关于访问控制策略
访问控制是一种分层策略,可用于指定、检查和记录网络流量。您可以使用每个连接的特征来允许、信任、阻止或监控连接。
每个托管设备都可分配给一个访问控制策略。策略的已分配(也称为目标)设备收集有关网络流量的数据可用于根据以下内容过滤和控制该流量:
-
简单、易于确定的传输层和网络层特征:源和目标、端口和协议等
-
流量的最新的上下文信息,包括诸如信誉、风险、业务相关性、使用的应用或访问的 URL 等特征
-
领域、用户、用户组或 ISE 属性
-
自定义安全组标记 (SGT)
-
加密流量的特性;也可以解密此流量以进一步分析
-
未加密或已解密的流量包含禁止的文件、检测到的恶意软件还是入侵尝试
-
时间和日期(在受支持的设备上)
每种类型的流量检查和控制都以提供最大灵活性和性能的方式进行。例如,基于信誉的阻止名单使用简单的源和目标数据,因此,可以在过程的早期阻止禁止的流量。相反,检测和阻止入侵和漏洞则是最后一道防线。
访问控制策略组件
以下是访问控制策略的主要元素。
- 名称和描述
-
每个访问控制策略必须拥有唯一的名称。说明是可选的。
- 沿用设置
-
通过策略继承,您可以创建访问控制策略的层次结构。父(或基本)策略定义和执行其后代的默认设置。
策略的继承设置允许您选择其基本策略。您还可以锁定当前策略中的设置以强制所有后代继承这些设置。后代策略可以覆盖未锁定的设置。
- 策略分配
-
每个访问控制策略可识别使用策略的设备。每台设备只能作为一个访问控制策略的目标。您还可以将策略分配给设备模板。
- 规则
-
访问控制规则提供了一种精细的网络流量处理方法。访问控制策略中的规则从 1 开始进行编号,包括从祖先策略继承的规则。系统会用升序的规则号码以从上到下的顺序将流量匹配到访问控制规则中。
通常,系统根据第一个访问控制规则(其中所有规则的条件都与流量匹配)处理网络流量。条件可以简单也可以复杂,条件的使用通常取决于某些许可证。
- 默认操作
-
默认操作确定系统如何处理和记录不是由任何其他访问控制配置处理的流量。默认操作可以阻止或信任所有流量,而不进行进一步检查,或者检查流量以获取入侵和发现数据。
尽管访问控制策略可从祖先策略继承其默认操作,但您无法强制执行这一继承。
- 安全智能
-
安全智能是抵御恶意互联网内容的第一道防线。此功能允许您根据最新的 IP 地址、URL 和域名信誉情报将阻止连接。要确保对重要资源的持续访问,您可以使用自定义不阻止列表条目来覆盖阻止列表条目。
- HTTP 响应
-
在系统阻止用户的网站请求时,您可以显示系统提供的通用响应页面或自定义页面。也可以显示一个警告用户,同时允许他们继续访问初始请求站点的页面。
- 日志记录
-
通过访问控制策略日志记录的设置,您可以为当前的访问控制策略配置默认系统日志目标。除非使用所包含规则和策略中的自定义设置显式覆盖系统日志目标设置,否则这些设置适用于访问控制策略以及所有包含在内的解密、预过滤和入侵策略。
- 高级访问控制选项
-
高级访问控制策略设置通常只需要进行很小的修改或不需要修改。通常,默认设置就非常适合。可修改的高级设置包括流预处理、解密、身份和各种性能选项。
访问控制策略默认操作
新创建的访问控制策略指示其分配的设备使用其默认操作处理所有流量。
在简单的访问控制策略中,默认操作指定设备如何处理所有流量。在更复杂的策略中,默认操作处理如下流量:
-
未被预过滤策略快速转发
-
不在安全智能阻止列表中
-
未被解密策略阻止(仅限加密流量)
-
与策略中的所有规则均不匹配(“监控”规则除外,这些规则会匹配和记录流量,但不处理或检查流量)。
访问控制策略默认操作可以阻止或信任流量,而不进行进一步检查,或者检查流量以获取入侵和发现数据。
 注 |
您不能对默认操作处理的流量执行文件或恶意软件检查。默认操作处理的连接的日志记录最初处于禁用状态,但是您可以启用该日志记录功能。 |
如果使用的是策略继承,则最低级别后代的默认操作会确定最终流量处理。尽管访问控制策略可从其基本策略继承其默认操作,但您无法强制执行这一继承。
下表介绍了您可以对每个默认操作处理的流量执行的检查类型。
|
默认操作 |
对流量的影响 |
检查类型和策略 |
|---|---|---|
|
访问控制:阻止所有流量 |
直接阻止,不进行进一步检查。 |
无。 |
|
访问控制:信任所有流量 |
信任(允许流向其最终目标,而无需进一步检查)。 |
无。 |
|
入侵防御 |
允许,前提是其通过您指定的入侵策略检测。 |
入侵,使用指定的入侵策略和关联变量集。 发现,使用网络发现策略。 |
|
仅网络发现 |
允许。 |
仅发现,使用网络发现策略。 |
|
继承自基本策略 |
在基本策略中定义 |
在基本策略中定义 |
下图对该表进行了展示。
下图展示了阻止所有流量 (Block All Traffic) 和信任所有流量 (Trust All Traffic) 默认操作。
下图展示了入侵防御 (Intrusion Prevention) 和仅网络发现 (Network Discovery Only) 默认操作。
 提示 |
Network Discovery Only 的目的是在仅发现部署中提高性能。如果您仅对入侵检测和防御感兴趣,则不同的配置可以禁用发现。 |
访问控制策略继承
您可以嵌套访问控制策略。在这种情况下,每个策略都会继承祖先(或基本)策略的规则和设置。您可以执行此继承,或允许较低级别的策略覆盖其祖先。
访问控制使用基于分层策略的实施。正如创建域层次结构一样,您也可以创建访问控制策略的相应层次结构。后代或子访问控制策略继承其直接父策略或基本策略的规则和设置。该基础策略可能有其子级的父级策略,它从父级策略沿用规则和设置等。
访问控制策略的规则嵌套在其父策略的“强制性”(Mandatory) 规则部分与“默认”(Default) 规则部分之间。这种实施执行来自祖先策略的强制规则,但也允许当前策略写入规则以抢先于来自祖先策略的默认规则。
您可以锁定以下设置,以便在所有后代策略中执行它们。后代策略可以覆盖未锁定的设置。
-
安全智能 — 根据 IP 地址、URL 和域名的最新信誉情报而被允许或阻止的连接。
-
HTTP 响应页面 — 在阻止用户的网站请求时显示自定义或系统提供的响应页面。
-
高级设置 — 指定关联的子策略、网络分析设置、性能设置和其他常规选项。
如果使用的是策略继承,则最低级别后代的默认操作会确定最终流量处理。尽管访问控制策略可从祖先策略继承其默认操作,但您无法强制执行这一继承。
策略继承和多租户
访问控制的基于分层策略的实施完善了多租户策略。
在典型的多域部署中,访问控制策略的层次结构与域结构相对应,您将最低级别的访问控制策略应用于托管设备。这种实施支持在较高的域级别选择性地执行访问控制,而低层域管理员可以定制特定部署的具体设置。(要限制后代域中的管理员,您必须使用角色而不能只靠策略继承和实施。)
例如,作为组织的全局域管理员,您可以在全局级别创建访问控制策略。然后,您可以要求所有设备(按功能分为子域)使用该全局级策略作为基本策略。
当子域管理员登录 Secure Firewall Management Center配置访问控制时,他们可以按原样部署此全局级策略。或者,他们也可以在该全局级策略的界限之内创建和部署后代访问控制策略。
注 |
虽然这种最有用的访问控制继承和执行的实施方法可以完善多租户策略,但您也可以在单个域中创建访问控制策略的层次结构。您还可以在任意级别分配和部署访问控制策略。 |
规则和其他策略警告
策略和规则编辑器使用图标来标记可能会对流量分析和流动有不利影响的配置。根据问题,系统可能会在您部署时向您发出警告或完全阻止您进行部署。
提示 |
将您的鼠标指针悬停在图标之上,即可读取警告、错误或信息文本。 |
|
图标 |
说明 |
示例 |
|---|---|---|
|
错误( |
如果规则或配置具有错误,则更正错误之前无法部署,即使禁用任何受影响规则也如此。 |
在分配没有 URL 过滤许可证的设备之前,执行基于类别和信誉的 URL 过滤的规则有效。此时,规则旁边会出现错误图标,您必须编辑或删除规则、取消分配设备或启用许可证才能部署。 |
|
警告( |
可以部署显示规则或其他警告的策略。然而,标记有警告的不当配置将不起作用。 如果您禁用包含警告的规则,则警告图标将消失。如果在没有纠正潜在问题的情况下启用规则,警告图标将会再次显示。 |
已占用的规则或由于配置不当而无法与流量相匹配的规则不起作用。这包括使用空对象组的条件、与应用不匹配的应用过滤器、已排除的 LDAP 用户、无效端口等等。 但是,如果警告图标标记许可错误或型号不匹配,则在更正问题之前无法进行部署。 |
|
信息( |
信息图标传达有关可能影响流量流动的配置的有用信息。这些问题不会阻止您进行部署。 |
系统可能会跳过根据某些规则来匹配连接的前几个数据包,直至系统识别该连接中的应用或网络流量为止。这样,就可建立连接,以便识别应用和 HTTP 请求。 |
|
规则冲突 ( |
在启用规则冲突分析时,此图标会显示在具有冲突的规则的规则表中。 |
冲突包括冗余规则、冗余对象和影子规则。冗余和影子规则不匹配流量,因为以前的规则已与条件相匹配。冗余对象会使规则变得不必要地复杂。 |
)
)
)
反馈