Cisco Cisco Firepower Management Center 2000 User Guide
16-7
FireSIGHT 系统用户指南
第 16 章 使用基于信誉的规则控制流量
阻止 URL
处理推荐流量
要创建用于处理 Web 服务器所推荐的流量 (如广告流量)的规则,请为被推荐应用而非推荐应
用添加条件.有关详细信息,请参阅
用添加条件.有关详细信息,请参阅
自动启用应用检测器
必须为策略中的每个应用规则条件启用至少一个检测器(请参阅
)。如果没有为应用启用检测器,则系统自动为该应用启用所有系统提供的检测器;如果不存在
检测器,则系统为该应用启用最新修改的用户定义的检测器。
控制使用多种协议的应用流量 (Skype)
系统可以检测多个类型的 Skype 应用流量。构建用于控制 Skype 流量的应用条件时,请从
Application Filters
列表中选择
Skype
标记,而非选择单独应用。这确保系统可以相同方式检测和控
制所有 Skype 流量。有关详细信息,请参阅
。
阻止 URL
许可证:因功能而异
受支持的设备:任何防御中心,除了 2 系列
受支持的防御中心:因功能而异
通过访问控制规则的 URL 条件,可以限制网络上用户能够访问的网站。此功能称为 URL 过滤。有
两种方法可以使用访问控制来指定要阻止(或者反过来,允许)的 URL:
两种方法可以使用访问控制来指定要阻止(或者反过来,允许)的 URL:
•
通过任意许可证,可以手动指定单独 URL 或 URL 组来实现对网络流量的精细、自定义控制。
•
通过 URL 过滤许可证,还可以根据 URL 的一般分类或类别以及风险级别或信誉控制对网站
的访问。系统在连接日志、入侵事件和应用详细信息中显示此类别和信誉数据。
的访问。系统在连接日志、入侵事件和应用详细信息中显示此类别和信誉数据。
注
要查看事件中的 URL 类别和信誉信息,必须使用 URL 条件至少创建一个访问控制规则。
当阻止网站时,可以允许用户浏览器的默认行为,也可以显示通用系统提供的页面或自定义页
面。您还可以为用户提供机会,通过点击浏览警告页面来绕过网站阻止。
面。您还可以为用户提供机会,通过点击浏览警告页面来绕过网站阻止。
处理加密网络流量
如果配置 SSL 检查(请参阅
)来解密加密流量,则访问控制规则会评
估解密流量,如同其未加密一样。但是,如果 SSL 检查配置允许加密连接在未解密的情况下通过,
或者如果不配置 SSL 检查,则访问控制规则会评估加密流量。
或者如果不配置 SSL 检查,则访问控制规则会评估加密流量。
使用具有 URL 条件的访问控制规则评估网络流量时,系统根据用于将流量加密的公钥证书中的
主题公用名来匹配 HTTPS 流量。此外,系统还会忽略主题公用名中的子域,因此在手动过滤
HTTPS URL 时请勿包含子域信息。例如,使用
主题公用名来匹配 HTTPS 流量。此外,系统还会忽略主题公用名中的子域,因此在手动过滤
HTTPS URL 时请勿包含子域信息。例如,使用
example.com
而不是
www.example.com
。
此外,系统还会忽略加密协议(HTTP 和 HTTPS)。对于手动 URL 条件和基于信誉的 URL 条件均
会发生此情况。换句话说,访问控制规则以相同方式处理发送到以下网站的流量:
会发生此情况。换句话说,访问控制规则以相同方式处理发送到以下网站的流量:
•
http://example.com/
•
https://example.com/
要配置仅匹配 HTTP 或 HTTPS 流量的访问控制规则,请向规则中添加应用条件。例如,可以通过
构造两个访问控制规则(每个规则具有应用和 URL 条件)来允许对某个站点进行 HTTP 访问,同
时禁止 HTTP 访问。
构造两个访问控制规则(每个规则具有应用和 URL 条件)来允许对某个站点进行 HTTP 访问,同
时禁止 HTTP 访问。
第一个规则允许 HTTPS 流量到达网站: