Cisco Cisco Firepower Management Center 2000 User Guide

39-9

FireSIGHT 系统用户指南 

第 39 章      使用连接与安全情报数据 

  了解连接和安全情报数据  

在 SSL 握手期间，客户端和服务器之间交换的消息。有关详细信息，请参阅 

 

。

在连接中检测到的 TCP 标志。

系统用来在连接摘要中汇总连接的 5 分钟时间间隔的结束时间。

URL、 URL Category 和 URL Reputation

会话期间受控主机请求的 URL 以及 URL 类别和信誉 （如果有）。

如果系统识别或阻止 SSL 应用，而请求的 URL 位于加密流量中，系统会基于 SSL 证书识别
流量。因此，对于 SSL 应用，此字段表示包含在证书中的通用名称。

请注意，无论是 DC500 防御中心还是 2 系列设备都不支持 URL 类别或信誉数据。

从连接中检测到的 HTTP 流量提取的用户代理应用信息。

表示连接中检测到的 HTTP 流量内容或请求的 URL 的网络应用。

如果网络应用不匹配事件的 URL，该流量大概是推荐流量，例如广告流量。如果系统检测到
推荐流量，则会存储该推荐应用 （如果有），并将该应用列为网络应用。

如果系统不能在 HTTP 流量中识别特定的网络应用，该字段显示 

Web Browsing

。

连接和安全情报事件中的可用信息

许可证：因功能而异

受支持的设备：因功能而异

受支持的防御中心：因功能而异

可用于任何单个连接、连接摘要或安全情报事件的信息取决于多种因素。

Appliance Model 和 License

可以记录访问控制和 SSL 策略可成功处理的任何连接。但是，许多功能要求您启用目标设备
上的特定许可功能，许多功能仅适用于某些型号。

例如， SSL 检查需要 3 系列设备。其他设备型号无法检查已加密流量；已记录的连接事件不
包含有关已加密连接的信息。再如，在使用 DC500 的连接事件中无法查看地理定位数据。有
关详细信息，请参阅

。

系统仅报告在网络流量中展示 （并且可检测）的信息。例如，可能没有与发起人主机相关联
的用户，或者在协议不是 DNS、 HTTP 或 HTTPS 的连接中未检测到引用的主机。