Cisco Cisco Firepower Management Center 2000 User Guide
15-7
FireSIGHT 系统用户指南
第 15 章 使用基于网络的规则控制流量
通过端口和 ICMP 代码控制流量
•
要与即源自特定
Selected Source Ports
又流向特定
Selected Destination Ports
的流量相匹配,请同时
配置二者。
如果同时将源和目标端口添加至条件,则只能添加共享单一传输协议(TCP 或 UDP)的端口。
例如,如果添加经由 TCP 的 DNS 作为源端口,则可以添加 Yahoo Messenger Voice Chat (TCP)
而不是 Yahoo Messenger Voice Chat (UDP) 作为目标端口。
例如,如果添加经由 TCP 的 DNS 作为源端口,则可以添加 Yahoo Messenger Voice Chat (TCP)
而不是 Yahoo Messenger Voice Chat (UDP) 作为目标端口。
在构建端口条件时请记住以下要点:
•
当您添加类型设置为 0 的目标 ICMP 端口或类型设置为 129 的目标 ICMPv6 端口时,访问控
制规则仅与主动提供的回应回复相匹配。为应答 ICMP 回应请求而发送的 ICMP 回应回复被
忽略。为使某个规则匹配任何 ICMP 回应,请使用 ICMP 类型 8 或 ICMPv6 类型 128。
制规则仅与主动提供的回应回复相匹配。为应答 ICMP 回应请求而发送的 ICMP 回应回复被
忽略。为使某个规则匹配任何 ICMP 回应,请使用 ICMP 类型 8 或 ICMPv6 类型 128。
•
当您将 GRE (47) 协议用作目标端口条件时,只能将基于网络的其他条件添加至访问控制规则,
即区域和网络以及 VLAN 标记条件。如果您添加基于声誉或用户的条件,则无法保存规则。
即区域和网络以及 VLAN 标记条件。如果您添加基于声誉或用户的条件,则无法保存规则。
构建端口条件时,警告图标指明无效的配置。例如,您可以使用对象管理器来编辑正在使用的端
口对象,以使使用这些对象组的规则变得无效。有关详细信息,请将鼠标指针悬停在图标上方并
参阅
口对象,以使使用这些对象组的规则变得无效。有关详细信息,请将鼠标指针悬停在图标上方并
参阅
要按端口控制流量,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在将您想要按端口控制流量所处设备锁定为目标的访问控制策略中,新建访问控制规则或编辑现
有规则。
有规则。
有关详细说明,请参阅
步骤 2
在规则编辑器中,选择 Ports 选项卡。
系统将显示 Ports 选项卡。
步骤 3
查找并选择您要从
Available Ports
添加的端口,如下所述:
•
要动态添加您随后可以添加至条件的端口对象,请点击 Available Ports 列表上方的添加图标
(
(
);请参阅
•
要搜索需要添加的端口对象和组,请点击
Available Ports
列表上方的
Search by name or value
提
示,然后键入对象名称或对象中某一端口的值。列表会在您键入内容时进行更新,以显示匹
配对象。例如,如果键入 80,防御中心显示思科提供的 HTTP 端口对象。
配对象。例如,如果键入 80,防御中心显示思科提供的 HTTP 端口对象。
要选择一个对象,请点击该对象。要选择多个对象,请使用 Shift 和 Ctrl 键,或右键单击并选
择
择
Select All
。
步骤 4
点击
Add to Source
或
Add to Destination
将选定对象添加到适当列表。
您也可以拖放选定的对象。
步骤 5
添加要手动指定的任何源或目标端口。
•
对于源端口,请从
Selected Source Ports
列表下方的
Protocol
下拉列表中选择
TCP
或
UDP
。然后,
输入一个
端口
。您可以为单个端口指定从 0 到 65535 之间的一个值。
•
对于目标端口,请从
Selected Destination Ports
列表下方的
Protocol
下拉列表中选择一个协议
(包括表示所有协议的
All)
。您还可以在键入未显示在列表中的未分配协议的编号。
如果选择
ICMP
或
IPv6 ICMP
,系统将显示弹出窗口,可以在其中选择类型和相关代码。有关
ICMP 类型和代码的详细信息,请参阅
。
如果您不想指定协议,或者,如果指定 TCP 或 UDP,请输入一个
端口
。您可以为单个端口指
定从 0 到 65535 之间的一个值。
点击
Add
。请注意,防御中心不会将会导致无效配置的端口添加至规则条件。