Cisco Cisco Firepower Management Center 2000 User Guide
18-2
FireSIGHT 系统用户指南
第 18 章 使用入侵和文件策略控制流量
检查允许的流量中是否存在入侵和恶意软件
有关检测流量中是否存在入侵、受禁文件和恶意软件的详细信息,请参阅:
•
•
•
检查允许的流量中是否存在入侵和恶意软件
许可证:保护或恶意软件
受支持的设备:因功能而异
受支持的防御中心:因功能而异
入侵和文件策略监管系统的入侵防御、文件控制和 AMP 功能,是允许流量到达其目的地之前的最
后一道防线。基于硬件的快速路径规则、基于安全情报的流量过滤、SSL 检查决策(包括解密)、
解码和预处理以及访问控制规则选择均发生在入侵和文件检测之前。
后一道防线。基于硬件的快速路径规则、基于安全情报的流量过滤、SSL 检查决策(包括解密)、
解码和预处理以及访问控制规则选择均发生在入侵和文件检测之前。
访问控制规则为跨多个受管设备处理网络流量提供了精细方法。通过将入侵策略或文件策略与访
问控制规则相关联,您是在告诉系统:在其传递符合访问控制规则条件的流量之前,您首先想要
使用入侵策略和/或文件策略检测流量。访问控制规则条件可能很简单,也可能很复杂;您可以通
过安全区域、网络或地理位置、 VLAN、端口、应用、请求的 URL 和用户控制流量。
问控制规则相关联,您是在告诉系统:在其传递符合访问控制规则条件的流量之前,您首先想要
使用入侵策略和/或文件策略检测流量。访问控制规则条件可能很简单,也可能很复杂;您可以通
过安全区域、网络或地理位置、 VLAN、端口、应用、请求的 URL 和用户控制流量。
系统按您指定的顺序将流量与访问控制规则相匹配。在大多数情况下,系统会按照其
所有条件均
与流量相匹配的
第一条访问控制规则处理网络流量。访问控制规则的操作确定系统如何处理匹配
流量。您可以(不一定需要进一步检测)监控、信任、阻止或允许匹配流量;请参阅
下图显示一个内联入侵防御和 AMP 部署中的流量,它受包含四种不同类型访问控制规则和默认
操作的访问控制策略监管。
操作的访问控制策略监管。
在上面的情景中,策略中的前三条访问控制规则 — Monitor、Trust 和 Block — 无法检查匹配的流
量。 Monitor 规则跟踪和记录但不检查网络流量,因此,系统继续将流量与其他规则进行匹配以
确定是允许还是拒绝该流量。 Trust 和 Block 规则处理匹配流量,无需任何何类型的进一步检查,
不匹配的流量继续进入下一条访问控制规则。
量。 Monitor 规则跟踪和记录但不检查网络流量,因此,系统继续将流量与其他规则进行匹配以
确定是允许还是拒绝该流量。 Trust 和 Block 规则处理匹配流量,无需任何何类型的进一步检查,
不匹配的流量继续进入下一条访问控制规则。