Cisco Cisco Firepower Management Center 4000 User Guide
37-5
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解恶意软件防护和文件控制
配置恶意软件防护和文件控制
许可证:保护或恶意软件
受支持的设备:因功能而异
受支持的防御中心:因功能而异
通过将文件策略与访问控制规则相关联,可以将恶意软件防护和文件控制配置为整体访问控制配
置的一部分。这种关联保证系统在传递流量中与访问控制规则的条件匹配的文件之前,首先检查
该文件。
置的一部分。这种关联保证系统在传递流量中与访问控制规则的条件匹配的文件之前,首先检查
该文件。
文件策略 (例如父项访问控制策略)包含的规则用于确定系统如何处理与每个规则的条件相符的
文件。可以配置单独的文件规则,以对不同的文件类型、应用协议或传输方向采取不同操作。
文件。可以配置单独的文件规则,以对不同的文件类型、应用协议或传输方向采取不同操作。
当文件与规则匹配时,规则可以:
•
根据简单文件类型匹配允许或阻止文件
•
根据恶意软件文件性质阻止文件
•
捕获文件并将其存储到设备
•
提交捕获文件以进行动态分析
此外,文件策略还可以:
•
根据白名单或自定义检测列表中的条目自动将文件视为安全文件或恶意软件
•
在文件的威胁评分超过可配置阈值时将文件视为恶意软件
•
检查存档文件 (例如,
.zip
或
.rar
)的内容
•
阻止内容已加密,嵌套超过指定的最大归档深度或因其他原因无法检查的档案文件
举一个简单的例子,您可以实施会阻止用户下载可执行文件的文件策略。再如,您可以检查恶意
软件的已下载的 PDF 并阻止找到的任何实例。有关文件策略以及将其与访问控制规则相关联的详
细信息,请参阅
软件的已下载的 PDF 并阻止找到的任何实例。有关文件策略以及将其与访问控制规则相关联的详
细信息,请参阅
由于不能对 DC500 使用恶意软件许可证,因此,您无法使用该设备来应用可执行基于网络的恶意
软件防护或检查存档文件的内容的文件策略。同样,由于不能在 2 系列设备或 用于 Blue Coat
X-系列的思科 NGIPS上启用恶意软件许可证,因此,您无法对这些设备应用可执行基于网络的恶
意软件防护或检查存档文件的内容的文件策略。
软件防护或检查存档文件的内容的文件策略。同样,由于不能在 2 系列设备或 用于 Blue Coat
X-系列的思科 NGIPS上启用恶意软件许可证,因此,您无法对这些设备应用可执行基于网络的恶
意软件防护或检查存档文件的内容的文件策略。
根据恶意软件防护和文件控制记录事件
许可证:保护或恶意软件
受支持的设备:因功能而异
受支持的防御中心:因功能而异
防御中心将系统文件检查和处理的记录作为捕获文件、文件事件和恶意软件事件进行记录:
•
捕获文件表示系统捕获的文件。
•
文件事件表示系统在网络流量中检测到并或者被阻止的文件。
•
恶意软件事件表示系统在网络流量中检测到并或者被阻止的恶意软件文件。
•
追溯性恶意软件事件表示恶意软件文件的性质已更改的文件。