Cisco Cisco Firepower Management Center 2000 User Guide
46-16
FireSIGHT 系统用户指南
第 46 章 增强网络发现
使用应用检测器
应用协议 (模式)检测器
基于模式的应用检测器基于对网络流量数据包中的模式的检测。这些检测器可以由思科
Professional Services 以可导入检测器的形式提供,也可自行创建。这样,就可通过新的基于
模式的检测器增强系统的检测功能,而无需对 FireSIGHT 系统进行整体更新。
Professional Services 以可导入检测器的形式提供,也可自行创建。这样,就可通过新的基于
模式的检测器增强系统的检测功能,而无需对 FireSIGHT 系统进行整体更新。
可根据贵组织的需求激活和停用应用协议检测器。
可完全控制导入和用户定义的检测器,可将其激活、停用、编辑、导入、导出和删除。基于
模式的检测器的示例包括用户定义的检测器,该检测器使用数据包包头中的模式来检测自定
义应用的流量。
模式的检测器的示例包括用户定义的检测器,该检测器使用数据包包头中的模式来检测自定
义应用的流量。
切记,检测器列表可能会发生变化,具体取决于已安装的 FireSIGHT 系统和 VDB 的版本以及可
能已导入或创建的任何个别检测器。应仔细阅读每个 FireSIGHT 系统更新的版本说明以及每次
VDB 更新的公告以便获得有关已更新检测器的信息。
能已导入或创建的任何个别检测器。应仔细阅读每个 FireSIGHT 系统更新的版本说明以及每次
VDB 更新的公告以便获得有关已更新检测器的信息。
有关详情,请参阅:
•
•
•
创建用户定义的应用协议检测器
许可证:FireSIGHT
如果在网络上使用自定义应用,可以创建用户定义的应用协议检测器,这些检测器向系统提供识
别这些应用所需的信息。可基于应用流量使用的端口、流量内的模式或者端口和模式二者进行应
用协议检测。
别这些应用所需的信息。可基于应用流量使用的端口、流量内的模式或者端口和模式二者进行应
用协议检测。
例如,如果预期自定义应用协议的流量使用端口 1180,则可创建检测该端口上流量的应用协议检
测器。另一个示例是,如果知道包含应用协议流量的任何数据包的包头中拥有字符串
测器。另一个示例是,如果知道包含应用协议流量的任何数据包的包头中拥有字符串
ApplicationName
,则可创建将 ASCII 字符串
ApplicationName
注册为需要匹配的模式的检测器。
只能为应用程序协议创建用户定义的应用检测器,不能为客户端或网络应用创建。有关其各自的
说明,请参阅
说明,请参阅
。只有客户端会话包含来自服务器的响应器数据包,系
统才能开始检测和识别服务器流量中的应用协议。请注意,对于 UDP 流量,系统将响应器数据
包的来源指定为服务器。
包的来源指定为服务器。
注意事项
创建并激活新的应用检测器后,受管设备上的流量和处理可能暂停,这可能会导致一些数据包未
经检查地通过。
经检查地通过。
用户定义的应用协议检测器必须使用端口或模式匹配;不能创建二者均不使用的检测器,即使基
于现有检测器创建检测器。还可创建同时使用二个条件的检测器,这可提高正确识别该应用协议
流量的可能性。
于现有检测器创建检测器。还可创建同时使用二个条件的检测器,这可提高正确识别该应用协议
流量的可能性。
提示
如果已经在另一防御中心上创建了检测器,可将其导出后,再导入至此防御中心。然后,可根据
自己的需求编辑已导入的检测器。可导入和导出用户定义的检测器以及思科 Professional Services
提供的检测器。然而,不能导出或导入思科提供的任何其他类型检测器。有关详细信息,请参阅
自己的需求编辑已导入的检测器。可导入和导出用户定义的检测器以及思科 Professional Services
提供的检测器。然而,不能导出或导入思科提供的任何其他类型检测器。有关详细信息,请参阅