Cisco Cisco Firepower Management Center 2000 User Guide
38-7
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
决定要记录哪些连接
注意事项
在拒绝服务 (DoS) 攻击期间,记录受阻 TCP 连接可能会影响系统的性能,而且多个类似事件使数
据库系统不堪重负。在您启用阻止规则的日志记录之前,请考虑该规则是监控面向互联网的接口
上的流量,还是易遭受 DoS 攻击的其他接口上的流量。
据库系统不堪重负。在您启用阻止规则的日志记录之前,请考虑该规则是监控面向互联网的接口
上的流量,还是易遭受 DoS 攻击的其他接口上的流量。
了解受允许连接的记录
许可证:因功能而异
加密 SSL 规则、不加密 SSL 规则以及 Allow 访问控制规则允许匹配流量传递至下一阶段的检查和
流量处理。
流量处理。
无论您是否使用 SSL 规则解密已加密的流量,该流量均会继续接受访问控制规则的评估。如果您
为该 SSL 规则启用日志记录,系统均会记录匹配连接的结束,无论访问控制规则或稍后处理它们
的默认操作的日志记录配置如何。
为该 SSL 规则启用日志记录,系统均会记录匹配连接的结束,无论访问控制规则或稍后处理它们
的默认操作的日志记录配置如何。
当您通过访问控制规则允许流量时,可以使用关联的入侵或文件策略 (或二者),在流量可以达
到其最终目标前,进一步检查流量和阻止入侵、受禁文件和恶意软件。然而,请注意,对于加密
负载,文件和入侵检查已默认禁用。
到其最终目标前,进一步检查流量和阻止入侵、受禁文件和恶意软件。然而,请注意,对于加密
负载,文件和入侵检查已默认禁用。
将按以下方式记录与 Allow 访问控制规则匹配的流量的连接:
•
访问控制规则调用的入侵策略检测到入侵并生成入侵事件时,系统会将发生入侵连接结束自
动记录至 防御中心数据库,无论该规则的日志记录配置如何。
动记录至 防御中心数据库,无论该规则的日志记录配置如何。
•
访问控制规则调用的文件策略检测到受禁文件 (包括恶意软件)并生成文件或恶意软件事件
时,系统会将检测到文件的连接结束自动记录至 数据库,而无论该访问控制规则的日志记录
配置如何。防御中心
时,系统会将检测到文件的连接结束自动记录至 数据库,而无论该访问控制规则的日志记录
配置如何。防御中心
•
或者,对于所有允许的流量,包括系统视作安全的流量或您未使用入侵或文件策略检查的流
量,您可以启用连接开始和连接结束日志记录。
量,您可以启用连接开始和连接结束日志记录。
对所有生成的连接事件, Action 和 Reason 字段均会反映为何记录事件;请参阅
和
•
Allow
操作代表达到其最终目标且被显示允许和用户绕过的交互式受阻连接。
•
Block
操作代表首先被访问控制规则允许,但在其中检测到入侵、受禁文件或恶意软件的连接。
为允许的连接禁用文件和恶意软件事件日志记录
许可证:保护或恶意软件
受支持的设备:因功能而异
受支持的防御中心:因功能而异
当您通过访问控制规则允许未加密或解密的流量时,可以使用关联的文件策略检查传输的文件,
在其可以到达其目标前,阻止受禁文件和恶意软件;请参阅
在其可以到达其目标前,阻止受禁文件和恶意软件;请参阅
请注意,由于您无法在 DC500 上使用恶意软件许可证,也无法在 2 系列设备或用于 Blue Coat
X-系列的思科 NGIPS上启用恶意软件许可证,因此无法使用这些设备进行恶意软件防护。
X-系列的思科 NGIPS上启用恶意软件许可证,因此无法使用这些设备进行恶意软件防护。
当系统检测到受禁文件时,它会将以下事件类型之一自动记录至 防御中心数据库:
•
文件事件,代表检测到或阻止的文件,包括恶意软件文件
•
恶意软件事件,只代表被检测到或被阻止的恶意软件文件
•
可追溯的恶意软件事件,其在之前检测到的文件的恶意软件性质变更时生成