关于访问控制规则
在访问控制策略中,访问控制规则提供在多台托管设备之间处理网络流量的精细方法。
![]() 注 |
安全智能过滤、解密、用户标识以及某些解码和预处理发生在访问控制规则评估网络流量之前。 |
系统按您指定的顺序将流量与访问控制规则相匹配。在大多数情况下,系统根据所有规则条件匹配流量的第一个访问控制规则处理网络流量。
每个规则也有操作,确定是否监控、信任、阻止或允许匹配的流量。当您允许流量时,可以指定在流量到达您的资产或退出您的网络之前,系统首先利用入侵或文件策略对其进行检查以阻止任何漏洞攻击、恶意软件或禁止的文件。
以下场景汇总了内联入侵防御部署中访问控制规则评估流量的方式。
在这种情况中,流量评估如下:
-
规则 1:监控 首先评估流量。“监控”规则跟踪和记录网络流量。系统继续根据其他规则匹配流量,以确定允许其通过,还是拒绝。(但是,请参阅访问控制规则监控操作中的重要例外情况和警告。)
-
规则 2:信任 继续评估流量。系统允许匹配的流量传至目标,而无需进一步检查,但此类流量仍会受到身份要求和速率限制的制约。不匹配的流量继续根据下一规则进行评估。
-
规则 3:阻止 第三步,评估流量。匹配的流量被阻止,无需进一步检测。不匹配的流量继续根据最终规则进行评估。
-
规则 4:允许是最终规则。对于此规则,允许匹配的流量;但检测和阻止流量内禁止的文件、恶意软件、入侵和漏洞。系统允许其余未阻止的非恶意流量传至目标,但此类流量仍受到身份要求和速率限制的制约。您可以配置只执行文件检查、入侵检查或两类检查都不执行的“允许”(Allow) 规则。
-
默认操作处理不匹配任何规则的所有流量。在此场景下,默认操作在允许非恶意流量通过之前执行入侵防御。在不同的部署中,您可能有默认操作可以信任或阻止所有流量,而无需进一步检测。(您不能对默认操作处理的流量执行文件或恶意软件检测。)
无论是使用访问控制规则还是默认操作,您允许的流量都自动可用于根据网络发现策略检查主机、应用和用户数据。尽管可以增强或禁用发现功能,但不能明确启用该功能。但是,允许流量不会自动确保收集发现数据。系统仅对涉及 IP 地址的连接执行发现功能,根据网络发现策略明确监控这些 IP 地址;此外,对于加密会话,应用发现受到限制。
请注意,当解密配置允许已加密流量通过或者您不配置解密时,访问控制规则处理已加密流量。但是,某些访问控制规则条件需要未加密流量,因此,已加密流量可能匹配的规则更少。此外,默认情况下,系统禁用已加密负载的入侵和文件检查。当已加密连接与已配置入侵和文件检查的访问控制规则相匹配时,这有助于减少误报和提高性能。
访问控制规则管理
访问控制策略编辑器的规则表格让您可以添加、编辑、分类、搜索、过滤、移动、启用、禁用、删除或以其他方式管理当前策略中的访问控制规则。
正确创建和排序访问控制规则是一项复杂的任务,但重要的是构建有效部署。如果不认真规划您的策略,这些规则会抢占其他规则,需要额外的许可证或包含无效配置。为帮助确保系统按预期处理流量,访问控制策略接口具有规则的强大警告和错误反馈系统。
使用搜索栏来过滤访问控制策略规则列表。您可以取消选择仅显示匹配规则 (Show Only Matching Rules) 选项以查看所有规则。匹配的规则会被突出显示。
对于每个访问控制规则,策略编辑器显示其名称、条件概述、规则操作以及传达规则检测选项或状态的图标。这些图标代表:
-
时间范围选项(
) -
入侵策略(
) -
文件策略(
) -
日志记录(
) -
警告(
) -
错误(
) -
规则冲突 (
)
已禁用的规则在规则名称后面呈灰色显示并带有相应的标记“(已禁用)”(disabled)。
要创建或编辑规则,请参阅创建和编辑访问控制规则。
![]() 提示 |
右键点击菜单提供很多规则管理选项的快捷方式,包括编辑、删除、移动、启用和禁用。 |
访问控制规则组成部分
除唯一名称之外,每个访问控制规则都具有以下基本组件:
状态
默认情况下,规则处于启用状态。如果禁用某规则,系统将不使用该规则并停止为该规则生成警告和错误。
位
系统已对访问控制策略中的规则进行编号,从 1 开始。如果正在使用策略继承,则规则 1 是最外层策略的第一条规则。系统按升序规则编号以自上而下的顺序将流量与规则相匹配。除 Monitor 规则之外,流量匹配的第一个规则是处理该流量的规则。
规则也可属于某个部分和某个类别,其仅有利于组织且不影响规则位置。规则位置跨越部分和类别。
部分和类别
为帮助您组织访问控制规则,每个访问控制策略都有两个系统提供的规则部分:“强制性”(Mandatory) 规则部分和“默认”(Default) 规则部分。要进一步组织访问控制规则,您可以在“强制性”(Mandatory) 和“默认”(Default) 部分中创建自定义规则类别。
如果正在使用策略继承,则当前策略的规则嵌套在其父策略的“强制性”(Mandatory) 规则部分与“默认”(Default) 规则部分之间。
条件
条件指定规则处理的特定流量。条件可以简单也可以复杂;条件的使用通常取决于许可证。
流量必须满足规则中指定的所有条件。例如,如果应用条件指定了 HTTP 而不是 HTTPS,则 URL 类别和信誉条件将不适用于 HTTPS 流量。
适用时间
您可以指定规则生效的日期和时间。
操作
规则操作确定系统如何处理匹配的流量。您可以监控、信任、阻止或允许(执行或无需执行进一步检测)匹配的流量。系统不会对受信任、被阻止或加密的流量进行深度检查。
检查
深度检查选项管理系统如何检查和阻止您意外允许的恶意流量。通过规则允许流量时,可以指定系统先使用入侵或文件策略检测流量以在漏洞、恶意软件或禁止的文件到达您的资产或退出网络之前予以阻止。
日志记录
规则的日志记录设置管理系统保存其处理流量的记录。您可以对匹配规则的流量保存记录。一般来说,您可以在连接开始和/或结束时记录会话。您可以将连接记录到数据库,以及系统日志 (syslog) 或 SNMP 陷阱服务器。您可以按应用和协议记录会话,然后将这些日志转发到事件管理解决方案以进行进一步分析。
备注
每次保存对访问控制规则所做的更改时,都可以添加注释。
访问控制规则顺序
系统已对访问控制策略中的规则进行编号,从 1 开始。系统会用升序的规则号码以从上到下的顺序将流量匹配到访问控制规则中。
在大多数情况下,系统根据所有规则条件匹配流量的第一个访问控制规则处理网络流量。除监控规则,在流量匹配规则后系统不会根据其他优先级较低的规则继续评估流量。
为帮助您组织访问控制规则,每个访问控制策略都有两个系统提供的规则部分:“强制性”(Mandatory) 规则部分和“默认”(Default) 规则部分。要进一步组织,您可以在“强制性”(Mandatory) 和“默认”(Default) 部分中创建自定义规则类别。在创建类别后,无法将其移动,不过可以将其删除、对其重命名,并将规则移入、移出该类别以及在其内部或周围移动。系统跨部分和类别分配规则编号。
如果使用策略继承,则当前策略的规则嵌套在其父策略的“强制性”(Mandatory) 规则部分与“默认”(Default) 规则部分之间。规则 1 是最外层策略(不是当前策略)中的第一条规则,系统跨策略、部分和类别分配规则编号。
允许修改访问控制策略的任何预定义用户角色还允许您在规则类别内部和之间移动和修改访问控制规则。但是,可以创建自定义角色来限制用户移动和修改规则。允许修改访问控制策略的任意用户可以将规则添加到自定义类别,以及无限制的修改其中的规则。
