza un paquete virtual, muestra que el paquete es caído por LINA y nuncaremitido para resoplar:
firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
…
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny ip host 192.168.1.40 host 192.168.2.40 rule-id 268437506
event-log flow-start
access-list CSM_FW_ACL_ remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter
access-list CSM_FW_ACL_ remark rule-id 268437506: RULE: Prefilter1
Additional Information:
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Demostración de las estadísticas del Snort:
firepower# show snort statistics
Packet Counters:
Passed Packets 0
Blocked Packets 0
Injected Packets 0
Packets bypassed (Snort Down) 0
Packets bypassed (Snort Busy) 0
Flow Counters:
Fast-Forwarded Flows 0
Blacklisted Flows 0
Miscellaneous Counters:
Start-of-Flow events 0
End-of-Flow events 0
Denied flow events 1
Demostración de los descensos de LINA ASP:
firepower# show asp drop
Frame drop:
Flow is denied by configured rule (acl-drop) 1
Utilice los casos
Usted puede utilizar la regla de bloques de Prefilter cuando usted quiere bloquear el tráficobasado en las condiciones L3/L4 y sin la necesidad de hacer cualquier examen del Snort altráfico.
Acción del fastpath de la directiva de Prefilter
Considere la regla de la directiva de Prefilter tal y como se muestra en de la imagen:
Ésta es la directiva desplegada en el motor del Snort FTD:
268437506 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 80 any 6 (tunnel -1)
En FTD LINA:
access-list CSM_FW_ACL_ line 1 remark rule-id 268437506: PREFILTER POLICY: FTD_Prefilter
access-list CSM_FW_ACL_ line 2 remark rule-id 268437506: RULE: Prefilter1
access-list CSM_FW_ACL_ line 3 advanced trust tcp host 192.168.1.40 host 192.168.2.40 eq www
rule-id 268437506 event-log flow-end (hitcnt=0) 0xf3410b6f
Verifique el comportamiento
Cuando los intentos del Host-a (192.168.1.40) para abrir HTTP session en el Host-b(192.168.2.40) algunos paquetes pasan con LINA y el resto se descargan a SmartNIC. En estecaso la “traza del soporte de sistema” con el Firewall-motor-debug habilitado muestra:
> system support trace
Please specify an IP protocol: tcp
Please specify a client IP address: 192.168.1.40
Please specify a client port:
Please specify a server IP address: 192.168.2.40
Please specify a server port:
Enable firewall-engine-debug too? [n]: y
Monitoring packet tracer debug messages
192.168.1.40-32840 > 192.168.2.40-80 6 AS 1 I 8 Got end of flow event from hardware with flags
04000000
Los registros de LINA muestran el flujo descargado:
Oct 01 2017 14:36:51: %ASA-7-609001: Built local-host INSIDE:192.168.1.40
Oct 01 2017 14:36:51: %ASA-7-609001: Built local-host OUTSIDE:192.168.2.40
Oct 01 2017 14:36:51: %ASA-6-302013: Built inbound TCP connection 966 for
INSIDE:192.168.1.40/32840 (192.168.1.40/32840) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Oct 01 2017 14:36:51: %ASA-6-805001: Offloaded TCP Flow for connection 966 from
INSIDE:192.168.1.40/32840 (192.168.1.40/32840) to OUTSIDE:192.168.2.40/80 (192.168.2.40/80)
Oct 01 2017 14:36:51: %ASA-6-805001: Offloaded TCP Flow for connection 966 from
OUTSIDE:192.168.2.40/80 (192.168.2.40/80) to INSIDE:192.168.1.40/32840 (192.168.1.40/32840)
Las capturas de LINA muestran 8 paquetes que van a través:
firepower# show capture
capture CAPI type raw-data buffer 33554432 trace trace-count 100 interface INSIDE [Capturing -
3908 bytes]
match ip host 192.168.1.40 host 192.168.2.40
capture CAPO type raw-data buffer 33554432 trace trace-count 100 interface OUTSIDE [Capturing -
3908 bytes]
match ip host 192.168.1.40 host 192.168.2.40
firepower# show capture CAPI
8 packets captured
1: 14:45:32.700021 192.168.1.40.32842 > 192.168.2.40.80: S 3195173118:3195173118(0) win 2920
<mss 1460,sackOK,timestamp 332569060 0>
2: 14:45:32.700372 192.168.2.40.80 > 192.168.1.40.32842: S 184794124:184794124(0) ack
3195173119 win 2896 <mss 1380,sackOK,timestamp 332567732 332569060>
3: 14:45:32.700540 192.168.1.40.32842 > 192.168.2.40.80: P 3195173119:3195173317(198) ack
184794125 win 2920 <nop,nop,timestamp 332569060 332567732>
4: 14:45:32.700876 192.168.2.40.80 > 192.168.1.40.32842: . 184794125:184795493(1368) ack
3195173317 win 2698 <nop,nop,timestamp 332567733 332569060>
5: 14:45:32.700922 192.168.2.40.80 > 192.168.1.40.32842: P 184795493:184796861(1368) ack
3195173317 win 2698 <nop,nop,timestamp 332567733 332569060>
6: 14:45:32.701425 192.168.2.40.80 > 192.168.1.40.32842: FP 184810541:184810851(310) ack
3195173317 win 2698 <nop,nop,timestamp 332567733 332569061>
7: 14:45:32.701532 192.168.1.40.32842 > 192.168.2.40.80: F 3195173317:3195173317(0) ack
184810852 win 2736 <nop,nop,timestamp 332569061 332567733>
8: 14:45:32.701639 192.168.2.40.80 > 192.168.1.40.32842: . ack 3195173318 win 2697
<nop,nop,timestamp 332567734 332569061>
FTD Flujo-descargan los paquetes de la demostración 22 de las estadísticas descargados al HW:
firepower# show flow-offload statistics
Packet stats of port : 0
Tx Packet count : 22
Rx Packet count : 22
Dropped Packet count : 0
VNIC transmitted packet : 22
VNIC transmitted bytes : 15308
VNIC Dropped packets : 0
VNIC erroneous received : 0
VNIC CRC errors : 0
VNIC transmit failed : 0
VNIC multicast received : 0
Usted puede también utilizar “demostración flujo-descarga el comando del flujo” de verrelacionado con la información adicional a los flujos descargados. Aquí tiene un ejemplo:
firepower# show flow-offload flow
Total offloaded flow stats: 2 in use, 4 most used, 20% offloaded, 0 collisions
TCP intfc 103 src 192.168.1.40:39301 dest 192.168.2.40:20, static, timestamp 616063741, packets
33240, bytes 2326800
TCP intfc 104 src 192.168.2.40:20 dest 192.168.1.40:39301, static, timestamp 616063760, packets
249140, bytes 358263320
firepower# show conn
5 in use, 5 most used
Inspect Snort:
preserve-connection: 1 enabled, 0 in effect, 4 most enabled, 0 most in effect
TCP OUTSIDE 192.168.2.40:21 INSIDE 192.168.1.40:40988, idle 0:00:00, bytes 723, flags UIO
TCP OUTSIDE 192.168.2.40:21 INSIDE 192.168.1.40:40980, idle 0:02:40, bytes 1086, flags UIO
TCP OUTSIDE 192.168.2.40:80 INSIDE 192.168.1.40:49442, idle 0:00:00, bytes 86348310, flags UIO
N1
TCP OUTSIDE 192.168.2.40:20 INSIDE 192.168.1.40:39301, idle 0:00:00, bytes 485268628, flags Uo
<- offloaded flow
TCP OUTSIDE 192.168.2.40:20 INSIDE 192.168.1.40:34713, idle 0:02:40, bytes 821799360, flags
UFRIO
El porcentaje se basa en la salida del “show conn”. Por ejemplo si 5 conns consisten en pasartotal a través del motor FTD LINA y 1 de ellos entonces se descarga el 20% será señaladosegún lo descargado
●
El límite máximo de sesiones descargadas depende de la versión de software (soporte e.g.ASA 9.8.3 y FTD 6.2.3 4 millones de (o 8 millones unidireccionales) flujos descargadosbidireccionales)
●
En caso de que el número de flujos descargados alcance el límite (e.g. 4 millones de flujosbidireccionales) no se descargará ningunas nuevas conexiones, hasta que las conexionesexistentes se quiten de la tabla descargada
●
Para ver todos los paquetes en FP4100/9300 que pasen con FTD (descargado + LINA) allí esnecesidad de habilitar la captura en el chasis llano tal y como se muestra en de la imagen:
La captura del backplane del chasis muestra a las ambas direcciones. Debido a la arquitectura dela captura FXO (2 puntas de la captura por la dirección) cada paquete se muestra dos veces tal ycomo se muestra en de la imagen:
De acuerdo con el antedicho:
Totales de paquetes con FTD: 30●
Paquetes con FTD LINA: 8●
Paquetes descargados al acelerador de SmartNIC HW: 22●
Utilice los casos
Utilice la acción del fastpath de Prefilter cuando usted quiere desviar totalmente el examendel Snort. Usted quiere típicamente hacer esto para los flujos gordos grandes que ustedconfía en como los respaldos, las transferencias etc de la base de datos
●
En los dispositivos FP4100/9300 los activadores de la acción del fastpath flujo-descargan ysolamente algunos paquetes pasan a través del motor FTD LINA. El resto es manejado porSmartNIC que disminuya el tiempo de espera
●
Acción del fastpath de la directiva de Prefilter (En línea-conjunto)
En caso de que una acción del fastpath de la directiva de Prefilter se aplique en el tráfico quepasa a través de un en línea-conjunto (interfaces NGIPS) las puntas siguientes se deben tomaren la consideración:
La regla será aplicada al motor de LINA como acción de la confianza●
El flujo no será examinado por el motor del Snort●
El flujo descarga (aceleración HW) no ocurrirá puesto que el flujo descarga es nocorresponde en las interfaces NGIPS
●
Aquí está un ejemplo de una traza del paquete en caso de la acción del fastpath de Prefilteraplicada en un en línea-conjunto:
firepower# packet-tracer input inside tcp 192.168.1.40 12345 192.168.1.50 80 detailed
Phase: 1
Type: NGIPS-MODE
Subtype: ngips-mode
Result: ALLOW
Config:
Additional Information:
The flow ingressed an interface configured for NGIPS mode and NGIPS services will be applied
Forward Flow based lookup yields rule:
in id=0x2ad7ac48b330, priority=501, domain=ips-mode, deny=false
hits=2, user_data=0x2ad80d54abd0, cs_id=0x0, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=any, dscp=0x0
input_ifc=inside, output_ifc=any
Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced trust ip object 192.168.1.0 object 192.168.1.0 rule-id
268438531 event-log flow-end
access-list CSM_FW_ACL_ remark rule-id 268438531: PREFILTER POLICY: PF1
access-list CSM_FW_ACL_ remark rule-id 268438531: RULE: 1
Additional Information:
Forward Flow based lookup yields rule:
in id=0x2ad9f9f8a7f0, priority=12, domain=permit, trust
hits=1, user_data=0x2ad9b23c5d40, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=192.168.1.0, mask=255.255.255.0, port=0, tag=any, ifc=any
dst ip/id=192.168.1.0, mask=255.255.255.0, port=0, tag=any, ifc=any, vlan=0, dscp=0x0
input_ifc=any, output_ifc=any
Phase: 3
Type: NGIPS-EGRESS-INTERFACE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
Ingress interface inside is in NGIPS inline mode.
