Cisco Cisco Firepower Management Center 4000 User Guide
23-7
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
比较系统提供的策略与自定义策略
或者,您可以通过创建和使用自定义策略来定制您的入侵防御部署。不过,您可能会发现这些策
略中配置的预处理程序选项、入侵规则和其他高级设置无法满足网络的安全需求。通过调整网络
分析和入侵策略,可以非常精细地配置系统如何处理网络流量并检查其是否存在入侵。
略中配置的预处理程序选项、入侵规则和其他高级设置无法满足网络的安全需求。通过调整网络
分析和入侵策略,可以非常精细地配置系统如何处理网络流量并检查其是否存在入侵。
有关详情,请参阅:
•
•
•
了解系统提供的策略
许可证:保护
思科通过 FireSIGHT 系统提供了多对网络分析和入侵策略。使用系统提供的网络分析和入侵策
略,您可以利用思科漏洞研究团队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规
则状态,并提供预处理程序和其他高级设置的初始配置。您可以原样使用系统提供的策略,也可
以使用其作为自定义策略的基础。
略,您可以利用思科漏洞研究团队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规
则状态,并提供预处理程序和其他高级设置的初始配置。您可以原样使用系统提供的策略,也可
以使用其作为自定义策略的基础。
提示
即使您使用系统提供的网络分析和入侵策略,也应该配置系统的入侵变量,以准确反映网络环
境。至少修改默认变量集中的关键默认变量;请参阅
境。至少修改默认变量集中的关键默认变量;请参阅
。
随着新漏洞变成已知, VRT 会发布入侵规则更新。这些规则更新可以修改系统提供的任何网络分
析或入侵策略,并且可以提供新的和已更新的入侵规则及预处理程序规则、现有规则的已修改状
态,以及已修改的默认策略设置。规则更新也可以从系统提供的策略中删除规则并提供新规则类
别,还可以修改默认变量集。
析或入侵策略,并且可以提供新的和已更新的入侵规则及预处理程序规则、现有规则的已修改状
态,以及已修改的默认策略设置。规则更新也可以从系统提供的策略中删除规则并提供新规则类
别,还可以修改默认变量集。
如果规则更新影响您的部署,则网络界面将受影响的入侵和网络分析策略标记为已过期,并标记
其父访问控制策略。只有重新应用已更新的策略才能使其更改生效。
其父访问控制策略。只有重新应用已更新的策略才能使其更改生效。
为了您的方便,您可将规则更新配置为自动重新应用受影响的入侵策略,无论是单独还是与受影
响的访问控制策略一起应用。这使,您就可轻松地让您的部署自动保持与时俱进,从而防范最新
发现的漏洞和入侵。
响的访问控制策略一起应用。这使,您就可轻松地让您的部署自动保持与时俱进,从而防范最新
发现的漏洞和入侵。
为了确保最新预处理设置,必须重新应用访问控制策略,该策略也会重新应用与当前运行的策略
不同的所有关联的 SSL、网络分析和文件策略,同时还可以更新高级预处理和性能选项的默认
值。有关详细信息,请参阅
不同的所有关联的 SSL、网络分析和文件策略,同时还可以更新高级预处理和性能选项的默认
值。有关详细信息,请参阅
。
思科通过 FireSIGHT 系统提供以下网络分析和入侵策略:
Balanced Security and Connectivity 网络分析和入侵策略
这些策略专为速度和检测而构建。共同使用时,这些策略充当大多数组织和部署类型的良好起
点。系统在大多数情况下均使用 Balanced Security and Connectivity 策略和设置作为默认值。
点。系统在大多数情况下均使用 Balanced Security and Connectivity 策略和设置作为默认值。
Connectivity Over Security 网络分析和入侵策略
这些策略专为连接性 (能够获取所有资源)优先于网络基础设施安全性的组织而构建。此入
侵策略启用的规则远远少于 Security over Connectivity 策略中启用的规则。只有妨碍流量的最
重要的规则才被启用。
侵策略启用的规则远远少于 Security over Connectivity 策略中启用的规则。只有妨碍流量的最
重要的规则才被启用。
Security Over Connectivity 网络分析和入侵策略
这些策略专为网络基础设施安全性优先于用户便利性的组织而构建。此入侵策略启用可能就
合法流量发出警报或放弃合法流量的许多网络异常入侵规则。
合法流量发出警报或放弃合法流量的许多网络异常入侵规则。