Cisco Cisco Firepower Management Center 2000 User Guide
15-3
FireSIGHT 系统用户指南
第 15 章 使用基于网络的规则控制流量
按网络或地理位置控制流量
步骤 3
查找并选择您要从
Available Zones
添加的用户和组。
要搜索需要添加的区域,请点击
Available Zones
列表上方的
Search by name
提示,然后键入区域名
称。列表会在您键入内容时进行更新,以显示匹配区域。
点击以选择区域。要选择多个区域,请使用 Shift 和 Ctrl 键,或右键单击并选择
Select All
。
步骤 4
点击
Add to Source
或
Add to Destination
,以将选定区域添加至适当列表。
您也可以拖放选定的区域。
步骤 5
保存或继续编辑规则。
您必须应用更改的访问控制策略以使更改生效;请参阅
按网络或地理位置控制流量
许可证:因功能而异
受支持的设备:因功能而异
受支持的防御中心:因功能而异
访问控制规则中的网络条件可供您按流量的源和目标 IP 地址控制流量。您还可以:
•
明确指定要控制的流量的源和目标 IP 地址,或者
•
使用地理位置功能,该功能将 IP 地址与地理位置关联,以便根据流量的源或目标国家/地区
或大陆控制流量
或大陆控制流量
在构建基于网络的访问控制规则条件时,可以手动指定 IP 地址和地理位置。另外,您可以使用网
络和地理位置
络和地理位置
对象配置网络条件,这些对象可重复使用,可以将名称与一个或多个 IP 地址、地址
块、国家/地区、大陆等相关联。
提示
创建网络或地理位置对象后,您不仅可将其用于构建访问控制规则,还可以在系统的 Web 界面的
各个其他位置将其用于代表 IP 地址。您可以使用对象管理器来创建这些对象;您也可以在配置访
问控制规则时动态创建网络对象。有关详细信息,请参阅
各个其他位置将其用于代表 IP 地址。您可以使用对象管理器来创建这些对象;您也可以在配置访
问控制规则时动态创建网络对象。有关详细信息,请参阅
请注意,如果您要编写按地理位置控制流量的规则,请确保使用最新地理定位数据过滤您的流
量,思科强烈建议您定期更新防御中心上的地理定位数据库 (GeoDB);请参阅
量,思科强烈建议您定期更新防御中心上的地理定位数据库 (GeoDB);请参阅
。
此外,请注意,尽管您可以使用任何 FireSIGHT 系统设备和任何许可证执行简单的基于 IP 地址的
访问控制,然而基于地理定位的访问控制需要 FireSIGHT 许可证并且在许多 2 系列设备上不受支
持,在 用于 Blue Coat X-系列的思科 NGIPS设备上也不受支持。
访问控制,然而基于地理定位的访问控制需要 FireSIGHT 许可证并且在许多 2 系列设备上不受支
持,在 用于 Blue Coat X-系列的思科 NGIPS设备上也不受支持。
表
15-2
网络条件许可证和模型要求
要求
地理定位控制
IP 地址控制
许可证
FireSIGHT
任何环境
设备
3 系列、虚拟、 ASA FirePOWER
任何环境
防御中心
除 DC500 外的所有型号
任何环境