Как отключить / включить брандмауэр Windows 10, 8, 7, Xp
Автор comhub Просмотров 2k. Опубликовано Обновлено
Многие пользователи заинтересованы в том, чтобы включить или отключить брандмауэр Windows по разным причинам. Некоторые пользователи хотят использовать другой брандмауэр, а некоторые могут случайно отключить их. Чтобы продолжить, выберите свою версию Windows из списка ниже и следуйте инструкциям.
Windows 10 и 8
Microsoft Windows 8 и 10 поставляются с предустановленной утилитой брандмауэра, хотя по умолчанию она может быть отключена. Ниже приведены шаги, которые можно выполнить, чтобы включить или отключить брандмауэр в этих версиях Windows. Если вам нужна информация об отключении брандмауэра, отличного от того, который поставляется с Windows, см.
Включение брандмауэра Windows 8 или 10
Только один программный брандмауэр должен быть включен одновременно. Если у вас установлена антивирусная программа или другая программа безопасности с собственным брандмауэром, сначала убедитесь, что она отключена.
- Откройте панель управления. Переключите режим просмотра в «Категории».
- Нажмите на Систему и безопасность.
- Нажмите на брандмауэр Windows.
- Если брандмауэр Windows отключен, состояние брандмауэра Windows будет отключено. Чтобы включить его, в левой навигационной панели нажмите «Включить или выключить брандмауэр Windows».
- В окне «Настройка параметров» выберите «Включить брандмауэр Windows» и нажмите «ОК».
Отключение брандмауэра Windows 8 или 10
Если вы не решаете проблему или не планируете установить другой брандмауэр, рекомендуется не отключать брандмауэр Windows.
Если вы отключаете брандмауэр, потому что программа не может получить доступ к вашему компьютеру или Интернету, попробуйте сначала разрешить ей доступ через брандмауэр .
- Откройте панель управления. Переключите режим просмотра в «Категории».
- Нажмите на Систему и безопасность.
- Нажмите на брандмауэр Windows.
- Если брандмауэр Windows включен, состояние брандмауэра Windows будет включено. Чтобы отключить его, в левой навигационной панели нажмите «Включить или отключить брандмауэр Windows» .
- В окне «Настройка параметров» выберите «Выключить брандмауэр Windows» и нажмите «ОК».
Включить и отключить брандмауэр в Windows Vista и Windows 7
Microsoft Windows Vista и 7 поставляются с предустановленной утилитой брандмауэра, хотя по умолчанию она может быть отключена. Ниже приведены шаги, которые можно выполнить, чтобы включить или отключить брандмауэр в Windows. Если вам нужна информация об отключении другого брандмауэра, см.
Включение брандмауэра Windows Vista и Windows 7
Только один программный брандмауэр должен быть включен одновременно. Если у вас установлена антивирусная программа или другая программа безопасности с собственным брандмауэром, сначала убедитесь, что она отключена.
- Нажмите Пуск и в текстовом поле Поиск программ и файлов введите брандмауэр и нажмите Enter.
- В результатах поиска щелкните Брандмауэр Windows.
- Если брандмауэр Windows отключен, состояние брандмауэра Windows будет отключено. Если он выключен, нажмите «Изменить настройки» или « Включить или выключить брандмауэр Windows» в левом столбце.
- В окне «Параметры брандмауэра» выберите «Вкл» и нажмите «ОК».
Отключение брандмауэра Windows Vista и Windows 7
Если вы не решаете проблему или не планируете установить другой брандмауэр, рекомендуется не отключать брандмауэр Windows.
Если вы отключаете брандмауэр, потому что программа не может получить доступ к вашему компьютеру или Интернету, попробуйте сначала разрешить ей доступ через брандмауэр .
- Нажмите Пуск и в текстовом поле Поиск программ и файлов введите брандмауэр и нажмите Enter.
- В результатах поиска щелкните Брандмауэр Windows .
- Если брандмауэр Windows включен, состояние брандмауэра Windows будет «включено». Чтобы отключить его, нажмите «Изменить настройки» или «Включить или выключить брандмауэр Windows» в левом столбце.
- В окне «Параметры брандмауэра» выберите «
Включить и отключить брандмауэр в Windows XP
Хотя Microsoft Windows XP поставляется с предустановленной утилитой брандмауэра, по умолчанию эта функция не включена. Ниже приведены шаги, которые можно выполнить, чтобы включить или отключить эту функцию в Windows XP. Если вам нужна информация об отключении брандмауэра, отличного от того, который поставляется с Windows, см. Инструкции по отключению программы брандмауэра, установленной на компьютере .
Включение брандмауэра Windows XP
Только один программный брандмауэр должен быть включен одновременно. Если у вас установлена антивирусная программа или другая программа безопасности с собственным брандмауэром, сначала убедитесь, что она отключена.
- Откройте панель управления
- Откройте Сетевые подключения .
- В Сетевые подключения окно, щелкните правой кнопкой мыши Подключение по локальной сети и выберите Свойства.
- В окне «Свойства подключения по локальной сети» перейдите на вкладку «Дополнительно».
- Наконец, установите флажок Защитить мой компьютер и сеть, ограничив или запретив доступ к этому компьютеру из Интернета .
Отключение брандмауэра Windows XP
Если вы не решаете проблему или не планируете установить другой брандмауэр, рекомендуется не отключать брандмауэр Windows.
Если вы отключаете брандмауэр, потому что программа не может получить доступ к вашему компьютеру или Интернету, попробуйте сначала разрешить ей доступ через брандмауэр.
- Откройте панель управления
- Откройте Сетевые подключения .
- В Сетевые подключения окно, щелкните правой кнопкой мыши Подключение по локальной сети и выберите
Свойства. - В окне «Свойства подключения по локальной сети» перейдите на вкладку «Дополнительно».
- Наконец, снимите флажок Защитить мой компьютер и сеть, ограничив или запретив доступ к этому компьютеру из Интернета.
Если вы пытаетесь отключить брандмауэр Windows XP, но этот параметр уже не выбран, возможно, на компьютере установлена программа брандмауэра другого разработчика.
Как включить, выключить и настроить Брандмауэр Windows 7: полная инструкция
Всем привет! Сегодня я расскажу вам – как открыть, включить, выключить и настроить под определенные нужды брандмауэр в Windows 7. Служба активируется и настраивается достаточно легко, но, если у вас возникнут какие-то трудности при прочтении статьи – пишите в комментариях, и я вам помогу.
Где находится брандмауэр
- Через самую главную кнопку системы переходим в «Панель управления».
- Установите режим просмотра как крупные или мелкие значки и найдите на панели нужную кнопку.
- Теперь мы попали внутрь.
Далее нужно выбрать один из вариантов. Напомню, что если вы хотите настроить брандмауэр, то вам нужно его активировать. В обоих случаях вам нужно выбрать слева пункт «Включение и отключение брандмауэра Windows».
Отключить
Все очень просто, отмечаем пункты со словом «Отключить».
Включить
Активируем верхние пункты для обоих сетей.
Не забудьте нажать на кнопку «ОК».
Исключить программы из проверки и занести в исключение
Настройки брандмауэра имеют пункт, в котором вы можете добавить определенные программы и приложения. После этого они будут занесены в исключение проверки фаервола, и служба не будет обращать на них внимание.
- Слева кликаем по второй кнопке сверху.
- Попробуйте найти нужную вам программу в списке, если вы нашли её, то установите разрешение в домашней и публичной сети – для этого просто устанавливаем галочки. Если нужной программы нет, то кликаем по кнопке «Разрешить другую программу». Если кнопочка не активна и подсвечена серым, то нажимаем «Изменить параметры».
- Далее вы увидите список установленного ПО, выбираем нужное приложение. Если вы не можете найти определенную утилиту, то кликаем на «Обзор».
- Вам нужно указать путь к запускаемому exe файлу – его можно подсмотреть на ярлыке, но обычно он есть в папке с установленной утилитой.
- Ярлык появится в списке, выбираем его и нажимаем «Добавить».
- Заметьте, что разрешение выставляется только на частную сетку. Если вы будете работать с помощью данного ПО через интернет, то советую также разрешить доступ и для публичной сети – выделив галочку.
Вы можете аналогично и удалить программу из исключений, чтобы она стала более безопасной для доступа в интернете. Для этого стоит выделить нужный пункт и нажать по кнопке удаления.
Конфигурация правил
Параметры брандмауэра предполагают конфигурацию более строгих правил, где вы можете запретить или разрешить доступ к интернету, где можно прописать правило для выделенного порта, чтобы на компьютере могли запускаться определённые программы в Виндовс 7.
- «Дополнительные параметры».
- У нас есть слева два основных раздела – правила для входящих и исходящих подключений. Чаще всего нужно настроить именно входящее правило, поэтому выделаем его. Теперь посередине мы видим все правила, которые уже есть. Давайте попробуем создать конфигурацию, нажав по соответствующей кнопке в правом блоке.
- Здесь есть 4 варианта, чаще всего используются первые два: для программ и для портов. Покажу оба примера.
Для программы
Нажав на «Обзор», выберите exe файл нужной программы.
Для портов
Выбираем протоколы, а также прописываем выделенные порты через запятую.
- Выделяем нужное правило. Если вы хотите предоставить доступ к подключению, то ставим первый пункт. Второй обычно используется при защищенном подключении в частной сети. Чтобы заблокировать доступ ставим последнюю галочку.
- Теперь выставляем тип сетей, где будет действовать данное правило. Можно, например, выставить правило, которое будет действовать только в частной сети. Или наоборот, чтобы доступ был для интернета в публичной сетке.
- Также нам нужно будет назвать как-то наше новое правило – обязательно напишите комментарий, чтобы не забыть для чего вы его создали. Конфигурация отобразится в самом верху. Аналогично правило создается и для исходящих подключений.
Понравилась статья? Поделиться с друзьями:
Почему не применяется групповая политика, решаем за минуту
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik. org, в прошлый раз я вам показал, как я делал досрочное погашение ипотеки Сбербанка, поделился свои жизненным опытом. Сегодня я хочу вас научить, как находить и диагностировать причины, по которым у вас может не применяться назначенная вами групповая политика к компьютеру или пользователю или целому организационному подразделению. Мы рассмотрим все этапы, через которые проходит происходит взаимодействие с GPO. Разберем утилиты, которыми должен владеть системный администратор в задачи которого входит создание и назначение политик. Уверен, что данный пост будет вам полезен и интересен.
За, что Active Directory от Microsoft получила такую популярность? Одним из ответов на данный вопрос, будет функционал групповой политики. Все администраторы, как и большинство современных людей, существа очень ленивые и любят, когда все централизованно управляется и по возможности автоматизированно. Именно объекты GPO, позволяют производить настройки десятков, сотен и тысяч компьютеров, из одного места и практически по всем направлениям, например добавление принтеров, скриптов входа, профилей WiFi и многое другое.
Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.
К чему применяется групповая политика (GPO)
Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:
- что реестр есть как для объекта компьютер
- и реестр есть для объекта пользователь
Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:
- Это контейнер — по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
- Второй тип, это организационные подразделения (OU) — это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.
Алгоритм устранения проблем с GPO
Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение «Client Computers«. Политика называется «Управление UIPI». По какой-то причине пользователь жалуется, что она у него не применилась.
Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути. Сделать, это просто в оснастке «Управление групповой политикой» найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке «Область (Scope)», ее еще называют областью действия политики. В моем случае, это путь root.pyatilistnik.org/Client Computers.
Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле «Найти» компьютеры и в имени указываем w10-cl01, после чего нажимаем «Найти». В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку «Объект», где смотрим «Каноническое имя объекта«, по сути это его путь расположения в Active Directory. Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.
Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка «Связь включена«, ее так же можно проверить на вкладке «Область» в столбце «Связь задействована», должно стоять значение «да».
Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку «Сведения» на нужной GPO. Нас интересует строка «Состояние GPO». По умолчанию там стоит значение «Включено«, означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:
- Параметры конфигурации компьютера отключены (Computer configuration settings disabled)
- Параметры конфигурации пользователя отключены (User configuration settings disabled)
- Все параметры отключены (All setting disabled) — запретит применение политики для любого объекта
Сделано, это для ускорения применения политики к объекты. Согласитесь, что если у вас в GPO настроены изменения только для пользователя, то нет смысла проверять политику для компьютера. Поэтому системные администраторы могут отключать это, но могут и ошибиться, выключив не тот объект
Выше я вам писал, что структура OU иерархическая, а это означает, что политика прилинкованная с вышестоящего организационного подразделения применяется на нижестоящее. Но вот если у нижестоящей OU отключено наследование сверху, то он не сможет применить данную политику. Проверяется очень просто, найдите нужную вам OU, щелкните по ней правым кликом и удостоверьтесь, что не стоит пункт «Блокировать наследование».
Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.
Проверка прав на политику
Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:
- Пользователь
- Компьютер
- Группа безопасности
По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры
Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.
Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (https://support.microsoft.com/en-us/kb/316622)
Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».
Удостоверьтесь, что выставлена галка «Чтение».
Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.
Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.
Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.
Инструменты диагностики групповой политики
Выше мы разобрали возможные места, где могла быть проблема, но по мимо них еще есть несколько инструментов, которые могут дать системному администратору информацию, о причинах, которые мешают применению GPO к нужному объекту.
Существуют три инструмента, которые вам покажут информацию, о применяемых политиках на объекты:
- Утилита командной строки gpresult
- Утилита rsop
- Моделирование групповой политики в оснастке gpmc.msc
- Результаты групповой политики
Диагностика GPO через gpresult
Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:
gpresult /r /scope:user (Для пользователя)
gpresult /r /scope:computer (Для компьютера)
Gpresult /r /z (Полный отчет)
Gpresult /r /z > c:\gpresult.txt (Экспорт в файл)
В моем примере у меня есть политика для компьютера «Управление UIPI», поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке «Следующие политики GPO не были применены, так как они отфильтрованы». Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.
Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:
Код 5313: Следующие объекты групповой политики не были применены, так как они были отфильтрованы:Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (безопасность)
А вот пример 5313, но с уже WMI фильтром:
Следующие объекты групповой политики не были применены, так как они были отфильтрованы:Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (фильтр WMI)
Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра. Теперь уже понятно куда копать.
Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.
Начнется сбор применяемых политик.
По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.
Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:
GPResult /h c:\report.html /f
На выходе вы получите удобный html отчет, о всех примененных или отфильтрованных политиках. Открыв отчет, вы легко поймете ,какие политики были применены, а какие нет и можете сразу посмотреть значения настроек.
Результаты групповой политики
В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется «Результат моделирования групповой политики». Щелкаем по нему правым кликом и открываем мастер.
Выбираем нужный компьютер, к которому мы хотим проверить применение политики.
Если в момент добавления компьютера у вас выскочит ошибка «Сервер RPC-недоступен», то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.
Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.
Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке «Сведения» вы увидите, какие политики применены, а какие нет.
Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.
Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием «Моделирование групповой политики«. В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт «Моделирование групповой политикой» и щелкните по нему правым кликом, выбрав «Мастер моделирования групповой политики».
На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.
Далее вам будет предложен выбор, дабы указать нужный контроллер домена.
Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку «Обзор». Я выбрал «Client Computers»
Нажимаем далее.
На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:
- Медленное сетевое подключение, меньше 500 кб/с
- Обработка петлевого адреса (Замыкание групповой политики — loopbacl policy) — это опция когда вы применяете для OU в которой находятся компьютеры, например терминальные сервера, политики для пользователя. Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики.
- Выбор сайта.
Указываем в какой группе находится наш объект, к которому будет применяться политика.
далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.
Нажимаем далее.
В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.
На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что статья оказалась полезной.
Руководство по настройке командной строки устройства безопасности Cisco, версия 7.2 — Настройка туннельных групп, групповых политик и пользователей [Межсетевые экраны Cisco ASA серии 5500-X]
Настройка туннельных групп, групповых политик и пользователей
В этой главе описывается, как настроить группы туннелей VPN, групповые политики и пользователей. Эта глава включает следующие разделы.
• Обзор туннельных групп, групповых политик и пользователей
• Настройка туннельных групп
• Групповые политики
• Настройка атрибутов пользователя
Итак, сначала вы настраиваете туннельные группы, чтобы установить значения для соединения.Затем вы настраиваете групповые политики. Они устанавливают значения для пользователей в совокупности. Затем вы настраиваете пользователей, которые могут наследовать значения из групп и настраивать определенные значения для отдельных пользователей. В этой главе описывается, как и зачем настраивать эти объекты.
Обзор туннельных групп, групповых политик и пользователей
Группы и пользователи — это основные концепции управления безопасностью виртуальных частных сетей (VPN) и настройки устройства безопасности.Они определяют атрибуты, которые определяют доступ пользователей к VPN и их использование.
Туннельные группы и групповые политики упрощают управление системой.Чтобы упростить задачу настройки, устройство безопасности предоставляет туннельную группу LAN-to-LAN по умолчанию, туннельную группу удаленного доступа по умолчанию, туннельную группу WebVPN по умолчанию и групповую политику по умолчанию (DfltGrpPolicy). Туннельные группы по умолчанию и групповая политика предоставляют настройки, которые могут быть общими для многих пользователей. По мере добавления пользователей вы можете указать, что они «наследуют» параметры от групповой политики. Таким образом, вы можете быстро настроить доступ к VPN для большого количества пользователей.
Если вы решите предоставить одинаковые права всем пользователям VPN, вам не нужно настраивать определенные туннельные группы или групповые политики, но VPN редко работают таким образом.Например, вы можете разрешить финансовой группе получить доступ к одной части частной сети, группе поддержки клиентов — получить доступ к другой части, а группе MIS — получить доступ к другим частям. Кроме того, вы можете разрешить определенным пользователям в MIS доступ к системам, к которым другие пользователи MIS не могут получить доступ. Туннельные группы и групповые политики обеспечивают гибкость, позволяющую делать это безопасно.
Примечание Устройство безопасности также включает в себя концепцию групп объектов, которые представляют собой надмножество сетевых списков.Группы объектов позволяют определять доступ VPN как к портам, так и к сетям. Группы объектов относятся к спискам ACL, а не к групповым политикам и туннельным группам. Для получения дополнительной информации об использовании групп объектов см.
Туннельные группы
Туннельная группа состоит из набора записей, определяющих политики туннельных подключений. Эти записи идентифицируют серверы, на которых аутентифицируется пользователь туннеля, а также серверы учета, если таковые имеются, на которые отправляется информация о подключении.Они также определяют групповую политику по умолчанию для соединения и содержат параметры соединения, зависящие от протокола. Группы туннелей включают небольшое количество атрибутов, относящихся к созданию самого туннеля. Туннельные группы включают указатель на групповую политику, которая определяет ориентированные на пользователя атрибуты.
Устройство безопасности предоставляет следующие группы туннелей по умолчанию: DefaultL2Lgroup для подключений LAN-LAN, DefaultRAgroup для подключений удаленного доступа и DefaultWEBVPNGroup для подключений WebVPN.Вы можете изменить эти группы туннелей по умолчанию, но не можете их удалить. Вы также можете создать одну или несколько туннельных групп, специфичных для вашей среды. Группы туннелей являются локальными для устройства безопасности и не могут быть настроены на внешних серверах.
Туннельные группы определяют следующие атрибуты:
• Общие параметры соединения туннельной группы
• Параметры соединения туннельной группы IPSec
• Параметры подключения туннельной группы WebVPN
Общие параметры соединения туннельной группы
Общие параметры являются общими для соединений IPSec и WebVPN.Общие параметры включают следующее:
• Имя туннельной группы — вы указываете имя туннельной группы при добавлении или редактировании туннельной группы. Применяются следующие соображения:
–Для клиентов, которые используют предварительные ключи для аутентификации, имя туннельной группы совпадает с именем группы, которое клиент IPSec передает устройству безопасности.
— Клиенты, использующие сертификаты для аутентификации, передают это имя как часть сертификата, а устройство безопасности извлекает имя из сертификата.
• Тип подключения — типы подключения включают удаленный доступ IPSec, IPSec LAN-to-LAN и WebVPN. Туннельная группа может иметь только один тип подключения.
• Серверы аутентификации, авторизации и учета — эти параметры определяют группы или списки серверов, которые устройство безопасности использует для следующих целей:
–Аутентификация пользователей
–Получение информации об услугах пользователям, имеющим право доступа
–Бухгалтерский учет
Группа серверов может состоять из одного или нескольких серверов.
• Групповая политика по умолчанию для подключения — групповая политика — это набор ориентированных на пользователя атрибутов. Групповая политика по умолчанию — это групповая политика, атрибуты которой устройство безопасности использует по умолчанию при аутентификации или авторизации пользователя туннеля.
• Метод назначения адреса клиента — этот метод включает значения для одного или нескольких серверов DHCP или пулов адресов, которые устройство безопасности назначает клиентам.
• Отключить переопределение учетной записи — этот параметр позволяет переопределить индикатор «учетная запись отключена», полученный от сервера AAA.
• Управление паролями — этот параметр позволяет предупредить пользователя о том, что срок действия текущего пароля истечет через указанное количество дней (по умолчанию — 14 дней), а затем предложить пользователю возможность изменить пароль.
• Группа полос и область полосы — эти параметры определяют способ обработки устройством безопасности получаемых им имен пользователей. Они применяются только к именам пользователей, полученным в форме user @ realm. Сфера — это административный домен, добавленный к имени пользователя с разделителем @ (user @ abc).
Когда вы указываете команду strip-group , устройство безопасности выбирает туннельную группу для пользовательских подключений, получая имя группы из имени пользователя, представленного VPN-клиентом. Затем устройство безопасности отправляет только пользовательскую часть имени пользователя для авторизации / аутентификации. В противном случае (если он отключен) устройство защиты отправляет полное имя пользователя, включая область.
Обработка полоски области удаляет область из имени пользователя при отправке имени пользователя на сервер аутентификации или авторизации.Если команда включена, устройство безопасности отправляет только пользовательскую часть авторизации / аутентификации имени пользователя. В противном случае устройство безопасности отправляет полное имя пользователя.
• Требуется авторизация — этот параметр позволяет вам потребовать авторизацию, прежде чем пользователь сможет подключиться, или отключить это требование.
• Атрибуты DN авторизации — этот параметр указывает, какие атрибуты отличительного имени использовать при выполнении авторизации.
Параметры соединения туннельной группы IPSec
Параметры IPSec включают следующее:
• Метод аутентификации клиента: предварительные ключи, сертификаты или и то, и другое.
–Для соединений IKE, основанных на предварительных общих ключах, сам буквенно-цифровой ключ (длиной до 128 символов), связанный с политикой соединения.
–Требование проверки идентификатора участника — этот параметр указывает, требуется ли проверка идентичности узла с помощью сертификата узла.
• Расширенный гибридный метод аутентификации: XAUTH и гибридный XAUTH.
Вы используете команду isakmp ikev1-user-authentication для реализации гибридной аутентификации XAUTH, когда вам нужно использовать цифровые сертификаты для аутентификации устройства безопасности и другой устаревший метод аутентификации удаленного пользователя VPN, такой как RADIUS, TACACS + или SecurID.
• Настройки поддержки активности ISAKMP (IKE). Эта функция позволяет устройству безопасности отслеживать постоянное присутствие удаленного узла и сообщать этому узлу о своем присутствии. Если одноранговый узел перестает отвечать, устройство безопасности удаляет соединение. Включение сообщений поддержки активности IKE предотвращает зависание соединений, когда одноранговый узел IKE теряет соединение.
Существуют различные формы сообщений проверки активности IKE. Чтобы эта функция работала, и устройство безопасности, и его удаленный партнер должны поддерживать общую форму.Эта функция работает со следующими узлами:
— клиент Cisco VPN (версия 3.0 и выше)
— Клиент Cisco VPN 3000 (версия 2.x)
— Аппаратный клиент Cisco VPN 3002
— Концентраторы Cisco VPN серии 3000
–Программное обеспечение Cisco IOS
–Брандмауэр Cisco Secure PIX
Клиенты VPN, отличные от Cisco, не поддерживают сообщения проверки активности IKE.
Если вы настраиваете группу смешанных одноранговых узлов, и некоторые из этих одноранговых узлов поддерживают пакеты поддержки активности IKE, а другие — нет, включите пакеты поддержки активности IKE для всей группы. Эта функция не влияет на одноранговые узлы, которые ее не поддерживают.
Если вы отключите поддержку активности IKE, соединения с неотвечающими одноранговыми узлами останутся активными до тех пор, пока не истечет время ожидания, поэтому мы рекомендуем вам сократить время простоя. Чтобы изменить время ожидания простоя, см. Раздел «Настройка групповых политик».
Примечание Чтобы снизить затраты на подключение, отключите пакеты поддержки активности IKE, если в эту группу входят клиенты, подключающиеся через линии ISDN. Соединения ISDN обычно отключаются, если они неактивны, но механизм поддержки активности IKE предотвращает простаивание соединений и, следовательно, разъединение.
Если отключить сообщения поддержки активности IKE, клиент отключается только тогда, когда истекает срок действия его ключей IKE или IPSec. Неудачный трафик не отключает туннель со значениями профиля времени ожидания однорангового узла, как это происходит при включении сообщений поддержки активности IKE.
Примечание Если у вас есть конфигурация LAN-to-LAN с использованием основного режима IKE, убедитесь, что два одноранговых узла имеют одинаковую конфигурацию поддержки активности IKE. У обоих одноранговых узлов должна быть включена поддержка активности IKE или у обоих одноранговых узлов она должна быть отключена.
• Если вы настраиваете аутентификацию с использованием цифровых сертификатов, вы можете указать, следует ли отправлять всю цепочку сертификатов (которая отправляет партнеру сертификат идентичности и все выдающие сертификаты) или только выдающие сертификаты (включая корневой сертификат и все подчиненные сертификаты CA).
• Вы можете уведомить пользователей, которые используют устаревшие версии клиентского программного обеспечения Windows, что им необходимо обновить свой клиент, и вы можете предоставить им механизм для получения обновленной версии клиента.Для пользователей аппаратного клиента VPN 3002 вы можете запустить автоматическое обновление. Вы можете настроить и изменить client-update либо для всех туннельных групп, либо для определенных туннельных групп.
• Если вы настраиваете аутентификацию с использованием цифровых сертификатов, вы можете указать имя точки доверия, которая идентифицирует сертификат для отправки партнеру IKE.
Параметры подключения туннельной группы WebVPN
Следующие атрибуты относятся к соединениям WebVPN:
• Метод аутентификации: AAA или сертификат.
• Имя применяемой настройки. Настройки определяют внешний вид окон, которые пользователь видит при входе в систему. Вы настраиваете параметры настройки как часть настройки WebVPN.
• Имя группы серверов DNS. Группа DNS-серверов указывает имя DNS-сервера, имя домена, сервер имен, количество повторных попыток и значения тайм-аута, которые DNS-сервер должен использовать для туннельной группы.
• Один или несколько псевдонимов группы; это альтернативные имена, под которыми сервер может ссылаться на туннельную группу.При входе в систему пользователь выбирает имя группы из раскрывающегося меню.
• Один или несколько URL-адресов группы. Если вы настроите этот параметр, пользователям, входящим по указанному URL-адресу, не нужно выбирать группу при входе в систему.
• Групповая политика, которая предоставляет пользователю WebVPN права доступа, отличные от групповой политики по умолчанию.
• Имя сервера службы имен NetBIOS (nbns-server), используемого для разрешения имен CIFS.
Настройка групп туннелей
В следующих разделах описывается содержание и конфигурация туннельных групп:
• Конфигурация группы туннелей удаленного доступа IPSec по умолчанию
• Указание имени и типа для туннельной группы удаленного доступа IPSec
• Настройка групп туннелей удаленного доступа IPSec
• Настройка групп туннелей LAN-to-LAN
• Настройка групп туннелей WebVPN
• Настройка окон входа в систему для пользователей WebVPN
Вы можете изменить группы туннелей по умолчанию, и вы можете настроить новую группу туннелей как любой из трех типов туннельных групп.Если вы явно не настраиваете атрибут в туннельной группе, этот атрибут получает свое значение из туннельной группы по умолчанию. Тип туннельной группы по умолчанию — ipsec-ra. Последующие параметры зависят от вашего выбора типа туннеля. Чтобы увидеть текущую настроенную и стандартную конфигурацию всех ваших туннельных групп, включая туннельную группу по умолчанию, введите команду show running-config all tunnel-group .
Максимальное количество туннельных групп
Максимальное количество туннельных групп, которые может поддерживать устройство безопасности, зависит от максимального количества одновременных сеансов VPN для платформы + 5.Например, ASA5505 может поддерживать максимум 25 одновременных сеансов VPN, что позволяет создать 30 туннельных групп (25 + 5). Попытка добавить дополнительную туннельную группу сверх лимита приводит к следующему сообщению: «ОШИБКА: достигнут предел в 30 настроенных туннельных групп».
Таблица 30-1 определяет максимальное количество сеансов VPN и профили подключения для каждой платформы ASA.
5505 Base / Security Plus | 5510 / Base / Security Plus | 5520 | 5540 | 5550 | |
---|---|---|---|---|---|
Максимальное количество сеансов VPN | 10/25 | 250 | 750 | 5000 | 5000 |
Максимальное количество профилей подключения | 15/30 | 255 | 755 | 5005 | 5005 |
Конфигурация группы туннелей удаленного доступа IPSec по умолчанию
Содержимое туннельной группы удаленного доступа по умолчанию выглядит следующим образом:
туннельная группа DefaultRAG Тип группы ipsec-ra
туннельная группа DefaultRAGroup общие атрибуты
нет пула адресов
аутентификация-сервер-группа ЛОКАЛЬНЫЙ
нет группы-сервера-авторизации
без учета-сервера-группы
по умолчанию групповая политика DfltGrpPolicy
нет dhcp-сервера
нет группы серверов аутентификации nac
без полосы-царства
без управления паролями
no override-account-disable
без стрип-группы
авторизация не требуется
authorization-dn-attributes CN OU
туннельная группа DefaultRAGroup ipsec-attributes
без предварительного общего ключа
peer-id-validate req
без цепи
нет точки доверия
порог поддержки активности isakmp 100 повторная попытка 2
isakmp ikev1-аутентификация пользователя xauth
туннельная группа DefaultRAGroup ppp-attributes
без аутентификации pap
аутентификация глава
аутентификация ms-chap-v1
без аутентификации ms-chap-v2
нет аутентификации EAP-прокси
Настройка общих атрибутов туннельной группы IPSec
Общие атрибуты являются общими для более чем одного типа туннельной группы.Удаленный доступ IPSec и туннели WebVPN имеют большинство общих атрибутов. Туннели IPSec LAN-to-LAN используют подмножество. См. Справочник по командам Cisco Security Appliance для полного описания всех команд. В следующих разделах по порядку описывается, как настроить туннельные группы удаленного доступа IPSec, туннельные группы IPSec LAN-to-LAN и туннельные группы WebVPN.
Настройка групп туннелей удаленного доступа IPSec
Используйте туннельную группу удаленного доступа IPSec при настройке соединения между удаленным клиентом и устройством безопасности центрального сайта с помощью аппаратного или программного клиента.Чтобы настроить группу туннелей удаленного доступа IPSec, сначала настройте общие атрибуты группы туннелей, а затем атрибуты удаленного доступа IPSec. Туннельная группа VPN для удаленного доступа IPSec применяется только к клиентским соединениям IPSec удаленного доступа. Чтобы настроить туннельную группу удаленного доступа IPSec, см. Следующие разделы:
• Указание имени и типа для туннельной группы удаленного доступа IPSec.
• Настройка общих атрибутов туннельной группы удаленного доступа IPSec.
• Настройка атрибутов IPSec туннельной группы удаленного доступа IPSec.
Указание имени и типа для туннельной группы удаленного доступа IPSec
Создайте туннельную группу, указав ее имя и тип, введя команду tunnel-group . Для туннеля удаленного доступа IPSec это тип ipsec-ra
hostname (config) # tunnel-group tunnel_group_name тип ipsec-ra
имя хоста (конфигурация) #
Например, чтобы создать туннельную группу удаленного доступа IPSec с именем TunnelGroup1, введите следующую команду:
hostname (config) # tunnel-group TunnelGroup1 type ipsec-ra
имя хоста (конфигурация) #
Настройка общих атрибутов туннельной группы удаленного доступа IPSec
Чтобы настроить или изменить общие атрибуты группы туннелей, укажите параметры в следующих шагах.
Шаг 1 Чтобы настроить общие атрибуты, введите команду общих атрибутов туннельной группы, которая перейдет в режим настройки общих атрибутов туннельной группы. Приглашение изменится, чтобы указать на изменение режима.
hostname (config) # tunnel-group tunnel_group_name общие атрибуты
имя хоста (config-tunnel-general) #
Шаг 2 Укажите имя группы серверов аутентификации, если таковая имеется, для использования.Если вы хотите использовать ЛОКАЛЬНУЮ базу данных для аутентификации в случае сбоя указанной группы серверов, добавьте ключевое слово ЛОКАЛЬНЫЙ :
hostname (config-tunnel-general) # authentication-server-group [(interface_name)] groupname [МЕСТНОЕ]
имя хоста (config-tunnel-general) #
Вы можете дополнительно настроить аутентификацию интерфейса, включив имя интерфейса после имени группы.Имя интерфейса, указывающее, где заканчивается туннель IPSec, должно быть заключено в круглые скобки. Следующая команда настраивает аутентификацию интерфейса для интерфейса с именем test, используя для аутентификации сервер с именем servergroup1:
hostname (config-tunnel-general) # authentication-server-group (test) servergroup1
имя хоста (config-tunnel-general) #
Шаг 3 Укажите имя группы серверов авторизации, если таковая имеется, для использования.При настройке этого значения пользователи должны существовать в базе данных авторизации для подключения:
hostname (config-tunnel-general) # author-server-group groupname
имя хоста (config-tunnel-general) #
Например, следующая команда указывает использование группы серверов авторизации FinGroup:
hostname (config-tunnel-general) # author-server-group FinGroup
имя хоста (config-tunnel-general) #
Шаг 4 Укажите имя группы учетных серверов, если таковая имеется, для использования:
hostname (config-tunnel-general) # Accounting-server-group groupname
имя хоста (config-tunnel-general) #
Например, следующая команда определяет использование группы учетных серверов с именем comptroller:
hostname (config-tunnel-general) # Accounting-server-group comptroller
имя хоста (config-tunnel-general) #
Шаг 5 Укажите имя групповой политики по умолчанию:
hostname (config-tunnel-general) # default-group-policy policyname
имя хоста (config-tunnel-general) #
В следующем примере DfltGrpPolicy задается как имя групповой политики по умолчанию:
hostname (config-tunnel-general) # default-group-policy DfltGrpPolicy
имя хоста (config-tunnel-general) #
Шаг 6 Укажите имена или IP-адреса DHCP-сервера (до 10 серверов) и имена пулов адресов DHCP (до 6 пулов).По умолчанию DHCP-сервер и пул адресов отсутствуют.
имя хоста (config-tunnel-general) # dhcp-server server1 [ ... server10 ]
hostname (config-tunnel-general) # address-pool [(имя интерфейса)] address_pool1 [... address_pool6]
имя хоста (config-tunnel-general) #
Примечание Имя интерфейса должно быть заключено в круглые скобки.
Пулы адресов настраиваются с помощью команды ip local pool в режиме глобальной конфигурации.
Шаг 7 Укажите имя группы серверов аутентификации NAC, если вы используете Network Admission Control, для определения группы серверов аутентификации, которые будут использоваться для проверки состояния Network Admission Control. Настройте хотя бы один сервер управления доступом для поддержки NAC. Используйте команду aaa-server , чтобы назвать группу ACS. Затем используйте команду nac-authentication-server-group , используя то же имя для группы серверов.
В следующем примере acs-group1 определяется как группа серверов аутентификации, которая будет использоваться для проверки состояния NAC:
имя хоста (config-group-policy) # nac-authentication-server-group acs-group1
имя хоста (config-group-policy)
В следующем примере группа серверов аутентификации наследуется от группы удаленного доступа по умолчанию.
имя хоста (config-group-policy) # no nac-authentication-server-group
имя хоста (config-group-policy)
Примечание. NAC требует наличия Cisco Trust Agent на удаленном хосте.
Шаг 8 Укажите, следует ли удалять группу или область из имени пользователя перед передачей их на сервер AAA. По умолчанию не удаляется ни имя группы, ни область.
имя хоста (config-tunnel-general) # strip-group
имя хоста (config-tunnel-general) # strip-realm
имя хоста (config-tunnel-general) #
Область — это административный домен. Если вы удалите область, устройство безопасности будет использовать имя пользователя и групповую (если есть) аутентификацию. Если вы удалите группу, устройство безопасности будет использовать имя пользователя и область (если она есть) для аутентификации.Введите команду strip-realm , чтобы удалить квалификатор области, и используйте команду strip-group, чтобы удалить квалификатор группы из имени пользователя во время аутентификации. Если удалить оба квалификатора, аутентификация будет основана только на имени пользователя . В противном случае аутентификация основана на полном имени пользователя @ область или имени пользователя < разделитель > группа строка. Вы должны указать strip-realm , если ваш сервер не может анализировать разделители.
Примечание Команда strip-group для коммутации туннельных групп не работает, когда MS-CHAPv2 используется для аутентификации PPP. Это связано с ограничением протокола MS-CHAPv2. Это связано с тем, что вычисление хэша во время привязки MS-CHAPv2 к строке имени пользователя.
Шаг 9 При желании, если ваш сервер является сервером RADIUS, RADIUS с NT или LDAP, вы можете включить управление паролями.
Примечание Если вы используете сервер каталогов LDAP для аутентификации, управление паролями поддерживается сервером системного каталога Sun Microsystems JAVA (ранее называвшимся Sun ONE Directory Server) и Microsoft Active Directory.
