Polska
GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com
Szwecja
Drottninggatan 86
111 36 Sztokholm
+46 762 041 514
info@grandmetric.com
UK
Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com
US Region
Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com
Technologia: Bezpieczeństwo sieci
Obszar: Firewalle nowej generacji
Dostawca: Cisco
Oprogramowanie: 8.X, 9.X, FMC 5.X, 6.X, moduł SFR 5.X, 6.X
Platforma: Cisco ASA
Aby przekierować ruch do modułu SFR (FirePOWER) należy zastosować Modular Policy Framework (MPF). MPF jest odpowiedzialny za kierowanie ruchu produkcyjnego do modułów ASA FirePOWER, co jest opcjonalne z założenia, ale oczywiście niezbędne dla funkcji firewalla nowej generacji.
Aby rozpocząć przekazywanie ruchu przez moduł SFR należy określić listę dostępową opisującą przekierowywany ruch (instrukcja permit przekierowuje ruch, deny nie). Poniższy przykład przekierowuje cały (dowolny) ruch do modułu:
access-list SFR_REDIRECT extended permit ip any any
Następnie dopasuj wcześniej utworzoną listę ACL do mapy klas:
class-map SFR_REDIRECT
match access-list SFR_REDIRECT
Określ mapę klas w ramach zasad globalnych i dokładny tryb działania, który może być otwierany w trybie awaryjnym lub zamykany w przypadku awarii. Fail-open umożliwia przekazywanie ruchu przez ASA OS w przypadku awarii modułu SFR, drugi zapobiega przekazywaniu w takim przypadku:
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
class SFR_REDIRECT
sfr fail-open
Inną interesującą opcją do sterowania przepływem ruchu jest tryb przekierowania tylko do monitorowania, w którym ruch jest kopiowany tylko do ASA, a nie przekierowywany. W tym trybie możesz monitorować ruch, który na niego nie wpływa, inline poprzez działania SFR. Ten tryb jest często używany w projektach Proof of Concept (PoC) lub nowo wdrożonym ASA FirePOWER w środowisku produkcyjny.
sfr fail-open monitor-only