Cisco Cisco Firepower Management Center 4000 User Guide
23-2
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
了解策略如何检查流量是否存在入侵
•
说明如何配置系统通过将入侵策略与父访问控制策
略相关联使用入侵策略仅检查您感兴趣的流量。还说明了如何配置高级入侵策略性能选项。
•
理的所有流量的高级传输和网络预处理程序设置。您可以在访问控制策略而不是网络分析或
入侵策略中配置这些高级设置。
入侵策略中配置这些高级设置。
•
•
户,本节还说明了如何分配自定义网络分析策略以预处理匹配流量,从而根据特定安全区
域、网络和 VLAN 定制预处理。
域、网络和 VLAN 定制预处理。
•
策略
层的构建块来更有效地管理多个网络分析或入侵策略。
了解策略如何检查流量是否存在入侵
许可证:保护
作为访问控制部署的一部分,系统将对流量进行分析,在此期间网络分析 (解码和预处理)阶段
发生在入侵防御 (入侵规则和高级设置)阶段之前并且独立进行。
发生在入侵防御 (入侵规则和高级设置)阶段之前并且独立进行。
下图以简化方式显示内联入侵防御和高级恶意软件防护 (AMP) 部署中的流量分析顺序。它说明访
问控制策略如何调用其他策略检查流量,以及按何种顺序调用这些策略。网络分析和入侵策略选
择阶段突出显示。
问控制策略如何调用其他策略检查流量,以及按何种顺序调用这些策略。网络分析和入侵策略选
择阶段突出显示。
在内联部署中,系统可以阻止流量,而不在图示过程中的几乎任何步骤进一步检查。安全智能、
SSL 策略、网络分析策略、文件策略和入侵策略均可以丢弃或修改流量。只有网络发现策略 (被
动检查的数据包)无法影响流量的流动。
SSL 策略、网络分析策略、文件策略和入侵策略均可以丢弃或修改流量。只有网络发现策略 (被
动检查的数据包)无法影响流量的流动。
同样,在进程的每个步骤中,数据包都可能导致系统生成事件。入侵和预处理程序事件 (有时统
称为
称为
入侵事件)指示数据包或其内容可能表示安全风险。
提示
当您的 SSL 配置允许已加密流量通过,或者您未配置 SSL 检查时,此图未反映访问控制规则处理
已加密流量。默认情况下,系统禁用对加密负载的入侵和文件检查。当已加密连接与已配置入侵
和文件检查的访问控制规则相匹配时,这有助于减少误报和提高性能。有关详细信息,请参阅
已加密流量。默认情况下,系统禁用对加密负载的入侵和文件检查。当已加密连接与已配置入侵
和文件检查的访问控制规则相匹配时,这有助于减少误报和提高性能。有关详细信息,请参阅
和
。