Cisco Cisco Firepower Management Center 4000 Guía Del Usuario
14-6
FireSIGHT 系统用户指南
第 14 章 使用访问控制规则调整流量
创建和编辑访问控制规则
请注意,虽然可使用任意许可证创建访问控制规则,但某些规则条件需要您先启用访问控制策略
目标设备上的特定许可功能,然后才可以应用策略。有关详细信息,请参阅
目标设备上的特定许可功能,然后才可以应用策略。有关详细信息,请参阅
使用规则操作确定流量处理和检查
许可证:任何环境
每个访问控制规则具有为匹配的流量确定以下内容的
操作:
•
处理 — 首先,规则操作管理系统是否会监控、信任、阻止或允许匹配规则条件的流量
•
检查 - 利用某些规则操作,可以在正确许可的条件下通过进一步检查匹配的流量,然后才允
许流量通过
许流量通过
•
日志记录 - 该规则操作确定何时以及如何记录有关匹配的流量的详细信息
访问控制策略的
默认操作处理不满足任何非“监控”访问控制规则条件的流量;请参阅
请记住,只有内联部署的设备才可以阻止或修改流量。被动部署或在轻触模式下部署的设备可以
分析和记录,但是不影响流量。有关规则操作的详细信息以及规则操作如何影响流量处理、检查
和日志记录,请参阅以下各节:
分析和记录,但是不影响流量。有关规则操作的详细信息以及规则操作如何影响流量处理、检查
和日志记录,请参阅以下各节:
•
•
•
•
•
•
•
•
Ports
按照其源端口或目标端口
对于 TCP 和 UDP 而言,您可以基于传输层协议控制流量。对于
ICMP 和 ICMPv6 (IPv6-ICMP) 而言,您可以基于其互联网层协议加
上可选类型和代码控制流量。您还可以利用未使用端口的其他协议,
使用端口状态来控制流量。要构建端口条件,请参阅
ICMP 和 ICMPv6 (IPv6-ICMP) 而言,您可以基于其互联网层协议加
上可选类型和代码控制流量。您还可以利用未使用端口的其他协议,
使用端口状态来控制流量。要构建端口条件,请参阅
。
Applications
按照会话中检测到的应用
您可以控制对单个应用的访问,或根据基本特征过滤访问:键入、
风险、业务相关性、类别和标记 。要构建应用条件,请参阅
风险、业务相关性、类别和标记 。要构建应用条件,请参阅
。
URLs
按照会话中请求的 URL
您可以限制网络中的用户可以单独访问或基于 URL 的一般分类和风
险水平进行访问的网站
险水平进行访问的网站
。要构建 URL 条件,请参阅
。
Users
按照会话中涉及的用户
根据登录受监控会话所涉及的主机的 LDAP 用户,可以控制流量。可
以根据从 Microsoft Active Directory 服务器检索的单个用户或组控制流
量。要构建用户条件,请参阅
以根据从 Microsoft Active Directory 服务器检索的单个用户或组控制流
量。要构建用户条件,请参阅
。
表
14-1
访问控制规则条件类型 (续)
这些条件......
匹配流量......
详细信息