Cisco Cisco Firepower Management Center 2000 User Guide

14-6

FireSIGHT 系统用户指南

第 14 章使用访问控制规则调整流量

创建和编辑访问控制规则

请注意，虽然可使用任意许可证创建访问控制规则，但某些规则条件需要您先启用访问控制策略
目标设备上的特定许可功能，然后才可以应用策略。有关详细信息，请参阅

第 12-2 页上的访问控

制的许可证和型号要求

。

使用规则操作确定流量处理和检查

许可证：任何环境

每个访问控制规则具有为匹配的流量确定以下内容的

操作：

•

处理 — 首先，规则操作管理系统是否会监控、信任、阻止或允许匹配规则条件的流量

•

检查 - 利用某些规则操作，可以在正确许可的条件下通过进一步检查匹配的流量，然后才允
许流量通过

•

日志记录 - 该规则操作确定何时以及如何记录有关匹配的流量的详细信息

访问控制策略的

默认操作处理不满足任何非“监控”访问控制规则条件的流量；请参阅

第 12-6 页

上的设置对网络流量的默认处理和检查

。

请记住，只有内联部署的设备才可以阻止或修改流量。被动部署或在轻触模式下部署的设备可以
分析和记录，但是不影响流量。有关规则操作的详细信息以及规则操作如何影响流量处理、检查
和日志记录，请参阅以下各节：

•

第 14-7 页上的 Monitor 操作：延迟操作并确保日志记录

•

第 14-7 页上的 Trust 操作：未经检查通过流量

•

第 14-7 页上的阻止操作：未经检查阻止流量

•

第 14-8 页上的交互式阻止操作：允许用户绕过网站拦截

•

第 14-9 页上的 Allow 操作：允许和检查流量

•

第 14-10 页上的借助 3 系列设备信任或阻止流量的限制

•

第 18-1 页上的使用入侵和文件策略控制流量

•

第 38-13 页上的根据访问控制处理记录连接

Ports

按照其源端口或目标端口

对于 TCP 和 UDP 而言，您可以基于传输层协议控制流量。对于
ICMP 和 ICMPv6 (IPv6-ICMP) 而言，您可以基于其互联网层协议加
上可选类型和代码控制流量。您还可以利用未使用端口的其他协议，
使用端口状态来控制流量。要构建端口条件，请参阅

第 15-6 页上的

通过端口和 ICMP 代码控制流量

。

Applications

按照会话中检测到的应用

您可以控制对单个应用的访问，或根据基本特征过滤访问：键入、
风险、业务相关性、类别和标记。要构建应用条件，请参阅

第 16-2

页上的控制应用流量

。

URLs

按照会话中请求的 URL

您可以限制网络中的用户可以单独访问或基于 URL 的一般分类和风
险水平进行访问的网站

。要构建 URL 条件，请参阅

第 16-7 页上的阻

止 URL

。

Users

按照会话中涉及的用户

根据登录受监控会话所涉及的主机的 LDAP 用户，可以控制流量。可
以根据从 Microsoft Active Directory 服务器检索的单个用户或组控制流
量。要构建用户条件，请参阅

第 17-1 页上的按照用户控制流量

。

表

14-1

访问控制规则条件类型（续）

这些条件......

匹配流量......

详细信息