• Home

  • Documents

  • FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD...
9
FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件 要求 使用的组件 背景信息 配置 步骤1.配置一个延长的访问列表对象 步骤2.配置一个FlexConfig对象 步骤3.分配FlexConfig策略到FTD 验证 故障排除 相关链接 简介 本文描述如何通过Firepower管理中心(FMC)实现传输控制协议(TCP)在Firepower威胁防御(FTD)工 具上的旁路功能使用FlexConfig策略。 先决条件 要求 Cisco 建议您了解以下主题: Firepower管理中心知识。 Firepower威胁防御基础知识。 对TCP状态旁路功能的了解。 使用的组件 本文档中的信息基于以下软件和硬件版本: Firepower威胁防御(FTD)版本6.2和以上。 Firepower管理中心(FMC)版本6.2和以上。 背景信息 TCP状态旁路是从可适应的安全工具继承的功能(ASA)并且提供援助,当排除数据流故障可能由任 一个TCP标准化功能时降低,不对称路由调节和某些应用程序检验。

FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

Embed Size (px)

Citation preview

Page 1: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 目录

简介先决条件要求使用的组件背景信息配置步骤1.配置一个延长的访问列表对象 步骤2.配置一个FlexConfig对象步骤3.分配FlexConfig策略到FTD  验证故障排除相关链接

简介

本文描述如何通过Firepower管理中心(FMC)实现传输控制协议(TCP)在Firepower威胁防御(FTD)工具上的旁路功能使用FlexConfig策略。

先决条件

要求

Cisco 建议您了解以下主题:

Firepower管理中心知识。●

Firepower威胁防御基础知识。●

对TCP状态旁路功能的了解。●

使用的组件

本文档中的信息基于以下软件和硬件版本:

Firepower威胁防御(FTD)版本6.2和以上。●

Firepower管理中心(FMC)版本6.2和以上。●

背景信息

TCP状态旁路是从可适应的安全工具继承的功能(ASA)并且提供援助,当排除数据流故障可能由任一个TCP标准化功能时降低,不对称路由调节和某些应用程序检验。 

Page 2: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

在写作,除非使用,本文的时刻, FMC不自然支持配置TCP状态旁路FlexConfig策略。 

Firepower威胁防御使用ASA配置命令实现一些功能,但是不是所有的功能。没有唯一集合Firepower威胁防御配置命令。反而,点FlexConfig是允许您配置不通过Firepower管理中心策略和设置直接地支持的功能。

Note: 应该只使用TCP状态旁路为了实现故障排除目的或,当不对称路由不可以是解决的。如果没有适当地实现,使用此功能禁用多个安全功能,并且能导致连接的大数字。 

为了知道更多TCP状态旁路功能或其实施在ASA,请参见配置TCP状态旁路功能在5500系列的ASA和Cisco ASA 5500系列配置指南。

配置

此部分描述如何通过FlexConfig策略配置在FMC的TCP旁路。

步骤1.配置延长的访问列表对象 

为了建立在FMC的一延长的访问列表,请去对象>Object管理,并且在左菜单,在访问列表下请选择延长。ClickAdd扩大了访问列表。

用所需的值填装名称字段。在本例中,名字是TCP_Bypass。点击Add按钮。

  

https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/118995-configure-asa-00.html
https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/118995-configure-asa-00.html
Page 3: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

必须配置此规则的动作作为准许。 可以使用系统定义的网络或一个新的网络对象可以为每个来源和目的地被创建。在本例中,因为这是适用TCP状态旁路的通信访问列表匹配IP数据流从Host1到Host2。Port选项能可选地使用匹配一个特定TCP或UDP端口。点击Add按钮继续。 

一旦源及目的地网络或主机选择,请点击“Save”。

步骤2.配置FlexConfig对象

Page 4: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

连接对对象>对象Management> FlexConfig > FlexConfig对象并且点击Add FlexConfig对象按钮。

  

