Cisco Cisco Firepower Management Center 2000 User Guide
14-9
FireSIGHT 系统用户指南
第 14 章 使用访问控制规则调整流量
创建和编辑访问控制规则
Allow 操作:允许和检查流量
许可证:任何环境
Allow
操作允许匹配的流量通过。当您允许流量时,可以使用关联的入侵或文件策略(或两者)进
一步检查和阻止未加密或解密的网络流量:
•
借助保护许可证,您可以使用入侵策略,根据入侵检测和防御配置分析网络流量,或者丢弃
恶意数据包。
恶意数据包。
•
借助保护许可证,还可以使用文件策略执行文件控制。借助文件控制,可以检测和阻止用户通
过特定应用协议上传(发送)或下载(接收)特定类型的文件。
过特定应用协议上传(发送)或下载(接收)特定类型的文件。
•
借助恶意软件许可证,您还可以使用文件策略执行基于网络的高级恶意软件防护 (AMP)。基
于网络的 AMP 可以检查文件中的恶意软件,或者阻止检测到的恶意软件。
于网络的 AMP 可以检查文件中的恶意软件,或者阻止检测到的恶意软件。
有关如何将入侵或文件策略与访问控制规则相关联的指导,请参阅
。
下图说明在满足 Allow 规则(或用户忽略的 Interactive Block 规则;请参阅
)条件的流量中进行的检查类型。请注意,文件检查会在入侵检
查之前发生;被阻止文件不会进行入侵相关漏洞检测。
为简单起见,该图显示入侵和文件策略均与访问控制规则相匹配(或都不匹配)的情况下的流量。
但是,可以单独配置其中一个策略。如果没有文件策略,流量将由入侵策略确定;如果没有入侵策
略,流量将由文件策略确定。
但是,可以单独配置其中一个策略。如果没有文件策略,流量将由入侵策略确定;如果没有入侵策
略,流量将由文件策略确定。
不管入侵或文件策略会检测还是丢弃流量,系统都可以使用网络发现功能进行检查。但是,允许
流量不会自动确保发现检查。系统仅对涉及 IP 地址的连接执行发现功能,根据网络发现策略明确
监控这些 IP 地址;此外,对于加密会话,应用发现受到限制。有关详细信息,请参阅
流量不会自动确保发现检查。系统仅对涉及 IP 地址的连接执行发现功能,根据网络发现策略明确
监控这些 IP 地址;此外,对于加密会话,应用发现受到限制。有关详细信息,请参阅
。