简介
本文档介绍几种阻止思科安全网络设备上未知应用的方法。
阻止未知应用的方法
您可以单独或组合使用其中任何一种方法。
注意:此知识库文章引用不是由思科维护或支持的软件。提供该信息只是为了方便您使用。如需进一步协助,请联系软件供应商。
基于用户代理字符串阻止应用
第一种防御是使用用户代理字符串阻止未知应用。
注意:可以使用“参考”下提供的链接搜索用户代理。
基于应用可视性控制阻止应用
如果启用了应用可视性控制(AVC)(在 GUI > Security Services > Web Reputation and Anti-Malware
),然后您可以根据应用类型(如代理、文件共享、Internet实用程序等)阻止访问。您可以在 Web Security Manager > Access Policies > Applications
列。
基于MIME类型阻止应用
如果用户代理不存在,您可以尝试添加多用途互联网邮件扩展(MIME)类型:
注意:可以使用“参考”下提供的链接搜索MIME类型。
阻止访问策略中的URL类别
确保在访问策略中阻止过滤器规避、非法活动、非法下载等类别。如果某些应用使用已知URL或IP地址进行连接,则可以阻止其关联的预定义URL类别,或使用其IP地址、完全限定域名(FQDN)或匹配域的正则表达式将其配置到阻止的自定义URL类别中。您可以在 Web Security Manager > Access Policies > URL Categories
列.
在访问策略中限制HTTP CONNECT端口配置
某些应用可以使用HTTP CONNECT方法连接到不同的端口。仅允许在HTTP CONNECT端口配置域中的已知端口或环境中所需的特定端口:
阻止特定IP地址的访问
对于您只知道要访问的目标IP地址的应用,可以使用L4流量监控功能阻止对这些特定IP地址的访问。您可以在 Web Security Manager > L4 Traffic Monitor > Additional Suspected Malware Addresses
。
如何查找应用使用的用户代理或MIME类型
如果您不知道某些应用程序正在使用哪种用户代理或MIME类型,则可以执行以下任一步骤来查找此信息:
参考
注意:此处列出的外部网站仅供参考。链接和内容不受思科控制,可能会发生变化。
用户代理列表
用户代理String.Com(在useragentstring.com)
MIME类型列表