Cisco Cisco Firepower Management Center 2000 User Guide
16-6
FireSIGHT 系统用户指南
第 16 章 使用基于信誉的规则控制流量
控制应用流量
您也可以拖放所选应用和过滤器。过滤器会显示在标题 Filters 下,应用显示在标题 Applications 下。
提示
在将其他过滤器添加到此应用条件中之前,请点击
Clear All Filters
清除现有选择。
步骤 6
或者,点击
Selected Applications and Filters
列表上方的添加图标 (
) 以保存由列表中当前的所有单
独应用和过滤器组成的自定义过滤器。
使用对象管理器在动态创建的过滤器上对此进行管理;请参阅
注意,无法保存包含其他用户创建的过滤器的过滤器,因为不能嵌套用户创建的过滤器。
步骤 7
保存或继续编辑规则。
您必须应用更改的访问控制策略以使更改生效;请参阅
。
对应用控制的限制
许可证:可控性
受支持的设备:任意, 2 系列或 X -系列除外
执行应用控制时,请记住以下要点。
应用识别的速度
系统在以下情况之前无法执行应用控制:
•
在客户端和服务器之间建立受监控连接,并且
•
系统识别会话中的应用
此识别应在 3 到 5 个数据包内发生,或者在 SSL 握手中的服务器证书交换(如果流量已加密)后发
生。如果第一批数据包中的其中之一与包含应用条件的访问控制规则中的所有其他条件匹配,但
是识别未完成,则访问控制策略允许数据包通过。此行为允许建立连接,以便可以识别应用。为方
便起见,受影响规则以信息图标 (
生。如果第一批数据包中的其中之一与包含应用条件的访问控制规则中的所有其他条件匹配,但
是识别未完成,则访问控制策略允许数据包通过。此行为允许建立连接,以便可以识别应用。为方
便起见,受影响规则以信息图标 (
) 标记。
允许的数据包通过访问控制策略的
默认入侵策略(既不是默认操作入侵策略也不是近乎匹配规则的
入侵策略)进行检查。有关详细信息,请参阅
在系统完成其识别后,系统会将访问控制规则操作以及任何关联入侵策略与文件策略应用于与其
应用条件匹配的剩余会话流量。
应用条件匹配的剩余会话流量。
处理加密流量
系统可以识别和过滤通过使用 StartTLS(如 SMTPS、POPS、FTPS、TelnetS 和 IMAPS)进行加密
的未加密应用流量。此外,它还可以根据 TLS 客户端问询消息中的服务器名称指示或服务器证书
主题可分辨名称值来识别某些加密应用。
的未加密应用流量。此外,它还可以根据 TLS 客户端问询消息中的服务器名称指示或服务器证书
主题可分辨名称值来识别某些加密应用。
这些应用标记为
SSL Protocol
。只能在未加密或已解密的流量中检测到没有此标记的应用。有关在
系统将加密流量与访问控制规则相匹配之前使用 SSL 检查功能解密或阻止该流量的信息,请参阅
。
处理无负载的应用流量数据包
系统将默认策略操作应用于在识别了应用的连接中没有负载的数据包。