Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
65-4
FireSIGHT 系统用户指南
  
 65       许可 FireSIGHT 系统         
  了解许可
2 系列设备自动配有大多数保护功能;无需为这些设备购买或启用保护许可证。然而, 2 系列设
备无法执行安全情报过滤。
可控性
许可证:可控性
受支持的设备:3 系列、虚拟、 ASA FirePOWER
受支持的防御中心:因功能而异
可控性许可证可用于实施用户和应用控制,只需将用户和应用条件添加至访问控制规则。它也可
用于配置 3 系列受管设备以执行交换和路由 (包括 DHCP 中继和 NAT),以及集群受管设备。要
在受管设备上启用可控性,您还必须启用保护。
虽然可在虚拟设备、或 ASA FirePOWER 设备启用 可控性许可证,但这些设备不支持交换、路
由,堆栈或集群。
虽然可向访问控制规则添加用户和应用条件,而无需可控性许可证,但不能应用策略,除非首先
添加可控性许可证至防御中心,然后在作为该策略目标的设备上启用它。
请注意, DC500 防御中心不支持在访问控制规则中添加用户条件。
没有可控性许可证,就无法在受管设备上创建交换、路由或混合接口;创建 NAT 条目;或配置
虚拟路由器的 DHCP 中继。尽管可创建虚拟交换机和路由器,但没有交换和路由接口来填充它
们,它们就没有用。而且,不能向未启用可控性的受管设备应用包括交换或路由的设备配置。此
外,在受管设备之间建立集群需要为可控性启用这些设备。
如从可控性删除防御中心许可证,又在单台设备上禁用可控性,受影响设备不会停止执行交换或
路由,设备集群也不会中断。尽管可编辑和删除现有配置,但不能对受影响设备就应用更改。不
能添加新的交换,路由或混合接口,也无法添加新的 NAT 入口、配置 DHCP 中继或建立设备集
群。最后,如果现在访问控制策略包含的规则带有用户或应用条件,则无法重新应用该策略。
URL 过滤
许可证:URL 过滤
受支持的设备:3 系列、虚拟设备、 X -系列和 ASA FirePOWER
受支持的防御中心:除 DC500 外的所有型号
URL 过滤可用于编写访问控制规则,以根据受监控主机请求的 URL 确定可横越网络且与这些 
URL 的相关信息关联的流量,可通过思科从防御中心云获取该流量。要启用 URL 过滤,您还必
须启用保护许可证。
提示
没有 URL 过滤许可证,可指定要许可或拦截的单一 URL 或 URL 组。这将对网络流量进行精细和
自定义控制,但是,不允许使用 URL 类别和信誉数据来过滤网络流量。
URL 过滤需要基于订用的 URL 过滤许可证。虽然可添加基于类别和信誉的 URL 条件至访问控制
规则,无需 URL 过滤许可证,防御中心将不会联系云获取 URL 信息。只有首先添加 URL 过滤许
可证至防御中心,才能应用访问控制策略,然后在该策略针对的设备上启用它。