Cisco Cisco Firepower Management Center 2000 User Guide
12-21
FireSIGHT 系统用户指南
第 12 章 访问控制策略入门
生成当前访问控制设置报告
将规则排序以提高和避免取代
许可证:任何环境
系统已对访问控制策略中的规则进行编号,从 1 开始。系统通过对规则编号进行升序排序来自上
而下地将流量与规则进行匹配。除 Monitor 规则之外,流量匹配的第一个规则即是处理该流量的
规则。
而下地将流量与规则进行匹配。除 Monitor 规则之外,流量匹配的第一个规则即是处理该流量的
规则。
适当的访问控制规则顺序可减少处理网络流量所需的资源并防止规则取代。虽然创建的规则对于
每个组织和部署都是唯一的,但在对可以优化性能同时满足需求的规则进行排序时,要遵循一些
通用准则。
每个组织和部署都是唯一的,但在对可以优化性能同时满足需求的规则进行排序时,要遵循一些
通用准则。
按重要性从高到低对规则进行排序
首先,必须对规则进行排序,以满足组织的需求。将必须应用于所有流量的优先级规则放置在策略
顶部附近。例如,如果要检查来自单个用户的流量中是否存在入侵(使用 Allow 规则),但是信任
部门中的所有其他用户(使用 Trust 规则),请按此顺序放置两个访问控制规则。
顶部附近。例如,如果要检查来自单个用户的流量中是否存在入侵(使用 Allow 规则),但是信任
部门中的所有其他用户(使用 Trust 规则),请按此顺序放置两个访问控制规则。
从特定到通用对规则进行排序
可以通过将特定规则(即精确定义其处理的流量的规则)放置在前来提高性能。这一点也非常重
要,因为具有广泛条件的规则可以匹配许多不同类型的流量,并可以取代更为靠后、更为具体的
规则。
要,因为具有广泛条件的规则可以匹配许多不同类型的流量,并可以取代更为靠后、更为具体的
规则。
假设有这样一个场景:您希望阻止大部分社交网站,但是允许访问其他特定网站。例如,您可能
希望图形设计者能够访问 Creative Commons Flickr 和 deviantART 内容,但无法访问其他站点,例
如 Facebook 或 Google+。应按如下对规则进行排序:
希望图形设计者能够访问 Creative Commons Flickr 和 deviantART 内容,但无法访问其他站点,例
如 Facebook 或 Google+。应按如下对规则进行排序:
规则 1:对“Design”LDAP 用户组允许 Flickr、 deviantART
规则 2:阻止社交网络
规则 2:阻止社交网络
如果调转规则顺序:
规则 1:阻止社交网络
规则 2:对“Design”LDAP 用户组允许 Flickr、 deviantART
规则 2:对“Design”LDAP 用户组允许 Flickr、 deviantART
第一个规则阻止所有社交流量,包括 Flickr 和 deviantART。由于没有流量与第二个规则相匹配,
因此设计者无法访问您希望可供其访问的内容。
因此设计者无法访问您希望可供其访问的内容。
将检查流量的规则放置在后
由于发现、入侵、文件和恶意软件检查需要处理资源,因此将不检查流量的规则(Trust、Block)放
置在检查流量的规则(Allow、Interactive Block)之前可以提高性能。这是因为 Trust 和 Block 规则
可以转移系统可能会以其他方式检查的流量。在所有其他因素均平等的前提下,也就是说,假设有
一组规则,其中的任一条规则都不比其他规则更为关键,且取代不是问题,请考虑按以下顺序放置
这些规则 :
置在检查流量的规则(Allow、Interactive Block)之前可以提高性能。这是因为 Trust 和 Block 规则
可以转移系统可能会以其他方式检查的流量。在所有其他因素均平等的前提下,也就是说,假设有
一组规则,其中的任一条规则都不比其他规则更为关键,且取代不是问题,请考虑按以下顺序放置
这些规则 :
•
Monitor 规则,记录匹配连接但不对流量采取其他操作
•
Trust 和 Block 规则,处理流量而不进一步检查
•
Allow 和 Interactive Block 规则,不进一步检查流量
•
Allow 和 Interactive Block 规则,选择性检查流量中是否存在恶意软件和/或入侵
生成当前访问控制设置报告
许可证:任何环境
访问控制策略报告是特定时间点的策略和规则配置的记录。您可以使用包含以下信息的报告进行
审计或检查当前配置。
审计或检查当前配置。