Cisco Cisco Firepower Management Center 2000 User Guide
15-4
FireSIGHT 系统用户指南
第 15 章 使用基于网络的规则控制流量
按网络或地理位置控制流量
下图显示的网络条件与阻止源自您的内部网络并尝试访问位于朝鲜或 93.184.216.119
(example.com) 的连接的访问控制规则相对应。
(example.com) 的连接的访问控制规则相对应。
在此示例中,称为专用网络的网络对象组(包括 IPv4 和 IPv6 专用网络网络对象,未显示)表示您
的内部网络。此示例还手动指定了 example.com IP 地址,并使用系统提供的朝鲜地理定位对象代
表朝鲜 IP 地址。
的内部网络。此示例还手动指定了 example.com IP 地址,并使用系统提供的朝鲜地理定位对象代
表朝鲜 IP 地址。
在单一网络条件中,您可以向每个
Source Networks
和
Destination Networks
最多添加 50 项,而且可
以混用基于网络和基于地理定位的配置。
•
要与
源自 IP 地址或地理位置的流量相匹配,请配置
Source Networks
。
•
要与
流向 IP 地址或地理位置的流量相匹配,请配置
Destination Networks
。
如果同时向一条规则添加源网络条件和目标网络条件,则匹配流量必须源自其中一个指定 IP 地址
并流向其中一个目标 IP 地址。
并流向其中一个目标 IP 地址。
构建网络条件时,警告图标指明无效的配置。有关详细信息,请将鼠标指针悬停在图标上方并参
阅
阅
。
要按网络或地理位置控制流量,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在将您想要按网络控制流量所处设备锁定为目标的访问控制策略中,新建访问控制规则或编辑现
有规则。
有规则。
有关详细说明,请参阅
步骤 2
在规则编辑器中,选择 Networks 选项卡。
系统将显示 Networks 选项卡。
步骤 3
查找并选择您要从
Available Networks
添加的网络,如下所述:
•
单击 Networks 选项卡显示要添加的网络对象和组;单击 Geolocation 选项卡显示地理定位对象。
•
要动态添加网络对象,以便随后可将其添加到条件,请点击
Available Networks
列表上方的添
加图标 (
);请参阅
•
要搜索需要添加的网络或地理定位对象,请选择相应的选项卡,点击
Available Networks
列表
上方的
Search by name or value
提示,然后键入对象名称或其中一个对象组件的值。列表会在您
键入内容时进行更新,以显示匹配对象。
要选择一个对象,请点击该对象。要选择多个对象,请使用 Shift 和 Ctrl 键,或右键单击并选择
Select All
。
步骤 4
点击
Add to Source
或
Add to Destination
将选定对象添加到适当列表。
您也可以拖放选定的对象。
步骤 5
添加要手动指定的任何源或目标 IP 地址或地址块。
点击
Source Networks
或
Destination Networks
列表下方的
Enter an IP address
提示;然后键入一个 IP 地
址或地址块并点击
Add
。