Cisco Cisco Firepower Management Center 2000 User Guide

12-2

FireSIGHT 系统用户指南

第 12 章访问控制策略入门

访问控制许可证和角色要求

在创建基本访问控制策略后，请参阅以下章节以获取有关根据部署定制该策略的详细信息：

•

第 13-1 页上的使用安全情报 IP 地址信誉实施黑名单

说明如何根据最新信誉情报将连接立即列

入黑名单（阻止）。

•

第 19-1 页上的了解流量解密

说明如何使用 SSL 策略阻止加密流量而不对其进行检查，或者选

择在解密流量后将其传递到访问控制规则。

•

第 23-1 页上的了解网络分析和入侵策略

说明网络分析和入侵策略作为系统的入侵检测和防御

功能的一部分如何预处理并检查数据包。

•

第 14-1 页上的使用访问控制规则调整流量

说明访问控制规则如何提供跨多个受管设备处理网

络流量的精细方法。

•

第 18-1 页上的使用入侵和文件策略控制流量

说明了入侵和文件策略如何通过检测并（可选）

阻止入侵、受禁文件和恶意软件，在允许流量流向其目标之前提供最后一道防线。

访问控制许可证和角色要求

虽然无论防御中心上的许可证如何都可创建访问控制策略，但是许多功能要求在应用策略之前启
用相应的许可证。此外，某些功能仅在特定型号上可用。

另请注意，可用的访问控制相关功能和操作取决于用户角色。系统包含为各种管理员和分析师设
计的预定义用户角色，并且可以使用专用访问权限创建自定义用户角色。

有关详情，请参阅：

•

第 12-2 页上的访问控制的许可证和型号要求

•

第 12-3 页上的使用自定义用户角色管理部署

访问控制的许可证和型号要求

尽管无论防御中心上的许可证如何，都可以创建访问控制策略，但在访问控制的某些方面时，要
求在应用策略之前先启用目标设备上的特定许可功能。此外，某些功能仅在特定型号上可用。

警告图标和确认对话框指定部署不支持的功能。有关详细信息，请将指针悬停在警告图标上方并
参阅

第 12-18 页上的对访问控制策略和规则进行故障排除

。

下表说明应用访问控制策略的许可证和设备型号要求。请注意， 2 系列设备自动启用大多数保护
功能，无需特意启用保护。

表

12-1

访问控制的许可证和型号要求

要应用以下访问控制策略...

许可证

支持的防御中心

支持的设备

根据区域、网络、 VLAN 或端口执
行访问控制

使用文本 URL 和 URL 对象执行
URL 过滤

任意

任意，以下除外：

•

2 系列设备无法执行 URL
过滤

•

ASA FirePOWER 设备无
法执行 VLAN 过滤

执行 SSL 检查；请参阅

第 12-3 页上

的表 12-2

任意

任意，不同在于 DC500 限用
于网络、应用和 SSL 相关控制

3 系列