Cisco Cisco Firepower Management Center 2000 User Guide
37-11
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解和创建文件策略
文件和恶意软件检测、捕获以及阻止附注与限制
请注意有关文件和恶意软件检测、捕获以及阻止行为的以下详细信息和限制:
•
无论使用何种传输协议,如果未检测到文件的文件结尾标记,
Block Malware
规则或自定义检
测列表不会阻止该文件。系统会等待接收整个文件后再阻止文件 (如文件结尾标记所指
示),并在检测到该标记后阻止文件。
示),并在检测到该标记后阻止文件。
•
如果 FTP 文件传输的文件结尾标记单独从最后一个数据段进行传输,则会阻止该标记,并且
FTP 客户端会指示文件传输失败,但是文件实际上将完整传输到磁盘。
FTP 客户端会指示文件传输失败,但是文件实际上将完整传输到磁盘。
•
FTP 通过不同信道传输命令和数据。在被动或内嵌分路器模式部署中, FTP 数据会话中的流
量及其控制会话可能不会被负载均衡到同一个 Snort。
量及其控制会话可能不会被负载均衡到同一个 Snort。
•
如果文件匹配包含应用协议条件的规则,在系统成功确定该文件的应用协议之后,会生成文
件事件。无法识别的文件不生成文件事件。
件事件。无法识别的文件不生成文件事件。
•
对于使用适合于 FTP 的具有
Block Malware
规则的访问控制策略,如果将默认操作设置为已禁
用
Drop when Inline
的入侵策略,则系统会为检测到的与规则匹配的文件或恶意软件生成事件,
但不丢弃文件。要阻止 FTP 文件传输并使用入侵策略作为在其中选择文件策略的访问控制策
略的默认操作,必须选择已启用
略的默认操作,必须选择已启用
Drop when Inline
的入侵策略。
•
具有
Block Files
和
Block Malware
操作的文件规则会阻止通过 HTTP 自动恢复文件下载,方法是
在进行初始文件传输尝试后检测到相同的文件、 URL、服务器和客户端应用达到 24 小时的情
况下阻止新会话。
况下阻止新会话。
•
在极少数情况下,如果来自 HTTP 上传会话的流量顺序错误,则系统无法正确重组流量,并
因此不会阻止该会话或生成文件事件。
因此不会阻止该会话或生成文件事件。
•
如果通过 NetBios-ssn 传输使用
Block Files
规则阻止的文件 (例如 SMB 文件传输),则目标主
机上可能会显示文件。但是,该文件不可用,原因是在下载启动后阻止了该文件,导致文件
传输未完成。
传输未完成。
•
如果创建文件规则以检测或阻止通过 NetBios-ssn 传输的文件 (例如 SMB 文件传输),则系
统不检查在应用调用文件策略的访问控制策略前启动的已建立的 TCP 或 SMB 会话中传输的
文件,因此不会检测或阻止这些文件。
统不检查在应用调用文件策略的访问控制策略前启动的已建立的 TCP 或 SMB 会话中传输的
文件,因此不会检测或阻止这些文件。
•
配置为在被动部署中阻止文件的规则不会阻止匹配的文件。由于连接继续传输文件,因此如
果配置规则以记录连接的开始,则您可能会看到为此连接记录的多个事件。
果配置规则以记录连接的开始,则您可能会看到为此连接记录的多个事件。
•
如果 POP3、POP、SMTP 或 IMAP 会话中文件的所有文件名的总字节数超过 1024,则会话中
的文件事件可能无法反映文件名缓冲区填充后检测到的文件的正确文件名。
的文件事件可能无法反映文件名缓冲区填充后检测到的文件的正确文件名。
表
37-5
文件规则操作
操作
重置连接?
存储文件?
动态分析?
面向 MSEXE 的 Spero 分析?
Block Files
是 (推荐)
是,可以存储所有匹
配的文件类型
配的文件类型
否
否
Block Malware
是 (推荐)
是,可以存储与选择
的文件性质匹配的文
件类型
的文件性质匹配的文
件类型
是,可以提交具有未
知文件性质的可执行
文件
知文件性质的可执行
文件
是,可以提交可执行文件
Detect Files
否
是,可以存储所有匹
配的文件类型
配的文件类型
否
否
Malware Cloud
Lookup
Lookup
否
是,可以存储与选择
的文件性质匹配的文
件类型
的文件性质匹配的文
件类型
是,可以提交具有未
知文件性质的可执行
文件
知文件性质的可执行
文件
是,可以提交可执行文件