Cisco Cisco Firepower Management Center 2000 User Guide
3-5
FireSIGHT 系统用户指南
第 3 章 管理可重用对象
使用安全情报列表和源
比较源和列表
安全情报
源是防御中心按配置的时间间隔从 HTTP 或 HTTPS 服务器下载的 IP 地址的动态集合。
由于源会定期更新,因此,系统可使用最新信息来过滤网络流量。为帮助您构建黑名单,思科提供
的 Intelligence Feed(有时称为 Sourcefire Intelligence Feed)代表被思科 VRT 确定为声誉不佳的 IP
地址。
的 Intelligence Feed(有时称为 Sourcefire Intelligence Feed)代表被思科 VRT 确定为声誉不佳的 IP
地址。
防御中心下载更新的源信息时,它会自动更新其受管设备。尽管源更新可能需要几分钟才能在部署
中生效,但在创建或修改源之后,或者在进行预定的源更新之后,无需重新应用访问控制策略。
中生效,但在创建或修改源之后,或者在进行预定的源更新之后,无需重新应用访问控制策略。
注
如果要对防御中心从互联网下载源的时间进行严格控制,可禁用该源的自动更新。但是,思科建
议您允许自动更新。虽然可以手动执行按需更新,但是允许系统定期下载源可获得最新、最相关
的数据。
议您允许自动更新。虽然可以手动执行按需更新,但是允许系统定期下载源可获得最新、最相关
的数据。
与源相比,安全情报
列表是手动上传到防御中心的简单静态 IP 地址列表。可使用自定义列表对源
以及全局白名单和黑名单进行扩充和微调。请注意,编辑自定义列表(以及编辑网络对象和从全局
白名单或黑名单删除 IP 地址)后,需要重新应用访问控制策略,才能使更改生效。
白名单或黑名单删除 IP 地址)后,需要重新应用访问控制策略,才能使更改生效。
格式化和已损坏源数据
源和列表源文件必须是大小不超过 500MB 的简单文本文件,每个 IP 地址或地址块占一行。注释
行必须以
行必须以
#
字符开头。列表源文件必须使用
.txt
扩展名。
如果防御中心下载了损坏的源或包括不可识别的 IP 地址的源,系统将继续使用旧的源数据(除非
是第一次下载)。但是,如果系统可以识别源中的至少一个 IP 地址,防御中心就会使用可识别的地
址更新其受管设备。
是第一次下载)。但是,如果系统可以识别源中的至少一个 IP 地址,防御中心就会使用可识别的地
址更新其受管设备。
默认运行状况策略包括安全情报模块,该模块会在出现涉及安全情报过滤的一些情况(包括防御
中心无法更新源,或者源损坏或不包含可识别的 IP 地址)时发出警报。
中心无法更新源,或者源损坏或不包含可识别的 IP 地址)时发出警报。
互联网访问和高可用性
系统使用 443/HTTPS 端口下载情报源,使用 443/HTTP 或 80/HTTP 端口下载自定义源或第三方
源。要更新源,必须打开防御中心上的相应端口(包括入站和出站)。如果防御中心无法直接访问
源站点,可使用代理服务器(请参阅
源。要更新源,必须打开防御中心上的相应端口(包括入站和出站)。如果防御中心无法直接访问
源站点,可使用代理服务器(请参阅
)。
注
防御中心在下载自定义源时不执行对等 SSL 证书验证,系统也不支持使用证书捆绑包或自签证书
来验证远程对等设备。
来验证远程对等设备。
虽然安全情报对象同步在高可用性部署中的防御中心之间同步,但只有主防御中心会下载更新。
如果主防御中心发生故障,您不仅必须确保辅助防御中心能够访问源站点,还必须使用辅助防御
中心上的网络界面将其升级为
如果主防御中心发生故障,您不仅必须确保辅助防御中心能够访问源站点,还必须使用辅助防御
中心上的网络界面将其升级为
Active
。有关详细信息,请参阅
。
管理源和列表
可以使用对象管理器的 Security Intelligence 页面创建和管理安全情报列表和源(统称为安全情报
对象)。(有关创建和管理网络对象和对象组的信息,请参阅
对象)。(有关创建和管理网络对象和对象组的信息,请参阅
。)
请注意,无法删除当前正用于已保存或已应用的访问控制策略的自定义列表或源。也不能删除全
局列表,但可以移除单个 IP 地址。同样,虽然不能删除情报源,但对情报源进行编辑可以禁用或
更改其更新频率。
局列表,但可以移除单个 IP 地址。同样,虽然不能删除情报源,但对情报源进行编辑可以禁用或
更改其更新频率。