Cisco Cisco Firepower Management Center 2000 User Guide
15-2
FireSIGHT 系统用户指南
第 15 章 使用基于网络的规则控制流量
通过安全区域控制流量
通过安全区域控制流量
许可证:任何环境
访问控制规则中的区域条件可供您按流量的源和目标安全区域控制流量。
安全区域是一个或多个
接口的组合,这些接口可能位于多台设备上。您在设备的初始设置期间选择的选项,称为其
检测
模式,确定系统最初如何配置设备的接口以及这些接口是否属于安全区域。
一个简单的示例就是,当您注册带
内联
检测模式的设备时,防御中心创建两个区域︰内部和外
部,并将设备上的第一对接口分配到这些区域。连接到网络内侧的主机表示受保护资产。
为了扩展此情景,您可以部署其他相同配置的设备(由同一防御中心管理)以保护多个不同位置的
类似资源。就像第一台设备一样,每台这些设备均保护其内部安全区域中的资产。
类似资源。就像第一台设备一样,每台这些设备均保护其内部安全区域中的资产。
提示
您不需要将所有内部(或外部)接口组合到单个区域中。选择对您的部署和安全策略有意义的组合
方式。有关创建区域的详细信息,请参阅
方式。有关创建区域的详细信息,请参阅
在此部署中,您可能决定尽管您希望这些主机可以不受限制地访问互联网,但是也想要通过检查
传入流量是否存在入侵和恶意软件来保护它们。
传入流量是否存在入侵和恶意软件来保护它们。
要使用访问控制实现此目标,请配置包含区域条件的访问控制规则,其中
Destination Zone
设置为
Internal
。此简单访问控制规则与从内部区域中任何接口离开设备的流量相匹配。
要确保系统检查匹配流量是否存在入侵和恶意软件,请选择
Allow
规则操作,然后将该规则与入
侵和文件策略相关联。有关详细信息,请参阅
和
。
如果要构建更为复杂的规则,可向单个区域条件中的每个
源区域
和
目标区域
最多可添加 50 个区域。
•
要与从一个区域中的接口
离开设备的流量相匹配,请将该区域添加到
目标区域
。
由于以被动方式部署的设备不会传输流量,因此,在
目标区域
条件中不能使用由被动接口组成
的区域。
•
要与从一个区域中的接口
进入设备的流量想匹配,请将该区域添加到
源区域
。
•
如果同时向一条规则添加源区域和目标区域条件,则匹配流量必须源自其中一个指定源区域
并通过其中一个目标区域流出。
并通过其中一个目标区域流出。
请注意,正如一个区域中的所有接口必须为相同类型(全部为内联、全部为被动、全部已交换或全
部已路由),访问控制规则的区域条件中使用的全部区域必须为同一类型。也就是说,您不能编写
与源自或流出不同类型区域的流量相匹配的单条规则。
部已路由),访问控制规则的区域条件中使用的全部区域必须为同一类型。也就是说,您不能编写
与源自或流出不同类型区域的流量相匹配的单条规则。
构建区域条件时,警告图标指明无效的配置。有关详细信息,请将鼠标指针悬停在图标上方并参
阅
阅
。
要按区域控制流量,请执行以下步骤:
访问:管理员/访问管理员/网络管理员
步骤 1
在将您想要按区域控制流量所处设备锁定为目标的访问控制策略中,新建访问控制规则或编辑现
有规则。
有规则。
有关详细说明,请参阅
步骤 2
在规则编辑器中,选择 Zones 选项卡。
系统将显示 Zones 选项卡。