Cisco Cisco Firepower Management Center 4000 User Guide
23-4
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
了解策略如何检查流量是否存在入侵
•
Modbus 和 DNP3 SCADA 预处理程序检测异常流量并向入侵规则提供数据。监控与数据采集
(SCADA) 协议可监视和控制工业、基础设施以及工厂流程 (例如制造、生产、水处理、配
电、机场和运输系统等)并从中获取数据。有关详细信息,请参阅
(SCADA) 协议可监视和控制工业、基础设施以及工厂流程 (例如制造、生产、水处理、配
电、机场和运输系统等)并从中获取数据。有关详细信息,请参阅
。
•
通过若干预处理程序,可以检测特定威胁,如 Back Orifice、端口扫描、 SYN 泛洪和其他基
于速率的攻击;请参阅
于速率的攻击;请参阅
。
请注意,您配置敏感数据预处理程序,它会检测入侵策略中的敏感数据,如 ASCII 文本形式
的信用卡号与社会保障号;请参阅
的信用卡号与社会保障号;请参阅
在新建的访问控制策略中,一个默认网络分析策略监管对同一父访问控制策略调用的
所有入侵策
略的
所有流量的预处理。最初,系统使用 Balanced Security and Connectivity 网络分析策略作为默
认值,但是,可以将其更改为另一个系统提供的网络分析策略或自定义网络分析策略。在更复杂
的部署中,高级用户可以分配自定义网络分析策略以预处理匹配流量,从而根据特定安全区域、
网络和 VLAN 定制流量预处理选项。有关详细信息,请参阅
的部署中,高级用户可以分配自定义网络分析策略以预处理匹配流量,从而根据特定安全区域、
网络和 VLAN 定制流量预处理选项。有关详细信息,请参阅
。
访问控制规则:入侵策略选择
许可证:保护
在初始预处理后,访问控制规则 (如果存在)会评估流量。在大多数情况下,数据包匹配的第一
条访问控制规则处理该流量;您可以监控、信任、阻止或允许匹配流量。
条访问控制规则处理该流量;您可以监控、信任、阻止或允许匹配流量。
当使用访问控制规则允许流量时,系统可能按该顺序检查流量是否存在发现数据、恶意软件、受
禁文件和入侵。不与任何访问控制规则匹配的流量由访问控制策略的默认操作进行处理,该操作
还检查是否存在发现数据和入侵。
禁文件和入侵。不与任何访问控制规则匹配的流量由访问控制策略的默认操作进行处理,该操作
还检查是否存在发现数据和入侵。
注
所有数据包 (无论哪个网络分析策略对其进行预处理)均与配置的访问控制规则相匹配,因此可
能会由上而下受到入侵策略的检查。有关详细信息,请参阅
能会由上而下受到入侵策略的检查。有关详细信息,请参阅
中的图显示通过内联入侵防御和 AMP 部署中
的某台设备的流量,如下所述:
•
Access Control Rule A 允许匹配流量通过。然后该流量由网络发现策略检查是否存在发现数
据,由 File Policy A 检查是否存在受禁文件和恶意软件,最后由 Intrusion Policy A 检查是否
存在入侵。
据,由 File Policy A 检查是否存在受禁文件和恶意软件,最后由 Intrusion Policy A 检查是否
存在入侵。
•
Access Control Rule B 也允许匹配流量通过。但是,在此情景中,未检查流量是否存在入侵
(或文件或恶意软件),因此没有与规则关联的入侵或文件策略。请注意,默认情况下,您允
许通过的流量将由网络发现策略进行检查;您不需要配置此检查。
•
在此情景中,访问控制策略的默认操作允许匹配流量通过。然后该流量将依次由网络发现策
略和入侵策略进行检查。当您将入侵策略与访问控制规则或默认操作相关联时,您可以 (但
不是必须)使用不同的入侵策略。
略和入侵策略进行检查。当您将入侵策略与访问控制规则或默认操作相关联时,您可以 (但
不是必须)使用不同的入侵策略。
图中的示例不包括任何阻止或信任规则,因为系统不检查已阻止或信任的流量。有关详细信息,
请参阅
请参阅
和