• Sun — DN, настроенный на устройстве безопасности для доступа к серверу каталогов Sun, должен иметь возможность доступа к политике паролей по умолчанию на этом сервере. Мы рекомендуем использовать администратора каталога или пользователя с правами администратора каталога в качестве DN. Кроме того, вы можете поместить ACI в политику паролей по умолчанию.
• Microsoft — необходимо настроить LDAP через SSL, чтобы включить управление паролями с помощью Microsoft Active Directory.
Для получения дополнительной информации см. Раздел «Настройка типа сервера LDAP» на стр. 13-7.
Эта функция, которая включена по умолчанию, предупреждает пользователя, когда истекает срок действия текущего пароля. По умолчанию пользователь получает предупреждение за 14 дней до истечения срока действия:
.hostname (config-tunnel-general) # password-management
имя хоста (config-tunnel-general) #
Если сервер является сервером LDAP, вы можете указать количество дней (от 0 до 180) до истечения срока, чтобы начать предупреждать пользователя об ожидающем истечении срока действия:
hostname (config-tunnel-general) # password-management [срок действия пароля в днях n ]
имя хоста (config-tunnel-general) #
Примечание Команда password-management , введенная в режиме конфигурации общих атрибутов туннельной группы, заменяет устаревшую команду radius-with-expiry , которая ранее вводилась в режиме ipsec-attributes туннельной группы.
Когда вы настраиваете эту команду, устройство безопасности уведомляет удаленного пользователя при входе в систему, что срок действия текущего пароля пользователя скоро истечет или истек. Затем устройство безопасности предлагает пользователю возможность изменить пароль. Если срок действия текущего пароля еще не истек, пользователь все еще может войти в систему, используя этот пароль. Устройство безопасности игнорирует эту команду, если аутентификация RADIUS или LDAP не настроена.
Обратите внимание, что при этом изменяется не количество дней до истечения срока действия пароля, а, скорее, количество дней до истечения срока действия, когда устройство безопасности начинает предупреждать пользователя о том, что срок действия пароля скоро истечет.
Если вы все же укажете ключевое слово password-expire-in-days , вы также должны указать количество дней.
Если задать для этой команды количество дней, равное 0, эта команда будет отключена. Устройство безопасности не уведомляет пользователя об ожидающем истечении срока действия, но пользователь может изменить пароль после его истечения.
Дополнительные сведения см. В разделе «Настройка параметров Microsoft Active Directory для управления паролями».
Примечание Команда radius-with-expiry , ранее настроенная как часть конфигурации ipsec-ra туннельной группы, устарела.Команда password-management , введенная в режиме общих атрибутов туннельной группы, заменяет ее.
Шаг 10 При необходимости настройте возможность переопределения индикатора отключения учетной записи с сервера AAA, введя команду override-account-disable :
hostname (config-tunnel-general) # override-account-disable
имя хоста (config-tunnel-general) #
Примечание Разрешение override-account-disable представляет собой потенциальную угрозу безопасности.
Шаг 11 Укажите атрибут или атрибуты, которые будут использоваться при получении имени для запроса авторизации из сертификата. Этот атрибут указывает, какую часть поля DN субъекта использовать в качестве имени пользователя для авторизации:
hostname (config-tunnel-general) # authorization-dn-attributes { primary-attribute [ вторичный атрибут ] | использовать полное имя}
Например, следующая команда определяет использование атрибута CN в качестве имени пользователя для авторизации:
hostname (config-tunnel-general) # authorization-dn-attributes CN
имя хоста (config-tunnel-general) #
Атрибуты dn-авторизации: C (Страна), CN (Обычное имя), DNQ (квалификатор DN), EA (адрес электронной почты), GENQ (определитель поколений), GN (имя), I (инициалы), L (населенный пункт), N (имя), O (организация), OU (организационная единица), SER (серийный номер) , SN (фамилия), SP (штат / провинция), T (титул), UID (идентификатор пользователя) и UPN (основное имя пользователя).
Шаг 12 Укажите, требуется ли успешная авторизация, прежде чем разрешить пользователю подключение. По умолчанию авторизация не требуется.
hostname (config-tunnel-general) # требуется авторизация
имя хоста (config-tunnel-general) #
Настройка атрибутов IPSec группы туннелей удаленного доступа IPSec
Чтобы настроить атрибуты IPSec для туннельной группы удаленного доступа, выполните следующие действия.В следующем описании предполагается, что вы уже создали туннельную группу удаленного доступа IPSec. Туннельные группы удаленного доступа IPSec имеют больше атрибутов, чем туннельные группы IPSec LAN-to-LAN:
Шаг 1 Чтобы указать атрибуты туннельной группы удаленного доступа IPSec, войдите в режим ipsec-атрибутов туннельной группы, введя следующую команду. Приглашение изменится, чтобы указать на изменение режима:
hostname (config) # tunnel-group имя-группы-туннеля ipsec-атрибуты
имя хоста (config-tunnel-ipsec) #
Эта команда входит в режим настройки ipsec-атрибутов туннельной группы, в котором вы настраиваете атрибуты IPSec туннельной группы удаленного доступа.
Например, следующая команда указывает, что следующие команды режима туннельной группы ipsec-attributes относятся к туннельной группе с именем TG1. Обратите внимание на то, что приглашение изменится, показывая, что вы находитесь в режиме ipsec-атрибутов туннельной группы:
hostname (config) # туннельная группа TG1 type ipsec-ra
hostname (config) # tunnel-group TG1 ipsec-attributes
имя хоста (config-tunnel-ipsec) #
Шаг 2 Укажите предварительный ключ для поддержки соединений IKE на основе предварительных ключей.Например, следующая команда указывает предварительный ключ xyzx для поддержки соединений IKE для туннельной группы удаленного доступа IPSec:
hostname (config-tunnel-ipsec) # pre-shared-key xyzx
имя хоста (config-tunnel-ipsec) #
Шаг 3 Укажите, нужно ли проверять идентичность однорангового узла с помощью сертификата однорангового узла:
hostname (config-tunnel-ipsec) # peer-id-validate option
имя хоста (config-tunnel-ipsec) #
Доступные варианты: req (обязательно), cert (, если поддерживается сертификатом) и nocheck ( не проверять).По умолчанию требуется .
Например, следующая команда указывает, что требуется проверка однорангового идентификатора:
hostname (config-tunnel-ipsec) # peer-id-validate req
имя хоста (config-tunnel-ipsec) #
Шаг 4 Укажите, нужно ли
Шаг 5 Укажите, следует ли разрешить отправку цепочки сертификатов. Следующая команда включает в передачу корневой сертификат и все подчиненные сертификаты CA:
hostname (config-tunnel-ipsec) # цепочка
имя хоста (config-tunnel-ipsec) #
Этот атрибут применяется ко всем типам туннельных групп IPSec.
Шаг 6 Укажите имя точки доверия, которая идентифицирует сертификат для отправки одноранговому узлу IKE:
hostname (config-tunnel-ipsec) # trust-point trust-point-name
имя хоста (config-tunnel-ipsec) #
Следующая команда указывает mytrustpoint как имя сертификата, который будет отправлен одноранговому узлу IKE:
hostname (config-ipsec) # точка доверия mytrustpoint
Шаг 7 Укажите порог поддержки активности ISAKMP (IKE) и количество разрешенных повторных попыток.
hostname (config-tunnel-ipsec) # isakmp keepalive threshold < number > retry < number >
имя хоста (config-tunnel-ipsec) #
Порог Параметр указывает количество секунд (от 10 до 3600), в течение которых одноранговому узлу разрешено бездействовать, прежде чем начать мониторинг поддержки активности. Параметр retry — это интервал (от 2 до 10 секунд) между попытками после того, как ответ keepalive не был получен.Сообщения поддержки активности IKE включены по умолчанию. Чтобы отключить сообщения поддержки активности IKE, введите форму no команды isakmp :
Например, следующая команда устанавливает пороговое значение проверки активности IKE на 15 секунд и устанавливает интервал повтора на 10 секунд:
hostname (config-tunnel-ipsec) # isakmp keepalive threshold 15 retry 10
имя хоста (config-tunnel-ipsec) #
Значение по умолчанию для параметра порогового значения составляет 300 для удаленного доступа и 10 для LAN-to-LAN, а значение по умолчанию для параметра повтора — 2.
Чтобы указать, что центральный сайт («головной узел») никогда не должен инициировать мониторинг ISAKMP, введите следующую команду:
hostname (config-tunnel-ipsec) # isakmp keepalive threshold infinite
имя хоста (config-tunnel-ipsec) #
Шаг 8 Укажите гибридный метод аутентификации ISAKMP, XAUTH или гибридный XAUTH.
Вы используете команду isakmp ikev1-user-authentication для реализации гибридной аутентификации XAUTH, когда вам нужно использовать цифровые сертификаты для аутентификации устройства безопасности и другой устаревший метод аутентификации удаленного пользователя VPN, такой как RADIUS, TACACS + или SecurID.Гибридный XAUTH разбивает фазу 1 IKE на следующие два этапа, вместе называемые гибридной аутентификацией:
а. Устройство безопасности аутентифицируется для удаленного пользователя VPN с помощью стандартных методов открытого ключа. Это устанавливает сопоставление безопасности IKE с однонаправленной аутентификацией.
б. Обмен XAUTH затем аутентифицирует удаленного пользователя VPN. Эта расширенная проверка подлинности может использовать один из поддерживаемых устаревших методов проверки подлинности.
Примечание Прежде чем можно будет установить гибридный тип аутентификации, необходимо настроить сервер аутентификации, создать предварительный ключ и настроить точку доверия.
Вы можете использовать команду isakmp ikev1-user-authentication с дополнительным параметром интерфейса, чтобы указать конкретный интерфейс. Если вы опускаете параметр интерфейса, команда применяется ко всем интерфейсам и служит резервной копией, если не указана команда для каждого интерфейса.Если для туннельной группы указаны две команды isakmp ikev1-user-authentication , и одна использует параметр interface , а другая нет, то команда, определяющая интерфейс, имеет приоритет для этого конкретного интерфейса.
Например, следующие команды включают гибридный XAUTH на внутреннем интерфейсе для туннельной группы с именем example-group:
имя хоста (конфигурация) # туннельная группа пример-группа тип ipsec-ra
hostname (config) # туннельная группа example-group ipsec-attributes
имя хоста (config-tunnel-ipsec) # isakm p ikev1-user-authentication (inside) hybrid
имя хоста (config-tunnel-ipsec) #
Настройка атрибутов PPP группы туннелей удаленного доступа IPSec
Чтобы настроить атрибуты протокола точка-точка для туннельной группы удаленного доступа, выполните следующие действия.Атрибуты PPP применяют только к туннельным группам удаленного доступа IPSec. В следующем описании предполагается, что вы уже создали туннельную группу удаленного доступа IPSec.
Шаг 1 Войдите в режим настройки ppp-атрибутов туннельной группы, в котором вы настраиваете PPP-атрибуты туннельной группы удаленного доступа, введя следующую команду. Приглашение изменится, чтобы указать на изменение режима:
hostname (config) # tunnel-group имя-группы-туннеля тип ipsec-ra
hostname (config) # tunnel-group имя-группы-туннеля ppp-attributes
имя хоста (config-tunnel-ppp) #
Например, следующая команда указывает, что следующие команды режима туннельной группы ppp-attributes относятся к туннельной группе с именем TG1.Обратите внимание, что приглашение изменится, показывая, что вы находитесь в режиме ppp-атрибутов туннельной группы:
hostname (config) # туннельная группа TG1 type ipsec-ra
hostname (config) # tunnel-group TG1 ppp-attributes
имя хоста (config-tunnel-ppp) #
Шаг 2 Укажите, следует ли включать аутентификацию с использованием определенных протоколов для PPP-соединения. Значение протокола может быть:
• pap — включает использование протокола аутентификации пароля для соединения PPP.
• chap — Включает использование протокола аутентификации с подтверждением вызова для соединения PPP.
• ms-chap-v1 или ms-chap-v2 — позволяет использовать протокол аутентификации Microsoft Challenge Handshake Authentication, версии 1 или версии 2 для соединения PPP.
• eap — включает использование протокола расширенной аутентификации для PPP-соединения.
CHAP и MSCHAPv1 включены по умолчанию.
Синтаксис этой команды:
hostname (config-tunnel-ppp) # аутентификация протокол
имя хоста (config-tunnel-ppp) #
Чтобы отключить аутентификацию для определенного протокола, используйте форму no команды:
hostname (config-tunnel-ppp) # нет протокола аутентификации
имя хоста (config-tunnel-ppp) #
Например, следующая команда включает использование протокола PAP для соединения PPP.
hostname (config-tunnel-ppp) # аутентификационный pap
имя хоста (config-tunnel-ppp) #
Следующая команда включает использование протокола MS-CHAP версии 2 для PPP-соединения:
hostname (config-tunnel-ppp) # аутентификация ms-chap-v2
имя хоста (config-tunnel-ppp) #
Следующая команда включает использование протокола EAP-PROXY для PPP-соединения:
hostname (config-tunnel-ppp) # аутентификационный pap
имя хоста (config-tunnel-ppp) #
Следующая команда отключает использование протокола MS-CHAP версии 1 для PPP-соединения:
hostname (config-tunnel-ppp) # без аутентификации ms-chap-v1
имя хоста (config-tunnel-ppp) #
Настройка групп туннелей LAN-to-LAN
Туннельная группа IPSec LAN-to-LAN VPN применяется только к клиентским соединениям IPSec LAN-to-LAN.Хотя многие параметры, которые вы настраиваете, такие же, как для туннельных групп удаленного доступа IPSec, туннели LAN-LAN имеют меньше параметров. Чтобы настроить туннельную группу LAN-to-LAN, выполните действия, описанные в этом разделе.
Конфигурация туннельной группы LAN-to-LAN по умолчанию
Содержимое туннельной группы LAN-to-LAN по умолчанию следующее:
туннельная группа по умолчанию L2L Тип группы ipsec-l2l
туннельная группа DefaultL2LGroup общие атрибуты
без учета-сервера-группы
по умолчанию групповая политика DfltGrpPolicy
туннельная группа DefaultL2LGroup ipsec-атрибуты
без предварительного общего ключа
peer-id-validate req
без цепи
нет точки доверия
порог поддержки активности isakmp 10, повтор 2
Туннельные группы LAN-to-LAN имеют меньше параметров, чем туннельные группы удаленного доступа, и большинство из них одинаковы для обеих групп.Для вашего удобства при настройке подключения они перечислены здесь отдельно. Все параметры, которые вы не настраиваете явно, наследуют свои значения из группы туннелей по умолчанию.
Указание имени и типа для туннельной группы LAN-to-LAN
Чтобы указать имя и тип туннельной группы, введите команду tunnel-group , как показано ниже:
hostname (config) # tunnel-group tunnel_group_name type tunnel_type
Для туннеля LAN-to-LAN это тип ipsec-l2l .; например, чтобы создать туннельную группу LAN-to-LAN с именем docs, введите следующую команду:
hostname (config) # тип документации туннельной группы ipsec-l2l
имя хоста (конфигурация) #
Настройка общих атрибутов туннельной группы LAN-to-LAN
Чтобы настроить общие атрибуты группы туннелей, выполните следующие действия:
Шаг 1 Войдите в режим общих атрибутов туннельной группы, указав ключевое слово общих атрибутов:
hostname (config) # tunnel-group _tunnel-group-name общие-атрибуты
имя хоста (config-tunnel-general) #
Приглашение изменится, показывая, что теперь вы находитесь в режиме config-general, в котором вы настраиваете общие атрибуты туннельной группы.
Например, для туннельной группы с именем docs введите следующую команду:
hostname (config) # tunnel- group_docs general-attributes
имя хоста (config-tunnel-general) #
Шаг 2 Укажите имя группы учетных серверов, если таковая имеется, для использования:
hostname (config-tunnel-general) # Accounting-server-group groupname
имя хоста (config-tunnel-general) #
Например, следующая команда определяет использование группы учетных серверов acctgserv1:
имя хоста (config-tunnel-general) # account-server-group acctgserv1
имя хоста (config-tunnel-general) #
Шаг 3 Укажите имя групповой политики по умолчанию:
hostname (config-tunnel-general) # default-group-policy policyname
имя хоста (config-tunnel-general) #
Например, следующая команда указывает, что имя групповой политики по умолчанию — MyPolicy:
имя хоста (config-tunnel-general) # default-group-policy MyPolicy
имя хоста (config-tunnel-general) #
Настройка атрибутов IPSec LAN-to-LAN
Чтобы настроить атрибуты IPSec, выполните следующие действия:
Шаг 1 Чтобы настроить атрибуты IPSec туннельной группы, войдите в режим настройки ipsec-attributes туннельной группы, введя команду tunnel-group с ключевым словом IPSec-attributes.
hostname (config) # tunnel-group имя-группы-туннеля ipsec-атрибуты
имя хоста (config-tunnel-ipsec) #
Например, следующая команда входит в режим config-ipsec, чтобы вы могли настроить параметры для туннельной группы с именем TG1:
hostname (config) # tunnel-group TG1 ipsec-attributes
имя хоста (config-tunnel-ipsec) #
Запрос изменяется, показывая, что вы находитесь в режиме настройки атрибутов ipsec туннельной группы.
Шаг 2 Укажите предварительный ключ для поддержки соединений IKE на основе предварительных ключей.
hostname (config-tunnel-ipsec) # pre-shared-key key
имя хоста (config-tunnel-ipsec) #
Например, следующая команда указывает предварительный ключ XYZX для поддержки соединений IKE для туннельной группы IPSec LAN-to-LAN:
hostname (config-tunnel-ipsec) # pre-shared-key xyzx
имя хоста (config-tunnel-general) #
Шаг 3 Укажите, нужно ли проверять идентичность однорангового узла с помощью сертификата однорангового узла:
hostname (config-tunnel-ipsec) # peer-id-validate option
имя хоста (config-tunnel-ipsec) #
Доступные варианты: req (обязательно), cert (, если поддерживается сертификатом) и nocheck ( не проверять).По умолчанию требуется . Например, следующая команда устанавливает для параметра peer-id-validate значение nocheck :
hostname (config-tunnel-ipsec) # peer-id-validate nocheck
имя хоста (config-tunnel-ipsec) #
Шаг 4 Укажите, следует ли разрешить отправку цепочки сертификатов. Это действие включает в передачу корневой сертификат и все подчиненные сертификаты ЦС:
hostname (config-tunnel-ipsec) # цепочка
имя хоста (config-tunnel-ipsec) #
Этот атрибут можно применить ко всем типам туннельных групп.
Шаг 5 Укажите имя точки доверия, которая идентифицирует сертификат для отправки одноранговому узлу IKE:
hostname (config-tunnel-ipsec) # trust-point trust-point-name
имя хоста (config-tunnel-ipsec) #
Например, следующая команда устанавливает имя точки доверия как mytrustpoint:
hostname (config-tunnel-ipsec) # точка доверия mytrustpoint
имя хоста (config-tunnel-ipsec) #
Этот атрибут можно применить ко всем типам туннельных групп.
