请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 452|回复: 5

【专家问答】思科Firepower威胁防御(FTD)配置、维护和故障排错

[复制链接]
发表于 2020-1-14 16:59:52 | 显示全部楼层 |阅读模式
思科技术支持中心 Technical Consulting Engineer - Junling Yao 将在2020年1月16日的第五十期 思科社区【公开课】在线讲座后,做客社区专家问答活动,为大家解答关于“思科Firepower威胁防御(FTD)配置、维护和故障排错”的相关问题。

活动主题:思科Firepower威胁防御(FTD)配置、维护和故障排错

活动时间:2020年1月16日-2020年1月19日

问答专家:Junling Yao - 思科技术支持中心 Technical Consulting Engineer





参与方式:在本主题下跟帖提出您的问题,我们的专家会予以解答。

如果专家的解答对您有帮助的话,记得给出星级评分哦。


本帖子中包含更多资源

您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册   

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-16 12:26:11 | 显示全部楼层
本帖最后由 xjh1108lxn1128 于 2020-1-16 16:28 编辑

packet-tracer 和抓包那个功能
是不是7层 snort层面 无法仿真,我们试过只要匹配block 的snort的acl 在packet-tracer里都会放行(只能仿真lina层面)。
有什么方式可以查看snort的acl 仿真呢?

点评

您好,您的问题已收到,我们转给姚老师,有回复会尽快转达给您,谢谢。  发表于 2020-1-20 14:49
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-18 19:38:35 | 显示全部楼层
我这两天在服务器上搭建思科的firepower防火墙,遇到了问题。求大佬帮忙解惑呀。问题如下:
1.FMC 用的6.1.0-330版本,已经正常配置,可以在浏览器使用HTTPS进行访问,也做了90天的评估授权。
2.vFTD除了问题,也是6.1.0-330版本的额。但是导入服务器之后,配置完ip地址,掩码,show network可以看到ip地址,但是无法使用同网段的PC ping通,FMC和vFTD也不通。
3.有一个奇怪的现象,PC和FMC已经学习到了vFTD的ip地址对应的mac,arp表项里面有,但是却没有添加设备,无法访问。求大佬答疑解惑呀。谢谢。

点评

您好,您的问题已收到,我们转给姚老师,有回复会尽快转达给您,谢谢。  发表于 2020-1-20 14:48
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-21 09:58:13 | 显示全部楼层
晴朗微凉 发表于 2020-1-18 19:38
我这两天在服务器上搭建思科的firepower防火墙,遇到了问题。求大佬帮忙解惑呀。问题如下:
1.FMC 用的6.1 ...

请问如果从vftd去ping FMC 或者pc,  show arp 能否看到pc或者fmc的 arp解析?

可否提供下pc和 vftd的 show arp.

如果是非ftd, 比如是一个普通的虚机, 它所用的虚拟网卡如果和vftd一致并且也和pc是同一个网段, 是否能够ping 通 fmc或者pc?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-21 10:13:56 | 显示全部楼层
晴朗微凉 发表于 2020-1-18 19:38
我这两天在服务器上搭建思科的firepower防火墙,遇到了问题。求大佬帮忙解惑呀。问题如下:
1.FMC 用的6.1 ...

您好, packet-tracer 是做一个流量仿真的测试, 就你的情况举例: 比如fmc中的一个防问控制列表是基于application telnet (不是基于端口) 配置的block, 那么三层的ACL 必然是一个permit的语句, 而在snort层面的访问控制是一个deny的语句。

而用packet-tracer时, 由于它是流量仿真, 第一个包是客户端发出的syn packet ,这个包在lina 层面和 snort 层面的处理结果都是permit, snort 层面放行是因为snort目前还无法根据这个syn包判断出它是否是telnet的应用, 所有你会看到packet-tracer的结果是允许这个包传输。 由于packet-tracer只仿真第一个syn包, 在这种情况下不能看到这个流的其他的包处理的结果。

建议你用如下语句测试, 在ftd的命令行下, capture testinside trace  interface inside match ip host xx.xx.xx.xx host yy.yy.yy.yy  ( xx.xx.xx.xx, yy.yy.yy.yy 为测试的客户端和server端的ip地址), 然后发出真实的测试流, 然后:
show capture testinside packet-number 1 trace detail,  show capture testinside packet-number 2 trace detail,  show capture testinside packet-number 3 trace detail,  show capture testinside packet-number 4 trace detail,  你会看到头三个包都是放行的( tcp三次握手), 直到第四个包被snort拒绝, 原因是snort此时根据第四个包已经判断出它是telnet的应用, 然后把拒绝的通知告诉lina层面。

如以下是我的第四个包被snort拒绝的结果:
Phase: 5
Type: SNORT
Subtype:
Result: DROP
Config:
Additional Information:
Snort Trace:
Packet: TCP, ACK, seq 2612432281, ack 2554219886
AppID: service Telnet (861), application unknown (0)
Firewall: starting rule matching, zone 3 -> 3, geo 0(0) -> 0, vlan 0, sgt 65535, user 9999997
Firewall: block rule, id 268443648, drop
Snort: processed decoder alerts or actions queue, drop
Snort id 0, NAP id 1, IPS id 0, Verdict BLACKLIST, Blocked by Firewall
Snort Verdict: (black-list) black list this flow



Result:
input-interface: inside
input-status: up
input-line-status: up
Action: drop
Drop-reason: (firewall) Blocked or blacklisted by the firewall preprocessor

希望这个回答能对您有帮助。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
 楼主| 发表于 2020-1-21 12:45:49 | 显示全部楼层
感谢专家解答,谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-2-28 17:00 , Processed in 0.109985 second(s), 47 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表