Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
12-13
FireSIGHT 系统用户指南 
 
 12       访问控制策略入门 
  应用访问控制策略  
  •
更改访问控制策略中使用的任何可重用对象或配置,或其调用的策略:网络、端口、 VLAN 
标记、 URL 和地理定位对象;安全情报列表和源;应用过滤器或检测器;入侵策略变量集;
文件列表;解密相关对象、安全区域等等。
  •
更新系统软件、入侵规则或漏洞数据库 (VDB)。
请记住,可以从 Web 界面中的多个位置更改其中某些配置。例如,可以使用对象管理器 (
Objects > 
Object Management
) 修改安全区域,但是修改设备配置 (
Devices > Device Management
) 中的接口类型还
会修改区域并要求重新应用策略。
请注意,以下更新不要求重新应用策略:
  •
使用上下文菜单自动对安全情报源进行更新和对安全情报全局黑名单或白名单进行添加
  •
自动更新 URL 过滤数据
  •
计划的地理定位数据库 (GeoDB) 更新
要确定访问控制或入侵策略过期的原因,请使用比较查看器。
要确定访问控制策略过期的原因,请执行以下操作:
访问:管理员/安全审批者
步骤 1
选择 
Policies > Access Control
系统将显示 Access Control Policy 页面。过期的策略会用红色状态文本标记,表明其需要策略更
新的目标设备的数量。
步骤 2
点击过期策略的策略状态。
系统将显示详细的 Apply Access Control Policy 弹出窗口。
步骤 3
点击您感兴趣的已更改部分旁的 
Out-of-date
在新窗口中显示策略比较报告。有关详细信息,请参阅
步骤 4
或者,重新应用策略。
请参阅下一节
应用访问控制策略
许可证:任何环境
在更改访问控制策略后,必须将策略应用于一个或多个目标设备,以对设备监控的网络实施更
改。尽管可以应用访问控制策略及其关联入侵策略的任意组合,但是应用访问控制策略会自动应
用所有关联 SSL、网络分析和文件策略。无法独立应用这些策略。
注意事项
在高级选项卡选中 
Inspect Traffic During Policy Apply
 选项后,将不允许在策略应用期间因连接的简短
中断而使任何未检查的流量通过。如果相比于已检查的流量,您更注重连接,请取消选中 
Inspect 
Traffic During Policy Apply
 选项以在无中断的情况下允许未检查的流量。在 3D7010、3D7020 和 
3D7030 受管设备上,应用访问控制策略最多可能需要五分钟时间。为尽量减少不便,请在更改窗
口期间应用访问控制策略或保持选中 
Inspect Traffic During Policy Apply
 选项。