步骤 1

选择设备，然后点击智能许可证组中的查看配置。

步骤 2

如果连接其他接口，请选择设备，然后点击接口摘要中的链接，然后点击接口类型以查看接口列表。

点击每个接口的编辑图标 ()，定义 IP 地址和其他设置。

以下示例将一个接口配置为“隔离区”(DMZ)，可以将可公开访问的资产（例如 Web 服务器）放在该区域中。完成后点击保存 (Save)。

步骤 3

如果已配置新接口，请选择对象 (Objects)，然后从目录中选择安全区域 (Security Zones)。

根据需要编辑或创建新区域。每个接口都必须属于一个区域，因为需要根据安全区域而不是接口来配置策略。配置接口时不能将其放在区域中，因此每当创建新接口或更改现有接口的用途之后，都必须编辑区域对象。

以下示例显示如何为 DMZ 接口创建一个新的 DMZ 区域。

步骤 4

如果希望内部客户端使用 DHCP 从设备中获取 IP 地址，请选择设备，然后依次选择系统设置 > DHCP 服务器。选择 DHCP 服务器选项卡。

内部接口已配置了 DHCP 服务器，但可以编辑地址池或甚至将其删除。如果配置了其他内部接口，则在这些接口上设置 DHCP 服务器是非常典型的做法。点击 +，为每个内部接口配置服务器和地址池。

此外，还可以在配置选项卡中对为客户端提供的 WINS 和 DNS 列表进行微调。

以下示例显示如何在 inside2 接口（地址池为 192.168.4.50-192.168.4.240）上设置 DHCP 服务器。

步骤 5

选择设备，然后点击路由组中的查看配置，并配置默认路由。

默认路由通常指向位于外部接口之外的上游或 ISP 路由器。默认的 IPv4 路由适用于 any-ipv4 (0.0.0.0/0)，而默认的 IPv6 路由适用于 any-ipv6 (::0/0)。为所使用的每个 IP 版本创建路由。如果使用 DHCP 获取外部接口的地址，则可能已经拥有所需的默认路由。

此页面上定义的路由仅适用于数据接口，而不会影响管理接口。在系统设置 > 管理接口上设置管理网关。

以下示例显示 IPv4 的默认路由。在此示例中，isp-gateway 是用于标识 ISP 网关 IP 地址的网络对象（必须从 ISP 中获取地址）。可以通过点击网关 (Gateway) 下拉菜单底部的创建新网络 (Create New Network)，来创建该对象。

步骤 6

选择策略 (Policies)，并为网络配置安全策略。

设备安装向导设置允许内部区域与外部区域之间存在流量流动，并对所有接口上流向外部接口的流量启用网络地址转换 (NAT)。即使配置了新接口，如果将其添加到内部区域对象中，访问控制规则也将自动应用于这些接口。

但是，如果有多个内部接口，则需要一条访问控制规则来允许内部区域之间的流量。如要添加其他安全区域，则需要规则来允许这些区域之间的流量。这是您需要进行的最低限度的更改。

此外，您还可配置其他策略以提供附加服务，并对 NAT 和访问规则进行精细调整，以实现组织需要的结果。您可以配置以下策略：

• SSL 解密 (SSL Decryption) - 如果要检查加密连接（例如 HTTPS）是否存在入侵、恶意软件等，则必须解密连接。使用 SSL 解密策略确定需要解密的连接。系统检查连接后，会将其重新加密。

• 身份 (Identity) - 如果要将网络活动与各个用户相关联，或根据用户或用户组成员身份控制网络访问，请使用身份策略确定与给定源 IP 地址关联的用户。

• 安全智能 - 使用安全智能策略快速丢弃进出选定 IP 地址或 URL 的连接。阻止已知恶意站点后，在访问控制策略中便无需考虑这些站点。思科提供定期更新的已知恶意地址和 URL 源，可使安全智能阻止列表实现动态更新。使用智能源，无需通过编辑策略来添加或删除阻止列表中的项目。

• NAT（网络地址转换）- 使用 NAT 策略将内部 IP 地址转换为外部可路由地址。

• 访问控制 (Access Control) - 使用访问控制策略确定网络上允许的连接。您可以按安全区域、IP 地址、协议、端口、应用、URL、用户或用户组进行过滤。您还可以使用访问控制规则来应用入侵策略和文件（恶意软件）策略。使用此策略实施 URL 过滤。

• 入侵 (Intrusion) - 使用入侵策略检测已知威胁。即使使用访问控制规则应用入侵策略，也仍可以编辑入侵策略，以选择性地启用或禁用特定的入侵规则。

以下示例显示如何在访问控制策略中允许内部区域与 DMZ 区域之间的流量。在此示例中，任何其他选项卡上均未设置任何选项，日志记录 (Logging) 除外，其中在连接结束时 (At End of Connection) 选项已被选中。

步骤 7

确认您的更改。

1. 点击网页右上角的部署更改图标。

   

2. 点击立即部署按钮。

   您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 1

要了解用户行为，您需要配置身份策略以确保可以识别与连接关联的用户。

1. 在主菜单中点击策略，然后点击身份。

   身份策略最初处于禁用状态。使用主动身份验证时，身份策略使用您的 Active Directory 服务器对用户进行身份验证，并将他们与其使用的工作站的 IP 地址关联。随后，系统会将该 IP 地址的流量标识为该用户的流量。

2. 点击启用身份策略。

3. 点击创建身份规则按钮或 + 按钮，创建规则以要求进行主动身份验证。

   在本示例中，我们假设您要对每个用户都执行身份验证。

4. 为规则输入名称，可以是您选择的任何内容，例如 Require_Authentication。

5. 在源/目标选项卡上，保留默认设置，此设置应用于任何条件。

   您可以根据需要将该策略限制为更具体的流量集。但是，主动身份验证仅适用于 HTTP 流量，因此非 HTTP 流量与源/目标条件匹配并不重要。有关身份策略属性的详细信息，请参阅配置身份规则

6. 对于操作，请选择主动身份验证。

   假设您尚未配置身份策略设置，由于存在一些未定义的设置，系统将打开“身份策略配置”对话框。

7. 配置主动身份验证所需的强制网络门户和 SSL 解密设置。

   如果身份规则要求对用户进行主动身份验证，则该用户将被重定向到强制网络门户端口，然后系统会提示他们进行身份验证。强制网络门户需要使用 SSL 解密规则，系统将自动生成这些规则，但您必须选择要用于 SSL 解密规则的证书。

   • 服务器证书 - 选择在主动身份验证期间提供给用户的内部证书。您可以选择预定义的自签名 DefaultInternalCertificate，也可以点击创建新的内部证书并上传您的浏览器已信任的证书。

     如果用户不上传其浏览器已经信任的证书，则必须接受该证书。

   • 重定向到主机名 - 选择定义接口的完全限定主机名的网络对象，该接口应用作主动身份验证请求的强制网络门户。如果该对象尚不存在，请点击创建新网络。

     FQDN 必须解析为设备上接口之一的 IP 地址。通过使用 FQDN，您可以为客户端将识别的主动身份验证分配证书，从而避免用户在被重定向到 IP 地址时收到不受信任证书警告。证书可以在证书的使用者备选名称 (SAN) 中指定 FQDN、通配符 FQDN 或多个 FQDN。

     如果身份规则要求对用户进行主动身份验证，但您未指定重定向 FQDN，则用户将被重定向到他们连接的接口上的强制网络门户端口。

   • 端口 - 强制网络门户端口。默认端口是 885 (TCP)。如果配置了其他端口，则该端口必须在 1025-65535 的范围内。

   • 解密重签名证书 - 选择内部 CA 证书，以用于使用重签名证书实施解密的规则。您可以使用预定义的 NGFW-Default-InternalCA 证书（默认证书），也可以使用创建或上传的证书。如果尚无证书，请点击创建内部 CA 进行创建。（仅当您尚未启用 SSL 解密策略时，系统才会提示您提供解密重签名证书。）

     如果尚未在客户端浏览器中安装证书，请点击下载按钮 () 获取副本。有关如何安装证书的信息，请参阅各浏览器文档。另请参阅为解密重签名规则下载 CA 证书。

   示例:

   “身份策略配置”对话框现在应如下所示。

   
   

   

   
   

8. 点击保存以保存主动身份验证设置。

   “主动身份验证”选项卡现在显示在“操作”设置下方。

9. 在主动身份验证选项卡上，选择 HTTP 协商。

   此选项允许浏览器和目录服务器按顺序协商最安全的身份验证协议，先是 NTLM，然后是 HTTP 基本验证。

   注

   如果您不提供重定向到主机名 FQDN，HTTP Basic、HTTP 响应页面和 NTLM 身份验证方法会使用接口的 IP 地址将用户重定向到强制网络门户。但对于 HTTP 协商，用户将使用完全限定 DNS 名称 firewall-hostname.AD-domain-name 进行重定向。如果您想在不提供重定向到主机名 FQDN 的情况下使用 HTTP 协商，还必须更新 DNS 服务器以将此名称映射到您需要进行主动身份验证的所有内部接口的 IP 地址。否则，将无法进行重定向，用户也无法进行身份验证。建议您始终提供重定向到主机名 FQDN 以确保行为一致，而无论采用哪种身份验证方法。 如果无法或不想更新 DNS 服务器，请选择其他某种身份验证方法。

10. 对于 AD 身份源，请点击创建新身份领域。

    如果您已创建领域服务器对象，只需选中它并跳过配置服务器的步骤。

    填写以下字段，然后点击确定 (OK)。

    • 名称 - 目录领域的名称。

    • 类型 - 目录服务器的类型。Active Directory 是唯一支持的类型，所以无法更改此字段。

    • 目录用户名、目录密码 - 用户的标识名称和密码，该用户具备访问您要检索的用户信息的适当权限。对于 Active Directory，用户不需要更高的权限。您可以在域中指定任何用户。用户名必须是完全限定的；例如，Administrator@example.com（而不仅仅是 Administrator）。

      注	系统使用此信息生成 ldap-login-dn 和 ldap-login-password。例如，Administrator@example.com 被转换为 cn=adminisntrator、cn=users、dc=example、dc=com。请注意，cn = users 始终是此转换的一部分，因此您必须在公用名“users”文件夹下配置此处指定的用户。

    • 基准 DN - 用于搜索或查询用户和组信息的目录树，即用户和组的公共父项。例如 dc=example,dc=com。有关查找基准 DN 的信息，请参阅确定目录基准标识名。

    • AD 主域 - 设备应加入的 Active Directory 完全限定域名。例如 example.com。

    • 主机名/IP 地址 - 目录服务器的主机名或 IP 地址。如果以加密方式连接到服务器，则必须输入完全限定域名，而非 IP 地址。

    • 端口 - 用于与服务器通信的端口号。默认值为 389。如果选择 LDAPS 作为加密方法，请使用端口 636。

    • 加密 - 要使用加密连接下载用户和组信息，请选择所需的方法 STARTTLS 或 LDAPS。系统默认为无，也就是说以明文形式下载用户和组信息。

      • STARTTLS 将会协商加密方法，并使用目录服务器支持的最强方法。使用端口 389。如果将领域用于远程访问 VPN，则不支持此选项。

      • LDAPS 需要基于 SSL 的 LDAP。使用端口 636。

    • 受信任的 CA 证书 - 如果选择加密方法，请上传证书颁发机构 (CA) 证书以便在系统和目录服务器之间启用受信任的连接。如果要使用证书进行身份验证，则证书中的服务器名称必须与服务器主机名/IP 地址匹配。例如，如果使用 10.10.10.250 作为 IP 地址，但证书中的地址为 ad.example.com，则连接失败。

    示例:

    例如，下图显示了如何为 ad.example.com 服务器创建未加密的连接。主域为 example.com，目录用户名为 Administrator@ad.example.com。所有用户和组信息均位于标识名 (DN) ou=user,dc=example,dc=com 的下方。

    
    

    

    
    

11. 对于 AD 身份源，请选择您刚刚创建的对象。

    规则应类似于以下内容：

    
    

    

    
    

12. 点击确定以添加规则。

    如果查看窗口的右上角，可以看到部署图标现在带有一个圆点，表示存在未部署的更改。在用户界面进行更改还不足以获取在设备上配置的更改，还必须部署更改。因此，您可以执行一组相关更改，然后再部署它们，这样就不会出现仅在设备上配置了部分更改的情况。部署更改在此程序的后面步骤执行。

    
    

    

    
    

步骤 2

将 Inside_Outside_Rule 访问控制规则上的操作更改为允许。

1. 点击策略 (Policies)页面上的访问控制 (Access Control)。

2. 将鼠标悬停在 Inside_Outside_Rule 行右侧的操作单元格上将显示编辑和删除图标，然后点击编辑图标 () 以打开该规则。

3. 在操作下选择允许。

   
   

   

   
   

4. 点击确定以保存更改。

步骤 3

基于访问控制策略默认操作启用日志记录。

1. 点击访问控制策略页面底部默认操作的任意位置。

   
   

   

   
   

2. 选择选择日志操作 > 连接开始和结束时。

3. 点击确定 (OK)。

步骤 4

设置漏洞数据库 (VDB) 的更新计划。

1. 点击设备。

2. 点击“更新”组中的查看配置。

   
   

   

   
   

3. 点击 VDB 组中的配置。

   
   

   

   
   

4. 定义更新计划。

   选择不会影响网络的时间和频率。另外，请注意系统在下载更新后会自动执行部署。激活新的检测器需要执行此操作。因此，也会部署您已进行和保存，但尚未部署的任何配置更改。

   例如，以下计划会在每周星期日上午 12:00（使用 24 小时制表示法）更新一次 VDB。

   
   

   

   
   

5. 点击保存 (Save)。

步骤 5

确认您的更改。

1. 点击网页右上角的部署更改图标。

   

2. 点击立即部署按钮。

   您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 1

如果尚未启用，请启用IPS 许可证。

1. 点击设备。

2. 点击“智能许可证”组中的查看配置。

   
   

   

   
   

3. 点击IPS 组中的启用 (Enable)。

   系统会将该许可证注册到您的账户，或激活相应的评估许可证。该组应指示许可证已启用，且按钮将改为显示“禁用”。

步骤 2

针对一个或多个访问规则选择入侵策略。

1. 在主菜单中点击策略。

   确保系统显示访问控制策略。

2. 将鼠标悬停在 Inside_Outside_Rule 行右侧的操作单元格上将显示编辑和删除图标，然后点击编辑图标 () 以打开该规则。

3. 如果尚未针对操作选择允许，请进行此选择。

   
   

   

   
   

4. 点击入侵策略选项卡。

5. 点击入侵策略开关启用该选项，然后选择入侵策略。

   对于大多数网络，合适的策略是平衡安全和连接策略。它提供良好的入侵防御，而不会过度激进，有可能会丢弃可能不想被丢弃的流量。如果您确定要丢弃很多流量，可以选择连接优先于安全以放宽策略。

   如果您需要积极关注安全性，请尝试安全优先于连接策略。最大检测策略更加重视网络基础设施的安全性，有可能对操作造成更大的影响。

   
   

   

   
   

6. 点击确定以保存更改。

步骤 3

（可选。）转到策略 > 入侵，点击齿轮图标，然后为入侵策略配置系统日志服务器。

步骤 4

设置入侵规则数据库的更新计划。

1. 点击设备。

2. 点击“更新”组中的查看配置。

   
   

   

   
   

3. 点击“规则”组中的配置。

   
   

   

   
   

4. 定义更新计划。

   选择不会影响网络的时间和频率。另外，请注意系统在下载更新后会自动执行部署。激活新规则需要执行此操作。因此，也会部署您已进行和保存，但尚未部署的任何配置更改。

   例如，以下计划会在每周星期一上午 12:00（使用 24 小时制表示法）更新一次规则数据库。

   
   

   

   
   

5. 点击保存 (Save)。

步骤 5

配置安全智能策略预先丢弃主机和站点已知不良的连接。

1. 点击设备，然后点击更新组中的查看配置。

2. 点击安全智能源组中的立即更新。

3. 此外，点击配置为源设置定期更新。默认情况下，每小时适合大多数网络，但如有必要，可以降低频率。

4. 点击策略，然后点击安全智能策略。

5. 点击启用安全智能（如果尚未启用该策略）。

6. 在网络选项卡上，点击阻止/丢弃列表下的 +，并选择网络源选项卡上的所有源。您可以点击源旁边的 i 按钮，阅读每个源的说明。

   如果您看到指出尚不存在任何源的消息，请稍后重试。源下载尚未完成。如果此问题仍然存在，请确保管理 IP 地址和互联网之间存在路径。

7. 点击确定添加选定的源。

   如果您知道存在其他不良 IP 地址，可以依次点击 + > 网络对象，添加包含这些地址的对象。您可以点击列表底部的创建新网络对象立即添加这些对象。

8. 点击 URL 选项卡，然后依次点击阻止/丢弃列表中的 + > URL 源，选择所有 URL 源。点击确定以将其添加到列表中。

   与网络列表类似，您可以将自己的 URL 对象添加到该列表中，以阻止源中不存在的其他站点。依次点击 + > URL 对象。您可以通过点击列表末尾的创建新 URL 对象添加新对象。

9. 点击齿轮图标，并启用连接事件日志记录，以便策略能够为匹配的连接生成安全智能事件。点击确定，保存更改。

   如果您不启用连接日志记录，您将没有数据来评估策略的表现是否达到预期。如果定义了外部系统日志服务器，现在即可选择此服务器，以便将事件同时发送到该服务器上。

   
   

   

   
   

10. 根据需要，您可以在每个选项卡的不阻止列表中添加网络或 URL 对象，创建阻止列表例外。

    不阻止列表不是真正的“允许”列表。它们是例外列表。如果例外列表中的地址或 URL 也出现在阻止列表中，系统允许该地址或 URL 的连接传递到访问控制策略。通过这种方式，您可以阻止源，但如果您后期发现所需的地址或站点被阻止，可以使用例外列表来覆盖阻止，而不需要彻底删除源。注意，这些连接随后由访问控制和入侵策略（如果已配置）评估。因此，如果任何连接包含威胁，这些连接将在入侵检查过程中被识别和阻止。

    使用“访问和 SI 规则”控制面板和事件查看器中的“安全智能”视图，判断哪些流量实际上被策略丢弃，以及您是否需要在不阻止列表中添加地址或 URL。

步骤 6

确认您的更改。

1. 点击网页右上角的部署更改图标。

   

