Cisco Cisco Firepower Management Center 4000 User Guide
12-11
FireSIGHT 系统用户指南
第 12 章 访问控制策略入门
编辑访问控制策略
目标
在您可以应用访问控制策略之前,请使用 Targets 选项卡识别受管设备,包括要应用策略的设
备组。有关详细信息,请参阅
备组。有关详细信息,请参阅
安全智能
安全情报是抵御恶意互联网内容的第一道防线。通过此功能可根据最新信誉情报立即将连接
列入黑名单(阻止)。要确保连续访问重要资源,可以使用自定义白名单覆盖黑名单。此流量
过滤发生在任何其他基于策略的检测、分析或流量处理(包括规则和默认操作)之前。有关详
细信息,请参阅
列入黑名单(阻止)。要确保连续访问重要资源,可以使用自定义白名单覆盖黑名单。此流量
过滤发生在任何其他基于策略的检测、分析或流量处理(包括规则和默认操作)之前。有关详
细信息,请参阅
规则
规则提供了一种精细的网络流量处理方法。系统已对访问控制策略中的规则进行编号,从 1
开始。系统会用升序的规则号码以从上到下的顺序将流量匹配到访问控制规则中。
开始。系统会用升序的规则号码以从上到下的顺序将流量匹配到访问控制规则中。
在大多数情况下,系统根据
第一个访问控制规则(规则的所有条件都与流量相匹配)处理网络
流量。这些条件包括安全区域、网络或地理位置、VLAN、端口、应用、所请求的 URL 或用户。
条件可以简单也可以复杂;其使用通常取决于某些许可证和设备型号。
条件可以简单也可以复杂;其使用通常取决于某些许可证和设备型号。
使用 Rules 选项卡可添加、分类、启用、禁用、过滤和以其他方式管理规则。有关详细信息,
请参阅
请参阅
。
默认操作
默认操作确定系统如何处理未被安全情报列入黑名单且与任何访问控制规则均不匹配的流
量。使用默认操作可以阻止或信任所有流量而不进一步检查,或者检查入侵和发现数据的流
量。您还可以选择自定义变量集(如果已创建),并启用或禁用由默认操作处理的连接的日志
记录。
量。使用默认操作可以阻止或信任所有流量而不进一步检查,或者检查入侵和发现数据的流
量。您还可以选择自定义变量集(如果已创建),并启用或禁用由默认操作处理的连接的日志
记录。
有关详细信息,请参阅
和
。
HTTP 响应
可以指定当系统阻止用户的网站请求时该用户在浏览器中查看的内容 - 显示通用的系统提供
的响应页面,或者输入自定义 HTML。您还可以显示以下页面:对用户进行警告,但也允许
其点击按钮以继续操作或者刷新该页面以加载原先请求的站点。有关详细信息,请参阅
的响应页面,或者输入自定义 HTML。您还可以显示以下页面:对用户进行警告,但也允许
其点击按钮以继续操作或者刷新该页面以加载原先请求的站点。有关详细信息,请参阅
高级访问控制选项
高级访问控制策略设置通常只需要进行很小的修改或不需要修改。默认设置适用于大多数的
部署。可以修改的高级设置包括:
部署。可以修改的高级设置包括:
–
在防御中心数据库中为用户请求的每个 URL 存储的字符数;请参阅
–
在用户绕过初始阻止后重新阻止网站之前的时间长度;请参阅
–
用于监控、解密、阻止或允许使用安全套接字层 (SSL) 或传输层安全 (TLS) 加密的应用层
协议流量的 SSL 策略;请参阅
协议流量的 SSL 策略;请参阅
–
在策略应用期间允许流量检查或对安全连接禁用流量检查;请参阅
–
允许根据网络、区域和 VLAN 定制许多预处理选项以及设置默认入侵检测行为的网络分
析和入侵策略设置;请参阅
析和入侵策略设置;请参阅
–
全局应用于所有网络、区域和 VLAN (其中会应用访问控制策略)的高级传输和网络预
处理器设置;请参阅
处理器设置;请参阅