Cisco Cisco Firepower Management Center 4000 User Guide
12-19
FireSIGHT 系统用户指南
第 12 章 访问控制策略入门
对访问控制策略和规则进行故障排除
正确配置访问控制策略和规则还可以减少处理网络流量所需的资源。创建复杂规则、调用许多不
同的入侵策略和对规则错误排序都可能会影响性能。
同的入侵策略和对规则错误排序都可能会影响性能。
有关详情,请参阅:
•
•
•
•
简化规则以提高性能
复杂的访问控制策略和规则会运用大量资源。应用访问控制策略时,系统会将所有规则一起评估
并创建一组目标设备用于评估网络流量的扩展条件。弹出窗口可能会警告您已超过目标设备支持
的访问控制规则或入侵策略的最大数量。此最大值取决于多个因素,包括设备上的物理内存和处
理器数量。
并创建一组目标设备用于评估网络流量的扩展条件。弹出窗口可能会警告您已超过目标设备支持
的访问控制规则或入侵策略的最大数量。此最大值取决于多个因素,包括设备上的物理内存和处
理器数量。
简化访问控制规则
以下准则可帮助简化访问控制规则并提高性能:
•
在构造规则时,请在条件中尽可能少地使用单独元素。例如,在网络条件中,使用 IP 地址块
而不是单独的 IP 地址。在端口条件中,使用端口范围。使用应用过滤器及 URL 类别和信誉
执行应用控制和 URL 过滤,使用 LDAP 用户组执行用户控制。
而不是单独的 IP 地址。在端口条件中,使用端口范围。使用应用过滤器及 URL 类别和信誉
执行应用控制和 URL 过滤,使用 LDAP 用户组执行用户控制。
请注意,将元素组成后来在访问控制规则条件中使用的对象不会提高性能。例如,相比于在
条件中逐个包含 50 个单独 IP 地址,使用包含这些 IP 地址的网络对象仅为您提供组织而非性
能优势。
条件中逐个包含 50 个单独 IP 地址,使用包含这些 IP 地址的网络对象仅为您提供组织而非性
能优势。
•
请尽可能按安全区域限制规则。如果设备的接口不在区域限制规则中的其中一个区域内,则
该规则不影响该设备上的性能。
该规则不影响该设备上的性能。
•
不要过度配置规则。如果一个条件足以匹配要处理的流量,请勿使用两个条件。
表
12-7
访问控制错误图标
图标 说明
详细信息
错误
如果规则或配置存在错误,则更正错误之前无法应用策略,即便禁用任何受影响的规则也是如此。
警告
可以应用显示规则或其他警告的访问控制策略。但是,以警告标记的错误配置不起作用。
例如,您可以应用这样包含被取代的规则,或者因为配置不当(使用空对象组的条件、不匹配任
何应用的应用过滤器、在没有启用云通信的情况下配置 URL 条件等)而无法匹配流量的规则的
策略。这些规则不评估流量。如果禁用存在警告的规则,警告图标将会消失。如果在没有纠正潜
在问题的情况下启用规则,警告图标将会再次显示。
何应用的应用过滤器、在没有启用云通信的情况下配置 URL 条件等)而无法匹配流量的规则的
策略。这些规则不评估流量。如果禁用存在警告的规则,警告图标将会消失。如果在没有纠正潜
在问题的情况下启用规则,警告图标将会再次显示。
又例如,许多功能需要特定许可或设备型号。访问控制策略只能成功应用于合格的目标设备。
信息
信息图标传达有关可能会影响流量的配置的实用信息。这些问题不会阻止您应用策略。
例如,如果执行的是应用控制或 URL 过滤,则系统可以跳过将连接的前几个数据包与某些访问
控制规则相匹配,直至系统识别该连接中的应用或网络流量为止。借此可以建立连接,从而能
够识别应用和 HTTP 请求。有关详细信息,请参阅
控制规则相匹配,直至系统识别该连接中的应用或网络流量为止。借此可以建立连接,从而能
够识别应用和 HTTP 请求。有关详细信息,请参阅