Cisco Cisco Firepower Management Center 2000 User Guide
13-3
FireSIGHT 系统用户指南
第 13 章 使用安全情报 IP 地址信誉实施黑名单
建立安全情报白名单和黑名单
监控连接而不将其列入黑名单
如果您不确定是否想要将特殊 IP 地址或地址集列入黑名单,则可使用“仅监控”设置,该设置允
许系统将匹配连接传递给访问控制规则,但也将匹配项记录到黑名单并生成连接结束安全情报事
件。请注意,无法将全局黑名单设置为仅监控。有关详细信息,请参阅:
许系统将匹配连接传递给访问控制规则,但也将匹配项记录到黑名单并生成连接结束安全情报事
件。请注意,无法将全局黑名单设置为仅监控。有关详细信息,请参阅:
考虑一下这样的情况,在使用第三方源实施阻止之前,想要先对该源进行测试。当将源设置为仅
监控时,系统允许已被阻止的连接,以便系统能对其进行进一步的分析,但是也会记录这些连接
中的每一个连接,以供进行评估。
监控时,系统允许已被阻止的连接,以便系统能对其进行进一步的分析,但是也会记录这些连接
中的每一个连接,以供进行评估。
在被动部署中,为提高性能,思科 建议始终采用仅监控的设置。被动部署的受管设备无法影响流
量;与将系统配置为阻止流量相比,没有任何优势。此外,因为阻止的连接实际上在被动部署中
并未被阻止,因此,系统可能针对每条已阻止连接报告多个连接开始事件。
量;与将系统配置为阻止流量相比,没有任何优势。此外,因为阻止的连接实际上在被动部署中
并未被阻止,因此,系统可能针对每条已阻止连接报告多个连接开始事件。
建立安全情报白名单和黑名单
许可证:保护
受支持的设备:任何防御中心,除了 2 系列
受支持的防御中心:除 DC500 外的所有型号
要构建白名单和黑名单,可用网络对象和组的任何组合以及安全情报源和列表填充它们,您可按
安全区域对所有这些进行限制。
安全区域对所有这些进行限制。
默认情况下,访问控制策略使用防御中心的应用于任何区域的全局白名单和黑名单。这些列表由
分析师填充,分析师可以使用上下文菜单快速添加各个 IP 地址。可以为每个策略选择是否使用这
些全局列表。
分析师填充,分析师可以使用上下文菜单快速添加各个 IP 地址。可以为每个策略选择是否使用这
些全局列表。
注
您不能将使用已填充全局白名单或黑名单的访问控制策略应用于 2 系列 设备(或没有保护许可的
其他设备)。如果您向任一全局列表添加了 IP 地址,则必须先从策略的安全情报配置中移除非空
列表,然后才能应用该策略。有关详细信息,请参阅
其他设备)。如果您向任一全局列表添加了 IP 地址,则必须先从策略的安全情报配置中移除非空
列表,然后才能应用该策略。有关详细信息,请参阅
。
在构建白名单和黑名单后,可以记录列入黑名单的连接。也可以将个别列入黑名单的对象(包括源
和列表)设置为仅监控。这使得系统可以使用访问控制处理涉及列入黑名单的 IP 地址的连接,但
也将连接的匹配项记录至黑名单。
和列表)设置为仅监控。这使得系统可以使用访问控制处理涉及列入黑名单的 IP 地址的连接,但
也将连接的匹配项记录至黑名单。
可以使用访问控制策略中的 Security Intelligence 选项卡来配置白名单、黑名单和日志记录选项。
该页面列出了可以在白名单或黑名单中使用的可用对象以及可以用于限制列入白名单和黑名单的
对象的可用区域。每种类型的对象或区域用不同的图标区分。标有思科图标 (思科 ) 的对象代表情
报源中的不同类别。思科
该页面列出了可以在白名单或黑名单中使用的可用对象以及可以用于限制列入白名单和黑名单的
对象的可用区域。每种类型的对象或区域用不同的图标区分。标有思科图标 (思科 ) 的对象代表情
报源中的不同类别。思科
在黑名单中,设置为阻止的对象标有阻止图标 (
),而仅监控的对象标有监控图标 (
)。因为
白名单会覆盖黑名单,如果您向两个列表添加相同的对象,系统会显示带删除线的已列入黑名单
对象。
对象。
最多可以向白名单和黑名单添加总计 255 个对象。即白名单中的对象数量加上黑名单中的对象数
量不能超过 255。
量不能超过 255。
请注意,尽管可以将子网掩码为
/0
的网络对象添加到白名单或黑名单,但这些对象中使用
/0
子
网掩码的地址块将被忽略,并且不会根据这些地址进行白名单和黑名单过滤。安全情报源中子网
掩码为
掩码为
/0
的地址块也将被忽略。如果想要监控或阻止策略已锁定为目标的所有流量,请分别使
用包含
Monitor
或
Block
规则操作的访问控制规则,并使用
Source Networks
和
Destination Networks
的
默认值
any
,而不使用安全情报过滤。