Cisco Cisco Firepower Management Center 4000 User Guide
23-11
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
比较系统提供的策略与自定义策略
其各自的进程中可能由入侵策略检查。换句话说,使用特定网络分析策略预处理数据包不保证将
通过任何特殊入侵策略检查该数据包。您必须仔细配置访问控制策略,以使其调用正确的网络分
析和入侵策略来评估特殊数据包。
通过任何特殊入侵策略检查该数据包。您必须仔细配置访问控制策略,以使其调用正确的网络分
析和入侵策略来评估特殊数据包。
下图重点显示网络分析策略 (预处理)选择阶段如何先于且独立于入侵防御 (规则)阶段发生。
为简单起见,此图省去了发现和文件/恶意软件检查阶段。它还突出显示默认网络分析和默认动作
入侵策略。
为简单起见,此图省去了发现和文件/恶意软件检查阶段。它还突出显示默认网络分析和默认动作
入侵策略。
在此情景中,访问控制策略配置为拥有两条网络分析规则和一个默认网络分析策略:
•
Network Analysis Rule A 预处理与 Network Analysis Policy A 匹配的流量。之后,您希望此流
量由 Intrusion Policy A 检查。
量由 Intrusion Policy A 检查。
•
Network Analysis Rule B 预处理与 Network Analysis Policy B 匹配的流量。之后,您希望此流
量由 Intrusion Policy B 检查。
量由 Intrusion Policy B 检查。
•
所有其他剩余流量由默认网络分析策略进行预处理。之后,您希望此流量由与访问控制策略
的默认操作关联的入侵策略进行检查。
的默认操作关联的入侵策略进行检查。
在系统预处理流量之后,系统可以检查流量是否存在入侵。下图显示了具有两条访问控制规则和
一个默认操作的访问控制策略:
一个默认操作的访问控制策略:
•
Access Control Rule A 允许匹配流量通过。该流量然后由 Intrusion Policy A 进行检查。
•
Access Control Rule B 允许匹配流量通过。该流量然后由 Intrusion Policy B 进行检查。
•
访问控制策略的默认操作允许匹配流量通过。该流量然后由默认操作的入侵策略进行检查。
每个数据包的处理均由网络分析策略和入侵策略对进行监管,但系统不为您协调该策略对。请考
虑以下情景:访问控制策略配置错误,以致网络分析规则 A 和访问控制规则 A 不处理相同流量。
例如,您可能希望配对的策略监管特殊安全区域上流量的处理,但是在两条规则的条件中错误地
使用不同的区域。这可能导致流量被错误地预处理。因此,使用网络分析规则和自定义策略定制
预处理是一项高级任务。
虑以下情景:访问控制策略配置错误,以致网络分析规则 A 和访问控制规则 A 不处理相同流量。
例如,您可能希望配对的策略监管特殊安全区域上流量的处理,但是在两条规则的条件中错误地
使用不同的区域。这可能导致流量被错误地预处理。因此,使用网络分析规则和自定义策略定制
预处理是一项高级任务。
请注意,对于单条连接,尽管系统会选择先网络分析策略再选择访问控制规则,但在选择访问控
制规则之后还是会进行一些预处理 (特别是应用层预处理)。这不会影响您如何在自定义网络分
析策略中配置预处理。
制规则之后还是会进行一些预处理 (特别是应用层预处理)。这不会影响您如何在自定义网络分
析策略中配置预处理。