Cisco Cisco Firepower Management Center 2000 User Guide
14-5
FireSIGHT 系统用户指南
第 14 章 使用访问控制规则调整流量
创建和编辑访问控制规则
使用条件指定规则处理的流量
许可证:因功能而异
受支持的设备:因功能而异
受支持的防御中心:因功能而异
访问控制规则的条件确定该规则处理的流量类型。条件可以简单,也可以复杂;可通过安全区
域、网络或地理位置、 VLAN、端口、应用、请求的 URL 和用户控制流量。
域、网络或地理位置、 VLAN、端口、应用、请求的 URL 和用户控制流量。
向访问控制规则中添加条件时,请记住以下几点:
•
每个规则可以配置多个条件。为使规则应用于流量,流量必须匹配规则中的所有条件。例如,
您可以使用单个规则为特定主机(区域或网络条件)执行 URL 过滤(URL 条件)。
您可以使用单个规则为特定主机(区域或网络条件)执行 URL 过滤(URL 条件)。
•
为规则中的每个条件最多可以添加 50 个标准。匹配所有条件的标准的流量满足该条件。例
如,您可以使用单个规则为最多 50 个用户和组执行用户控制。
如,您可以使用单个规则为最多 50 个用户和组执行用户控制。
请注意,您可以根据源和目标限制区域和网络条件,使用最多 50 个源和最多 50 个目标标准。如
果将源和目标标准添加到区域或网络条件,匹配的流量必须源自指定源区域/网络之一并通过目标
区域/网络之一流出。换句话说,系统借助 OR 运算将同一类型的多个条件标准连接在一起,并且
借助 AND 运算将多个条件类型连接在一起。例如,如果规则条件如下:
果将源和目标标准添加到区域或网络条件,匹配的流量必须源自指定源区域/网络之一并通过目标
区域/网络之一流出。换句话说,系统借助 OR 运算将同一类型的多个条件标准连接在一起,并且
借助 AND 运算将多个条件类型连接在一起。例如,如果规则条件如下:
Source Networks: 10.0.0.0/8, 192.168.0.0/16
Application Category: peer to peer
规则将匹配来自其中一个私有 IPv4 网络的一台主机的 P2P 应用流量 - 数据包必须源自一个 OR 其
他源网络, AND 表示 P2P 应用流量。以下两个连接触发此规则:
他源网络, AND 表示 P2P 应用流量。以下两个连接触发此规则:
10.42.0.105 to anywhere, using LimeWire
192.168.42.105 to anywhere, using Kazaa
如果不为规则配置特定条件,系统将不基于此标准匹配流量。例如,无论会话中使用的应用如
何,具有网络条件但不具有应用条件的规则根据数据流源或目标评估流量。
何,具有网络条件但不具有应用条件的规则根据数据流源或目标评估流量。
注
应用访问控制策略时,系统评估其所有规则并创建一个扩展标准集,目标设备该扩展标准集评估
网络流量。复杂的访问控制策略和规则可控制大量资源。有关简化访问控制规则的提示和提高性
能的其他方法,请参阅
网络流量。复杂的访问控制策略和规则可控制大量资源。有关简化访问控制规则的提示和提高性
能的其他方法,请参阅
。
当添加或编辑访问控制规则时,使用规则编辑器下部左侧的选项卡添加和编辑规则条件。下表总
结了可以添加的条件类型。
结了可以添加的条件类型。
表
14-1
访问控制规则条件类型
这些条件......
匹配流量......
详细信息
Zones
通过特定安全区域的一个
接口进入或离开设备
接口进入或离开设备
安全区域是根据部署和安全策略划分的一个或多个接口的逻辑分组。
区域中的接口可能分布于多台设备上。要构建区域条件,请参阅
区域中的接口可能分布于多台设备上。要构建区域条件,请参阅
。
Networks
按照其源或目标 IP 地址、
国家/地区或大洲
国家/地区或大洲
可以明确指定 IP 地址或地址块。利用地理定位功能还可以根据源或
目标国家/地区或大洲控制流量。要构建网络条件,请参阅
目标国家/地区或大洲控制流量。要构建网络条件,请参阅
。
VLAN Tags
按照 VLAN 进行标记
系统使用最内部的 VLAN 标记来按照 VLAN 识别数据包。要构建
VLAN 条件,请参阅
VLAN 条件,请参阅