Cisco Cisco Firepower Management Center 2000 User Guide
第
章
15-1
FireSIGHT 系统用户指南
15
使用基于网络的规则控制流量
访问控制策略中的访问控制规则对网络流量日志记录和处理进行精细控制。基于网络的条件可供
您使用以下一个或多个条件管理哪些流量可以穿越您的网络:
您使用以下一个或多个条件管理哪些流量可以穿越您的网络:
•
源和目标安全区域
•
源和目标 IP 地址或地理位置
•
数据包的最内部的 VLAN 标记
•
源端口和目标端口,还包括传输层协议和 ICMP 代码选项
您可以将基于网络的条件相互组合及与其他类型的条件组合来创建访问控制规则。这些访问控制
规则可能很简单,也可能很复杂,使用多个条件匹配和检查流量。有关访问控制规则的详细信
息,请参阅
规则可能很简单,也可能很复杂,使用多个条件匹配和检查流量。有关访问控制规则的详细信
息,请参阅
。
注
基于硬件的快速路径规则、基于安全情报的流量过滤以及一些解码和预处理在访问控制规则评估
网络流量之前发生。您还可以配置 SSL 检查功能在访问控制规则对已加密的流量进行评估之前阻
止或解密它。
网络流量之前发生。您还可以配置 SSL 检查功能在访问控制规则对已加密的流量进行评估之前阻
止或解密它。
您可以使用任何 FireSIGHT 系统设备和任何许可证执行大多数基于网络的访问控制,然而基于地理
定位的访问控制要求 FireSIGHT 许可证并且在许多 2 系列设备上不受支持,在 用于 Blue Coat X-系列
的思科 NGIPS设备上也不受支持。此外, ASA FirePOWER 设备不支持通过 VLAN 进行访问控制。
定位的访问控制要求 FireSIGHT 许可证并且在许多 2 系列设备上不受支持,在 用于 Blue Coat X-系列
的思科 NGIPS设备上也不受支持。此外, ASA FirePOWER 设备不支持通过 VLAN 进行访问控制。
有关构建基于网络的访问控制规则的信息,请参阅:
•
•
•
•
表
15-1
基于网络的访问控制规则的许可证和模型要求
要求
VLAN 标记
地理定位控制
所有其他基于网络的控制
许可证
任何环境
FireSIGHT
任何环境
设备
任何设备,除了
ASA FirePOWER
ASA FirePOWER
3 系列
虚拟
ASA FirePOWER
虚拟
ASA FirePOWER
任何环境
防御中心
任何环境
除 DC500 外的所有
型号
型号
任何环境