Cisco Cisco Firepower Management Center 4000 User Guide
25-2
FireSIGHT 系统用户指南
第 25 章 自定义流量预处理
使用网络分析策略自定义预处理
•
No Rules Active 是在您首先选择
Block all traffic
或 Network Discovery
默认操作时访问控制策略的
默认入侵策略。尽管选择此选项会禁用对上述已允许数据包的入侵检测,但是,如果您对入
侵数据不感兴趣,它可提高性能。
侵数据不感兴趣,它可提高性能。
注
如未执行入侵检测 (例如,在没有保护许可的仅发现部署中),则保持 No Rules Active 策略作为
为默认入侵策略。有关详细信息,请参阅
为默认入侵策略。有关详细信息,请参阅
请注意,如果您在创建访问控制策略后更改默认操作,则默认入侵策略不会自动更改。要手动更
改它,请使用访问控制策略的高级选项。
改它,请使用访问控制策略的高级选项。
要更改访问控制策略的默认入侵策略,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在想要更改其默认入侵策略的访问控制策略中,选择
Advanced
选项卡,然后点击 Network
Analysis and Intrusion Policies 分区旁的编辑图标 (
)。
系统将显示 Network Analysis Policies 对话框。
步骤 2
从
Intrusion Policy used before Access Control rule is determined
下拉列表中,选择一条默认入侵策略。可
以选择系统或用户创建的策略。
请注意,如果选择用户创建的策略,则可点击编辑图标 (
) 在新窗口中编辑该策略。您无法编
辑系统提供的策略。
注意事项
请勿使用
Experimental Policy 1
,除非思科代表指示这样做。思科使用该策略进行测试。
步骤 3
点击
OK
,保存更改。
必须应用访问控制策略,使更改生效。
使用网络分析策略自定义预处理
许可证:任何环境
受支持的设备:因功能而异
网络分析策略监管如何解码和预处理流量,以便进一步对其进行评估,特别适用于可能表明入侵
尝试的异常流量。此流量预处理发生在安全情报黑名单和流量解密之后,但是,发生在入侵策略
对数据包进行详细检查之前。默认情况下,系统提供的 Balanced Security and Connectivity 网络分
析策略应用于由访问控制策略处理的
尝试的异常流量。此流量预处理发生在安全情报黑名单和流量解密之后,但是,发生在入侵策略
对数据包进行详细检查之前。默认情况下,系统提供的 Balanced Security and Connectivity 网络分
析策略应用于由访问控制策略处理的
所有流量。
提示
系统提供的 Balanced Security and Connectivity 网络分析策略和 Balanced Security and Connectivity
入侵策略共同发挥作用,均可在入侵规则更新中更新。但是,网络分析策略主要监管预处理选
项,而入侵策略主要监管入侵规则。
入侵策略共同发挥作用,均可在入侵规则更新中更新。但是,网络分析策略主要监管预处理选
项,而入侵策略主要监管入侵规则。
调整预处理的一个简单方法是创建和使用自定义网络分析策略作为默认值;请参阅
。可用调整选项因预处理程序而异。