Egress interface outside is determined by inline-set configuration
Phase: 4
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 7, packet dispatched to next module
Module information for forward flow ...
snp_fp_ips_tcp_state_track_lite
snp_fp_ips_mode_adj
snp_fp_tracer_drop
snp_ifc_stat
Module information for reverse flow ...
snp_fp_ips_tcp_state_track_lite
snp_fp_ips_mode_adj
snp_fp_tracer_drop
snp_ifc_stat
Result:
input-interface: inside
input-status: up
input-line-status: up
Action: allow
El antedicho se puede visualizar como:
La directiva de Prefilter analiza la acción
El escenario 1. Prefilter analiza con la regla de bloques ACP
Considere la directiva de Prefilter que contiene una regla del analizar tal y como se muestra en dela imagen:
El ACP contiene solamente la regla predeterminada que se fija para bloquear todo el tráfico tal ycomo se muestra en de la imagen:
Ésta es la directiva desplegada en el motor del Snort FTD (archivo ngfw.rules):
# Start of tunnel and priority rules.
# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.
268435460 allow any 192.168.1.40 32 any any 192.168.2.40 32 any any any (tunnel -1)
268435459 allow any any 1025-65535 any any 3544 any 17 (tunnel -1)
268435459 allow any any 3544 any any 1025-65535 any 17 (tunnel -1)
268435459 allow any any any any any any any 47 (tunnel -1)
268435459 allow any any any any any any any 41 (tunnel -1)
268435459 allow any any any any any any any 4 (tunnel -1)
# End of tunnel and priority rules.
# Start of AC rule.
268435458 deny any any any any any any any any (log dcforward flowstart)
# End of AC rule.
Ésta es la directiva desplegada en el motor FTD LINA:
access-list CSM_FW_ACL_ line 3 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id
268435460 (hitcnt=0) 0xb788b786
Verifique el comportamiento
Para probar con el paquete-trazalíneas, muestra que el paquete es permitido por LINA, se remitepara resoplar motor (debido permitir la acción) y el motor del Snort vuelve un veredicto del bloquepuesto que la acción predeterminada del AC se corresponde con.
Nota: El Snort no evalúa el tráfico basado en las reglas del túnel
Cuando usted localiza un paquete revela lo mismo:
firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460
access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1
access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1
Additional Information:
This packet will be sent to snort for additional processing where a verdict will be reached
…
Phase: 14
Type: SNORT
Subtype:
Result: DROP
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997,
icmpType 8, icmpCode 0
Firewall: block rule, id 268435458, drop
Snort: processed decoder alerts or actions queue, drop
NAP id 1, IPS id 0, Verdict BLACKLIST, Blocked by Firewall
Snort Verdict: (black-list) black list this flow
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: drop
Drop-reason: (firewall) Blocked or blacklisted by the firewall preprocessor
El escenario 2. Prefilter analiza con el ACP permite la regla
Si la meta es permitir que el paquete atraviese con el FTD, hay necesidad de agregar una reglaen el ACP. La acción puede ser admite o confía en cuál depende de la meta (e.g si usted quiereaplicar un examen L7 usted debe utilizar permite la acción) tal y como se muestra en de laimagen:
La directiva desplegada en el motor del Snort FTD:
# Start of AC rule.
268435461 allow any 192.168.1.40 32 any any 192.168.2.40 32 any any any
268435458 deny any any any any any any any any (log dcforward flowstart)
# End of AC rule.
En el motor de LINA:
access-list CSM_FW_ACL_ line 3 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id
268435460 (hitcnt=1) 0xb788b786
Verifique el comportamiento
el Paquete-trazalíneas muestra que el paquete hace juego la regla 268435460 en LINA y268435461 en el motor del Snort:
firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460
access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1
access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1
Additional Information:
This packet will be sent to snort for additional processing where a verdict will be reached
…
Phase: 14
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997,
icmpType 8, icmpCode 0
Firewall: allow rule, id 268435461, allow
NAP id 1, IPS id 0, Verdict PASS
Snort Verdict: (pass-packet) allow this packet
…
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow
El escenario 3. Prefilter analiza con la regla de la confianza ACP
En caso de que el ACP contenga una regla de la confianza entonces usted tiene esto tal y comose muestra en de la imagen:
Snort:
# Start of AC rule.
268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 any any any
268435458 deny any any any any any any any any (log dcforward flowstart)
# End of AC rule.
LINA:
access-list CSM_FW_ACL_ line 3 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id
268435460 (hitcnt=2) 0xb788b786
Recuerde que puesto que el SI se habilita por abandono, la regla de la confianza está desplegadacomo acción del permiso en LINA tan por lo menos que algunos paquetes se reorientan pararesoplar motor para el examen.
Verifique el comportamiento
el Paquete-trazalíneas muestra que las listas blancas del motor del Snort el paqueteesencialmente que descarga el flujo del resto a LINA:
firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460
access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1
access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1
Additional Information:
This packet will be sent to snort for additional processing where a verdict will be reached
…
Phase: 14
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997,
icmpType 8, icmpCode 0
Firewall: trust/fastpath rule, id 268435461, allow
NAP id 1, IPS id 0, Verdict WHITELIST
Snort Verdict: (fast-forward) fast forward this flow
…
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow
El escenario 4. Prefilter analiza con la regla de la confianza ACP
En este escenario el SI fue inhabilitado manualmente.
La regla se despliega en el Snort como sigue:
# Start of AC rule.
268435461 fastpath any 192.168.1.40 32 any any 192.168.2.40 32 any any any
268435458 deny any any any any any any any any (log dcforward flowstart)
# End of AC rule.
En LINA la regla se despliega como plena confianza. Un paquete debe hacer juego sin embargola regla del permiso (véase las golpe-cuentas de ACE) que es debido desplegada analizar la reglade Prefilter y el paquete es examinado por el motor del Snort:
access-list CSM_FW_ACL_ line 3 advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id
268435460 (hitcnt=3) 0xb788b786
...
access-list CSM_FW_ACL_ line 13 advanced trust ip host 192.168.1.40 host 192.168.2.40 rule-id
268435461 event-log flow-end (hitcnt=0) 0x5c1346d6
...
access-list CSM_FW_ACL_ line 16 advanced deny ip any any rule-id 268435458 event-log flow-start
(hitcnt=0) 0x97aa021a
Verifique el comportamiento
firepower# packet-tracer input INSIDE icmp 192.168.1.40 8 0 192.168.2.40
...
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460
access-list CSM_FW_ACL_ remark rule-id 268435460: PREFILTER POLICY: Prefilter_Policy1
access-list CSM_FW_ACL_ remark rule-id 268435460: RULE: Prefilter_Rule1
Additional Information:
This packet will be sent to snort for additional processing where a verdict will be reached
...
Phase: 14
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Trace:
Packet: ICMP
AppID: service ICMP (3501), application unknown (0)
Firewall: starting rule matching, zone -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, user 9999997,
icmpType 8, icmpCode 0
Firewall: trust/fastpath rule, id 268435461, allow
NAP id 1, IPS id 0, Verdict WHITELIST
Snort Verdict: (fast-forward) fast forward this flow
…
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
output-interface: OUTSIDE
output-status: up
output-line-status: up
Action: allow
Puntos principales
Se despliega la acción del analizar como regla del permiso en el motor de LINA. Esto tienecomo efecto el paquete que se remitirá para resoplar motor para el examen
●
La acción del analizar no despliega ninguna regla en el motor así que usted del Snortnecesidad de asegurarse de que usted configura una regla en el ACP que hace juego en elSnort
●
Depende de la regla ACP que se despliega en el motor del Snort (el bloque contra permitecontra el fastpath) ningunos o todos o algunos paquetes son permitidos por el Snort
●
Utilice los casos
Un caso del uso de la acción Analyze es cuando usted hace que una regla amplia delfastpath en la directiva y usted de Prefilter quiera poner algunas excepciones para los flujosespecíficos de modo que sean examinadas por el Snort
●
Además, el examen del Snort implica que el flujo no está descargado en el hardware(SmartNIC), sino que es manejado por el Snort y LINA
●
Comportamiento FTD con los protocolos que abren las conexiones secundarias
Hay protocolos como FTP, el SORBO etc que negocia y las conexiones secundarias abiertasdinámicamente. FTD abre los agujeritos para las conexiones secundarias en 2 nivelesindependientemente:
Motor de LINA●
Motor del Snort●
Además, cuando el Snort abre un agujerito señala a LINA para abrir el mismo agujerito en casode que no esté ya abierto.
