Cisco Cisco Firepower Management Center 2000 User Guide
第
章
54-1
FireSIGHT 系统用户指南
54
配置补救
出现违反关联策略的情况时,可将 FireSIGHT 系统 配置为发起一个或多个响应,包括补救 (例
如,运行 Nmap 扫描)和各种警报。
如,运行 Nmap 扫描)和各种警报。
可发起的最基本响应类型就是警报。警报通过邮件、 SNMP 陷阱服务器或系统日志向您通知违反
策略的情况。有关创建警报的信息,请参阅
策略的情况。有关创建警报的信息,请参阅
。
可发起的另一种响应是补救。补救是一种程序,网络流量违反关联策略时,防御中心就会运行该
程序。 FireSIGHT 系统附带了预定义的补救,可执行如下操作:违反策略时在防火墙或路由器位
置阻止主机,或者扫描主机。
程序。 FireSIGHT 系统附带了预定义的补救,可执行如下操作:违反策略时在防火墙或路由器位
置阻止主机,或者扫描主机。
当防御中心发起补救时,会生成补救状态事件。与对任何其他事件一样,可搜索、查看和删除补
救状态事件。
救状态事件。
FireSIGHT 系统还提供灵活 API,可用于创建自定义补救模块,以响应违反关联策略的情况。例
如,如在运行基于 Linux 的防火墙,则可在 Linux 服务器上编写并上传能够动态更新
如,如在运行基于 Linux 的防火墙,则可在 Linux 服务器上编写并上传能够动态更新
iptables
文
件的补救模块,以便阻止违反关联策略的流量。有关编写您自己补救模块的详细信息,请参阅
《
思科补救 API 指南》。
注
必须借助防御中心配置和使用补救。
有关详情,请参阅:
•
•
创建补救
许可证:FireSIGHT
警报是一种通知违反关联策略的简单响应形式,除此警报,还可配置名为
补救的响应。补救是在
违反关联策略时防御中心运行的程序。这些程序使用触发违反时提供的信息,执行特定操作。
FireSIGHT 系统附带几个预定义的补救模块:
•
Cisco IOS Null Route 模块,如在运行 Cisco IOS® 12.0 或更高版本的思科路由器,该模块可用
于动态阻止发送至 IP 地址或违反关联策略的网络的流量。
于动态阻止发送至 IP 地址或违反关联策略的网络的流量。
有关详细信息,请参阅
•
Cisco PIX Shun 模块,如在运行 Cisco PIX® 6.0 或更高版本的防火墙,该模块可用于动态阻止
从违反关联策略的 IP 地址发送的流量。
从违反关联策略的 IP 地址发送的流量。
有关详细信息,请参阅
。