判斷在Firepower威脅防禦(FTD)上執行的作用中Snort版本

下載選項

  • PDF     (1.3 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.0 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (421.1 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 7 月 17 日
文件 ID:220415

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹當Cisco FTD由Cisco FDM、Cisco FMC或CDO管理時,確認其執行的活動Snort版本的步驟。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • Cisco Firepower管理中心(FMC)
    • Cisco Firepower威脅防禦(FTD)
    • Cisco Firepower裝置管理員(FDM)
    • Cisco Defense Orchestrator (CDO)

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • Cisco Firepower威脅防禦v6.7.0和7.0.0
    • Cisco Firepower管理中心v6.7.0和7.0.0
    • Cisco Defense Orchestrator 

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    SNORT® Intrusion Prevention System正式推出了Snort 3,這是一個全面升級,它提供了增強效能的改進和新功能、更快的處理速度、更好的網路可擴充性,以及一系列的200個以上外掛,使您可以為您的網路建立自定義設定。

    Snort 3的優點包括但不限於:

    • 效能提升

    • 改進的SMBv2檢測

    • 新的指令碼檢測功能

    • HTTP/2檢測

    • 自定義規則組

    • 使自定義入侵規則更易於編寫的語法。

    • 它為什麼會丟棄入侵事件中的內聯結果。

    • 當更改部署到VDB、SSL策略、自定義應用檢測器、強制網路門戶身份源和TLS伺服器身份發現時,No Snort將重新啟動。

    • 透過向Cisco Success Network傳送Snort 3特定遙測資料,以及更好的故障排除日誌,提高了可維護性。

    6.7.0 Cisco Firepower威脅防禦(FTD)引入了對Snort 3.0的支援,此時正透過Cisco Firepower裝置管理器(FDM)管理FTD。

    :對於由FDM管理的新6.7.0 FTD部署,Snort 3.0是預設檢測引擎。如果您將FTD從較舊版本升級到6.7,則Snort 2.0仍然是活動檢查引擎,但您可以切換到Snort 3.0。

    注意:對於此版本,Snort 3.0不支援虛擬路由器、基於時間的訪問控制規則或TLS 1.1或更低級別連線的解密。僅在不需要這些功能時才啟用Snort 3.0。

    然後,Firepower 7.0版引入了對由思科FDM和思科Firepower管理中心(FMC)管理的Firepower威脅防禦裝置的Snort 3.0支援。

    :對於新的7.0 FTD部署,Snort 3現在成為預設檢測引擎。升級後的部署將繼續使用Snort 2,但您可以隨時進行切換。

    注意:您可以在Snort 2.0和3.0之間自由切換,以便在需要時恢復更改。無論何時切換版本,流量都會中斷。

    注意:在切換到Snort 3之前,強烈建議您閱讀並理解《Firepower管理中心Snort 3配置指南》。特別注意功能限制和遷移說明。雖然升級到Snort 3是為了將影響降到最低而設計的,但功能並不完全對應。升級前的規劃和準備工作可以幫助您確保按預期處理流量。

    判斷在FTD上執行的作用中Snort版本

    FTD指令行介面(CLI)

    要確定FTD上運行的活動snort版本,請登入FTD CLI並運行show snort3 status命令:

    範例1:如果沒有顯示輸出,則FTD會執行Snort 2。

    >show snort3 status
    >

    範例2:當輸出顯示目前執行Snort 2時,FTD會執行Snort 2。

    >show snort3 status
    Currently running Snort 2

    範例3:當輸出顯示目前執行Snort 3時,FTD會執行Snort 3。

    >show snort3 status
    Currently running Snort 3

    Cisco FDM管理的FTD

    若要判斷在Cisco FDM管理的FTD上執行的作用中Snort版本,請繼續執行以下步驟:

    1. 透過FDM Web介面登入Cisco FTD。
    2. 從主選單中選擇Policies
    3. 然後,選擇Intrusion頁籤。
    4. 檢視Snort版本檢查引擎部分以確認FTD中處於活動狀態的Snort版本。

    範例1:FTD執行snort版本2。

    FTD執行Snort第2版FDM

    範例2:FTD執行snort版本3。

    FTD執行Snort第3版FDM

    由Cisco FMC管理的FTD

    若要判斷在Cisco FMC管理的FTD上執行的作用中Snort版本,請繼續下一步:

    1. 登入到Cisco FMC Web介面。
    2. Devices選單中選擇Device Management
    3. 然後,選取適當的FTD裝置。
    4. 按一下編輯鉛筆圖示。
    5. 選擇Device頁籤並查詢Inspection Engine部分以確認FTD中處於活動狀態的snort版本:

    範例1:FTD執行snort版本2。

    FTD執行Snort版本2 FMC

    範例2:FTD執行snort版本3。

    FTD執行Snort版本3 FMC

    由思科CDO管理的FTD

    要確定在Cisco Defense Orchestrator管理的FTD上運行的活動snort版本,請繼續執行以下步驟:

    1. 登入到Cisco Defense Orchestrator Web介面。
    2. 資產選單中,選擇適當的FTD裝置。
    3. 裝置詳細資訊部分中,查詢Snort版本

    範例1:FTD執行snort版本2。

    FTD執行Snort版本2 CDO

    範例2:FTD執行snort版本3。

    FTD執行Snort版本3 CDO

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    2.0
    17-Jul-2024
    增加了Alt文本。 已更新標題、簡介和格式。
    1.0
    23-Apr-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Theresa Grant
      Technical Consulting Engineer
    • Amber Hurst
      Engineering Program Manager
    • Christian Hernande
      Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品