Cisco Cisco Firepower Management Center 4000 User Guide
16-2
FireSIGHT 系统用户指南
第 16 章 使用基于信誉的规则控制流量
控制应用流量
控制应用流量
许可证:可控性
受支持的设备:任意,2 系列或 X -系列除外
FireSIGHT 系统在分析 IP 流量时,可以识别网络上的常用应用并将其分类。系统使用此基于发现
的
的
应用感知功能使您可以控制网络上的应用流量。
了解应用控制
通过访问控制规则中的应用条件,可以执行此
应用控制。在单个访问控制规则中,有多种方法可
以指定要控制其流量的应用:
•
可以选择单独的应用,包括自定义应用。
•
可以使用系统提供的
应用过滤器,此类过滤器是根据应用的基本特性(类型、风险、业务关联
性、类别和标记)组织的应用的命名集合。
•
可以创建并使用自定义应用过滤器,此类过滤器以选择的任何方式对应用(包括自定义应用)
进行分组。
进行分组。
通过应用过滤器,可以快速创建访问控制规则的应用条件。它们会简化策略创建和管理,并保证
系统将按预期控制网络流量。例如,可以创建识别并阻止所有高风险、低业务关联性的应用的访
问控制规则。如果用户尝试使用这些应用之一,则会阻止会话。
系统将按预期控制网络流量。例如,可以创建识别并阻止所有高风险、低业务关联性的应用的访
问控制规则。如果用户尝试使用这些应用之一,则会阻止会话。
此外,思科通过系统和漏洞数据库 (VDB) 更新频繁更新和添加其他检测器。您还可以创建自己的
检测器并向其检测的应用分配特性(风险、关联性等等)。通过根据应用特性使用过滤器,可以确
保系统使用最新的检测器来监控应用流量。
检测器并向其检测的应用分配特性(风险、关联性等等)。通过根据应用特性使用过滤器,可以确
保系统使用最新的检测器来监控应用流量。
构建应用条件
为使流量将访问控制规则与应用条件相匹配,流量必须与向
Selected Applications and Filters
列表中
添加的其中一个过滤器或应用相匹配。
下图显示用于阻止以下内容的访问控制规则的应用条件:MyCompany 的自定义应用组、具有高
风险和低业务关联性的所有应用、游戏应用以及一些单独选定的应用。
风险和低业务关联性的所有应用、游戏应用以及一些单独选定的应用。
在单个应用条件中,可以向
Selected Applications and Filters
列表中添加最多 50 项。以下每个内容计
为一项:
•
Application Filters
列表中的一个或多个过滤器(单独或以自定义组合形式) 此项表示按特性分
组的应用集。