Introduzione
In questo documento viene descritta la configurazione dell'oggetto Nome di dominio completo (FQDN) tramite il Centro gestione firewall e viene illustrato come utilizzare l'oggetto FQDN nella creazione delle regole di accesso.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Conoscenza della tecnologia Firepower.
- Conoscenza della configurazione dei criteri di controllo di accesso in Firesight Management Center (FMC)
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Firepower Management Center con versione 6.3 e successive.
- Firepower Threat Defense versione 6.3 e successive.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Passaggio 1. Per configurare e utilizzare un oggetto basato su FQDN, configurare innanzitutto DNS in Firepower Threat Defense.
Accedere al CCP e selezionare Dispositivi > Impostazioni piattaforma > DNS.
Nota: Verificare che i criteri di sistema siano applicati all'FTD dopo la configurazione del DNS (il server DNS configurato deve risolvere l'FQDN che verrà utilizzato).
Passaggio 2. Creare l'oggetto FQDN per passare a Oggetti > Gestione oggetti > Aggiungi rete > Aggiungi oggetto.
Passaggio 3. Creare una regola di controllo d'accesso passando a Criteri > Controllo d'accesso.
Nota: È possibile creare una regola o modificare la regola esistente in base al requisito. L'oggetto FQDN può essere utilizzato nelle reti di origine e/o di destinazione.
Verificare che il criterio sia applicato dopo il completamento della configurazione.
Verifica
Inizializzare il traffico dal computer client che deve attivare la regola basata su FQDN creata.
Nel FMC, selezionare Eventi > Eventi di connessione, filtrare per il traffico specifico.
Risoluzione dei problemi
Il server DNS deve essere in grado di risolvere l'oggetto FQDN. È possibile verificare questa condizione dalla CLI che esegue i seguenti comandi:
- system support diagnostic-cli
- mostra fqdn
.