×

警告メッセージ

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Firepower 通信に影響しうる設定変更の例

ドキュメント

2016/12/07 - 22:16
12月 7th, 2016
User Badges:
  • Cisco Employee,

Firepower において、検知エンジン(Snort)のプロセスの再起動には、restartまたはreloadがございます。
   restart: snortプロセスが再生成され、プロセスIDが変更されます。
   reload: snortプロセスの再生成は行われず、プロセスIDの変更はございません。

設定変更によりSnortが"restart"されると、通信断が発生する場合がございます。

これはSnortがもっていたコネクションの情報が"restart"により失われ、新しく生成されたSnortのプロセスが、それまでのコネクションを管理できないために発生します。


以下にその例を紹介します。


1.  Firepower Management Center(FMC)のアップデート後にAccess Control Policy (ACP)を適用したとき
    (FMCのアップデートによりSnortのバージョンが更新された場合)

2.  Shared object ruleを含むsnort ruleをインポートした後にACPを適用したとき

3.  VDB をアップデートしたとき

4.  デバイスのインターフェイスの設定を変更し、その設定変更を適用するとき


※Firepower Thread Defense(FTD)においては上記とは条件が異なります。 

また、通常のACP変更の適用時はSnortの"reload"が行われますが、こちらについてはコネクションの情報などが保持されるため、以下の設定が行われていれば、通常ACPの適用中に通信断は発生いたしません。

Policies > Access Control > 該当のポリシーの編集アイコンをクリック > Advancedタブ と進み
”Inspect traffic during policy apply”を有効化 (※デフォルトで有効)




Loading.

アクション

このドキュメントについて