Firepower管理中心：顯示訪問控制策略命中計數器

簡介

必要條件

本文檔介紹在Firepower管理中心(FMC)上建立自定義工作流程的說明，該管理中心允許系統按全域性和規則顯示訪問控制策略(ACP)命中計數器。這對於排除通訊流是否匹配正確的規則非常有用。獲取有關訪問控制規則的一般使用資訊(例如，長時間沒有命中的訪問控制規則可能是 指示不再需要該規則，並且可能會安全地從系統中刪除。

需求

本文件沒有特定需求。

採用元件

• 虛擬Firepower管理中心(FMC) — 軟體版本6.1.0.1（內部版本53）
• Firepower威脅防禦(FTD)4150 — 軟體版本6.1.0.1（內部版本53）

附註：本文檔中描述的資訊不適用於Firepower裝置管理器(FDM)。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

相關產品

本文件也適用於以下硬體和軟體版本：

• Firepower管理中心(FMC) — 軟體版本6.0.x及更高版本
  
• Firepower受管裝置 — 軟體版本6.1.x及更高版本
  

設定

步驟1

要建立自定義工作流程，請導航到分析>自定義>自定義工作流程>建立自定義工作流程：

步驟2

定義Custom Workflow名稱，例如ACP規則命中計數器，然後在表欄位中選擇Connection Events。然後，儲存新工作流。

步驟3

通過編輯/鉛筆按鈕自定義新建立的工作流程。

步驟4

使用「新增頁面」選項為工作流新增新頁面，定義其名稱，並按訪問控制策略、訪問控制規則和Count、Initiator IP和Responder IP欄位對列欄位進行排序。

步驟5

使用「新增表檢視」選項新增第二頁。

步驟6

Table View不可配置，因此只需繼續執行Save工作流程。

第7步

導覽至Analysis > Connections Events，然後選擇switch workflow，然後選擇新建立的名為ACP規則命中計數器的工作流，並等待頁面重新載入。

載入頁面後，將顯示每個ACP規則的規則命中計數器，只要您想獲取最近的AC規則命中計數器就刷新此檢視。

驗證

通過FTD CLISH(CLI SHELL)show access-control-config命令，可以獲得根據規則（全域性）確認所有流量的訪問控制規則命中計數器的方法，如下所示：

> show access-control-config

===================[ allow-all ]====================
Description :
Default Action : Allow
Default Policy : Balanced Security and Connectivity
Logging Configuration
 DC : Disabled
 Beginning : Disabled
 End : Disabled
Rule Hits : 0
Variable Set : Default-Set
…(output omitted)

-----------------[ Rule: log all ]------------------
 Action : Allow
 Intrusion Policy : Balanced Security and Connectivity
 ISE Metadata :

 Source Networks : 10.10.10.0/24
 Destination Networks : 192.168.0.0/24
 URLs
 Logging Configuration
 DC : Enabled
 Beginning : Enabled
 End : Enabled
 Files : Disabled
 Rule Hits : 3
 Variable Set : Default-Set

… (output omitted)

疑難排解

使用firewall-engine-debug命令，可以確認是否根據正確的訪問控制規則評估流量：

> system support firewall-engine-debug

Please specify an IP protocol: icmp
Please specify a client IP address: 10.10.10.122
Please specify a server IP address: 192.168.0.14
Monitoring firewall engine debug messages

10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 New session
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 Starting with minimum 0, id 0 and IPProto first with zones 1 -> 2, geo 0 -> 0, vlan 0, sgt tag: untagged, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 8, icmpCode 0
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 no match rule order 1, id 2017150 dst network and GEO
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 match rule order 3, 'log all', action Allow
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 allow action

當比較名為log的ACP規則的命中計數器時，您會發現命令列(CLI)和GUI輸出不匹配。原因是CLI命中計數器在每個訪問控制策略部署之後被清除，並且應用於全域性所有流量而不是特定IP地址。另一方面，FMC GUI將計數器保留在資料庫中，以便它可以基於所選的時間幀顯示歷史資料。

相關資訊

• 自定義工作流程
• 訪問控制策略入門
• 技術支援與文件 - Cisco Systems