Cisco Cisco Identity Services Engine 1.3 디자인 가이드

第

106 页

安全访问操作指南

例外和

NMAP 操作

匹配的规则的另两个可能的操作包括执行网络扫描操作和执行例外操作。执行网络扫描操作将允许策略服务
节点依据

Network Scan (NMAP) Action 字段的设置对终端触发 NMAP 扫描。

章节详细介绍了此功能。

执行例外操作允许

ISE 根据 Exception Action 字段的设置，将终端静态分配至某个策略。

绍了此功能。

只有在终端与策略匹配并且匹配指定条件的情况下，才会同时触发这两项操作。如果条件匹配，但终端与配
置文件策略不匹配，则不执行操作。

另请注意，也可能匹配策略中的多个规则，导致执行多项操作。例如，其可能匹配一条规则，使得

CF 值增

加

10，并且在也匹配该策略的前提下，还与执行例外操作或执行网络扫描操作等另一个规则匹配。

配置自定义（用户定义）分析策略

步骤

1 在此程序中，将使用之前配置的条件，为实验室 APC UPS 设备创建一个自定义分析策略。

步骤

2 转至 Policy  Profiling。从右侧窗格菜单点击 Add。

步骤

3 输入配置文件名称 APC-UPS。

步骤

4 输入说明 Custom profile for APC UPS Network Management module。与 APC 自定义条件的说明

相似，可以通过使用关键字

Custom，根据此字符串对所有用户定义策略进行简单过滤。

步骤

5 使 Minimum Certainty Factor 保留默认值 10。

步骤

6 选择单选按钮 Use Hierarchy，而不要选择默认设置 Create Matching Identity Group。

步骤

7 在 Rules 下，点击 Condition 旁边的

符号，然后选择 Select Existing Condition from Library。

步骤

8 在 Condition Name  Select Condition 下，选择 APC-OUICheck。

注：也可以首先创建

Profiling Condition，然后在单独任务中创建 Profiling Condition，而且还可以使用选项

Create New Condition (Advanced Option) 从 Profiling Policy 本身内创建新条件。创建之后，新条件在策略规则
中将显示为已命名条件。

步骤

9 保留默认规则操作 Certainty Value Increases，其值为 10（图 80）。