Cisco Cisco Firepower Management Center 4000 User Guide
第
章
18-1
FireSIGHT 系统用户指南
18
使用入侵和文件策略控制流量
入侵策略和文件策略在 FireSIGHT 系统中共同发挥作用,作为允许流量到达其目的地之前的最后
一道防线。
一道防线。
•
入侵策略监管系统的入侵防御功能;请参阅
。
•
文件策略监管系统的基于网络的文件控制和高级恶意软件防护 (AMP) 功能;请参阅
。
基于硬件的快速路径、基于安全情报的流量过滤(黑名单)、基于 SSL 检查的决策以及流量解码和
预处理均发生在检查网络流量是否存在入侵、受禁文件和恶意软件之前。访问控制规则和访问控
制默认操作确定哪些流量由入侵策略和文件策略进行检查。
预处理均发生在检查网络流量是否存在入侵、受禁文件和恶意软件之前。访问控制规则和访问控
制默认操作确定哪些流量由入侵策略和文件策略进行检查。
通过将入侵策略或文件策略与访问控制规则相关联,您是在告诉系统:在其传递符合访问控制规
则条件的流量之前,您首先想要使用入侵策略和/或文件策略检测流量。
则条件的流量之前,您首先想要使用入侵策略和/或文件策略检测流量。
注
默认情况下,系统禁用对已加密负载的入侵和文件检查。当已加密连接与配置了入侵和文件检查
的访问控制规则相匹配时,这有助于减少误报和提高性能。有关详细信息,请参阅
的访问控制规则相匹配时,这有助于减少误报和提高性能。有关详细信息,请参阅
和
。
入侵防御和 AMP 要求您在自己的访问控制策略目标设备上启用特定许可功能,如下表所述。
如果贵组织有订用 FireAMP,则防御中心还可以接收来自思科云的基于终端的恶意软件检测数
据。防御中心呈现这些数据以及系统生成的基于网络的任何文件和恶意软件数据。除您的
FireAMP订阅外,导入FireAMP数据无需许可证。有关详细信息,请参阅
据。防御中心呈现这些数据以及系统生成的基于网络的任何文件和恶意软件数据。除您的
FireAMP订阅外,导入FireAMP数据无需许可证。有关详细信息,请参阅
。
表
18-1
入侵和文件检查的许可证和型号要求
功能
说明
许可证
支持的防御中心
支持的设备
入侵防御
检测和(可选)阻止入侵和漏洞
保护
任何环境
任何环境
文件控制
检测和(可选)阻止文件类型传输 保护
任何环境
任何环境
高级恶意软件防护
(AMP)
(AMP)
检测、存储、跟踪和(可选)阻止
恶意软件传输
恶意软件传输
将捕获的文件提交到思科云进行
恶意软件分析
恶意软件分析
恶意软件
除 DC500 外的所有型号
除 2 系列或 X -系
列外的所有型号
列外的所有型号