- 最終編集日: 、編集者:
Taisuke Nakamura
はじめに
Firewall や IPS の動作確認をする際、まずは ping(ICMP) による試験を行うことが多いと思います。この topic では、FirePOWER の ACP にて ICMP packet を検知し Connection Event を確認する方法についてご案内させて頂きます。
※ 本 topic で用いてる環境は ASA with FirePOWER(5.4.0.1-59)、FireSIGHT(5.4.0-763), Inline 構成となっております。
設定方法
1. Policies > Access Control に進み、使用する Access Control Policy の edit アイコンをクリックします。
2. Add Rule をクリックします。
3. Rule の名前、この Rule に該当するパケットを検知した時のアクションを定義します。今回は ICMP block という名前で検知した時に Block のアクションを実施。
4. ICMP パケットを検知させたい場合、Ports タブより設定します。ICMP の type any を検知する object は default で定義されていないため、New Port アイコンをクリックし新しい Port Objects を作成します。今回は、ICMP All という名前で ICMP type any を検知する object を作成しています。
5. Ports タブより "4" で作成した ICMP All を Destination Ports に設定します。
6. Logging タブより Log at Beginning of Connection にチェックを入れ、Save をクリックします。
7. 作成した Rule が正しく設定されていることを確認します。
8. Targets タブより、この Policy を適用するデバイスを選択し、Save and Apply でポリシーを適用します。
9. Task Status より Policy の適用が問題なく完了したことを確認します。
10. Analysis > Connection > Events より、試験前に何もイベントがないことを確認します。
11. ICMP 通信を発生させると、パケットはドロップされ、Connection Event で発生したイベントが確認できます。
参考情報
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
