Cisco Cisco Firepower Management Center 4000 User Guide
16-13
FireSIGHT 系统用户指南
第 16 章 使用基于信誉的规则控制流量
阻止 URL
•
会话现在或曾经加密
•
因访问控制规则提升而受 3 系列 设备阻止
•
如果系统直至连接已建立并允许传递若干数据包后才能识别连接中的所请求 URL,如上所述
有关详细信息,请参阅
在 URL 中搜索查询参数
系统不使用 URL 中的搜索查询参数来匹配 URL 条件。例如,考虑这样一个场景:您阻止所有购
物流量。在这种情况下,使用网络搜索来搜索 amazon.com 不会被阻止,但是,浏览 amazon.com
则会被阻止。
物流量。在这种情况下,使用网络搜索来搜索 amazon.com 不会被阻止,但是,浏览 amazon.com
则会被阻止。
允许用户绕过 URL 阻止
许可证:任何环境
受支持的设备:任何防御中心,除了 2 系列
使用访问控制规则阻止用户的 HTTP Web 请求时,将规则操作设置为
Interactive Block
或
Interactive
Block with reset
可为该用户提供机会,通过点击浏览警告 HTTP 响应页面来绕过阻止。可以显示通
用系统提供的响应页面,也可以输入自定义 HTML。
默认情况下,系统允许用户绕过阻止 10 分钟(600 秒),而在后续访问时不显示警告页面。可以将
持续时间设置为长达一年,也可以强制用户每次都绕过阻止。
持续时间设置为长达一年,也可以强制用户每次都绕过阻止。
如果用户不绕过阻止,则会拒绝匹配流量而不进一步检查;您还可以重置连接。另一方面,如果
用户绕过阻止,则系统允许流量。允许此流量意味着可以继续检查未加密负载来查找入侵、恶意
软件和禁止文件以及发现数据。请注意,用户在绕过阻止后可能必须刷新才能加载未加载的页面
元素。
用户绕过阻止,则系统允许流量。允许此流量意味着可以继续检查未加密负载来查找入侵、恶意
软件和禁止文件以及发现数据。请注意,用户在绕过阻止后可能必须刷新才能加载未加载的页面
元素。
请注意,将交互式 HTTP 响应页面与为 Block 规则配置的响应页面分开进行配置。例如,可以向
在无交互情况下其会话被阻止的用户显示系统提供的页面,但是向可以点击以继续操作的用户显
示自定义页面。有关详细信息,请参阅
在无交互情况下其会话被阻止的用户显示系统提供的页面,但是向可以点击以继续操作的用户显
示自定义页面。有关详细信息,请参阅
请注意,在以下情况下,即使会话与 Interactive Block 规则相匹配,也不会显示响应页面,并且
会阻止流量而不交互:
会阻止流量而不交互:
•
如果会话曾经或现在处于加密状态;这包括系统解密的会话
•
在已建立连接并允许其传递若干数据包,从而系统可以其包含的所请求 URL 和应用详细信息
之后;请参阅
之后;请参阅
提示
要在访问控制策略中快速禁用对所有规则的交互式阻止,请既不要显示系统提供的页面,也不要
显示自定义页面。这会导致系统在无交互情况下阻止与 Interactive Block 规则匹配的所有连接。
显示自定义页面。这会导致系统在无交互情况下阻止与 Interactive Block 规则匹配的所有连接。
要允许用户绕过网站阻止,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
创建将网络流量与 URL 条件匹配的访问控制规则。
请参阅
。
步骤 2
确保访问控制规则操作为
Interactive Block
或
Interactive Block with reset
。
请参阅
。
步骤 3
假设用户将绕过阻止并相应地选择规则的检查和日志记录选项。与 Allow 规则一样: