المقدمة
المتطلبات الأساسية
يصف هذا المستند التعليمات الخاصة بإنشاء عمليات سير عمل مخصصة على مركز إدارة FirePOWER (FMC) الذي يسمح للنظام بعرض عدادات الوصول الخاصة بسياسة التحكم في الوصول (ACP) على أساس عمومي وكل قاعدة. يعد هذا الأمر مفيدا لاستكشاف أخطاء تدفق حركة المرور وإصلاحها إذا ما كانت تتطابق مع القاعدة الصحيحة. كما أنه من المفيد الحصول على معلومات حول الاستخدام العام لقواعد التحكم في الوصول، على سبيل المثال، قواعد التحكم في الوصول التي لا يوجد بها أي نتائج لمدة زمنية طويلة إشارة إلى أن القاعدة لم تعد مطلوبة ويمكن إزالتها بأمان من النظام.
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
- مركز إدارة Virtual Firepower (FMC) - إصدار البرنامج 6.1.0.1 (بنية 53)
- الدفاع ضد تهديد Firepower (FTD) 4150 - نسخة البرنامج 6.1.0.1 (Build 53)
ملاحظة: لا تنطبق المعلومات الموضحة في هذا المستند على مدير أجهزة FirePOWER (FDM).
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المنتجات ذات الصلة
هذا وثيقة يستطيع أيضا كنت استعملت مع هذا جهاز وبرمجية صيغة:
- مركز إدارة Firepower (FMC) - إصدار البرنامج 6.0.x والإصدارات الأحدث
- الأجهزة المدارة بواسطة Firepower - إصدار البرنامج 6.1.x والإصدارات الأحدث
التكوين
الخطوة 1
لإنشاء سير عمل مخصص، انتقل إلى تحليل > مخصص > مهام سير عمل مخصصة > إنشاء سير عمل مخصص:
الخطوة 2
قم بتحديد اسم سير العمل المخصص، على سبيل المثال عدادات الدخول لقاعدة ACP وحدد أحداث الاتصال في حقل جدول. بعد ذلك، احفظ سير عملك الجديد.
الخطوة 3
قم بتخصيص سير العمل الذي تم إنشاؤه حديثا من خلال زر تحرير/قلم رصاص.
الخطوة 4
إضافة صفحة جديدة لسير العمل باستخدام خيار إضافة صفحة، وتعريف اسمها وفرز حقول العمود بواسطة نهج التحكم في الوصول وقاعدة التحكم في الوصول وحقول Count وInitiator IP وResponder IP.
الخطوة 5
إضافة صفحة ثانية باستخدام خيار إضافة طريقة عرض جدول.
الخطوة 6
طريقة عرض الجدول غير قابلة للتكوين، لذلك قم بالمتابعة فقط لحفظ سير العمل الخاص بك.
الخطوة 7
انتقل إلى Analysis (تحليل) > أحداث الاتصالات وحدد سير عمل المحول، ثم أختر سير العمل الذي تم إنشاؤه حديثا والمسمى عدادات الوصول لقاعدة ACP وانتظر حتى يتم إعادة تحميل الصفحة.
بمجرد تحميل الصفحة، يتم عرض عدادات الوصول إلى القاعدة لكل قاعدة من قواعد ACP، ما عليك سوى تحديث طريقة العرض هذه في أي وقت تريد الحصول على عدادات قواعد AC الحديثة.
التحقق من الصحة
يمكن تحقيق طريقة لتأكيد عدادات الوصول إلى قاعدة التحكم على أساس القاعدة لجميع حركة المرور (بشكل عام) من الأمر show access-control-config (CLISH) ل FTD (واجهة سطر الأوامر (CLI Shell)، وهو ما يتم توضيحه أدناه:
> show access-control-config
===================[ allow-all ]====================
Description :
Default Action : Allow
Default Policy : Balanced Security and Connectivity
Logging Configuration
DC : Disabled
Beginning : Disabled
End : Disabled
Rule Hits : 0
Variable Set : Default-Set
…(output omitted)
-----------------[ Rule: log all ]------------------
Action : Allow
Intrusion Policy : Balanced Security and Connectivity
ISE Metadata :
Source Networks : 10.10.10.0/24
Destination Networks : 192.168.0.0/24
URLs
Logging Configuration
DC : Enabled
Beginning : Enabled
End : Enabled
Files : Disabled
Rule Hits : 3
Variable Set : Default-Set
… (output omitted)
استكشاف الأخطاء وإصلاحها
باستخدام الأمر firewall-engine-debug يمكنك تأكيد ما إذا كان يتم تقييم تدفق حركة المرور مقابل قاعدة التحكم في الوصول المناسبة:
> system support firewall-engine-debug
Please specify an IP protocol: icmp
Please specify a client IP address: 10.10.10.122
Please specify a server IP address: 192.168.0.14
Monitoring firewall engine debug messages
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 New session
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 Starting with minimum 0, id 0 and IPProto first with zones 1 -> 2, geo 0 -> 0, vlan 0, sgt tag: untagged, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 8, icmpCode 0
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 no match rule order 1, id 2017150 dst network and GEO
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 match rule order 3, 'log all', action Allow
10.10.10.122-8 > 192.168.0.14-0 1 AS 2 I 0 allow action
عندما تقارن عدادات الوصول لقاعدة ACP المسماة سجل كل ما تلاحظه أن مخرجات سطر الأوامر (CLI) و GUI غير متطابقة. السبب هو مسح عدادات وصول CLI بعد كل نشر لنهج التحكم في الوصول وتطبيقه على جميع حركة المرور بشكل عام وليس على عناوين IP معينة. ومن ناحية أخرى، تحتفظ واجهة المستخدم الرسومية (GUI) ل FMC بالعدادات في قاعدة البيانات، حتى يمكنها عرض البيانات التاريخية استنادا إلى إطار زمني محدد.
معلومات ذات صلة