2. 点击立即部署按钮。

   您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 1

如果尚未启用，请启用恶意软件防御和IPS 许可证。

1. 点击设备。

2. 点击“智能许可证”组中的查看配置。

   
   

   

   
   

3. 如果尚未启用，请在恶意软件防御组中点击启用 (Enable)，如果已经启用，则在IPS 组中点击。

   系统会将该许可证注册到您的账户，或激活相应的评估许可证。该组应指示许可证已启用，且按钮将改为显示“禁用”。

步骤 2

针对一个或多个访问规则选择文件策略。

1. 在主菜单中点击策略。

   确保系统显示访问控制策略。

2. 将鼠标悬停在 Inside_Outside_Rule 行右侧的操作单元格上将显示编辑和删除图标，然后点击编辑图标 () 以打开该规则。

3. 如果尚未针对操作选择允许，请进行此选择。

   
   

   

   
   

4. 点击文件策略选项卡。

5. 点击要使用的文件策略。

   您的主要选择为阻止所有恶意软件 或全部执行云查找，前者将丢弃被视为恶意软件的任何文件，后者将查询 Cisco Secure Malware Analytics 云 以确定文件处置，但不执行阻止。如果您想先查看文件评估的方式，请使用云查找。如果对文件的评估方式感到满意，稍后可以切换到阻止策略。

   使用其他策略也可以阻止恶意软件。这些策略搭配文件控制，可阻止上传 Microsoft Office（或 Office）和 PDF 文档。也就是说，除了阻止恶意软件，这些策略还可阻止用户向其他网络发送这些类型的文件。如果它们符合您的需求，您可以选择这些策略。

   对于本示例，请选择阻止所有恶意软件。

   

   
   

   

   
   

6. 点击日志记录选项卡，并确认是否已选中“文件事件”下的日志文件。

   默认情况下，无论何时选择文件策略，文件日志记录均已启用。只有启用文件日志记录，才能获得事件和控制面板中的文件和恶意软件信息。

   
   

   

   
   

7. 点击确定以保存更改。

步骤 3

确认您的更改。

1. 点击网页右上角的部署更改图标。

   

2. 点击立即部署按钮。

   您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 1

如果尚未执行此操作，请启用 URL 许可证。

1. 点击设备。

2. 点击“智能许可证”组中的查看配置。

   
   

   

   
   

3. 点击 URL 组中的启用 (Enable)。

   系统会将该许可证注册到您的账户，或激活相应的评估许可证。该组应指示许可证已启用，且按钮将改为显示“禁用”。

步骤 2

创建 URL 过滤访问控制规则。

1. 在主菜单中点击策略。

   确保系统显示访问控制策略。

2. 点击 + 可添加新规则。

3. 配置顺序、标题和操作。

   • 顺序 - 默认将新规则添加到访问控制策略的末尾。但是，您必须将此规则放在符合相同源/目的及其他条件的任何规则之前（上方），否则该规则将无法获得匹配（一个连接仅匹配一条规则，即该规则是连接在表中匹配的第一条规则）。对于该规则，我们将使用与初始设备配置期间创建的 Inside_Outside_Rule 相同的源/目的。您可能也已经创建了其他规则。为了最大限度地提高访问控制效率，最好是尽早设置特定规则，以确保快速决定允许还是丢弃某个连接。对于此示例，请选择 1 作为规则顺序。

   • 标题 - 为该规则指定一个有意义的名称，例如 Block_Web_Sites。

   • 操作 - 选择阻止。

   
   

   

   
   

4. 在源/目的 (Source/Destination) 选项卡上，点击 + 以打开源 (Source) > 区域 (Zones)，然后选择 inside_zone，再在区域对话框中点击确定 (OK)。

   添加任何条件的方式与此相同。点击 + 打开一个小对话框，从中点击您要添加的项目。可以点击多个项目，点击已选项目将取消选择该项目（选中标记表示所选项目）。选择项目后，点击确定按钮才能将它们添加到策略中，只是选中项目并不能将项目添加到策略中。

   
   

   

   
   

5. 按照相同的方法，为目的 > 区域选择 outside_zone。

   
   

   

   
   

6. 点击 URL 选项卡。

7. 点击类别的 +，然后选择要完全或部分阻止的类别。

   在本示例中，请选择僵尸网络、恶意网站、恶意软件站点和社交网络。您可能还希望阻止其他类别。如果您知道要阻止的站点，但不确定类别，请在待检查 URL 字段输入 URL，然后点击前往。您将转至显示查询结果的网站。

   
   

   

   
   

8. 要对“社交网络”类别按信誉敏感性实施阻止，请点击该类别的信誉：任何风险，取消选择 任何，然后将滑块移到可疑。点击远离滑块的位置将其关闭。

   
   

   

   
   

