Cisco Cisco Firepower Management Center 4000 User Guide
18-3
FireSIGHT 系统用户指南
第 18 章 使用入侵和文件策略控制流量
检查允许的流量中是否存在入侵和恶意软件
策略中的第四个也是最后一条规则(Allow 规则)按照以下顺序调用各种其他策略以检查和处理匹
配的流量:
配的流量:
•
发现︰网络发现策略 — 首先,网络发现策略检查流量是否存在发现数据。发现是被动分析,
并不影响流量的流动。尽管不显式启用发现,但您可以增强或禁用它。但是,允许流量不会
自动保证发现数据收集。系统仅对涉及网络发现策略显式监控的 IP 地址的连接进行发现。有
关详细信息,请参阅
并不影响流量的流动。尽管不显式启用发现,但您可以增强或禁用它。但是,允许流量不会
自动保证发现数据收集。系统仅对涉及网络发现策略显式监控的 IP 地址的连接进行发现。有
关详细信息,请参阅
。
•
高级恶意软件防护和文件控制:文件策略 — 在流量由发现检查之后,系统检查其中是否存在
受禁文件和恶意软件。基于网络的 AMP 检测和阻止(可选)许多类型文件中的的恶意软件,包
括 PDF、Microsoft Office 文档和其他文件。如果贵组织不仅要阻止传输恶意软件文件,还要阻
止特定类型的所有文件(无论文件是否包含恶意软件),则 file control 可供您监控网络流量中
特定文件类型的传输,然后阻止或允许文件。
受禁文件和恶意软件。基于网络的 AMP 检测和阻止(可选)许多类型文件中的的恶意软件,包
括 PDF、Microsoft Office 文档和其他文件。如果贵组织不仅要阻止传输恶意软件文件,还要阻
止特定类型的所有文件(无论文件是否包含恶意软件),则 file control 可供您监控网络流量中
特定文件类型的传输,然后阻止或允许文件。
•
入侵防御:入侵策略 — 在文件检查之后,系统可以检查流量中是否存在入侵和漏洞。入侵策
略根据模式检查已解码数据包中是否存在攻击,并且可以阻止或修改恶意流量。入侵策略与
变量集配对,可供您使用指定值准确反映您的网络环境。
略根据模式检查已解码数据包中是否存在攻击,并且可以阻止或修改恶意流量。入侵策略与
变量集配对,可供您使用指定值准确反映您的网络环境。
•
目的地 — 通过上述所有检查的流量将传递到其目的地。
请注意,Interactive Block 规则(未显示在图中)具有与 Allow 规则相同的检查选项。因此,您可以
在用户通过点击警告页面绕过已阻止网页时检查流量是否存在恶意内容。有关详细信息,请参阅
在用户通过点击警告页面绕过已阻止网页时检查流量是否存在恶意内容。有关详细信息,请参阅
。
不与策略中任何非监控访问控制规则相匹配的流量由默认操作来处理。在这种情况下,默认操作
是入侵防御操作,只要流量由您指定的入侵策略进行传递,它就允许流量到达其最终目的地。在
不同部署中,您可能具有信任或阻止所有流量而无需进一步检查的默认操作;请参阅
是入侵防御操作,只要流量由您指定的入侵策略进行传递,它就允许流量到达其最终目的地。在
不同部署中,您可能具有信任或阻止所有流量而无需进一步检查的默认操作;请参阅
。请注意,系统可能检测默认操作允许的流量是否存在发现数据和入侵,而不是检测其
是否存在受禁文件或恶意软件。您无法将文件策略与访问控制默认操作相关联。
注
有时,当访问控制策略分析某条连接时,系统必须处理该连接中的头几个数据包,从而让其通过,
然后才能确定哪个访问控制规则(如有)将处理流量。因此,这些数据包不会未经检测就到达其目
的地,您可以使用称为默认入侵策略的入侵策略对其进行检测并生成入侵事件。有关详细信息,请
参阅
然后才能确定哪个访问控制规则(如有)将处理流量。因此,这些数据包不会未经检测就到达其目
的地,您可以使用称为默认入侵策略的入侵策略对其进行检测并生成入侵事件。有关详细信息,请
参阅
。
有关上述情景的更多信息以及如何将文件和入侵策略与访问控制规则和访问控制默认操作相关联
的说明,请参阅:
的说明,请参阅:
•
•
•
•
了解文件和入侵检查顺序
许可证:保护或恶意软件
受支持的设备:因功能而异
受支持的防御中心:因功能而异
制规则,包括同时与文件策略和入侵规则相关联的 Allow 规则。在您的访问控制策略中,您可以
将多个 Allow 和 Interactive Block 规则与不同的入侵和文件策略相关联,以使检查配置文件匹配
各种流量类型。
将多个 Allow 和 Interactive Block 规则与不同的入侵和文件策略相关联,以使检查配置文件匹配
各种流量类型。