Cisco Cisco Firepower Management Center 4000 User Guide
1-12
FireSIGHT 系统用户指南
第 1 章 思科 FireSIGHT 系统简介
FireSIGHT 系统组件
最简单的访问控制策略指导其目标设备使用其
默认操作处理所有流量。可以将此默认操作设置为
阻止或信任所有流量而不进一步检查,或者检查入侵和发现数据的流量。
更复杂的访问控制策略可以根据安全智能数据将流量列入黑名单,以及使用
访问控制规则对网络
流量日志记录和处理实行精细控制。这些规则可以简单也可以复杂,从而使用多个条件来匹配和
检查流量;可以按安全区域、网络或地理位置、 VLAN、端口、应用、所请求的 URL 和用户来控
制流量。高级访问控制选项包括解密、预处理和性能。
检查流量;可以按安全区域、网络或地理位置、 VLAN、端口、应用、所请求的 URL 和用户来控
制流量。高级访问控制选项包括解密、预处理和性能。
每个访问控制规则还具有
操作,用于确定监控、信任、阻止还是允许匹配流量。当允许流量时,
可以指定系统首先使用入侵或文件策略检查该流量,以在任何漏洞、恶意软件或禁止的文件到达
资产或退出网络之前对其进行阻止。
资产或退出网络之前对其进行阻止。
SSL 检查
SSL 检查是基于策略的功能,通过其可处理加密流量而不解密,或者解密加密流量以进一步进行
访问控制检查。可以选择阻止不受信任加密流量的源而不解密或进一步分析流量,也可以选择不
解密加密流量,而是通过访问控制对其进行检查。
访问控制检查。可以选择阻止不受信任加密流量的源而不解密或进一步分析流量,也可以选择不
解密加密流量,而是通过访问控制对其进行检查。
为深入洞察加密流量,可以使用上传到系统的公钥证书和配对私钥来解密穿越网络的加密流量,
然后通过访问控制检查解密流量,如同其从未加密一样。如果系统在分析后不阻止解密流量,则
会重新加密流量,然后再将其传递到目标主机。系统可以在其处理加密连接时记录有关这些连接
的详细信息。
然后通过访问控制检查解密流量,如同其从未加密一样。如果系统在分析后不阻止解密流量,则
会重新加密流量,然后再将其传递到目标主机。系统可以在其处理加密连接时记录有关这些连接
的详细信息。
入侵检测和防御
在允许流量发送到其目标之前,入侵检测和防御是系统的最后一道防线。
入侵策略是由访问控制
策略调用的入侵检测和防御配置的已定义集合。这些策略使用
入侵规则和其他设置来检查流量是
否存在安全违规,并且在内联部署中可以阻止或修改恶意流量。
思科随 FireSIGHT 系统提供若干入侵策略。通过使用系统提供的策略,可以利用思科漏洞研究团
队 (VRT) 的经验。对于这些策略, VRT 会设置入侵和预处理器规则状态 (已启用或已禁用),以
及提供其他高级设置的初始配置。已启用的规则会导致系统为与规则相匹配的流量生成入侵事件
或者阻止该流量。
队 (VRT) 的经验。对于这些策略, VRT 会设置入侵和预处理器规则状态 (已启用或已禁用),以
及提供其他高级设置的初始配置。已启用的规则会导致系统为与规则相匹配的流量生成入侵事件
或者阻止该流量。
如果系统提供的策略不完全满足组织的安全需求,自定义策略可以提高环境中系统的性能,并可
提供网络上发生的恶意流量和策略违规的集中视图。通过创建和调整自定义策略,可以非常精细
地配置系统如何处理和检查网络上的入侵的流量。
提供网络上发生的恶意流量和策略违规的集中视图。通过创建和调整自定义策略,可以非常精细
地配置系统如何处理和检查网络上的入侵的流量。
高级恶意软件防护和文件控制
为帮助识别和减轻恶意软件影响,FireSIGHT 系统的文件控制、网络文件轨迹和高级恶意软件防护
组件可以检测、跟踪、捕获、分析并选择性阻止网络流量中文件(包括恶意软件文件和存档文件内
的嵌套文件)的传输。
组件可以检测、跟踪、捕获、分析并选择性阻止网络流量中文件(包括恶意软件文件和存档文件内
的嵌套文件)的传输。
文件控制
文件控制允许受管设备检测并阻止用户通过特定应用协议上传(发送)或下载(接收)特定类型的
文件。可以配置文件控制,作为全局访问控制配置的一部分;与访问控制规则关联的文件策略可
以检查符合规则条件的网络流量。
文件。可以配置文件控制,作为全局访问控制配置的一部分;与访问控制规则关联的文件策略可
以检查符合规则条件的网络流量。
基于网络的高级恶意软件防护 (AMP)
基于网络的
高级恶意软件防护 (AMP) 允许系统检查几种类型的文件中的网络流量是否存在恶意软
件。设备可以将检测文件存储到其硬盘或(针对某些型号)恶意软件存储包中以供进一步分析。