Cisco Cisco Firepower Management Center 2000 User Guide
18-6
FireSIGHT 系统用户指南
第 18 章 使用入侵和文件策略控制流量
检查允许的流量中是否存在入侵和恶意软件
只要系统使用入侵策略来评估流量,它便会使用关联的
变量集。变量集中的变量代表通常在入侵
规则中用来识别源 IP 地址、目标 IP 地址、源端口和目标端口的值。您还可以使用入侵策略中的
变量表示规则抑制和动态规则状态中的 IP 地址。
变量表示规则抑制和动态规则状态中的 IP 地址。
提示
即使您使用系统提供的入侵策略,思科仍强烈建议您配置系统的入侵变量以准确反映您的网络环
境。至少,修改默认变量集中的默认变量;请参阅
境。至少,修改默认变量集中的默认变量;请参阅
请注意,您在单个访问控制策略中可以使用的唯一入侵策略的数量取决于目标设备型号;设备的
功能越强大,处理的策略就越多。每个唯一的入侵策略和变量集对均视为一个策略。虽然您可以将
不同的入侵策略-变量集对与每条 Allow 和 Interactive Block(以及默认操作)相关联,但是,如果
目标设备没有足够的资源可按照配置执行检测,则无法应用访问控制策略。有关详细信息,请参阅
功能越强大,处理的策略就越多。每个唯一的入侵策略和变量集对均视为一个策略。虽然您可以将
不同的入侵策略-变量集对与每条 Allow 和 Interactive Block(以及默认操作)相关联,但是,如果
目标设备没有足够的资源可按照配置执行检测,则无法应用访问控制策略。有关详细信息,请参阅
了解系统提供的和自定义的入侵策略
思科通过 FireSIGHT 系统提供多种入侵策略。通过使用系统提供的入侵策略,您可以借鉴思科漏
洞研究团队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规则状态,并提供高级设
置的初始配置。您可以按原样使用系统提供的策略,也可以将其作为基础构建自定义策略。构建
自定义策略可以提高系统在环境中的性能,并且可以更密切监控在网络上发生的恶意流量和违反
策略的情况。
洞研究团队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规则状态,并提供高级设
置的初始配置。您可以按原样使用系统提供的策略,也可以将其作为基础构建自定义策略。构建
自定义策略可以提高系统在环境中的性能,并且可以更密切监控在网络上发生的恶意流量和违反
策略的情况。
除了您创建的自定义策略之外,系统还提供两种自定义策略:初始内联策略和初始被动策略。这
两个入侵策略都使用“平衡式安全性和连接性”入侵策略作为其基本策略。两者之间的唯一区别
在于其
两个入侵策略都使用“平衡式安全性和连接性”入侵策略作为其基本策略。两者之间的唯一区别
在于其
Drop When Inline
设置,该设置在内联策略中启用丢弃行为,在被动策略中禁用丢弃行为。
有关详细信息,请参阅
。
连接和入侵事件日志记录
当访问控制规则调用的入侵策略检测入侵并生成入侵事件时,它将此事件保存到防御中心数据
库。无论访问控制规则采用何种日志记录配置,系统都会将发生入侵的连接结束自动记录到防御
中心数据库,请参阅
库。无论访问控制规则采用何种日志记录配置,系统都会将发生入侵的连接结束自动记录到防御
中心数据库,请参阅
。
要将入侵策略与访问控制规则相关联,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择
Policies > Access Control
。
系统将显示 Access Control Policy 页面。
步骤 2
点击想要使用访问控制规则配置入侵检测所在的访问控制策略旁的编辑图标 (
)。
步骤 3
新建一条规则或编辑现有规则;请参阅
。
系统将显示访问控制规则编辑器。
步骤 4
确保规则操作设置为
Allow
、
Interactive Block
或
Interactive Block with reset
。
步骤 5
选择 Inspection 选项卡。
系统将显示 Inspection 选项卡。
步骤 6
选择系统提供的入侵策略或自定义
入侵策略
,或选择
None
禁用对与访问控制规则相匹配的流量进
行的入侵检测。
如果选择自定义入侵策略,则可点击显示的编辑图标 (
),在新浏览器选项卡中编辑该策略;请
。