管理员 发表于 2021-1-19 12:08
问题7（来自CiscoJapanModerator）
你能举例说明一下如何用带有Cisco ASA和Cisco ISE的设备进行配置，以 ...

答案7（来自bguerram ）
Hi，
ACIDex属性主要是用于不需要在ASA中进行特殊配置的概要分析(Profiling)。
AnyConnect Identity Extensions (ACIDex)
远程访问虚拟专用网络（VPN）客户端代表ISE分析器的特殊用例。
AnyConnect Identity Extensions (ACIDex)是Cisco的AnyConnect安全移动客户端，有助于解决该问题。ACIDex（也简称为“Mobile Posture”）能够允许AnyConnect VPN客户端，通过远程访问VPN链接，向Cisco Adaptive Security Appliance (ASA)传达终点属性。ASA可以在本地使用这些属性做决策，但也可以将RADIUS中的属性作为Cisco属性值（AV）对中继到ISE PSN。ISE接收到包含客户端MAC地址的ACIDex属性时，PSN可以更新Profiler数据库中的相应端点。
ACIDex示例：

更多信息，请参见ISE配置文件设计指南

问题9（来自 Cisco Moderador）
大家好！
如何在FTD中进行数据包捕获？我比较熟悉ASA捕获，但是FTD好像不支持这些指令。
谢谢！
注意：该问题是由Adolfo Suarez用葡萄牙语发布的。Cisco社区翻译了该问题，并用不同语言分享了该问题及其解决方案。

管理员 发表于 2021-1-21 16:12
问题9（来自 Cisco Moderador）
大家好！

答案9（来自Ricardo1）
Adolfo，您好！
FTD支持两种捕获方式。
使用GUI：
前往系统>健康>监视器system > health > monitor.。
搜索和选择您可以启动捕获的设备。
点击高级故障排除
导航到Capture w/ Trace，然后点击添加捕获


使用CLI：
通过SSH，进入到FTD
然后跳转到clish（clish图标>）
>
我们需要使用下列指令，跳转到LINA端（ASA代码）
>system support diagnostic-cli
firepower>enable
Password: <------只需要点击enter键，这里没有启用的密码
firepower#
此处，您可以使用ASA上相同的指令，启动捕获功能。
接口内部的firepower＃capture匹配ip any
谢谢！

问题10（来自 Jessica Deaken）
是否可以在虚拟环境中进行ASA部署？

管理员 发表于 2021-1-21 16:14
问题10（来自 Jessica Deaken）
是否可以在虚拟环境中进行ASA部署？

答案10（来自Ricardo1）
Jessica，您好！
是的，ASA可在一些被称为ASAv的虚拟环境下运行，这些虚拟环境包括：
亚马逊网页服务
基于Kernel的虚拟机（KVM）
微软智能云
Oracle云基础设施（OCI）
VMware vSphere
微软Hyper-V
有关详细信息，请访问
https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#id_65990
谢谢！

问题11（来自 Cisco Moderador）
大家好！
如果单元出现故障，如何替换一对HA ASA？
非常感谢！
Adolfo.
注意：该问题是由Adolfo Suarez用西班牙语发布的。Cisco社区翻译了该问题，并用不同语言分享了该问题及其解决方案。

管理员 发表于 2021-1-21 16:16
问题11（来自 Cisco Moderador）
大家好！

答案11（来自Ricardo1）
Adolfo，您好！
以下是替换过程：
1.- 在替换单元（RMA）之后，必须连接ASA接口，在设备上打开。
2.- 重新托管许可证（向licensing团队提交一个TAC案例）
3.- 如果ASA可以在多重环境下运行，则可以使用“多种模式(mode multiple)”指令，更改为多重环境。它将重新启动防火墙。
3 .-从正在运行的设备中，获取“ show run failover”命令的输出，更改角色（如果工作设备是主要设备，则将其更改为次要设备）并将其粘贴到故障设备上。
4 .-使用命令“ failover”启用故障转移
5.-在活动单元上使用“no failover active”命令检查服务并测试故障转移
谢谢！

问题12（来自 StevieC666）
大家好！
我们有一对FP4115和FMC2600框，它们在4115中运行了3个FTD HA实例。6.5.0.3适用于FMC/FTD，2.8(1.125)适用于FXOS。
我们的MSP建议将FMC / FTD设置为6.6.1-91，这从安全性和稳定性的角度来看是绝对有意义的。 但是从功能角度来看，6.7似乎可以解决我们尚未从MS DirectAccess迁移到AnyConnect的原因，我们已经购买了所有适当的许可证，并且还有其他功能可以使MSP的生活更轻松。

请问何时6.7将被移至建议的版本？ 如果忽略给出的建议，并指导我们的MSP升级到该版本，我们可能会面临风险吗？

问题13（来自 Modérateur Cisco）
晚上好！
是否可以使用速度测试或任何第三方速度测试作为Firepower设备速度测试的方法？
谢谢！
注意：该问题是由 ADC用法语发布的。Cisco社区翻译了该问题，并用不同语言分享了该问题及其解决方案。

问题14 （来自wangyonggang2015）
Firepower恶意软件策略能否对IM软件（如Telegram，Whatsapp）发送的文件生效？

请问FTD的malware文件策略对于通过IM即时通讯软件传输（经过抓包发现是https协议的）文件能否生效？
官网说明如下：
The system can detect and inspect files transmitted via FTP, HTTP, SMTP, IMAP, POP3, and NetBIOS-ssn (SMB).
如果活动还没有结束麻烦帮忙翻译问下谢谢~

管理员 发表于 2021-1-21 16:18
问题14 （来自wangyonggang2015）
Firepower恶意软件策略能否对IM软件（如Telegram，Whatsapp）发送的文 ...

答复from Ilkin
文件策略可以检测和检查通过FTP，HTTP，SMTP，IMAP，POP3和NetBIOS-ssn（SMB）传输的文件。 默认情况下，任何文件都会检测HTTP，SMTP，IMAP，POP3，FTP和NetBIOS-ssn（SMB）通信中的文件。

为了使文件策略对以上协议的加密连接（例如HTTPS）生效，应首先解密此类连接。 IM软件通常使用加密的连接，因此在文件策略对有效负载生效之前，必须对它们进行解密。 特定连接是否可以解密，取决于几个因素。 配置指南的“加密流量处理”部分显示了在Firepower软件中处理加密流量的准则和限制。

管理员 发表于 2021-1-21 16:18
问题13（来自 Modérateur Cisco）
晚上好！

答复from Ricardo1
嗨ADC
当您使用任何速度测试网站或任何带宽测量工具（例如iperf）进行测试时，都会生成一个大型的单流TCP流。 这种大的TCP流称为大象流。 大象流是单个会话，运行时间相对较长的网络连接，消耗大量或不成比例的带宽。 这种类型的流分配给一个Snort实例，因此测试结果显示单个snort实例的吞吐量，而不是设备的总吞吐量等级。
一个不错的选择是通过防火墙进行FTP传输
您也可以使用此工具来估算您的火力设备的性能
https://ngfwpe.cisco.com/

问题来自 armnandoh：
首先，感谢本次活动，它们对社区确实非常有帮助。
我对由FDM管理的FTD中的客户端到站点VPN（Anyconnect）中的VPN过滤器有一个小疑问。
在ASA中，我用于为本地用户创建VPN过滤器，如下所示：
我创建ACL
access-list VPN-FILTER-NAME permit object-group IPPOOL
然后在用户名属性中应用ACL：
username attributes
vpn-filter value VPN-FILTER-NAME
示例：
access-list AQUAMAN-FILTER extended permit tcp object-group CLIENT-VPN-IPPOOL host 172.24.16.10 eq 3389
username aquaman password 12345
username aquaman attributes
vpn-filter value AQUAMAN-FILTER
这是生效/可行的。
但是在FDM中，我没有找到可以创建这种过滤器的功能。
在FDM中，用户是通过Objects > Users > Add Local User创建的（服务类型：RA-VPN）
名称和密码是我只能填写的属性。
我已经尝试在“策略”选项卡中启用身份策略，然后创建一个ACL，添加源（IPPOOL）和目标（）以及创建的本地用户。在远程访问VPN连接配置文件中，禁用了已解密流量的绕过访问控制策略（sysopt permit-VPN），以使创建的ACL生效。但是它没有用。
也许我漏掉了一些东西？能否请您告诉我最佳实践，以便为客户端中的本地用户通过FDM为VPN（Anyconnect）提供VPN过滤器？
Best Regards.

问题from alsokolov
在FTD中， 'show capture cap_inside packet-number 4 trace' for packet #4 包含以下输出：
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found flow with id 1254, using existing flow
Phase: 4
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (fast-forward) fast forward this flow
Result:
input-interface: inside(vrfid:0)
input-status: up
input-line-status: up
Action: allow
'fast-forward' 是什么意思，以及如何在FTD中处理此数据包？