シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

NGFW - ICMP パケットの検知

Firewall や IPS の動作確認をする際、まずは ping(ICMP) による試験を行うことが多いと思います。この Topic では、FirePOWER の NGFW の機能で ICMP packet を検知、イベント確認する方法についてご案内させて頂きます。
※ 本 Topic で用いてる環境は ASA with FirePOWER(5.4.0.1-59)、FireSIGHT(5.4.0-763), Inline 構成となっております。

 

1. Policies -> Access Control に進み、使用する Access Control Policy の edit アイコンをクリックします。

 

2. Add Rule をクリックします。

 

3. Rule の名前、この Rule に該当するパケットを検知した時のアクションを定義します。今回は ICMP block という名前で検知した時に Block のアクションを実施。

 

4. ICMP パケットを検知させたい場合、Ports タブより設定します。ICMP の type any を検知する object は default で定義されていないため、New Port アイコンをクリックし新しい Port Objects を作成します。今回は、ICMP All という名前で ICMP type any を検知する object を作成しています。

   

5. Ports タブより "4" で作成した ICMP All を Destination Ports に設定します。

 

6. Logging タブより Log at Beginning of Connection にチェックを入れ、Save をクリックします。

 

7. 作成した Rule が正しく設定されていることを確認します。

 

8. Targets タブより、この Policy を適用するデバイスを選択し、Save and Apply でポリシーを適用します。

 

9. Task Status より Policy の適用が問題なく完了したことを確認します。

10. Analysis -> Connection -> Event より、試験前に何もイベントがないことを確認します。

11. ICMP 通信を発生させると、パケットはドロップされ、Connection Event で発生したイベントが確認できます。

 

以下の記事も合わせて参照した頂ければと思います。

NGIPS - ICMP パケットの検知
https://supportforums.cisco.com/ja/document/12470936

バージョン履歴
改訂番号
1/1
最終更新:
‎04-07-2015 02:05 PM
更新者: