Cisco Cisco Firepower Management Center 4000 User Guide

65-5

FireSIGHT 系统用户指南 

第 65 章      许可 FireSIGHT 系统 

  了解许可  

如从防御中心删除许可证或在受管设备上禁用 URL 过滤，则可能无法访问 URL 过滤。此外，
URL 过滤许可证可能过期。如果许可证过期，或如果删除或禁用许可证，带 URL 条件的访问控
制规则将立即停止过滤 URL，防御中心再也不能联系云。如果现有访问控制策略包括的规则带有
基于类别和信誉的 URL 条件，则不能应用该等策略。

恶意软件

许可证：恶意软件

受支持的设备：3 系列、虚拟、 ASA FirePOWER

受支持的防御中心：除 DC500 外的所有型号

恶意软件许可证可用于执行高级恶意软件防护，也即是说，使用受管设备检测并拦截通过网络传
输的文件中的恶意软件。要在受管设备上启用恶意软件，您还必须启用保护。

注

启用了恶意软件许可证的受管设备会定期尝试连接到思科云，即使未配置动态分析。因此，设备
的接口流量控制板小组件显示传输的流量；这是预期行为。

配置恶意软件检测作为文件策略的一部分，然后与一个或多个访问控制规则相关联。文件策略可
以通过特定应用协议检测用户是否上传或下载特定类型的文件。恶意软件许可证可用于在这些文
件类型受限集中检查恶意软件，以及下载并提交特定文件类型至思科云供执行动态和 Spero 分
析，以确定其是否包含恶意软件。恶意软件许可证还可用于添加特定文件至文件列表并在文件策
略中启用文件列表，从而在检测时自动允许或拦截这些文件。

虽然可添加恶意软件检测文件策略至访问控制规则，而无需恶意软件许可证，在访问控制规则编
辑器中，文件策略标有警告图标  (

)。在文件策略中，恶意软件云查找规则也标有警告图标。在

可应用包括恶意软件检测文件策略的访问控制策略之前，必须添加恶意软件许可证，然后在作为
该策略目标的设备上启用它。如果稍后禁用设备上的许可证，而且现有访问控制策略包括的文件
策略执行恶意软件检测，则无法向这些设备重新应用现有访问控制策略。

如果删除所有恶意软件许可证或这些许可证全都过期，防御中心停止执行恶意软件云查找，并停
止确认从思科云发送的回顾性事件。如果现有访问控制策略包括的文件策略执行恶意软件检测，
则将无法重新应用现有访问控制策略。请注意，在恶意软件许可证已过期或被删除后的极短时间
内，系统可将缓存布置用于恶意软件云查找文件规则检测的文件。在时窗过期后，系统将向这些
文件分配

不可用的

布置，而不是执行查找。

请注意，只有想要系统检测网络流量中的恶意软件时，才需要 恶意软件 许可证。没有恶意软件
许可证，如果贵组织有 FireAMP 订用，则防御中心可从思科云接收基于终端的恶意软件事件。有
关详细信息，请参阅

。

许可证：VPN

受支持的设备：3 系列

VPN 可用于在终端之间通过公共资源建立安全隧道，例如互联网或其他网络。可配置 FireSIGHT 
系统在思科受管设备的虚拟路由器之间构建安全 VPN 隧道。要启用 VPN，您还必须启用保护和
可控性许可证。

没有 VPN 许可证，就不能用受管设备配置 VPN 部署。虽然可创建部署，但不用至少启用一个 
VPN 的路由接口填充部署，则部署无用。

如从 VPN 删除防御中心许可证，或在每台设备上禁用 VPN，则受影响设备将不中断当前 VPN 部
署。尽管可编辑和删除现有部署，但不能对受影响设备应用更改。