如果已在您的域上执行访问控制策略，则此步骤不为可选步骤。必须选择已执行的策略或其后代之一作为基本策略。

如果您选择基本策略，则基本策略定义默认操作，您无法在此对话框中选择新的操作。日志记录连接由基础策略的默认操作处理。

• Block all traffic 通过 Access Control: Block All Traffic 默认操作创建策略。

• 入侵防御 (Intrusion Prevention) 可以通过入侵防御：平衡安全性和连接 (Intrusion Prevention: Balanced Security and Connectivity) 默认操作创建策略，与默认入侵变量集相关联。

• Network Discovery 使用默认操作 Network Discovery Only 创建策略。

当您选择默认操作时，默认操作处理的连接的日志记录最初处于禁用状态。您可以稍后在编辑策略时启用它。

如果要立即部署此策略，则必须执行此步骤。

新策略将打开以供编辑。您可以向其添加规则，并根据需要进行其他更改。请参阅编辑访问控制策略。

如果显示视图（），则表明配置属于祖先域，或者您没有修改配置的权限。

这些程序将介绍如何在旧版 UI （用户界面）和新版 UI 中执行操作。两个接口配置相同的策略，区别仅在于表示。

您可以通过点击切换到旧版 UI (Switch to Legacy UI) 来返回旧版 UI。

设置：

• 名称和说明 - 点击任一字段并输入新信息。

• 默认操作 - 从默认操作 (Default Action) 下拉列表中选择一个值。

• 默认操作变量集 - 要更改与入侵防御默认操作关联的变量集，请点击 变量 （）。在显示的弹出窗口中，选择新变量集并点击确定 (OK)。也可以点击 编辑（） 以在新窗口中编辑所选的变量集。有关详细信息，请参阅管理变量。

• 默认操作日志记录 - 要配置默认操作所处理的连接的日志记录，请点击 日志记录（）；请参阅 《Cisco Secure Firewall Management Center 管理指南》中的 日志记录与策略默认操作连接 。

• HTTP 响应 - 要指定当系统阻止网站请求时用户在浏览器中看到的内容，请点击 HTTP 响应 (HTTP Responses)；请参阅选择 HTTP 响应页面。

• 继承：更改基本策略 - 要更改此策略的基本访问控制策略，请点击继承设置；请参阅选择基本访问控制策略。

• 继承：锁定后代域中的设置 - 要在其后代策略中实施此策略的设置，请点击继承设置；请参阅锁定后代访问控制策略中的设置。

• 策略分配：目标 - 要确定此策略所针对的受管设备，请点击策略分配；请参阅设置访问控制策略的目标设备。

• 策略分配：域中需要 - 要在子域中实施此策略，请点击策略分配；请参阅在域中需要访问控制策略。

• 规则 - 要使用入侵和文件策略来管理访问控制规则，以及检查和阻止恶意流量，请点击规则 (Rules)；请参阅创建和编辑访问控制规则。

• 规则冲突 - 要显示规则冲突警告，请启用显示规则冲突。当一条规则由于评估中排序靠前的规则首先匹配流量而永远无法匹配流量时，会出现规则冲突问题。因为确定规则冲突会占用很多资源，所以显示它们可能需要一些时间。有关详细信息，请参阅订购规则的最佳实践。

• 安全情报 - 要立即根据最新信誉情报将连接列入黑入单（阻止），请点击安全情报 (Security Intelligence)；请参阅配置安全情报。

• 高级选项 - 要设置预处理、SSL 检查、身份、性能及其他高级选项，请点击高级 (Advanced)；请参阅访问控制策略高级设置。

• 警告 - 要查看访问控制策略（及其后代和关联策略）中的警告或错误列表，请点击显示警告 (Show Warnings)。警告和错误标记出会对流量分析和数据流产生不利影响或阻碍策略部署的配置。如果没有警告，则会显示未出现警告。要查看规则冲突警告，请首先启用显示规则冲突。

您可以更改以下设置或执行以下操作：

• 名称和说明 - 点击名称旁边的 编辑（） ，进行更改，然后点击保存 (Save)。

• 默认操作 - 从默认操作 (Default Action) 下拉列表中选择一个值。

• 默认操作设置 - 点击 齿轮（），进行更改，然后点击确定 (OK)。您可以配置日志记录设置、外部系统日志服务器或 SNMP 陷阱服务器的位置，以及与入侵防御默认操作关联的变量集。

