我们已经在我们的 sfr 模块 5.3.1 中的 Vmware Exsi 中安装了火力管理中心。我们的 ASA 是 5515-x 版本 9.2.2 和 ASDM 版本 7.2.2。ASA的管理IP是192.168.1.1,firepower管理中心的源防火中心是192.168.0.9,我们已经安装了sfr模块的license。但是我们没有 url 过滤许可证。两者都在不同的网络中。现在,我看不到防御中心与 ASA 有任何联系。我将如何阻止流量或以这种方式进行 url 过滤?我的要求很简单,我想要的只是 url 过滤的最终解决方案。而且我们没有 url 过滤许可证。如何过滤流量?
使用 firesight 管理中心过滤 URL
网络工程
思科-ASA
防火墙
思科火力
2022-02-11 05:01:40
1个回答
在 ASA 上,您可以通过两种不同的方式阻止单个 URL。第一种方法是使用 FQDN,这基本上会导致 ASA 定期解析 DNS 中的主机名,并使用查找结果更新 ACL。因此,您创建了一个 ACL 条目来拒绝到 FQDN 的流量,并且它将始终使用 DNS 答案进行更新。
第二种方法是使用class-maps 中的正则表达式模式阻止 URL,绑定到policy-map. 此方法仅在通信通过端口 80 时才有效。
相比之下,使用 Firepower,URL 许可证为您提供了功能更强大的解决方案,能够按类别阻止 URL。此方法的好处之一是 Cisco Talos 始终提供 URL 数据库的更新,因此您可以一键阻止所有类型的 URL。
现在,你提到,
我看不到国防中心与 ASA 有任何联系
在 Firepower 传感器上,运行命令show managers以查看传感器是否已连接到管理中心。如果没有连接,那么您将根本无法控制传感器(在 5515x 上),因为传感器从管理中心接收指令。如果它连接到管理器,则 HTTPS 到管理器并登录。如果没有,请按照文档将传感器连接到您的 FMC。
其它你可能感兴趣的问题