对象的名字此示例称为TCP_Bypass正访问列表。此名字不需要匹配访问列表名字。

选择插入策略对象>扩展ACL对象。

Page 5: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

Note:目前,和根据BU,当策略映射在接口时适用它在下配置被去除,并且这是期望的工作情况。此问题的解决方法是用为配置模式配置的选项‘每次’创建弹性设置对象。

选择在Step1建立的访问列表从可用的对象部分并且分配变量名称。然后,请点击Add按钮。在本例中,变量名称是TCP_Bypass。

点击“Save”。

在插入按钮之下添加在空白字段的下配置行并且包括先前定义的变量($TCP_Bypass)在匹配访问控制列表配置线路。注意$符号被加在前面对变量名称。这帮助定义变量在它以后跟随。 

class-map tcp_bypass

match access-list $TCP_Bypass

policy-map tcp_bypass_policy

class tcp_bypass

set connection advanced-options tcp-state-bypass

service-policy tcp_bypass_policy interface outside

在本例中,策略映射被创建,并且适用于外部接口。作为全局服务策略一部分,如果TCP状态旁路要求被配置, tcp_bypass类映射可以被应用于global_policy。 

点击“Save”,当完成时。

Page 6: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

步骤3.分配FlexConfig策略到FTD

(除非已经有一个创建为另一个目的和分配到同样FTD),请去设备> FlexConfig并且创建一个新的策略。在本例中新的FelxConfig策略称为TCP_Bypass。

 分配TCP_Bypass FlexConfig策略到FTD设备。

Page 7: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

选择称为在创建的TCP_Bypass的FlexConfig对象第2步在用户定义的部分下并且点击箭头添加该对象到策略。

保存更改并且配置,

Page 8: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

 验证

通过SSH或控制台访问FTD并且请使用system命令支持诊断CLI。 

> system support diagnostic-cli

Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.

Type help or '?' for a list of available commands.

firepower# show access-list TCP_Bypass

access-list TCP_Bypass; 1 elements; name hash: 0xec2b41eb

access-list TCP_Bypass line 1 extended permit object-group ProxySG_ExtendedACL_34359739205

object Host1 object Host2 log informational interval 300 (hitcnt=0) 0x42940b0e

access-list TCP_Bypass line 1 extended permit ip host 1.1.1.1 host 1.1.1.2 log informational

interval 300 (hitcnt=0) 0x769561fc

firepower# show running-config class-map

!

class-map inspection_default

match default-inspection-traffic

class-map tcp_bypass

match access-list TCP_Bypass

!

firepower# show running-config policy-map

!

policy-map type inspect dns preset_dns_map

Page 9: FTD :如何对enable (event) TCP状态旁路配置使用FlexConfig策略 · FTD :如何对enable (event) TCP状态旁路配置 使用FlexConfig策略 目录 简介 先决条件

parameters

message-length maximum client auto

message-length maximum 512

no tcp-inspection

policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

parameters

eool action allow

nop action allow

router-alert action allow

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect rsh

inspect rtsp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

inspect icmp

inspect icmp error

inspect ip-options UM_STATIC_IP_OPTIONS_MAP

class class-default

set connection advanced-options UM_STATIC_TCP_MAP

policy-map tcp_bypass_policy

class tcp_bypass

set connection advanced-options tcp-state-bypass

!

故障排除

排除此功能故障,有用这些命令的结果。

- show conn [detail]

Shows connection information. Detailed information uses flags to indicate special connection

characteristics.

For example, the “b” flag indicates traffic subject to TCP State Bypass

- show service-policy

Shows service policy statistics, including Dead Connection Detection (DCD) statistics

相关链接

https://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config/conns_connlimits.html

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118995-configure-asa-00.html

https://www.cisco.com/c/en/us/td/docs/security/firepower/620/configuration/guide/fpmc-config-guide-v62/flexconfig_policies.html

/content/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config/conns_connlimits.html
/content/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config/conns_connlimits.html
https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/118995-configure-asa-00.html
https://www.cisco.com/c/zh_cn/support/docs/security/asa-5500-x-series-next-generation-firewalls/118995-configure-asa-00.html
/content/en/us/td/docs/security/firepower/620/configuration/guide/fpmc-config-guide-v62/flexconfig_policies.html
/content/en/us/td/docs/security/firepower/620/configuration/guide/fpmc-config-guide-v62/flexconfig_policies.html

MOET & SO FTD

MOET & SO FTD

Documents
FTD Basic POV Guide

FTD Basic POV Guide

Documents
Mach ftd industria farmaceutica

Mach ftd industria farmaceutica

Documents
Inflammation in ALS/FTD pathogenesis - link.springer.com · tioninALS/FTD,andexperimentalevidenceinrodentsthatalteringmicroglialfunctioncanmitigatepathology,therapeutic