Con los protocolos que negocian y las conexiones secundarias abiertas que usted debe utilizarpermita la acción en el ACP y nunca utilice la confianza. La razón es ésa puesto que el Snorttambién abre los agujeritos que necesita examinar algunos paquetes (el número depende de laaplicación) antes de que usted abra un agujerito en el nivel del Snort. Si usted utiliza una acciónde la confianza, la mayor parte de los tiempos solamente que algunos paquetes se envían pararesoplar motor para el examen y el flujo se descarga a LINA antes del Snort tiene la época demarcar la fase de la negociación del protocolo y de abrir los agujeritos necesarios en el nivel delSnort. El resultado es LINA para abrir los agujeritos, pero resopla para caer las conexionessecundarias (e.g. canal de datos FTD).
Nota: Para los protocolos que requieren los agujeritos que se abrirán por FTD se asegurande que la regla ACP hace juego una aplicación. Si la regla utiliza un puerto del protocolo como una condición entonces que el motor delSnort no se abrirá un agujerito y los flujos como los datos FTD serán caídos por FTD
Guías de consulta de la regla FTD
Utilice las reglas del fastpath de la directiva de Prefilter para los flujos gordos grandes y paradisminuir el tiempo de espera a través del cuadro
●
Utilice las reglas de bloques de Prefilter para el tráfico que se debe bloquear sobre la base delas condiciones L3/L4
●
Utilice las reglas de la confianza ACP si usted quiere desviar muchos de los controles delSnort, pero todavía aprovéchese de las características como la directiva de la identidad, QoS,SI, detección de la aplicación, filtro URL
●
Ponga las reglas que afectan menos al funcionamiento del Firewall en la cima de la directivadel control de acceso con el uso de estas guías de consulta:
●
Reglas de bloques (capas 1-4) - Bloque de Prefilter1.Permita las reglas (capas 1-4) - Fastpath de Prefilter2.Reglas de bloques ACP (capas 1-4)3.La confianza gobierna (las capas 1-4)4.Reglas de bloques (capas 5-7 - detección, Filtrado de URL de la aplicación)5.Permita las reglas (capas 1-7 - detección de la aplicación, Filtrado de URL, directiva de laintrusión/la directiva del archivo)
6.
Regla de bloques (regla predeterminada)7.Para más detalles marque el documento siguiente:
Orden de funcionamiento de la directiva NGFW
Evite el registro excesivo (el registro al principio o en el extremo y evita ambos al mismotiempo)
●
Sea consciente de la extensión de la regla, marcar el número de reglas en LINA●
firepower# show access-list | include elements
access-list CSM_FW_ACL_; 7 elements; name hash: 0x4a69e3f3
Resumen
Cómo se despliegan las reglas:
Permita contra la confianza
Nota: Como a partir del código del software 6.3 FTD que el flujo dinámico descarga puededescargar las conexiones que cumplen los criterios adicionales incluyendo los paquetes deconfianza que requieren el examen del Snort. Marque “descargan la sección de lasconexiones grandes (flujos)” de la guía de configuración del centro de administración deFirePOWER para más detalles
Información Relacionada
Reglas del control de acceso FTD●
FTD Prefiltering y directivas de Prefilter●
Trabajo con las capturas y el Paquete-trazalíneas de la defensa de la amenaza deFirePOWER (FTD)
●
Configuración que abre una sesión FTD vía FMC●
Soporte Técnico y Documentación - Cisco Systems●
Descargue las conexiones grandes●
Orden de funcionamiento de la directiva NGFW●