Cisco Cisco Web Security Appliance S670 User Guide
20-4
思科网络安全设备 AsyncOS 8.8 用户指南
第 20 章 检测非标准端口上的恶意流量
创建策略以检测恶意流量
注
如果选择阻止可疑恶意软件流量,还可以选择是否始终阻止不明确的地址。默认情况
下,监控不明确的地址。
下,监控不明确的地址。
注
如果 L4 流量监控器配置为阻止,则必须在同一网络上配置 L4 流量监控器和 Web 代
理。使用网络 (Network) > 路由 (Routes) 页面可确认在为数据流量配置的路由上可访
问所有客户端。
理。使用网络 (Network) > 路由 (Routes) 页面可确认在为数据流量配置的路由上可访
问所有客户端。
d.
定义其他可疑恶意软件地址 (Additional Suspected Malware Addresses) 属性
注
将内部 IP 地址添加到 “其他可疑恶意软件地址” (Additional Suspected Malware
Addresses) 列表会导致合法目标 URL 在 L4 流量监控器报告中显示为恶意软件。要
避免这种情况,请不要在网络安全管理器 (Web Security Manager) > L4 流量监控器策
略 (L4 Traffic Monitor Policies) 页面上的其他可疑恶意软件地址 (Additional
Suspected Malware Addresses) 字段中输入内部 IP 地址。
Addresses) 列表会导致合法目标 URL 在 L4 流量监控器报告中显示为恶意软件。要
避免这种情况,请不要在网络安全管理器 (Web Security Manager) > L4 流量监控器策
略 (L4 Traffic Monitor Policies) 页面上的其他可疑恶意软件地址 (Additional
Suspected Malware Addresses) 字段中输入内部 IP 地址。
步骤 4
提交 (Submit) 并确认更改 (Commit Changes)。
相关主题
•
•
有效格式
向 “允许列表” (Allow List) 或 “其他可疑恶意软件地址” (Additional Suspected Malware
Addresses) 属性添加地址时,用空格或逗号分隔多个条目。您可以采用以下任一格式输入地址:
Addresses) 属性添加地址时,用空格或逗号分隔多个条目。您可以采用以下任一格式输入地址:
•
IPv4 IP 地址。示例:IPv4 格式:10.1.1.0。 IPv6 格式:2002:4559:1FE2::4559:1FE2
•
CIDR 地址。示例:10.1.1.0/24。
•
域名。示例:example.com。
•
主机名。示例:crm.example.com。
操作
说明
允许 (Allow) 始终允许往来于已知允许地址和未列出的地址的流量
监控
(Monitor)
(Monitor)
在以下情况下监控流量:
–
当 “用于可疑恶意软件地址的操作” (Action for Suspected Malware
Addresses) 选项设置为 “监控” (Monitor) 时,始终监控并非往来于已
知允许地址的所有流量。
Addresses) 选项设置为 “监控” (Monitor) 时,始终监控并非往来于已
知允许地址的所有流量。
–
当 “用于可疑恶意软件地址的操作” (Action for Suspected Malware
Addresses) 选项设置为 “阻止” (Block) 时,监控往来于不明确的地址的
流量。
Addresses) 选项设置为 “阻止” (Block) 时,监控往来于不明确的地址的
流量。
阻止 (Block) 当“用于可疑恶意软件地址的操作”(Action for Suspected Malware Addresses)
选项设置为 “阻止” (Block) 时,阻止往来于已知恶意软件地址的流量。