   信誉滑块的左侧指示要允许的站点，右侧是要阻止的站点。在这种情况下，只会阻止信誉属于“可疑”和“不受信任”范围的社交网站。因此，您的用户应该能够访问风险较低的常用社交网站。

   选择包含信誉未知的站点选项，可使具有未知信誉的 URL 包括在信誉匹配项中。新站点通常未评级，并且站点的信誉可能会由于其他原因而未知或无法确定。

   使用信誉，您可以选择性地阻止要允许的某个类别内的某些站点。

9. 点击类别列表左侧 URL 列表旁边的 +。

10. 在弹出对话框的底部，点击创建新 URL 链接。

11. 对于名称和 URL，请输入 badsite.example.com，然后点击确定以创建对象。

    您可以为该对象指定与 URL 相同的名称，也可以为其指定不同的名称。对于 URL，请勿包含 URL 的协议部分，只添加服务器名称。

    
    

    

    
    

12. 选择该新对象，然后点击确定 (OK)。

    在编辑策略时添加该新对象，即可方便地将该对象添加到列表中。新对象不会自动选中。

    
    

    

    
    

13. 点击日志记录选项卡，然后依次选择选择日志操作 > 连接开始和结束时。

    只有启用日志记录才能将类别和信誉信息记入 Web 类别控制面板和连接事件。

14. 点击确定以保存该规则。

步骤 3

（可选。）设置 URL 过滤的首选项。

1. 点击设备。

2. 依次点击系统设置 > 流量设置 > URL 过滤首选项。

3. 在 URL 查询源下，选择建议的选项： 本地数据库和 Cisco 云。

   如果安装的 URL 数据库没有进行站点分类，Cisco 云可能会进行分类。云返回类别和信誉，基于类别的规则随后可以正确应用至 URL 请求。对因内存限制而安装较小 URL 数据库的低端系统而言，选择此选项非常重要。

   或者，您可以将查找限制为本地数据库或 Cisco 云。

4. 选择合理的 URL 生存时间，例如 24 小时。

5. 点击保存 (Save)。

步骤 4

确认您的更改。

1. 点击网页右上角的部署更改图标。

   

2. 点击立即部署按钮。

   您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 1

创建基于应用的访问控制规则。

1. 在主菜单中点击策略。

   确保系统显示访问控制策略。

2. 点击 + 可添加新规则。

3. 配置顺序、标题和操作。

   • 顺序 - 默认将新规则添加到访问控制策略的末尾。但是，您必须将此规则放在符合相同源/目的及其他条件的任何规则之前（上方），否则该规则将无法获得匹配（一个连接仅匹配一条规则，即该规则是连接在表中匹配的第一条规则）。对于该规则，我们将使用与初始设备配置期间创建的 Inside_Outside_Rule 相同的源/目的。您可能也已经创建了其他规则。为了最大限度地提高访问控制效率，最好是尽早设置特定规则，以确保快速决定允许还是丢弃某个连接。对于此示例，请选择 1 作为规则顺序。

   • 标题 - 为该规则指定一个有意义的名称，例如 Block_Anonymizers。

   • 操作 - 选择阻止。

   
   

   

   
   

4. 在源/目的 (Source/Destination) 选项卡上，点击 + 以打开源 (Source) > 区域 (Zones)，然后选择 inside_zone，再在区域对话框中点击确定 (OK)。

   
   

   

   
   

5. 按照相同的方法，为目的 > 区域选择 outside_zone。

   
   

   

   
   

6. 点击应用选项卡。

7. 针对应用点击 +，然后点击弹出对话框底部的高级过滤器链接。

   虽然可以事先创建应用过滤器对象，再在此处从“应用过滤器”列表中选择它们，但也可以直接在访问控制规则中指定条件，再选择将该条件另存为过滤器对象。除非为单个应用写入规则，否则使用“高级过滤器”对话框查找应用和构建适当的条件更方便。

   在选择条件时，对话框底部的“应用”列表将准确显示符合条件的应用。您要编写的规则将应用到这些应用中。

   仔细查看此列表。例如，您可能会希望阻止风险极高的所有应用。但是，截至本文撰写之时，TFPT 被归为风险极高类别。而大多数组织不想阻止该应用。请花些时间测试各种过滤条件，以查看哪些应用符合您的选择。请注意，这些列表可能随着每次 VDB 更新而变化。

   在本例中，从“类别”列表中选择“匿名程序/代理”。

   
   

   

   
   

8. 在“高级过滤器”对话框中点击 添加 (Add)。

   “应用”选项卡中将添加并显示该过滤器。

   
   

   

   
   

9. 点击日志记录选项卡，然后依次选择选择日志操作 > 连接开始和结束时。

   您必须启用日志记录选项卡才能获取与此规则阻止的任何连接相关的信息。

10. 点击确定以保存该规则。

步骤 2

确认您的更改。

1. 点击网页右上角的部署更改图标。

   

2. 点击立即部署按钮。

   您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 3

点击监控并评估结果。

步骤 1

配置接口。

1. 点击设备，点击接口摘要中的链接，然后点击接口类型以查看接口列表。

2. 将鼠标悬停在您连线的接口行右侧的操作单元格上方，然后点击编辑图标 ()。

3. 配置基本接口属性。

   • 名称 - 接口的名称。在本例中为 inside_2。

   • 模式 - 选择路由。

   • 状态 - 点击状态开关启用该接口。

   • IPv4 地址选项卡 - 针对类型选择静态，然后输入 192.168.2.1/24。

   
   

   

   
   

4. 点击保存 (Save)。

   接口列表将显示更新的接口状态和配置的 IP 地址。

   
   

   

   
   

步骤 2

针对该接口配置 DHCP 服务器。

1. 点击设备。

2. 点击系统设置 > DHCP 服务器。

3. 点击 DHCP 服务器选项卡。

   下表列出了所有现有 DHCP 服务器。如果使用默认配置，列表中包含内部接口的一个 DHCP 服务器。

4. 点击表格上方的 +。

5. 配置服务器属性。

   • 启用 DHCP 服务器 - 点击此开关启用该服务器。

   • 接口 - 选择您提供 DHCP 服务所使用的接口。在本例中，选择 inside_2。

   • 地址池 - 服务器可以为网络中设备提供的地址。输入 192.168.2.2-192.168.2.254。确保未包含网络地址 (.0)、接口地址 (.1) 或广播地址 (.255)。另外，如果网络中的任何设备需要使用静态地址，请从池中排除这些地址。池必须是一系列连续地址，所以请从该范围的开头或末尾选择静态地址。

   
   

   

   
   

6. 点击 添加 (Add)。

   
   

   

   
   

步骤 3

将该接口添加到内部安全区。

1. 在主菜单中点击对象。

2. 从对象目录中选择安全区。

3. 将鼠标悬停在 inside_zone 对象行右侧的操作单元格上方，然后点击编辑图标 ()。

4. 点击接口下的 +，选择 inside_2 接口，然后点击接口列表中的确定。

   
   

   

   
   

5. 点击保存 (Save)。

   
   

   

   
   

步骤 4

创建一条允许在内部网络之间传输流量的访问控制规则。

1. 在主菜单中点击策略。

   确保系统显示访问控制策略。

2. 点击 + 可添加新规则。

3. 配置顺序、标题和操作。

   • 顺序 - 默认将新规则添加到访问控制策略的末尾。但是，您必须将此规则放在符合相同源/目的及其他条件的任何规则之前（上方），否则该规则将无法获得匹配（一个连接仅匹配一条规则，即该规则是连接在表中匹配的第一条规则）。对于该规则，我们将使用唯一“源/目的”条件，所以可以将该规则添加到列表的末尾。

   • 标题 - 为该规则指定一个有意义的名称，例如 Allow_Inside_Inside。

   • 操作 - 选择允许。

   
   

   

   
   

4. 在源/目的 (Source/Destination) 选项卡上，点击 + 以打开源 (Source) > 区域 (Zones)，然后选择 inside_zone，再在区域对话框中点击确定 (OK)。

   
   

   

   
   

5. 按照相同的方法，为目的 > 区域选择 inside_zone。

   安全区必须至少包含两个接口，以便为源和目标选择同一区域。

   
   

   

   
   

6. （可选。）配置入侵和恶意软件检测。

   虽然内部接口位于受信任区域，但用户通常会将笔记本电脑连接到网络。因此，用户可能不知道会将外部网络或 Wi-Fi 热点的威胁带入网络内部。因此，您可能希望扫描内部网络之间的流量中是否存在入侵和恶意软件。

   请考虑执行以下操作。

   • 点击入侵策略选项卡，启用入侵策略，并使用滑块选择“平衡安全和连接”策略。

   • 点击文件策略选项卡，然后选择“阻止所有恶意软件”策略。

7. 点击日志记录选项卡，然后依次选择选择日志操作 > 连接开始和结束时。

   只有启用日志记录，才能获得符合该规则的任何连接的相关信息。日志记录会向控制面板中添加统计信息，并会显示事件查看器中的事件。

8. 点击确定以保存该规则。

步骤 5

确认是否已为新子网定义所需的策略。

步骤 6

确认您的更改。

1. 点击网页右上角的部署更改图标。

   

