Cisco Cisco Firepower Management Center 2000 사용자 가이드
第
章
23-1
FireSIGHT 系统用户指南
23
了解网络分析和入侵策略
网络分析和入侵策略作为 FireSIGHT 系统的 入侵检测和防御功能的一部分,共同发挥作用。术语
入侵检测通常指被动分析网络流量以寻找潜在入侵,并存储攻击数据用于安全分析的过程。术语
入侵防御包括入侵检测的概念,但是增加了在恶意流量流经网络时对其进行拦截或更改的能力。
入侵检测通常指被动分析网络流量以寻找潜在入侵,并存储攻击数据用于安全分析的过程。术语
入侵防御包括入侵检测的概念,但是增加了在恶意流量流经网络时对其进行拦截或更改的能力。
在入侵防御部署中,当系统检查数据包时:
•
网络分析策略监管如何对流量进行
解码和预处理,以便进一步评估,尤其是针对可能预示入
侵企图的异常流量。
•
入侵策略使用
入侵和预处理程序规则 (有时统称为入侵规则)根据模式检查已解码的数据包
中是否存在攻击。入侵策略与
变量集配对,允许您使用指定值准确反映您的网络环境。
网络分析和入侵策略由父访问控制策略在不同时间调用。在系统分析流量期间,网络分析 (解码
和预处理)阶段发生在入侵防御 (其他预处理和入侵规则)阶段之前并且独立进行。网络分析和
入侵策略共同提供广泛和深入的数据包检测。它们可以帮助您检测、警告和防止可能威胁主机及
其数据的可用性、完整性和保密性的网络流量。
和预处理)阶段发生在入侵防御 (其他预处理和入侵规则)阶段之前并且独立进行。网络分析和
入侵策略共同提供广泛和深入的数据包检测。它们可以帮助您检测、警告和防止可能威胁主机及
其数据的可用性、完整性和保密性的网络流量。
FireSIGHT 系统 附有若干名称类似的网络分析和入侵策略 (例如, Balanced Security and
Connectivity),它们互为补充并且相互配合。通过系统提供的策略,您可以利用思科漏洞研究团
队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规则状态,并提供预处理程序和其
他高级设置的初始配置。
Connectivity),它们互为补充并且相互配合。通过系统提供的策略,您可以利用思科漏洞研究团
队 (VRT) 的经验。对于这些策略, VRT 设置入侵和预处理程序规则状态,并提供预处理程序和其
他高级设置的初始配置。
您还可以创建自定义网络分析和入侵策略。您可以调整自定义策略中的设置,以对您最重要的方
式检查流量,从而能够提高受管设备的性能以及您有效响应其生成的事件的能力。
式检查流量,从而能够提高受管设备的性能以及您有效响应其生成的事件的能力。
您可在网络界面中使用相似的策略编辑器创建、编辑、保存和管理网络分析和入侵策略。在您编
辑任一类型的策略时,导航面板显示在网络界面的左侧;右侧显示各种配置页面。
辑任一类型的策略时,导航面板显示在网络界面的左侧;右侧显示各种配置页面。
本章简要概述网络分析和入侵策略监管的配置类型,说明策略如何协作以检查流量和生成策略违
例记录
例记录
,以及提供有关对策略编辑器进行导航的基本信息。本章还说明使用自定义策略与系统提
供的策略的优点和局限性。有关详细信息,请参阅以下各节:
•
•
•
•
要自定义入侵部署,请参阅以下内容来获取后续步骤:
•
使用自定义策略,思科也强烈建议您修改默认变量集中的默认变量。高级用户可创建和使用
自定义变量集,以将其与一个或多个自定义入侵策略配对。
自定义变量集,以将其与一个或多个自定义入侵策略配对。
•
介绍如何创建和编辑简单的自定义入侵策略。