FirePOWER管理中心以錯誤的方向顯示某些TCP連線事件

簡介

本文檔介紹FirePOWER管理中心(FMC)以相反方向顯示TCP連線事件的原因和緩解步驟，其中發起方IP是TCP連線的伺服器IP，響應方IP是TCP連線的客戶端IP。

附註：發生此類事件的原因有多種。此文檔解釋了此症狀的最常見原因。

必要條件

需求

思科建議您瞭解以下主題：

• FirePOWER 技術
• 自適應安全裝置(ASA)的基本知識
• 瞭解傳輸控制協定(TCP)計時機制

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行軟體版本6.0.1及更高版本的ASA Firepower威脅防禦(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)
• 運行軟體版本6.0.1及更高版本的ASA Firepower威脅防禦(5512-X、5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、FP9300、FP4100)
• 帶運行軟體版本6.0.0及更高版本的Firepower模組(5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X、5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X)的ASA 
• Firepower管理中心(FMC) 6.0.0版及更高版本 

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從清晰（預設）組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景

在TCP連線中，client是指傳送初始資料包的IP。當受管裝置（感測器或FTD）看到連線的初始TCP資料包時，FirePOWER管理中心將生成連線事件。

跟蹤TCP連線狀態的裝置定義了空閒超時，以確保終端錯誤關閉的連線不會長時間佔用可用記憶體。FirePOWER上已建立的TCP連線的預設空閒超時為三分鐘。FirePOWER IPS感測器不會跟蹤3分鐘或更長時間處於空閒狀態的TCP連線。

超時後的後續資料包將被視為新的TCP流，並根據與此資料包匹配的規則做出轉發決策。當資料包來自伺服器時，伺服器的IP將記錄為此新流的發起方。為規則啟用日誌記錄時，會在FirePOWER管理中心上生成連線事件。

注意：根據配置的策略，超時後資料包的轉發決策與初始TCP資料包的決策不同。如果配置的預設操作為「Block」（阻止），則丟棄資料包。

 此症狀的示例如下螢幕截圖：

解決方案

透過增加TCP連線的超時可緩解此問題。要更改超時，

1. 導航到策略>訪問控制>入侵。
2. 導航到右上角，然後選擇Network Access Policy。
   
3. 選擇Create Policy，選擇一個名稱並按一下Create and Edit Policy。請勿修改基本策略。 
4. 展開Settings 選項並選擇TCP Stream Configuration。
5. 導航到配置部分，然後根據需要更改Timeout值。
6. 導航到策略>訪問控制>訪問控制。
7. 選擇Edit選項以編輯應用於相關受管裝置的策略，或建立新策略。
8. 在Access策略中選擇Advanced頁籤。
9. 找到Network Analysis and Intrusion Policies部分，然後按一下Edit圖示。
10. 從Default Network Analysis Policy的下拉選單中選擇步驟2中建立的策略。
11. 按一下OK和Save更改。
12. 按一下Deploy選項將策略部署到相關受管裝置。

注意：增加超時時間預計會導致記憶體使用率較高，因此FirePOWER必須跟蹤終端在較長時間內未關閉的流。每個唯一網路的記憶體使用率的實際成長情況各不相同，因為具體成長情況取決於網路應用程式使TCP連線保持空閒的時間長短。

結論

每個網路的TCP連線空閒超時的基準各不相同。它完全依賴於正在使用的應用程式。透過觀察網路應用程式使TCP連線保持空閒的時間長短，必須確定一個最佳值。對於與Cisco ASA上的FirePOWER服務模組相關的問題，當無法推斷最優值時，可以透過逐步增加超時值來調整超時值，直至ASA的超時值。

相關資訊

• 特色指南
• 技術支援與文件 - Cisco Systems
• ASA Firepower快速入門手冊