Cisco Cisco Web Security Appliance S380 Guía Del Usuario
14-2
思科网络安全设备 AsyncOS 8.8 用户指南
第 14 章 文件信誉过滤和文件分析
文件信誉过滤和文件分析概述
文件处理概述
首先,针对基于 Web 的信誉服务 (WBRS) 评估下载文件的网站。
如果该站点的 Web 信誉分数处于配置为 “扫描” (Scan) 的范围内,设备会同时扫描事务是否存
在恶意软件并向基于云的服务查询文件的信誉。(如果该站点的信誉分数处于 “阻止” [Block]
范围内,设备会相应地处理事务,无需进一步处理文件。)如果在扫描过程中发现恶意软件,则
无论文件的信誉如何,都将阻止事务。
在恶意软件并向基于云的服务查询文件的信誉。(如果该站点的信誉分数处于 “阻止” [Block]
范围内,设备会相应地处理事务,无需进一步处理文件。)如果在扫描过程中发现恶意软件,则
无论文件的信誉如何,都将阻止事务。
如果还启用了自适应扫描,则会在自适应扫描中包含文件信誉评估和文件分析。
设备和文件信誉服务之间的通信已加密并已防止篡改。
评估文件的信誉后:
•
如果文件为文件信誉服务所知并确定为正常,则文件会释放给最终用户。
•
如果文件信誉服务返回恶意判定,则设备会应用您为此类文件指定的操作。
•
如果文件为信誉服务所知,但达成明确判定的信息不足,则信誉服务会根据文件的特征 (例
如威胁指纹和行为分析)返回威胁分数。如果此分数达到或超过配置的信誉阈值 (不应更改
默认阈值),则设备会对恶意或高风险文件应用已在访问邮件策略中配置的操作。
如威胁指纹和行为分析)返回威胁分数。如果此分数达到或超过配置的信誉阈值 (不应更改
默认阈值),则设备会对恶意或高风险文件应用已在访问邮件策略中配置的操作。
•
如果信誉服务没有关于文件的信息,并且文件不满足分析条件,则系统会将文件视为正常,
并将文件释放给最终用户。
并将文件释放给最终用户。
•
如果信誉服务没有关于文件的信息,并且文件满足可以分析的文件的条件(请参阅
),则系统会将文件视为正常并可选择性地发送进行分析。
•
如果文件信誉信息不可用 (例如,由于与云服务的连接超时),则系统会将该文件视为安
全,并将文件释放给最终用户。
全,并将文件释放给最终用户。
如果将文件送交分析:
•
使用 SSL/TLS 发送文件。
•
分析通常需要分钟,但可能需要更长时间。
•
有关已分析的每个文件的信息会被添加到信誉数据库。文件分析结果对于文件的信誉有影响。
有关判定更新的信息,请参阅
。