2. 点击立即部署按钮。

   您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 1

将交换机端口配置为 SPAN（交换端口分析器）端口，并为源接口配置监控会话。

switch(config)# interface Ethernet1/48 
switch(config-if)# switchport monitor 
switch(config-if)# exit 
switch(config)# monitor session 1 
switch(config-monitor)# source interface ethernet 1/7 
switch(config-monitor)# source interface ethernet 1/8 
switch(config-monitor)# destination interface ethernet 1/48 
switch(config-monitor)# no shut 

switch# show monitor session 1 brief 
   session 1
---------------
type              : local
state             : up
source intf       :
    rx            : Eth1/7        Eth1/8
    tx            : Eth1/7        Eth1/8
    both          : Eth1/7        Eth1/8
source VSANs      :
destination ports : Eth1/48

Legend: f = forwarding enabled, l = learning enabled

步骤 2

将 威胁防御接口连接到交换机的 SPAN 端口。

步骤 3

将 威胁防御接口配置为被动模式。

1. 点击设备，然后点击接口摘要中的链接，再点击接口或 EtherChannel。

2. 点击要编辑的物理接口或 EtherChannel 的编辑图标 ()。

   选择当前未使用的接口。如果您要将使用中的接口转换为被动接口，需要先从任何安全区中删除该接口，并删除使用该接口的所有其他配置。

3. 将状态滑块设置为已启用设置 ()。

4. 进行以下配置：

   • 接口名称 - 接口名称，最多 48 个字符。字母字符必须为小写。例如，monitor。

   • 模式 - 选择被动。

   
   

   

   
   

5. 点击确定 (OK)。

步骤 4

为接口创建被动安全区。

1. 选择对象，然后从目录中选择安全区。

2. 点击 + 按钮。

3. 输入对象的名称和说明（后者为可选项）。例如，passive_zone。

4. 对于模式，请选择被动。

5. 点击 +，然后选择被动接口。

   
   

   

   
   

6. 点击确定 (OK)。

步骤 5

为被动安全区配置一个或多个访问控制规则。

1. 依次选择策略 > 访问控制。

2. 点击 + 添加允许所有流量、但应用入侵策略的规则。

3. 选择 1 作为规则顺序。此规则比默认规则更具体，但并不与之重叠。如果您已有自定义规则，请为这些规则选择适当的位置，以便传递到被动接口的流量不匹配这些规则。

4. 输入规则的名称，例如 Passive_IDS。

5. 对操作选择允许。

6. 在源/目标选项卡上，选择源 > 区域下的被动区。不要配置选项卡上的任何其他选项。

   在评估模式运行时，此阶段的规则应为：

   
   

   

   
   

7. 点击入侵策略选项卡，将滑块滑动至打开，并选择平衡安全和连接入侵策略（建议将此策略应用于大多数网络）。

   
   

   

   
   

8. 点击日志记录选项卡，并选择在连接结束时作为日志记录选项。

   
   

   

   
   

9. 点击确定 (OK)。

10. 点击 + 添加要求系统执行深度检测以确定所有 HTTP 请求的 URL 和类别的规则。

    通过此规则，您可以在控制面板中查看 URL 类别信息。为节省处理时间并提高性能，系统仅在至少有一个指定 URL 类别条件的访问控制规则时确定 URL 类别。

11. 选择 1 作为规则顺序。这样可将规则放置在上一个规则 (Passive_IDS) 上方。如果您将其放置在该规则（适用于所有流量）后面，流量将永远不会匹配您现在创建的规则。

12. 输入规则的名称，例如 Determine_URL_Category。

13. 对操作选择允许。

    或者，您可以选择阻止。上述任一操作都可以实现此规则的目的。

14. 在源/目标选项卡上，选择源 > 区域下的被动区。不要配置选项卡上的任何其他选项。

    
    

    

    
    

15. 点击 URL 选项卡，点击类别标题旁边的 +，然后选择任何类别。例如，搜索引擎和门户。或者，可以选择信誉级别，或保留默认值“任何”。

    
    

    

    
    

16. 点击入侵策略选项卡，将滑块滑动至打开，并选择您为第一个规则选择的同一入侵策略。

17. 点击日志记录选项卡，并选择在连接结束时作为日志记录选项。

    但是，如果您选择阻止操作，请选择在连接开始和结束时。由于被阻止的连接不会自行终止，只能在连接开始时获取日志信息。

18. 点击确定 (OK)。

步骤 6

（可选。）配置其他安全策略。

步骤 7

确认您的更改。

1. 点击网页右上角的部署更改图标。

   

2. 点击立即部署按钮。

   您可以等待部署完成，也可以点击确定，稍后再检查任务列表或部署历史记录。

步骤 8

使用监控控制面板分析来自整个网络的流量和威胁类型。如果您确定要让 威胁防御设备主动丢弃不需要的连接，请重新部署设备，以便您可以配置用于为监控网络提供防火墙保护的主动路由接口。