FlexConfig 정책 개요
FlexConfig 정책은 순서가 지정된 FlexConfig 개체 목록의 컨테이너입니다. 각 개체에는 일련의 Apache Velocity 스크립팅 언어 명령, ASA 소프트웨어 구성 명령 및 사용자 정의 변수가 포함됩니다. 각 FlexConfig 개체의 내용은 ASA 명령 시퀀스를 생성하는 프로그램이며, 이는 지정된 디바이스에 구축됩니다. 그런 다음 이 명령 시퀀스에 의해 threat defense 디바이스에서 관련 기능이 구성됩니다.
Threat Defense ASA 구성 명령을 사용하여 일부 기능(모든 기능이 아님)을 구현합니다. threat defense 구성 명령의 고유 집합은 없습니다. 대신, FlexConfig를 사용하면 management center 정책 및 설정을 통해 직접 지원되지 않는 기능을 구성할 수 있습니다.
 경고 |
ASA에 대한 강력한 배경 지식을 보유하고 있으며 사용에 대한 전적인 책임을 질 수 있는 고급 사용자인 경우에만 FlexConfig 정책을 사용하는 것이 좋습니다. 금지되지 않은 모든 명령을 구성할 수 있습니다. FlexConfig 정책을 통해 기능을 활성화하는 경우, 구성되어 있는 다른 기능과 함께 의도하지 않은 결과를 초래할 수 있습니다. 구성한 FlexConfig 정책과 관련된 지원을 받기 위해 Cisco TAC(Technical Assistance Center)에 문의할 수 있습니다. Cisco TAC(Technical Assistance Center)에서는 고객을 대신하여 맞춤형 구성을 설계하거나 작성하지 않습니다. Cisco에서는 올바른 작동이나 기타 Firepower System 기능과의 상호운용성에 대해 어떠한 보증도 명시하지 않습니다. FlexConfig 기능은 언제든지 사용이 중지될 수 있습니다. 완벽하게 보장되는 기능을 지원받으려면 management center의 지원을 기다려야 합니다. 의심스러운 경우에는 FlexConfig를 사용하지 마십시오. |
FlexConfig 정책에 대한 추천 사용
FlexConfig에는 다음과 같이 권장되는 주요 사용 방법이 두 가지 있습니다.
-
ASA에서 threat defense로 변환하는 중이며 management center에서 직접 지원하지 않는 호환 가능한 기능을 현재 사용 중이고 계속 사용해야 하는 경우, 이 경우, ASA에서 show running-config 명령을 사용하여 해당 기능에 대한 구성을 확인하고 FlexConfig 개체를 생성하여 해당 기능을 구현하십시오. 적절한 설정을 가져오려면 개체의 구축 설정을 실험합니다(한 번/항상 추가 /추가). 두 디바이스에서 show running-config 출력을 비교하여 확인합니다.
-
threat defense를 사용 중이지만 구성해야 하는 설정 또는 기능이 있는 경우(예: Cisco TAC(Technical Assistance Center)에서 발생한 특정 문제를 해결하려면 특정 설정이 필요하다고 알려주는 경우), 복잡한 기능에 대해서는 랩 디바이스를 사용하여 FlexConfig를 테스트하고 정상적으로 작동하는지 확인합니다.
시스템에는 테스트된 구성을 나타내는 사전 정의된 FlexConfig 개체 집합이 포함되어 있습니다. 필요한 기능이 이러한 개체로 표시되지 않는 경우 먼저 표준 정책에서 동일한 기능을 구성할 수 있는지 확인합니다. 예를 들어, 액세스 제어 정책에 침입 탐지 및 방지, HTTP 및 기타 프로토콜 검사 유형, URL 필터링, 애플리케이션 필터링, 액세스 제어(ASA에서는 별도의 기능을 사용하여 구현함)가 포함된 경우, 많은 기능이 CLI 명령을 사용하여 컨피그레이션된 것이 아니므로 show running-config 의 출력 내에 모든 정책이 표시되지는 않습니다.
 참고 |
ASA와 threat defense는 일대일로 중복되지 않는다는 점을 항상 기억해야 합니다. threat defense 디바이스에서 ASA 컨피그레이션을 완벽하게 재생성하려고 시도하지 마십시오. FlexConfig를 사용하여 구성하는 모든 기능은 신중히 테스트해야 합니다. |
FlexConfig 개체의 CLI 명령
threat defense는 ASA 구성 명령을 사용하여 일부 기능을 구성합니다. 모든 ASA 기능이 threat defense에서 호환되는 것은 아니지만, threat defense에서는 작업 가능하나 management center 정책에서는 구성할 수 없는 기능도 일부 있습니다. FlexConfig 개체를 사용하여 이러한 기능을 구성하는 데 필요한 CLI를 지정할 수 있습니다.
FlexConfig를 사용하여 기능을 수동으로 구성하려는 경우, 적절한 구문에 따라 명령을 파악하고 구현해야 합니다. FlexConfig 정책은 CLI 명령 구문을 검증하지 않습니다. 적절한 구문 및 CLI 명령 구성에 대한 자세한 내용을 확인하려면 ASA 설명서를 참조하십시오.
-
ASA CLI 컨피그레이션 가이드에서는 기능을 구성하는 방법에 대해 설명합니다. 가이드 위치: https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-installation-and-configuration-guides-list.html
-
ASA 명령 참조에서는 명령 이름을 기준으로 정렬된 추가 정보를 제공합니다. 참조 위치: https://www.cisco.com/c/en/us/support/security/adaptive-security-appliance-asa-software/products-command-reference-list.html
다음 주제에서는 컨피그레이션 명령에 대해 자세히 설명합니다.
ASA 소프트웨어 버전 및 현재 CLI 컨피그레이션 확인
시스템이 ASA 소프트웨어 명령을 사용하여 일부 기능을 구성하므로 threat defense 디바이스에서 실행 중인 소프트웨어에서 사용되는 현재 ASA 버전을 확인해야 합니다. 이 버전 번호에 따라 기능 구성 시 어떤 ASA CLI 컨피그레이션 가이드를 참조해야 하는지 알 수 있습니다. 또한 현재 CLI 기반 컨피그레이션을 확인하고, 구현하려는 ASA 컨피그레이션과 이를 비교합니다.
모든 ASA 컨피그레이션은 threat defense 컨피그레이션과 매우 다릅니다. threat defense 정책은 CLI 외부에서 구성되는 경우가 많아서 명령을 보고 컨피그레이션을 확인할 수가 없습니다. ASA와 threat defense 컨피그레이션 간에 일대일 대응 관계를 생성하지 마십시오.
이 정보를 확인하려면 디바이스 관리 인터페이스에 대한 SSH 연결을 설정하고 다음 명령을 실행합니다.
-
show version system Cisco Adaptive Security Appliance 소프트웨어 버전 번호를 찾습니다. (Secure Firewall Management Center CLI 도구를 통해 명령을 실행하는 경우 system 키워드를 생략합니다.)
-
show running-config 현재 CLI 컨피그레이션을 확인합니다.
-
show running-config all 현재 CLI 구성의 모든 기본 명령을 포함합니다.
