澄清firepower威胁防御访问控制策略规则操作-cisco.pdfVIP

澄清Firepower威胁防御访问控制策略规则操作 目录 简介 先决条件 要求 使用的组件 背景信息 访问控制策略如何被实施 配置 非加太和Prefilter策略如何呼应 非加太块操作 方案1 –早莉娜丢弃 方案2 –由于的丢弃打鼾判决 非加太允许操作 方案1 –非加太允许操作(L3/L4情况) 方案2 –非加太允许操作(L3-7情况) 非加太托拉斯操作 方案1 –非加太托拉斯操作(L3/L4情况) 方案2 –非加太托拉斯操作(L7情况) 方案3 –非加太托拉斯操作和QoS 方案4 –非加太托拉斯操作(与禁用的SI的L3/L4) Prefilter策略块操作 Prefilter策略快速路径操作 Prefilter策略分析操作 方案1 - Prefilter分析与非加太分块规则 方案2 - Prefilter分析与非加太允许规则 方案3 - Prefilter分析与非加太托拉斯规则 方案4 - Prefilter分析与非加太托拉斯规则 与打开附属连接的协议的FTD行为 FTD规则指南 摘要 相关信息 简介    本文描述多种操作可用在Firepower威胁防御(FTD)访问控制策略(非加太)和Prefilter策略。此外，每 操作的背景操作与其交互作用一起被检查与其它特性，如流卸载和打开附属连接的协议。 先决条件 要求 Cisco 建议您了解以下主题： 流卸载 ASA设备的数据包捕获 在ASA设备的数据包跟踪程序 使用的组件 本文档中的信息基于以下软件和硬件版本： 思科Firepower 4110威胁防御版本6.2.2 (构建81) Firepower管理中心(FMC)版本6.2.2 (构建81) 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您的网络实际，请保证您了解所有命令潜在影响。 相关产品 本文档也可用于以下硬件和软件版本： ASA5506-X， ASA5506W-X， ASA5506H-X， ASA5508-X， ASA5516-X ASA5512-X， ASA5515-X， ASA5525-X， ASA5545-X， ASA5555-X FPR2100， FPR4100， FPR9300 VMware (ESXi)，亚马逊网站服务(AW)， KVM ISR路由模块 FTD软件版本6.1.x和以后 注意 ：FPR4100和FPR9300平台只支持流Offload。 背景信息 FTD是包括2个主要引擎的一个统一的软件镜像： 莉娜引擎 喷鼻息引擎 以下图显示2个引擎如何呼应： 1. 数据包进入入口接口，并且乘莉娜引擎处理 2. 如果策略指示那么数据包乘喷鼻息引擎检查 3. 喷鼻息引擎返回一个判决(whitelist或黑名单)数据包的 4. 莉娜引擎丢弃或转发根据喷鼻息的判决的数据包 访问控制策略如何被实施 FTD策略在FMC配置，当箱外(远程)时管理使用或Firepower设备管理器(FDM)，当使用时本地管理 。在两种情况下访问控制策略(非加太)被实施如下： 1. 作为CSM_FW_ACL_被命名的全局访问控制表(ACL)对FTD莉娜引擎 2. 在/var/sf/detection_engines/UUID/ngfw.rules文件的访问控制(AC)规则对FTD喷鼻息引擎 配置 访问控制策略联机操作 FTD非加太包含一个或更多规则，并且每个规则能有以下操作之一： 准许 托拉斯 箴言报 块 有重置的块 交互块 有重置的交互块 同样地， Prefilter策略能包含一个或更多规则和以下操作 ： 非加太和Prefilter策略如何呼应 Prefilter策略在6.1版本和服务获得介绍2个主要目的： 1. 允许FTD莉娜引擎检查外面IP报头通道流量的检查，当喷鼻息引擎检查内在IP报头时。特别地 ，在通道流量(即GRE)的情况下在Prefilter策略的规则在outerheaders总是操作，当在访问控制 策略的规则总是可适用的对内部的会话时(内部头标)。通道流量是指以下协议： GRE IP在IP IPv6-in-IP Teredo波尔特3544 2. 允许流绕过完全喷鼻息引擎的提供早期的访问控制(EAC) Prefilter规则