Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
23-9
FireSIGHT 系统用户指南 
 
 23       了解网络分析和入侵策略 
  比较系统提供的策略与自定义策略  
如果禁用自定义网络分析策略中的预处理程序,但系统稍后需要使用该预处理程序利用已启用的
入侵或预处理程序规则对数据包进行评估,系统会自动启用并使用预处理程序,不过它在网络分
析策略网络界面中保持禁用。
  •
在适当情况下指定端口,以某些预处理程序的活动为重点。例如,可以确定要对 DNS 服务器
响应或加密 SSL 会话进行监控的其他端口,或者确定解码 telnet、 HTTP 和 RPC 流量所在的
端口
对于采用复杂部署的高级用户,可以创建多个网络分析策略,每个策略量身定制以不同方式对流
量进行预处理。然后,可以配置系统使用这些策略管理使用不同的安全区域、网络或 VLAN 的流
量的预处理。(请注意, ASA FirePOWER 设备无法通过 VLAN 限制预处理。) 
使用自定义网络分析策略定制预处理 (特别是使用多个网络分析策略)是一项高级任务。由于预
处理和入侵检查密切相关,因此,您必须注意,要确保允许检查单个数据包的网络分析和入侵策
略能够互补。有关详细信息,请参阅
自定义入侵策略的优点 
许可证:保护
在新建的初始配置为执行入侵防御的访问控制策略中,默认操作允许所有流量,但是首先会使用
系统提供的 Balanced Security and Connectivity 入侵策略对流量进行检查。除非添加访问控制规则
或更改默认操作,否则所有流量都由该入侵策略进行检查;请参阅
中的图。
要自定义入侵防御部署,可以创建多个入侵策略,每个策略定制为以不同方式检查流量。然后,
使用指定哪个策略检查哪个流量的规则来配置访问控制策略。访问控制规则可能很简单,也可能
很复杂,使用多个条件来匹配和检测流量,包括安全区域、网络或地理位置、 VLAN、端口、应
用、请求的 URL 或用户。
中的情景显示由两
个入侵策略之一检查流量的部署。
入侵策略的主要功能是管理启用哪些入侵和预处理程序规则及其如何配置,如下所示:
  •
在每个入侵策略内,您应确认适用于您的环境的所有规则均已启用,并通过禁用不适用于您
的环境的规则来提高性能。在内联部署中,可指定哪些规则应该丢弃或修改恶意数据包。有
关详细信息,请参阅
  •
如果遵从 FireSIGHT 的建议,则可将您的网络中检测到的操作系统、服务器和客户端应用协
议与为了保护这些资产而特别编写的规则相关联;请参阅
  •
您可以根据需要修改现有规则和编写新 标准文本规则,以捕获新的漏洞或执行您的安全策略;
请参阅
您可对入侵策略做出的其他自定义包括:
  •
敏感数据预处理程序检测敏感信息,例如 ASCII 文本格式的信用卡号和社会保障号。请注
意,检测具体威胁的其他预处理程序 (Back Orifice 攻击、多种端口扫描类型和试图通过大
量流量淹没网络的基于速度的攻击)在网络分析策略中配置。有关详细信息,请参阅
  •
全局阈值导致系统根据与入侵规则匹配的流量在指定时间段内源自或流向特定地址或地址范
围的次数来生成事件。这有助于防止系统无法应付大量涌现的事件。有关详细信息,请参阅