Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
14-8
FireSIGHT 系统用户指南
第 14 章 使用访问控制规则调整流量
创建和编辑访问控制规则
对于未加密的 HTTP 流量,当系统阻止网络请求时,您可以使用解释连接被拒绝的自定义页面覆
盖默认的浏览器或服务器页面。系统将此自定义页面称为 HTTP 响应页面;请参阅
盖默认的浏览器或服务器页面。系统将此自定义页面称为 HTTP 响应页面;请参阅
。
对于已解密和加密的 (HTTPS) 流量, Interactive Block 规则阻止无交互的匹配连接,并且系统不
显示响应页面。
显示响应页面。
请注意,系统不显示某些被成功阻止的流量的已配置响应页面,这些流量由3 系列 设备进行处
理。相反,请求禁止的 URL 的用户将连接重置或超时。有关详细信息,请参阅
理。相反,请求禁止的 URL 的用户将连接重置或超时。有关详细信息,请参阅
您可以仅记录连接开始时被阻止的网络流量。请注意,仅内联部署的设备才可以阻止流量。因为
被阻止的连接实际上在被动部署中并未被阻止,所以系统可能针对每个被阻止的连接报告多个连
接开始事件。有关详细信息,请参阅
被阻止的连接实际上在被动部署中并未被阻止,所以系统可能针对每个被阻止的连接报告多个连
接开始事件。有关详细信息,请参阅
注意事项
在拒绝服务 (DoS) 攻击期间记录被阻止的 TCP 连接会影响系统性能并因多个相似事件使数据库不
堪重负。对 Block 规则启用日志记录之前,考虑此规则是否监控面向互联网的接口或其他易受
DoS 攻击的接口的流量。
堪重负。对 Block 规则启用日志记录之前,考虑此规则是否监控面向互联网的接口或其他易受
DoS 攻击的接口的流量。
交互式阻止操作:允许用户绕过网站拦截
许可证:任何环境
对于未加密的 HTTP 流量,
Interactive Block
和
Interactive Block with reset
使用户有机会通过点击可定制
的警告页面(称为 HTTP 响应页面绕过网站拦截。Interactive Block with reset 规则也可以重置连接。
注
对于已解密和加密的 (HTTPS) 流量,Interactive Block 规则阻止无交互的匹配连接,并且系统不显示
响应页面。有关配置 SSL 检查功能以解密流量的信息,请参阅
响应页面。有关配置 SSL 检查功能以解密流量的信息,请参阅
。
对于所有交互式阻止的流量,系统的处理、检查和日志记录取决于用户是否绕过拦截:
•
如果用户不(或无法)绕过拦截,该规则模拟 Block 规则。匹配的流量不经进一步检查即被拒
绝,并且您可以只记录连接的开始。这些连接开始事件有
绝,并且您可以只记录连接的开始。这些连接开始事件有
Interactive Block
或
Interactive
Block with Reset
操作。
•
如果用户绕过拦截,该规则模拟 Allow 规则。因此,您可以将任一类型的 Interactive Block 规
则与文件和入侵策略关联,以检查此用户允许的流量。系统也可以使用网络发现检查它,您
可以记录连接开始和结束事件。这些连接事件有
则与文件和入侵策略关联,以检查此用户允许的流量。系统也可以使用网络发现检查它,您
可以记录连接开始和结束事件。这些连接事件有
Allow
的操作。