Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
3-6
FireSIGHT 系统用户指南
第 3 章 管理可重用对象
使用安全情报列表和源
安全情报对象快速参考
下表提供了可用于执行安全情报过滤的对象的快速参考。
有关创建管理和使用安全情报列表和源的详细信息,请参阅:
•
•
•
•
•
•
使用全局白名单和黑名单
许可证:保护
受支持的设备:任何防御中心,除了 2 系列
受支持的防御中心:除 DC500 外的所有型号
在分析过程中,可以使用事件视图、 Context Explorer 或控制面板中的 IP 地址上下文菜单创建安
全情报
全情报
全局黑名单。例如,如果注意到入侵事件中的一组可路由 IP 地址涉及漏洞攻击尝试,可以
立即将这些 IP 地址添加到黑名单。还可以按类似方式建立全局白名单。
默认情况下,每个访问控制策略中都包含系统的全局白名单和全局黑名单,它们应用于所有区
域。可以为每个策略选择是否使用这些全局列表。
域。可以为每个策略选择是否使用这些全局列表。
将 IP 地址添加到全局列表时,防御中心会自动更新其受管设备。尽管可能需要等待几分钟,更改
才会在部署中生效,但向全局列表添加 IP 地址后无需重新应用访问控制策略。相反,从全局白名
单或黑名单删除 IP 地址后,必须应用访问控制策略,更改才会生效。
才会在部署中生效,但向全局列表添加 IP 地址后无需重新应用访问控制策略。相反,从全局白名
单或黑名单删除 IP 地址后,必须应用访问控制策略,更改才会生效。
请注意,尽管可以将子网掩码为 /0 的网络对象添加到白名单或黑名单,但这些对象中使用
/0
子
网掩码的地址块将被忽略,并且不会基于这些地址进行白名单和黑名单过滤。安全情报源中子网
掩码为
掩码为
/0
的地址块将被忽略。如果希望监控或阻止策略所针对的所有流量,请分别使用具有
Monitor
或
Block
规则操作的访问控制规则,并使用
Source Networks
和
Destination Networks
的默认值
any
,而不使用安全情报过滤。
表
3-1
安全情报对象功能
容量
全局白名单或黑名单
情报源
自定义源
自定义列表
网络对象
使用方法
默认情况下在访问控制策略中
在所有访问控制策略中作为白名单或黑名单对象
是否可以通过安全区
域进行限制?
域进行限制?
否
是
是
是
是
是否可以删除?
否
否
是,除非当前正用于已保存或已应用的访问
控制策略
控制策略
对象管理器编辑功能 仅删除 IP 地址 (使用上下文
菜单添加 IP 地址)
禁用或更改更
新频率
新频率
完全修改
仅上传已修改
列表
列表
完全修改
修改后是否需要重新
应用访问控制策略?
应用访问控制策略?
删除后需要重新应用 (添加
IP 地址后不需要重新应用)
IP 地址后不需要重新应用)
否
否
是
是