シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

FP: Intrusion Policy による ICMP パケット検知の設定例

 

Firewall や IPS の動作確認をする際、まずは ping(ICMP) による試験を行うことが多いと思います。この Topic では、FirePOWER の Intrusion Policy にて ICMP packet を検知し Intrusion Event を確認する方法についてご案内させて頂きます。
※ 本 topic で用いてる環境は ASA with FirePOWER(5.4.0.1-59)、FireSIGHT(5.4.0-763), Inline 構成となっております。

 

1. Policies > Intrusion > Intrusion Policy に進み、使用する Policy の edit icon をクリックします。

 

2. Rules をクリックします。

 

3. Filter に icmp echo 等で検索し、SID 408 PROTOCOL-ICMP Echo Reply の右側にある矢印のアイコンをクリックします。

 

4. このシグネチャに該当するパケットを検知した時のアクションを設定します。今回は Drop and Generate Events にします。


5. Drop のアクションにしたため、矢印のアイコンが変更されていることを確認し、左上の Policy Information をクリックします。

 

6. Commit Changes をクリックし設定変更を保存します。

 

7. Policies > Access Control に進み、使用する Access Control Policy の edit icon をクリックします。

 

8. Default Action タブより、"1-6" で設定変更した Intrusion Policy を選択します。

 

9. Targets タブより、この Policy を適用するデバイスを選択し Save and Apply で適用します。

 

10. Task status より、適用が正常に完了したことを確認します。

 

11. Analysis > Intrusion > Events より試験前に何もイベントがないことを確認します。

 

12. Echo reply 通信を発生させると、SID 408 が検知されドロップされることが確認できます。


以下の記事も合わせて参考にして頂ければと思います。

 

Last reviewed on Dec 31, 2017 by toishika 

324
閲覧回数
0
いいね!
0
コメント