Cisco Secure Firewall 200 威胁防御入门:云交付的防火墙管理中心

PDF

配置访问控制规则

Want to summarize with AI?

Log in

如何添加访问控制规则以允许流量在 Secure Firewall 200 上从内部区域传输到外部区域,并应用可选的安全检测策略。


如果您在注册防火墙时创建了基本的阻止所有流量访问控制策略,则需要向该策略添加规则以允许流量通过防火墙。访问控制策略可包括按顺序评估的多个规则。

此过程将创建一个访问控制规则,以允许从内部区域到外部区域的所有流量。

过程

1.

选择 策略 > 安全策略 > 访问控制,然后点击分配给设备的访问控制策略对应的 编辑 (编辑图标)

2.

点击添加规则 (Add Rule) 并设置以下参数。

Figure 1. 源区域
源区域

1. 为此规则命名,例如 inside-to-outside

2.区域 (Zones) 中选择内部区域

3. 点击添加源区域 (Add Source Zone)

Figure 2. 目标区域
目标区域

4.区域 (Zones) 中选择外部区域。

5. 点击添加目标区域 (Add Destination Zone)

其他设置保留原样。

3.

(可选) 点击数据包流程图中的策略类型,以便自定义相关策略。

预过滤器、解密、安全智能和身份策略在访问控制规则之前应用。不需要自定义这些策略,但在了解网络需求后,这些策略可通过快速路由受信任流量(绕过处理)或阻止流量以避免进一步处理,从而提高网络性能。

Figure 3. 在访问控制之前应用政策
在访问控制之前应用政策
  • 预过滤器规则 - 默认预过滤器策略通过所有流量,以便其他规则执行操作(分析)。您可以对默认策略进行的唯一更改是阻止隧道流量。否则,您可以创建新的预过滤器策略,以便与可以分析(传递)、快速路径(绕过进一步检查)或阻止的访问控制策略关联。

    预过滤功能可在流量到达更远的地方之前,通过拦截或快速路径来处理流量,从而提高性能。在新策略中,您可以添加隧道规则和预过滤器规则。通过隧道规则,您可以对明文(非加密)直通隧道进行快速路由、阻止或重新分区。预过滤器规则可让您快速路由或阻止通过 IP 地址、端口和协议识别的非隧道流量。

    例如,如果知道要阻止网络上的所有 FTP 流量,但不阻止来自管理员的快速 SSH 流量,则可以添加一个新的预过滤器策略。

  • 解密 - 默认情况下不应用解密。解密是让网络流量接受深度检查的一种方法。大多数情况下都不要对流量进行解密,只有在法律允许的情况下才能这样做。为了最大限度地保护网络,对于前往关键服务器或来自不信任网段的流量,解密策略可能是一个好主意。

  • 安全智能 -(需要 IPS 许可证)默认启用安全智能。安全智能是在将连接传递到访问控制策略进行进一步处理之前应用的另一项针对恶意活动的早期防御措施。安全智能使用信誉智能快速阻止与思科威胁智能组织 Talos 提供的 IP 地址、URL 和域名之间的连接。您可以根据需要添加或删除其他 IP 地址、URL 或域。

    Note

    如果没有 IPS 许可证,即使访问控制策略中显示该策略已启用,也不会部署该策略。

  • 身份 - 默认情况下不应用身份。在允许访问控制策略处理流量之前,可以要求用户进行身份验证。

4.

(可选) 添加在访问控制规则之后应用的入侵策略。

入侵策略是一组已定义的入侵检测和防御配置,用于检查流量是否违反安全规定。云交付防火墙管理中心 包括许多系统提供的策略,您可以按原样启用或自定义这些策略。此步骤可启用系统提供的策略。

  1. 点击入侵策略 (Intrusion Policy) 下拉列表。

    Figure 4. 系统提供的入侵策略
    系统提供的入侵策略
  2. 从列表中选择一个系统提供的策略。

    对于大多数使用场景,我们建议选择平衡安全与连接

5.

(可选) 添加在访问控制规则之后应用的文件策略。

  1. 点击文件策略 (File Policy) 下拉列表,然后选择现有策略或通过选择打开文件策略列表 (Open File Policy List) 添加一个策略。

    Figure 5. 文件策略
    文件策略

    对于新策略,系统将在单独的选项卡中打开策略 > 安全策略 > 恶意软件和文件 页面。

  2. 有关创建策略的详细信息,请参阅Cisco Secure Firewall 设备管理器配置指南

  3. 返回添加规则 (Add Rule) 页面,从下拉列表中选择新创建的策略。

6.

点击应用

规则即已添加至 Rules 表。

7.

点击保存