Шаг 6 Укажите порог поддержки активности ISAKMP (IKE) и количество разрешенных повторных попыток. Порог Параметр указывает количество секунд (от 10 до 3600), в течение которых одноранговому узлу разрешено бездействовать, прежде чем начать мониторинг активности. Параметр retry — это интервал (от 2 до 10 секунд) между попытками после того, как ответ keepalive не был получен. Сообщения поддержки активности IKE включены по умолчанию. Чтобы отключить сообщения поддержки активности IKE, введите форму no команды isakmp :
hostname (config) # isakmp keepalive threshold < number > retry < number >
имя хоста (config-tunnel-ipsec) #
Например, следующая команда устанавливает порог поддержки активности ISAKMP на 15 секунд и устанавливает интервал повтора на 10 секунд.:
hostname (config-tunnel-ipsec) # isakmp keepalive threshold 15 retry 10
имя хоста (config-tunnel-ipsec) #
Значение по умолчанию для порогового значения для параметра LAN-to-LAN равно 10, а значение по умолчанию для параметра повтора — 2.
Чтобы указать, что центральный сайт («головной узел») никогда не должен инициировать мониторинг ISAKMP, введите следующую команду:
hostname (config-tunnel-ipsec) # isakmp keepalive threshold infinite
имя хоста (config-tunnel-ipsec) #
Шаг 7 Укажите гибридный метод аутентификации ISAKMP, XAUTH или гибридный XAUTH.
Вы используете команду isakmp ikev1-user-authentication для реализации гибридной аутентификации XAUTH, когда вам нужно использовать цифровые сертификаты для аутентификации устройства безопасности и другой устаревший метод аутентификации удаленного пользователя VPN, такой как RADIUS, TACACS + или SecurID. Гибридный XAUTH разбивает фазу 1 IKE на следующие два этапа, вместе называемые гибридной аутентификацией:
а. Устройство безопасности аутентифицируется для удаленного пользователя VPN с помощью стандартных методов открытого ключа.Это устанавливает сопоставление безопасности IKE с однонаправленной аутентификацией.
б. Обмен XAUTH затем аутентифицирует удаленного пользователя VPN. Эта расширенная проверка подлинности может использовать один из поддерживаемых устаревших методов проверки подлинности.
Примечание Прежде чем можно будет установить гибридный тип аутентификации, необходимо настроить сервер аутентификации, создать предварительный ключ и настроить точку доверия.
Вы можете использовать команду isakmp ikev1-user-authentication с дополнительным параметром интерфейса, чтобы указать конкретный интерфейс.Когда вы опускаете параметр интерфейса, команда применяется ко всем интерфейсам и служит
Уточнение действия правила политики контроля доступа для защиты от угроз огневой мощи
Введение
В этом документе описываются различные действия, доступные в политике контроля доступа (ACP) и политике предварительной фильтрации для защиты от угроз огневой мощи (FTD). Кроме того, исследуется фоновая операция каждого действия, а также его взаимодействие с другими функциями, такими как разгрузка потока и протоколами, открывающими вторичные соединения.
Предварительные требования
Требования
Cisco рекомендует ознакомиться со следующими темами:
- Разгрузка потока
- Захват пакетов на устройствах Firepower Threat Defense (FTD)
- Трассировщик пакетов и захват с опцией трассировки на устройствах FTD
Используемые компоненты
Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:
- Cisco Firepower 4110 Threat Defense версии 6.4.0 (сборка 113) и 6.6.0 (сборка 90)
- Центр управления огневой мощью (FMC) версии 6.4.0 (сборка 113) и 6.6.0 (сборка 90)
Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.
Сопутствующие товары
Этот документ также можно использовать со следующими версиями аппаратного и программного обеспечения:
- ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X
- ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
- FPR1000, FPR2100, FPR4100, FPR9300
- VMware (ESXi), Amazon Web Services (AWS), виртуальная машина на основе ядра (KVM)
- Модуль маршрутизатора с интегрированным сервисным маршрутизатором (ISR)
- FTD версия программного обеспечения 6.1.x и выше
Примечание : Разгрузка потока поддерживается только на собственных экземплярах приложений ASA и FTD, а также на платформах FPR4100 и FPR9300. Экземпляры контейнеров FTD не поддерживают разгрузку потока.
Справочная информация
FTD — это единый образ программного обеспечения, состоящий из двух основных двигателей:
На этом рисунке показано, как взаимодействуют 2 двигателя:
- Пакет поступает на входящий интерфейс и обрабатывается механизмом LINA
- Если это требуется политикой FTD, пакет проверяется механизмом Snort
- Механизм Snort возвращает вердикт (белый или черный список) для пакета
- Механизм LINA отбрасывает или пересылает пакет на основе вердикта Snort
Как применяется ACP
Политика FTD настроена на FMC, когда используется автономное (удаленное) управление, или на диспетчере устройств Firepower (FDM), когда используется локальное управление.В обоих сценариях ACP развернут как:
- Глобальный список управления доступом (ACL) с именем CSM_FW_ACL_ для механизма FTD LINA
- Правила контроля доступа (AC) в файле /ngfw/var/sf/detection_engines/
/ngfw.rules к движку FTD Snort
Настроить
ACP Доступные действия
FTD ACP содержит одно или несколько правил, и каждое правило может иметь одно из этих действий, как показано на изображении:
- Разрешить
- Доверие
- Монитор
- Блок
- Блок со сбросом
- Интерактивный блок
- Интерактивный блок со сбросом
Аналогично, политика предварительной фильтрации может содержать одно или несколько правил, и возможные действия показаны на изображении:
Как взаимодействуют ACP и политика предварительной фильтрации
Политика предварительной фильтрациибыла введена в версии 6.1 и служит 2 основным целям:
- Он позволяет проверять туннелируемый трафик, при этом механизм FTD LINA проверяет внешний IP-заголовок, а механизм Snort проверяет внутренний IP-заголовок. Более конкретно, в случае туннелирования трафика (например, GRE) правила в политике предварительной фильтрации всегда действуют на внешние заголовки , тогда как правила в ACP всегда применимы к внутренним сеансам (внутренние заголовки) . Туннелируемый трафик относится к этим протоколам:
- GRE
- IP-в-IP
- IPv6-в-IP
- Порт Тередо 3544
- Он обеспечивает контроль раннего доступа (EAC), который позволяет потоку полностью обойти механизм Snort, как показано на изображении.
Правила предварительной фильтрации развернуты на FTD как элементы управления доступом L3 / L4 (ACE) и размещены над ACP, настроенными ACE L3 / L4, как показано на изображении:
Примечание : Предварительный фильтр против правил ACP = применяется первое совпадение.
Действие блока ACP
Рассмотрим топологию, показанную на изображении:
Сценарий 1. Раннее падение LINA
ACP содержит правило Block , которое использует условие L4 (порт назначения TCP 80), как показано на изображении:
Развернутая политика в Snort:
268435461 запретить любой 192.168.1.40 32 любой любой 192.168.2.40 32 80 любой 6
Развернутая политика в LINA. Обратите внимание, что правило выдвигается как deny action:
firepower # показать список доступа … список доступа CSM_FW_ACL_ строка 9 примечание идентификатор правила 268435461: L4 ПРАВИЛО: Правило1 список доступа CSM_FW_ACL_ строка 10 расширенный запретить хост tcp 192.168.1.40 хост 192.168.2.40 eq www rule-id 268435461 журнал событий начало потока (hitcnt = 0) 0x6149c43c
Проверить поведение:
Когда хост-A (192.168.1.40) пытается открыть сеанс HTTP для хоста B (192.168.2.40), пакеты синхронизации TCP (SYN) отбрасываются механизмом FTD LINA, не достигая Snort Engine или пункта назначения:
огневая мощь # показать захват захватить буфер необработанных данных типа CAPI 33554432 трассировка счетчик трассировки 100 интерфейс INSIDE [захват - 430 байт ] сопоставить ip host 192.168.1.40 любой буфер необработанных данных типа CAPO 33554432 трассировка счетчик трассировки 100 интерфейс ВНЕШНИЙ ВИД [захват - 0 байтов ] сопоставьте ip host 192.168.1.40 любая
огневая мощь № показать захват CAPI 1: 11: 08: 09.672801 192.168.1.40.32789> 192.168.2.40.80: S 32420: 32420 (0) win 29202: 11: 08: 12.672435 192.168.1.40.32789> 192.168.2.40.80: S 32420: 32420 (0) win 2920 3: 11: 08: 18.672847 192.168.1.40.32789> 192.168.2.40.80: S 32420: 32420 (0) win 2920 4: 11:08:30.673610 192.168.1.40.32789> 192.168.2.40.80: S 32420: 32420 (0) выиграть 2920
firepower # показать трассировку номер 1 пакета CAPI захвата 1: 11: 08: 09.672801 192.168.1.40.32789> 192.168.2.40.80: S 32420: 32420 (0) win 2920... Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: DROP Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный deny tcp host 192.168.1.40 хост 192.168.2.40 eq www rule-id 268435461 журнал событий начало потока список доступа CSM_FW_ACL_ идентификатор правила примечания 268435461: ПОЛИТИКА ДОСТУПА: ACP1 - Обязательно список доступа CSM_FW_ACL_ комментарий идентификатор правила 268435461: L4 ПРАВИЛО: Правило1 Дополнительная информация: <- Нет дополнительной информации = Нет проверки Snort Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом
Сценарий 2.Выпадение из-за вердикта Snort
ACP содержит правило Block , которое использует условие L7 (Application HTTP), как показано на изображении:
Развернутая политика в Snort:
268435461 отклонить любой 192.168.1.40 32 любой любой 192.168.2.40 32 любой любой любой (приложение 676: 1)
Appid 676: 1 = HTTP
Развернутая политика в LINA.
Примечание : правило отправляется как действие разрешения , поскольку LINA не может определить, что сеанс использует HTTP.На FTD механизм обнаружения приложений находится в движке Snort.
firepower # показать список доступа … список доступа CSM_FW_ACL_ строка 9 примечание идентификатор правила 268435461: L7 ПРАВИЛО: Правило1 список доступа CSM_FW_ACL_ строка 10 расширенный разрешение ip host 192.168.1.40 host 192.168.2.40 rule-id 268435461 (hitcnt = 0) 0xb788b786
Для правила блокировки, которое использует приложение в качестве условия, трассировка реального пакета показывает, что сеанс сброшен LINA из-за вердикта механизма Snort.
Примечание : Чтобы механизм Snort мог определить приложение, он должен проверить несколько пакетов (обычно 3-10, что зависит от декодера приложения). Таким образом, через FTD пропускается несколько пакетов, и они попадают в пункт назначения. Разрешенные пакеты по-прежнему подлежат проверке политики вторжения на основе параметра Политика доступа> Дополнительно> «Политика вторжений, используемая до определения правила контроля доступа».
Проверить поведение:
Когда хост-A (192.168.1.40) пытается установить сеанс HTTP с хостом B (192.168.2.40), входящий захват LINA показывает:
огневая мощь № показать захват CAPI Захвачено 8 пакетов 1: 11: 31: 19.825564 192.168.1.40.32790> 192.168.2.40.80: S 357753151: 357753151 (0) win 29202: 11: 31: 19.826403 192.168.2.40.80> 192.168.1.40.32790: S 1283 0: 1283 0 (0) ack 357753152 win 2896 3: 11:31:19.826556 192.168.1.40.32790> 192.168.2.40.80: P 357753152: 357753351 (199) ack 1283 1 win 2920 4: 11: 31: 20.026899 192.168.1.40.32790> 192.168.2.40.80: P 357753152: 357753351 (199) ack 1283 1 win 2920 5: 11: 31: 20.428887 192.168.1.40.32790> 192.168.2.40.80: P 357753152: 357753351 (199) ack 1283 1 win 2920 ...
Выходной захват:
огневая мощь # показать захват КАПО 5 захваченных пакетов 1: 11:31:19.825869 192.168.1.40.32790> 192.168.2.40.80: S 1163713179: 1163713179 (0) win 29202: 11: 31: 19.826312 192.168.2.40.80> 192.168.1.40.32790: S 354801457: 354801457 (0) ack 1163713180 win 2896 3: 11: 31: 23.426049 192.168.2.40.80> 192.168.1.40.32790: S 354801457: 354801457 (0) ack 1163713180 win 2896 4: 11: 31: 29.426430 192.168.2.40.80> 192.168.1.40.32790: S 354801457: 354801457 (0) ack 1163713180 win 2896 5: 11: 31: 41.427208 192.168.2.40.80> 192.168.1.40.32790: S 354801457: 354801457 (0) ack 1163713180 win 2896
Трассировка показывает, что первый пакет (TCP SYN) разрешен Snort, так как вердикт обнаружения приложений еще не принят:
firepower # показать трассировку номер 1 пакета CAPI захвата 1: 11:31:19.825564 192.168.1.40.32790> 192.168.2.40.80: S 357753151: 357753151 (0) win 2920... Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: РАЗРЕШИТЬ Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенное разрешение IP хост 192.168.1.40 хост 192.168.2.40 идентификатор правила 268435461 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435461: ПОЛИТИКА ДОСТУПА: ACP1 - Обязательно список доступа CSM_FW_ACL_ идентификатор правила примечания 268435461: L7 ПРАВИЛО: Правило1 Дополнительная информация: Этот пакет будет отправлен snort для дополнительной обработки, где будет вынесен вердикт ... Фаза: 10 Тип: ПОТОК-СОЗДАНИЕ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Новый поток создан с идентификатором 23194 , пакет отправлен следующему модулю … Фаза: 12 Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Trace: Пакет: TCP, SYN, seq 357753151 AppID: служба неизвестна (0), приложение неизвестно (0) Брандмауэр: запуск сопоставления правил, зона -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, пользователь 9999997, icmpType 0, icmpCode 0 Брандмауэр: , ожидает сопоставления правил, идентификатор 268435461, ожидающий AppID NAP id 1, IPS id 0, Вердикт PASS Snort Verdict: (pass-packet) разрешить этот пакет Результат: интерфейс ввода: ВНЕШНИЙ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: разрешить
То же для пакета TCP SYN / ACK:
firepower # показать трассировку номер 2 пакета CAPO захвата 2: 11:31:19.826312 192.168.2.40.80> 192.168.1.40.32790: S 354801457: 354801457 (0) ack 1163713180 win 2896… Фаза: 3 Тип: ПОТОК-ПРОСМОТР Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Найден поток с идентификатором 23194 с использованием существующего потока … Фаза: 5 Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Trace: Пакет: TCP, SYN, ACK, seq 1283 0, ack 357753152 AppID: служба неизвестна (0), приложение неизвестно (0) Брандмауэр: запуск сопоставления правил, зона -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, пользователь 9999997, icmpType 0, icmpCode 0 Брандмауэр: ожидает сопоставления правил, идентификатор 268435461, ожидающий AppID NAP id 1, IPS id 0, Вердикт PASS Snort Verdict: (pass-packet) разрешить этот пакет Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНУТРИ статус вывода: вверх статус строки вывода: вверх Действие: разрешить
Snort возвращает вердикт DROP после проверки третьего пакета:
firepower # показать трассировку номер 3 пакета CAPI захвата 3: 11:31:19.826556 192.168.1.40.32790> 192.168.2.40.80: P 357753152: 357753351 (199) ack 1283
Вы также можете запустить команду system support trace из режима FTD CLISH.Этот инструмент предоставляет 2 функции:
- Показывает вердикт Snort для каждого пакета при его отправке в библиотеку сбора данных (DAQ) и просмотре в LINA. DAQ — это компонент, расположенный между ядром FTD LINA и механизмом Snort .
- Позволяет запустить system support firewall-engine-debug одновременно, чтобы увидеть, что происходит внутри самого механизма Snort
Вот результат:
> трассировка поддержки системы Укажите IP-протокол: tcp Укажите IP-адрес клиента: 192.168.1.40 Укажите порт клиента: Укажите IP-адрес сервера: 192.168.2.40 Укажите порт сервера: Включить firewall-engine-debug тоже? [n]: y Мониторинг отладочных сообщений средства отслеживания пакетов Трассировка включена Линой 192.168.2.40-80 - 192.168.1.40-32791 6 Пакет: TCP, SYN , seq 2620409313 192.168.2.40-80 - 192.168.1.40-32791 6 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 Новая сессия 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 Начиная с минимума 2, 'Rule1' и SrcZone сначала с зонами -1 -> -1, geo 0 -> 0, vlan 0, встроенным тегом sgt: немаркированный, ISE sgt id: 0, svc 0, полезная нагрузка 0, клиент 0, разное 0, пользователь 9999997, icmpType 0, icmpCode 0 192.168.1.40-32791> 192.168.2.40-80 6 Межсетевой экран: запуск сопоставления правил, зона -1 -> -1, гео 0 -> 0, vlan 0, sgt 65535, пользователь 9999997, icmpType 0, icmpCode 0 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 отложенный порядок правила 2, 'Rule1', AppID 192.168.1.40-32791> 192.168.2.40-80 6 Брандмауэр: сопоставление ожидающих правил, «Правило1», ожидающий AppID 192.168.1.40-32791> 192.168.2.40-80 6 NAP id 1, IPS id 0, Вердикт PASS Буфер трассировки и причина вердикта отправляются в PDTS DAQ Трассировка включена Линой 192.168.2.40-80 - 192.168.1.40-32791 6 Пакет: TCP, SYN, ACK , seq 3700371680, ack 2620409314 192.168.2.40-80 - 192.168.1.40-32791 6 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 Начиная с минимума 2, 'Rule1' и SrcZone сначала с зонами -1 -> -1, geo 0 -> 0, vlan 0, встроенный тег sgt: немаркированный, идентификатор sgt ISE: 0, svc 0, полезная нагрузка 0, клиент 0, разное 0, пользователь 9999997, icmpType 0, icmpCode 0 192.168.1.40-32791> 192.168.2.40-80 6 Межсетевой экран: запуск сопоставления правил, зона -1 -> -1, гео 0 -> 0, vlan 0, sgt 65535, пользователь 9999997, icmpType 0, icmpCode 0 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 отложенный порядок правила 2, 'Rule1', AppID 192.168.1.40-32791> 192.168.2.40-80 6 Брандмауэр: ожидает сопоставления правил, «Правило1», ожидает AppID 192.168.1.40-32791> 192.168.2.40-80 6 NAP id 1, IPS id 0, Вердикт PASS Буфер трассировки и причина вердикта отправляются в PDTS DAQ Трассировка включена Линой 192.168.2.40-80 - 192.168.1.40-32791 6 Пакет: TCP, ACK , seq 2620409314, ack 3700371681 192.168.2.40-80 - 192.168.1.40-32791 6 AppID: служба HTTP (676) , приложение неизвестно (0) 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 Начиная с минимума 2, 'Rule1' и сначала SrcZone с зонами -1 -> -1, geo 0 (0) -> 0, vlan 0, inline Тег sgt: немаркированный, ISE sgt id: 0, svc 676, полезная нагрузка 0, клиент 686, разное 0, пользователь 9999997, URL http: // 192.168.2.40 / 128k.html, xff 192.168.1.40-32791> 192.168.2.40-80 6 Межсетевой экран: запуск сопоставления правил, зона -1 -> -1, гео 0 (0) -> 0, vlan 0, sgt 65535, пользователь 9999997, url http: // 192.168.2.40/128k.html 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 соответствует порядку правила 2, 'Rule1', блок действий 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 запретить действие 192.168.1.40-32791> 192.168.2.40-80 6 Межсетевой экран: правило блокировки, «Правило1», удаление 192.168.1.40-32791> 192.168.2.40-80 6 Snort: обработанные предупреждения декодера или очередь действий, отбрасывание 192.168.1.40-32791> 192.168.2.40-80 6 AS 1 I 0 Удаление сеанса 192.168.1.40-32791> 192.168.2.40-80 6 Идентификатор NAP 1, идентификатор IPS 0, Вердикт ЧЕРНЫЙ СПИСОК 192.168.1.40-32791> 192.168.2.40-80 6 ===> Заблокировано брандмауэром
Сводка
- Действие блокировки ACP развертывается как разрешить или запретить правило в LINA, которое зависит от условий правила
- Если условия — L3 / L4, то LINA блокирует пакет.В случае TCP блокируется первый пакет (TCP SYN)
- Если условия равны L7, то пакет пересылается механизму Snort для дальнейшей проверки. В случае TCP несколько пакетов пропускаются через FTD, пока Snort не вынесет вердикт. Разрешенные пакеты по-прежнему подлежат проверке политики вторжения на основе параметра Политика доступа> Дополнительно> «Политика вторжений, используемая до определения правила контроля доступа».
Блок ACP со сбросом Действия
Блок с правилом отдыха, настроенным в пользовательском интерфейсе FMC:
Блок с правилом сброса развернут на ядре FTD LINA как разрешение и в механизм Snort как правило сброса :
firepower # показать список доступа … список доступа CSM_FW_ACL_ строка 10 расширенный разрешение tcp 192.168.10.0 255.255.255.0 хост 192.168.11.50 eq www идентификатор правила 268438864 (hitcnt = 0) 0xba785fc0 список доступа CSM_FW_ACL_ строка 11 примечание идентификатор правила 268438865: ПОЛИТИКА ДОСТУПА: ACP1 - Обязательно список доступа CSM_FW_ACL_ строка 12 замечание идентификатор правила 268438865: L7 ПРАВИЛО: Block-RST_Rule2 список доступа CSM_FW_ACL_ строка 13 расширенный разрешение ip 192.168.10.0 255.255.255.0 хост 192.168.11.51 идентификатор правила 268438865 (hitcnt = 0) 0x622350d0
Двигатель Snort:
admin @ firepower: ~ $ cat / var / sf / detect_engines / 9e080e5c-adc3-11ea-9d37-44884cf7e9ba / ngfw.правила … # Запуск правила AC. 268438864 сбросить любой 192.168.10.0 24 любой любой 192.168.11.50 32 80 любой 6 # Конец правила 268438864 268438865 сбросить любой 192.168.10.0 24 любой любой 192.168.11.51 32 любой любой любой (appid 676: 1) (ip_protos 6, 17) # Конец правила 268438865
Когда пакет совпадает с блоком с правилом сброса FTD отправляет TCP Reset пакет или ICMP Type 3 Code 13 Destination Unreachable (административно отфильтровано) сообщение:
root @ kali: ~ / tests # wget 192.168.11.50 / file1.zip --2020-06-20 22: 48: 10-- http://192.168.11.50/file1.zip Подключение к 192.168.11.50:80 ... сбой: В подключении отказано.
Вот снимок входящего интерфейса FTD:
firepower # show capture CAPI
2 захваченных пакета
1: 21: 01: 00.977259 802.1Q vlan # 202 P0 192.168.10.50.41986> 192.168.11.50.80: S 3120295488: 3120295488 (0) win 29200
2: 21:01:00.978114 802.1Q vlan # 202 P0 192.168.11.50.80> 192.168.10.50.41986: R 0: 0 (0) ack 3120295489 win 0 Показано 2 пакета
Вывод трассировки поддержки системы в этом случае показывает, что пакет отброшен из-за вердикта Snort:
> трассировка поддержки системы Включить firewall-engine-debug тоже? [n]: y Укажите IP-протокол: tcp Укажите IP-адрес клиента: 192.168.10.50 Укажите порт клиента: Укажите IP-адрес сервера: 192.168.11.50 Укажите порт сервера: Мониторинг сообщений отладчика пакетов и межсетевого экрана 192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, SYN, seq 3387496622 192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Сессия: новый сеанс snort 192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.10.50-41984> 192.168.11.50-80 6 AS 1-1 I 9 новый сеанс межсетевого экрана 192.168.10.50-41984> 192.168.11.50-80 6 AS 1-1 I 9 с использованием HW или предустановленного порядка правила 2, 'Block-RST-Rule1', действия Reset и правила предварительной фильтрации 0 192.168.10.50-41984> 192.168.11.50-80 6 AS 1-1 I 9 Данные HitCount отправлены для идентификатора правила: 268438864, 192.168.10.50-41984> 192.168.11.50-80 6 AS 1-1 I 9 действие сброса 192.168.10.50-41984> 192.168.11.50-80 6 AS 1-1 I 9 удаление флагов сеанса межсетевого экрана = 0x0, fwFlags = 0x0 192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: блокировать с правилом сброса, 'Block-RST-Rule1', отбрасывать 192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort: обработанные предупреждения декодера или очередь действий, отбрасывание 192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 9, NAP id 1, IPS id 0, ЧЕРНЫЙ СПИСОК вердикта 192.168.10.50-41984 - 192.168.11.50-80 6 AS 1-1 CID 0 ===> Заблокировано межсетевым экраном Причина вердикта отправлена в DAQ
Сценарии использования
То же, что и действие «Блокировать», но немедленно прерывает соединение.
ACP Разрешить действие
Сценарий 1.Действие разрешения ACP (условия L3 / L4)
Обычно вы должны настроить правило разрешения, чтобы указать дополнительные проверки, такие как политика вторжений и / или файловая политика. Этот первый сценарий демонстрирует работу правила Allow, когда применяется условие L3 / L4.
Рассмотрим эту топологию, как показано на изображении:
Эта политика применяется, как показано на изображении:
Развернутая политика в Snort. Обратите внимание, что правило развернуто как действие разрешить :
# Начало правила AC.268435461 разрешить любое 192.168.1.40 32 любое любое 192.168.2.40 32 80 любое 6
Политика в LINA.
Примечание : правило развернуто как действие разрешения , что по сути означает перенаправление на Snort для дальнейшей проверки.
firepower # показать список доступа … список доступа CSM_FW_ACL_ строка 9 примечание идентификатор правила 268435461: L7 ПРАВИЛО: Правило1 список доступа CSM_FW_ACL_ строка 10 расширенный разрешение хост tcp 192.168.1.40 хост 192.168.2.40 экв. Www идентификатор правила 268435461 (hitcnt = 1) 0x641a20c3
Чтобы увидеть, как FTD обрабатывает поток, соответствующий разрешающему правилу, существует несколько способов:
- Проверить статистику Snort
- С использованием системной поддержки трассировки CLISH tool
- С использованием захвата с опцией трассировки в LINA и опционально с захватом трафика в движке Snort
Захват LINA против трафика захвата Snort:
Проверить поведение:
Очистите статистику Snort, включите системную поддержку трассировки из CLISH и инициируйте поток HTTP с хоста A (192.168.1.40) на хост-B (192.168.2.40). Все пакеты пересылаются на движок Snort и получают от Snort вердикт PASS:
.огневая мощь # очистить статистику snort
> трассировка поддержки системы Укажите IP-протокол: Укажите IP-адрес клиента: 192.168.1.40 Укажите порт клиента: Укажите IP-адрес сервера: 192.168.2.40 Укажите порт сервера: Включить firewall-engine-debug тоже? [n]: Мониторинг отладочных сообщений средства отслеживания пакетов Трассировка включена Линой 192.168.2.40-80 - 192.168.1.40-32797 6 Пакет: TCP, SYN, seq 361134402 192.168.2.40-80 - 192.168.1.40-32797 6 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.1.40-32797> 192.168.2.40-80 6 Межсетевой экран: разрешающее правило, «Правило1», разрешающее 192.168.1.40-32797> 192.168.2.40-80 6 Идентификатор NAP 1, идентификатор IPS 0, Вердикт ПРОЙДЕН Буфер трассировки и причина вердикта отправляются в PDTS DAQ Трассировка включена Линой 192.168.2.40-80 - 192.168.1.40-32797 6 Пакет: TCP, SYN, ACK, seq 15
Статистика Snort отражает вышеприведенные вердикты Snort PASS:
> показать статистику snort Счетчики пакетов: Пропущено пакетов 54 Заблокированные пакеты 0 Введенные пакеты 0 Пропущенные пакеты (Snort Down) 0 Пропущенные пакеты (Snort Busy) 0 Счетчики расхода: Потоки с быстрой пересылкой 0 Внесенные в черный список потоки 0 ...
Пропущенных пакетов = Проверено механизмом Snort
Сценарий 2. Действие разрешения ACP (условия L3-7)
Аналогичное поведение наблюдается при развертывании правила разрешения следующим образом.
Только состояние L3 / L4, как показано на изображении:
Состояние L7 (например, политика вторжений, файловая политика, приложение и т. Д.), Как показано на изображении:
Сводка
Чтобы подвести итог, вот как поток обрабатывается FTD, развернутым на FP4100 / 9300, когда правило разрешения совпадает, как показано на изображении:
Примечание : Управляющий ввод-вывод (MIO) — это модуль Supervisor Engine шасси огневой мощи.
Сценарий 3. Вердикт Snort Fast-Forward с Allow
Существуют определенные сценарии, в которых механизм FTD Snort выдает вердикт WHITELIST (перемотка вперед), а остальная часть потока выгружается в механизм LINA (в некоторых случаях затем выгружается в HW Accelerator — SmartNIC). Это:
- SSL-трафик без настроенной политики SSL
- Интеллектуальный обход приложений (IAB)
Вышеуказанное можно визуализировать на:
или в некоторых случаях на:
Основные моменты
- Разрешающее правило развернуто как разрешить в Snort и разрешить в LINA
- В большинстве случаев все пакеты сеанса пересылаются в механизм Snort для дополнительной проверки.
Сценарии использования
Вы должны настроить разрешающее правило, когда вам нужна проверка L7 с помощью Snort Engine, например:
- Политика вторжений
- Файловая политика
ACP Trust Action
Сценарий 1.ACP Trust Action
Если вы не хотите применять расширенную проверку L7 на уровне Snort (например, политику вторжений, файловую политику, сетевое обнаружение), но вы все равно хотите использовать такие функции, как Security Intelligence (SI), Identity Policy, QoS и т. Д., Тогда это рекомендуется использовать в правиле действие Доверять.
Топология:
Настраиваемая политика:
Правило доверия в том виде, в каком оно развернуто в движке FTD Snort:
# Начало правила AC.268438858 fastpath любой 192.168.10.50 31 любой любой 192.168.11.50 31 80 любой 6 (журнал dcforward flowend)
Примечание : Число 6 — это протокол (TCP).
Правило в FTD LINA:
firepower # показать список доступа | я 268438858 список доступа CSM_FW_ACL_ строка 17 замечание идентификатор правила 268438858: ПОЛИТИКА ДОСТУПА: ACP1 - Обязательно список доступа CSM_FW_ACL_ строка 18 замечание идентификатор правила 268438858: L7 ПРАВИЛО: trust_L3-L4 список доступа CSM_FW_ACL_ строка 19 расширенное разрешение tcp группа объектов FMC_INLINE_src_rule_268438858 группа объектов FMC_INLINE_dst_rule_268438858 eq www идентификатор правила 268438858 (hitcnt = 19) 0x29588b4f список доступа CSM_FW_ACL_ строка 19 расширенный разрешение хост tcp 192.168.10.50 хост 192.168.11.50 eq www идентификатор правила 268438858 (hitcnt = 19) 0x9d442895 список доступа CSM_FW_ACL_ строка 19 расширенный разрешение хост tcp 192.168.10.50 хост 192.168.11.51 eq www идентификатор правила 268438858 (hitcnt = 0) 0xd026252b список доступа CSM_FW_ACL_ строка 19 расширенный разрешение tcp host 192.168.10.51 host 192.168.11.50 eq www rule-id 268438858 (hitcnt = 0) 0x0d785cc4 список доступа CSM_FW_ACL_ строка 19 расширенный разрешение tcp host 192.168.10.51 host 192.168.11.51 eq www rule-id 268438858 (hitcnt = 0) 0x3b3234f1
Проверка:
Включите системную поддержку трассировки и инициируйте сеанс HTTP с хоста-A (192.168.10.50) на хост-B (192.168.11.50). На движок Snort пересылаются 3 пакета. Движок Snort отправляет LINA вердикт WHITELIST, который по существу разгружает остальную часть потока движку LINA:
> трассировка поддержки системы Включить firewall-engine-debug тоже? [n]: y Укажите IP-протокол: tcp Пожалуйста, укажите IP-адрес клиента: 192.168.10.50 Укажите порт клиента: Укажите IP-адрес сервера: 192.168.11.50 Укажите порт сервера: 80 Мониторинг сообщений отладчика пакетов и межсетевого экрана 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, SYN , seq 453426648 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Сеанс: новый сеанс snort 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.10.50-42126> 192.168.11.50-80 6 AS 1-1 I 2 новый сеанс межсетевого экрана 192.168.10.50-42126> 192.168.11.50-80 6 AS 1-1 I 2 с использованием HW или предустановленного порядка правила 5, 'trust_L3-L4', действия Trust и правила предварительной фильтрации 0 192.168.10.50-42126> 192.168.11.50-80 6 AS 1-1 I 2 Данные HitCount отправлены для идентификатора правила: 268438858, 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: правило trust / fastpath, trust_L3-L4, разрешить 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 2, NAP id 2, IPS id 0, Вердикт PASS 192.168.11.50-80 - 192.168.10.50-42126 6 AS 1-1 CID 0 Пакет: TCP, SYN, ACK , seq 2820426532, ack 453426649 192.168.11.50-80 - 192.168.10.50-42126 6 AS 1-1 CID 0 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.11.50-80 - 192.168.10.50-42126 6 AS 1-1 CID 0 Межсетевой экран: правило trust / fastpath, trust_L3-L4, разрешить 192.168.11.50-80 - 192.168.10.50-42126 6 AS 1-1 CID 0 Snort id 2, NAP id 2, IPS id 0, Вердикт PASS 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, ACK , seq 453426649, ack 2820426533 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: правило trust / fastpath, trust_L3-L4, разрешить 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 2, NAP id 2, IPS id 0, Вердикт БЕЛЫЙ СПИСОК
После разрыва соединения механизм Snort получает информацию о метаданных от механизма LINA и удаляет сеанс:
192.168.10.50-42126> 192.168.11.50-80 6 AS 1-1 I 2 Получено событие конца потока от оборудования с флагами 00010001. Данные соответствия правил: rule_id 0, rule_action 0 rev_id 0, rule_flags 3 192.168.10.50-42126> 192.168.11.50-80 6 AS 1-1 I 2 Регистрация EOF для события от оборудования с rule_id = 268438858 ruleAction = 3 ruleReason = 0 192.168.10.50-42126> 192.168.11.50-80 6 AS 1-1 I 2: Получен EOF, удаление сеанса snort. 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Сеанс: удаление сеанса snort, причина: тайм-аут 192.168.10.50-42126> 192.168.11.50-80 6 AS 1-1 I 2 удаление флагов сеанса межсетевого экрана = 0x10003, fwFlags = 0x1115 192.168.10.50-42126 - 192.168.11.50-80 6 AS 1-1 CID 0 Сеанс: удален сеанс snort с использованием 0 байтов; идентификатор протокола: (- 1): LWstate 0xf LWFlags 0x6007
Захват Snort показывает 3 пакета, которые поступают в механизм Snort:
> захват трафика Выберите домен для захвата трафика: 0 - менеджмент0 1 - менеджмент1 2 - Глобальный Выбор? 2 Укажите желаемые параметры tcpdump. (или введите '?' для получения списка поддерживаемых опций) Параметры: -n vlan и (хост 192.168.10.50 и хост 192.168.11.50) 10: 26: 16.525928 IP 192.168.10.50.42144> 192.168.11.50.80: флаги [S], seq 3065553465, win 29200, параметры [mss 1380, sackOK, TS val 37868 ecr 0, nop, wscale 7], длина 0 10: 26: 16.525928 IP 192.168.11.50.80> 192.168.10.50.42144: флаги [S.], seq 3581351172, ack 3065553466, win 8192, параметры [mss 1380, nop, wscale 8, sackOK, TS val 57650410 ecr 378
68 ], длина 0 10: 26: 16.525928 IP 192.168.10.50.42144> 192.168.11.50.80: флаги [.], Ack 1, win 229, options [nop, nop, TS val 378
70 ecr 57650410], длина 0
Захват LINA показывает поток, который проходит через него:
огневая мощь № показать захват CAPI 437 пакетов захвачено 1: 09:51:19.431007 802.1Q vlan # 202 P0 192.168.10.50.42118> 192.168.11.50.80: S 245984 (1368) ack 24598 win 256: 24598
(0) win 29200
7: 28607 (0) ack 24598 win 81920, nop, wscale 7> 2: 09: 51: 19.431648 802.1Q vlan # 202 P0 192.168.11.50.80> 192.168.10.50.42118: S 2860 3: 09: 51: 19.431847 802.1Q vlan # 202 P0 192.168.10.50.42118> 192.168.11.50.80:. ack 28608 win 229 57440579> 4: 09:51:19.431953 802.1Q vlan # 202 P0 192.168.10.50.42118> 192.168.11.50.80: P 24598: 24598 (149) ack 28608 win 229 57440579> 5: 09: 51: 19.444816 802.1Q vlan # 202 P0 192.168.11.50.80> 192.168.10.50.42118:. 28608: 2860 6 (1368) ack 24598
win 256> 6: 09: 51: 19.444831 802.1Q vlan # 202 P0 192.168.11.50.80> 192.168.10.50.42118:. 2860 6: 2860
Трассировка пакетов от LINA — еще один способ увидеть вердикты Snort.Первый пакет получил вердикт PASS:
.firepower # показать трассировку номер 1 пакета CAPI | i Type | Вердикт Тип: CAPTURE Тип: ACCESS-LIST Тип: МАРШРУТ-ПРОСМОТР Тип: ACCESS-LIST Тип: CONN-SETTINGS Тип: NAT Тип: NAT Тип: IP-ОПЦИИ Тип: CAPTURE Тип: CAPTURE Тип: NAT Тип: CAPTURE Тип: NAT Тип: IP-ОПЦИИ Тип: CAPTURE Тип: ПОТОК-СОЗДАНИЕ Тип: ВНЕШНИЙ-ИНСПЕКТ Тип: SNORT Snort id 22, NAP id 2, IPS id 0, вердикт PASS Snort Verdict: (pass-packet) разрешить этот пакет Тип: ВХОД-МАРШРУТ-ПРОСМОТР-ИЗ-ВЫХОД-МАРШРУТ-ПРОСМОТР Тип: ADJACENCY-LOOKUP Тип: CAPTURE
Трассировка пакета TCP SYN / ACK на ВНЕШНЕМ интерфейсе:
firepower # показать трассировку номер 2 пакета CAPO | i Type | Вердикт Тип: CAPTURE Тип: ACCESS-LIST Тип: ПОТОК-ПРОСМОТР Тип: ВНЕШНИЙ-ИНСПЕКТ Тип: SNORT Snort id 22, NAP id 2, IPS id 0, вердикт PASS Вердикт Snort: (pass-packet) разрешить этот пакет Тип: ВХОД-МАРШРУТ-ПРОСМОТР-ИЗ-ВЫХОД-МАРШРУТ-ПРОСМОТР Тип: ADJACENCY-LOOKUP Тип: CAPTURE
TCP ACK получает вердикт WHITELIST:
firepower # показать трассировку номер 3 пакета CAPI | i Type | Вердикт Тип: CAPTURE Тип: ACCESS-LIST Тип: ПОТОК-ПРОСМОТР Тип: ВНЕШНИЙ-ИНСПЕКТ Тип: SNORT Snort id 22, NAP id 2, IPS id 0, вердикт БЕЛЫЙ СПИСОК Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку Тип: CAPTURE
Это полный вывод Snort Verdict (пакет № 3)
firepower # показать трассировку номер 3 пакета CAPI | b Тип: SNORT Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Trace: Пакет: TCP, ACK, seq 687485179, ack 1029625865 AppID: служба неизвестна (0), приложение неизвестно (0) Брандмауэр: правило trust / fastpath, id 268438858, разрешить Snort id 31, NAP id 2, IPS id 0, БЕЛЫЙ СПИСОК вердикта Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку
4-й пакет не пересылается на механизм Snort, так как вердикт кэшируется механизмом LINA:
firepower # показать трассировку номер 4 пакета CAPI захвата 441 пакет захвачен 4: 10:34:02.741523 802.1Q vlan # 202 P0 192.168.10.50.42158> 192.168.11.50.80: P 164375589: 164375738 (149) ack 3008397532 win 229Фаза 1 Тип: CAPTURE Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Список доступа MAC Фаза 2 Тип: ACCESS-LIST Подтип: Результат: РАЗРЕШИТЬ Конфиг: Неявное правило Дополнительная информация: Список доступа MAC Фаза: 3 Тип: ПОТОК-ПРОСМОТР Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Найден поток с идентификатором 1254 с использованием существующего потока Фаза: 4 Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку Результат: интерфейс ввода: INSIDE (vrfid: 0) вход-статус: вверх вход-линия-статус: вверх Действие: разрешить Показан 1 пакет
Статистика Snort подтверждает это:
firepower # показать статистику snort Счетчики пакетов: Передано пакетов 2 Заблокированные пакеты 0 Введенные пакеты 0 Пакеты пропущены (Snort Down) 0 Пропущенные пакеты (Snort Busy) 0 Счетчики расхода: Потоки с быстрой пересылкой 1 Внесенные в черный список потоки 0 Разные счетчики: События начала потока 0 События конца потока 1 Запрещенные события потока 0 Кадры, отправленные в Snort перед сбросом 0 Вводимые пакеты отброшены 0
Пакетный поток с правилом доверия.Некоторые пакеты проверяются Snort, а остальные проверяются LINA:
.Сценарий 2. Действие доверия ACP (без SI, QoS и политики идентификации)
Если вы хотите, чтобы FTD применял проверки Security Intelligence (SI) ко всем потокам, SI уже включен на уровне ACP, и вы можете указать источники SI (TALOS, каналы, списки и т. Д.). С другой стороны, если вы хотите отключить его, вы отключаете SI для сетей глобально для ACP, SI для URL-адреса и SI для DNS. SI для сетей и URL отключен, как показано на рисунке:
В этом случае правило доверия развертывается в LINA как доверие:
> показать список доступа
... список доступа CSM_FW_ACL_ строка 9 примечание идентификатор правила 268435461: L4 ПРАВИЛО: Правило1 список доступа CSM_FW_ACL_ строка 10 расширенный trust ip host 192.168.1.40 host 192.168.2.40 rule-id 268435461 журнал событий конец потока (hitcnt = 0) 0x5c1346d6
Примечание : Начиная с 6.2.2 FTD поддерживает TID. TID работает аналогично SI, но в случае, если SI отключен, он не «принудительно» перенаправляет пакеты на механизм Snort для проверки TID.
Проверить поведение
Инициировать сеанс HTTP с хоста A (192.168.1.40) на хост-B (192.168.2.40). Поскольку это FP4100 и аппаратно поддерживает Flow Offload, происходит следующее:
- Несколько пакетов пересылаются через механизм FTD LINA, а остальная часть потока выгружается на SmartNIC (ускоритель HW)
- Никакие пакеты не пересылаются на механизм Snort
В таблице соединений FTD LINA отображается флаг «o», который означает, что поток был выгружен на HW. Также обратите внимание на отсутствие флага «N». По сути, это означает «нет перенаправления Snort»:
firepower # показать conn 1 используется, 15 наиболее часто используются TCP ВНЕШНИЙ 192.168.2.40: 80 INSIDE 192.168.1.40:32809, бездействие 0:00:00, байты 949584, флаги UIO o
Статистика Snort показывает только события регистрации в начале и в конце сеанса:
firepower # показать статистику snort Счетчики пакетов: Пройденных пакетов 0 Заблокированные пакеты 0 Введенные пакеты 0 Пропущенные пакеты (Snort Down) 0 Пропущенные пакеты (Snort Busy) 0 Счетчики расхода: Потоки с быстрой пересылкой 0 Внесенные в черный список потоки 0 Разные счетчики: События начала потока 1 События конца потока 1
Журналы FTD LINA показывают, что для каждого сеанса было 2 потока (по одному на каждое направление), выгруженных на HW:
27 сентября 2017 20:16:05:% ASA-7-609001: Встроенный локальный хост ВНУТРИ: 192.168.1.40 27 сентября 2017 г. 20:16:05:% ASA-6-302013: Создано входящее TCP-соединение 25384 для ВНУТРИ: 192.168.1.40/32809 (192.168.1.40/32809) для ВНЕШНЕГО: 192.168.2.40/80 (192.168.2.40/80) ) 27 сентября 2017 г. 20:16:05:% ASA-6-805001: Выгруженный поток TCP для соединения 25384 из INSIDE : 192.168.1.40/32809 (192.168.1.40/32809) на OUTSIDE: 192.168.2.40/80 (192.168.1. 2,40 / 80) 27 сентября 2017 г. 20:16:05:% ASA-6-805001: Выгруженный поток TCP для соединения 25384 из ВНЕШНЕГО : 192.168.2.40/80 (192.168.2.40/80) на ВНУТРИ: 192.168.1.40 / 32809 (192.168.1.40/32809) 27 сентября 2017 г. 20:16:05:% ASA-6-805002: поток TCP больше не выгружается для соединения 25384 из ВНЕШНЕГО: 192.168.2.40/80 (192.168.2.40/80) в ВНУТРИ: 192.168.1.40/32809 (192.168) .1.40 / 32809) 27 сентября 2017 г. 20:16:05:% ASA-6-805002: TCP-поток больше не выгружается для соединения 25384 из ВНУТРИ: 192.168.1.40/32809 (192.168.1.40/32809) в ВНЕШНИЙ: 192.168.2.40/80 (192.168 .2.40 / 80) 27 сентября 2017 г. 20:16:05:% ASA-6-302014: Разрыв TCP-соединения 25384 для INSIDE: 192.168.1.40/32809 на OUTSIDE: 192.168.2.40 / 80 длительность 0:00:00 байт 1055048 TCP FIN 27 сентября 2017 г. 20:16:05:% ASA-7-609002: Teardown local-host INSIDE: 192.168.1.40 продолжительность 0:00:00
Поток пакетов с правилом доверия, развернутым как действие доверия в LINA. Несколько пакетов проверяются LINA, а остальные выгружаются на SmartNIC (FP4100 / FP9300):
Сценарии использования
- Вы должны использовать действие Trust, если хотите, чтобы подсистема Snort проверяла только несколько пакетов (например, обнаружение приложений, проверка SI), а остальную часть потока выгрузили на модуль LINA
- Если вы используете FTD на FP4100 / 9300 и хотите, чтобы поток полностью обходил проверку Snort, рассмотрите правило предварительной фильтрации с действием Fastpath (см. Соответствующий раздел в этом документе)
Действие блока политики предварительной фильтрации
Рассмотрим топологию, показанную на изображении:
Также обратите внимание на политику, показанную на изображении:
Это развернутая политика в движке FTD Snort (ngfw.файл правил):
# Начало туннеля и правила приоритета. # Эти правила проверяются LINA . Из соответствующего идентификатора правила используются только теги туннеля. 268437506 запретить любой 192.168.1.40 32 любой любой 192.168.2.40 32 любой любой любой (туннель -1
В LINA:
список доступа CSM_FW_ACL_ строка 1 идентификатор правила примечания 268437506: PREFILTER POLICY: FTD_Prefilter список доступа CSM_FW_ACL_ строка 2 идентификатор правила примечания 268437506: ПРАВИЛО: Предварительный фильтр1 список доступа CSM_FW_ACL_ строка 3 расширенный запретить IP-хост 192.168.1.40 хост 192.168.2.40 идентификатор правила 268437506 начало потока журнала событий (hitcnt = 0) 0x76476240
, когда вы отслеживаете виртуальный пакет, он показывает, что пакет отброшен LINA и никогда не пересылается Snort:
огневая мощь # вход для отслеживания пакетов ВНУТРИ icmp 192.168.1.40 8 0 192.168.2.40 … Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: DROP Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный deny ip host 192.168.1.40 host 192.168.2.40 идентификатор правила 268437506 журнал событий начало потока список доступа CSM_FW_ACL_ идентификатор правила примечания 268437506: ПОЛИТИКА ПРЕФИЛЬТРА: FTD_Prefilter список доступа CSM_FW_ACL_ идентификатор правила примечания 268437506: ПРАВИЛО: Предварительный фильтр1 Дополнительная информация: Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом
Статистика Snort показывает:
firepower # показать статистику snort Счетчики пакетов: Пройденных пакетов 0 Заблокированные пакеты 0 Введенные пакеты 0 Пропущенные пакеты (Snort Down) 0 Пропущенные пакеты (Snort Busy) 0 Счетчики расхода: Потоки с быстрой пересылкой 0 Внесенные в черный список потоки 0 Разные счетчики: События начала потока 0 События конца потока 0 Запрещенные события потока 1
LINA ASP drop show:
огневой мощи # показать asp drop Падение кадра: Поток запрещен настроенным правилом (acl-drop) 1
Сценарии использования
Вы можете использовать правило Prefilter Block, если вы хотите заблокировать трафик на основе условий L3 / L4 и без необходимости выполнять какую-либо проверку Snort для трафика.
Политика предварительной фильтрации Действие Fastpath
Учитывайте правило политики предварительной фильтрации, как показано на рисунке:
Это развернутая политика в движке FTD Snort:
268437506 fastpath любые любые любые любые любые любые (log dcforward flowend) (tunnel -1)
В FTD LINA:
список доступа CSM_FW_ACL_ строка 1 идентификатор правила примечания 268437506: ПОЛИТИКА ПРЕФИЛЬТРА: FTD_Prefilter список доступа CSM_FW_ACL_ строка 2 идентификатор правила примечания 268437506: ПРАВИЛО: Предварительный фильтр1 список доступа CSM_FW_ACL_ строка 3 расширенный доверие хост tcp 192.168.1.40 хост 192.168.2.40 eq www идентификатор правила 268437506 журнал событий конец потока (hitcnt = 0) 0xf3410b6f
Проверить поведение
Когда хост-A (192.168.1.40) пытается открыть сеанс HTTP для хост-B (192.168.2.40), несколько пакетов проходят через LINA, а остальные выгружаются на SmartNIC. В этом случае трассировка поддержки системы с firewall-engine-debug enabled показывает:
> трассировка поддержки системы Укажите IP-протокол: tcp Укажите IP-адрес клиента: 192.168.1.40 Укажите порт клиента: Укажите IP-адрес сервера: 192.168.2.40 Укажите порт сервера: Включить firewall-engine-debug тоже? [n]: y Мониторинг отладочных сообщений средства отслеживания пакетов 192.168.1.40-32840> 192.168.2.40-80 6 AS 1 I 8 Получено событие конца потока от оборудования с флагами 04000000
Журналы LINA показывают выгруженный поток:
1 октября 2017 г. 14:36:51:% ASA-7-609001: встроенный локальный хост ВНУТРИ: 192.168.1.40 01 октября 2017 г. 14:36:51:% ASA-7-609001: построен локальный хост ВНЕШНИЙ: 192.168.2.40 01 октября 2017 г. 14:36:51:% ASA-6-302013: построено входящее TCP-соединение 966 для INSIDE: 192.168.1.40/32840 (192.168.1.40/32840) для OUTSIDE: 192.168.2.40/80 (192.168.2.40/80) ) 01 октября 2017 г. 14:36:51:% ASA-6-805001: Выгруженный поток TCP для соединения 966 из INSIDE : 192.168.1.40/32840 (192.168.1.40/32840) на OUTSIDE: 192.168.2.40/80 (192.168.1. 2,40 / 80) 01 октября 2017 г. 14:36:51:% ASA-6-805001: Выгруженный поток TCP для подключения 966 из ВНЕШНЕГО : 192.168.2.40/80 (192.168.2.40/80) на ВНУТРИ: 192.168.1.40 / 32840 (192.168.1.40/32840)
LINA захватов показывает 8 проходящих пакетов:
firepower # показать захват захват буфера необработанных данных типа CAPI 33554432 трассировка счетчик трассировки 100 интерфейс INSIDE [захват - 3908 байт] сопоставить IP-хост 192.168.1.40 хост 192.168.2.40 захват CAPO-типа буфер необработанных данных 33554432 трассировка счетчик трассировки 100 интерфейс ВНЕШНИЙ [захват - 3908 байт] сопоставить IP-хост 192.168.1.40 хост 192.168.2.40
огневая мощь № показать захват CAPI Захвачено 8 пакетов 1: 14:45:32.700021 192.168.1.40.32842> 192.168.2.40.80: S 3195173118: 3195173118 (0) win 29202: 14: 45: 32.700372 192.168.2.40.80> 192.168.1.40.32842: S 184794124: 184794124 (0) ack 3195173119 win 2896 3: 14: 45: 32.700540 192.168.1.40.32842> 192.168.2.40.80: P 3195173119: 3195173317 (198) ack 184794125 win 2920 4: 14: 45: 32.700876 192.168.2.40.80> 192.168.1.40.32842:. 184794125: 184795493 (1368) ack 3195173317 win 2698 5: 14: 45: 32.700922 192.168.2.40.80> 192.168.1.40.32842: P 184795493: 184796861 (1368) ack 3195173317 win 2698 6: 14: 45: 32.701425 192.168.2.40.80> 192.168.1.40.32842: FP 184810541: 184810851 (310) ack 3195173317 win 2698 7: 14: 45: 32.701532 192.168.1.40.32842> 192.168.2.40.80: F 3195173317: 3195173317 (0) ack 184810852 win 2736 8: 14:45:32.701639 192.168.2.40.80> 192.168.1.40.32842:. ack 3195173318 win 2697
Статистика FTD Flow-offload показывает 22 пакета, выгруженных на HW:
огневая мощь # показать статистику по отгрузке Статистика пакетов порта: 0 Tx Количество пакетов: 22 Rx Количество пакетов: 22 Количество сброшенных пакетов: 0 Переданных пакетов VNIC: 22 Передано байтов VNIC: 15308 VNIC Отброшенных пакетов: 0 VNIC получен ошибочный: 0 Ошибки CRC VNIC: 0 Ошибка передачи VNIC: 0 Получено многоадресной рассылки VNIC: 0
Вы также можете использовать команду show flow-offload flow для просмотра дополнительной информации, связанной с выгруженными потоками.Вот пример:
firepower # show flow-offload flow
Общая статистика разгруженного потока: 2 используемых, 4 наиболее часто используемых , 20% выгружено , 0 коллизий
TCP intfc 103 src 192.168.1.40:39301 dest 192.168.2.40 : 20, статический, отметка времени 616063741, пакеты 33240, байты 2326800
TCP intfc 104 src 192.168.2.40:20 dest 192.168.1.40:39301, статический, отметка времени 616063760, пакеты 249140, байты 358263320
firepower # 0002 show conn use, 5 наиболее часто используемых
Inspect Snort:
preserve-connection: 1 включено, 0 активно, 4 наиболее активно, 0 наиболее активноTCP OUTSIDE 192.168.2.40: 21 INSIDE 192.168.1.40:40988, простоя 0:00:00, байты 723, флаги UIO
TCP OUTSIDE 192.168.2.40:21 INSIDE 192.168.1.40:40980, idle 0:02:40, байты 1086, флаги UIO
TCP OUTSIDE 192.168.2.40:80 INSIDE 192.168.1.40:49442, idle 0:00:00, байты 86348310, флаги UIO N1
TCP OUTSIDE 192.168.2.40:20 INSIDE 192.168.1.40:39301, idle 0:00:00 , байты 485268628, флаги U o <- выгруженный поток
TCP OUTSIDE 192.168.2.40:20 INSIDE 192.168.1.40:34713, idle 0:02:40, bytes 821799360, flags UFRIO
- Процент основан на выводе « show conn ».Например, если всего 5 подключений проходят через механизм FTD LINA и 1 из них разгружен, то 20% будут зарегистрированы как разгруженные
- Максимальный предел выгруженных сеансов зависит от версии программного обеспечения (например, ASA 9.8.3 и FTD 6.2.3 поддерживают 4 миллиона двунаправленных (или 8 миллионов однонаправленных) выгружаемых потоков)
- В случае, если количество выгруженных потоков достигнет предела (например, 4 миллиона двунаправленных потоков), новые соединения не будут выгружены до тех пор, пока существующие соединения не будут удалены из выгружаемой таблицы
Чтобы увидеть все пакеты на FP4100 / 9300, которые проходят через FTD (выгрузка + LINA), необходимо включить захват на уровне шасси, как показано на изображении:
Захват объединительной платы шасси показывает оба направления.Благодаря архитектуре захвата FXOS (2 точки захвата на направление) каждый пакет отображается дважды , как показано на изображении:
На основании вышеизложенного:
- Всего пакетов через FTD: 30
- пакетов через FTD LINA: 8
- Отправлено пакетов на ускоритель SmartNIC HW: 22
В случае платформы, отличной от FP4100 / FP9300, все пакеты обрабатываются механизмом LINA, поскольку разгрузка потока не поддерживается (обратите внимание на отсутствие флага o ):
FP2100-6 # показать адрес соединения 192.168.1.40 33 используются, 123 наиболее часто используются Осмотрите Snort: preserve-connection: 0 включено, 0 активно, 2 наиболее активно, 0 наиболее активно TCP OUTSIDE 192.168.2.40:80 INSIDE 192.168.1.40:50890, idle 0:00:09, bytes 175, flags UxIO
Системные журналы LINA показывают только события установки и завершения соединения:
FP2100-6 # журнал событий | я 192.168.2.40 21 июня 2020 14:29:44:% FTD-6-302013: Построено входящее TCP соединение 6914 для INSIDE: 192.168.1.40 / 50900 (192.168.11.101/50900) на ВНЕШНИЙ ВИД: 192.168.2.40/80 (192.168.2.40/80) 21 июня 2020 14:30:30:% FTD-6-302014: Teardown TCP-соединение 6914 для ВНУТРИ: 192.168.1.40/50900 на ВНЕШНИЙ: 192.168.2.40/80 продолжительность 0:00:46 байтов 565 TCP FIN из ВНЕШНЕГО
Сценарии использования
- Используйте действие Prefilter Fastpath, если вы хотите полностью обойти проверку Snort. Обычно вы хотите сделать это для больших потоков, которым вы доверяете, например, для резервного копирования, передачи баз данных и т. Д.
