Cisco Cisco Firepower Management Center 2000 User Guide

25-4

FireSIGHT 系统用户指南

第 25 章      自定义流量预处理       

  使用网络分析策略自定义预处理

指定要使用网络分析规则进行预处理的流量

许可证：任何环境

受支持的设备：因功能而异

在访问控制策略的高级设置中，可以使用网络分析规则定制网络流量的预处理配置。类似于访问
控制规则，网络分析规则从 1 开始编号。

在系统预处理流量时，它将数据包按照升序规则编号自上而下的顺序与网络分析规则相匹配，然
后根据所有条件都匹配的第一个规则预处理流量。下表描述可添加到规则的条件。

如果不为规则配置特殊条件，则系统将不根据该条件匹配流量。例如，一条包含网络条件但不含
区域条件的规则根据其源 IP 地址或目标 IP 地址评估流量，不管其进出接口如何。不与任何网络
分析规则匹配的流量由默认网络分析策略预处理。

要添加自定义网络分析规则，请执行以下操作：

访问：管理员/访问管理员/网络管理员

步骤 1

在想要创建自定义预处理配置的访问控制策略中，选择 

 选项卡，然后点击 Intrusion and 

Network Analysis Policies 分区旁的编辑图标  (

)。

系统将显示 Network Analysis Policies 对话框。如果您尚未添加任何自定义网络分析规则，网络界
面表明您具有 

，否则将显示您配置的规则数。

提示

点击 

 以在新窗口中显示 Network Analysis Policy 页面。在此页中可查看

和编辑您的自定义网络分析策略；请参阅

步骤 2

在 

 旁，点击表明您拥有的自定义规则数目的语句。

对话框展开以显示自定义规则 （如有）。

步骤 3

点击 

。

系统将显示网络分析规则编辑器。

步骤 4

构建您规则的条件。可以使用以下条件限制 NAP 预处理：

表 

网络分析规则条件类型 

此条件…

匹配流量...

详细信息

Zones

通过特定安全区域中的一
个接口进入或离开设备

安全区域是根据您的部署和安全策略对一个或多个接口进行的逻辑
组合。区域中的接口可能位于多台设备上。要构建区域条件，请参
阅

Networks

按其源或目标 IP 地址、
国家/地区或大陆

您可以明确指定 IP 地址。要构建网络条件，请参阅

VLAN Tags

按 VLAN 进行标记

系统使用最内部的 VLAN 标记来通过 VLAN 识别数据包。请注意，
ASA FirePOWER 无法通过 VLAN 限制预处理。要构建 VLAN 条件，
请参阅