Cisco Cisco Firepower Management Center 4000 User Guide
15-6
FireSIGHT 系统用户指南
第 15 章 使用基于网络的规则控制流量
通过端口和 ICMP 代码控制流量
步骤 3
查找并选择您要从
Available VLAN Tags
添加的 VLAN,如下所述:
•
要动态添加 VLAN 标记,以便随后可将其添加到条件,请点击 Available VLAN Tags 列表上
方的添加图标 ();请参阅
方的添加图标 ();请参阅
•
要搜索需要添加的 VLAN 标记对象和组,请单击
Available VLAN Tags
列表上方的
Search by name
or value
提示,然后键入对象的名称或对象中的一个 VLAN 标记的值。列表会在您键入内容时
进行更新,以显示匹配对象。
要选择一个对象,请点击该对象。要选择多个对象,请使用 Shift 和 Ctrl 键,或右键单击并选择
Select All
。
步骤 4
点击
Add to Rule
将选定的对象添加到
Selected VLAN Tags
列表。
您也可以拖放选定的对象。
步骤 5
添加要手动指定的任何 VLAN 标记。
或者,点击
Selected VLAN Tags
列表下方的
Enter a VLAN Tag
提示,然后键入一个 VLAN 标记或范围,
最后点击
Add
。可以指定介于 1 和 4094 之间的任何 VLAN 标记;使用连字符指定 VLAN 标记的
范围。
步骤 6
保存或继续编辑规则。
您必须应用更改的访问控制策略以使更改生效;请参阅
。
通过端口和 ICMP 代码控制流量
许可证:任何环境
访问控制规则中的网络条件可供您按流量的源和目标端口控制流量。在此情景中,“端口”是指
下列其中一项:
下列其中一项:
•
对于 TCP 和 UDP,您可以根据传输层协议控制流量。系统使用括号内的协议号以及可选的关
联端口或端口范围表示此配置。例如:TCP(6)/22。
联端口或端口范围表示此配置。例如:TCP(6)/22。
•
对于 ICMP 和 ICMPv6 (IPv6-ICMP),您可以根据流量的互联网层协议外加可选的类型和代码
控制流量。例如:ICMP(1):3:3。
控制流量。例如:ICMP(1):3:3。
•
您可以使用未使用端口的其他协议控制流量。
在构建基于端口的访问控制规则条件时,可以手动指定端口。此外,您可以使用端口 objects 配置
端口条件,这些对象可重复使用,可将名称与一个或多个端口相关联。
端口条件,这些对象可重复使用,可将名称与一个或多个端口相关联。
提示
创建端口对象后,您不仅可将其用于构建访问控制规则,还可以在系统的网络接口中的各个其他
位置将其用于代表端口。您可以使用对象管理器创建端口对象,也可以在配置访问控制规则时动
态创建端口对象。有关详细信息,请参阅
位置将其用于代表端口。您可以使用对象管理器创建端口对象,也可以在配置访问控制规则时动
态创建端口对象。有关详细信息,请参阅
在单一网络条件中,您可以向每个
Selected Source Ports
和
Selected Destination Ports
列表最多添加
50 项:
•
要与
源自端口的流量相匹配,请配置
Selected Source Ports
。
如果仅将源端口添加至条件,则可以添加使用不同传输协议的端口。例如,在单一访问控制
规则中,可以将经由 TCP 的 DNS 和经由 UDP 的 DNS 二者添加为源端口条件。
规则中,可以将经由 TCP 的 DNS 和经由 UDP 的 DNS 二者添加为源端口条件。
•
要与
流向端口的流量相匹配,请配置
Destination Ports
。
如果仅将目标端口添加至条件,则可以添加使用不同传输协议的端口。