- На устройствах FP4100 / 9300 действие Fastpath запускает разгрузку потока, и только несколько пакетов проходят через механизм FTD LINA.Остальное обрабатывает SmartNIC, который уменьшает задержку
Действие быстрого пути политики предварительной фильтрации (встроенный)
В случае, если действие политики предварительной фильтрации Fastpath применяется к трафику, который проходит через встроенный набор (интерфейсы NGIPS), следует учитывать следующие моменты:
- Правило применяется к ядру LINA как траст действие
- Поток не контролируется механизмом Snort
- Разгрузка потока (ускорение HW) не происходит, поскольку разгрузка потока не применима к интерфейсам NGIPS
Вот пример трассировки пакета в случае действия Prefilter Fastpath, примененного к встроенному набору:
firepower # вход для трассировщика пакетов внутри tcp 192.168.1.40 12345 192.168.1.50 80 подробно Фаза 1 Тип: NGIPS-MODE Подтип: ngips-mode Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Поток поступил на интерфейс, настроенный для режима NGIPS, и будут применены службы NGIPS Правило поиска на основе прямого потока: в id = 0x2ad7ac48b330, priority = 501, domain = ips-mode, deny = false hits = 2, user_data = 0x2ad80d54abd0, cs_id = 0x0, flags = 0x0, protocol = 0 src ip / id = 0.0.0.0, маска = 0.0.0.0, порт = 0, тег = любой dst ip / id = 0.0.0.0, маска = 0.0.0.0, порт = 0, тег = любой, dscp = 0x0 input_ifc = внутри, output_ifc = любой Фаза 2 Тип: ACCESS-LIST Подтип: журнал Результат: РАЗРЕШИТЬ Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный trust ip объект 192.168.1.0 объект 192.168.1.0 идентификатор правила 268438531 журнал событий конец потока список доступа CSM_FW_ACL_ идентификатор правила примечания 268438531: ПОЛИТИКА ПРЕФИЛЬТРА: PF1 список доступа CSM_FW_ACL_ идентификатор правила примечания 268438531: ПРАВИЛО: 1 Дополнительная информация: Правило поиска на основе прямого потока: в id = 0x2ad9f9f8a7f0, приоритет = 12, домен = разрешение, доверие hits = 1, user_data = 0x2ad9b23c5d40, cs_id = 0x0, use_real_addr, flags = 0x0, protocol = 0 src ip / id = 192.168.1.0, маска = 255.255.255.0, порт = 0, тег = любой, ifc = любой dst ip / id = 192.168.1.0, маска = 255.255.255.0, порт = 0, тег = любой, ifc = любой, vlan = 0, dscp = 0x0 input_ifc = любой, output_ifc = любой Фаза: 3 Тип: NGIPS-EGRESS-INTERFACE-LOOKUP Подтип: Resolve Egress Interface Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Входящий интерфейс внутри находится во встроенном режиме NGIPS. Выходной интерфейс снаружи определяется встроенной конфигурацией Фаза: 4 Тип: ПОТОК-СОЗДАНИЕ Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Новый поток создан с идентификатором 7, пакет отправлен в следующий модуль Информация о модуле для прямого потока... snp_fp_ips_tcp_state_track_lite snp_fp_ips_mode_adj snp_fp_tracer_drop snp_ifc_stat Информация о модуле для обратного потока ... snp_fp_ips_tcp_state_track_lite snp_fp_ips_mode_adj snp_fp_tracer_drop snp_ifc_stat Результат: интерфейс ввода: внутри вход-статус: вверх вход-линия-статус: вверх Действие: разрешить
Вышесказанное можно представить как:
Действие Fastpath для политики предварительной фильтрации (встроенная установка с касанием)
То же, что и корпус Inline-Set
Действие анализа политики предварительной фильтрации
Сценарий 1.Предварительный фильтр анализа с правилом блока ACP
Обратите внимание на политику предварительной фильтрации, которая содержит правило Analyze , как показано на рисунке:
ACP содержит только правило по умолчанию, которое установлено на Блокировать весь трафик , как показано на изображении:
Это развернутая политика в движке FTD Snort (файл ngfw.rules):
# Начало туннеля и правила приоритета. # Эти правила проверяются LINA. Из соответствующего идентификатора правила используются только теги туннеля. 268435460 разрешить любой 192.168.1.40 32 любой любой 192.168.2.40 32 любой любой любой (туннель -1) 268435459 разрешить любой любой 1025-65535 любой любой 3544 любой 17 (туннель -1) 268435459 разрешить любой 3544 любой любой 1025-65535 любой 17 (туннель -1) 268435459 разрешить любые любые любые любые любые 47 (туннель -1) 268435459 разрешить любые любые любые любые любые 41 (туннель -1) 268435459 разрешить любые любые любые любые любые 4 (туннель -1) # Конец туннеля и правила приоритета. # Начало правила AC. 268435458 deny any any any any any any any any (журнал dcforward flowstart) # Конец правила AC.
Это развернутая политика в ядре FTD LINA:
список доступа CSM_FW_ACL_ строка 3 расширенный разрешение ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460 (hitcnt = 0) 0xb788b786
Проверить поведение
Packet-tracer показывает, что пакет разрешен LINA, пересылается механизму Snort (из-за действия разрешить ), а Snort Engine возвращает вердикт Block , так как действие по умолчанию от AC совпадает.
Примечание : Snort не оценивает трафик на основе правил туннеля
Когда вы отслеживаете пакет, он показывает то же самое:
firepower # вход для отслеживания пакетов INSIDE icmp 192.168.1.40 8 0 192.168.2.40 ... Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: РАЗРЕШИТЬ Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенное разрешение IP хост 192.168.1.40 хост 192.168.2.40 идентификатор правила 268435460 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435460: ПОЛИТИКА ПРЕФИЛЬТРА: Prefilter_Policy1 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435460: ПРАВИЛО: Prefilter_Rule1 Дополнительная информация: Этот пакет будет отправлен на snort для дополнительной обработки, где будет вынесен вердикт. … Фаза: 14 Тип: SNORT Подтип: Результат: DROP Конфиг: Дополнительная информация: Snort Trace: Пакет: ICMP AppID: служба ICMP (3501), приложение неизвестно (0) Брандмауэр: запуск сопоставления правил, зона -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, пользователь 9999997, icmpType 8, icmpCode 0 Брандмауэр: правило блокировки, id 268435458, drop Snort: обработанные предупреждения декодера или очередь действий, отбрасывание NAP id 1, IPS id 0, Verdict BLACKLIST, заблокировано брандмауэром Snort Verdict: (черный список) черный список этого потока Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: падение Причина отбрасывания: (брандмауэр) Заблокирован или занесен в черный список препроцессором брандмауэра
Сценарий 2.Анализ предфильтра с правилом разрешения ACP
Если цель состоит в том, чтобы разрешить прохождение пакета через FTD, необходимо добавить правило в ACP. Действие может быть разрешено или доверено в зависимости от цели (например, если вы хотите применить проверку L7, вы должны использовать действие Разрешить), как показано на изображении:
Развернутая политика в движке FTD Snort:
# Начало правила AC. 268435461 разрешить любой 192.168.1.40 32 любой любой 192.168.2.40 32 любой любой любой 268435458 deny any any any any any any any any (журнал dcforward flowstart) # Конец правила AC.
В двигателе LINA:
список доступа CSM_FW_ACL_ строка 3 расширенный разрешение ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460 (hitcnt = 1) 0xb788b786
Проверить поведение
Packet-tracer показывает, что пакет соответствует правилу 268435460 в LINA и 268435461 в движке Snort:
огневая мощь # вход для отслеживания пакетов ВНУТРИ icmp 192.168.1.40 8 0 192.168.2.40 ... Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: РАЗРЕШИТЬ Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный разрешение ip host 192.168.1.40 хост 192.168.2.40 идентификатор правила 268435460 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435460: ПОЛИТИКА ПРЕФИЛЬТРА: Prefilter_Policy1 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435460: ПРАВИЛО: Prefilter_Rule1 Дополнительная информация: Этот пакет будет отправлен на snort для дополнительной обработки, где будет вынесен вердикт. … Фаза: 14 Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Trace: Пакет: ICMP AppID: служба ICMP (3501), приложение неизвестно (0) Брандмауэр: запуск сопоставления правил, зона -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, пользователь 9999997, icmpType 8, icmpCode 0 Брандмауэр: разрешить правило, идентификатор 268435461, разрешить NAP id 1, IPS id 0, Вердикт PASS Snort Verdict: (pass-packet) разрешить этот пакет … Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: разрешить
Сценарий 3.Предварительный анализ с использованием правила доверия ACP
Если ACP содержит правило Trust , то у вас есть это, как показано на изображении:
Фырканье:
# Начало правила AC. 268435461 fastpath любой 192.168.1.40 32 любой любой 192.168.2.40 32 любой любой любой 268435458 deny any any any any any any any any (журнал dcforward flowstart) # Конец правила AC.
ЛИНА:
список доступа CSM_FW_ACL_ строка 3 расширенный разрешение ip host 192.168.1.40 хост 192.168.2.40 идентификатор правила 268435460 (hitcnt = 2) 0xb788b786
Помните, что, поскольку SI включен по умолчанию, правило доверия развернуто, поскольку разрешает действие на LINA, поэтому по крайней мере несколько пакетов перенаправляются на механизм Snort для проверки.
Проверить поведение
Packet-tracer показывает, что механизм Snort заносит пакет в белый список, по существу выгружая остальной поток в LINA:
firepower # вход для отслеживания пакетов INSIDE icmp 192.168.1.40 8 0 192.168.2.40 ... Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: РАЗРЕШИТЬ Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенное разрешение IP хост 192.168.1.40 хост 192.168.2.40 идентификатор правила 268435460 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435460: ПОЛИТИКА ПРЕФИЛЬТРА: Prefilter_Policy1 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435460: ПРАВИЛО: Prefilter_Rule1 Дополнительная информация: Этот пакет будет отправлен на snort для дополнительной обработки, где будет вынесен вердикт. … Фаза: 14 Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Trace: Пакет: ICMP AppID: служба ICMP (3501), приложение неизвестно (0) Брандмауэр: запуск сопоставления правил, зона -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, пользователь 9999997, icmpType 8, icmpCode 0 Брандмауэр: правило доверия / быстрого пути , идентификатор 268435461, разрешить Идентификатор NAP 1, идентификатор IPS 0, Вердикт БЕЛЫЙ СПИСОК Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку … Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: разрешить
Сценарий 4.Предварительный анализ с использованием правила доверия ACP
В этом сценарии SI отключен вручную.
Правило развернуто в Snort следующим образом:
# Начало правила AC. 268435461 fastpath любой 192.168.1.40 32 любой любой 192.168.2.40 32 любой любой любой 268435458 deny any any any any any any any any (журнал dcforward flowstart) # Конец правила AC.
В LINA правило развернуто как доверие. Тем не менее, пакет соответствует разрешению правилу (см. Счетчик попаданий ACE), которое развертывается из-за правила Analyze Prefilter, и пакет проверяется механизмом Snort:
список доступа CSM_FW_ACL_ строка 3 расширенный разрешение IP хоста 192.168.1.40 хост 192.168.2.40 идентификатор правила 268435460 (hitcnt = 3) 0xb788b786 ... список доступа CSM_FW_ACL_ строка 13 расширенный IP-адрес доверия хост 192.168.1.40 хост 192.168.2.40 идентификатор правила 268435461 журнал событий конец потока (hitcnt = 0) 0x5c1346d6 ... список доступа CSM_FW_ACL_ строка 16 расширенный запретить IP любой любой идентификатор правила 268435458 журнал событий начало потока (hitcnt = 0) 0x97aa021a
Проверить поведение
огневая мощь # вход для отслеживания пакетов ВНУТРИ icmp 192.168.1.40 8 0 192.168.2.40 ... Фаза: 4 Тип: ACCESS-LIST Подтип: журнал Результат: РАЗРЕШИТЬ Конфиг: группа доступа CSM_FW_ACL_ global список доступа CSM_FW_ACL_ расширенный разрешение ip host 192.168.1.40 host 192.168.2.40 rule-id 268435460 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435460: ПОЛИТИКА ПРЕФИЛЬТРА: Prefilter_Policy1 список доступа CSM_FW_ACL_ идентификатор правила примечания 268435460: ПРАВИЛО: Prefilter_Rule1 Дополнительная информация: Этот пакет будет отправлен на snort для дополнительной обработки, где будет вынесен вердикт. ... Фаза: 14 Тип: SNORT Подтип: Результат: РАЗРЕШИТЬ Конфиг: Дополнительная информация: Snort Trace: Пакет: ICMP AppID: служба ICMP (3501), приложение неизвестно (0) Брандмауэр: запуск сопоставления правил, зона -1 -> -1, geo 0 -> 0, vlan 0, sgt 65535, пользователь 9999997, icmpType 8, icmpCode 0 Брандмауэр: правило доверия / быстрого пути , идентификатор 268435461, разрешить Идентификатор NAP 1, идентификатор IPS 0, Вердикт БЕЛЫЙ СПИСОК Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку … Результат: интерфейс ввода: ВНУТРИ вход-статус: вверх вход-линия-статус: вверх выходной интерфейс: ВНЕШНИЙ статус вывода: вверх статус строки вывода: вверх Действие: разрешить
Основные моменты
- Действие Analyze развертывается как правило разрешения в ядре LINA.Это приводит к тому, что пакет пересылается на механизм Snort для проверки .
- Analyze Action не развертывает никаких правил в Snort Engine, поэтому вам необходимо убедиться, что вы настроили правило в ACP, которое соответствует Snort
- Это зависит от правила ACP, развернутого в движке Snort ( блок против разрешает против fastpath ) Snort разрешает все или несколько пакетов.
Сценарии использования
- Пример использования Analyze Action — это когда у вас есть широкое правило Fastpath в политике Prefilter и вы хотите добавить некоторые исключения для определенных потоков, чтобы они проверялись Snort
Действие монитора ACP
Правило монитора, настроенное в пользовательском интерфейсе FMC:
Правило монитора развернуто на ядре FTD LINA как действие разрешения и в ядре Snort как действие аудита .
firepower # показать список доступа … список доступа CSM_FW_ACL_ строка 10 расширенный разрешение ip 192.168.10.0 255.255.255.0 192.168.11.0 255.255.255.0 идентификатор правила 268438863 (hitcnt = 0) 0x61bbaf0c
Правило Snort:
admin @ firepower: ~ $ cat /var/sf/detection_engines/9e080e5c-adc3-11ea-9d37-44884cf7e9ba/ngfw.rules … # Начало правила AC . 268438863 audit любой 192.168.10.0 24 любой любой 192.168.11.0 24 любой любой любой (журнал dcforward flowend) # Конец правила 268438863
Основные моменты
- Правило монитора не отбрасывает и не разрешает трафик, но генерирует событие подключения.Пакет проверяется на соответствие последующим правилам, и он либо разрешается, либо отбрасывается
- События подключения FMC показывают, что пакет соответствует 2 правилам, включая правило монитора
Трассировка поддержки системы вывод показывает, что пакеты соответствуют обоим правилам:
> трассировка поддержки системы Включить firewall-engine-debug тоже? [n]: y Укажите IP-протокол: tcp Укажите IP-адрес клиента: 192.168.10.50 Укажите порт клиента: Укажите IP-адрес сервера: 192.168.11.50 Укажите порт сервера: Мониторинг сообщений отладчика пакетов и межсетевого экрана 192.168.10.50-41922 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, SYN, seq 4130 192.168.10.50-41922 — 192.168.11.50-80 6 AS 1-1 CID 0 Сеанс: новый сеанс snort 192.168.10.50-41922 — 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.10.50-41922> 192.168.11.50-80 6 AS 1-1 I 19 новый сеанс межсетевого экрана 192.168.10.50-41922> 192.168.11.50-80 6 AS 1-1 I 19 Запуск AC с минимумом 2, ‘Monitor_Rule’ и сначала IPProto с зоной s -1 -> -1, geo 0 -> 0, vlan 0, исходный sgt-тип: 0, исходный sgt-тег: 0, ISE sgt id: 0, тип dest sgt: 0, целевой sgt-тег ISE: 0, svc 0, полезная нагрузка 0, клиент 0, разное 0, пользователь 9999997, icmpType 0, icmpCode 0 192.168.10.50-41922> 192.168.11.50-80 6 AS 1-1 I 19 соответствует порядку правила 2, «Monitor_Rule», действие Audit 192.168.10.50-41922> 192.168.11.50-80 6 AS 1-1 I 19 соответствие правилу порядка 3, ‘trust_L3-L4’, действие Trust 192.168.10.50-41922> 192.168.11.50-80 6 AS 1-1 I 19 Данные MidRecovery отправлены для идентификатора правила: 268438858, rule_action: 3, rev id: 1078 02206, флаг rule_match: 0x2
Сценарии использования
Используется для мониторинга сетевой активности и генерации события подключения
Действие интерактивного блока ACP
Правило интерактивного блока, настроенное в пользовательском интерфейсе FMC:
Правило интерактивного блока развернуто на ядре FTD LINA как разрешает действие и в механизм Snort как обход правило:
firepower # показать список доступа … список доступа CSM_FW_ACL_ строка 9 идентификатор правила примечания 268438864: L7 ПРАВИЛО: Межблочное правило1 список доступа CSM_FW_ACL_ строка 10 расширенный разрешение tcp 192.168.10.0 255.255.255.0 хост 192.168.11.50 eq www идентификатор правила 268438864 (hitcnt = 3) 0xba785fc0 список доступа CSM_FW_ACL_ строка 11 примечание идентификатор правила 268438865: ПОЛИТИКА ДОСТУПА: ACP1 - Обязательно список доступа CSM_FW_ACL_ строка 12 идентификатор правила примечания 268438865: L7 ПРАВИЛО: Inter-Block_Rule2 список доступа CSM_FW_ACL_ строка 13 расширенный разрешение ip 192.168.10.0 255.255.255.0 хост 192.168.11.51 идентификатор правила 268438865 (hitcnt = 0) 0x622350d0
Двигатель Snort:
admin @ firepower: ~ $ cat / var / sf / detect_engines / 9e080e5c-adc3-11ea-9d37-44884cf7e9ba / ngfw.правила … # Запуск правила AC. 268438864 обход любой 192.168.10.0 24 любой любой 192.168.11.50 32 80 любой 6 # Конец правила 268438864 268438865 обход любой 192.168.10.0 24 любой любой 192.168.11.51 32 любой любой любой (appid 676: 1) (ip_protos 6, 17) # Конец правила 268438865
Интерактивное правило блокировки подсказывает пользователю, что назначение запрещено
По умолчанию межсетевой экран позволяет обходить блокировку на 600 секунд:
В выходных данных трассировки поддержки системы видно, что изначально межсетевые экраны блокируют трафик и отображают страницу блокировки:
> трассировка поддержки системы … 192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, ACK, seq 983273680, ack 2014879580 192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба HTTP (676), приложение неизвестно (0) 192.168.10.52-58717> 192.168.11.50-80 6 AS 1-1 I 22 Запуск AC с минимумом 2, 'Inter-Block-Rule1' и IPProto сначала с зонами -1 -> -1, geo 0 (0) - > 0, vlan 0, исходный тип sgt: 0, тег sgt: 0, идентификатор sgt ISE: 0, тип dest sgt: 0, ISE dest_sgt_tag: 0, svc 676, полезная нагрузка 0, клиент 589, разное 0, пользователь 9999997, мин. url-cat-list 0-0-0, url http: // 192.168.11.50 /, xff 192.168.10.52-58717> 192.168.11.50-80 6 AS 1-1 I 22 соответствует порядку правил 2, 'Inter-Block-Rule1', action Interactive 192.168.10.52-58717> 192.168.11.50-80 6 AS 1-1 I 22 действие обхода, отправка интерактивного ответа HTTP размером 1093 байта 192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: правило интерактивного блока, Inter-Block-Rule1, отбрасывание 192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort: обработанные предупреждения декодера или очередь действий, отбрасывание 192.168.10.52-58717> 192.168.11.50-80 6 AS 1-1 I 22 удаление флагов сеанса межсетевого экрана = 0x800, fwFlags = 0x1002 192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 22, NAP id 1, IPS id 0, Вердикт BLACKLIST 192.168.10.52-58717 - 192.168.11.50-80 6 AS 1-1 CID 0 ===> Заблокировано межсетевым экраном Причина вердикта отправляется в DAQ
Когда пользователь выбирает Продолжить (или обновляет страницу браузера), отладка показывает, что пакеты разрешены тем же правилом, которое имитирует и действие Разрешить:
192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, ACK, seq 1357413630, ack 2607625293 192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба HTTP (676), приложение неизвестно (0) 192.168.10.52-58718> 192.168.11.50-80 6 AS 1-1 I 8 Запуск AC с минимумом 2, 'Inter-Block-Rule1' и IPProto сначала с зонами -1 -> -1, geo 0 (0) - > 0, vlan 0, исходный тип sgt: 0, тег sgt: 0, идентификатор sgt ISE: 0, тип dest sgt: 0, ISE dest_sgt_tag: 0, svc 676, полезная нагрузка 0, клиент 589, разное 0, пользователь 9999997, мин. url-cat-list 0-0-0, url http: // 192.168.11.50 /, xff 192.168.10.52-58718> 192.168.11.50-80 6 AS 1-1 I 8 соответствует порядку правил 2, 'Inter-Block-Rule1', action Interactive 192.168.10.52-58718> 192.168.11.50-80 6 AS 1-1 I 8 действие обхода интерактивный обход 192.168.10.52-58718> 192.168.11.50-80 6 AS 1-1 I 8 разрешить действие 192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: разрешающее правило, 'Inter-Block-Rule1', разрешающее 192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: правило интерактивного обхода, Inter-Block-Rule1, разрешить 192.168.10.52-58718 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 8, NAP id 1, IPS id 0, Вердикт ПРОЙДЕН
Сценарии использования
Показать страницу предупреждения пользователям Интернета и дать им возможность продолжить.
Интерактивный блок ACP с действием сброса
Интерактивный блок с правилом сброса, настроенным в пользовательском интерфейсе FMC:
Интерактивный блок с правилом сброса развернут на движке FTD LINA как разрешить действие и на движке Snort как intreset rule:
firepower # показать список доступа … список доступа CSM_FW_ACL_ строка 9 идентификатор правила примечания 268438864: L7 ПРАВИЛО: Межблочное правило1 список доступа CSM_FW_ACL_ строка 10 расширенный разрешение tcp 192.168.10.0 255.255.255.0 хост 192.168.11.50 eq www rule-id 268438864 (hitcnt = 13) 0xba785fc0 список доступа CSM_FW_ACL_ строка 11 примечание идентификатор правила 268438865: ПОЛИТИКА ДОСТУПА: ACP1 - Обязательно список доступа CSM_FW_ACL_ строка 12 идентификатор правила примечания 268438865: L7 ПРАВИЛО: Inter-Block_Rule2 список доступа CSM_FW_ACL_ строка 13 расширенный разрешение ip 192.168.10.0 255.255.255.0 хост 192.168.11.51 идентификатор правила 268438865 (hitcnt = 0) 0x622350d0
Двигатель Snort:
# Начало правила AC. 268438864 интресет любой 192.168.10.0 24 любые любые 192.168.11.50 32 80 любые 6 # Конец правила 268438864 268438865 intreset любой 192.168.10.0 24 любой любой 192.168.11.51 32 любой любой любой (appid 676: 1) (ip_protos 6, 17) # Конец правила 268438865
Как и блокировка со сбросом, пользователь может выбрать вариант «Продолжить»:
В отладке Snort действие показано в интерактивном сбросе:
> трассировка поддержки системы Включить firewall-engine-debug тоже? [n]: y Укажите IP-протокол: tcp Укажите IP-адрес клиента: 192.168.10.52 Укажите порт клиента: Укажите IP-адрес сервера: 192.168.11.50 Укажите порт сервера: Мониторинг сообщений отладчика пакетов и межсетевого экрана 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, SYN, seq 3232128039 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Сеанс: новый сеанс snort 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 новый сеанс межсетевого экрана 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 Запуск AC с минимумом 2, 'Inter-Block-Rule1' и IPProto сначала с зонами -1 -> -1, geo 0 -> 0, vlan 0, исходный sgt-тип: 0, исходный sgt-тег: 0, ISE sgt id: 0, dest sgt-тип: 0, ISE dest sgt-тег: 0, svc 0, полезная нагрузка 0, клиент 0, разное 0, пользователь 9999997, icmpType 0, icmpCode 0 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 соответствует порядку правил 2, 'Inter-Block-Rule1', действие Интерактивный сброс 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 Данные MidRecovery отправлены для идентификатора правила: 268438864, rule_action: 8, rev id: 10906, флаг rule_match: 0x0 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 Данные HitCount отправлены для идентификатора правила: 268438864, 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 24, NAP id 1, IPS id 0, Verdict PASS 192.168.11.50-80 - 192.168.10.52-58958 6 AS 1-1 CID 0 Пакет: TCP, SYN, ACK, seq 2228213518, ack 3232128040 192.168.11.50-80 - 192.168.10.52-58958 6 AS 1-1 CID 0 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.11.50-80 - 192.168.10.52-58958 6 AS 1-1 CID 0 Snort id 24, NAP id 1, IPS id 0, Verdict PASS 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, ACK, seq 3232128040, ack 2228213519 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба неизвестна (0), приложение неизвестно (0) 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 24, NAP id 1, IPS id 0, Verdict PASS 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, ACK, seq 3232128040, ack 2228213519 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба HTTP (676), приложение неизвестно (0) 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 Запуск AC с минимумом 2, 'Inter-Block-Rule1' и IPProto сначала с зонами -1 -> -1, geo 0 (0) - > 0, vlan 0, исходный тип sgt: 0, тег sgt: 0, идентификатор sgt ISE: 0, тип dest sgt: 0, ISE dest_sgt_tag: 0, svc 676, полезная нагрузка 0, клиент 589, разное 0, пользователь 9999997, мин. url-cat-list 0-0-0, url http://192.168.11.50/, xff 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 соответствует порядку правил 2, 'Inter-Block-Rule1', действие Интерактивный сброс 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 Обход действия, отправка интерактивного ответа HTTP размером 1093 байта 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: правило интерактивного блока, Inter-Block-Rule1, удаление 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort: обработанные предупреждения декодера или очередь действий, отбрасывание 192.168.10.52-58958> 192.168.11.50-80 6 AS 1-1 I 24 удаление флагов сеанса межсетевого экрана = 0x800, fwFlags = 0x1002 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 24, NAP id 1, IPS id 0, Вердикт BLACKLIST 192.168.10.52-58958 - 192.168.11.50-80 6 AS 1-1 CID 0 ===> Заблокировано межсетевым экраном Причина вердикта отправляется в DAQ
На этом этапе конечному пользователю показывается страница блокировки. Если пользователь выбирает Продолжить (или обновляет веб-страницу), соответствует тому же правилу, которое на этот раз разрешает трафик:
192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 Пакет: TCP, ACK, seq 1593478294, ack 3135589307 192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 AppID: служба HTTP (676), приложение неизвестно (0) 192.168.10.52-58962> 192.168.11.50-80 6 AS 1-1 I 14 Запуск AC с минимумом 2, 'Inter-Block-Rule1' и IPProto сначала с зонами -1 -> -1, geo 0 (0) - > 0, vlan 0, исходный тип sgt: 0, тег sgt: 0, идентификатор sgt ISE: 0, тип dest sgt: 0, ISE dest_sgt_tag: 0, svc 676, полезная нагрузка 0, клиент 589, разное 0, пользователь 9999997, мин. url-cat-list 0-0-0, url http://192.168.11.50/, xff 192.168.10.52-58962> 192.168.11.50-80 6 AS 1-1 I 14 соответствует порядку правил 2, 'Inter-Block-Rule1', действие Интерактивный сброс 192.168.10.52-58962> 192.168.11.50-80 6 AS 1-1 I 14 действие обхода интерактивный обход 192.168.10.52-58962> 192.168.11.50-80 6 AS 1-1 I 14 разрешить действие 192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: разрешающее правило, 'Inter-Block-Rule1', разрешающее 192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 Межсетевой экран: правило интерактивного обхода, Inter-Block-Rule1, разрешить 192.168.10.52-58962 - 192.168.11.50-80 6 AS 1-1 CID 0 Snort id 14, NAP id 1, IPS id 0, Вердикт PASS 192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 Пакет: TCP, ACK, seq 3135589307, ack 1593478786 192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 AppID: служба HTTP (676), приложение неизвестно (0) 192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 Межсетевой экран: разрешающее правило, 'Inter-Block-Rule1', разрешающее 192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 Межсетевой экран: правило интерактивного обхода, Inter-Block-Rule1, разрешить 192.168.11.50-80 - 192.168.10.52-58962 6 AS 1-1 CID 0 Snort id 14, NAP id 1, IPS id 0, Вердикт ПРОЙДЕН
Интерактивный блок с правилом сброса отправляет TCP RST не веб-трафику:
firepower # показать кепку CAPI | я 11,50 2: 22: 13: 33.112954 802.1Q vlan # 202 P0 192.168.10.50.40010> 192.168.11.50.21: S 3109534920: 3109534920 (0) win 292003: 22: 13: 33.113626 802.1Q vlan # 202 P0 192.168.11.50.21> 192.168.10.50.40010: S 3422362500: 3422362500 (0) ack 3109534921 win 8192 4: 22: 13: 33.113824 802.1Q vlan # 202 P0 192.168.10.50.40010> 192.168.11.50.21:. ack 3422362501 win 229 5: 22: 13: 33.114953 802.1Q vlan # 202 P0 192.168.11.50.21> 192.168.10.50.40010: P 3422362501: 3422362543 (42) ack 3109534921 win 256 6: 22:13:33.114984 802.1Q vlan # 202 P0 192.168.11.50.21> 192.168.10.50.40010: P 3422362543: 3422362549 (6) ack 3109534921 win 256 7: 22: 13: 33.114984 802.1Q vlan # 202 P0 192.168.11.50.21> 192.168.10.50.40010: P 3422362549: 3422362570 (21) ack 3109534921 win 256 8: 22: 13: 33.115182 802.1Q vlan # 202 P0 192.168.10.50.40010> 192.168.11.50.21:. ack 3422362543 win 229 9: 22:13:33.115411 802.1Q vlan # 202 P0 192.168.10.50.40010> 192.168.11.50.21:. ack 3422362549 win 229 10: 22: 13: 33.115426 802.1Q vlan # 202 P0 192.168.10.50.40010> 192.168.11.50.21:. ack 3422362570 win 229 12: 22: 13: 34.803699 802.1Q vlan # 202 P0 192.168.10.50.40010> 192.168.11.50.21: P 3109534921: 3109534931 (10) ack 3422362570 win 229 13: 22:13:34.804523 802.1Q vlan # 202 P0 192.168.11.50.21> 192.168.10.50.40010: R 3422362570: 3422362570 (0) ack 3109534931 win 0
Рекомендации по правилам FTD
- Используйте правила Fastpath политики предварительной фильтрации для больших толстых потоков и для уменьшения задержки через окно
- Использовать правила блокировки предварительной фильтрации для трафика, который должен быть заблокирован в соответствии с условиями L3 / L4
- Используйте правила доверия ACP, если вы хотите обойти многие проверки Snort, но при этом воспользоваться такими функциями, как политика идентификации, QoS, SI, обнаружение приложений, фильтр URL-адресов
- Поместите правила, которые меньше влияют на производительность брандмауэра, в верхней части политики контроля доступа, используя следующие рекомендации:
- Правила блока (уровни 1-4) — Блок предварительной фильтрации
- Разрешить правила (уровни 1-4) — Prefilter Fastpath
- Правила блока ACP (уровни 1-4)
- Правила доверия (уровни 1-4)
- Правила блокировки (уровни 5-7 — обнаружение приложений, фильтрация URL-адресов)
- Разрешающие правила (уровни 1-7 — обнаружение приложений, фильтрация URL-адресов, политика вторжений / файловая политика)
- Правило блокировки (правило по умолчанию)
Подробнее см. Следующий документ:
Политика NGFW Порядок операций
- Избегайте чрезмерного ведения журнала (ведите журнал в начале или в конце и избегайте обоих одновременно)
- Обратите внимание на расширение правил, чтобы проверить количество правил в LINA
firepower # показать список доступа | включить элементы список доступа CSM_FW_ACL_; 7 элементов ; хеш имени: 0x4a69e3f3
Сводка
Действия предфильтра
ACP Действия
Примечание : Начиная с 6.3 Программный код FTD. Динамическая разгрузка потока может разгрузить соединения, отвечающие дополнительным критериям, включая доверенные пакеты, требующие проверки Snort. См. Раздел «Разгрузка больших соединений (потоков)» в Руководстве по настройке Firepower Management Center для получения дополнительных сведений.
Дополнительная информация
Страница не найдена
ДокументыМоя библиотека
раз- Моя библиотека
Как включить ICMP (PING) через брандмауэр Windows в режиме повышенной безопасности с помощью групповой политики
Предварительные требования
Вам потребуются инструменты управления групповой политикой в Windows 7, Windows 8, Windows Server 2008, Windows или Server 2012.Они являются частью инструментов удаленного администрирования сервера (RSAT), доступных на веб-сайте Microsoft.
Инструкции
Чтобы включить ICMP на компьютерах с брандмауэром Windows в режиме повышенной безопасности (Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2012), следуйте этим инструкциям.
- Измените существующий объект групповой политики или создайте новый с помощью инструмента управления групповой политикой.
- Разверните узел Computer Configuration / Policies / Windows Settings / Security Settings / Windows Firewall with Advanced Security / Windows Firewall with Advanced Security / Inbound Rules .
- Установите флажок Custom и нажмите Next
- Установите флажок Все программы и нажмите Далее
- В раскрывающемся списке Тип протокола: выберите ICMPv4 и нажмите Настроить…
- Установите флажок All ICMP types radio botton и нажмите OK.
Примечание. Если вы хотите ограничить ICMP определенными типами, Echo Request должен быть разрешен как минимум. - Вы можете ограничить, какие IP-адреса разрешены для ICMP, или установить переключатель Любой IP-адрес , чтобы разрешить все, затем нажмите Далее .
- Установите флажок Разрешить подключение и нажмите Далее .
- Выберите, к каким профилям будет применяться правило. Установите как минимум флажок Domain profile и нажмите Next .
- Добавьте значимое имя для правила в поле Имя: .При необходимости добавьте описание и нажмите Finish , чтобы выйти и сохранить новое правило.
- Убедитесь, что объект групповой политики применен к соответствующим компьютерам с помощью средства управления групповой политикой.
Отключить или удалить политику
По мере изменения требований к сетевой безопасности вы можете отключить или удалить политики в своей конфигурации.
Когда вы изменяете, удаляете или отключаете политику в своей конфигурации, изменение политики применяется ко всем будущим подключениям к вашей сети или из нее.Если соединение активно при изменении конфигурации политики, оно остается активным до тех пор, пока соединение не будет разорвано или пока ваш Firebox не перезагрузится.
Чтобы отключить политику, из веб-интерфейса Fireware:
- Выберите Firewall> Firewall Policies or Firewall> Mobile VPN IPSec Policies .
- Дважды щелкните политику.
Или выберите политику. В раскрывающемся списке Action выберите Edit Policy . - Снимите флажок Включить .
- Нажмите Сохранить .
Вы можете отключить политику в двух местах в диспетчере политик: в главном брандмауэре или Mobile VPN с вкладками IPSec или в диалоговом окне Edit Policy Properties .
Чтобы отключить политику из брандмауэра или Mobile VPN с вкладкой IPSec :
- Выберите Firewall или Mobile VPN with IPSec tab.
- Щелкните политику правой кнопкой мыши и выберите Отключить политику .
Параметр контекстного меню изменяется на «Включить политику».
Чтобы отключить политику в диалоговом окне Edit Policy Properties :
- Дважды щелкните политику.
Откроется диалоговое окно «Изменить свойства политики». - Снимите флажок Включить .