Inflammation in ALS/FTD pathogenesis - link.springer.com · tioninALS/FTD,andexperimentalevidenceinrodentsthatalteringmicroglialfunctioncanmitigatepathology,therapeutic

Documents
Cantos Sagrados Populares FTD

Cantos Sagrados Populares FTD

Documents
FTD - The Other Dementia

FTD - The Other Dementia

Health & Medicine
FlexConfi g RBS - STAR COOPERATION · FlexConfig RBS Update Update to the latest FlexConfig RBS Release 3-V0160U01 FlexConfig RBS Maintenance Includes all updates for 1 year 3-V0160M01

FlexConfi g RBS - STAR COOPERATION · FlexConfig RBS Update Update to the latest FlexConfig RBS Release 3-V0160U01 FlexConfig RBS Maintenance Includes all updates for 1 year 3-V0160M01

Documents
Anexo 1 de NIMF No. 26 (ESTABLECIMIENTO DE ÁREAS · PDF file(FTD>Supresi ón) Supresíón (FTD>Erradica ción) Erradicación de población establecida (FTD~0) Exclusión (FTD=0) Erradicación

Anexo 1 de NIMF No. 26 (ESTABLECIMIENTO DE ÁREAS · PDF file(FTD>Supresi ón) Supresíón (FTD>Erradica ción) Erradicación de población establecida (FTD~0) Exclusión (FTD=0) Erradicación

Documents
FTD mercury minuTe ©2014, FTD | ocTober 2014 mercuryminute

FTD mercury minuTe ©2014, FTD | ocTober 2014 mercuryminute

Documents
Vol. 3 No. 7 | FTD mercury miNuTe ©2013, FTD | ocTober ... · Florist and an FTD master Florist, located in Abbotsford, british columbia, canada, proudly displays the FTD logo to

Vol. 3 No. 7 | FTD mercury miNuTe ©2013, FTD | ocTober ... · Florist and an FTD master Florist, located in Abbotsford, british columbia, canada, proudly displays the FTD logo to

Documents
Matemática Módulo 4 - WebTVMarista · PDF fileGeometria Anal ítica: Pontos e Retas M19 3 Matemática TERCEIR Ã O FTD TERCEIR Ã O FTD TERCEIR Ã O FTD TERCEIR Ã O FTD TERCEIR

Matemática Módulo 4 - WebTVMarista · PDF fileGeometria Anal ítica: Pontos e Retas M19 3 Matemática TERCEIR Ã O FTD TERCEIR Ã O FTD TERCEIR Ã O FTD TERCEIR Ã O FTD TERCEIR

Documents
Letter from FTD CEO - FTDi.com · 2 FTD Newsletter – October 2004 Letter from FTD CEO Michael Soenen Dear FTD Members, In July, I presented the FTD Strategy through my message in

Letter from FTD CEO - FTDi.com · 2 FTD Newsletter – October 2004 Letter from FTD CEO Michael Soenen Dear FTD Members, In July, I presented the FTD Strategy through my message in

Documents
FTD Mecanica F1 ConceitosBasicos

FTD Mecanica F1 ConceitosBasicos

Documents
mercurymessenger - FTDi.com › newsletter › August2011.pdfmercurymessenger Vol. 55 No. 3 FTD NewsleTTer ©2011, FTD Flowers Say it Better. FTD Says It Best. The FTD Team is Working

mercurymessenger - FTDi.com › newsletter › August2011.pdfmercurymessenger Vol. 55 No. 3 FTD NewsleTTer ©2011, FTD Flowers Say it Better. FTD Says It Best. The FTD Team is Working

Documents
FRONTOTEMPORALE DEMENTIE - FTD Lotgenoten

FRONTOTEMPORALE DEMENTIE - FTD Lotgenoten

Documents
VOL. 3 NO. 1 | FTD MERCURY MINUTE ©2013, FTD | JANUARY … · 2012-12-22 · VOL. 3 NO. 1 | FTD MERCURY MINUTE ©2013, FTD | JANUARY 2013 The FTD® Angelique™ Bouquet (C17-4842)

