FirePOWER管理中心以错误的方向显示某些TCP连接事件

简介

本文档介绍FirePOWER管理中心(FMC)在反向显示TCP连接事件的原因和缓解步骤，其中发起方IP是TCP连接的服务器IP，响应方IP是TCP连接的客户端IP。

注意：此类事件的发生有多种原因。本文档说明此症状的最常见原因。

先决条件

要求

Cisco 建议您了解以下主题：

• FirePOWER
• 自适应安全设备(ASA)基础知识
• 了解传输控制协议(TCP)计时机制

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行软件版本6.0.1及更高版本的ASA Firepower威胁防御(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)
• 运行软件版本6.0.1及更高版本的ASA Firepower威胁防御(5512-X、5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、FP9300、FP4100)
• 运行软件版本6.0.0及更高版本的带Firepower模块(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X、5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X)的ASA 
• Firepower管理中心(FMC) 6.0.0版及更高版本 

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备都以清晰（默认）配置开头。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景

在TCP连接中，client是指发送初始数据包的IP。当受管设备（传感器或FTD）发现连接的初始TCP数据包时，FirePOWER管理中心生成连接事件。

跟踪TCP连接状态的设备定义了空闲超时，以确保终端错误地未关闭的连接不会长时间消耗可用内存。FirePOWER上已建立的TCP连接的默认空闲超时是三分钟。FirePOWER IPS传感器不会跟踪闲置三分钟或更长时间的TCP连接。

超时后的后续数据包将被视为新的TCP流，并根据与此数据包匹配的规则做出转发决策。当数据包来自服务器时，服务器的IP将被记录为此新流的发起方。为规则启用日志记录时，会在FirePOWER管理中心上生成连接事件。

注意：根据配置的策略，超时后数据包的转发决策与初始TCP数据包的决策不同。如果配置的默认操作为“阻止”(Block)，则丢弃数据包。

 根据以下屏幕截图，此症状即为一例：

解决方案

通过增加TCP连接的超时可以缓解此问题。为了更改超时，

1. 导航到策略>访问控制>入侵。
2. 导航到右上角，然后选择Network Access Policy。
   
3. 选择Create Policy，选择一个名称并单击Create and Edit Policy。请勿修改基本策略。 
4. 展开Settings 选项并选择TCP Stream Configuration。
5. 导航到配置部分，根据需要更改Timeout的值。
6. 导航到策略>访问控制>访问控制。
7. 选择Edit选项以编辑应用于相关受管设备的策略或创建新策略。
8. 在访问策略中选择高级选项卡。
9. 找到Network Analysis and Intrusion Policies部分，然后单击Edit图标。
10. 从Default Network Analysis Policy的下拉菜单中选择步骤2中创建的策略。
11. 单击OK和Save更改。
12. 点击部署选项可将策略部署到相关受管设备。

注意：增加超时预计会导致内存使用率较高，FirePOWER必须跟踪终端在较长时间内未关闭的流。每个独特网络的内存使用率的实际增加各不相同，因为它取决于网络应用程序使TCP连接保持空闲的时间长度。

结论

每个网络的TCP连接空闲超时的基准各不相同。它完全取决于所使用的应用程序。必须观察网络应用程序使TCP连接处于空闲状态的时间长短，从而确定最佳值。对于与思科ASA上的FirePOWER服务模块相关的问题，当无法推断最佳值时，可以通过逐步增加超时值来调整超时，直至ASA的超时值。

相关信息

• 安装和升级指南
• 技术支持和文档 - Cisco Systems
• ASA Firepower快速入门指南