• 接口 (Interface) - 从下拉列表中选择接口名称。

• 地址池 (Address Pool) - 设置 IP 地址的范围。IP 地址必须与选定接口位于相同的子网上，且不能包括接口自身的 IP 地址。

• 启用 DHCP 服务器 (Enable DHCP Server) - 在所选接口上启用 DHCP 服务器。

策略即已添加 FMC。您仍然需要为策略添加规则。

• NAT 规则 (NAT Rule) - 选择自动 NAT 规则 (Auto NAT Rule)。

• 类型 (Type) - 选择动态 (Dynamic)。

• 原始源-点击 添加 () 为所有 IPv4 流量添加网络对象 (0.0.0.0/0)。

  

  注	您不能使用系统定义的 any-ipv4 对象，因为自动 NAT 规则在对象定义过程中添加 NAT，并且您无法编辑系统定义的对象。

• 转换的源 (Translated Source) - 选择目标接口 IP (Destination Interface IP)。

规则即已保存至 Rules 表。

1. 为此规则命名，例如 inside-to-outside。

2. 从区域 (Zones) 中选择内部区域

3. 点击添加源区域 (Add Source Zone)。

4. 从区域 (Zones) 中选择外部区域。

5. 点击添加目标区域 (Add Destination Zone)。

其他设置保留原样。

预过滤器、解密、安全智能和身份策略在访问控制规则之前应用。不需要自定义这些策略，但在了解网络需求后，这些策略可通过快速路由受信任流量（绕过处理）或阻止流量以避免进一步处理，从而提高网络性能。

• 预过滤器规则 - 默认预过滤器策略通过所有流量，以便其他规则执行操作（分析）。您可以对默认策略进行的唯一更改是阻止隧道流量。否则，您可以创建新的预过滤器策略，以便与可以分析（传递）、快速路径（绕过进一步检查）或阻止的访问控制策略关联。

  预过滤功能可在流量到达更远的地方之前，通过拦截或快速路径来处理流量，从而提高性能。在新策略中，您可以添加隧道规则和预过滤器规则。通过隧道规则，您可以对明文（非加密）直通隧道进行快速路由、阻止或重新分区。预过滤器规则可让您快速路由或阻止通过 IP 地址、端口和协议识别的非隧道流量。

  例如，如果知道要阻止网络上的所有 FTP 流量，但不阻止来自管理员的快速 SSH 流量，则可以添加一个新的预过滤器策略。

• 解密 - 默认情况下不应用解密。解密是让网络流量接受深度检查的一种方法。大多数情况下都不要对流量进行解密，只有在法律允许的情况下才能这样做。为了最大限度地保护网络，对于前往关键服务器或来自不信任网段的流量，解密策略可能是一个好主意。

• 安全智能 -（需要 IPS 许可证）默认启用安全智能。安全智能是在将连接传递到访问控制策略进行进一步处理之前应用的另一项针对恶意活动的早期防御措施。安全智能使用信誉情报快速阻止与思科威胁情报组织 Talos 提供的 IP 地址、URL 和域名之间的连接。您可以根据需要添加或删除其他 IP 地址、URL 或域。

  注	如果没有 IPS 许可证，即使访问控制策略中显示该策略已启用，也不会部署该策略。

• 身份 - 默认情况下不应用身份。在允许访问控制策略处理流量之前，可以要求用户进行身份验证。

入侵策略是一组已定义的入侵检测和防御配置，用于检查流量是否违反安全规定。FMC 包括许多系统提供的策略，您可以按原样启用或自定义这些策略。此步骤可启用系统提供的策略。

规则即已添加至 Rules 表。