Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
52-4
FireSIGHT 系统用户指南
  
 52        FireSIGHT 系统用作一个合规工具         
  了解合规白名单
了解全局主机配置文件
许可证:FireSIGHT
所有白名单均包含一个全局主机配置文件,该文件指定了允许在目标主机上运行的应用协议、客
户端、网络应用及通信协议,无论该主机使用的是什么操作系统。
例如,无需编辑多个 Microsoft Windows 和 Linux 主机配置文件以允许 Internet Explorer,可以将
全局主机配置文件配置为允许 Internet Explorer,无论检测到该主机使用的是什么操作系统。请注
意,始终允许在每台主机上运行 ARP、 IP、 TCP 和 UDP 通信协议;这些通信协议无法被禁用。
有关详细信息,请参阅
了解特定操作系统的主机配置文件
许可证:FireSIGHT
必须为允许在网络上运行的各个操作系统创建一个主机配置文件。要禁止网络上的某个操作系
统,则不要创建该操作系统的主机配置文件。例如,为了确保网络上的所有主机均运行 Microsoft 
Windows,请将白名单配置为只包含该操作系统的主机配置文件。
创建某个操作系统的主机配置文件时,可以要求该操作系统具有特殊版本。例如,可以要求主机
运行 Windows 7 或 Server 2008 R2。
为某个特定的操作系统创建主机配置文件后,可以指定允许在使用该操作系统的目标主机上运行
的应用协议、客户端、网络应用及通信协议。例如,可以允许 SSH 于端口 22 在 Linux 主机上运
行。还可以将特殊供应商和版本限定为 OpenSSH 4.2。
请注意,主机在被识别之前,一直处于符合所有白名单条件的状态。但是,可以为未知主机创建
一份白名单主机配置文件。
未识别的主机不同于未知主机。
未识别的主机是指系统尚未收集足够的信息识别其操作系统的主
机。
未知主机是指系统对其流量进行过分析,但其操作系统与任何已知指纹均不匹配的主机。
有关详细信息,请参阅
了解共享主机配置文件
许可证:FireSIGHT
共享主机配置文件与特定的操作系统绑定,但是每个共享主机配置文件可以在多个白名单中使
用。也就是说,如果创建了多个白名单,但要使用相同的主机配置文件来评估运行白名单中规定
的特定操作系统的主机,可使用共享主机配置文件。
例如,如果想要为世界范围内多个办公地点创建单独的白名单,但对运行 Apple Mac OS X 的所有
主机使用同一个配置文件,则可以为该操作系统创建共享配置文件,并在所有白名单中使用该配
置文件。
默认白名单提供了为允许运行的操作系统、客户端、应用协议、网络应用和通信协议建议的“最
佳实践”设置。此白名单使用共享主机配置文件的一个特殊类别,即
内置主机配置文件。请注
意,内置主机配置文件标有内置主机配置文件的图标  ( )。
内置主机配置文件使用内置应用协议、通信协议和客户端。您可以在默认白名单以及创建的任何
自定义白名单中按原样使用这些元素,或根据需要对这些元素进行修改。在内置主机配置文件以
及使用这些元素的任何其他主机配置文件中,这些元素以斜体显示。