适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

适用于 Firepower 设备管理器的思科 Firepower 威胁防御配置指南,版本 6.3.0

Chapter Title

入侵策略

Results

已更新:
2020年6月16日

Chapter: 入侵策略

入侵策略

以下主题说明了入侵策略和密切相关的网络分析策略 (NAP)。入侵策略包括用于检查流量中的威胁并阻止看似为攻击的流量的规则。网络分析策略控制流量预处理,通过规范化流量和识别协议异常来准备要进一步检查的流量。

由于预处理和入侵检查密切相关,因此用于检查单个数据包的网络分析和入侵策略必须相互补充。

关于入侵和网络分析策略

网络分析和入侵策略协同工作检测和防止入侵威胁。

  • 网络分析策略 (NAP) 监管流量如何解码和预处理,以便可以进一步对其进行评估,尤其是对于可能指示入侵尝试的异常流量。

  • 入侵策略使用入侵和预处理器规则(统称为入侵规则),根据模式检测已解码数据包是否存在攻击。入侵规则可防止(丢弃)有威胁的流量并生成事件,或直接检测(警告)有威胁流量并仅生成事件。

在系统分析流量时,进行解码和预处理的网络分析阶段发生在入侵防御阶段之前并与其分隔开来。网络分析和入侵策略共同提供广泛且深入的数据包检测。它们可以帮助您检测、提醒和防范可能威胁主机及其数据的可用性、完整性和保密性的网络流量。

系统定义的网络分析和入侵策略

系统包括几对相辅相成的同名网络分析和入侵策略。例如,名称同为“平衡安全和连接”的 NAP 策略和入侵策略要一起使用。系统提供的策略由 思科 Talos 情报小组 (Talos) 配置。对于这些策略,Talos 设置入侵和预处理器规则状态,并提供预处理器和其他高级设置的初始配置。

随着新的漏洞被发现,Talos 会发布入侵规则更新。这些规则更新可以修改系统提供的任何网络分析或入侵策略,并且可以提供新的和已更新的入侵规则及预处理器规则、现有规则的已修改状态,以及已修改的默认策略设置。规则更新还可以从系统提供的策略中删除规则,并且提供新规则类别,以及修改默认变量集。

您可以手动更新规则数据库,或配置定期更新计划。更新必须部署,才能生效。有关更新系统数据库的更多信息,请参阅更新系统数据库

以下是系统提供的策略:

“平衡安全和连接”网络分析和入侵策略

这些策略专为速度和检测而构建。共同使用时,这些策略充当大多数网络和部署类型的良好起点。系统默认使用“平衡安全和连接”网络分析策略。

“连接优先于安全”网络分析和入侵策略

这些策略专为连接性(能够获取所有资源)优先于网络基础设施安全性的网络而构建。此入侵策略启用的规则远远少于“安全性优先于连接”策略中启用的规则。仅会启用阻止流量的最重要规则。

“安全优先于连接”网络分析和入侵策略

这些策略专为网络基础设施安全优先于用户便利性的网络而构建。此入侵策略将启用许多可能会提醒或丢弃合法流量的网络异常入侵规则。

“最大检测”(Maximum Detection) 网络分析和入侵策略

此类策略适用于网络基础设施安全比在“安全优先于连接”策略中还要重要、且有可能产生更大运行影响的网络。例如,入侵策略将启用大量威胁类别中的规则,包括恶意软件、攻击程序包、旧漏洞和常见漏洞及已知外部攻击程序。

入侵和预处理器规则

入侵规则是系统用于检测利用网络漏洞企图的一组指定关键字和参数。当系统分析网络流量时,它将数据包与每个规则中指定的条件相比较,并在数据包满足规则中指定的所有条件的情况下触发规则。

系统包含 思科 Talos 情报小组 (Talos) 创建的以下类型的规则:

  • 入侵规则,可细分为共享对象规则和标准文本规则

  • 预处理器规则,是指与网络分析策略中的预处理器和数据包解码器检测选项关联的规则。默认情况下禁用大多数预处理器规则。

以下主题更深入地介绍入侵规则。

入侵规则属性

依次选择策略 > 入侵,可看到的用于识别威胁的所有入侵规则列表。在表的上方,可以点击入侵策略的名称来查看每个策略的规则。

各策略的规则列表仅显示设置为发出警报或丢弃的规则以及显式禁用的规则,不显示默认禁用的规则。虽然有 3 万多条规则,但您只会看到所有可能的规则的子集。但即使对于最小的已启用规则集,滚动列表也需要时间。滚动时会显示规则。

