Cisco Cisco Web Security Appliance S190 Mode D'Emploi
20-3
思科网络安全设备 AsyncOS 8.8 用户指南
第 20 章 检测非标准端口上的恶意流量
更新 L4 流量监控器防恶意软件规则
步骤 4
如果启用 L4 流量监控器,请选择应监控的端口:
•
所有端口 (All ports)。监控所有 65535 TCP 端口的恶意活动。
•
除代理端口之外的所有端口 (All ports except proxy ports)。监控除以下端口之外所有 TCP 端
口的恶意活动。
口的恶意活动。
–
在安全服务 (Security Services) > Web 代理 (Web Proxy) 页面的 “代理的 HTTP 端口”
(HTTP Ports to Proxy) 属性中配置的端口 (通常为端口 80)。
(HTTP Ports to Proxy) 属性中配置的端口 (通常为端口 80)。
–
在安全服务 (Security Services) > HTTPS 代理 (HTTPS Proxy) 页面的 “代理的透明
HTTP 端口” (Transparent HTTPS Ports to Proxy) 属性中配置的端口 (通常为端口
443)。
HTTP 端口” (Transparent HTTPS Ports to Proxy) 属性中配置的端口 (通常为端口
443)。
步骤 5
提交 (Submit) 并确认更改 (Commit Changes)。
更新 L4 流量监控器防恶意软件规则
步骤 1
依次选择安全服务 (Security Services) > L4 流量监控器 (L4 Traffic Monitor)。
步骤 2
点击立即更新 (Update Now)。
创建策略以检测恶意流量
L4 流量监控器采取的操作取决于您配置的 L4 流量监控器策略:
步骤 1
依次选择网络安全管理器 (Web Security Manager) > L4 流量监控器 (L4 Traffic Monitor)。
步骤 2
点击编辑设置 (Edit Settings)。
步骤 3
在编辑 L4 流量监控器策略 (Edit L4 Traffic Monitor Policies) 页面上,配置 L4 流量监控器策略:
a.
定义允许列表 (Allow List)
b.
将已知良好的站点添加到允许列表 (Allow List)
注
不要将网络安全设备 IP 地址或主机名添加到允许列表 (Allow List),否则, L4 流量
监控器不会阻止任何流量。
监控器不会阻止任何流量。
c.
确定要对可疑恶意软件地址 (Suspected Malware Addresses) 执行的操作: