Firepower 管理中心:显示访问控制策略点击计数器

下载选项

  • PDF     (937.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (802.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (597.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 10 月 19 日
文档 ID:212330

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。



    简介

    先决条件

    本文档介绍在 Firepower 管理中心 (FMC) 上创建自定义工作流程的说明,通过 Firepower 管理中心 (FMC),系统能够全局显示和按规则显示访问控制策略 (ACP) 点击计数器。这对于排除流量是否与正确规则匹配的故障非常有用。获取有关访问控制规则的一般用法的信息也很有帮助,例如,在较长的时间内没有命中的访问控制规则可能是 表示不再需要该规则,并且可能安全地从系统中删除。



    要求

    本文档没有任何特定的要求。

    使用的组件

    • 虚拟 Firepower 管理中心 (FMC) - 软件版本 6.1.0.1(内置版本 53)
    • Firepower 威胁防御 (FTD) 4150 - 软件版本 6.1.0.1(内置版本 53)

    注意:本文档中所述信息不适用于 Firepower 设备管理器 (FDM)。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。


    相关产品

    本文档也可用于以下硬件和软件版本:

    • Firepower 管理中心 (FMC) - 软件版本 6.0.x 及更高版本
    • Firepower 托管设备 - 软件版本 6.1.x 及更高版本

    配置

    第 1 步

    要创建自定义工作流程,请依次导航至分析 > 自定义 > 自定义工作流程 > 创建自定义工作流程:

    步骤 2

    定义自定义工作流程名称,例如 ACP 规则点击计数器,并在表格字段中选择连接事件。然后,保存新的工作流程。

    步骤 3

    通过编辑/铅笔按钮自定义新建的工作流程。

    步骤 4

    使用添加页面选项添加新的工作流程页面,定义其名称并按访问控制策略访问控制规则以及按计数启动程序 IP 和响应程序 IP 字段对列字段进行排序。

    步骤 5

    使用添加表视图选项添加第二页。

    步骤 6

    表视图不可配置,因此只需继续保存您的工作流程。

    步骤 7

    依次导航至分析 > 连接事件,并选择切换工作流程,然后选择名为 ACP 规则点击计数器的新建工作流程,并等待页面重新加载。

    加载页面后,各 ACP 规则的规则点击计数器均会显示出来,只需在您希望获得最近的 AC 规则点击计数器时刷新此视图即可。

    验证

    通过 FTD CLISH (CLI SHELL) show access-control-config 命令,可以根据规则确认所有流量(全局)的访问控制规则点击计数器,如下所示:

    > show access-control-config

    ===================[ allow-all ]====================
    Description :
    Default Action : Allow
    Default Policy : Balanced Security and Connectivity
    Logging Configuration
     DC : Disabled
     Beginning : Disabled
     End : Disabled
    Rule Hits : 0
    Variable Set : Default-Set
    …(output omitted)

    -----------------[ Rule: log all ]------------------
     Action : Allow
     Intrusion Policy : Balanced Security and Connectivity
     ISE Metadata :

     Source Networks : 10.10.10.0/24
     Destination Networks : 192.168.0.0/24
     URLs
     Logging Configuration
     DC : Enabled
     Beginning : Enabled
     End : Enabled
     Files : Disabled
     Rule Hits : 3
     Variable Set : Default-Set

    … (output omitted)


    故障排除

    使用 firewall-engine-debug 命令,您可以确认是否根据正确的访问控制规则评估流量: 

    > system support firewall-engine-debug

    Please specify an IP protocol: icmp
    Please specify a client IP address: 10.10.10.122
    Please specify a server IP address: 192.168.0.14
    Monitoring firewall engine debug messages

    10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 New session
    10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 Starting with minimum 0, id 0 and IPProto first with zones 1 -> 2, geo 0 -> 0, vlan 0, sgt tag: untagged, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 8, icmpCode 0
    10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 no match rule order 1, id 2017150 dst network and GEO
    10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 match rule order 3, 'log all', action Allow
    10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 allow action

    比较名为 log all 的 ACP 规则点击计数器时,您会发现,命令行 (CLI) 和 GUI 输出不匹配。原因是 CLI 点击计数器在每次访问控制策略部署后均会被清除,并应用于全局的所有流量而不是特定 IP 地址。另一方面,FMC GUI 将计数器保留在数据库中,因此可以根据选定的时间段显示历史数据。


    相关信息

    TAC Authored

    由思科工程师提供

    • Veronika Klauzova
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品