Cisco Cisco Firepower Management Center 2000 User Guide
37-10
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解和创建文件策略
文件规则
可使用文件规则来填充文件策略。下表介绍文件规则的组成部分。
文件规则操作和评估顺序
每个文件规则都有用于确定系统如何处理与规则条件匹配的流量的关联操作。可以在文件策略中
设置单独的规则,以对不同的文件类型、应用协议或传输方向采取不同操作。规则操作如下 (按
规则操作顺序列出):
设置单独的规则,以对不同的文件类型、应用协议或传输方向采取不同操作。规则操作如下 (按
规则操作顺序列出):
•
Block Files 规则允许阻止特定文件类型。
•
Block Malware 规则允许计算特定文件类型的 SHA-256 哈希值,然后使用云查找过程先确定
通过网络传输的文件是否包含恶意软件,再阻止表示威胁的文件。
通过网络传输的文件是否包含恶意软件,再阻止表示威胁的文件。
•
Malware Cloud Lookup 规则允许根据云查找记录通过网络传输的恶意软件性质的文件,同时
仍允许其传输。
仍允许其传输。
•
Detect Files 规则允许将特定文件类型的检测记录到数据库,同时仍允许其传输。
对于每个文件规则操作,可以配置选项以在阻止文件传输后重置连接,将捕获文件存储到受管设
备,然后将捕获文件提交到云以进行动态分析和 Spero 分析。下表详细说明可用于每次文件操作
的选项。
备,然后将捕获文件提交到云以进行动态分析和 Spero 分析。下表详细说明可用于每次文件操作
的选项。
表
37-4
文件规则组件
文件规则组件
说明
应用协议
系统可以检测和检查通过 FTP、 HTTP、 SMTP、 IMAP、 POP3 和
NetBIOS-ssn (SMB) 传输的文件。为了提高性能,可以逐个文件规则将
文件检测仅限于其中一种应用协议。
NetBIOS-ssn (SMB) 传输的文件。为了提高性能,可以逐个文件规则将
文件检测仅限于其中一种应用协议。
传输方向
对于已下载的文件,可以检查通过 FTP、 HTTP、 IMAP、 POP3 和
NetBIOS-ssn (SMB) 传入的流量;对于已上传的文件,可以检查通过
FTP、 HTTP、 SMTP 和 NetBIOS-ssn (SMB) 传出的流量。
NetBIOS-ssn (SMB) 传入的流量;对于已上传的文件,可以检查通过
FTP、 HTTP、 SMTP 和 NetBIOS-ssn (SMB) 传出的流量。
文件类别和类型
系统检测各种类型的文件。这些文件类型分为三类:基本类别,包括
多媒体 (swf 和 mp3);可执行文件 (exe 和 torrent);以及 PDF。可
以配置用于检测个别文件类型或整个类别的文件类型的规则。
多媒体 (swf 和 mp3);可执行文件 (exe 和 torrent);以及 PDF。可
以配置用于检测个别文件类型或整个类别的文件类型的规则。
例如,可以阻止所有多媒体文件,或者仅阻止 ShockWave Flash (swf)
文件。或者,可以将系统配置为会在用户下载 BitTorrent (torrent) 文件
时向您发出警报。
文件。或者,可以将系统配置为会在用户下载 BitTorrent (torrent) 文件
时向您发出警报。
注意事项
频繁触发的文件规则可能会影响系统性能。例如,检测
HTTP 流量 (例如 YouTube,用于传输重要的 Flash 内容)
中的多媒体文件可能会产生可能生成数量巨大的事件。
HTTP 流量 (例如 YouTube,用于传输重要的 Flash 内容)
中的多媒体文件可能会产生可能生成数量巨大的事件。
文件规则操作
文件规则操作用于确定系统如何处理与规则条件相符的流量。
注
文件规则是以规则操作顺序而非数字顺序进行评估。有关详细
信息,请参阅下一节,
信息,请参阅下一节,
。