Cisco Cisco Firepower Management Center 4000 User Guide
23-8
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
比较系统提供的策略与自定义策略
No Rules Active 入侵策略
在 No Rules Active 入侵策略中,所有入侵规则和高级设置均已禁用。如果您要创建自己的入
侵策略而不是将其基于系统提供的其他策略之一中的已启用规则,则此策略提供一个起点。
侵策略而不是将其基于系统提供的其他策略之一中的已启用规则,则此策略提供一个起点。
注意事项
思科使用另一个策略
Experimental Policy 1
进行测试。请勿使用 Experimental Policy 1,除非思
科代表指示这样做。
自定义策略的优点
许可证:保护
您可能会发现系统提供的网络分析和入侵策略中配置的预处理程序选项、入侵规则和其他高级设
置不完全满足贵组织的安全需要。
置不完全满足贵组织的安全需要。
构建自定义策略可以提高系统在环境中的性能,并且可以更密切监控在网络上发生的恶意流量和
违反策略的情况。通过创建和调整自定义策略,可以非常精细地配置如何系统处理和检查网络流
量是否存在入侵。
违反策略的情况。通过创建和调整自定义策略,可以非常精细地配置如何系统处理和检查网络流
量是否存在入侵。
所有自定义策略都具有基本策略 (也称为基层),用于为策略中所有配置定义默认设置。层是一
个构建块,可供您有效地管理多个网络分析或入侵策略;请参阅
个构建块,可供您有效地管理多个网络分析或入侵策略;请参阅
。
在大多数情况下,您将根据系统提供的策略构建自定义策略,但是,您也可以使用其他自定义策
略。然而,所有自定义策略都有一个系统提供的策略作为策略链中最终基础。由于规则更新会修
改系统提供的策略,因此导入规则更新可能会影响您,即使是使用自定义策略作为基础也如此。
如果规则更新影响部署,则网络界面将受影响策略标记为过期。有关详细信息,请参阅
略。然而,所有自定义策略都有一个系统提供的策略作为策略链中最终基础。由于规则更新会修
改系统提供的策略,因此导入规则更新可能会影响您,即使是使用自定义策略作为基础也如此。
如果规则更新影响部署,则网络界面将受影响策略标记为过期。有关详细信息,请参阅
除了您创建的自定义策略之外,系统还提供两种自定义入侵策略和两种自定义网络分析策略:初
始内联策略和初始被动策略。这些策略使用相应的 Balanced Security and Connectivity 策略作为其
基本策略。两种策略之间的唯一区别在于其 丢弃行为,该行为在内联策略中启用流量阻止和修
改,在被动策略中禁用该功能。您可以编辑和使用系统提供的这些自定义策略。
始内联策略和初始被动策略。这些策略使用相应的 Balanced Security and Connectivity 策略作为其
基本策略。两种策略之间的唯一区别在于其 丢弃行为,该行为在内联策略中启用流量阻止和修
改,在被动策略中禁用该功能。您可以编辑和使用系统提供的这些自定义策略。
有关详情,请参阅:
•
•
自定义网络分析策略的优点
许可证:保护
默认情况下,一个网络分析策略预处理访问控制策略处理的所有未加密流量。这意味着根据设置相
同设置对所有数据包进行解码和预处理,无论之后检查数据包的入侵策略 (和入侵规则集)如何。
同设置对所有数据包进行解码和预处理,无论之后检查数据包的入侵策略 (和入侵规则集)如何。
最初,系统提供的 Balanced Security and Connectivity 网络分析策略是默认策略。调整预处理的一
个简单方法是创建和使用自定义网络分析策略作为默认值;请参阅
个简单方法是创建和使用自定义网络分析策略作为默认值;请参阅
可用的调整选项因预处理程序而异,但是可以调整预处理程序和解码器的一些方法包括:
•
可以禁用不适用于正在监控的流量的预处理程序。例如, HTTP Inspect 预处理程序规范化
HTTP 流量。如果确信网络中没有任何使用 Microsoft 互联网信息服务 (IIS) 的 Web 服务器,
则可以禁用查找特定于 IIS 的流量的预处理程序选项,从而减少系统处理开销。
HTTP 流量。如果确信网络中没有任何使用 Microsoft 互联网信息服务 (IIS) 的 Web 服务器,
则可以禁用查找特定于 IIS 的流量的预处理程序选项,从而减少系统处理开销。