Cisco Cisco Firepower Management Center 4000 User Guide
13-2
FireSIGHT 系统用户指南
第 13 章 使用安全情报 IP 地址信誉实施黑名单
选择安全情报战略
选择安全情报战略
许可证:保护
受支持的设备:任何防御中心,除了 2 系列
受支持的防御中心:除 DC500 外的所有型号
构建黑名单最简易的方式是使用情报源,该情报源跟踪已知为开放中继、已知攻击者、伪造 IP 地
址(虚假地址)的 IP 地址。因为情报源定期更新,使用它可确保系统使用最新信息来过滤网络流
量。恶意 IP 地址是指诸如恶意软件、垃圾邮件、僵尸网络以及网络钓鱼的安全威胁,它们的出现和
消失速度要快于更新和应用新策略的速度。
址(虚假地址)的 IP 地址。因为情报源定期更新,使用它可确保系统使用最新信息来过滤网络流
量。恶意 IP 地址是指诸如恶意软件、垃圾邮件、僵尸网络以及网络钓鱼的安全威胁,它们的出现和
消失速度要快于更新和应用新策略的速度。
为扩大情报源,可以使用自定义或第三方 IP 地址列表和源来执行安全情报过滤,其中:
•
list 是 IP 地址的静态列表,可以将其上传至防御中心
•
feed是防御中心定期从互联网下载的 IP 地址的动态列表;情报源是一种特殊的源
使用安全情报全局黑名单
在分析过程中,可以通过在事件视图、情景管理器或控制面板中选择任何 IP 地址来构建全局黑名
单。例如,如果注意到入侵事件中的一组可路由 IP 地址涉及漏洞攻击尝试,可以立即将这些 IP 地
址添加到黑名单。在所有访问控制策略中,防御中心使用此全局黑名单(和相关的
单。例如,如果注意到入侵事件中的一组可路由 IP 地址涉及漏洞攻击尝试,可以立即将这些 IP 地
址添加到黑名单。在所有访问控制策略中,防御中心使用此全局黑名单(和相关的
全局白名单)来
执行安全情报过滤。如需管理这些全局列表的相关信息,请参阅
。
注
尽管全局黑名单(或全局白名单;请见下文)的源更新和增添会在整个部署中自动实施更改,但对
安全情报对象做出的任何其他更改均需要重新应用访问控制策略。有关详细信息,请参阅
安全情报对象做出的任何其他更改均需要重新应用访问控制策略。有关详细信息,请参阅
使用网络对象
最后,构建黑名单的一种简便方式为使用代表 IP 地址、 IP 地址块或 IP 地址集合的网络对象或网
络对象组。如需创建和修改网络对象的相关信息,请参阅
络对象组。如需创建和修改网络对象的相关信息,请参阅
。
使用安全情报白名单
除了黑名单,每个访问控制策略还有关联的白名单,也可以使用安全情报对象来进行填充。策略
的白名单可以覆盖其黑名单。即系统使用访问控制规则评估已列入白名单的源或目标 IP 地址的流
量,即便 IP 地址也被列入黑名单。通常,如果黑名单仍然有用,但范围又太过广泛,错误地阻止
您想要检查的流量,则可以使用白名单。
的白名单可以覆盖其黑名单。即系统使用访问控制规则评估已列入白名单的源或目标 IP 地址的流
量,即便 IP 地址也被列入黑名单。通常,如果黑名单仍然有用,但范围又太过广泛,错误地阻止
您想要检查的流量,则可以使用白名单。
例如,如果可信源不当地阻止了对重要资源的访问,但其整体而言对您的组织有用,可以仅将不
当分类的 IP 地址列入白名单,而不是从黑名单移除整个源。
当分类的 IP 地址列入白名单,而不是从黑名单移除整个源。
通过安全区域实施安全情报过滤
为提高精细度,可以根据连接中的源或目标 IP 地址是否位于特定安全区域来实施安全情报过滤。
要扩展以上的白名单示例,可以将不当分类的 IP 地址列入白名单,但随后使用组织中需要访问 IP
地址的人员所使用的安全区域限制白名单对象。这样,只有有业务需要的人员才可以访问列入白名
单的 IP 地址。再如,您可以使用第三方垃圾邮件源将邮件服务器安全区域上的流量列入黑名单。
地址的人员所使用的安全区域限制白名单对象。这样,只有有业务需要的人员才可以访问列入白名
单的 IP 地址。再如,您可以使用第三方垃圾邮件源将邮件服务器安全区域上的流量列入黑名单。