Cisco Cisco Firepower Management Center 2000 User Guide
38-15
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
根据访问控制处理记录连接
记录访问控制默认操作处理的连接
许可证:任何环境
您也可以为访问控制策略默认操作处理的流量记录连接。默认操作确定系统如何处理与策略中所
有访问控制规则均不匹配的流量 (Monitor 规则除外,这些规则匹配和记录,但不处理或检查流
量);请参阅
有访问控制规则均不匹配的流量 (Monitor 规则除外,这些规则匹配和记录,但不处理或检查流
量);请参阅
用于记录策略默认操作处理的连接的机制和选项与用于记录个别访问控制规则处理的连接的选项
大致类似,如下表所述。也就是说,除了受阻流量,您可以记录连接的开始和结束,而且您可以
将连接事件发送至 防御中心数据库或者外部系统日志或 SNMP 陷阱服务器。
大致类似,如下表所述。也就是说,除了受阻流量,您可以记录连接的开始和结束,而且您可以
将连接事件发送至 防御中心数据库或者外部系统日志或 SNMP 陷阱服务器。
然而,记录访问控制规则处理的连接与记录默认操作处理的连接之间存在着一些差异:
•
默认操作没有文件日志记录选项。您不能使用默认操作执行文件控制或 AMP。
•
当与访问控制默认操作关联的入侵策略生成入侵事件时,系统不会自动记录相关连接结束事
件。当您不想在入侵检测和仅限防御的部署中记录任何连接数据时,这很有帮助。
件。当您不想在入侵检测和仅限防御的部署中记录任何连接数据时,这很有帮助。
如果启用了默认操作的连接开始日志记录,这一规则将不适用。在这种情况下,当关联的入
侵策略触发时,除了记录连接开始事件外,系统还会日志记录连接结束事件。
侵策略触发时,除了记录连接开始事件外,系统还会日志记录连接结束事件。
请注意,即便您为默认操作禁用日志记录,与该规则匹配的连接的连接结束事件仍可能会被记录
至 防御中心 数据库,前提是该连接以前至少与一条访问控制 Monitor 规则相匹配或由 SSL 策略进
行检查和记录。
至 防御中心 数据库,前提是该连接以前至少与一条访问控制 Monitor 规则相匹配或由 SSL 策略进
行检查和记录。
要记录访问控制默认操作处理的流量中的连接,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择
Policies > Access Control
。
系统将显示 Access Control Policy 页面。
步骤 2
点击要修改的访问控制策略旁的编辑图标 (
)。
系统将显示访问控制策略编辑器,以 Rules 选项卡为中心。
步骤 3
点击日志记录图标 (
),该图标位于
Default Action
下拉列表旁。
屏幕上将会显示 Logging 弹出窗口。
步骤 4
指定您是否想要选择
Log at Beginning of Connection
还是选择
Log at End of Connection
。
要优化性能,请记录这些连接的开始或结束,而不是同时记录两者。对于单一未受阻连接,连接
结束事件限制包含连接开始事件中的所有信息,以及在会话期间收集到的信息。由于受阻流量会
被立即拒绝,无需进一步检查,因此,您可以仅记录 Block All Traffic 默认操作的连接开始事件。
结束事件限制包含连接开始事件中的所有信息,以及在会话期间收集到的信息。由于受阻流量会
被立即拒绝,无需进一步检查,因此,您可以仅记录 Block All Traffic 默认操作的连接开始事件。
表
38-4
访问控制默认操作日志记录选项
默认操作
比较对象
请参阅......
访问控制:阻止所有流量 Block 规则
访问控制:信任所有流量 Trust 规则
入侵防御
带关联入侵策略的 Allow 规则
仅网络发现
不带关联入侵策略的 Allow 规则