Cisco Cisco Firepower Management Center 4000 User Guide
12-20
FireSIGHT 系统用户指南
第 12 章 访问控制策略入门
对访问控制策略和规则进行故障排除
避免入侵策略和变量集激增
可用于在访问控制策略中检查流量的唯一入侵策略的数量取决于设备上的资源和策略的复杂性:
可以将一个入侵策略与每个 Allow 和 Interactive Block 规则相关联,还可与默认操作相关联。每
一唯一的入侵策略和变量集对计为一个策略。
可以将一个入侵策略与每个 Allow 和 Interactive Block 规则相关联,还可与默认操作相关联。每
一唯一的入侵策略和变量集对计为一个策略。
如果超过了设备支持的入侵策略数量,请重新评估您的访问控制策略。您可能希望整合入侵策略
或变量集,从而能够将单个入侵策略/变量集对与多个访问控制规则相关联。
或变量集,从而能够将单个入侵策略/变量集对与多个访问控制规则相关联。
查看选择的策略数以及这些策略在访问控制策略中的以下每个位置中使用的变量集的数量:
Advanced 访问控制策略设置中的
Advanced 访问控制策略设置中的
Intrusion Policy used before Access Control rule is determined
选项、访问
控制策略的默认操作以及策略中任何访问控制规则的检查设置。
了解规则取代和无效配置警告
许可证:任何环境
正确配置访问控制规则(以及高级部署中的网络分析规则)并将其排序对于构建有效的部署至关重
要。在访问控制策略中,访问控制规则会取代其他规则或包含无效配置。同样,使用访问控制策略的
高级设置配置的网络分析规则可能具有相同的问题。系统使用警告和错误图标标记这些问题。
要。在访问控制策略中,访问控制规则会取代其他规则或包含无效配置。同样,使用访问控制策略的
高级设置配置的网络分析规则可能具有相同的问题。系统使用警告和错误图标标记这些问题。
了解规则取代警告
访问控制规则的条件会取代匹配流量的后续规则。例如:
规则 1:允许管理用户
规则 2:允许管理用户
规则 2:允许管理用户
以上的第二个规则永远不会阻止流量,因为第一个规则已允许流量。
任何类型的规则条件都可以取代后续规则。例如,以下的第一个规则中的 VLAN 范围包含第二个
规则中的 VLAN,因此第一个规则将取代第二个规则:
规则中的 VLAN,因此第一个规则将取代第二个规则:
规则 1:允许 VLAN 22-33
规则 2:阻止 VLAN 27
规则 2:阻止 VLAN 27
在以下示例中,规则 1 匹配所有 VLAN,因为没有配置 VLAN,因此规则 1 会取代尝试匹配
VLAN 2 的规则 2:
VLAN 2 的规则 2:
规则 1:允许源网络 10.4.0.0/16
规则 2:允许源网络 10.4.0.0/16, VLAN 2
规则 2:允许源网络 10.4.0.0/16, VLAN 2
规则还会取代所有配置条件都相同的完全一样的后续规则。例如:
规则 1:允许 VLAN 1 URL www.example.com
规则 2:允许 VLAN 1 URL www.example.com
规则 2:允许 VLAN 1 URL www.example.com
如果任意条件不同,后续规则不会被取代。例如:
规则 1:允许 VLAN 1 URL www.example.com
规则 2:允许 VLAN 2 URL www.example.com
规则 2:允许 VLAN 2 URL www.example.com
了解无效配置警告
因为访问控制策略所依赖的外部设置可能会变化,有效的访问控制策略可能会变得无效。请看以
下示例:
下示例:
•
执行 URL 过滤的规则可可能在您将没有 URL 过滤许可证的设备锁定为目标之前是有效的。
这时,错误图标会显示在规则旁,无法将策略应用至该设备,直到编辑或删除规则、重新设
置策略目标或者启用适当的许可证。
这时,错误图标会显示在规则旁,无法将策略应用至该设备,直到编辑或删除规则、重新设
置策略目标或者启用适当的许可证。
•
如果将端口组添加到规则中的源端口,然后将端口组更改为包含 ICMP 端口,则规则变为无
效,并且在其旁边会显示警告图标。您仍然可以应用策略,但是,规则将对网络流量无效。
效,并且在其旁边会显示警告图标。您仍然可以应用策略,但是,规则将对网络流量无效。
•
如果向规则中添加用户,然后将 LDAP 用户感知设置更改为排除该用户,则该规则将无效,
因为用户不再是访问受控的用户。
因为用户不再是访问受控的用户。