确定在Firepower威胁防御(FTD)上运行的活动Snort版本

下载选项

  • PDF     (1.3 MB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2024 年 7 月 17 日
文档 ID:220415

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在思科FDM、思科FMC或CDO管理思科FTD时确认其运行的活动snort版本的步骤。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 思科Firepower管理中心(FMC)
    • 思科Firepower威胁防御(FTD)
    • 思科Firepower设备管理器(FDM)
    • 思科防御协调器(CDO)

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • Cisco Firepower威胁防御v6.7.0和7.0.0
    • 思科Firepower管理中心6.7.0版和7.0.0版
    • 思科防御协调器 

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    SNORT®入侵防御系统已正式启动Snort 3,这是一个全面升级,它具有多项改进功能和新功能,能够提高性能、加快处理速度、提高网络可扩展性,并且具有200多个插件,因此您可以为您的网络创建自定义设置。

    Snort 3的优势包括(但不限于):

    • 性能改善

    • 改进的SMBv2检测

    • 新的脚本检测功能

    • HTTP/2检测

    • 自定义规则组

    • 使自定义入侵规则更易于编写的语法。

    • 它为什么会在入侵事件中丢弃内联结果。

    • 将更改部署到VDB、SSL策略、自定义应用检测器、强制网络门户身份源和TLS服务器身份发现时,Snort不会重新启动。

    • 通过发送到思科成功网络的Snort 3特定遥测数据和更好的故障排除日志,提高了适用性。

    对Snort 3.0的支持是针对6.7.0 Cisco Firepower威胁防御(FTD)引入的,而此时正是FTD通过Cisco Firepower设备管理器(FDM)进行管理的时候。

    注意:对于由FDM管理的新6.7.0 FTD部署,Snort 3.0是默认检测引擎。如果您将FTD从较旧版本升级到6.7,则Snort 2.0仍为活动检测引擎,但您可以切换到Snort 3.0。

    注意:对于此版本,Snort 3.0不支持虚拟路由器、基于时间的访问控制规则或TLS 1.1或更低级别连接的解密。仅在不需要这些功能时才启用Snort 3.0。

    然后,Firepower版本7.0引入了对由思科FDM和思科Firepower管理中心(FMC)管理的Firepower威胁防御设备的Snort 3.0支持。

    注意:对于新的7.0 FTD部署,Snort 3现在是默认检测引擎。升级后的部署继续使用Snort 2,但您可以随时进行切换。

    注意:您可以在Snort 2.0和3.0之间自由切换,以便在需要时恢复更改。只要您切换版本,流量就会中断。

    注意:在切换到Snort 3之前,强烈建议您阅读并理解《Firepower管理中心Snort 3配置指南》。请特别注意功能限制和迁移说明。虽然升级到Snort 3是为了将影响降至最低,但功能并不完全匹配。升级前的规划和准备工作可以帮助您确保按照预期处理流量。

    确定在FTD上运行的活动Snort版本

    FTD命令行界面(CLI)

    要确定在FTD上运行的活动Snort版本,请登录FTD CLI并运行show snort3 status命令:

    示例1:当没有显示输出时,FTD运行Snort 2。

    >show snort3 status
    >

    示例2:当输出显示当前运行Snort 2时,FTD运行Snort 2。

    >show snort3 status
    Currently running Snort 2

    示例3:当输出显示当前运行Snort 3时,FTD运行Snort 3。

    >show snort3 status
    Currently running Snort 3

    由Cisco FDM管理的FTD

    要确定在Cisco FDM管理的FTD上运行的活动Snort版本,请继续执行以下步骤:

    1. 通过FDM Web界面登录到Cisco FTD。
    2. 从主菜单中选择Policies
    3. 然后选择Intrusion选项卡。
    4. 查找Snort版本检查引擎部分以确认FTD中处于活动状态的Snort版本。

    示例1:FTD运行snort版本2。

    FTD运行Snort第2版FDM

    示例2:FTD运行snort版本3。

    FTD运行Snort第3版FDM

    由Cisco FMC管理的FTD

    要确定在Cisco FMC管理的FTD上运行的活动Snort版本,请继续执行以下步骤:

    1. 登录到Cisco FMC Web界面。
    2. Devices菜单中选择Device Management
    3. 然后,选择适当的FTD设备。
    4. 点击编辑铅笔图标。
    5. 选择Device选项卡,并查找Inspection Engine部分以确认FTD中的活动Snort版本:

    示例1:FTD运行snort版本2。

    FTD运行Snort第2版FMC

    示例2:FTD运行snort版本3。

    FTD运行Snort第3版FMC

    由思科CDO管理的FTD

    要确定在Cisco Defense Orchestrator管理的FTD上运行的活动snort版本,请继续执行以下步骤:

    1. 登录到Cisco Defense Orchestrator Web界面。
    2. 资产菜单中,选择适当的FTD设备。
    3. 设备详细信息部分中,查找Snort版本

    示例1:FTD运行snort版本2。

    FTD运行Snort第2版CDO

    示例2:FTD运行snort版本3。

    FTD运行Snort第3版CDO

    相关信息

    修订历史记录

    版本 发布日期 备注
    2.0
    17-Jul-2024
    添加了Alt文本。 已更新标题、简介和格式。
    1.0
    23-Apr-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 特蕾莎·格兰特
      技术咨询工程师
    • 艾梅柏·赫斯特
      工程项目经理
    • 克里斯蒂安·埃尔南德
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品