Cisco Cisco Firepower Management Center 2000 User Guide
37-12
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解和创建文件策略
•
当通过 SMTP 发送基于文本的文件时,某些电子邮件客户端会将换行符转换为 CRLF 换行符
标准。由于基于 MAC 的主机使用回车 (CR) 字符,并且基于 Unix/Linux 的主机使用换行 (LF)
字符,因此,邮件客户端进行的换行可能修改文件的大小。注意某些电子邮件客户端在处理
无法识别的文件类型时默认进行换行符转换。
标准。由于基于 MAC 的主机使用回车 (CR) 字符,并且基于 Unix/Linux 的主机使用换行 (LF)
字符,因此,邮件客户端进行的换行可能修改文件的大小。注意某些电子邮件客户端在处理
无法识别的文件类型时默认进行换行符转换。
•
思科建议启用
Reset Connection
(适用于
Block Files
和
Block Malware
操作)以防止受阻应用会话
保持打开,直到 TCP 连接重置为止。如果不重置连接,则客户端会话会保持打开,直到 TCP
连接重置为止。
连接重置为止。
•
如果文件规则配置有
Malware Cloud Lookup
或
Block Malware
操作,并且防御中心无法与云建立
连接,则系统无法执行任何已配置的规则操作选项,直到恢复云连接为止。
•
如果监控大量流量,请勿存储所有捕获文件,或者将所有捕获文件提交进行动态分析。否则
可能对系统性能产生不利影响。
可能对系统性能产生不利影响。
注
文件在会话中得以检测和阻止之前,来自该会话的数据包均可能接受入侵检查。
文件规则评估示例
与访问控制策略中不同 (规则按数字顺序进行评估),文件策略如
检测和日志记录。例如,可考虑使用在单个文件策略中处理 PDF 文件的四种规则。无论这些规则
在网络界面中的显示顺序如何,它们都按以下顺序进行评估:
在网络界面中的显示顺序如何,它们都按以下顺序进行评估:
防御中心使用警告图标 (
) 来指出有冲突的文件规则。有关详细信息,请将指针悬停在警告图
标上方。
请注意,不能对系统检测到的所有文件类型都执行恶意软件分析。从
Application Protocol
、
Direction
of Transfer
和
Action
下拉列表中选择值之后,系统会对文件类型的列表进行约束。
请注意,由于 DC500 无法使用恶意软件许可证,因此无法创建使用 Block Malware 或 Malware
Cloud Lookup 操作的文件规则,也无法使用该设备来应用包含具有这些操作的规则的文件策略。
同样,由于不能在2 系列 设备或 用于 Blue Coat X-系列的思科 NGIPS上启用恶意软件许可证,因
此无法将包含具有这些操作的规则的文件策略应用于这些设备。
Cloud Lookup 操作的文件规则,也无法使用该设备来应用包含具有这些操作的规则的文件策略。
同样,由于不能在2 系列 设备或 用于 Blue Coat X-系列的思科 NGIPS上启用恶意软件许可证,因
此无法将包含具有这些操作的规则的文件策略应用于这些设备。
表
37-6
文件规则评估顺序示例
应用 协议
方向
操作
操作选项
结果
SMTP
上传
Block Files
重置连接
阻止用户通过邮件发送 PDF 文件并重
置连接。
置连接。
FTP
下载
Block Malware
存储具有 Unknown 性质
的文件;重置连接
的文件;重置连接
阻止通过文件传输下载恶意软件 PDF
文件,将具有 Unknown 文件性质的文
件存储到设备,并重置连接。
文件,将具有 Unknown 文件性质的文
件存储到设备,并重置连接。
POP3
IMAP
下载
Malware Cloud Lookup 存储具有 Unknown 性质
的文件;动态分析
检查通过邮件收到的 PDF 文件是否含
有恶意软件,并将具有 Unknown 文件
性质的文件存储到设备。将文件提交到
思科云以进行动态分析。
有恶意软件,并将具有 Unknown 文件
性质的文件存储到设备。将文件提交到
思科云以进行动态分析。
任何环境
任何环境
Detect Files
无
检测和记录,但是当用户在网络上
(即,通过 HTTP)查看 PDF 文件时允
许流量。