以下是定义每个规则的属性:

>(签名说明)

点击左列的 > 按钮可打开签名说明。说明内容是 Snort 检测引擎用来根据规则匹配流量的实际代码。代码介绍不在本文范围之内,有关详细信息,请参阅《Firepower 管理中心配置指南》;请从 http://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html 中选择适合您的软件版本的书籍。查找入侵规则编辑的相关信息。

签名包含某些项目的变量。有关详细信息,请参阅默认入侵变量集

GID

生成器标识符 (ID)。此数字指示评估规则并生成事件的系统组件。1 表示标准文本入侵规则,3 表示共享对象入侵规则。(对于 Firepower 设备管理器用户,这些规则类型差异没有意义)。这些是在配置入侵策略时主要关注的规则。有关其他 GID 的信息,请参阅生成器标识符

SID

Snort 标识符 (ID),也称为签名 ID。低于 1000000 的 Snort ID 由 思科 Talos 情报小组 (Talos) 创建。

操作

此规则在所选入侵策略中的状态。此策略内每个规则的默认操作后面会添加“(默认)”。要使规则返回其默认设置,请选择此操作。可能的操作包括:

  • 警报 - 当此规则与流量匹配时,创建一个事件但不丢弃连接。

  • 丢弃 - 当此规则与流量匹配时,创建一个事件同时丢弃连接。

  • 禁用 - 不针对此规则匹配流量。不生成事件。

状态

如果更改规则的默认操作,此列将显示“已覆盖”。否则,该列为空。

消息

这是规则的名称,规则触发的事件中也会显示该名称。消息通常标识签名匹配的威胁。通过互联网可搜索每个威胁的详细信息。

默认入侵变量集

入侵规则签名包含某些项目的变量。以下是这些变量的默认值,其中最常用的变量是 $HOME_NET 和 $EXTERNAL_NET。请注意,协议与端口号分开指定,所以端口变量只是数字。

  • $AIM_SERVERS = 网络或主机的 20 个地址:64.12.24.0/23、64.12.28.0/23、64.12.31.136、64.12.46.140、64.12.161.0/24、64.12.163.0/24、64.12.186.85、64.12.200.0/24、205.188.1.132、205.188.3.0/24、205.188.5.0/24、205.188.7.0/24、205.188.9.0/24、205.188.11.228、205.188.11.253、205.188.11.254、205.188.153.0/24、205.188.179.0/24、205.188.210.203、205.188.248.0/24。

  • $DNS_SERVERS = $HOME_NET(表示任何 IP 地址)。

  • $EXTERNAL_NET = 任何 IP 地址。

  • $FILE_DATA_PORTS = $HTTP_PORTS、143、110。

  • $FTP_PORTS = 21、2100、3535。

  • $GTP_PORTS = 3386、2123、2152。

  • $HOME_NET = 任何 IP 地址。

  • $HTTP_PORTS = 144 个端口号:36、80-90、311、383、443、555、591、593、631、666、801、808、818、901、972、1158、1212、1220、1414、1422、1533、1741、1830、1942、2231、2301、2381、2578、2809、2980、3029、3037、3057、3128、3443、3507、3702、4000、4343、4848、5000、5117、5222、5250、5450、5600、5814、6080、6173、6767、6988、7000、7001、7005、7071、7080、7144、7145、7510、7770、7777-7779、8000、8001、8008、8014、8015、8020、8028、8040、8060、8080-8082、8085、8088、8118、8123、8161、8180-8182、8222、8243、8280、8300、8333、8344、8400、8443、8500、8509、8787、8800、8888、8899、8983、9000、9002、9060、9080、9090、9091、9111、9290、9443、9447、9710、9788、9999、10000、11371、12601、13014、15489、19980、23472、29991、33300、34412、34443、34444、40007、41080、44449、50000、50002、51423、53331、55252、55555、56712。

  • $HTTP_SERVERS = $HOME_NET(表示任何 IP 地址)。

  • $ORACLE_PORTS = 任意

  • $SHELLCODE_PORTS = 180。

  • $SIP_PORTS = 5060、5061、5600

  • $SIP_SERVERS = $HOME_NET(表示任何 IP 地址)。

  • $SMTP_SERVERS = $HOME_NET(表示任何 IP 地址)。

  • $SNMP_SERVERS = $HOME_NET(表示任何 IP 地址)。

  • $SQL_SERVERS = $HOME_NET(表示任何 IP 地址)。

  • $SSH_PORTS = 22。

  • $SSH_SERVERS = $HOME_NET(表示任何 IP 地址)。

  • $TELNET_SERVERS = $HOME_NET(表示任何 IP 地址)。

生成器标识符

生成器标识符 (GID) 标识评估入侵规则并生成事件的子系统。标准文本入侵规则的生成器 ID 为 1,共享对象入侵规则的生成器 ID 为 3。对于各种预处理器也有几套规则。下表解释了 GID。

表 1. 生成器 ID

ID

组件

1

标准文本规则。

2

标记的数据包。

(标记生成器规则,根据标记会话生成数据包。)

3

共享对象规则。

102

HTTP 解码器。

105

Back Orifice 检测器。

106

RPC 解码器。

116

数据包解码器。

119、120

HTTP 检查预处理器。

(GID 120 规则与服务器特定 HTTP 流量相关。)

122

Portscan 检测器。

123

IP 分片重组器。

124

SMTP 解码器。

(针对 SMTP 动词的攻击)

125

FTP 解码器。

126

Telnet 解码器。

128

SSH 预处理器。

129

流预处理器。

131

DNS 预处理器。

133

DCE/RPC 预处理器。

134

规则延迟,数据包延迟。

(规则延迟暂停 (SID 1) 或重新启用 (SID 2) 一组入侵规则,或系统由于超出数据包延迟阈值 (SID 3) 而停止检查数据包时,生成这些规则的事件。)

135

基于速率的攻击检测器。

(与网络上主机的连接过多。)

137

SSL 预处理器。

138、139

敏感数据预处理器。

140

SIP 预处理器。

141

IMAP 预处理器。

142

POP 预处理器。

143

GTP 预处理器。

144 个

Modbus 预处理器。

145

DNP3 预处理器。

网络分析策略

网络分析策略控制流量预处理。预处理器通过规范化流量和标识协议异常,准备要进行进一步检查的流量。网络分析相关预处理发生在安全情报黑名单和 SSL 解密之后进行,但在访问控制和入侵或文件检查开始之前进行。

默认情况下,系统使用“平衡安全和连接”网络分析策略预处理由访问控制策略处理的所有流量。但是,系统根据您在访问控制规则中选择的入侵策略应用不同的网络分析策略。

系统尝试匹配入侵和网络分析策略,以便获得最佳处理。但是,网络分析策略 (NAP) 规则不具有访问控制规则中可用的相同流量匹配标准,因此,如果不遵循建议的准则,则可能得到不匹配的策略。

系统如何使用 NAP 规则选择网络分析策略

无法直接分配网络分析策略。相反,系统根据在访问控制规则中分配的入侵策略自动生成 NAP 规则。

NAP 规则仅基于安全区域和网络规范。因此,对于包含入侵策略的各访问控制规则,系统创建将同名网络分析策略应用于源/目标安全区域和网络的 NAP 规则。忽略端口、URL、用户和应用标准。

这是一个重要区别:虽然可根据第 4 层或第 7 层标准(如端口、应用或 URL)应用不同入侵策略,但这些较高层次的条件对于网络分析策略的选择并无影响。

系统会按照与访问控制规则相同的顺序排列 NAP 规则。系统使用第一个匹配 NAP 规则确定要应用的网络分析策略。

因此,如果有多个访问控制规则允许相同源/目标区域和网络对象组合的流量,但在其他流量匹配标准上有所不同,则系统生成多个重叠的 NAP 规则,但第二个和随后的重复规则绝不会匹配流量。如果将不同入侵策略应用于这些“重叠”规则,则至少有一些流量会不匹配入侵策略和网络分析策略。

例如,请考虑以下规则:

  1. 访问规则 1

    • 操作:允许
    • 源区域:inside_zone
    • 源网络:任何
    • 目的区域:outside_zone
    • 目的网络:任何
    • URL 类别:社交网络
    • 入侵策略:安全优先于连接

