Cisco Cisco Firepower Management Center 2000 User Guide

45-12

FireSIGHT 系统用户指南

第 45 章      网络发现简介       

  了解发现数据收集

请注意，依赖于客户端、服务器或网络应用检测的操作不受此限制的影响。例如，经配置要在服
务器上触发的访问控制规则仍会记录连接事件。

有关应用协议检测的特殊注意事项：Squid

许可证：FireSIGHT

在以下情况下，系统会正确识别 Squid 服务器流量：

系统检测监控网络上主机与启用了代理身份验证的 Squid 服务器之间的连接；或

系统检测监控网络上 Squid 代理服务器与目标系统 （即，客户端正在其中请求信息或其他资
源的目标服务器）之间的连接

但是，在以下情况下，系统无法识别 Squid 业务流量：

监控网络上的主机连接到已禁用代理身份验证的 Squid 服务器；或

Squid 代理服务器被配置为会从其 HTTP 响应中移除 Via: 报头字段

特殊注意事项：SSL 应用检测

许可证：FireSIGHT

FireSIGHT 系统提供的检测器可以使用安全套接字层 (SSL) 会话中的信息确定会话中的应用协
议、客户应用或 Web 应用。

如果系统检测到加密连接，它会将该连接标记为通用 HTTPS 连接或更为具体的安全协议，例如 
SMTPS （如果适用）。如果系统检测到 SSL 会话，它会将 

SSL client

 添加到该会话的连接事件

中的 

 字段。如果识别到会话的 Web 应用，系统会为该流量生成发现事件。

对于 SSL 应用流量，受管设备还可以检测服务器证书中的公用名并将其与 SSL 主机模式的客户端
或 Web 应用比对。当系统识别到特定客户端时，会将 

SSL 客户端

替换为该客户端的名称。

由于 SSL 应用流量已加密，因此，系统只能使用证书中的信息 （而不是加密数据流中的应用数
据）进行识别。为此， SSL 主机模式有时只能识别作为应用编写者的公司，因此，同一公司开发
的 SSL 应用可能有相同的标别。

在某些情况下，例如 HTTPS 会话是从 HTTP 会话内部发起时，受管设备会从客户端数据包中的
客户端证书检测服务器名称。

要启用 SSL 应用标别，必须创建监控响应方流量的访问控制规则。这些规则必须包含适用于 SSL 
应用的应用条件或者使用来自 SSL 证书的 URL 的 URL 条件。对于网络发现，响应方 IP 地址必须
位于要在网络发现策略中监控的网络上；访问控制策略配置决定是否识别流量。在应用检测程序
列表中或在访问控制规则中添加应用条件时，可以按 

SSL protocol

 标记进行过滤，以识别 SSL 应

用的检测程序。

特殊注意事项：被推荐网络应用

网络服务器有时会将流量推荐到其他网站，这些网站通常为广告服务器。为了帮助更好地了解网
络上发生的被推荐流量的上下文，系统会在被推荐会话事件的 Web Application 字段中列出推荐流
量的网络应用。 VDB 包含已知被推荐站点的列表。如果系统检测到来自这些站点之一的流量，会
将推荐站点连同该流量的事件一起存储。例如，如果通过 Facebook 访问的广告实际在 
Advertising.com 上托管，检测到的 Advertising.com 流量与 Facebook网络应用相关。系统还可以
检测到 HTTP 流量中的推荐 URL，例如当网站提供与另一站点的简单链接时；在这种情况下，推
荐 URL 出现在 HTTP Referrer 事件字段。