Cisco Cisco Firepower Management Center 4000 User Guide
23-3
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
了解策略如何检查流量是否存在入侵
请注意,对于单条连接,尽管系统会选择先网络分析策略再选择访问控制策略 (如图所示),但
在选择访问控制规则之后还是会进行一些预处理 (特别是应用层预处理)。这不会影响您如何在
自定义网络分析策略中配置预处理。
在选择访问控制规则之后还是会进行一些预处理 (特别是应用层预处理)。这不会影响您如何在
自定义网络分析策略中配置预处理。
有关详情,请参阅:
•
•
•
•
解码、规范化和预处理:网络分析策略
许可证:保护
如果没有解码和预处理,则系统无法适当评估流量是否存在入侵,因为协议差异使得无法进行模
式匹配。如
式匹配。如
中的示意图所示,网络分析策略监
管这些流量处理任务:
•
在流量由安全情报过滤之后
•
在已加密会话由可选 SSL 策略解密之后
•
在流量可以由文件或入侵策略检查之前
网络分析策略分阶段监管数据包处理。系统首先通过前三个 TCP/IP 层解码数据包,然后继续规
范化、预处理和检测协议异常:
范化、预处理和检测协议异常:
•
数据包解码器将数据包报头和负载转换为可由预处理程序并在以后由规则引擎轻松使用的格
式。 TCP/IP 栈的各层依次解码,从数据链路层开始并继续到网络层和传输层。数据包解码器
还会检测数据包报头中的各种异常行为。有关详细信息,请参阅
式。 TCP/IP 栈的各层依次解码,从数据链路层开始并继续到网络层和传输层。数据包解码器
还会检测数据包报头中的各种异常行为。有关详细信息,请参阅
•
在内联部署中,内联规范化预处理程序重新格式化 (规范化)流量,以尽量降低攻击者逃避
检测的可能性。它会准备数据包以供其他预处理程序和入侵规则进行检查,并且帮助确保系
统处理的数据包与网络上主机接收的数据包相同。有关详细信息,请参阅
检测的可能性。它会准备数据包以供其他预处理程序和入侵规则进行检查,并且帮助确保系
统处理的数据包与网络上主机接收的数据包相同。有关详细信息,请参阅
提示
在被动部署中,思科建议您在访问控制策略级别配置自适应配置文件,而非在网络分析级别配置
内联规范化。有关详细信息,请参阅
内联规范化。有关详细信息,请参阅
。
•
各种网络层和传输层预处理程序检测利用 IP 分段的攻击,执行校验和验证,以及执行 TCP 和
UDP 会话预处理;请参阅
UDP 会话预处理;请参阅
请注意,一些高级传输和网络预处理程序设置全局适用于由访问控制策略的目标设备处理的
所有流量。您在一个访问控制策略而非网络分析策略中配置这些高级设置;请参阅
所有流量。您在一个访问控制策略而非网络分析策略中配置这些高级设置;请参阅
。
•
各种应用层协议解码器将特定类型的数据包数据规范化为入侵规则引擎可以分析的格式。规
范化应用层协议编码后,系统就可将相同的内容相关的入侵规则有效地应用于数据以不同方
式表示的数据包,并获得有意义的结果。有关详细信息,请参阅
范化应用层协议编码后,系统就可将相同的内容相关的入侵规则有效地应用于数据以不同方
式表示的数据包,并获得有意义的结果。有关详细信息,请参阅