  2. 访问规则 2

    • 操作:允许
    • 源区域:inside_zone
    • 源网络:任何
    • 目的区域:outside_zone
    • 目的网络:任何
    • 入侵策略:平衡安全和连接

在这种情况下,将会有两个 NAP 规则:

  1. NAP 规则 1

    • 源区域:inside_zone
    • 源网络:任何
    • 目的区域:outside_zone
    • 目的网络:任何
    • 网络分析策略:安全优先于连接

  2. NAP 规则 2

    • 源区域:inside_zone
    • 源网络:任何
    • 目的区域:outside_zone
    • 目的网络:任何
    • 网络分析策略:平衡安全和连接

由于两个 NAP 规则具有相同的匹配标准,系统会将“安全优先于连接”网络分析策略应用于与访问控制规则 1 或 2 匹配的任何流量。但是,大多数流量将匹配访问控制规则 2,并使用“平衡”入侵策略。因此,任何匹配访问控制规则 2 的流量将会不匹配 NAP 和入侵策略。


如果在访问控制策略中使用单一入侵策略,则系统仅将同名的网络分析策略设为默认策略,且不生成 NAP 规则。否则,系统会将“平衡”策略设为默认的网络分析策略。无其他 NAP 规则适用时,默认策略适用,这通常适用于尚未为其分配入侵策略的区域和网络组合。

关于应用入侵策略优化 NAP 处理的最佳实践

决定如何分配策略以确保获取匹配的网络分析策略时,请考虑以下建议:

  • 如果始终使用相同的入侵策略,则将同名网络分析策略设为默认策略,并始终获得匹配的入侵和网络分析策略。

  • 如果确定需将不同入侵策略用于特定流量 ,请始终将相同的入侵策略用于相同的源/目标安全区域和网络对象组合。这将确保 NAP 规则为所有相关联的访问控制规则分配同名的网络分析策略。

    例如,如果确定需将“安全优先于连接”策略用于 network_one 的某些 inside_zone 至 outside_zone 流量,请将“安全优先于连接”策略分配给具有相同源/目标区域和网络规范的各访问控制规则。

入侵策略的许可证要求

只有启用威胁许可证,才能在访问控制规则中应用入侵策略。有关配置许可证的信息,请参阅启用或禁用可选许可证

网络分析策略无需额外的许可证。

管理入侵策略

使用 Firepower 设备管理器,您可以应用预定义的任何入侵策略。其中每个策略包含相同的入侵规则(也称为签名)列表,但针对每个规则所采取的操作有所不同。例如,一条规则在某个策略中可能处于活动状态,但在另一个策略中可能被禁用。

如果您发现某个特定规则为您提供的误报过多,在这种情况下该规则会阻止您不希望阻止的流量,可以禁用该规则而不必切换到安全性较低的入侵策略。也可将其更改为匹配警告,而不丢弃流量。

但是,如果在入侵策略中默认禁用规则,则无法将其更改为丢弃或警告匹配的流量。仅可在已启用或先前禁用的策略上更改操作。

使用与入侵相关的控制面板和事件查看器(两者均在监控页面)可评估入侵规则对流量的影响。请记住,仅将匹配入侵规则的流量设为警告或丢弃时,才会看到入侵事件和入侵数据;系统不评估禁用的规则。

以下主题详细介绍入侵策略和规则调整。

在访问控制规则中应用入侵策略

要将入侵策略应用于网络流量,请在允许流量的访问控制规则中选择该策略。不得直接分配入侵策略。

可以根据所保护网络的相对风险分配不同的入侵策略,以提供可变的入侵保护。例如,可以对内部网络与外部网络之间的流量使用更严格的“安全优先于连接”策略。另一方面,可以对内部网络之间的流量应用更宽松的“连接优于安全”策略。

此外,还可以通过对所有网络使用相同的策略来简化配置。例如,“平衡安全和连接”策略用于提供良好的保护,且不会对连接产生过多的影响。

如果您决定对不同的网络使用不同的策略,则在使用相同源/目标安全区域和网络对象匹配条件的所有规则中应用相同的策略,将获得最佳效果。有关详细信息,请参阅关于应用入侵策略优化 NAP 处理的最佳实践

过程

步骤 1

依次选择策略 > 访问控制
步骤 2

创建新规则或编辑允许流量的现有规则。

如果允许默认操作,还可在默认操作中指定入侵策略。

步骤 3

点击入侵策略选项卡。

步骤 4

依次选择入侵策略 > ,然后选择要在匹配流量中使用的入侵检测策略。

更改入侵规则操作

每个预定义的入侵策略包含相同的规则。不同的是针对每个规则所采取的操作因策略而异。

在给定策略中,仅可更改已启用规则(即,设置为发出警报或丢弃)的默认操作。通过更改默认操作,可以禁用为您提供过多误报的规则,也可以将规则更改为针对匹配流量发出警报或丢弃该流量。


如果将规则从默认操作改为其他操作,则下一次更新入侵规则数据库时,系统会将规则的默认操作重置为所选的操作。此时,您的选择将成为新的默认操作,且该操作的状态不再显示为“已覆盖”。

过程

步骤 1

依次选择策略 > 入侵
步骤 2

点击您要更改其规则操作的“入侵策略”选项卡。

预定义的策略包括:

  • 连接优先于安全

  • 平衡安全和连接

  • 安全优先于连接

  • 最大检测数

步骤 3

查找您要更改其操作的规则。

这些规则首先根据所列的已覆盖规则进行排序,并在已覆盖规则组中根据操作进行排序。否则,这些规则将先后根据 GID 和 SID 进行排序。

各策略的规则列表仅显示设置为发出警报或丢弃的规则以及显式禁用的规则,不显示默认禁用的规则。

使用搜索框查找希望更改的规则。如果您正在与思科技术支持部门合力解决某个问题,最好可以从事件中或通过该部门获取 Snort 标识符 (SID) 和生成器标识符 (ID)。

有关每个规则的元素的详细信息,请参阅入侵规则属性

要搜索列表,请执行以下操作:

  1. 点击搜索框,打开“搜索属性”对话框。

  2. 输入生成器 ID 的组合 (GID)、Snort ID (SID) 或规则操作,然后点击搜索

    例如,您可以选择操作=丢弃来查看丢弃匹配连接的策略中的所有规则。搜索框旁边的文本表示与您的条件匹配的规则数量,例如“找到 9416 条规则中的 8937 条”。

    要清除搜索条件,请点击搜索框中条件的 x。

步骤 4

点击规则的操作列,选择所需的操作:

  • 警报 - 当此规则与流量匹配时,创建一个事件但不丢弃连接。

  • 丢弃 - 当此规则与流量匹配时,创建一个事件同时丢弃连接。

  • 禁用 - 不针对此规则匹配流量。不生成事件。

规则的默认操作用操作后面附加“(默认)”表示。如果更改了默认设置,状态列会针对该规则指示“已覆盖”。

为入侵事件配置系统日志

可以为入侵策略配置外部系统日志服务器,从而将入侵事件发送至系统日志服务器。必须根据入侵策略配置系统日志服务器,从而将入侵事件发送到服务器。根据访问规则配置系统日志服务器只可将连接事件(而不是入侵事件)发送到系统日志服务器。

入侵事件的消息 ID 为 430001。

过程

步骤 1

依次选择策略 > 入侵
步骤 2

点击编辑日志记录设置按钮 (齿轮/设置按钮。) 来配置日志记录。

步骤 3

点击将连接事件发送到字段,然后选择定义系统日志服务器的服务器对象。如果所需的对象尚不存在,请点击创建新系统日志服务器,并创建对象。

步骤 4

单击 OK

监控入侵策略

可以在监控页面上的攻击者模板控制面板找到入侵策略统计信息。必须将入侵策略应用于至少一个访问控制规则,才能在这些控制面板上看到任何信息。请参阅监控流量和系统控制面板

要查看入侵事件,请依次选择监控 > 事件,然后点击入侵选项卡。将鼠标悬停在某个事件上方,点击查看详细信息链接以获取更多信息。在“详细信息”页面中,点击查看 IPS 规则转至相关入侵策略中的规则(您可以在此页面更改规则操作)。如果规则阻止过多安全连接,则可通过将操作从丢弃更改为警告减少误报带来的影响。相反,如果对于某条规则看到的是大量攻击流量,则可将警告规则更改为丢弃规则。

如果为入侵策略配置系统日志服务器,入侵事件的消息 ID 则为 430001。

此文档是否有帮助?

Feedback反馈

联系我们