Cisco Cisco Firepower Management Center 4000 User Guide
18-5
FireSIGHT 系统用户指南
第 18 章 使用入侵和文件策略控制流量
检查允许的流量中是否存在入侵和恶意软件
配置访问控制规则执行 AMP 或文件控制
许可证:保护或恶意软件
受支持的设备:因功能而异
受支持的防御中心:因功能而异
访问控制策略可能有多个与文件策略相关联的访问控制规则。您可以为任何 Allow 或 Interactive
Block 访问控制规则配置文件检测,这样,您就可在网络中不同类型的流量到达其最终目的地之
前,将不同的文件和恶意软件检测配置文件与其匹配。
Block 访问控制规则配置文件检测,这样,您就可在网络中不同类型的流量到达其最终目的地之
前,将不同的文件和恶意软件检测配置文件与其匹配。
当系统根据文件策略中的设置检测到受禁文件(包括恶意软件)时,会自动将事件记录到防御中心数
据库中。如果您不想记录文件或恶意软件事件,则可按每条访问控制规则禁用此日志记录功能。将文
件策略与访问控制规则相关联之后,清除访问控制规则编辑器 Logging 选项卡上的
据库中。如果您不想记录文件或恶意软件事件,则可按每条访问控制规则禁用此日志记录功能。将文
件策略与访问控制规则相关联之后,清除访问控制规则编辑器 Logging 选项卡上的
Log Files
复选框。
有关详细信息,请参阅
。
无论调用访问控制规则的日志记录配置如何,系统均会将关联连接的末端记录到防御中心数据库;
请参阅
请参阅
。
要将文件策略与访问控制规则相关联,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择
Policies > Access Control
。
系统将显示 Access Control Policy 页面。
步骤 2
点击想要使用访问控制规则配置 AMP 或文件控制所在的访问控制策略旁的编辑图标 (
)。
步骤 3
新建一条规则或编辑现有规则;请参阅
系统将显示访问控制规则编辑器。
步骤 4
确保规则操作设置为
Allow
、
Interactive Block
或
Interactive Block with reset
。
步骤 5
选择 Inspection 选项卡。
系统将显示 Inspection 选项卡。
步骤 6
选择
File Policy
检测与访问控制规则相匹配的流量,或选择
None
禁用匹配流量的文件检测。
可以点击显示的编辑图标 (
),在新浏览器选项卡中编辑策略;请参阅
步骤 7
点击
Add
保存规则。
您的规则保存成功。只有保存和应用访问控制策略才能使更改生效;请参阅
。
配置访问控制规则以执行入侵防御
许可证:保护
访问控制策略可能有多个与入侵策略相关联的访问控制规则。您可以为任何 Allow 或 Interactive
Block 访问控制规则配置文件检测,这样,您就可在网络中不同类型的流量到达最终目的地之
前,使不同的入侵检测配置文件与其匹配。
Block 访问控制规则配置文件检测,这样,您就可在网络中不同类型的流量到达最终目的地之
前,使不同的入侵检测配置文件与其匹配。