Cisco Cisco Firepower Management Center 4000 User Guide
22-14
FireSIGHT 系统用户指南
第 22 章 使用 SSL 规则调整流量解密
按信誉控制加密流量
执行基于信誉的 URL 阻止
许可证:URL 过滤
受支持的设备:3 系列
通过 URL 过滤许可证,可以根据所请求的 URL 的类别和信誉来控制用户对网站的访问:
•
URL 类别是 URL 一般分类。例如, ebay.com 属于
Auctions
类别,而 monster.com 属于
Job
Search
类别。 URL 可以属于多个类别。
•
URL 信誉代表可能出于违背组织的安全策略而使用 URL 的可能性。 URL 的风险范围可从
High Risk
(1 级)到
Well Known
(5 级)。
通过FireSIGHT 系统从思科云获取的 URL 类别和信誉,可以快速为 SSL 规则创建 URL 条件。例
如,可以创建用于识别并阻止
如,可以创建用于识别并阻止
Abused Drugs
类别中所有
High risk
URL 的 SSL 规则。如果用户尝试
通过加密连接浏览至具有该类别和信誉组合的任何 URL,则会阻止此会话。
注
必须先启用与思科云的通信,然后具有基于类别和信誉的 URL 条件的 SSL 规则才能生效。这样,
防御中心可以检索 URL 数据。有关详细信息,请参阅
防御中心可以检索 URL 数据。有关详细信息,请参阅
使用思科云中的类别和信誉数据可简化策略创建和管理。它保证系统按预期控制加密网络流量。
最后,由于云会使用新 URL 以及现有 URL 的新类别和风险持续更新,因此可以确保系统使用最
新信息来过滤所请求的 URL。代表安全威胁,例如恶意软件、垃圾邮件、僵尸网络和网络钓鱼,
的恶意网站出现和消失的速度可能比您更新和应用新策略的速度要快。
最后,由于云会使用新 URL 以及现有 URL 的新类别和风险持续更新,因此可以确保系统使用最
新信息来过滤所请求的 URL。代表安全威胁,例如恶意软件、垃圾邮件、僵尸网络和网络钓鱼,
的恶意网站出现和消失的速度可能比您更新和应用新策略的速度要快。
例如:
•
如果规则阻止所有游戏站点,当新的域名注册并分类为
Gaming
时,系统可以自动阻止这些站点。
•
如果规则阻止所有恶意软件,并且博客页面被恶意软件感染,则该云可以将 URL 从
Blog
重新
分类为
Malware
,这样系统就可以阻止该站点。
•
如果规则阻止高风险的社交网站,并且,某人在包含指向恶意负载的链接的配置文件页面发
布链接,则该云可以将该页面的信誉从
布链接,则该云可以将该页面的信誉从
Benign sites
更改为
High risk
,这样系统就可以阻止它。
请注意,如果云不知道 URL 的类别或信誉,或者如果防御中心无法与云联系,则该 URL 不会触
发具有基于类别和信誉的 URL 条件的 SSL 规则。不能手动向 URL 分配类别或信誉。
发具有基于类别和信誉的 URL 条件的 SSL 规则。不能手动向 URL 分配类别或信誉。
下图显示用于阻止以下内容的访问控制规则的 URL 条件:所有恶意软件站点、所有高风险站点
以及所有非良性社交网站。
以及所有非良性社交网站。
提示
如果解密流量,然后通过访问控制阻止该流量,则可以为用户提供通过点击浏览警告页面来绕过
阻止的机会。有关详情,请参见
阻止的机会。有关详情,请参见
。
可以在单个 URL 条件中添加最多 50 个要匹配的
Selected Categories
。每个 URL 类别 (可以选择按
信誉进行限定)计为一项。