Cisco Cisco Firepower Management Center 2000 User Guide
14-7
FireSIGHT 系统用户指南
第 14 章 使用访问控制规则调整流量
创建和编辑访问控制规则
Monitor 操作:延迟操作并确保日志记录
许可证:任何环境
Monitor
操作不影响流量;匹配的流量既不会被立即允许,也不会被立即拒绝。相反,系统会根据
其他规则匹配流量,以确定允许还是拒绝该流量。所匹配的第一个非 Monitor 规则确定流量和任
何进一步的检查。如果没有其他匹配的规则,系统使用默认操作。
何进一步的检查。如果没有其他匹配的规则,系统使用默认操作。
由于 Monitor 规则的主要目的是跟踪网络流量,因此系统会自动记录监控流量的连接结束事件。
即,即使流量不匹配其他规则,且您不对默认操作进行日志记录,系统也会记录连接。有关详细
信息,请参阅
即,即使流量不匹配其他规则,且您不对默认操作进行日志记录,系统也会记录连接。有关详细
信息,请参阅
注
如果本地约束的流量与第 3 层部署中的 Monitor 规则相匹配,则该流量可能绕过检查。为确保对
流量进行检查,在路由流量的受管设备的高级设备设置中启用
流量进行检查,在路由流量的受管设备的高级设备设置中启用
Inspect Local Router Traffic
。有关详细
信息,请参阅
Trust 操作:未经检查通过流量
许可证:任何环境
Trust
操作允许任何类型的流量通过,无需进一步检查。
您可以在连接开始和结束时记录受信任的网络流量。请注意,根据检测连接的设备型号,系统记
录 Trust 规则处理的 TCP 连接的方式有所不同。有关详细信息,请参阅
录 Trust 规则处理的 TCP 连接的方式有所不同。有关详细信息,请参阅
注意事项
对于3 系列 设备处理的流量,系统首先处理某些 Trust 规则,然后才处理访问控制规则的安全情
报黑名单,该黑名单可以允许列入黑名单的流量未经检查就通过。有关详细信息,请参阅
报黑名单,该黑名单可以允许列入黑名单的流量未经检查就通过。有关详细信息,请参阅
。
阻止操作:未经检查阻止流量
许可证:任何环境
Block
和
Block with reset
操作拒绝任何类型的流量,无需进一步检查。 Block with reset 规则也会重
置连接。