Cisco Cisco Firepower Management Center 2000 User Guide
37-9
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解和创建文件策略
策略有两个访问控制规则,两者都使用 Allow 操作并与文件策略关联。策略的默认操作也是允许
流量,但不执行文件策略检查。在本示例中,流量处理如下:
流量,但不执行文件策略检查。在本示例中,流量处理如下:
•
与
Rule 1
匹配的流量根据
File Policy A
进行检查。
•
与
Rule 1
不匹配的流量根据
Rule 2
进行评估。与
Rule 2
匹配的流量根据
File Policy B
进
行检查。
•
允许与任一规则不匹配的流量;不能将文件策略与默认操作关联。
文件策略 (例如父项访问控制策略)包含的规则用于确定系统如何处理与每个规则的条件相符的
文件。可以配置单独的文件规则,以对不同的文件类型、应用协议或传输方向采取不同操作。
文件。可以配置单独的文件规则,以对不同的文件类型、应用协议或传输方向采取不同操作。
文件与某个规则匹配后,规则可以:
•
根据简单文件类型匹配允许或阻止文件
•
根据恶意软件文件性质阻止文件
•
将捕获文件存储到设备
•
提交捕获文件以进行动态分析
此外,文件策略还可以:
•
根据白名单或自定义检测列表中的条目自动将文件视为安全文件或恶意软件
•
在文件的威胁评分超过可配置阈值时将文件视为恶意软件
•
检查存档文件 (例如,
.zip
或
.rar
)的内容
•
阻止内容已加密,嵌套超过指定的最大归档深度或因其他原因无法检查的档案文件
可以将单个文件策略与其操作为
Allow
、
Interactive Block
或
Interactive Block with reset
的访问控制规则
关联。这样,系统将会使用该文件策略检查符合访问控制规则条件的网络流量。通过将不同文件
策略与不同访问控制规则关联,可以精细控制如何识别并阻止网络上传输的文件。但请注意,您
不能使用文件策略检查由访问控制默认操作处理的流量。有关详细信息,请参阅
策略与不同访问控制规则关联,可以精细控制如何识别并阻止网络上传输的文件。但请注意,您
不能使用文件策略检查由访问控制默认操作处理的流量。有关详细信息,请参阅
。