配置Firepower6.1与ISE的pxGrid修正-Cisco.PDFVIP

配置Firepower 6.1与ISE的pxGrid修正 简介 先决条件 要求 使用的组件 配置 配置 Firepower配置 ISE配置 自定义Portal配置 验证 故障排除 参考   简介   本文描述如何配置Firepower 6.1与ISE的pxGrid修正。Firepower 6.1+ ISE修正模块可以与ISE自适 应网络控制(ANC)一起使用自动化qurantine/列入黑名单在网络接入层的攻击者。   贡献用Valerii Palkin， Cisco TAC工程师。   先决条件   要求   Cisco 建议您具有以下主题的基础知识： 思科身份服务引擎 思科Firepower   使用的组件   信息本文根据这些软件和硬件版本： Cisco身份服务引擎版本2.0 Patch4 思科Firepower 6.1.0 虚拟无线局域网控制器(vWLC)   本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。   配置   此条款用Firepower不包括ISE集成初始配置，与激活目录(AD)的ISE集成，与AD的Firepower集成。 对于此信息请导航对References部分。Firepower 6.1修正模块允许Firepower系统使用ISE ANC功 能(检疫、unquarantine，端口关闭)作为修正，当关联规则匹配时。 Note:端口关闭为无线部署不是可用的   网络图       流说明： 1. 客户端连接对网络，验证与ISE并且点击与准许对网络的无限制访问的授权配置文件的一个授 权规则 2. 从客户端的流量然后流经Firepower设备 3. 用户开始执行恶意活动并且点击反过来触发Firepower管理中心的关联规则(FMC)通过pxGrid执 行ISE修正 4. ISE分配EPSStatus检疫到终端并且触发RADIUS授权崔凡吉莱对网络接入设备(WLC或交换机) 5. 客户端点击分配限制访问的另一项授权策略(对门户的更改SGT或重定向或拒绝访问) Note:应该配置网络接入设备(纳季)发送认为的RADIUS到ISE为了提供它用于映射IP地址到终 端的IP地址信息   配置   Firepower配置   步骤1.配置pxGrid缓解实例   导航对策略操作实例并且添加pxGrid缓解实例     步骤2.配置修正   有两类型联机：缓和目的地并且缓和来源。在此示例来源使用缓解。选择修正类型并且单击添加     分配缓解操作到修正：   步骤3.配置关联规则   导航对策略相关性规则管理并且单击创建规则关联规则是修正的触发能发生。关联规则能包含几 个情况。在此示例关联规则PingDC点击，如果入侵事件发生，并且目的IP地址是21。 匹配ICMP echo应答的自定义入侵规则为测验的目的配置。     步骤4.配置相关性策略   导航对策略相关性Policy管理并且单击创建策略 ，增加规则到策略并且分配对它的答复     启用相关性策略   ISE配置   步骤1.配置自适应网络控制(ANC)策略列表   导航对操作自适应网络控制Policy列表并且单击添加比分配ANC操作到策略   步骤2.配置授权策略   导航对策略授权并且添加将点击的一项新的授权策略，在修正发生后。使用会话：EPSStatus等于 检疫作为情况。有可以使用结果的几个选项： 允许访问并且分配不同的SGT (请强制执行在网络设备的访问控制限制) 拒绝访问(用户应该插入在网络外面，并且不应该能再连接) 对黑名单门户的重定向(在此方案自定义热点门户为此配置       自定义Portal配置   在本例中热点门户配置作为黑名单。有与自定义文本的仅一个AUP页，并且没有接受AUP的可能性 (这执行与Javascript)。为了达到您首先需要启用Javascript然后粘贴代码隐藏AUP按钮和控制在门 户自定义配置方面的此。   步骤1. Enable (event) Javascript   导航对管理System Admin Access