Cisco Cisco Firepower Management Center 4000 User Guide
第
章
31-1
FireSIGHT 系统用户指南
31
入侵策略入门
入侵策略是定义的各组入侵检测和防御配置,这些配置检查流量是否存在安全性违规,并且在内
联部署中还可以阻止或修改恶意流量。入侵策略由您的访问控制策略调用,是允许流量到达目标
之前,系统的最后一道防线。
联部署中还可以阻止或修改恶意流量。入侵策略由您的访问控制策略调用,是允许流量到达目标
之前,系统的最后一道防线。
思科通过 FireSIGHT 系统提供多种入侵策略。通过系统提供的策略,您可以利用思科漏洞研究团
队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规则状态 (启用或禁用),并提供
其他高级设置的初始配置。启用规则将使系统为与规则匹配的流量生成入侵事件 (或者阻止该流
量)。禁用规则将停止该规则的处理。
队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规则状态 (启用或禁用),并提供
其他高级设置的初始配置。启用规则将使系统为与规则匹配的流量生成入侵事件 (或者阻止该流
量)。禁用规则将停止该规则的处理。
提示
系统提供的入侵和网络分析策略命名相似,但包含不同的配置。例如,“平衡式安全性和连接性”
网络分析策略和“平衡式安全性和连接性”入侵策略共同作用而且都可以在入侵规则更新中更新。
但是,网络分析策略主要监管预处理选项,而入侵策略主要监管入侵规则。
网络分析策略和“平衡式安全性和连接性”入侵策略共同作用而且都可以在入侵规则更新中更新。
但是,网络分析策略主要监管预处理选项,而入侵策略主要监管入侵规则。
概述网络分析和入侵策略如何共同作用以检查您的流量以及关于使用导航面板、
解决冲突和执行改变的一些基本知识。
如果创建了自定义入侵策略,则可以:
•
通过启用和禁用规则以及通过编写和添加您自己的规则,调整检测。
•
使用 FireSIGHT 建议将在您的网络中检测到的操作系统、服务器和客户端应用程序协议与专
为保护这些资产而编写的规则相关联。
为保护这些资产而编写的规则相关联。
•
配置各种高级设置,例如外部警报、敏感数据预处理和全局规则阈值。
•
以层作为构建块,有效地管理多个入侵策略。
当定制您自己的入侵策略时,特别是在启用和添加规则时,请记住一些入侵规则要求首先以某种
方式解码或预处理流量。在入侵策略检查数据包之前,系统将根据网络分析策略中的预处理数据
包。如果您禁用一个必需的预处理程序,虽然该预处理程序在网络分析策略网络界面中保持禁
用,但系统仍自动通过其当前设置使用它。
方式解码或预处理流量。在入侵策略检查数据包之前,系统将根据网络分析策略中的预处理数据
包。如果您禁用一个必需的预处理程序,虽然该预处理程序在网络分析策略网络界面中保持禁
用,但系统仍自动通过其当前设置使用它。
注
由于预处理和入侵检查如此密切关联,因此,检查单个数据包的网络分析和入侵策略必须相互补
充。定制预处理,特别是使用多个自定义网络分析策略,是一个高级任务。有关详细信息,请参
阅
充。定制预处理,特别是使用多个自定义网络分析策略,是一个高级任务。有关详细信息,请参
阅
。
在配置自定义入侵策略后,可通过将入侵策略与一个或多个访问控制规则或访问控制策略的默认
操作关联起来,将其用作您的访问控制配置的一部分。这强制系统在某些允许的流量传递至其最
终目标之前使用入侵策略对其进行检查。与入侵策略配对的变量集可供您准确地反映您的家庭和
外部网络,以及根据情况反映您网络上的服务器。有关详细信息,请参阅
操作关联起来,将其用作您的访问控制配置的一部分。这强制系统在某些允许的流量传递至其最
终目标之前使用入侵策略对其进行检查。与入侵策略配对的变量集可供您准确地反映您的家庭和
外部网络,以及根据情况反映您网络上的服务器。有关详细信息,请参阅