Cisco Cisco Firepower Management Center 2000 User Guide

17-3

FireSIGHT 系统用户指南 

第 17 章      按照用户控制流量 

  向访问控制规则添加用户条件  

在您可以执行用户控制之前，您必须：

在防御中心与 Microsoft Active Directory 服务器之间配置连接；请参阅

。

在 Microsoft Windows 计算机上安装用户代理，其中可对 Active Directory 服务器进行 TCP/IP 
访问；请参阅

注意事项

如果您配置大量要监控的用户组，或者，如果您有非常多的用户映射到网络中的主机，由于内存
限制，系统可能会丢弃基于用户组的用户映射。因此，基于用户组的访问控制规则可能无法如预
期那样触发。

在单一用户条件中，最多只能将 50 个用户和组添加到 

。带有用户组的条件与该组任

何成员（包括任何子组的成员，个别排除的用户和排除的子组的成员除外）的往返流量相匹配。

注

系统必须在该组中检测到至少一个用户的活动，然后您才能使用组条件执行用户控制。此初始连
接不是由与其匹配的访问控制规则进行处理，而是由与其匹配的下一个规则或访问控制策略默认
操作进行处理。

。

要控制用户流量：

访问：管理员/访问管理员/网络管理员

步骤 1

在针对您要通过 LDAP 用户或组控制流量所在设备的访问控制策略中，新建访问控制规则或编辑
现有规则。

有关详细说明，请参阅

步骤 2

在规则编辑器中，选择 Users 选项卡。

系统将显示 Users 选项卡。

步骤 3

查找并选择您要从 

 列表中添加的用户和组。

用户和组用不同图标标记。要搜索需要添加的用户和组，请点击 

 列表上方的 

 提示，然后键入用户或组的名称。列表会在您键入内容时进行更新，以显示匹配项。

要选择一项，请点击该项。要选择多项，请使用 Shift 和 Ctrl 键，或右键单击并选择 

。

步骤 4

点击 

，将选定的用户和组添加到 

 列表。

您也可以拖放选定的用户和组。

步骤 5

保存或继续编辑规则。

您必须应用更改的访问控制策略以使更改生效；请参阅