Inleiding
Dit document beschrijft de configuratie van het Fully Qualified Domain Name (FQDN)-object via het Firewallbeheercentrum (FMC) en de manier waarop u FQDN-object moet gebruiken in de creatie van de toegangsregel.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Kennis van FirePOWER-technologie.
- Kennis van het configureren van toegangsbeheerbeleid voor FireSIGHT Management Center (FMC)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Firepower Management Center met versie 6.3 en hoger.
- Firepower Threat Defense met versie 6.3 en hoger.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Configureren
Stap 1. Om op FQDN gebaseerd object te configureren en te gebruiken, moet u eerst DNS op de Firepower Threat Defense configureren.
Meld u aan bij het FMC en navigeer naar Apparaten > Platform Instellingen > DNS.
Opmerking: Zorg ervoor dat het systeembeleid op de FTD wordt toegepast nadat u de DNS hebt geconfigureren. (De DNS-server moet de FQDN-oplossing oplossen die wordt gebruikt)
Stap 2. Maak het FQDN-object, om dat te doen door te sturen naar objecten > Objectbeheer > Add Network > Add Object.
Stap 3. Maak een toegangscontroleregel door naar beleid > Toegangsbeheer te navigeren.
Opmerking: U kunt een regel maken of de bestaande regel wijzigen op basis van de vereiste. Het FQDN-object kan in bron- en/of doelnetwerken worden gebruikt.
Zorg ervoor dat het beleid wordt toegepast nadat de configuratie is voltooid.
Verifiëren
Initieer verkeer vanaf de clientmachine, wat naar verwachting de op FQDN gebaseerde regel zal activeren.
Op het VCC, navigeer aan Gebeurtenissen > gebeurtenis, filter voor het specifieke verkeer.
Problemen oplossen
De DNS server zou het FQDN object moeten kunnen oplossen, dit kan worden geverifieerd vanuit de CLI-instelling die deze opdracht uitvoert:
- systeemondersteuning voor diagnostische cli
- tonen fqdn
.