VOL. 3 NO. 1 | FTD MERCURY MINUTE ©2013, FTD | JANUARY … · 2012-12-22 · VOL. 3 NO. 1 | FTD MERCURY MINUTE ©2013, FTD | JANUARY 2013 The FTD® Angelique™ Bouquet (C17-4842)

Documents
DE Infrarot-Thermometer FTD GB Infrared thermometer FTD · Art. 77055 DE Infrarot-Thermometer FTD GB Infrared thermometer FTD Gebrauchsanweisung Instruction Manual Mode d’emploi

DE Infrarot-Thermometer FTD GB Infrared thermometer FTD · Art. 77055 DE Infrarot-Thermometer FTD GB Infrared thermometer FTD Gebrauchsanweisung Instruction Manual Mode d’emploi

Documents
Cisco Firepower - Sevenmentor Pvt. Ltd · Cisco Firepower Threat Defense Overview Introduction to FTD Installation of FTD & FMC FTD Device Manager Initial Config Interface Config

Cisco Firepower - Sevenmentor Pvt. Ltd · Cisco Firepower Threat Defense Overview Introduction to FTD Installation of FTD & FMC FTD Device Manager Initial Config Interface Config

Documents
Understanding FTD Clinical TrialsUnderstanding FTD Clinical Trials Continuing Education Training FTD Support Group Facilitators May 13, 2013 HelpLine 866-507-7222 s info@theaftd.org

Understanding FTD Clinical TrialsUnderstanding FTD Clinical Trials Continuing Education Training FTD Support Group Facilitators May 13, 2013 HelpLine 866-507-7222 s [email protected]

Documents
Acco Esselte FTD - GOV.UK

Acco Esselte FTD - GOV.UK

Documents
Catalogo FTD 2011 - Livreiros

Catalogo FTD 2011 - Livreiros

Documents
Infrarot-Thermometer FTD Infrared thermometer FTD · Ihrem MEDISANA FTD Thermometer haben, empfehlen wir Ihnen, die nachstehende Gebrauchsanleitung sorgfältig zu lesen und aufzu-bewahren

Infrarot-Thermometer FTD Infrared thermometer FTD · Ihrem MEDISANA FTD Thermometer haben, empfehlen wir Ihnen, die nachstehende Gebrauchsanleitung sorgfältig zu lesen und aufzu-bewahren

Documents
Vol. 2 No. 4 | FTD mercury miNuTe ©2012, FTD | JuNe 2012

Vol. 2 No. 4 | FTD mercury miNuTe ©2012, FTD | JuNe 2012

Documents
FTDi.com - Member Florists of FTD - ROYER’S ...The FTD Team is Working For You! Contact Information: FIND YOUR FTD BUSINESS CONSULTANT at FTDi.COM FTD MARKETPLACE SALES • 800-767-4000

FTDi.com - Member Florists of FTD - ROYER’S ...The FTD Team is Working For You! Contact Information: FIND YOUR FTD BUSINESS CONSULTANT at FTDi.COM FTD MARKETPLACE SALES • 800-767-4000

Documents
Moby Dick - FTD Educação

Moby Dick - FTD Educação

Documents
Matemática Completa Ftd

Matemática Completa Ftd

Documents
二年级上册加偏旁 换偏旁归类word.duopin.cn/2/shang/a/528.pdf · 二年级上册加偏旁 换偏旁归类 加偏旁并组词: 皮:波(波浪)披(披头)被(被子)

二年级上册加偏旁 换偏旁归类word.duopin.cn/2/shang/a/528.pdf · 二年级上册加偏旁 换偏旁归类 加偏旁并组词: 皮:波(波浪)披(披头)被(被子)

Documents
FTD Newsletter © 2002 FTD - FTDi.com · like super stars! ... riding the 50th FTD Float "FTD Fairytale Fantasy" on January ... Joe Hinson, George K. Walker Florist in Winston-Salem,

FTD Newsletter © 2002 FTD - FTDi.com · like super stars! ... riding the 50th FTD Float "FTD Fairytale Fantasy" on January ... Joe Hinson, George K. Walker Florist in Winston-Salem,

Documents
SPRINGdelights - FTD, I

SPRINGdelights - FTD, I

Documents
FTD Turkish characte

FTD Turkish characte

Documents