Cisco Cisco Firepower Management Center 2000 User Guide
45-9
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
了解应用检测
许可证:FireSIGHT
FireSIGHT 系统分析 IP 流量时,会尝试识别网络上常用的应用。应用感知是执行基于应用的访问
控制的关键。
控制的关键。
系统检测的应用有三种类型:
•
应用协议 (例如 HTTP 和 SSH),代表主机之间的通信
•
客户端 (例如 网络浏览器和邮件客户端),代表在主机上运行的软件
•
网络应用 (例如 MPEG 视频和 Facebook),代表 HTTP 流量的内容或请求的 URL
系统使用数据包报头中的 ASCII 或十六进制模式或者流量使用的端口来识别网络流量中的应用。
有些应用检测器会同时使用端口和特征这两种方式进行检测,以提高正确识别特定应用流量的可
能性。此外,安全套接字层 (SSL) 协议检测程序使用安全会话的信息来识别会话中的应用。
FireSIGHT 系统中有两种应用检测程序来源:
有些应用检测器会同时使用端口和特征这两种方式进行检测,以提高正确识别特定应用流量的可
能性。此外,安全套接字层 (SSL) 协议检测程序使用安全会话的信息来识别会话中的应用。
FireSIGHT 系统中有两种应用检测程序来源:
•
思科提供的检测程序,用于检测网络应用、客户端和应用协议
思科提供的应用检测程序 (和操作系统,请参阅
)的可用性
取决于 FireSIGHT 系统的版本和已安装的 VDB 的版本。版本说明和公告包含关于新的和更新
的检测程序的信息。也可以导入专业服务开发的单个检测程序。有关所检测到的应用的完整
列表,请参阅支持站点。
的检测程序的信息。也可以导入专业服务开发的单个检测程序。有关所检测到的应用的完整
列表,请参阅支持站点。
•
用户定义的应用检测程序,您可以创建此类检测程序,以增强系统的应用协议检测能力
还可以通过
隐含应用协议检测来检测应用协议,这种检测根据对客户端的检测暗示应用协议的存在。
系统使用下表中所述的条件来展示其检测到的每个应用的特征。系统使用这些特征创建应用过滤
器或应用组。您可以使用这些过滤器和您自己创建的过滤器执行访问控制,以及限制搜索、报告
和控制面板构件。有关详细信息,请参阅
器或应用组。您可以使用这些过滤器和您自己创建的过滤器执行访问控制,以及限制搜索、报告
和控制面板构件。有关详细信息,请参阅
。
为了补充系统生成的应用数据,您可以使用由支持 NetFlow 的设备、 Nmap 主动扫描和主机输入
功能生成的记录。
功能生成的记录。
表
45-2
应用特征
特征
说明
示例
类型
应用类型:
•
Application Protocols
代表主机之间的通信。
•
客户端
代表主机上运行的软件。
•
Web Applications
代表 HTTP 流量的内容或请求
的 URL。
HTTP 和 SSH 是应用协议。
网络浏览器和邮件客户端是
客户端。
网络浏览器和邮件客户端是
客户端。
MPEG 视频和 Facebook 是网
络应用。
络应用。
风险
应用被用于可能违反组织安全策略之目的的可能
性。应用风险的取值范围为
性。应用风险的取值范围为
Very Low
到
Very High
。
P2P 应用的风险通常很高。
业务相关性
应用被用于组织的企业运营中 (而不是被用于娱
乐目的)的可能性。应用的业务相关性的取值范
围为
乐目的)的可能性。应用的业务相关性的取值范
围为
Very Low
到
Very High
。
游戏应用的业务相关性通常
很低。
很低。
类别
说明应用的最基本功能的应用通用分类。每个应
用都至少归属于一个类别。
用都至少归属于一个类别。
Facebook 属于
社交网络
类别。
标记
有关应用的附加信息。应用可以包括任何数量的
标记,也可以没有标记。
标记,也可以没有标记。
视频流网络应用通常标记为
高带宽
和
展示广告
。