了解在FirePOWER设备的规则扩展.PDF

了解在Firepower设备的规则扩展 目录 简介 先决条件 要求 使用的组件 背景信息 了解规则扩展 IP基于规则的扩展 一个IP基于规则的扩展使用自定义URL 一个IP基于规则的扩展使用端口 一个IP基于规则的扩展使用VLAN 一个IP基于规则的扩展与URL类别的 IP的扩展根据与区域的规则 规则扩展的一般公式 排除故障由于部署的失败规定扩展 相关信息 简介 本文描述访问控制规则的转换到传感器，当部署从Firepower管理中心(FMC)。 先决条件 要求 Cisco 建议您了解以下主题： Firepower技术知识 在配置访问控制策略的知识在FMC 使用的组件 本文档中的信息基于以下软件和硬件版本： Firepower管理中心版本6.0.0和以上 ASA Firepower防御镜像(ASA 5515-X， ASA 5525-X， ASA 5545-X， ASA 5555-X， ASA 5585-X)运行软件版本6.0.1以上 ASA Firepower SFR镜像(ASA 5515-X， ASA 5525-X， ASA 5545-X， ASA 5555-X， ASA 5585-X)运行软件版本6.0.0以上 Firepower 7000/8000系列传感器版本6.0.0以上 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 背景信息 访问控制规则创建与使用一个或这些参数的多个组合： IP地址(源和目的) 端口(源和目的) URL (系统提供的类别和自定义URL) 应用程序探测器 VLAN 区域 基于用于访问规则的参数的组合，规则扩展在传感器更改。本文突出显示规则和他们的在传感器的 各自相关的扩展的多种组合在FMC的。 了解规则扩展 IP基于规则的扩展 如镜像所显示，考虑一个访问规则的配置从FMC的， ： 这是在管理中心的单个规则。然而，如镜像所显示，在部署它以后对传感器，它展开到四个规则： 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) 268435456 allow any any any any any any any any (ipspolicy 2)    当您部署与作为来源和两台主机配置的两子网的一个规则配置作为目的地址时，此规则展开对在传 感器的四个规则。 Note:如果需求是阻止根据目的地网络的访问，一个更加好的方式执行此将使用黑名单功能在 安全智能下。 IP基于规则的扩展使用自定义URL 如镜像所显示，考虑一个访问规则的配置从FMC的： 这是在管理中心的单个规则。然而，如镜像所显示，在部署它以后对传感器，它展开到八个规则： 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) (url ) 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) (url ) 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) (url ) 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) (url ) 268436480 allow any 32 any any 32 any any any (log dcforward flowstart) (url ) 268436480 allow any 32