Cisco Cisco Firepower Management Center 2000 User Guide
23-5
FireSIGHT 系统用户指南
第 23 章 了解网络分析和入侵策略
了解策略如何检查流量是否存在入侵
入侵检查:入侵策略、规则和变量集
许可证:保护
可使用入侵防御作为系统在允许流量到达目的地之前的最后一道防线。入侵策略监管系统如何检
查流量是否存在安全违规,并且在内联部署中可以阻止或修改恶意流量。入侵策略的主要功能是
管理启用哪些入侵和预处理程序规则及其如何配置。
查流量是否存在安全违规,并且在内联部署中可以阻止或修改恶意流量。入侵策略的主要功能是
管理启用哪些入侵和预处理程序规则及其如何配置。
入侵和预处理程序规则
入侵规则是一组指定的关键字和参数,用于检测企图利用网络漏洞的行为;系统使用入侵规则分
析网络流量以检查其是否符合规则中的条件。系统将数据包与每条规则中指定的条件进行比较,
如果数据包数据符合规则中指定的所有条件,则触发此规则。
析网络流量以检查其是否符合规则中的条件。系统将数据包与每条规则中指定的条件进行比较,
如果数据包数据符合规则中指定的所有条件,则触发此规则。
系统包括 VRT 创建的以下类型的规则:
•
共享对象入侵规则,该规则已编译,无法修改 (诸如源和目标端口和 IP 地址等规则头信息除外)
•
标准文本入侵规则,该规则可以保存并修改为规则的新自定义实例。
•
预处理程序规则,这些是与网络分析策略中的预处理程序和数据包解码器检测选项相关联的
规则。预处理程序规则不能复制或编辑。默认情况下,大多数预处理程序规则均已禁用;您
必须将其启用才能使用预处理程序生成事件,并在内联部署中丢弃有问题的数据包。
规则。预处理程序规则不能复制或编辑。默认情况下,大多数预处理程序规则均已禁用;您
必须将其启用才能使用预处理程序生成事件,并在内联部署中丢弃有问题的数据包。
当系统根据入侵策略处理数据包时,首先由规则优化程序根据以下标准对子集中的所有已激活规
则进行分类:传输层、应用协议、来自或发往受保护网络等。然后,入侵规则引擎选择适当的规
则子集应用于每个数据包。最后,多规则搜索引擎执行三种不同类型的搜索以确定流量是否与规
则相匹配:
则进行分类:传输层、应用协议、来自或发往受保护网络等。然后,入侵规则引擎选择适当的规
则子集应用于每个数据包。最后,多规则搜索引擎执行三种不同类型的搜索以确定流量是否与规
则相匹配:
•
协议字段搜索在应用协议的特定字段中查找匹配项。
•
一般内容搜索在数据包负载中查找 ASCII 或二进制字节匹配项。
•
数据包异常搜索查找没有包含特定内容而是违反既定协议的数据包报头和负载。
在自定义入侵策略中,可通过启用和禁用规则,以及撰写和添加您自己的标准文本规则来调整检
测。还可以遵从 FireSIGHT 建议,将在您的网络中检测到的操作系统、服务器和客户端应用协议
与为了保护这些资产而特别编写的规则相关联。
测。还可以遵从 FireSIGHT 建议,将在您的网络中检测到的操作系统、服务器和客户端应用协议
与为了保护这些资产而特别编写的规则相关联。
变量集
每当系统使用入侵策略评估流量时,它使用相关的
变量集。变量集中的大多数变量代表通常在入
侵规则中用来识别源 IP 地址、目标 IP 地址、源端口和目标端口的值。还可以在入侵策略中使用
变量表示规则抑制和动态规则状态中的 IP 地址。
变量表示规则抑制和动态规则状态中的 IP 地址。
默认情况下,系统提供一个默认变量集,它包含预定义默认变量。系统提供的大多数共享对象规
则和标准文本规则均使用这些预定义默认变量来定义网络和端口号。例如,大部分规则使用变量
则和标准文本规则均使用这些预定义默认变量来定义网络和端口号。例如,大部分规则使用变量
$HOME_NET
指定受保护网络,使用变量
$EXTERNAL_NET
指定未受保护的 (或外部)网络。此外,
专用规则通常会使用其他预定义的变量。例如,检测针对网络服务器的漏洞攻击的规则使用
$HTTP_SERVERS
和
$HTTP_PORTS
变量。
提示
即使您使用系统提供的入侵策略,思科也强烈建议修改默认变量集中的关键默认变量。当使用准
确反映网络环境的变量时,处理会得以优化,并且系统可以监控相关系统是否存在可疑活动。高
级用户可创建和使用自定义变量集,以将其与一个或多个自定义入侵策略配对。有关详细信息,
请参阅
确反映网络环境的变量时,处理会得以优化,并且系统可以监控相关系统是否存在可疑活动。高
级用户可创建和使用自定义变量集,以将其与一个或多个自定义入侵策略配对。有关详细信息,
请参阅