此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
通常,规则指定用户、组、角色或组织访问域中指定类型和状态的对象的权限。 多云防御 支持各种云服务提供商,每种环境都有自己的规则要求或方法。在云账户中创建的规则的处理方式可能与在 多云防御控制器中创建的规则不同。某些规则默认应用于网关和实例,因此在您继续添加和修改规则和策略以实现最佳性能和覆盖范围时,环境具有基本的保护级别。
考虑您要适应的网关环境类型时,规则 类型 非常重要。并非所有规则或规则类型都与每个网关环境完全兼容。 多云防御控制器 中支持的网关类型包括入口、出口和东西向。
有关规则和规则集的信息,或者如何创建或修改策略和组的规则和规则集,请阅读本章的其余部分。
策略在 多云防御 控制面板中创建,或使用 多云防御 Terraform 提供程序通过协调创建。策略作为 多云防御控制器 数据库的一部分进行存储和保留。网关通过定期心跳检索策略或任何策略更改,其中网关提供控制器运行状况和遥测信息,同时请求是否需要应用任何策略更改。与控制器通信的网关是完全加密的,并通过相互 TLS 会话建立。检测信号每 5 秒发生一次,以确保网关上的策略与用户创建或修改的策略同步。
分配给网关的策略规则集可以动态更改为不同的策略规则集。如果需要将不同的策略规则集交换到活动网关,则可以以非影响方式启动此操作。新策略规则集的分配与网关更新/升级过程类似。新的网关实例使用新的策略规则集进行实例化。一旦新流量会话处于活动状态且运行状况正常,它们将被重定向到新的流量会话。旧的流量会话从旧的命途实例中刷新。旧的未来实例将被删除。操作将在几分钟内完成。此更改作为网关配置设置的一部分启动。导航至 。可以使用 多云防御 门户或 多云防御 Terraform 提供程序启动更改。
策略规则与其关联的网关之间的连接状态可以是以下两个选项之一:
已更新 - 策略在网关上处于活动状态,并与控制器同步。
正在更新 - 网关正在主动处理策略更改。策略更改为网关所知,但尚未激活。网关仍在使用当前策略处理流量。
规则集由一组规则组成,这些规则定义应用于一组一个或多个网关以适应应用和工作负载保护的分段和高级安全策略。规则以优先级列表的形式组织,其中流量由匹配的规则处理,采取常规操作来允许或拒绝,并通过高级安全性进行进一步检查。
规则集必须至少与一个 多云防御网关相关联。以下限制适用于所有规则集:
规则集与云无关,可应用于多个云环境中的一个或多个网关操作。
网关只能与一个规则集关联,但使用规则集组可以应用多个规则集。
规则集中的规则可以使用已发现的云资产信息来形成动态策略或实时适应变化的策略。
规则集可以包括仅适用于特定云账户和/或云区域的规则,但规则集适用于跨云环境的网关。以下为输出示例:
应用于跨两个云的两个网关的规则集中的基于动态标记的地址对象可以解析为与一个云中的网关关联的一组 IP 地址,同时解析为一组不同的 IP与另一个云中的网关关联的地址。
可以从 页面或从网关创建工作流程中创建规则集。下图显示了应用于多个网关的单个规则集:
另一个受支持的使用案例是与多个网关关联的多个规则集。
策略规则集组是独立规则集的集合。用户可以将多个独立规则集组合到一个策略规则集组中,并将该组与一个或多个 多云防御网关关联。策略规则集组允许组织以有组织的方式分离策略,并将其组合为总体策略。
 Note |
|
要创建策略规则集,请执行以下操作:
|
Step 1 |
导航至 。 |
|
Step 2 |
点击创建 (Create)。 |
|
Step 3 |
添加策略规则集的名称和说明。 |
|
Step 4 |
点击 Save。 |
创建策略规则集后, 将独立规则添加 到规则集中。
使用以下程序将现有规则添加到策略规则集中或编辑策略规则集中已包含的规则:
您可以在 多云防御网关中创建新规则。在向规则集中添加或编辑规则之前,请注意以下限制:
单个策略规则集最多可以有 2047 条规则。
一个策略规则集组最多可以包含 2047 条规则。
|
步骤 1 |
导航至 。 |
|
步骤 2 |
点击策略规则集名称以查看策略规则集。 |
|
步骤 3 |
点击 添加规则 以创建新规则或添加现有规则。这会生成一个提示符。 |
|
步骤 4 |
输入以下属性:
|
|
步骤 5 |
输入以下对象信息:
|
|
步骤 6 |
输入详细信息:
|
|
步骤 7 |
输入以下配置文件信息:
|
|
步骤 8 |
指定规则的配置后,点击 保存。 |
|
步骤 9 |
继续添加更多规则。添加所有所需规则后,点击 保存更改。您将看到对规则集所做的所有更改的前后视图。完成所需更改后,点击 保存。如果需要进行进一步更改,请点击 取消 以返回编辑规则集。 |
使用以下程序将现有规则添加到策略规则集中或编辑策略规则集中已包含的规则:
您可以在 多云防御网关中创建新规则。在向规则集中添加或编辑规则之前,请注意以下限制:
单个策略规则集最多可以有 2047 条规则。
一个策略规则集组最多可以包含 2047 条规则。
|
步骤 1 |
导航至 。 |
|
步骤 2 |
点击策略规则集名称以查看策略规则集。 |
|
步骤 3 |
点击 添加规则 以创建新规则或添加现有规则。这会生成一个提示符。 |
|
步骤 4 |
输入以下属性:
|
|
步骤 5 |
输入以下对象信息:
|
|
步骤 6 |
选择首选规则 操作。这定义了应允许还是拒绝流量,以及是否应在事件中记录流量。无论操作设置为 记录 还是 无记录,流量始终记录在流量摘要中。对于规则允许的流量,系统将评估高级安全配置文件。请注意,每个高级安全配置文件都有自己的操作,这些操作将使用或覆盖此操作。 |
|
步骤 7 |
输入以下配置文件信息:
|
|
步骤 8 |
指定规则的配置后,点击 保存。 |
|
步骤 9 |
继续添加更多规则。添加所有所需规则后,点击 保存更改。您将看到对规则集所做的所有更改的前后视图。完成所需更改后,点击 保存。如果需要进行进一步更改,请点击 取消 以返回编辑规则集。 |
使用以下程序将现有规则添加到策略规则集中或编辑策略规则集中已包含的规则:
您可以在 多云防御网关中创建新规则。在向规则集中添加或编辑规则之前,请注意以下限制:
单个策略规则集最多可以有 2047 条规则。
一个策略规则集组最多可以包含 2047 条规则。
|
Step 1 |
导航至 。 |
|
Step 2 |
点击策略规则集名称以查看策略规则集。 |
|
Step 3 |
点击 添加规则 以创建新规则或添加现有规则。这会生成一个提示符。 |
|
Step 4 |
输入以下属性:
|
|
Step 5 |
输入以下对象信息:
|
|
Step 6 |
输入首选规则 操作。这定义了应允许还是拒绝流量,以及是否应在事件中记录流量。无论操作设置为 记录 还是 无记录,流量始终记录在流量摘要中。对于规则允许的流量,系统将评估高级安全配置文件。请注意,每个高级安全配置文件都有自己的操作,这些操作将使用或覆盖此操作: |
|
Step 7 |
输入以下配置文件信息:
|
|
Step 8 |
指定规则的配置后,点击 保存。 |
|
Step 9 |
继续添加更多规则。添加所有所需规则后,点击 保存更改。您将看到对规则集所做的所有更改的前后视图。完成所需更改后,点击 保存。如果需要进行进一步更改,请点击 取消 以返回编辑规则集。 |
使用以下程序可编辑或克隆为规则集配置的现有规则。如果当前策略或规则集不需要某个规则处于活动状态,也可以禁用该规则。如果现在或将来的部署不需要规则,可以将其删除。
请注意,一次只能编辑或克隆一个规则。您可以同时禁用或删除多个规则。
|
步骤 1 |
导航至 。 |
|
步骤 2 |
找到包含要禁用、编辑、克隆或删除的规则的规则集,然后点击规则集名称。 |
|
步骤 3 |
选中独立规则的复选框。 |
|
步骤 4 |
展开 操作 按钮。 |
|
步骤 5 |
选择您的可操作项目:
|
|
步骤 6 |
点击 保存更改 以确认对规则所做的更改,并间接执行规则集。如果您不想保存更改,可以点击 取消。确认丢失对网关所做的任何更改。 |
要创建策略规则集组,请执行以下操作:
|
Step 1 |
导航至 。 |
|
Step 2 |
点击创建 (Create)。 |
|
Step 3 |
添加策略组的名称和说明。 |
|
Step 4 |
选择 类型 作为组。 |
|
Step 5 |
展开下拉菜单,在 规则集列表 部分添加规则集。如果要添加更多规则集,请点击 添加规则集 以添加另一行。 |
反馈