Cisco Cisco Firepower Management Center 4000 User Guide
第
章
25-1
FireSIGHT 系统用户指南
25
自定义流量预处理
访问控制策略中的多项高级设置可监管需要特定专门技术才能做出的入侵检测和防御配置。高级
设置通常只需要很少的修改或者不需要修改,不通用于各个部署。
设置通常只需要很少的修改或者不需要修改,不通用于各个部署。
本章介绍如何设置以下首选项:
•
说明如何更改访问控制策略的默认入侵策
略,用于在系统准确确定如何检查流量之前初始检查流量。
•
匹配流量,根据特定安全区域、网络和 VLAN 定制某些流量预处理选项。
其他章节介绍访问控制策略的策略范围预处理和性能选项。有关详细信息,请参阅:
•
•
•
•
设置用于访问控制的默认入侵策略
许可证:任何环境
每个访问控制策略使用其
默认入侵策略初始检测流量,然后系统才能准确确定如何检测该流量。
之所以这样做,是因为有时系统必须处理连接中的前几个数据包,允许其通过,然后它才能确定
哪条访问控制规则 (如有)将处理流量。因此,这些数据包不会未经检测就到达其目的地,然
而,您可以使用称为默认入侵策略的入侵策略对其进行检测并生成入侵事件。
哪条访问控制规则 (如有)将处理流量。因此,这些数据包不会未经检测就到达其目的地,然
而,您可以使用称为默认入侵策略的入侵策略对其进行检测并生成入侵事件。
默认入侵策略在执行应用控制和 URL 过滤时尤为有用,因为系统无法在客户端与服务器之间完
全建立连接之前识别应用或过滤 URL。例如,如果一个数据包与具有应用或 URL 条件的访问控
制规则中的所有其他条件相匹配,则将允许该数据包及其后续数据包通过,直到建立连接且完成
应用或 URL 识别,通常为 3 到 5 个数据包。
全建立连接之前识别应用或过滤 URL。例如,如果一个数据包与具有应用或 URL 条件的访问控
制规则中的所有其他条件相匹配,则将允许该数据包及其后续数据包通过,直到建立连接且完成
应用或 URL 识别,通常为 3 到 5 个数据包。
系统使用默认入侵策略检查这些允许的数据包,该策略可以生成事件,并且,如果内联,还可以
阻止恶意流量。系统识别应处理连接的访问控制规则或默认操作后,相应地处理和检测连接中剩
余的数据包。
阻止恶意流量。系统识别应处理连接的访问控制规则或默认操作后,相应地处理和检测连接中剩
余的数据包。
在创建访问控制策略时,其默认入侵策略取决于您首次选择的默认操作。用于访问控制的初始默
认入侵策略如下:
认入侵策略如下:
•
Balanced Security and Connectivity (系统提供的策略)是在您首先选择
Intrusion Prevention
默
认操作时访问控制策略的默认入侵策略。