Cisco ASA FirePOWER: Przekierowywanie ruchu za pomocą MPF

Technologia: Bezpieczeństwo sieci
Obszar: Firewalle nowej generacji
Dostawca: Cisco
Oprogramowanie: 8.X, 9.X, FMC 5.X, 6.X, moduł SFR 5.X, 6.X
Platforma: Cisco ASA

Aby przekierować ruch do modułu SFR (FirePOWER) należy zastosować Modular Policy Framework (MPF). MPF jest odpowiedzialny za kierowanie ruchu produkcyjnego do modułów ASA FirePOWER, co jest opcjonalne z założenia, ale oczywiście niezbędne dla funkcji firewalla nowej generacji.

Aby rozpocząć przekazywanie ruchu przez moduł SFR należy określić listę dostępową opisującą przekierowywany ruch (instrukcja permit przekierowuje ruch, deny nie). Poniższy przykład przekierowuje cały (dowolny) ruch do modułu:

access-list SFR_REDIRECT extended permit ip any any

Następnie dopasuj wcześniej utworzoną listę ACL do mapy klas:

class-map SFR_REDIRECT
 match access-list SFR_REDIRECT

Określ mapę klas w ramach zasad globalnych i dokładny tryb działania, który może być otwierany w trybie awaryjnym lub zamykany w przypadku awarii. Fail-open umożliwia przekazywanie ruchu przez ASA OS w przypadku awarii modułu SFR, drugi zapobiega przekazywaniu w takim przypadku:

policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
 class SFR_REDIRECT
  sfr fail-open

Inną interesującą opcją do sterowania przepływem ruchu jest tryb przekierowania tylko do monitorowania, w którym ruch jest kopiowany tylko do ASA, a nie przekierowywany. W tym trybie możesz monitorować ruch, który na niego nie wpływa, inline poprzez działania SFR. Ten tryb jest często używany w projektach Proof of Concept (PoC) lub nowo wdrożonym ASA FirePOWER w środowisku produkcyjny.

sfr fail-open monitor-only