Cisco Cisco Web Security Appliance S170 사용자 가이드
14-3
思科网络安全设备 AsyncOS 8.8 用户指南
第 14 章 文件信誉过滤和文件分析
文件信誉过滤和文件分析概述
对哪些文件进行评估和分析?
信誉服务可评估大多数文件类型。文件类型标识取决于文件内容,与文件名扩展名无关。
可以对某些具有未知信誉的文件进行威胁特征分析。当配置文件分析功能时,可选择将哪些文件
类型送交分析。可以动态添加新类型;当可上传的文件类型列表发生更改时,您将会收到警报,
并可选择添加的文件类型进行上传。
类型送交分析。可以动态添加新类型;当可上传的文件类型列表发生更改时,您将会收到警报,
并可选择添加的文件类型进行上传。
有关可评估和分析的文件类型的完整信息,请参阅所用 AsyncOS 版本的 《版本说明》,可从以
下网址获取:
http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-release-n
otes-list.html
下网址获取:
http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-release-n
otes-list.html
相关主题
•
•
•
存档或压缩文件的处理
如果文件为压缩或存档文件,
•
则会对压缩或存档文件的信誉进行评估。
•
将压缩或存档文件解压缩,并评估提取的所有文件的信誉。
有关可检查的存档和压缩文件类型 (包括文件格式)的信息,请参阅 《
思科内容安全产品高级
恶意软件防护服务的文件标准》,可从以下网址获取:
http://www.cisco.com/c/en/us/support/security/email-security-appliance/products-user-gu
ide-list.html
ide-list.html
在此场景中,
•
如果其中一个提取的文件为恶意文件,则文件信誉服务会返回相应压缩或存档文件为 “恶意”
(Malicious) 文件的判定。
(Malicious) 文件的判定。
•
如果压缩或存档文件为恶意文件,但所有提取的文件都是安全文件,则文件信誉服务会返回
相应压缩或存档文件为 “恶意” (Malicious) 文件的判定。
相应压缩或存档文件为 “恶意” (Malicious) 文件的判定。
•
如果判定任何提取的文件为未知文件,则可以选择将提取的文件送交分析 (如果已配置该功
能且文件分析支持该文件类型)。
能且文件分析支持该文件类型)。
•
如果在对压缩或存档文件进行解压缩时提取文件失败,则文件信誉服务会返回相应压缩或存
档文件 “不可扫描” (Unscannable) 的判定。请注意,在此场景中,如果其中一个提取的文
件为恶意文件,则文件信誉服务会返回相应压缩或存档文件为 “恶意” (Malicious) 文件的
判定 (“恶意” [Malicious] 判定优先级高于 “不可扫描” [Unscannable] 判定)。
档文件 “不可扫描” (Unscannable) 的判定。请注意,在此场景中,如果其中一个提取的文
件为恶意文件,则文件信誉服务会返回相应压缩或存档文件为 “恶意” (Malicious) 文件的
判定 (“恶意” [Malicious] 判定优先级高于 “不可扫描” [Unscannable] 判定)。
注
系统不会评估具有安全 MIME 类型 (例如文本/纯文本)的已提取文件的信誉。
FIPS 合规性
文件信誉扫描和文件分析符合 FIPS。