Cisco Cisco Firepower Management Center 2000 User Guide
12-18
FireSIGHT 系统用户指南
第 12 章 访问控制策略入门
对访问控制策略和规则进行故障排除
•
确保访问控制策略的默认入侵策略设置为
No Rules Active
;请参阅
。
•
选择
Network Discovery Only
作为策略的默认操作。请勿为执行入侵检查的策略选择默认操作。
请注意,除基于地理位置的访问控制之外,上述选项至少需要保护许可证。如果仅有 FireSIGHT
许可证,则系统会使用这些功能阻止应用访问控制策略。
许可证,则系统会使用这些功能阻止应用访问控制策略。
在配置并应用访问控制策略后,可以配置并应用网络发现策略,它指定系统为发现数据检查的网
段、端口和区域,以及是否在网段、端口和区域上发现了主机、应用和用户。
段、端口和区域,以及是否在网段、端口和区域上发现了主机、应用和用户。
在没有发现的情况下执行入侵检测和防御
许可证:保护
通过入侵检测和防御功能,可以分析入侵和漏洞的网络流量,或者丢弃有问题的数据包。如果要
执行入侵检查,但不需要利用发现数据,可以通过禁用发现来提高设备的性能。
执行入侵检查,但不需要利用发现数据,可以通过禁用发现来提高设备的性能。
注
如果执行的是应用、用户或 URL 控制,则无法禁用发现以获取性能优势。虽然可以防止系统存
储发现数据,但是系统必须收集并检查该数据才能实施这些功能。
储发现数据,但是系统必须收集并检查该数据才能实施这些功能。
要禁用发现,请实施以下所有准则;错误配置任何准则都会消除性能优势:
•
在访问控制策略中,请勿包含具有基于应用、用户、 URL 或地理位置的网络条件的规则,即
使设备相应地获得许可也如此。仅使用简单的基于网络的条件:区域、 IP 地址、 VLAN 标记
和端口。
使设备相应地获得许可也如此。仅使用简单的基于网络的条件:区域、 IP 地址、 VLAN 标记
和端口。
•
从网络发现策略中删除所有规则。
在依次应用访问控制策略和网络发现策略后,会在目标设备上停止新的发现。系统根据您在网络
发现策略中指定的超时期逐渐删除网络映射中的信息。或者,可以立即清除所有发现数据,请参
阅
发现策略中指定的超时期逐渐删除网络映射中的信息。或者,可以立即清除所有发现数据,请参
阅
对访问控制策略和规则进行故障排除
许可证:任何环境
正确配置访问控制策略(尤其是创建访问控制规则并对其排序)是一项复杂任务。但是,该任务对
于构建有效的部署至关重要。如果不认真规划策略,则规则可能会取代其他规则或包含无效配置。
规则和其他策略设置均可能需要额外的许可证。
于构建有效的部署至关重要。如果不认真规划策略,则规则可能会取代其他规则或包含无效配置。
规则和其他策略设置均可能需要额外的许可证。
为帮助确保系统按预期处理流量,访问控制策略接口具有功能强大的反馈系统。访问控制策略和
规则编辑器的图标标记警告和错误,如
规则编辑器的图标标记警告和错误,如
表中所述。将指针悬停在图标上方可阅
读警告、错误或信息文本。
提示
在访问控制策略编辑器中,点击
Show Warnings
可显示弹出窗口,其中会列出策略的所有警告。
此外,系统还会在应用时就可能会影响流量分析和流动的任何问题向您发出警告。