다음 절차를 사용하여 management center 내에서 이 명령을 실행할 수도 있습니다.
프로시저
|
단계 1 |
를 선택합니다. |
|
단계 2 |
FlexConfig 정책이 대상으로 하는 디바이스의 이름을 클릭합니다. 상태 테이블의 Count(개수) 열에서 열기/닫기 화살표를 클릭하여 모든 디바이스를 볼 수 있습니다. |
|
단계 3 |
View System and Troubleshoot Details(시스템 및 문제 해결 상세정보 보기)를 클릭합니다. |
|
단계 4 |
Advanced Troubleshooting(고급 문제 해결)을 클릭합니다. |
|
단계 5 |
Threat Defense CLI(위협 방어 CLI)를 클릭합니다. |
|
단계 6 |
Device(디바이스)를 선택한 다음, 명령으로 show를 선택하고 매개변수로 version 또는 다른 명령 중 하나를 입력합니다. |
|
단계 7 |
Execute(실행)를 클릭합니다. 버전의 경우 Cisco Adaptive Security Appliance 소프트웨어 버전 번호의 출력을 검색합니다. 출력을 선택하고 Ctrl+C를 누른 다음 나중에 분석할 수 있도록 텍스트 파일에 붙여 넣을 수 있습니다. |
금지된 CLI 명령
FlexConfig의 목적은 management center를 사용하여 threat defense 디바이스에서는 구성할 수 없으나 ASA 디바이스에서는 사용 가능한 기능을 구성하는 것입니다.
따라서 management center에서 동일한 역할을 하는 ASA 기능을 구성할 수 없습니다. 다음 표에는 이러한 금지된 명령 영역 중 일부가 나와 있습니다.
또한 일부 clear 명령은 관리 정책과 중복되기 때문에 금지되며, 관리 정책에 대한 구성의 일부를 삭제할 수 있습니다.
FlexConfig 개체 편집기를 사용하면 개체에 금지된 명령을 포함할 수 없습니다.
|
금지된 CLI 명령 |
설명 |
|---|---|
|
AAA |
차단된 구성. |
|
AAA-Server |
차단된 구성. |
|
Access-list |
고급 ACL, 확장 ACL 및 표준 ACL이 차단됩니다. 이더 타입 ACL은 허용됩니다. 템플릿 내의 개체 관리자에 정의된 표준 및 확장 ACL 개체를 변수로 사용할 수 있습니다. |
|
ARP 감시 |
차단된 구성. |
|
As-path Object |
차단된 구성. |
|
배너 |
차단된 구성. |
|
BGP |
차단된 구성. |
|
클럭 |
차단된 구성. |
|
Community-list Object |
차단된 구성. |
|
카피 |
차단된 구성. |
|
삭제 |
차단된 구성. |
|
DHCP |
차단된 구성. |
|
Enable Password(활성화 비밀번호) |
차단된 구성. |
|
Erase |
차단된 구성. |
|
Fragment Setting |
차단됨(fragment reassembly 제외). |
|
Fsck |
차단된 구성. |
|
HTTP |
차단된 구성. |
|
ICMP |
차단된 구성. |
|
인터페이스 |
nameif, mode, shutdown, ip address 및 mac-address 명령만 차단됩니다. |
|
멀티캐스트 라우팅 |
차단된 구성. |
|
NAT |
차단된 구성. |
|
Network Object/Object-group |
FlexConfig 개체에서의 네트워크 개체 생성은 차단되어 있지만, 템플릿 내부에서 개체 관리자에 정의되어 있는 네트워크 개체 및 그룹을 변수로 사용할 수는 있습니다. |
|
NTP |
차단된 구성. |
|
OSPF/OSPFv3 |
차단된 구성. |
|
pager |
차단된 구성. |
|
비밀번호 암호화 |
차단된 구성. |
|
Policy-list Object |
차단된 구성. |
|
Prefix-list Object |
차단된 구성. |
|
재로드 |
reload 명령은 예약할 수 없습니다. 시스템에서는 reload 명령이 아닌 reboot 명령을 사용해 재시작합니다. |
|
RIP |
차단된 구성. |
|
Route-Map Object |
FlexConfig 개체에서의 경로 맵 개체 생성은 차단되어 있지만, 템플릿 내부에서 개체 관리자에 정의되어 있는 경로 맵 개체를 변수로 사용할 수는 있습니다. |
|
Service Object/Object-group |
FlexConfig 개체에서의 서비스 개체 생성은 차단되어 있지만, 템플릿 내부에서 개체 관리자에 정의되어 있는 포트 개체를 변수로 사용할 수는 있습니다. |
|
SNMP |
차단된 구성. |
|
SSH |
차단된 구성. |
|
고정 경로 |
차단된 구성. |
|
시스템 로그 |
차단된 구성. |
|
시간 동기화 |
차단된 구성. |
|
시간 초과 |
차단된 구성. |
|
VPN |
차단된 구성. |
템플릿 스크립트
스크립팅 언어를 사용하여 FlexConfig 개체 내에서 처리를 제어할 수 있습니다. 스크립팅 언어 명령어는 루프, if/else 문 및 변수를 지원하는 Java 기반 스크립팅 언어인 Apache Velocity 1.3.1 템플릿 엔진에서 지원되는 명령의 하위 집합입니다.
스크립팅 언어 사용 방법을 알아보려면 http://velocity.apache.org/engine/devel/developer-guide.html에서 Velocity Developer Guide를 참조하십시오.
FlexConfig 변수
명령 또는 처리 지침의 일부가 정적 정보가 아닌 실행 정보에 따라 달라지는 경우 FlexConfig 개체에서 변수를 사용할 수 있습니다. 구축하는 동안 변수는 변수 유형에 따라 디바이스의 다른 구성에서 얻은 문자열로 대체됩니다.
-
정책 개체 변수는 management center에 정의된 개체에서 가져온 문자열로 대체됩니다.
-
시스템 변수는 디바이스 자체 또는 디바이스에 대해 구성된 정책에서 얻은 정보로 대체됩니다.
-
스크립팅 명령이 처리될 때 처리 변수에는 정책 개체 또는 시스템 변수의 내용이 로드됩니다. 예를 들어, 루프에서 정책 개체 또는 시스템 변수에서 하나의 값을 처리 변수로 반복적으로로드한 다음 해당 처리 변수를 사용하여 명령 문자열을 구성하거나 다른 작업을 수행합니다. 이러한 처리 변수는 FlexConfig 개체의 변수 목록에 표시되지 않습니다 또한 FlexConfig 개체 편집기의 Insert(삽입) 메뉴를 사용하여 추가하지 마십시오.
-
비밀 키 변수는 FlexConfig 개체 내의 변수에 대해 정의된 단일 문자열로 대체됩니다.
변수는 @ 문자로 시작하는 비밀 키를 제외하고는 $ 문자로 시작합니다. 예를 들어 $ifname은 다음 명령에서 정책 개체 변수인 반면, @keyname은 비밀 키입니다.
interface $ifname
key @keyname
참고 |
정책 개체 또는 시스템 변수를 처음 삽입할 때 FlexConfig 개체 편집기의 Insert(삽입) 메뉴를 통해 정책 개체 또는 시스템 변수를 삽입해야 합니다. 이 작업은 변수를 FlexConfig 개체 편집기의 하단에 있는 Variables(변수) 목록에 추가합니다. 하지만 시스템 변수를 사용하는 경우에도 그 다음 사용 시 변수 문자열을 입력해야 합니다. 개체 또는 시스템 변수 할당이 없는 처리 변수를 추가하는 경우 Insert(삽입) 메뉴를 사용하지 마십시오. 비밀 키를 추가하는 경우 항상 Insert(삽입) 메뉴를 사용하십시오. 비밀 키 변수는 변수 목록에 표시되지 않습니다. |
변수가 단일 문자열, 문자열 목록 또는 값 테이블로 확인되는지 여부는 변수에 할당한 정책 개체 또는 시스템 변수의 유형에 따라 다릅니다. (비밀 키는 항상 단일 문자열로 확인됩니다.) 변수를 올바르게 처리하기 위해 반환할 내용을 이해해야 합니다.
다음 주제는 다양한 유형의 변수와 이러한 변수를 처리하는 방법을 설명합니다.
변수 처리 방법
실행 시간에서 변수는 단일 문자열, 동일한 유형의 문자열 목록, 다른 유형의 문자열 목록 또는 이름이 지정된 값의 테이블로 확인될 수 있습니다. 또한 여러 값으로 확인되는 변수는 확실하거나 불확실한 길이일 수 있습니다. 값을 올바르게 처리하기 위해 반환할 내용을 이해해야 합니다.
다음은 기본 가능성입니다.
단일 값 변수
변수가 항상 단일 문자열로 확인되는 경우 FlexConfig 스크립트에서 변수의 수정 없이 직접 사용하십시오.
예를 들어 사전 정의된 텍스트 변수 tcpMssBytes는 항상 단일 값(숫자여야 함)으로 확인됩니다. 그런 다음 Sysopt_basic FlexConfig는 if/then/else 구조를 사용하여 또 다른 단일 값 텍스트 변수 tcpMssMinimum의 값을 기반으로 최대 세그먼트 크기를 설정합니다.
#if($tcpMssMinimum == "true")
sysopt connection tcpmss minimum $tcpMssBytes
#else
sysopt connection tcpmss $tcpMssBytes
#end
이 예에서는 FlexConfig 개체 편집기의 Insert(삽입) 메뉴를 사용하여 $tcpMssBytes의 첫 번째 사용을 추가하지만 변수를 #else 행에 직접 입력하기도 합니다.
비밀 키 변수는 단일 값 변수의 특수 유형입니다. 비밀 키의 경우 Insert(삽입) 메뉴를 사용하여 두 번째 상ㅇ 및 후속 사용을 위해 변수를 추가합니다. 이러한 변수는 FlexConfig 개체의 변수 목록에 표시되지 않습니다
참고 |
네트워크 개체의 정책 개체 변수는 호스트 주소, 네트워크 주소 또는 주소 범위와 같은 단일 IP 주소 사양과 동일합니다. 하지만 이 경우 ASA 명령에 특정 주소 유형이 필요하기 때문에 예상 주소 유형을 알아야 합니다. 예를 들어 명령에 호스트 주소가 필요한 경우 네트워크 주소가 포함된 개체를 가리키는 네트워크 개체 변수를 사용하면 구축 중에 오류가 발생합니다. |
다중 값 변수, 모든 값이 동일한 유형
여러 정책 개체 및 시스템 변수가 동일한 유형의 여러 값으로 확인됩니다. 예를 들어 네트워크 개체 그룹을 가리키는 개체 변수는 그룹 내의 IP 주소 목록으로 확인됩니다. 마찬가지로 시스템 변수 $SYS_FW_INTERFACE_NAME_LIST는 인터페이스 이름 목록으로 확인됩니다.
동일한 유형의 여러 값에 대한 텍스트 개체를 생성할 수도 있습니다. 예를 들어 사전 정의된 텍스트 개체인 enableInspectProtocolList는 둘 이상의 프로토콜 이름을 포함할 수 있습니다.
동일한 유형의 항목 목록으로 확인되는 여러 값 변수는 종종 불확실한 길이입니다. 예를 들어 사용자는 언제든지 인터페이스를 구성 또는 구성 해제할 수 있으므로 이름이 지정된 디바이스의 인터페이스 수를 미리 알 수 없습니다.
따라서 일반적으로 루프를 사용하여 동일한 유형의 여러 값 변수를 처리합니다. 예를 들어 사전 정의된 FlexConfig Default_Inspection_Protocol_Enable은 #foreach 루프를 사용하여 enableInspectProtocolList 개체를 탐색하고 각 값을 처리합니다.
policy-map global_policy
class inspection_default
#foreach ( $protocol in $enableInspectProtocolList)
inspect $protocol
#end
이 예에서 스크립트는 각 값을 차례대로 $protocol 변수에 할당합니다. 이 변수는 ASA inspect 명령에서 해당 프로토콜에 대한 검사 엔진을 활성화하는 데 사용됩니다. 이 경우 변수 이름으로 $protocol을 입력하기만 하면 됩니다. 개체 또는 시스템 값을 변수에 할당하지 않으므로 Insert(삽입) 메뉴를 사용하여 추가하지 마십시오. 하지만 $enableInspectProtocolList를 추가하려면 Insert(삽입) 메뉴를 사용해야 합니다.
시스템은 $enableInspectProtocolList에 값이 남아 있지 않을 때까지 #foreach와 #end 사이의 코드를 반복합니다.
다중 값 변수, 값이 다른 유형
여러 개의 값 텍스트 개체를 만들 수 있지만 각 값은 다른 용도로 사용됩니다. 예를 들어 사전 정의된 netflow_Destination 텍스트 개체는 인터페이스 이름, 대상 IP 주소 및 UDP 포트 번호 순으로 3개의 값을 가져야 합니다.
이 방법으로 정의된 개체는 확실한 수의 값을 가져야 합니다. 그렇지 않으면 처리가 어려울 수 있습니다.
이러한 개체를 처리하려면 get 메서드를 사용합니다. 개체 이름 끝에 .get(n) 을 입력하여 n 을 개체의 인덱스를 대체합니다. 텍스트 개체가 1에서 시작하는 값을 나열하더라도 0에서 계산이 시작됩니다.
예를 들어 Netflow_Add_Destination 개체는 다음 줄을 사용하여 netflow_Destination의 3가지 값을 ASA flow-export 명령에 추가합니다.
flow-export destination $netflow_Destination.get(0) $netflow_Destination.get(1)
$netflow_Destination.get(2)
이 예에서는 FlexConfig 개체 편집기의 Insert(삽입) 메뉴를 사용하여 $netflow_Destination의 첫 번째 사용을 추가한 다음 .get(0)을 추가합니다. 하지만 $netflow_Destination.get(1) 및 $netflow_Destination.get(2) 사양에 대한 변수를 직접 입력해야 합니다.
