Cisco Cisco Firepower Management Center 2000 User Guide

3-6

FireSIGHT 系统用户指南

第 3 章      管理可重用对象       

  使用安全情报列表和源

安全情报对象快速参考

下表提供了可用于执行安全情报过滤的对象的快速参考。

有关创建管理和使用安全情报列表和源的详细信息，请参阅：

使用全局白名单和黑名单

许可证：保护

受支持的设备：任何防御中心，除了 2 系列

受支持的防御中心：除 DC500 外的所有型号

在分析过程中，可以使用事件视图、 Context Explorer 或控制面板中的 IP 地址上下文菜单创建安
全情报

全局黑名单。例如，如果注意到入侵事件中的一组可路由 IP 地址涉及漏洞攻击尝试，可以

立即将这些 IP 地址添加到黑名单。还可以按类似方式建立全局白名单。

默认情况下，每个访问控制策略中都包含系统的全局白名单和全局黑名单，它们应用于所有区
域。可以为每个策略选择是否使用这些全局列表。

将 IP 地址添加到全局列表时，防御中心会自动更新其受管设备。尽管可能需要等待几分钟，更改
才会在部署中生效，但向全局列表添加 IP 地址后无需重新应用访问控制策略。相反，从全局白名
单或黑名单删除 IP 地址后，必须应用访问控制策略，更改才会生效。

请注意，尽管可以将子网掩码为 /0 的网络对象添加到白名单或黑名单，但这些对象中使用 

/0

 子

网掩码的地址块将被忽略，并且不会基于这些地址进行白名单和黑名单过滤。安全情报源中子网
掩码为 

/0

 的地址块将被忽略。如果希望监控或阻止策略所针对的所有流量，请分别使用具有 

 或 

 规则操作的访问控制规则，并使用 

 和 

 的默认值 

，而不使用安全情报过滤。

表 

安全情报对象功能 

容量

全局白名单或黑名单

情报源

自定义源

自定义列表

网络对象

使用方法

默认情况下在访问控制策略中

在所有访问控制策略中作为白名单或黑名单对象

是否可以通过安全区
域进行限制？

否

是

是

是

是

是否可以删除？

否

否

是，除非当前正用于已保存或已应用的访问
控制策略

对象管理器编辑功能 仅删除 IP 地址 （使用上下文

菜单添加 IP 地址）

禁用或更改更
新频率

完全修改

仅上传已修改
列表

完全修改

修改后是否需要重新
应用访问控制策略？

删除后需要重新应用 （添加 
IP 地址后不需要重新应用）

否

否

是

是