Cisco Cisco Web Security Appliance S380 User Guide
20-2
思科网络安全设备 AsyncOS 8.8 用户指南
第 20 章 检测非标准端口上的恶意流量
配置 L4 流量监控器
配置 L4 流量监控器
准备工作
•
在防火墙内部配置 L4 流量监控器。
•
确保 L4 流量监控器在代理端口后并在对客户端 IP 地址执行网络地址转换 (NAT) 的任何设
备前以 “逻辑”方式进行连接。
备前以 “逻辑”方式进行连接。
已知站点列表
配置 L4 流量监控器全局设置
步骤 1
依次选择安全服务 (Security Services) > L4 流量监控器 (L4 Traffic Monitor)。
步骤 2
点击编辑全局设置 (Edit Global Settings)。
步骤 3
选择是否启用 L4 流量监控器。
步骤 1
配置全局设置
请参阅
。
步骤 2
创建 L4 流量监控器策略
请参阅
地址
说明
已知允许
在 “允许列表” (Allow List) 属性中列出的任何 IP 地址或主机名。这些地
址作为 “白名单”地址显示在日志文件中。
址作为 “白名单”地址显示在日志文件中。
未列出
既不是已知的恶意软件站点也不是已知的允许地址的任何 IP 地址。它们列
示在 “允许列表” (Allow List)、“其他可疑恶意软件地址” (Additional
Suspected Malware Addresses) 属性或 L4 流量监控器数据库中。这些地址
不会显示在日志文件中。
示在 “允许列表” (Allow List)、“其他可疑恶意软件地址” (Additional
Suspected Malware Addresses) 属性或 L4 流量监控器数据库中。这些地址
不会显示在日志文件中。
不明确
这些地址作为 “灰名单”地址显示在日志文件中,包括:
–
同时与未列出的
主机名以及已知恶意软件主机名关联的任何 IP 地址。
–
同时与未列出的
主机名以及 “其他可疑恶意软件地址” (Additional
Suspected Malware Addresses) 属性中的主机名关联的任何 IP 地址。
已知恶意软件
这些地址作为 “黑名单”地址显示在日志文件中,包括:
–
L4 流量监控器数据库确定为已知恶意软件站点且 “允许列表”
(Allow List) 中未列出的任何 IP 地址或主机名。
(Allow List) 中未列出的任何 IP 地址或主机名。
–
在 “其他可疑恶意软件地址” (Additional Suspected Malware
Addresses) 属性中列出、未在 “允许列表” (Allow List) 中列出且
不属于不明确地址的任何 IP 地址
Addresses) 属性中列出、未在 “允许列表” (Allow List) 中列出且
不属于不明确地址的任何 IP 地址