Cisco Cisco Firepower Management Center 2000 User Guide
45-10
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解发现数据收集
有关详情,请参阅:
•
•
•
•
•
•
•
•
了解应用协议检测过程
许可证:FireSIGHT
当系统检测应用流量时,它首先确定应用协议是否在使用该特定端口作为唯一的检测条件的检测
程序识别出的端口上运行。如果应用协议在这些端口之一上运行,系统会使用已知的端口检测程
序正确识别应用协议。
程序识别出的端口上运行。如果应用协议在这些端口之一上运行,系统会使用已知的端口检测程
序正确识别应用协议。
注
由于可以创建并激活在思科提供的检测程序使用的端口上用户定义的基于端口的应用协议检测程
序,因此可能会覆盖思科的检测功能。例如,如果用户定义的检测程序将端口 22 上的所有应用
协议流量识别为
序,因此可能会覆盖思科的检测功能。例如,如果用户定义的检测程序将端口 22 上的所有应用
协议流量识别为
myapplication
应用协议,端口 22 上的 SSH 流量将被错误识别为
myapplication
流量。
如果应用协议不是在这些端口之一上运行,系统会使用更强大的方法根据匹配的端口和模式对其
进行识别。如果两个检测程序都正确识别流量,使用较长的模式匹配的检测程序将会优先。同
样,有多个模式匹配的检测程序优先于单一模式匹配。
进行识别。如果两个检测程序都正确识别流量,使用较长的模式匹配的检测程序将会优先。同
样,有多个模式匹配的检测程序优先于单一模式匹配。
请注意,如在网络发现策略中所定义,系统仅识别监控网络的主机上运行的应用协议。例如,如
果内部主机访问未受监控的远程站点的 FTP 服务器,系统不会将应用协议识别为 FTP。另一方
面,如果远程或内部主机访问正受监控主机上的 FTP 服务器,系统能够正确识别应用协议。
果内部主机访问未受监控的远程站点的 FTP 服务器,系统不会将应用协议识别为 FTP。另一方
面,如果远程或内部主机访问正受监控主机上的 FTP 服务器,系统能够正确识别应用协议。
如果系统可识别未受监控的服务器与受监控主机之间的访问连接中使用的客户端,可能会发生异
常。在这种情况下,系统可正确识别与连接的客户端对应的适当应用协议,但不会将应用协议添
加到网络映射。有关详细信息,请参阅
常。在这种情况下,系统可正确识别与连接的客户端对应的适当应用协议,但不会将应用协议添
加到网络映射。有关详细信息,请参阅
请注意,客户端会话必须包括来自要发生应用检测的服务器的响应。
下表概括了 FireSIGHT 系统如何识别在防御中心网络界面 (网络映射、主机配置文件、事件视图
等)中检测到的应用协议。
等)中检测到的应用协议。