在安全網路裝置中阻止流量

下載選項

PDF (476.9 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (176.1 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (164.2 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2024 年 10 月 11 日

文件 ID:222466

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹在安全網路裝置(SWA)中阻止流量的步驟。

必要條件

需求

思科建議您瞭解以下主題：

SWA管理。

思科建議您：

已安裝物理或虛擬SWA。

對SWA圖形使用者介面(GUI)的管理訪問。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

阻塞流量

在SWA中阻止流量是確保網路安全、保持對內部策略的遵守以及防範惡意活動的關鍵步驟。以下是封鎖流量的一些常見原因：

按源阻止的原因

單個或多個使用者泛洪：當一個或多個使用者生成過多的流量時，網路可能會被淹沒，從而導致效能下降和潛在的服務中斷。
應用程式（使用者代理程式）的未信任資源存取：某些應用程式可能會嘗試存取未信任或可能有害的資源。阻止這些使用者代理有助於防止安全漏洞和資料洩漏。
限制特定IP範圍的Internet訪問：某些IP地址或範圍由於安全策略或為了防止未經授權的使用而可能需要限制其訪問Internet。
可疑的流量行為：必須阻止表現出異常模式或行為可能表明惡意活動或安全威脅的流量，以保護網路。

按目標阻止的原因

遵守公司內部政策：組織通常有限制訪問某些網站或線上資源的政策，以確保工作效率和遵守法律或法規要求。
不受信任的站點：阻止訪問被認為不可信或可能有害的網站，有助於保護使用者免受網路釣魚、惡意軟體和其他線上威脅的侵害。
惡意行為：必須阻止已知託管惡意內容或從事有害活動的網站，以防止安全事故和資料洩露。

阻止流量的步驟

一般而言，在SWA中阻止流量需要三個主要階段：

為使用者建立標識配置檔案。
在解密策略中阻止HTTPS流量。
在Access Policy中阻止HTTP流量。

階段	阻止特定使用者訪問任何網站	阻止特定使用者訪問某些網站
自訂URL類別	不適用。	為您計畫阻止訪問的站點建立自定義URL類別。有關詳情，請訪問：在安全Web裝置中配置自定義URL類別-思科
標識配置檔案	步驟 1.在GUI中，選擇網路安全管理器，然後按一下標識配置檔案。步驟 2.按一下Add Profile以增加配置檔案。步驟 3.使用Enable Identification Profile覈取方塊可啟用此配置檔案，或者快速停用此配置檔案而不刪除它。步驟 4.指定唯一的設定檔名稱。步驟5. （可選）增加說明。步驟 6.從Insert Above下拉選單中，選擇此配置檔案在表中的顯示位置。步驟 7. 在User Identification Method部分中，選擇Exempt from authentication/identication。步驟 8.在Define Members by Subnet中，輸入此標識配置檔案必須應用的IP地址或子網。您可以使用IP地址、無類域間路由(CIDR)塊和子網。	注意：要阻止所有使用者訪問某些網站，不需要建立單獨的ID配置檔案。這可以透過全局解密/訪問策略進行有效管理。步驟 1.在GUI中，選擇網路安全管理器，然後按一下標識配置檔案。步驟 2.按一下Add Profile以增加配置檔案。步驟 3.使用Enable Identification Profile覈取方塊可啟用此配置檔案，或者快速停用此配置檔案而不刪除它。步驟 4.指定唯一的設定檔名稱。步驟5. （可選）增加說明。步驟 6.從Insert Above下拉選單中，選擇此配置檔案在表中的顯示位置。步驟 7. 在User Identification Method部分中，選擇Exempt from authentication/identication。步驟 8.在Define Members by Subnet中，輸入此標識配置檔案必須應用的IP地址或子網。您可以使用IP地址、無類域間路由(CIDR)塊和子網。步驟 9. 按一下高級，然後增加您要阻止訪問的URL類別。
解密策略	步驟 1.在GUI中，選擇Web Security Manager，然後按一下Decryption Policy。步驟 2. 按一下Add Policy以增加解密策略。步驟 3.使用Enable Policy覈取方塊啟用此策略。步驟 4.分配唯一的策略名稱。步驟5. （可選）增加說明。步驟 6.從Insert Above Policy下拉選單中，選擇第一個Policy。步驟 7.從Identification Profiles and Users中，選擇您在前面的步驟中建立的標識配置檔案。步驟 8.提交。步驟 9.在解密策略頁的URL過濾下，按一下與此新解密策略關聯的連結。提示：假設您正在阻止所有URL類別，可以透過刪除自定義URL類別並僅使用預定義的URL類別來最佳化策略。這透過避免將URL與自定義URL類別進行匹配的額外步驟來減少SWA的處理負載。步驟 10.選擇Drop作為每個URL類別的操作。步驟 11. 在同一頁中，向下滾動到Unclassified URLs，並從下拉選單中選擇Drop。步驟 12.提交。影象-用於阻止特定使用者的所有網站的解密策略	步驟 1.在GUI中，選擇Web Security Manager，然後按一下Decryption Policy。步驟 2. 按一下Add Policy以增加解密策略。步驟 3.使用Enable Policy覈取方塊啟用此策略。步驟 4.分配唯一的策略名稱。步驟5. （可選）增加說明。步驟 6.從Insert Above Policy下拉選單中，選擇第一個Policy。步驟 7.從Identification Profiles and Users中，選擇您在前面的步驟中建立的標識配置檔案。步驟 8.提交。步驟 9. 在Decryption Policies 頁面的URL Filtering下，點選與此新解密策略關聯的連結。步驟 10.選擇Drop作為為阻止的網站建立的自定義URL類別的操作。步驟 11.按一下Submit。影象-阻止解密策略中的某些URL
訪問策略	步驟 1.在GUI中選擇網路安全管理器，然後按一下訪問策略。步驟 2. 按一下Add Policy以增加訪問策略。步驟 3.使用Enable Policy覈取方塊啟用此策略。步驟 4.分配唯一的策略名稱。步驟5. （可選）增加說明。步驟 6.從Insert Above Policy下拉選單中，選擇第一個Policy。步驟 7.從Identification Profiles and Users中，選擇您在前面的步驟中建立的標識配置檔案。步驟 8.提交。步驟 9.在訪問策略頁的協定和使用者代理下，按一下與此新訪問策略相關聯的連結。步驟 10. 在Edit Protocols and User Agents Settings 下拉選單中選擇Define Custom Settings。步驟 11.在 Block Protocols選擇兩個核取方塊 FTP over HTTP和HTTP。步驟 12.在 HTTP連線埠，刪除每個埠號以阻塞所有埠。映像-訪問策略中的阻塞協定和連線埠步驟 13.提交。步驟14. （可選）在訪問策略頁的URL過濾下，點選與此新訪問策略關聯的連結，然後選擇Block作為每個URL類別的操作，並且未分類的URL，然後提交。提示：假設您正在阻止所有URL類別，可以透過刪除自定義URL類別並僅使用預定義的URL類別來最佳化策略。這透過避免將URL與自定義URL類別進行匹配的額外步驟來減少SWA的處理負載。步驟 16.提交更改。映像-用於阻止所有站點的訪問策略	步驟 1.在GUI中選擇網路安全管理器，然後按一下訪問策略。步驟 2. 按一下Add Policy以增加訪問策略。步驟 3.使用Enable Policy覈取方塊啟用此策略。步驟 4.分配唯一的策略名稱。步驟5. （可選）增加說明。步驟 6.從Insert Above Policy下拉選單中，選擇第一個Policy。步驟 7.從Identification Profiles and Users中，選擇您在前面的步驟中建立的標識配置檔案。步驟 8.提交。步驟 9. 在訪問策略頁的URL過濾下，點選與此新訪問策略關聯的連結第10步：選擇阻止作為為阻止的網站建立的自定義URL類別的操作。步驟 11.提交。步驟 12.提交更改。圖-在訪問策略中阻止某些URL