簡介
本文檔介紹如何比較由Firepower管理中心(FMC)管理的firepower裝置的不同網路分析策略(NAP)。
必要條件
需求
思科建議您瞭解以下主題:
- 開源Snort知識
- Firepower Management Center (FMC)
- Firepower Threat Defense (FTD)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
背景資訊
Snort使用模式匹配技術來查詢和防止網路資料包中的漏洞。為此,Snort引擎需要準備可以完成比較的網路資料包。這一過程是在國家行動方案的幫助下完成的,可以經歷以下三個階段:
網路分析策略分階段處理資料包:首先,系統通過前三個TCP/IP層對資料包進行解碼,然後繼續規範化、預處理以及檢測協定異常。
前處理器提供兩個主要功能:
注意:某些入侵策略規則需要某些預處理程式選項才能執行檢測
有關開源Snort的資訊,請訪問 https://www.snort.org/
驗證NAP配置
要建立或編輯firepower NAP策略,請導航到FMC Policies > Access Control > Intrusion,然後按一下右上角的Network Analysis Policy 選項,如下圖所示:
驗證預設網路分析策略
檢查應用於訪問控制策略(ACP)的預設網路分析(NAP)策略
導航到Policies > Access Control,然後編輯要驗證的ACP。按一下Advanced 頁籤,向下滾動到Network Analysis and Intrusion Policies 部分。
與ACP關聯的預設網路分析策略是「Balanced Security and Connectivity」,如下圖所示:
附註:不要將Balanced Security and Connectivity for Intrusion Policies和Balanced Security and Connectivity for Network Analysis混淆。前者用於Snort規則,後者用於預處理和解碼。
比較網路分析策略(NAP)
可以比較NAP策略所做的更改,並且此功能可以幫助確定和排除問題。此外,還可同時生成和匯出國家適應計畫比較報告。
導航到Policies > Access Control > Intrusion。然後,按一下右上角的Network Analysis Policy選項。在NAP策略頁面下,您可以看到右上方的Compare Policies頁籤,如下圖所示:
網路分析策略比較有兩種版本:
- 兩個不同的NAP策略之間
- 同一國家行動方案策略的兩個不同版本之間
比較視窗提供兩個選定的NAP策略之間的逐行比較,並且可以從右上角的「比較報告」頁籤將比較結果匯出為報告,如下圖所示:
對於同一NAP策略的兩個版本之間的比較,可以選擇修訂選項來選擇所需的修訂ID,如下圖所示: