Cisco Cisco Firepower Management Center 4000 Guía Del Usuario
16-12
FireSIGHT 系统用户指南
第 16 章 使用基于信誉的规则控制流量
阻止 URL
•
要搜索将添加的 URL 对象和组,请点击
Categories and URLs
列表上方的
Search by name or value
提
示,然后键入对象的名称或者对象中 URL 或 IP 地址的值。列表会在您键入内容时进行更新,
以显示匹配对象。
以显示匹配对象。
要选择对象,请点击该对象。要选择多个对象,请使用 Shift 和 Ctrl 键。虽然可以右键单击并
选择
所有
URL 对象和类别,但是以此方式添加 URL 会超过访问控制规则的最大值 (50 项)。
步骤 4
点击
Add to Rule
以将选定项添加到
Selected URLs
列表中。
您也可以拖放选定项。
步骤 5
添加要手动指定的所有文本 URL。不能在此字段中使用通配符 (
*
)。
点击
Selected URLs
列表下方的
Enter URL
提示;然后键入 URL 或 IP 地址并点击
Add
。
步骤 6
保存或继续编辑规则。
您必须应用更改的访问控制策略以使更改生效;请参阅
。
对 URL 检测和阻止的限制
许可证:任何环境
受支持的设备:任何防御中心,除了 2 系列
执行 URL 检测和阻止时,请谨记以下要点。
URL 识别的速度
系统在以前情况之前无法过滤 URL:
•
在客户端和服务器之间建立受监控连接
•
系统识别会话中的 HTTP 或 HTTPS 应用
•
系统识别所请求的 URL(面向加密会话,来自客户端问询消息或服务器证书)
此识别应在 3 到 5 个数据包内发生,或者在 SSL 握手中的服务器证书交换(如果流量已加密)后发
生。如果第一批数据包中的其中之一与包含 URL 条件的访问控制规则中的所有其他条件匹配,但
是识别未完成,则访问控制规则允许数据包通过。此行为允许建立连接,以便可以识别 URL。为方
便起见,受影响规则以信息图标 (
生。如果第一批数据包中的其中之一与包含 URL 条件的访问控制规则中的所有其他条件匹配,但
是识别未完成,则访问控制规则允许数据包通过。此行为允许建立连接,以便可以识别 URL。为方
便起见,受影响规则以信息图标 (
) 标记。
允许的数据包通过访问控制策略的
默认入侵策略(既不是默认操作入侵策略也不是近乎匹配规则的
入侵策略)进行检查。有关详细信息,请参阅
在系统完成其识别后,系统会将访问控制规则操作以及任何关联入侵与文件策略应用于与其 URL
条件匹配的剩余会话流量。
条件匹配的剩余会话流量。
处理加密网络流量
在使用具有 URL 条件的访问控制规则评估加密网络流量时,系统:
•
忽略加密协议;如果访问控制规则具有 URL 条件但不具有指定该协议的应用条件,则该规则
与 HTTPS 和 HTTP 流量均匹配
与 HTTPS 和 HTTP 流量均匹配
•
根据用于加密流量的公钥证书中的主题公用名与 HTTPS 流量匹配,并且忽略主题公用名中的
子域
子域
•
不显示 HTTP 响应页面,即使已配置该页面也如此
HTTP 响应页面
当网络流量在以下情况下时,不会显示 HTTP 响应页面: