Configurar uma regra de aprovação em um sistema Cisco Firepower

Opções de download

  • PDF     (153.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (129.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (194.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de novembro de 2018
ID do documento:118411

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve uma regra de passagem, como criá-la e como ativá-la em uma política de invasão.

    Você pode criar regras de passagem para impedir que os pacotes que atendem aos critérios definidos na regra de passagem acionem a regra de alerta em situações específicas, em vez de desativar a regra de alerta. Por padrão, as regras de passagem substituem as regras de alerta. Um sistema Firepower compara pacotes com as condições especificadas em cada regra e, se os dados do pacote corresponderem a todas as condições especificadas em uma regra, a regra é disparada. Se uma regra for uma regra de alerta, ela gerará um evento de invasão. Se for uma regra de passagem, ela ignora o tráfego.

    Por exemplo, você pode desejar que uma regra que procure tentativas de fazer login em um servidor FTP como o usuário "anonymous" permaneça ativo. No entanto, se sua rede tiver um ou mais servidores FTP anônimos legítimos, você poderá gravar e ativar uma regra de passagem que especifique que, para esses servidores específicos, os usuários anônimos não disparam a regra original.

    Caution: Quando uma regra original na qual a regra de aprovação é baseada recebe uma revisão, a regra de aprovação não é atualizada automaticamente. Portanto, as regras de aprovação podem ser difíceis de manter.

    Note: Se você habilitar o recurso Supressão para uma regra, ele suprime as notificações de evento para essa regra. No entanto, a regra ainda é avaliada. Por exemplo, se você suprime uma regra de queda, os pacotes que correspondem à regra são silenciosamente descartados.

    Prerequisites

    Requirements

    Não existem requisitos específicos para este documento.

    Componentes Utilizados

    Este documento não se restringe a versões de software e hardware específicas. 

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Configurar

    Criar uma regra de aprovação

    1. Navegue até Objetos > Regras de intrusão. A lista de categorias de regras é exibida.
    2. Localize a categoria de regra associada à regra que deseja filtrar. Use o ícone de seta para expandir a categoria de regra das listas de categorias e localizar a regra para a qual deseja criar uma regra de aprovação. Como alternativa, você pode usar a caixa de pesquisa de regra.
    3. Depois de encontrar a regra desejada, clique no ícone do lápis ao lado dela para editar a regra.
    4. Ao editar uma regra, faça o seguinte:
      1. Clique no botão Editar que corresponde à regra.
      2. Na lista suspensa Ação, escolha passar.
      3. Altere o campo IPs de origem e o campo IPs de destino para os hosts ou redes sobre os quais você não deseja que a regra seja alertada.
      4. Clique em Salvar como novo.

    5. Observe o número de ID da nova regra. Por exemplo, 1000000.

    Habilitar uma regra de aprovação

    Você precisa ativar sua nova regra na política de invasão apropriada para transmitir o tráfego nos endereços de origem ou destino que você especificou. Siga estas etapas para ativar uma regra de passagem:

    1. Modificar a política de intrusão ativa:
      1. Navegue até Políticas > Controle de acesso > Invasão.
      2. Clique em Editar ao lado da política de intrusão ativa.
    2. Adicione a nova regra à lista de regras:
      1. Clique em Regras no painel do lado esquerdo.
      2. Digite a ID da regra anotada anteriormente na caixa de filtro.
      3. Marque a caixa de seleção Regras e altere o Estado da regra para Gerar eventos.
      4. Clique em Policy Information (Informações da política) no painel à esquerda. Clique em Confirmar alterações.
    3. Clique em Implantar para implantar as alterações no dispositivo.

    Verificar

    Você deve monitorar os novos eventos por algum tempo para garantir que nenhum evento seja gerado para essa regra específica para o endereço IP de origem ou de destino definido.

    Troubleshoot

    Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Nazmul Rajib
      Cisco Engineer
    • Josiah Zimmermann
      Cisco Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos