فهم الأحداث في FirePOWER التي تم نشرها في الوضع الشفاف
المقدمة
يوضح هذا المستند كيفية عرض الأحداث عند نشر FTD في الوضع الشفاف مع أنواع مختلفة من مجموعات الأسطر الداخلية.
الهدف
لتوضيح سلوك أحداث الاتصال في FMC عند نشر FTD في وضع شفاف باستخدام تكوين مجموعة داخلية.
المخطط
المكونات المستخدمة
- جهاز افتراضي للكمبيوتر
- المحول C9200L-48P-4X-E (محول L3)
- Firepower 4125 | 7.6
- FMCv | 7.6
- ASA 5508
- ISR4451-2 (موجه)
السيناريو الأساسي
عندما يحتوي تكوين مجموعة داخلية واحد على FirePOWER 4125 على زوجين محددين من الواجهة
إيثرنت 1/3 ( Inside-1)
إيثرنت 1/5 (خارجي 1)
إيثرنت 1/4 (داخل-2)
إيثرنت 1/6 (خارجي 2)
نظرة عامة على التكوين
محول L3
منفذ-channel 2 ( gig 1/0/45-46)
ASA 5508
منفذ-channel 2 (Gig 1/3-4)
يتم نشر ASA في وضع الذراع الواحد الذي يعني أن حركة المرور تدخل وتخرج ASA من خلال نفس قناة الميناء أي يكون port-channel 2.
شكلت Port-channel على ASA ومفتاح أن يحمل توازن الحركة مرور بين الإثنان.
تم تسجيل Firepower 4125 إلى FMCv.
FMCv
التكوين
نهج ما قبل التصفية:
قاعدة ما قبل التصفية الداخلية - الخارجية مع مسار سريع للإجراء.
كائن واجهة المصدر : كائن واجهة الوجهة الداخلية_1 : خارجي_1.
يتم تكوين نهج التحكم في الوصول باستخدام السماح بأي شيء.
سلوك مراقب
السيناريو 1
حركة مرور ICMP التي يتم إنشاؤها من VM-PC الموجهة إلى ISR4451-2(الموجه) :
تأخذ حركة مرور ICMP المسار:
VM-PC — L3Switch — FPR4125 — ASA 5508 — FPR4125 — L3 مفتاح — موجه ISR.
لا يظهر سوى حدث اتصال واحد في حدث اتصال FMC لأن حركة مرور ICMP تدخل من خلال نفس الزوج الداخلي (INSIDE-2>EXTERNAL2) في FPR 4125.
Policy-Based Routing (PBR) is configured on the switch interfaces connected to the firewall and router. This was necessary because, when a PC tries to communicate with the ISR router's IP address, it does not send traffic to the FTD or ASA by default since the router is directly connected to the switch. According to the switch's routing table, the PC and router communicate directly with each other.
للوفاء بمتطلباتنا الخاصة بتفتيش حركة المرور من خلال FTD، احتجنا إلى تكوين PBR لإعادة توجيه حركة المرور (كلا الطلبات والاستجابات) عبر FTD. لذلك، قمنا بتكوين PBR على واجهات المحول المتصلة بالكمبيوتر الشخصي والموجه.
السيناريو 2
حركة مرور ICMP التي يتم إنشاؤها من VM-PC الموجهة إلى ISR4451-2(الموجه) :
تأخذ حركة مرور ICMP المسار:
VM-PC — L3Switch — FPR4125 — ASA 5508 — FPR4125 — L3 مفتاح — موجه ISR.
عندما نقوم بفصل تكوين زوج السطر في مجموعتين داخليتين مختلفتين كما هو موضح في الشكل أعلاه. تفرز حركة المرور FTD عبر INSIDE-1 وتدخل عبر EXTERNAL2.
وبالتالي يتم إستخدام مجموعتين داخليتين .
عند مراقبة أحداث الاتصال على FMC، نرى حدثين للاتصال، أحدهما لحركة المرور الصادرة والآخر لحركة المرور الواردة.
يكمن السبب وراء هذا السلوك في أنه عندما تستخدم حركة المرور على FTD زوجين داخليين مختلفين لحركة المرور نفسها، فإننا نرى دائما حادثي اتصال على FMC.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
25-Dec-2024 |
الإصدار الأولي |
التعليقات