![]() 小心 |
未能正确设置访问控制规则可能会导致意外结果,包括允许应阻止的流量。通常,应用控制规则应在访问控制列表中较低,因为与基于 IP 地址的规则相比,匹配这些规则所需的时间更长。 使用 特定 条件(例如网络和 IP 地址)的访问控制规则应在使用一般条件(例如应用)的规则 之前 排序。如果您熟悉开放系统互联(OSI)模型,请在概念上使用类似的编号。包含第 1 层、第 2 层和第 3 层(物理、数据链路和网络)条件的规则应首先在访问控制规则中排序。稍后应在访问控制规则中对第 5 层、第 6 层和第 7 层的条件(会话,表示和应用)进行排序。有关 OSI 模型的详细信息,请参阅此 维基百科文章。 |
![]() 提示 |
适当的访问控制规则顺序可减少处理网络流量所需的资源并防止规则抢占。尽管您创建的规则对于每个组织和部署来说都是唯一的,但是排序规则时需要遵循几个基本准则,才可优化性能,同时满足您的需求。有关具体提示,请参阅规则排序的最佳实践。 |
访问控制规则操作
每个访问控制规则都具有用于确定系统如何处理和记录匹配流量的操作:您可以监控、信任、阻止或允许(执行或无需执行进一步检查)匹配流量。
访问控制策略的 默认操作 会处理不符合任何非 Monitor 访问控制规则条件的流量。
访问控制规则监控操作
监控 (Monitor) 操作不能允许或拒绝流量。相反,它的主要目的是强制连接日志记录,而不会考虑最终如何处理匹配的流量。
如果连接与监控规则匹配,则该连接匹配的下一个非监控规则应确定流量处理和任何进一步检查。如果没有其他匹配的规则,系统应使用默认操作。
但存在一个例外。如果监控规则包含第 7 层条件(例如应用条件),则系统将允许早期数据包通过并建立连接(或完成 SSL 握手)。即使连接应被后续规则阻止,也会发生这种情况;这是因为这些早期数据包不会根据后续规则接受评估。为了使这些数据包不会未经检查就到达目的地,您可以在访问控制策略的高级设置中为此目的指定入侵策略;请参阅在识别流量之前检查通过的数据包。在系统完成其第 7 层识别后,它就会将相应的操作应用于剩余会话流量。
访问控制规则信任操作
信任 (Trust) 操作允许流量通过,无需深度检查或网络发现。受信任的流量仍会受到身份要求和速率限制的制约。
![]() 注 |
|
访问控制规则阻止操作
Block 和 Block with reset 操作拒绝流量,无需任何类型的进一步检测。
“阻止并重置”规则会重置连接,但 HTTP 响应页面遇到的 Web 请求除外。这是因为,如果立即重置连接,则配置为在系统阻止 Web 请求时显示的响应页面将无法显示。
有关详细信息,请参阅配置 HTTP 响应页面。
访问控制规则交互式阻止操作
交互式阻止和交互式阻止并重置操作为 Web 用户提供继续访问其预期目的地的选项。
如果用户绕过阻止,该规则模拟“允许”规则。因此,您可以将交互式阻止规则与文件和入侵策略关联,并且匹配的流量也可用于网络发现。
如果用户未(或无法)绕过阻止,该规则模拟“阻止”规则。匹配流量会被拒绝,无需进一步检测。
请注意,如果启用交互式阻止,则无法重置所有被阻止的连接。这是因为,如果立即重置连接,响应页面将无法显示。使用交互式阻止并重置操作,以(通过非交互的方式)阻止并重置所有非 Web 流量,同时仍然为 Web 请求启用交互式阻止。
有关详细信息,请参阅配置 HTTP 响应页面。
访问控制规则允许操作
允许 (Allow) 操作允许匹配的流量通过,但是仍会受到身份要求和速率限制的制约。
或者,您可以使用深度检查以在未加密或已解密流量到达目的地之前进一步对其进行检查和阻止:
-
您可以使用入侵策略,以便根据入侵检测和防御配置来分析网络流量,并根据配置丢弃恶意数据包。
-
您可使用文件策略执行文件控制。借助文件控制,可以检测和阻止用户通过特定应用协议上传(发送)或下载(接收)特定类型的文件。
-
您还可以使用文件策略执行基于网络的高级恶意软件防护 (AMP)。恶意软件防护 可检测文件中的恶意软件,并根据配置阻止检测到的恶意软件。
下图展示对满足“允许”(Allow) 规则(或用户绕过的“交互式阻止”[Interactive Block] 规则)条件的流量执行的检查类型。请注意,文件检测会在入侵检测之前发生;被阻止文件不会进行入侵相关漏洞检测。
为简单起见,该图显示入侵和文件策略均与访问控制规则相匹配(或都不匹配)的情况下的流量。但是,可以单独配置其中一个策略。如果没有文件策略,流量将由入侵策略确定;如果没有入侵策略,流量将由文件策略确定。
不管入侵或文件策略会检查还是丢弃流量,系统都可以使用网络发现功能进行检查。但是,允许流量不会自动确保发现检查。系统仅对涉及 IP 地址的连接执行发现功能,根据网络发现策略明确监控这些 IP 地址;此外,对于加密会话,应用发现受到限制。
使用文件和入侵策略的深度检测
深度检测会将入侵策略和文件策略用作为允许流量到达其目标之前的最后一道防线。
-
入侵策略监管系统的入侵防御功能。
有关详细信息,请参阅关于入侵防御。
-
文件策略监管系统的文件控制和恶意软件防护 功能。
有关详细信息,请参阅网络恶意软件防护的文件策略。
访问控制发生在深度检查之前;访问控制规则和访问控制默认操作确定哪些流量由入侵和文件策略检测。
通过将入侵策略或文件策略与访问控制规则相关联,您是在告诉系统:在其传递符合访问控制规则条件的流量之前,您首先想要使用入侵策略和/或文件策略检测流量。
在访问控制策略中,您可以将一个入侵策略与每条“允许”(Allow) 和“交互式阻止”(Interactive Block) 规则以及默认操作相关联。每个唯一的入侵策略和变量集对均视为一个策略。
![]() 注 |
默认情况下,系统禁用对已加密负载的入侵和文件检查。当已加密连接与已配置入侵和文件检查的访问控制规则相匹配时,这有助于减少误报和提高性能。 |
要将入侵策略和文件策略与访问控制规则相关联,请参阅:
文件和入侵检查顺序
在您的访问控制策略中,您可以将多个 Allow 和 Interactive Block 规则与不同的入侵和文件策略相关联,以使检查配置文件匹配各种流量类型。
您不必在同一规则中同时执行文件和入侵检测。对于符合“允许”(Allow) 或“交互式阻止”(Interactive Block) 规则的连接:
-
没有文件策略,数据流取决于入侵策略
-
没有入侵策略,数据流取决于文件策略
-
若以上两者都没有,仅由网络发现检查允许的流量
![]() 提示 |
系统不会对受信任的流量执行任何种类的检测。虽然没有使用入侵或文件策略配置“允许”(Allow) 规则可以放行流量,就像“信任”(Trust) 规则那样,但“允许”(Allow) 规则让您可以对匹配的流量执行发现。 |
下图说明对符合“允许”(Allow) 或用户绕过的“交互式阻止”(Interactive Block) 访问控制规则的条件的流量执行的检查类型。为简单起见,该图显示入侵策略和/或文件策略与单个访问控制规则关联的情况的流量。
对由访问控制规则处理的任何单个连接,文件检测均发生在入侵检测之前。也就是说,系统不检测文件策略所阻止的文件是否存在入侵。在文件检测中,基于类型的简单阻止优先于恶意软件检测和阻止。
例如,请考虑按照访问控制规则中所定义通常要允许特定网络流量的情况。但是,作为预防措施,您希望阻止下载可执行文件,检测恶意软件的已下载的 PDF 并阻止找到的所有实例,然后对流量执行入侵检测。
您可以使用与自己想要暂时允许通过的流量的特征相匹配的规则创建访问控制策略,然后将其与入侵策略和文件策略相关联。文件策略阻止所有可执行文件的下载,也可检测和阻止包含恶意软件的 PDF:
-
首先,系统根据文件策略中指定的简单类型匹配阻止所有可执行文件的下载。由于会立即遭到阻止,因此这些文件既无法执行恶意软件检查也无法执行入侵检查。
-
接着,系统对下载到网络主机的 PDF 执行恶意软件云查找。具有恶意软件处置情况的任何 PDF 均被阻止,且不接受入侵检查。
-
最后,系统使用与访问控制规则关联的入侵策略检测任何剩余流量,包括文件策略未阻止的文件。
![]() 注 |
在会话中的文件被检测并阻止之前,该会话的数据包可能会接受入侵检查。 |
使用入侵和文件策略的访问控制流量处理
下图显示一个内联入侵防御和恶意软件防护 部署中的流量,它受包含四种不同类型访问控制规则和默认操作的访问控制策略监管。
在上面的情景中,策略中的前三条访问控制规则 — Monitor、Trust 和 Block — 无法检查匹配的流量。Monitor 规则跟踪和记录但不检查网络流量,因此,系统继续将流量与其他规则进行匹配以确定是允许还是拒绝该流量。(但是,请参阅访问控制规则监控操作中的重要例外情况和警告。)Trust 和 Block 规则处理匹配流量,无需任何何类型的进一步检查,不匹配的流量继续进入下一条访问控制规则。
策略中的第四个也是最后一条规则(Allow 规则)按照以下顺序调用各种其他策略以检查和处理匹配的流量:
-
发现:网络发现策略 - 首先,网络发现策略检查流量是否存在发现数据。发现是被动分析,并不影响流量的流动。尽管不显式启用发现,但您可以增强或禁用它。但是,允许流量不会自动确保收集发现数据。系统仅对涉及网络发现策略显式监控的 IP 地址的连接进行发现。
-
恶意软件防护 和文件控制:文件策略 - 通过发现功能检查流量后,系统可以检查其是否包含禁止文件和恶意软件。恶意软件防护 将检测并选择性地阻止多种文件中的恶意软件,包括 PDF、Microsoft Office 文档等。如果贵组织不仅要阻止传输恶意软件文件,还要阻止特定类型的所有文件(无论文件是否包含恶意软件),则 file control 可供您监控网络流量中特定文件类型的传输,然后阻止或允许文件。
-
入侵防御:入侵策略 - 在文件检查之后,系统可以检查流量中是否存在入侵和漏洞。入侵策略根据模式检查已解码数据包中是否存在攻击,并且可以阻止或修改恶意流量。入侵策略与变量集配对,这使您能够使用指定值准确反映网络环境。
-
目标 - 通过上述所有检查的流量将传递到其目标。
“交互式阻止”(Interactive Block) 规则(未显示在图中)具有与“允许”(Allow) 规则相同的检查选项。因此,您可以在用户通过点击警告页面绕过已阻止网页时检测流量是否存在恶意内容。
在策略中不符合任何访问控制规则的流量,如果有监控以外的操作,则由默认操作来处理。在这种情况下,默认操作是入侵防御操作,只要流量由您指定的入侵策略进行传递,它就允许流量到达其最终目的地。在不同的部署中,您可能有默认操作可以信任或阻止所有流量,而无需进一步检测。请注意,系统可能检测默认操作允许的流量是否存在发现数据和入侵,而不是检测其是否存在受禁文件或恶意软件。您无法将文件策略与访问控制默认操作相关联。
![]() 注 |
有时,当访问控制策略分析某条连接时,系统必须处理该连接中的头几个数据包,从而让其通过,然后才能确定哪个访问控制规则(如有)将处理流量。然而,为了让这些数据包不会未经检查就到达目的地,您可以在访问控制策略的高级设置中指定一个入侵策略,以便检查这些数据包并生成入侵事件。 |












反馈