Cisco ASA NetFlow Configuration segítségével ASDM

az elmúlt hetekben vettem számos támogatási hívások az ügyfelek, akik kerestek némi segítséget a Cisco ASA NetFlow konfiguráció segítségével ASDM. Tehát arra gondoltam, hogy megragadom ezt a lehetőséget, hogy blogot írjak a konfigurációs lépéseken keresztül, hogy kiegészítsem a meglévő blogokat, amelyek videót mutatnak vagy képsorozatot tartalmaznak.

véleményem szerint az NSEL exportálásának legegyszerűbb módja ezekből a biztonsági készülékekből az ASDM interfész használata. Ez az egyszerű, GUI-alapú tűzfalkezelő eszköz lehetővé teszi a Cisco ASA gyors konfigurálását anélkül, hogy a nehézkes parancssori felületet kellene használnia. Bár be kell vallanom, hogy a Cisco ASA konfigurálása a CLI használatával valójában nem annyira különbözik a NetFlow konfigurálásától bármely más útválasztón vagy kapcsolón.

tehát járjuk végig a NetFlow engedélyezésének lépéseit az ASDM használatával

a NetFlow engedélyezéséhez hajtsa végre a következő lépéseket az ASDM-be való bejelentkezés után:

• válassza a konfiguráció > Eszközkezelés > naplózás > NetFlow lehetőséget.

• adja meg a sablon időtúllépési arányát, amely az az intervallum (percben), amelyen a sablonrekordok elküldésre kerülnek az összes konfigurált gyűjtőnek. Javasoljuk 1 perc.
• adja meg a Folyamatfrissítési intervallumot, amely meghatározza a folyamatfrissítési események közötti időintervallumot percben. Az érvényes értékek 1-60 perc. Az alapértelmezett érték 1 perc. Ez az opció a 8.4.5-ben, az újabb 9-ben érhető el.x kiadások.
• jelölje be az áramlásalkotási események késleltetett továbbítása rövid életű folyamatokhoz jelölőnégyzetet.
• ezután adja meg a másodpercek számát (általában 15) a késleltetés mezőben, hogy késleltesse a folyamat-létrehozási események exportálását, és egyetlen folyamat-lebontási eseményt dolgozzon fel a folyamat-létrehozási esemény és a folyamat-lebontási esemény helyett.

ha ez nincs konfigurálva, akkor nincs késleltetés, és a folyamat létrehozása esemény exportálódik, amint a folyamat létrejön. Megállapítottam, hogy ha ez nincs beállítva, akkor nem kapunk kiterjesztett teardown eseményt, és a teardown rekordok nem tartalmazzák a felhasználónév elemeket. Ha az áramlást a konfigurált késleltetés előtt bontják le, a folyamat létrehozása esemény nem kerül elküldésre; ehelyett egy kiterjesztett áramlási teardown esemény kerül elküldésre.

• adja meg azt a gyűjtőt(gyűjtőket), amelyhez a NetFlow csomagokat elküldi. Legfeljebb öt gyűjtőt konfigurálhat.
• kattintson a Hozzáadás gombra a NetFlow Collector hozzáadása párbeszédpanel megjelenítéséhez a gyűjtő konfigurálásához, majd hajtsa végre a következő lépéseket:
  • válassza ki a legördülő listából azt a felületet, amelyre a NetFlow csomagokat elküldi.
  • írja be az IP-címet vagy a gazdagépnevet, valamint az UDP-port számát a kapcsolódó mezőkbe.
  • kattintson az OK gombra
• ha a NetFlow engedélyezve van, bizonyos syslog üzenetek feleslegessé válnak. A rendszer teljesítményének fenntartása érdekében javasoljuk, hogy tiltsa le az összes redundáns syslog üzenetet, mert ugyanazokat az információkat exportálja a NetFlow. Jelölje be a redundáns syslog üzenetek letiltása jelölőnégyzetet az összes redundáns syslog üzenet letiltásához.

most adja meg, hogy milyen forgalmat figyel és milyen NetFlow eseményeket küld a konfigurált gyűjtőnek

a NetFlow események bármely konfigurált Gyűjtővel való összehangolásához hajtsa végre a következő lépéseket:

1. lépés-Válassza ki a konfiguráció > tűzfal > szolgáltatási házirend-szabályok

2. lépés-szolgáltatási házirend-szabály hozzáadásához hajtsa végre a következő lépéseket:

• jelölje ki a globális házirendet a fent látható módon, majd kattintson a Hozzáadás gombra a Szolgáltatásházirend-Szabály hozzáadása varázsló megjelenítéséhez .
• kattintson a globális jelölőnégyzetre-minden interfészre vonatkozik választógomb a szabály globális házirendre történő alkalmazásához. Kattintson a Tovább gombra
• jelölje be a bármely forgalom jelölőnégyzetet forgalmi egyezési feltételként, kattintson a Tovább gombra a Szabályműveletek képernyőre való folytatáshoz.
• kattintson a NetFlow fülre a Szabályműveletek képernyőn.
• kattintson a Hozzáadás gombra a Folyamatesemény hozzáadása párbeszédpanel megjelenítéséhez és a folyamatesemények megadásához, majd hajtsa végre a következő lépéseket:
  • válassza ki a folyamatesemény típusát a legördülő listából. Válassza Az Összes Lehetőséget.
  • válassza ki azokat a gyűjtőket, amelyekhez eseményeket szeretne küldeni, a Küldés oszlop megfelelő jelölőnégyzeteinek bejelölésével.
  • kattintson az OK gombra az áramlási Esemény hozzáadása párbeszédpanel bezárásához, majd a NetFlow fülre való visszatéréshez.
  • kattintson a Befejezés gombra a varázslóból való kilépéshez.

miért olyan nagyszerű eszköz a Cisco ASA tűzfal a NetFlow láthatóságához?

a Cisco ASA NetFlow Reporting közvetlen láthatóságot biztosít a:

• Általános TopN jelentések (Alkalmazások, beszélgetők és beszélgetések)
• Top felhasználónevek vagy alkalmazások (csak a porton alapul) megtagadva hálózati kapcsolatok
• az események és a hozzáférési szabályok (ACL) megsértik a legtöbbet, és ki
• a tűzfalon áthaladó IP-címek felhasználónevei
• Nat (hálózati Címfordítások) ki mire fordítja?
• mi is van egy közvetlen integráció Cisco ASA FirePower reporting.

manapság egyre fontosabbá válik a kommunikációs viselkedés figyelése, az alapvonalak fenntartása és a fenyegetések észlelése a NetFlow segítségével. Amikor a biztonsági szakembereknek vissza kell menniük az időben, és meg kell nézniük a kommunikációs mintát, megtalálhatják azokat a folyamatokat, amelyek tartalmazzák azokat a beszélgetéseket, amelyeket meg akarnak vizsgálni. Mi voltunk az iparág vezető, amikor a NetFlow jelentések kapcsolók és routerek, valamint a biztonsági események exportált a Cisco ASA.

tudja, hogy milyen beszélgetések jönnek be és mennek ki a hálózatából? Nyerjen betekintést hálózati forgalmába a Cisco ASA-ból exportált NetFlow használatával, amely felbecsülhetetlen értékű az alkalmazások és a felhasználók biztonsági felügyeletéhez.