Cisco Cisco Firepower Management Center 4000 User Guide
第
章
13-1
FireSIGHT 系统用户指南
13
使用安全情报 IP 地址信誉实施黑名单
作为防御恶意互联网内容的第一道防线,FireSIGHT 系统包括安全情报功能,可供您根据最新声誉
情报立即将连接列出黑入单(阻止),再也无需资源更密集型深入分析。安全情报过滤要求具备保
护许可证,支持除 2 系列之外的所有受管设备。
情报立即将连接列出黑入单(阻止),再也无需资源更密集型深入分析。安全情报过滤要求具备保
护许可证,支持除 2 系列之外的所有受管设备。
安全情报通过阻止具有已知不良声誉的 IP 地址的往返流量而发挥作用。这种流量过滤发生于任何其
他基于策略的检查、分析或流量处理之前(但是其确实发生于快速路径等硬件级别处理之后)。
他基于策略的检查、分析或流量处理之前(但是其确实发生于快速路径等硬件级别处理之后)。
请注意,您可以通过 IP 地址手动限制流量来创建可执行与安全情报过滤类似的功能的访问控制规
则。但是,访问控制规则范围更广泛,配置更为复杂,并且无法使用动态源自动更新。
则。但是,访问控制规则范围更广泛,配置更为复杂,并且无法使用动态源自动更新。
被安全情报列入黑名单的流量会被立即阻止,因此其将不接受任何进一步检测 — 既不检查其是
否存在入侵、漏洞、恶意软件等,也不检测其是否存在网络发现。或者,在被动部署中建议选择
使用安全情报过滤的仅监控设置。这使系统能够分析本应被列入黑名单的连接,但也将匹配项记
录至黑名单并生成连接结束安全情报事件。
否存在入侵、漏洞、恶意软件等,也不检测其是否存在网络发现。或者,在被动部署中建议选择
使用安全情报过滤的仅监控设置。这使系统能够分析本应被列入黑名单的连接,但也将匹配项记
录至黑名单并生成连接结束安全情报事件。
注意事项
对于3 系列设备所处理的流量,系统将先处理某些“信任”规则,然后才处理访问控制策略的安
全情报黑名单,这样会允许列入黑名单的流量未经检查就通过。有关详细信息,请参阅
全情报黑名单,这样会允许列入黑名单的流量未经检查就通过。有关详细信息,请参阅
为了您的方便,思科提供
情报源 (有时称为 Sourcefire 情报源),它包括由 VRT 确定具有不良声
誉且定期更新的多个 IP 地址集合组成。情报源会跟踪开放式中继、已知攻击者、伪造的 IP 地址
(虚假地址)等等。您还可自定义功能以满足贵组织的独特需求,例如:
•
第三方源 — 使用第三方声誉源补充情报源,系统可以像更新思科源一样自动更新第三方声誉源
•
自定义黑名单 — 系统允许您以多种方式根据自己的需求将特定 IP 地址手动列入黑名单
•
按安全区域实施黑名单 — 为提高性能,您可能想要锁定实施目标,例如将垃圾邮件黑名单限
定于处理邮件流量的区域
定于处理邮件流量的区域
•
监控,而不是列入黑名单 — 在被动部署中及对于其实施之前的源测试尤为有用;只监控违规
会话,而不阻止它们,从而生成连接结束事件
会话,而不阻止它们,从而生成连接结束事件
•
列入白名单以消除误报 — 当黑名单范围太大或不正确阻止想要允许的流量(例如,重要资
源)时,可使用自定义白名单覆盖黑名单
源)时,可使用自定义白名单覆盖黑名单
有关配置访问控制策略以执行安全情报过滤和查看此过滤功能生成的事件数据的详细信息,请参
阅以下章节:
阅以下章节:
•
•
•
•