값 테이블을 확인하는 다중 값 변수
일부 시스템 변수는 값의 테이블을 반환합니다. 이러한 변수에는 이름에 MAP이 포함됩니다(예: $SYS_FTD_ROUTED_INTF_MAP_LIST). 라우팅된 인터페이스 맵은 다음과 같은 데이터를 반환합니다(명확성을 위해 줄바꿈이 추가됨).
[{intf_hardwarare_id=GigabitEthernet0/0, intf_ipv6_eui64_addresses=[],
intf_ipv6_prefix_addresses=[], intf_subnet_mask_v4=255.255.255.0,
intf_ip_addr_v4=10.100.10.1, intf_ipv6_link_local_address=,
intf_logical_name=outside},
{intf_hardwarare_id=GigabitEthernet0/1, intf_ipv6_eui64_addresses=[],
intf_ipv6_prefix_addresses=[], intf_subnet_mask_v4=255.255.255.0,
intf_ip_addr_v4=10.100.11.1, intf_ipv6_link_local_address=,
intf_logical_name=inside},
{intf_hardwarare_id=GigabitEthernet0/2, intf_ipv6_eui64_addresses=[],
intf_ipv6_prefix_addresses=[], intf_subnet_mask_v4=, intf_ip_addr_v4=,
intf_ipv6_link_local_address=, intf_logical_name=},
{intf_hardwarare_id=Management0/0, intf_ipv6_eui64_addresses=[],
intf_ipv6_prefix_addresses=[], intf_subnet_mask_v4=, intf_ip_addr_v4=,
intf_ipv6_link_local_address=, intf_logical_name=diagnostic}]
위의 예에서는 4개의 인터페이스에 대한 정보가 반환됩니다. 각 인터페이스는 명명된 값의 테이블을 포함합니다. 예를 들어 intf_hardwarare_id는 인터페이스 하드웨어 이름 속성의 이름이고 GigabitEthernet0/0과 같은 문자열을 반환합니다.
이 유형의 변수는 일반적으로 길이가 일정하지 않으므로 루핑을 사용하여 값을 처리해야 합니다. 하지만 검색할 값을 나타내기 위해 변수 이름에 속성 이름을 추가해야 합니다.
예를 들어 IS-IS 구성에서는 인터페이스 구성 모드에서 논리적 이름이 있는 인터페이스에 ASA isis 명령을 추가해야 합니다. 하지만 인터페이스의 하드웨어 이름을 사용하여 해당 모드를 입력합니다. 따라서 논리적 이름이 있는 인터페이스를 확인한 다음 해당 하드웨어 이름을 사용하여 해당 인터페이스만 구성해야 합니다. 사전 정의된 ISIS_Interface_Configuration FlexConfig는 루프에 중첩된 if/then 구조를 사용하여 이 작업을 수행합니다. 다음 코드에서는 #foreach 스크립팅 명령이 각 인터페이스 맵을 $ intf 변수로 로드한 다음 #if 문이 맵($intf.intf_logical_name)의 intf_logical_name 값을 해제한다는 것을 알 수 있으며, 값이 isisIntfList 사전 정의 텍스트 변수에 정의된 목록에 있으면 intf_hardwarare_id 값($intf.intf_hardwarare_id)을 사용하여 인터페이스 명령을 입력합니다. ISIS를 구성할 인터페이스의 이름을 추가하려면 isisIntfList 변수를 편집해야 합니다.
#foreach ($intf in $SYS_FTD_ROUTED_INTF_MAP_LIST)
#if ($isIsIntfList.contains($intf.intf_logical_name))
interface $intf.intf_hardwarare_id
isis
#if ($isIsAddressFamily.contains("ipv6"))
ipv6 router isis
#end
#end
#end
값이 디바이스에 대해 반환하는 사항을 확인하는 방법
변수가 반환할 값을 평가할 수 있는 간단한 방법은 주석이 있는 변수 목록을 처리하는 작업만 수행하는 간단한 FlexConfig 개체를 생성하는 것입니다. 그런 다음 FlexConfig 정책에 할당하고, 디바이스에 정책을 할당하고, 정책을 저장한 다음 해당 디바이스의 구성을 미리 볼 수 있습니다. 미리보기에 확인된 값이 표시됩니다. 미리보기 텍스트를 선택하고 Ctrl+C를 누른 다음 분석할 수 있도록 텍스트 파일에 출력을 붙여 넣을 수 있습니다.
참고 |
하지만 유효한 구성 명령이 포함되어 있지 않으므로 이 FlexConfig를 디바이스에 구축하지 마십시오. 구축 오류가 발생할 수 있습니다. 미리보기를 얻은 후 FlexConfig 정책에서 FlexConfig 개체를 삭제하고 정책을 저장합니다. |
예를 들어 다음 FlexConfig 개체를 구성할 수 있습니다.
Following is a network object group variable for the
IPv4-Private-All-RFC1918 object:
$IPv4_Private_addresses
Following is the system variable SYS_FW_MANAGEMENT_IP:
$SYS_FW_MANAGEMENT_IP
Following is the system variable SYS_FW_ENABLED_INSPECT_PROTOCOL_LIST:
$SYS_FW_ENABLED_INSPECT_PROTOCOL_LIST
Following is the system variable SYS_FTD_ROUTED_INTF_MAP_LIST:
$SYS_FTD_ROUTED_INTF_MAP_LIST
Following is the system variable SYS_FW_INTERFACE_NAME_LIST:
$SYS_FW_INTERFACE_NAME_LIST
이 개체의 미리보기는 다음과 유사할 수 있습니다(명확성을 위해 줄바꿈이 추가됨).
###Flex-config Prepended CLI ###
###CLI generated from managed features ###
###Flex-config Appended CLI ###
Following is an network object group variable for the
IPv4-Private-All-RFC1918 object:
[10.0.0.0, 172.16.0.0, 192.168.0.0]
Following is the system variable SYS_FW_MANAGEMENT_IP:
192.168.0.171
Following is the system variable SYS_FW_ENABLED_INSPECT_PROTOCOL_LIST:
[dns, ftp, h323 h225, h323 ras, rsh, rtsp, sqlnet, skinny, sunrpc,
xdmcp, sip, netbios, tftp, icmp, icmp error, ip-options]
Following is the system variable SYS_FTD_ROUTED_INTF_MAP_LIST:
[{intf_hardwarare_id=GigabitEthernet0/0, intf_ipv6_eui64_addresses=[],
intf_ipv6_prefix_addresses=[], intf_subnet_mask_v4=255.255.255.0,
intf_ip_addr_v4=10.100.10.1, intf_ipv6_link_local_address=,
intf_logical_name=outside},
{intf_hardwarare_id=GigabitEthernet0/1, intf_ipv6_eui64_addresses=[],
intf_ipv6_prefix_addresses=[], intf_subnet_mask_v4=255.255.255.0,
intf_ip_addr_v4=10.100.11.1, intf_ipv6_link_local_address=,
intf_logical_name=inside},
{intf_hardwarare_id=GigabitEthernet0/2, intf_ipv6_eui64_addresses=[],
intf_ipv6_prefix_addresses=[], intf_subnet_mask_v4=, intf_ip_addr_v4=,
intf_ipv6_link_local_address=, intf_logical_name=},
{intf_hardwarare_id=Management0/0, intf_ipv6_eui64_addresses=[],
intf_ipv6_prefix_addresses=[], intf_subnet_mask_v4=, intf_ip_addr_v4=,
intf_ipv6_link_local_address=, intf_logical_name=diagnostic}]
Following is the system variable SYS_FW_INTERFACE_NAME_LIST:
[outside, inside, diagnostic]
FlexConfig 정책 개체 변수
정책 개체 변수는 개체 관리자에 구성된 특정 정책 개체와 연결됩니다. FlexConfig 개체에 정책 개체 변수를 삽입하면 변수에 이름을 지정하고 연결된 개체를 선택합니다.
변수에 연결된 개체와 정확히 동일한 이름을 지정할 수 있지만 변수 자체는 연결된 개체와 동일한 것이 아닙니다. FlexConfig 개체 편집기의 메뉴를 사용하여 FlexConfig의 스크립트에 처음으로 변수를 추가하여 개체와의 연결을 설정해야 합니다. $ 기호 앞에 개체의 이름을 입력하기만 하면 정책 개체 변수가 생성되지 않습니다.
다음 유형의 개체를 가리키는 변수를 생성할 수 있습니다. 각 변수에 대해 올바른 유형의 개체를 생성했는지 확인하십시오. 개체를 생성하려면 페이지로 이동합니다.
-
Text Objects(텍스트 개체) - 텍스트 문자열의 경우 IP 주소, 숫자 및 인터페이스 또는 영역 이름과 같은 기타 자유 형식 텍스트를 포함할 수 있습니다. 목차에서 를 선택한 다음 Add Text Object(텍스트 개체 추가)를 클릭합니다. 단일 값 또는 다중 값을 포함하도록 이 개체를 구성할 수 있습니다. 이러한 개체는 매우 유연하며 FlexConfig 개체 내에서 사용하도록 특수하게 생성됩니다. 자세한 내용은 FlexConfig 텍스트 개체 설정의 내용을 참조하십시오.
-
Network(네트워크) - IP 주소 목적입니다. 네트워크 개체 또는 그룹을 사용할 수 있습니다. 목차에서 Network(네트워크)를 선택한 다음 또는 Add Group(그룹 추가)를 선택합니다. 그룹 개체를 사용하는 경우 변수는 그룹 내의 각 IP 주소 사양 목록을 반환합니다. 주소는 개체 내용에 따라 호스트, 네트워크 또는 주소 범위가 될 수 있습니다. 네트워크의 내용을 참조하십시오.
-
Security Zones(보안 영역) - 보안 영역 또는 인터페이스 그룹 내의 인터페이스 목적입니다. 목차에서 Interface(인터페이스)를 선택한 다음 또는 Interface Group(인터페이스 그룹)을 선택합니다. 보안 영역 변수는 구성 중인 디바이스에 대한 해당 영역 또는 그룹 내의 인터페이스 목록을 반환합니다. Interface(인터페이스)의 내용을 참조하십시오.
-
Standard ACL Object(표준 ACL 개체) - 표준 액세스 제어 목록 목적입니다. 표준 ACL 변수는 표준 ACL 개체의 이름을 반환합니다. 목차에서 를 선택한 다음 Add Standard Access List Object(표준 액세스 목록 개체 추가)를 클릭합니다. 액세스 목록의 내용을 참조하십시오.
-
Extended ACL Object(확장된 ACL 개체) - 확장된 액세스 제어 목록 목적입니다. 확장된 ACL 변수는 확장된 ACL 개체의 이름을 반환합니다. 목차에서 를 선택한 다음 Add Extended Access List Object(확장된 액세스 목록 개체 추가)를 클릭합니다. 액세스 목록의 내용을 참조하십시오.
-
Route Map(경로 맵) - 경로 맵 개체 목적입니다. 경로 맵 변수는 경로 맵 개체의 이름을 반환합니다. 목차에서 Route Map(경로 맵)을 선택한 다음 Add Route Map(경로 맵 추가)를 클릭합니다. 경로 맵의 내용을 참조하십시오.
FlexConfig 시스템 변수
시스템 변수는이 대 한 구성 된 정책 또는 디바이스 자체에서 얻은 정보가으로 바뀝니다.
FlexConfig 개체 편집기의 메뉴를 사용하여 FlexConfig의 스크립트에 처음으로 변수를 추가하여 시스템 변수와의 연결을 설정해야 합니다. $ 기호가 앞에 오는 시스템 변수의 이름을 입력하는 것만으로는 FlexConfig 개체의 컨텍스트 내에서 시스템 변수가 생성되지 않습니다.
다음 테이블에서는 사용 가능한 시스템 변수를 설명합니다. 변수를 사용하기 전에 일반적으로 변수에 대해 반환되는 항목을 검사하십시오. 값이 디바이스에 대해 반환하는 사항을 확인하는 방법 섹션을 참조하십시오.
|
이름 |
설명 |
|---|---|
|
SYS_FW_OS_MODE |
디바이스의 운영 체제 모드입니다. 가능한 값은 ROUTED 또는 TRANSPARENT입니다. |
|
SYS_FW_OS_MULTIPLICITY |
디바이스가 단일 또는 다중 컨텍스트 모드로 실행 중인지 여부입니다. 가능한 값은 SINGLE, MULTI 또는 NOT_APPLICABLE입니다. |
|
SYS_FW_MANAGEMENT_IP |
디바이스의 관리되는 IP 주소 |
|
SYS_FW_HOST_NAME |
디바이스 호스트네임 |
|
SYS_FTD_INTF_POLICY_MAP |
인터페이스 이름을 키로, 정책 맵을 값으로 하는 맵입니다. 이 변수는 디바이스에 정의된 인터페이스 기반 서비스 정책이 없는 경우 아무 것도 반환하지 않습니다. |
|
SYS_FW_ENABLED_INSPECT_PROTOCOL_LIST |
검사가 활성화되는 프로토콜 목록입니다. |
|
SYS_FTD_ROUTED_INTF_MAP_LIST |
디바이스에서 라우팅된 인터페이스 맵 목록입니다. 각 맵에는 라우팅된 인터페이스 구성과 관련된 명명된 값 집합이 포함되어 있습니다. |
|
SYS_FTD_SWITCHED_INTF_MAP_LIST |
디바이스에서 전환된 인터페이스 맵 목록입니다. 각 맵에는 전환된 인터페이스 구성과 관련된 명명된 값 집합이 포함되어 있습니다. |
|
SYS_FTD_INLINE_INTF_MAP_LIST |
디바이스의 인라인 인터페이스 맵 목록입니다. 각 맵에는 인라인 설정 인터페이스 구성과 관련된 명명된 값 집합이 포함되어 있습니다. |
|
SYS_FTD_PASSIVE_INTF_MAP_LIST |
디바이스의 수동 인터페이스 맵 목록입니다. 각 맵에는 수동 인터페이스 구성과 관련된 명명된 값 집합이 포함되어 있습니다. |
|
SYS_FTD_INTF_BVI_MAP_LIST |
디바이스의 Bridge Virtual Interface 맵 목록입니다. 각 맵에는 BVI 구성과 관련된 명명된 값 집합이 포함되어 있습니다. |
|
SYS_FW_INTERFACE_HARDWARE_ID_LIST |
디바이스의 인터페이스에 대한 하드웨어 이름 목록(예: GigabitEthernet0/0)입니다. |
|
SYS_FW_INTERFACE_NAME_LIST |
디바이스의 인터페이스에 대한 논리적 이름 목록입니다(예: inside). |
|
SYS_FW_INLINE_INTERFACE_NAME_LIST |
수동 또는 ERSPAN 수동으로 구성된 인터페이스의 논리적 이름 목록입니다. |
|
SYS_FW_NON_INLINE_INTERFACE_NAME_LIST |
모든 라우팅된 인터페이스와 같이 인라인 집합에 속하지 않은 인터페이스의 논리적 이름 목록입니다. |
사전 정의된 FlexConfig 개체
사전 정의된 FlexConfig 개체는 선택된 기능에 대해 테스트된 구성을 제공합니다. 이러한 기능을 구성해야 하는 경우 이 개체를 사용하십시오. 그렇지 않은 경우 management center를 사용하여 구성할 수 없습니다.
다음 테이블에는 사용 가능한 개체가 나와 있습니다. 연결된 텍스트 개체를 적어 둡니다. 사전 정의된 FlexConfig 개체의 동작을 사용자 정의하려면 이러한 텍스트 개체를 편집해야 합니다. 텍스트 개체를 사용하면 네트워크 및 디바이스에 필요한 IP 주소 및 기타 속성을 사용하여 구성을 사용자 정의할 수 있습니다.
사전 정의된 FlexConfig 개체를 수정해야 할 경우 개체를 복사하고 복사본을 변경한 다음 새 이름으로 저장합니다. 사전 정의된 FlexConfig 개체를 직접 편집할 수 없습니다.
FlexConfig를 사용하여 다른 ASA 기반 기능을 구성할 수도 있지만 이러한 기능의 구성은 테스트되지 않았습니다. ASA 기능이 management center 정책에서 구성할 수 있는 기능과 중복되는 경우 FlexConfig를 통해 구성하지 마십시오.
예를 들어 Snort 검사에는 HTTP 프로토콜이 포함되어 있으므로 ASA 스타일 HTTP 검사를 활성화하지 마십시오. (실제로 http 를 enableInspectProtocolList 개체에 추가할 수 없습니다. 이 경우 디바이스를 잘못 구성하는 것이 방지됩니다.) 대신, HTTP 검사 요구 사항을 구현하기 위해 필요에 따라 애플리케이션 또는 URL 필터링을 수행하도록 액세스 제어 정책을 구성합니다.
|
FlexConfig 개체 이름 |
설명 |
연결된 텍스트 개체 |
|---|---|---|
|
Default_Inspection_Protocol_Disable |
global_policy 기본 정책 맵에서 프로토콜을 비활성화합니다. |
disableInspectProtocolList |
|
Default_Inspection_Protocol_Enable |
global_policy 기본 정책 맵에서 프로토콜을 활성화합니다. |
enableInspectProtocolList |
|
Inspect_IPv6_Configure |
global_policy 정책 맵에서 IPv6 검사를 구성하고 IPv6 헤더 내용을 기반으로 트래픽을 기록 및 삭제합니다. |
IPv6RoutingHeaderDropLogList, IPv6RoutingHeaderLogList, IPv6RoutingHeaderDropList. |
|
Inspect_IPv6_UnConfigure |
IPv6 검사를 지우고 비활성화합니다. |
— |
|
ISIS_Configure |
IS-IS 라우팅에 대한 전역 파라미터를 구성합니다. |
isIsNet, isIsAddressFamily, isISType |
|
ISIS_Interface_Configuration |
인터페이스 레벨 IS-IS 구성. |
isIsAddressFamily, IsIsIntfList 또한 시스템 변수 SYS_FTD_ROUTED_INTF_MAP_LIST를 사용합니다. |
|
ISIS_Unconfigure |
디바이스의 IS-IS 라우터 구성을 지웁니다. |
— |
|
ISIS_Unconfigure_All |
디바이스 인터페이스의 라우터 할당을 포함하여 디바이스에서 IS-IS 라우터 구성을 지웁니다. |
— |
|
Netflow_Add_Destination |
Netflow 내보내기 대상을 만들고 구성합니다. |
Netflow_Destinations, netflow_Event_Types |
|
Netflow_Clear_Parameters |
Netflow 내보내기 전역 기본 설정을 복원합니다. |
— |
|
Netflow_Delete_Destination |
Netflow 내보내기 대상을 삭제 합니다. |
Netflow_Destinations, netflow_Event_Types |
|
Netflow_Set_Parameters |
Netflow 내보내기 전역 파라미터를 설정합니다. |
netflow_Parameters |
|
NGFW_TCP_NORMALIZATION |
기본 TCP 정규화 구성을 수정합니다. |
— |
|
Policy_Based_Routing |
이 예제 구성을 사용하려면 복사하고, 인터페이스 이름을 수정하고, r-map-object 텍스트 개체를 사용하여 개체 관리자에서 경로 맵 개체를 식별합니다. |
— |
|
Policy_Based_Routing_Clear |
디바이스에서 정책 기반 라우팅 구성을 지웁니다. |
— |
|
Sysopt_AAA_radius |
RADIUS 계정 응답에서 인증 키를 무시합니다. |
— |
|
Sysopt_AAA_radius_negate |
Sysopt_AAA_radius 구성을 무효화합니다. |
— |
|
Sysopt_basic |
sysopt 대기 시간, TCP 패킷의 최대 세그먼트 크기 및 자세한 트래픽 통계를 구성합니다. |
tcpMssMinimum, tcpMssBytes |
|
Sysopt_basic_negate |
sysopt_basic 세부 트래픽 통계, 대기 시간 및 TCP 최대 세그먼트 크기를 지웁니다. |
— |
|
Sysopt_clear_all |
디바이스에서 모든 sysopt 구성을 지웁니다. |
— |
|
Sysopt_noproxyarp |
noproxy-arp CLI를 구성합니다. |
시스템 변수 SYS_FW_NON_INLINE_INTF_NAME_LIST를 사용합니다. |
|
Sysopt_noproxyarp_negate |
Sysopt_noproxyarp 구성을 지웁니다. |
시스템 변수 SYS_FW_NON_INLINE_INTF_NAME_LIST를 사용합니다. |
|
Sysopt_Preserve_Vpn_Flow |
syopt preserve VPN 흐름을 구성합니다. |
— |
|
Sysopt_Preserve_Vpn_Flow_negate |
Sysopt_Preserve_Vpn_Flow 구성을 지웁니다. |
— |
|
Sysopt_Reclassify_Vpn |
sysopt reclassify vpn을 구성합니다. |
— |
|
Sysopt_Reclassify_Vpn_Negate |
sysopt reclassify vpn을 무효화합니다. |
— |
|
Threat_Detection_Clear |
위협 탐지 TCP 가로채기 구성을 지웁니다. |
— |
|
Threat_Detection_Configure |
TCP 가로채기에 의해 가로채기된 공격에 대한 위험 탐지 통계를 구성합니다. |
threat_detection_statistics |
|
Wccp_Configure |
이 템플릿은 WCCP를 구성하는 예제를 제공합니다. |
isServiceIdentifier, serviceIdentifier, wccpPassword |
|
Wccp_Configure_Clear |
WCCP 구성을 지웁니다. |
— |
지원 중단된 FlexConfig 개체
다음 표에는 이제 GUI에서 기본적으로 구성할 수 있는 기능을 구성하는 개체가 나와 있습니다. 가능한 한 빨리 이러한 개체의 사용을 중단하십시오.
|
사용 중단 버전 |
FlexConfig 개체 |
설명 |
지금 구성 |
|---|---|---|---|
|
7.3 |
DHCPv6_Prefix_Delegation_Configure |
IPv6 접두사 위임을 위해 외부 인터페이스(Prefix Delegation 클라이언트) 및 내부 인터페이스(위임된 접두사의 수신자)를 하나씩 구성할 수 있습니다. 이 템플릿을 사용하려면 복사하여 변수를 수정합니다. 연결된 텍스트 개체: pdoutside, pdinside 또한 시스템 변수 SYS_FTD_ROUTED_INTF_MAP_LIST를 사용합니다. |
인터페이스 IPv6 설정. |
|
7.3 |
DHCPv6_Prefix_Delegation_UnConfigure |
DHCPv6 접두사 위임 구성을 제거합니다. |
인터페이스 IPv6 설정. |
|
6.3 |
Default_DNS_Configure |
데이터 인터페이스에서 정규화된 도메인 이름을 확인할 때 사용할 수 있는 DNS 서버를 정의하는 기본 DNS 그룹을 구성합니다. 연결된 텍스트 개체: defaultDNSNameServerList, defaultDNSParameters |
플랫폼 설정. |
|
6.3 |
DNS_Configure |
기본값이 아닌 DNS 서버 그룹에 DNS 서버를 구성합니다. 그룹의 이름을 변경하려면 개체를 복사합니다. |
개체 관리자의 DNS 서버 그룹. |
|
6.3 |
DNS_UnConfigure |
Default_DNS_Configure 및 DNS_Configure가 수행하는 DNS 서버 구성을 제거합니다. DNS_Configure를 변경한 경우 개체를 복사하여 DNS 서버 그룹 이름을 변경합니다. |
개체 관리자의 DNS 서버 그룹. |
|
7.2 |
Eigrp_Configure |
EIGRP 라우팅 next-hop, auto-summary, router-id, eigrp-stub을 구성합니다. 연결된 텍스트 개체: eigrpAS, eigrpNetworks, eigrpDisableAutoSummary, eigrpRouterId, eigrpStubReceiveOnly, eigrpStubRedistributed, eigrpStubConnected, eigrpStubStatic, eigrpStubSummary |
모든 EIGRP 개체에 대해서는 를 참조하십시오.EIGRP 시스템은 업그레이드 후 구축을 허용하지만 EIGRP 구성을 다시 실행하라는 경고도 합니다. 이 프로세스를 지원하기 위해 Cisco에서는 명령줄 마이그레이션 툴을 제공합니다. |
|
7.2 |
Eigrp_Interface_Configure |
EIGRP 인터페이스 인증 모드, 인증 키, hello 간격, 보류 시간, split horizon을 구성합니다. 연결된 텍스트 개체: eigrpIntfList, eigrpAS, eigrpAuthKey, eigrpAuthKeyId, eigrpHelloInterval, eigrpHoldTime, eigrpDisableSplitHorizon 또한 시스템 변수 SYS_FTD_ROUTED_INTF_MAP_LIST를 사용합니다. |
|
|
7.2 |
Eigrp_Unconfigure |
- 5) 디바이스의 자율 시스템에 대한 EIGRP 구성을 지웁니다. |
|
|
7.2 |
Eigrp_Unconfigure_all |
모든 EIGRP 구성을 지웁니다. |
|
|
6.3 |
TCP_Embryonic_Conn_Limit |
SYN 플러드 서비스 거부(DoS) 공격으로부터 보호하기 위해 원시 연결 제한을 구성합니다. 연결된 텍스트 개체: tcp_conn_misc, tcp_conn_limit |
서비스 정책. |
|
6.3 |
TCP_Embryonic_Conn_Timeout |
SYN 플러드 서비스 거부(DoS) 공격으로부터 보호하기 위해 원시 연결 시간 초과를 구성합니다. 연결된 텍스트 개체: tcp_conn_misc, tcp_conn_timeout |
서비스 정책. |
|
7.2 |
VxLAN_Clear_Nve |
VxLAN_Configure_Port_And_Nve 디바이스에서 사용 하는 경우 구성 된 NVE 1을 제거 합니다. |
모든 VxLAN 개체에 대해서는 VXLAN 인터페이스 구성의 내용을 참조하십시오. 이전 버전에서 FlexConfig를 사용하여 VXLAN 인터페이스를 구성한 경우 계속 작동합니다. 실제로 이 경우 FlexConfig가 우선적으로 적용됩니다. 웹 인터페이스에서 VXLAN 구성을 다시 실행하는 경우 FlexConfig 설정을 제거합니다. |
|
7.2 |
VxLAN_Clear_Nve_Only |
구축될 때 인터페이스에 구성된 NVE를 지웁니다. |
|
|
7.2 |
VxLAN_Configure_Port_And_Nve |
VLAN 포트 및 NVE 1을 구성합니다. 연결된 텍스트 개체: vxlan_Port_And_Nve |
|
|
7.2 |
VxLAN_Make_Nve_Only |
NVE 전용 인터페이스를 설정합니다. 연결된 텍스트 개체: vxlan_Nve_Only 또한 시스템 변수 SYS_FTD_ROUTED_MAP_LIST 및 SYS_FTD_SWITCHED_INTF_MAP_LIST를 사용합니다. |
|
|
7.2 |
VxLAN_Make_Vni |
VNI 인터페이스를 만듭니다. 구축한 후에는 VNI 인터페이스를 제대로 검색할 수 있도록 디바이스를 등록 취소하고 다시 등록해야 합니다. 연결된 텍스트 개체: vxlan_Vni |
사전 정의된 텍스트 개체
여러 개의 사전 정의된 텍스트 개체가 있습니다. 이 개체는 사전 정의된 FlexConfig 개체에 쓰이는 변수와 관련 있습니다. 대부분의 경우 관련 FlexConfig 개체를 사용하는 경우 이 개체를 편집하여 값을 추가해야 합니다. 그렇지 않으면 구축 중에 오류가 표시됩니다. 이러한 옵션 중 일부는 기본값을 포함하고 있으나 어떤 옵션은 비어 있습니다.
텍스트 개체 편집에 대한 내용은 FlexConfig 텍스트 개체 설정 섹션을 참조하십시오.
|
이름 |
설명 |
관련 FlexConfig 개체 |
|---|---|---|
|
defaultDNSNameServerList (사용되지 않음) |
기본 DNS 그룹에서 구성할 DNS 서버 IP 주소입니다. 버전 6.3부터 Firepower Threat Defense 플랫폼 설정 정책에서 데이터 인터페이스에 대한 DNS를 구성합니다. |
Default_DNS_Configure |
|
defaultDNSParameters (사용되지 않음) |
기본 DNS 서버 그룹에 대한 DNS 동작을 제어하는 파라미터입니다. 개체에는 재시도, 시간 초과, expire-entry-timer, poll-timer, domain-name에 대한 개별 항목이 순서대로 포함됩니다. 버전 6.3부터 Firepower Threat Defense 플랫폼 설정 정책에서 데이터 인터페이스에 대한 DNS를 구성합니다. |
Default_DNS_Configure |
|
disableInspectProtocolList |
기본 정책 맵에서 프로토콜을 비활성화합니다(global_policy). |
Disable_Default_Inspection_Protocol |
|
dnsNameServerList |
사용자 정의 DNS 그룹에서 구성할 DNS 서버 IP 주소입니다. |
DNS_Configure |
|
dnsParameters |
기본값 이외의 DNS 서버 그룹에 대한 DNS 동작을 제어하는 파라미터입니다. 개체에는 재시도, 시간 초과, domain-name, name-server-interface에 대한 개별 항목이 순서대로 포함됩니다. |
DNS_Configure |
|
enableInspectProtocolList |
기본 정책 맵에서 프로토콜을 활성화합니다(global_policy). 해당 프로토콜 검사가 Snort 검사와 충돌하는 프로토콜을 추가할 수 없습니다. |
Enable_Default_Inspection_Protocol |
|
IPv6RoutingHeaderDropList |
허용하지 않으려는 IPv6 라우팅 헤더 유형의 목록입니다. IPv6 검사는 중단을 기록하지 않고 이러한 헤더가 포함된 패킷을 삭제합니다. |
Inspect_IPv6_Configure |
|
IPv6RoutingHeaderDropLogList |
허용 및 기록하지 않으려는 IPv6 라우팅 헤더 유형의 목록입니다. IPv6 검사는 이러한 헤더가 포함된 패킷을 삭제하고 중단에 대한 시스템 로그 메시지를 보냅니다. |
Inspect_IPv6_Configure |
|
IPv6RoutingHeaderLogList |
허용하지만 기록하지 않으려는 IPv6 라우팅 헤더 유형의 목록입니다. IPv6 검사는 이러한 헤더를 포함하는 패킷을 허용하지만 헤더의 존재 여부에 대한 시스템 로그 메시지를 보냅니다. |
Inspect_IPv6_Configure |
|
isIsAddressFamily |
IPv4 또는 IPv6 주소군입니다. |
ISIS_Configure ISIS_Interface_Configuration |
|
IsIsIntfList |
논리적 인터페이스 이름 목록입니다. |
ISIS_Interface_Configuration |
|
isIsISType |
IS 유형(level-1, level-2-only 또는 level-1-2)입니다. |
ISIS_Configure |
|
isIsNet |
네트워크 엔티티입니다. |
ISIS_Configure |
|
isServiceIdentifier |
false이면 표준 web-cache 서비스 식별자를 사용합니다. |
Wccp_Configure |
|
netflow_Destination |
단일 Netflow 내보내기 대상의 인터페이스, 대상, UDP 포트 번호를 정의합니다. |
Netflow_Add_Destination |
|
netflow_Event_Types |
대상에 대해 내보낼 이벤트 유형을 all, flow-create, flow-defined, flow-teardown, flow-update의 하위 집합으로 정의합니다. |
Netflow_Add_Destination |
|
netflow_Parameters |
Netflow 내보내기 전역 설정(활성 새로 고침 간격(흐름 업데이트 이벤트 사이의 시간(분)), 지연(초 단위의 흐름 생성 지연, 기본값 0 = 명령이 나타나지 않음) 및 템플릿 시간 초과 비율(분)을 제공합니다. |
Netflow_Set_Parameters |
|
PrefixDelegationInside |
DHCPv6 접두사 위임을 위한 내부 인터페이스를 구성합니다. 개체에는 인터페이스 이름, 프리픽스 길이가 포함된 IPv6 접미사 및 접두사 풀 이름 순서대로 여러 항목이 포함됩니다. |
없음. 하지만 DHCPv6_Prefix_Delegation_Configure 사본과 함께 사용할 수 있습니다. |
|
PrefixDelegationOutside |
외부 DHCPv6 접두사 위임 클라이언트를 구성합니다. 개체에는 인터페이스 이름, 프리픽스 길이 순서대로 여러 항목이 포함됩니다. |
없음. 그러나 DHCPv6_Prefix_Delegation_Configure 사본과 함께 사용할 수 있습니다. |
|
serviceIdentifier |
동적 WCCP 서비스 식별자 번호입니다. |
Wccp_Configure |
|
tcp_conn_limit (사용되지 않음) |
TCP 원시 연결 제한을 구성하는 데 사용되는 파라미터입니다. 버전 6.3부터 Firepower Threat Defense Service 정책에서 이러한 기능을 구성합니다. 해당 정책은 디바이스에 할당된 액세스 제어 정책의 Advanced(고급) 탭에서 찾을 수 있습니다. |
TCP_Embryonic_Conn_Limit |
|
tcp_conn_misc (사용되지 않음) |
TCP 원시 연결 설정을 구성하는 데 사용되는 파라미터입니다. 버전 6.3부터 Firepower Threat Defense Service 정책에서 이러한 기능을 구성합니다. 해당 정책은 디바이스에 할당된 액세스 제어 정책의 Advanced(고급) 탭에서 찾을 수 있습니다. |
TCP_Embryonic_Conn_Limit, TCP_Embryonic_Conn_Timeout |
|
tcp_conn_timeout (사용되지 않음) |
TCP 원시 연결 시간 초과를 구성하는 데 사용되는 파라미터입니다. 버전 6.3부터 Firepower Threat Defense Service 정책에서 이러한 기능을 구성합니다. 해당 정책은 디바이스에 할당된 액세스 제어 정책의 Advanced(고급) 탭에서 찾을 수 있습니다. |
TCP_Embryonic_Conn_Timeout |
|
tcpMssBytes |
최대 세그먼트 크기(바이트)입니다. |
Sysopt_basic |
|
tcpMssMinimum |
이 플래그가 true인 경우에만 설정되는 최대 세그먼트 크기(MSS)를 설정할지 여부를 확인합니다. |
Sysopt_basic |
|
threat_detection_statistics |
TCP 가로채기에 대한 위협 탐지 통계에 사용되는 파라미터입니다. |
Threat_Detection_Configure |
|
vxlan_Nve_Only |
인터페이스에서 NVE 전용 구성을 위한 파라미터:
|
VxLAN_Make_Nve_Only |
|
vxlan_Port_And_Nve |
포트 및 VXLAN용 NVE 구성에 사용되는 파라미터:
|
VxLAN_Configure_Port_And_Nve |
|
vxlan_Vni |
VNI 생성에 사용되는 파라미터:
|
VxLAN_Make_Vni |
|
wccpPassword |
WCCP 비밀번호. |
Wccp_Configure |
)
)
)
)
)
피드백