Cisco Cisco Firepower Management Center 2000 User Guide
12-17
FireSIGHT 系统用户指南
第 12 章 访问控制策略入门
IPS 或仅发现性能注意事项
请注意,
Inspect Traffic During Policy Apply
选项在默认情况下处于选中状态,并在策略应用期间允许
流量检查。如果相比于流量检查,您更注重连接,请通过高级选项卡取消选中此选项。
可以在 Task Status 页面 (
System > Monitoring > Task Status
) 上监控策略应用任务的进度
IPS 或仅发现性能注意事项
许可证:FireSIGHT 或保护
FireSIGHT 许可证随提供防御中心,通过该许可证可执行主机、应用和用户发现。通过发现数据,
系统可以创建完整、最新的网路配置文件。在对受管设备应用保护许可证的情况下,系统可以充当
入侵检测和防御系统 (IPS)。您可以分析入侵和漏洞的网络流量,或者丢弃有问题的数据包。
系统可以创建完整、最新的网路配置文件。在对受管设备应用保护许可证的情况下,系统可以充当
入侵检测和防御系统 (IPS)。您可以分析入侵和漏洞的网络流量,或者丢弃有问题的数据包。
将发现和 IPS 组合可提供网络活动情景并允许您利用许多功能,包括:
•
影响标志和危害指示,可以告诉您哪些主机易受特定漏洞、攻击或某种恶意软件的攻击
•
自适应配置文件和 FireSIGHT 建议,允许您根据目标主机以不同方式检查流量
•
关联,允许您根据受影响主机以不同方式响应入侵(和其他事件)
但是,如果组织对于仅执行 IPS 或仅执行发现感兴趣,则有一些配置可以优化系统的性能,如以
下各节中所述:
下各节中所述:
•
•
优化仅网络发现部署
许可证:FireSIGHT
通过
发现功能,可以监控网络流量并确定网络上主机(包括网络设备)的数量和类型,以及这些主
机上的操作系统、活动应用和开放式端口。您还可以配置受管设备和 User Agent 以监控网络上的
用户活动。可以使用发现数据执行流量量变分析,评估网络合规性和对策略违规作出响应。
用户活动。可以使用发现数据执行流量量变分析,评估网络合规性和对策略违规作出响应。
在基本部署中(仅包含发现和简单、基于网络的访问控制),可以通过在配置设备的访问控制策略
时遵循一些重要准则来提高该设备的性能。
时遵循一些重要准则来提高该设备的性能。
注
必须应用访问控制策略,即使该策略只是简单地允许所有流量也必须应用。网络发现策略只能检
查访问控制策略允许通过的流量。
查访问控制策略允许通过的流量。
首先,确保访问控制策略不要求复杂的处理并仅使用简单、基于网络的条件处理网络流量。必须
实施以下所有准则;错误配置其中任何一个选项都会消除性能优势:
实施以下所有准则;错误配置其中任何一个选项都会消除性能优势:
•
请勿使用安全情报功能。从策略的安全情报配置中移除任何已填充的全局白名单或黑名单。
•
请勿包含具有 Monitor 或 Interactive Block 操作的访问控制规则。仅使用 Allow、Trust 和 Block
规则。请记住,可以通过发现检查允许的流量,但无法检查受信任和受阻止的流量。
规则。请记住,可以通过发现检查允许的流量,但无法检查受信任和受阻止的流量。
•
请勿包含具有基于应用、用户、 URL 或地理位置的网络条件的访问控制规则,即使设备相应
地获得许可也如此。仅使用简单的基于网络的条件:区域、 IP 地址、 VLAN 标记和端口。
地获得许可也如此。仅使用简单的基于网络的条件:区域、 IP 地址、 VLAN 标记和端口。
•
请勿包含执行文件、恶意软件或入侵检查的访问控制规则,即使设备相应地获得许可也如
此。换句话说,请勿将文件策略或入侵策略与任何访问控制规则相关联。
此。换句话说,请勿将文件策略或入侵策略与任何访问控制规则相关联。