取消
显示结果 
搜索替代 
您的意思是: 
cancel
4630
查看次数
10
有帮助
8
评论
one-time
Level 13
Level 13
思科技术支持中心 Technical Consulting Engineer - Junling Yao 将在2020年1月16日的第五十期 思科社区【公开课】在线讲座后,做客社区专家问答活动,为大家解答关于“思科Firepower威胁防御(FTD)配置、维护和故障排错”的相关问题。
活动主题:思科Firepower威胁防御(FTD)配置、维护和故障排错
活动时间:2020年1月16日-2020年1月19日
问答专家:Junling Yao - 思科技术支持中心 Technical Consulting Engineer



162240jkpaggrka1ofzav5.jpg

参与方式:在本主题下跟帖提出您的问题,我们的专家会予以解答。
:handshake 如果专家的解答对您有帮助的话,记得给出星级评分哦。

8 评论
jiahao xian
Level 1
Level 1
本帖最后由 xjh1108lxn1128 于 2020-1-16 16:28 编辑
packet-tracer 和抓包那个功能
是不是7层 snort层面 无法仿真,我们试过只要匹配block 的snort的acl 在packet-tracer里都会放行(只能仿真lina层面)。
有什么方式可以查看snort的acl 仿真呢?
晴朗微凉
Level 1
Level 1
我这两天在服务器上搭建思科的firepower防火墙,遇到了问题。求大佬帮忙解惑呀。问题如下:
1.FMC 用的6.1.0-330版本,已经正常配置,可以在浏览器使用HTTPS进行访问,也做了90天的评估授权。
2.vFTD除了问题,也是6.1.0-330版本的额。但是导入服务器之后,配置完ip地址,掩码,show network可以看到ip地址,但是无法使用同网段的PC ping通,FMC和vFTD也不通。
3.有一个奇怪的现象,PC和FMC已经学习到了vFTD的ip地址对应的mac,arp表项里面有,但是却没有添加设备,无法访问。求大佬答疑解惑呀。谢谢。
Yanli Sun
Community Manager
Community Manager
您好,您的问题已收到,我们转给姚老师,有回复会尽快转达给您,谢谢。
Yanli Sun
Community Manager
Community Manager
您好,您的问题已收到,我们转给姚老师,有回复会尽快转达给您,谢谢。
Junling Yao
Cisco Employee
Cisco Employee
晴朗微凉 发表于 2020-1-18 19:38
我这两天在服务器上搭建思科的firepower防火墙,遇到了问题。求大佬帮忙解惑呀。问题如下:
1.FMC 用的6.1 ...

请问如果从vftd去ping FMC 或者pc, show arp 能否看到pc或者fmc的 arp解析?
可否提供下pc和 vftd的 show arp.
如果是非ftd, 比如是一个普通的虚机, 它所用的虚拟网卡如果和vftd一致并且也和pc是同一个网段, 是否能够ping 通 fmc或者pc?
Junling Yao
Cisco Employee
Cisco Employee
晴朗微凉 发表于 2020-1-18 19:38
我这两天在服务器上搭建思科的firepower防火墙,遇到了问题。求大佬帮忙解惑呀。问题如下:
1.FMC 用的6.1 ...

您好, packet-tracer 是做一个流量仿真的测试, 就你的情况举例: 比如fmc中的一个防问控制列表是基于application telnet (不是基于端口) 配置的block, 那么三层的ACL 必然是一个permit的语句, 而在snort层面的访问控制是一个deny的语句。
而用packet-tracer时, 由于它是流量仿真, 第一个包是客户端发出的syn packet ,这个包在lina 层面和 snort 层面的处理结果都是permit, snort 层面放行是因为snort目前还无法根据这个syn包判断出它是否是telnet的应用, 所有你会看到packet-tracer的结果是允许这个包传输。 由于packet-tracer只仿真第一个syn包, 在这种情况下不能看到这个流的其他的包处理的结果。
建议你用如下语句测试, 在ftd的命令行下, capture testinside trace interface inside match ip host xx.xx.xx.xx host yy.yy.yy.yy ( xx.xx.xx.xx, yy.yy.yy.yy 为测试的客户端和server端的ip地址), 然后发出真实的测试流, 然后:
show capture testinside packet-number 1 trace detail, show capture testinside packet-number 2 trace detail, show capture testinside packet-number 3 trace detail, show capture testinside packet-number 4 trace detail, 你会看到头三个包都是放行的( tcp三次握手), 直到第四个包被snort拒绝, 原因是snort此时根据第四个包已经判断出它是telnet的应用, 然后把拒绝的通知告诉lina层面。
如以下是我的第四个包被snort拒绝的结果:
Phase: 5
Type: SNORT
Subtype:
Result: DROP
Config:
Additional Information:
Snort Trace:
Packet: TCP, ACK, seq 2612432281, ack 2554219886
AppID: service Telnet (861), application unknown (0)
Firewall: starting rule matching, zone 3 -> 3, geo 0(0) -> 0, vlan 0, sgt 65535, user 9999997
Firewall: block rule, id 268443648, drop
Snort: processed decoder alerts or actions queue, drop
Snort id 0, NAP id 1, IPS id 0, Verdict BLACKLIST, Blocked by Firewall
Snort Verdict: (black-list) black list this flow
Result:
input-interface: inside
input-status: up
input-line-status: up
Action: drop
Drop-reason: (firewall) Blocked or blacklisted by the firewall preprocessor
希望这个回答能对您有帮助。
one-time
Level 13
Level 13
感谢专家解答,谢谢~
jiahao xian
Level 1
Level 1
juyao 发表于 2020-1-21 10:13
您好, packet-tracer 是做一个流量仿真的测试, 就你的情况举例: 比如fmc中的一个防问控制列表是基于ap ...

非常感谢!
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区: