Cisco Cisco Firepower Management Center 2000 User Guide
16-11
FireSIGHT 系统用户指南
第 16 章 使用基于信誉的规则控制流量
阻止 URL
要在访问控制规则中手动指定将允许或阻止的 URL,可以键入单个文本 URL。或者,可以使用
URL 对象配置 URL 条件,这些条件可重用,并会将名称与 URL 或 IP 地址关联。
URL 对象配置 URL 条件,这些条件可重用,并会将名称与 URL 或 IP 地址关联。
提示
创建 URL 对象后,不仅可以将其用于构建访问控制规则,还可以在系统 Web 接口中的各种其他
位置表示 URL。可以使用对象管理器创建这些对象,也可以在配置访问控制规则时动态创建
URL 对象。有关详细信息,请参阅
位置表示 URL。可以使用对象管理器创建这些对象,也可以在配置访问控制规则时动态创建
URL 对象。有关详细信息,请参阅
。
在 URL 条件中手动指定 URL
虽然手动输入可以提供对允许或阻止的网络流量的精确控制,但是不能使用信誉来限定手动指定
的 URL。此外,还必须确保规则不会产生意外结果。要确定网络流量是否与 URL 条件相匹配,
系统执行简单的子字符串匹配。如果 URL 对象或手动键入的 URL 的值与受监控主机所请求的
URL 的任何部分相匹配,则符合访问控制规则的 URL 条件。
的 URL。此外,还必须确保规则不会产生意外结果。要确定网络流量是否与 URL 条件相匹配,
系统执行简单的子字符串匹配。如果 URL 对象或手动键入的 URL 的值与受监控主机所请求的
URL 的任何部分相匹配,则符合访问控制规则的 URL 条件。
因此,当在 URL 条件中(包括在 URL 对象中)手动指定 URL 时,请仔细考虑可能受影响的其他流
量。例如,如果您允许到 example.com 的所有流量,用户可以浏览的 URL 将包括:
量。例如,如果您允许到 example.com 的所有流量,用户可以浏览的 URL 将包括:
•
http://example.com/
•
http://example.com/newexample
•
http://www.example.com/
又例如,请考虑要明确阻止 ign.com(游戏站点)的场景。但是,子字符串匹配意味着阻止 ign.com
也会阻止 verisign.com,这可能并非您的意愿。
也会阻止 verisign.com,这可能并非您的意愿。
手动阻止加密网络流量
请注意,当 SSL 检查配置允许加密流量通过时,或者如果没有配置 SSL 检查,则访问控制规则会
处理加密流量;请参阅
处理加密流量;请参阅
。访问控制规则中的 URL 条件:
•
忽略网络流量的加密协议(HTTP 与 HTTPS)
例如,访问控制规则以相同方式处理发送到 http://example.com/ 的流量和发送到
https://example.com/ 的流量。要配置仅匹配 HTTP 或 HTTPS 流量的访问控制规则,请向规则
中添加应用条件。有关详细信息,请参阅
https://example.com/ 的流量。要配置仅匹配 HTTP 或 HTTPS 流量的访问控制规则,请向规则
中添加应用条件。有关详细信息,请参阅
•
根据用于加密流量的公钥证书中的主题公用名与 HTTPS 流量匹配,此外忽略主题公用名中的
子域
子域
手动过滤 HTTPS 流量时,请勿包含子域信息。
。
要通过手动指定将允许或阻止的 URL 来控制网络流量,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在面向要按 URL 控制流量的设备的访问控制策略中,创建新访问控制规则或编辑现有规则。
有关详细说明,请参阅
步骤 2
在规则编辑器中,选择 URLs 选项卡。
系统将显示 URLs 选项卡。
步骤 3
从
Categories and URLs
列表中查找并选择要添加的 URL 对象和组。
•
要动态添加 URL 对象(之后可以添加到条件中),请点击
Categories and URLs
列表上方的添加图
标 (
);请参阅