Cisco Cisco Firepower Management Center 4000 User Guide
14-2
FireSIGHT 系统用户指南
第 14 章 使用访问控制规则调整流量
创建和编辑访问控制规则
•
规则 2:Trust 继续评估流量。允许匹配的流量传至目标,无需进一步检查。不匹配的流量继
续根据下一规则进行评估。
续根据下一规则进行评估。
•
规则 3:Block 第三次评估流量。匹配的流量被阻止,无需进一步检查。不匹配的流量继续根
据最终规则进行评估。
据最终规则进行评估。
•
规则 4:Allow 是最终规则。对于此规则,允许匹配的流量;但检测和阻止流量内禁止的文
件、恶意软件、入侵和漏洞。允许其他非禁止、非恶意流量到达目标。请注意,您可能有其
他只执行文件检查、只执行入侵检查或者两类检查都不执行的 Allow 规则。
件、恶意软件、入侵和漏洞。允许其他非禁止、非恶意流量到达目标。请注意,您可能有其
他只执行文件检查、只执行入侵检查或者两类检查都不执行的 Allow 规则。
•
默认操纵处理不匹配任何规则的所有流量。在这种情况下,默认操作在允许非恶意的流量通
过之前先执行入侵防御。在不同的部署中,您可能有默认操作可以信任或阻止所有流量,而
无需进一步检查。(您不能对默认操作处理的流量进行文件或恶意软件检查。)
过之前先执行入侵防御。在不同的部署中,您可能有默认操作可以信任或阻止所有流量,而
无需进一步检查。(您不能对默认操作处理的流量进行文件或恶意软件检查。)
无论是使用访问控制规则还是默认操作,您允许的流量都自动可用于根据网络发现策略检查主
机、应用和用户数据。尽管可以增强或禁用发现功能,但不能明确启用该功能。但是,允许流量
不会自动确保收集发现数据。系统仅对涉及 IP 地址的连接执行发现功能,根据网络发现策略明确
监控这些 IP 地址;此外,对于加密会话,应用发现受到限制。有关详细信息,请参阅
机、应用和用户数据。尽管可以增强或禁用发现功能,但不能明确启用该功能。但是,允许流量
不会自动确保收集发现数据。系统仅对涉及 IP 地址的连接执行发现功能,根据网络发现策略明确
监控这些 IP 地址;此外,对于加密会话,应用发现受到限制。有关详细信息,请参阅
请注意,当 SSL 检查配置允许加密流量通过时或者如果您不配置 SSL 检查,则访问控制规则处理
加密流量。但是,某些访问控制规则条件需要未加密流量,因此,加密流量可能匹配的规则更
少。此外,默认情况下,系统禁用加密负载的入侵和文件检查。当加密连接匹配已配置入侵和文
件检查的访问控制规则时,这有助于减少误报和提高性能。有关详细信息,请参阅
加密流量。但是,某些访问控制规则条件需要未加密流量,因此,加密流量可能匹配的规则更
少。此外,默认情况下,系统禁用加密负载的入侵和文件检查。当加密连接匹配已配置入侵和文
件检查的访问控制规则时,这有助于减少误报和提高性能。有关详细信息,请参阅
和
有关访问控制规则的详细信息,请参阅:
•
•
•
创建和编辑访问控制规则
许可证:任何环境
在访问控制策略中,访问控制规则提供在多台受管设备之间处理网络流量的精细方法。除了其唯
一名称之外,每个访问控制规则都具有以下基本组件:
一名称之外,每个访问控制规则都具有以下基本组件:
State
默认情况下,规则处于启用状态。如果您禁用某规则,系统将不用它来评估网络流量并停止
为该规则生成警告和错误。
为该规则生成警告和错误。
Position
系统已对访问控制策略中的规则进行编号,从 1 开始。系统按升序规则编号以自上而下的顺
序将流量与规则相匹配。除 Monitor 规则之外,流量匹配的第一个规则是处理该流量的规则。
序将流量与规则相匹配。除 Monitor 规则之外,流量匹配的第一个规则是处理该流量的规则。
Conditions
条件指定规则处理的特定流量。条件可以根据安全区域、网络或地址位置、 VLAN、端口、
应用、请求的 URL 或用户匹配流量。条件可以简单,也可以复杂;条件的使用通常取决于目
标设备许可证和模式。
应用、请求的 URL 或用户匹配流量。条件可以简单,也可以复杂;条件的使用通常取决于目
标设备许可证和模式。
Action
规则操作确定系统如何处理匹配的流量。您可以监控、信任、阻止或允许(执行或无需执行进
一步检查)匹配的流量。请注意,系统不会对受信任或被阻止的流量执行检查。
一步检查)匹配的流量。请注意,系统不会对受信任或被阻止的流量执行检查。