Cisco Cisco Firepower Management Center 2000 User Guide
18-4
FireSIGHT 系统用户指南
第 18 章 使用入侵和文件策略控制流量
检查允许的流量中是否存在入侵和恶意软件
注
可检测 Intrusion Prevention 或 Network Discovery Only 默认操作允许的流量是否存在发现数据和入
侵,但不能检测其是否存在受禁文件或恶意软件。您无法将文件策略与访问控制默认操作相关联。
侵,但不能检测其是否存在受禁文件或恶意软件。您无法将文件策略与访问控制默认操作相关联。
您不需要在同一规则中同时执行文件和入侵检查。对于匹配 Allow 或 Interactive Block 规则的连接:
•
若没有文件策略,流量流动由入侵策略决定
•
若没有入侵策略,流量流动由文件策略决定
•
若以上两者都没有,仅由网络发现检查允许的流量
提示
系统不会对受信任的流量执行任何种类的检查。虽然没有使用入侵或文件策略配置 Allow 规则可
以放行流量,就像 Trust 规则那样,但 Allow 规则让您可以对匹配的流量执行发现。
以放行流量,就像 Trust 规则那样,但 Allow 规则让您可以对匹配的流量执行发现。
下图说明对符合 Allow 或用户绕过的 Interactive Block 访问控制规则的条件的流量执行的检查类
型。为简单起见,该图显示入侵策略和/或文件策略与单个访问控制规则关联的情况的流量。
型。为简单起见,该图显示入侵策略和/或文件策略与单个访问控制规则关联的情况的流量。
对由访问控制规则处理的任何单条连接,文件检测均发生在入侵检测之前。也就是说,系统不检
测文件策略所阻止的文件是否存在入侵。在文件检测中,基于类型的简单阻止优先于恶意软件检
测和阻止。
测文件策略所阻止的文件是否存在入侵。在文件检测中,基于类型的简单阻止优先于恶意软件检
测和阻止。
例如,请考虑按照访问控制规则中所定义通常要允许特定网络流量的情况。但是,作为预防措
施,您希望阻止下载可执行文件,检查恶意软件的已下载的 PDF 并阻止找到的所有实例,然后对
流量执行入侵检查。
施,您希望阻止下载可执行文件,检查恶意软件的已下载的 PDF 并阻止找到的所有实例,然后对
流量执行入侵检查。
您可以使用与自己想要暂时允许通过的流量的特征相匹配的规则创建访问控制策略,然后将其与
入侵策略和文件策略相关联。文件策略阻止所有可执行文件的下载,也可检查和阻止包含恶意软
件的 PDF:
入侵策略和文件策略相关联。文件策略阻止所有可执行文件的下载,也可检查和阻止包含恶意软
件的 PDF:
•
首先,系统根据文件策略中指定的简单类型匹配阻止所有可执行文件的下载。由于这些文件
会被立即阻止,因此,其既不接受恶意软件云查找也不接受入侵检测。
会被立即阻止,因此,其既不接受恶意软件云查找也不接受入侵检测。
•
接着,系统对下载到网络主机的 PDF 执行恶意软件云查找。具有恶意软件文件性质的任何
PDF 均被阻止,且不接受入侵检测。
PDF 均被阻止,且不接受入侵检测。
•
最后,系统使用与访问控制规则关联的入侵策略检查任何剩余流量,包括文件策略未阻止的
文件。
文件。
注
文件在会话中得以检测和阻止之前,来自该会话的数据包均可能接受入侵检查。