• 关联的策略 - 要编辑或更改数据包流中的策略，请点击策略名称下方数据包流表示中的策略类型。您可以选择 预处理规则、 SSL、 安全情报和 身份 策略。必要时，点击访问控制 (Access Control) 以返回访问控制规则。

• 策略分配 - 要标识此策略的目标受管设备，或在子域中实施此策略，请点击目标：x 设备 (Targeted: x devices) 链接。

• 规则 - 要使用入侵和文件策略来管理访问控制规则，以及检查和阻止恶意流量，请点击添加规则 (Add Rule)，或右击现有规则并选择编辑 (Edit) 或其他响应操作。操作也可从每个规则的 更多（） 按钮获取。请参阅创建和编辑访问控制规则。

• 布局 - 使用规则列表上方的网格/表视图 (Grid/Table View) 图标更改布局。网格视图以易于查看的布局提供彩色编码的对象。表视图提供摘要列表，以便您可以同时查看更多规则。您可以在不影响规则的情况下自由切换视图。

• 列（仅限表视图）- 点击规则列表上方的显示/隐藏列 (Show/Hide Columns) 图标，选择要在表中显示的信息。点击隐藏空列 (Hide Empty Columns) 以快速删除所有没有信息的列，即您不在任何规则中使用这些条件。点击恢复为默认值 (Revert to Default) 以撤消所有自定义设置。

• 命中计数 - 要查看有关与每个规则匹配的连接数的统计信息，请点击分析命中计数 (Analyze Hit Counts)。

• 其他设置 - 要更改策略的其他设置，请从数据包流行末尾的更多 (More) 下拉箭头中选择以下选项之一。

  • 高级设置 (Advanced Settings) - 要设置预处理、SSL 检查、身份、性能及其他高级选项。请参阅访问控制策略高级设置。

  • HTTP 响应 (HTTP Responses) - 要指定当系统阻止网站请求时用户在浏览器中看到的内容。请参阅选择 HTTP 响应页面。

  • 继承设置 (Inheritance Settings) - 更改此策略的基本访问控制策略，并在其后代策略中实施此策略的设置。请参阅选择基本访问控制策略和锁定后代访问控制策略中的设置。

  • 日志记录 (Logging) - 设置策略的默认日志记录选项。

锁定状态 (Lock Status) 列会显示策略是否已被锁定，如果已锁定，则显示被谁锁定。空单元格表示策略未被锁定。

如果显示视图（），则表明配置属于祖先域，或者您没有修改配置的权限。 否则，它已被其他用户锁定。

如果策略从父策略继承了设置，则在点击锁定图标时必须选择以下选项之一。

• 锁定/解锁此策略 (Lock/Unlock This Policy) - 锁定或解锁仅适用于此策略。

• 锁定/解锁此策略和层次结构中的父项 (Lock/Unlock This Policy and Parents in the Hierarchy) - 锁定或解锁此策略和所有父策略。如果父策略已被其他管理员锁定，您将看到一条消息，并且无法锁定该父策略。解锁策略时，如果您具有“覆盖访问控制策略锁定”权限，则会解锁所有父策略，即使它们已被其他用户锁定。

在受影响的设备下，系统会列出其分配的访问控制策略是当前策略子项的设备。对当前策略进行的任何更改都将影响这些设备。

如果不是第一次为此设备生成命中计数，最后一次获取的命中计数信息将出现在下拉框旁边。此外，验证最新部署时间，以确认最新的策略更改。

可以执行以下操作：

• 点击预过滤器 (Prefilter) 或AC 策略 (AC Policy)，以便在这些策略的命中计数之间切换。

• 通过在 过滤器 框中输入搜索字符串来搜索特定规则。

• 通过在过滤条件 (Filter by) 字段中选择这些选项，将列表广泛地限制为命中规则 (Hit Rules) 或从不命中规则 (Never Hit Rules)。在查看命中规则时，您可以通过在最后时间 (In Last) 字段中选择一个时间范围（例如，最近 1 天）来进一步限制列表。

• 通过点击 齿轮（） 并选择要显示的列来更改显示的列。

• 点击规则名称以对其进行编辑，或点击最后一列中的 视图（） 以查看规则详细信息。点击规则名称会在策略页面中突出显示它，您可以在该页面中对规则进行编辑。

• 通过右键单击规则并选择清除命中计数 (Clear Hit Count)，清除规则的命中计数信息（将其重置为零）。您可以使用 Ctrl+点击来选择多个规则。您无法撤销此操作。

• 通过点击页面左下角的生成 CSV (Generate CSV) 来生成页面详细信息的逗号分隔值报告。