Cisco Cisco Firepower Management Center 4000 User Guide
13-4
FireSIGHT 系统用户指南
第 13 章 使用安全情报 IP 地址信誉实施黑名单
建立安全情报白名单和黑名单
要构建访问控制策略的安全情报白名单和黑名单,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择
Policies > Access Control
。
系统将显示 Access Control Policy 页面。
步骤 2
点击想要配置的访问控制策略旁的编辑图标 (
)。
系统将显示访问控制策略编辑器。
步骤 3
选择
Security Intelligence
选项卡。
屏幕上将会显示访问控制策略的安全情报设置。
步骤 4
或者点击日志记录图标 (
) 来记录已列入黑名单的连接。
必须先启用日志记录,才可以将已列入黑名单的对象设置为仅监控。有关详细信息,请参阅
。
步骤 5
通过选择一个或多个
可用对象
开始构建白名单和黑名单。
使用 Shift 和 Ctrl 键可选择多个对象,或者右键单击并选择
Select All
。
提示
可以搜索需要包含的现有对象,如果没有现有对象符合组织的需求,也可以动态创建对象。有关
详细信息,请参阅
详细信息,请参阅
和
步骤 6
也可以通过选择
可用区域
来按区域限制选定对象。
默认情况下,对象不会受到限制,即它们拥有取值为
Any
的区域。请注意,可以用仅一个区域进
行限制,而不是使用
Any
。如要在多个区域上实施对象的安全情报过滤,对于每个区域,都必须
将对象分别添加至白名单或黑名单。此外,全局白名单或黑名单无法通过区域进行限制。
步骤 7
点击
Add to Whitelist
或
Add to Blacklist
。
还可以点击并拖动选定对象至任一列表。
您选择的对象已添加到黑名单或白名单。
提示
要从列表中移除对象,请点击其删除图标 (
)。可以使用 Shift 和 Ctrl 键来选择多个对象,或者
右键单击并
Select All
,然后右键单击并选择
Delete Selected
。如果您在删除全局列表,则必须确认
您的选择。请注意,从白名单或黑名单移除的对象不会从防御中心台删除。
步骤 8
重复第 5 步至第 7 步,直到完成将对象添加至白名单和黑名单。
步骤 9
也可以通过右键单击
Blacklist
下的对象,然后选择
Monitor-only (do not block)
,将列入黑名单的对象
设置为仅监控。
在被动部署中,思科建议将所有已列入黑名单的对象设置为仅监控。然而,请注意,无法将全局
黑名单设置为仅监控。
黑名单设置为仅监控。
步骤 10
点击
Save
。
您必须应用更改的访问控制策略以使更改生效;请参阅
。