Cisco Cisco Firepower Management Center 4000 User Guide
12-3
FireSIGHT 系统用户指南
第 12 章 访问控制策略入门
访问控制许可证和角色要求
下表说明为应用通过调用 SSL 策略来执行 SSL 检查的访问控制策略而必须具有的许可证。
使用自定义用户角色管理部署
许可证:因功能而异
如
中所述,可以创建具有特殊化访问权限的自定义用户角
色。自定义用户角色可以具有任何基于菜单的权限集和系统权限集,并且可能完全是原始的或基
于预定义用户角色。访问控制相关功能的自定义角色决定用户是否可以查看、修改和应用访问控
制、入侵和文件策略,以及是否可以在 Administrator Rules 或 Root Rules 类别中插入或修改规则。
于预定义用户角色。访问控制相关功能的自定义角色决定用户是否可以查看、修改和应用访问控
制、入侵和文件策略,以及是否可以在 Administrator Rules 或 Root Rules 类别中插入或修改规则。
下表展现了五个决定 FireSIGHT 系统用户如何与访问控制功能交互的示例自定义角色。该表以在
创建自定义用户角色时的显示顺序,列出了每个自定义角色需要的权限。
创建自定义用户角色时的显示顺序,列出了每个自定义角色需要的权限。
使用地理位置数据执行访问控制
(源或目标国家/地区或大洲)
FireSIGHT
任意, DC500 除外
3 系列
虚拟
ASA FirePOWER
虚拟
ASA FirePOWER
执行入侵检测与防御、文件控制或
者安全情报过滤
者安全情报过滤
保护
任意
任意,不同在于 2 系列设备无
法执行安全情报过滤
法执行安全情报过滤
执行高级恶意软件防护,即基于网
络的恶意软件检测与阻止
络的恶意软件检测与阻止
恶意软件
任意, DC500 除外
任意, 2 系列或 X -系列除外
执行用户或应用控制
可控性
任意,不同在于 DC500 无法
执行用户控制
执行用户控制
任意, 2 系列或 X -系列除外
使用类别和信誉数据执行 URL 过滤 URL 过滤
任意, DC500 除外
任意, 2 系列除外
表
12-1
访问控制的许可证和型号要求 (续)
要应用以下访问控制策略...
许可证
支持的防御中心
支持的设备
表
12-2
SSL
检查的许可证和型号要求
要应用以下 SSL 策略...
许可证
支持的防御中心
支持的设备
根据区域、网络、 VLAN、端口或
SSL 相关条件处理加密流量
SSL 相关条件处理加密流量
任意
任意
3 系列
使用地理位置数据处理加密流量
FireSIGHT
任意, DC500 除外
3 系列
使用应用或用户条件处理加密流量
控制
任意,不同在于 DC500 无法
执行用户控制
执行用户控制
3 系列
使用 URL 类别和信誉数据过滤加密
流量
流量
URL 过滤
任意, DC500 除外
3 系列
表
12-3
示例访问控制自定义角色
自定义角色权限
Access Control
& SSL Editor
& SSL Editor
Intrusion & Network
Analysis Editor
Analysis Editor
File Policy
Editor
Editor
Policy Applier
(All)
(All)
Intrusion Policy
Applier
Applier
Access Control
是
否
否
是
是
Access Control List
是
否
否
是
是
Modify Access Control Policy
是
否
否
否
否
Apply Intrusion Policies
否
否
否
是
是