Cisco Cisco Firepower Management Center 4000 User Guide
23-10
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
比较系统提供的策略与自定义策略
•
禁止入侵事件通知和设置个别规则或全体入侵策略的阈值也可以防止系统被大量事件淹没。
有关详细信息,请参阅
有关详细信息,请参阅
•
除了网络界面中的各种入侵事件视图之外,您还可以启用将日志记录到系统日志工具或者将
事件数据发送到 SNMP 陷阱服务器。根据策略,您可以指定入侵事件通知限制,设置发送到
外部日志记录工具的入侵事件通知,以及配置对入侵事件的外部响应。请注意,除了基于策
略的这些警报配置,对于每个规则或规则组,您还可以在入侵事件上全局启用或禁用邮件警
报。无论处理数据包的是哪个入侵策略,都会使用您的邮件警报设置。有关详细信息,请参
阅
事件数据发送到 SNMP 陷阱服务器。根据策略,您可以指定入侵事件通知限制,设置发送到
外部日志记录工具的入侵事件通知,以及配置对入侵事件的外部响应。请注意,除了基于策
略的这些警报配置,对于每个规则或规则组,您还可以在入侵事件上全局启用或禁用邮件警
报。无论处理数据包的是哪个入侵策略,都会使用您的邮件警报设置。有关详细信息,请参
阅
自定义策略的局限性
许可证:保护
由于预处理和入侵检测如此密切相关,因此,您必须小心确保自己的配置允许网络和入侵策略处
理和检查单个数据包,以实现互补。
理和检查单个数据包,以实现互补。
默认情况下,系统使用一个网络分析策略预处理由受管设备使用单个访问控制策略处理的所有流
量。下图显示内联入侵防御部署中新建的访问控制策略最初如何处理流量。预处理和入侵防御阶
段突出显示。
量。下图显示内联入侵防御部署中新建的访问控制策略最初如何处理流量。预处理和入侵防御阶
段突出显示。
请留意默认网络分析策略如何监管访问控制策略处理的
所有流量的预处理。最初,系统提供的
Balanced Security and Connectivity 网络分析策略是默认策略。
调整预处理的一种简单方法是创建并使用自定义网络分析策略作为默认值,如
已启用的入侵或预处理程序规则对预处理过的数据包进行评估,系统会自动启用并使用该预处理
程序,不过它在网络分析策略网络界面中保持禁用。
程序,不过它在网络分析策略网络界面中保持禁用。
注
为了获取禁用预处理程序的性能优势,您必须确保自己的入侵策略均未启用需要该预处理程序的
规则。
规则。
如果使用多个自定义网络分析策略,则会引起其他挑战。对于使用复杂部署的高级用户,可以分
配自定义网络分析策略以预处理匹配流量,从而根据特定安全区域、网络和 VLAN 自定义预处
理。(请注意, ASA FirePOWER 设备无法通过 VLAN 限制预处理。)为实现此目的,您可以将
自定义
配自定义网络分析策略以预处理匹配流量,从而根据特定安全区域、网络和 VLAN 自定义预处
理。(请注意, ASA FirePOWER 设备无法通过 VLAN 限制预处理。)为实现此目的,您可以将
自定义
网络分析规则添加到您的访问控制策略。每条规则均具有关联的网络分析策略,用于监管
与该规则匹配的流量的预处理。
提示
可以将网络分析规则配置为访问控制策略中的高级设置。不同于 FireSIGHT 系统 中其他类型的规
则,网络分析规则调用 (而不是被纳入)网络分析策略。
则,网络分析规则调用 (而不是被纳入)网络分析策略。
系统按规则号由上而下将数据包与任何已配置的网络分析规则相匹配。不与任何网络分析规则相
匹配的流量由默认网络分析策略预处理。虽然这使您在预处理流量时具有极大灵活性,但请记
住,所有数据包无论由哪个网络分析策略进行了预处理,后来都会与访问控制规则匹配,从而在
匹配的流量由默认网络分析策略预处理。虽然这使您在预处理流量时具有极大灵活性,但请记
住,所有数据包无论由哪个网络分析策略进行了预处理,后来都会与访问控制规则匹配,从而在