入侵策略概述
入侵策略是已定义的几组入侵检测和防护配置,用于检查流量是否存在安全违规,以及在内联部署中阻止或修改恶意流量。入侵策略供访问控制策略调用,是系统在允许流量到达目标之前的最后一道防线。
每个入侵策略的中心是入侵规则。启用的规则导致系统为匹配规则的流量生成入侵事件(或阻止该流量)。禁用规则将停止该规则的处理。
系统提供几种基本入侵策略,使您可以利用 Cisco Talos 情报组 (Talos) 的经验。对于这些策略,Talos 设置入侵和检查器规则状态(启用或禁用),并提供其他高级设置的初始配置。
提示 |
系统提供的入侵和网络分析策略具有类似的名称,但包含不同的配置。例如,“平衡安全性和连接”(Balanced Security and Connectivity) 网络分析策略和“平衡安全性和连接”(Balanced Security and Connectivity) 入侵策略共同发挥作用,均可在入侵规则更新中更新。但是,网络分析策略管理的主要是预处理选项,而入侵策略管理的主要是入侵规则。 |
如果创建自定义入侵策略,您可以:
-
通过启用和禁用规则,以及撰写和添加您自己的规则来调整检测。
-
遵从 安全防火墙 的建议,将您的网络中检测到的操作系统、服务器和客户端应用协议与为保护这些资产而特别编写的规则相关联。
入侵策略以丢弃匹配的数据包和生成入侵事件。要配置入侵或预处理器丢弃规则,请将其状态设置为“阻止”。
当定制入侵策略时,特别是在启用和添加规则时,请记住一些入侵规则要求首先以某种方式对流量进行解码或预处理。在入侵策略检查数据包之前,数据包根据网络分析策略中配置对其进行预处理。如果您禁用一个必需的检查其,虽然该检查器在网络分析策略网络界面中保持禁用,但系统仍自动通过其当前设置使用它。
小心 |
由于预处理和入侵检查密切相关,因此用于检查单个数据包的网络分析和入侵策略必须相互补充。定制预处理(特别是使用多个自定义网络分析策略)是一个高级任务。 |
在配置自定义入侵策略后,可以在访问控制配置过程中通过以下方式使用该策略:将入侵策略与一个或多个访问控制规则或访问控制策略的默认操作相关联。这会强制系统在某个允许的流量到达最终目的地之前使用入侵策略检查该流量。与入侵策略共同使用的变量集,用于准确地反映您的家庭和外部网络以及网络上的服务器(如果适当)。
请注意,默认情况下,系统禁用加密负载的入侵检查。当加密连接与已配置入侵检查的访问控制规则匹配时,这有助于减少误报和提高性能。
有关其他支持和信息,请参阅 Snort 3 入侵策略概述。