Cisco Cisco Firepower Management Center 4000 User Guide

12-14

FireSIGHT 系统用户指南

第 12 章      访问控制策略入门       

  应用访问控制策略

当 Snort® 进程重新启动时，会发生流量中断；例如，在防御中心应用升级后将新版本 Snort 推送
至受管设备的访问控制策略时，在包含共享对象规则的规则导入后首次应用策略时，以及在某些
情况下安装 VDB 更新时，该进程会重新启动。如果通过高级选项卡选中 

，则系统在策略应用期间会继续检查流量。

提示

如果在使用内联部署的 用于 Blue Coat X-系列的思科 NGIPS，而且配置了多 VAP 的 VAP 组以实
现负载均衡和冗余性，可以从负载均衡列表移除受影响的 VAP，直到设备重新启动，然后将其恢
复，从而避免处理暂停。

请注意，只有内联部署的设备才能影响流量的流动。将配置为阻止或修改流量的访问控制策略应
用于被动部署的设备会出现意外结果。例如，由于受阻止连接在被动部署中未实际受阻止，因此
系统可能会为每个受阻止连接报告多个连接开始事件。

在某些情况下，系统会阻止将内联配置应用于被动部署的设备，包括分路模式下的内联设备。例
如，在被动部署中，您不能应用会引用以下 SSL 策略的访问控制策略：阻止加密流量，或配置为
对已解密流量重新签名。此外，被动部署也不支持解密使用短 Diffie-Hellman (DHE) 或椭圆曲线 
Diffie-Hellman (ECDHE) 密码套件加密的流量。

应用访问控制策略时，请另外谨记以下要点：

某些功能对许可证、最低系统版本或设备型号都有具体要求。有关详细信息，请参阅

，以及您在受管设备上运行的系统版本的版本说明。如

果访问控制策略需要许可证通过最近应用的设备配置启用，系统会将访问控制策略应用排入
队列，直到设备配置完成应用。

不能将访问控制策略应用于运行不同版本的系统的堆叠设备（例如，如果其中一个设备的升级
失败）。

应用访问控制策略时，系统会将所有规则一起评估并创建一组目标设备用于评估网络流量的
扩展条件。弹出窗口可能会警告您已超过目标设备支持的访问控制规则或入侵策略的最大数
量。此最大值取决于多个因素，包括设备上的物理内存和处理器数量。 .在具有较少计算资源
的设备上，请注意，有限内存可能要求在整个访问控制策略中选择少至三个入侵策略。有关
详细信息，请参阅

。

如果执行的是应用控制，则必须为用作访问控制或 SSL 规则中的条件的每个应用启用至少一个
检测器。如果没有为应用启用检测器，则系统会为该应用自动启用所有系统提供的检测器；如
果不存在检测器，则系统为该应用启用最新修改的用户定义的检测器。

导入入侵规则更新时，可以在导入完成后自动重新应用访问控制和入侵策略。借此可以使用
最新的入侵规则和高级设置，以及预处理器规则和预处理器设置。如果允许规则更新修改系
统提供的基本策略，则这种方法尤其有用。请注意，规则更新还可修改访问控制策略中高级
预处理和性能选项的默认值。有关详细信息，请参阅

有关详细信息，请参阅以下各节：

说明如何使用快速应用选项来应用访问控制策略，以及所有

关联的 SSL、网络分析、入侵和文件策略。

说明如何应用特定访问控制策略配置，包括单独入侵策略。