如何比較Firepower裝置上的NAP策略

簡介

本文檔介紹如何比較由Firepower管理中心(FMC)管理的firepower裝置的不同網路分析策略(NAP)。

必要條件

需求

思科建議您瞭解以下主題：

• 開源Snort知識
• Firepower Management Center (FMC)
• Firepower Threat Defense (FTD)

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 本文適用於所有Firepower平台

• 執行6.4.0版軟體的Cisco Firepower威脅防禦(FTD)

• Firepower管理中心虛擬(FMC)，運行軟體版本6.4.0

背景資訊

Snort使用模式匹配技術來查詢和防止網路資料包中的漏洞。為此，Snort引擎需要準備可以完成比較的網路資料包。這一過程是在國家行動方案的幫助下完成的，可以經歷以下三個階段：

• 解碼
• 規範化
• 預處理

網路分析策略分階段處理資料包：首先，系統通過前三個TCP/IP層對資料包進行解碼，然後繼續規範化、預處理以及檢測協定異常。

前處理器提供兩個主要功能：

• 用於進一步檢測的流量規範化
• 確定協定異常

注意:某些入侵策略規則需要某些預處理程式選項才能執行檢測

有關開源Snort的資訊，請訪問 https://www.snort.org/

驗證NAP配置

要建立或編輯firepower NAP策略，請導航到FMC Policies > Access Control > Intrusion，然後按一下右上角的Network Analysis Policy 選項，如下圖所示：

驗證預設網路分析策略

檢查應用於訪問控制策略(ACP)的預設網路分析(NAP)策略

導航到Policies > Access Control，然後編輯要驗證的ACP。按一下Advanced 頁籤，向下滾動到Network Analysis and Intrusion Policies 部分。

與ACP關聯的預設網路分析策略是「Balanced Security and Connectivity」，如下圖所示:

附註：不要將Balanced Security and Connectivity for Intrusion Policies和Balanced Security and Connectivity for Network Analysis混淆。前者用於Snort規則，後者用於預處理和解碼。

比較網路分析策略(NAP)

可以比較NAP策略所做的更改，並且此功能可以幫助確定和排除問題。此外，還可同時生成和匯出國家適應計畫比較報告。

導航到Policies > Access Control > Intrusion。然後，按一下右上角的Network Analysis Policy選項。在NAP策略頁面下，您可以看到右上方的Compare Policies頁籤，如下圖所示：

網路分析策略比較有兩種版本：

• 兩個不同的NAP策略之間
• 同一國家行動方案策略的兩個不同版本之間

比較視窗提供兩個選定的NAP策略之間的逐行比較，並且可以從右上角的「比較報告」頁籤將比較結果匯出為報告，如下圖所示：

對於同一NAP策略的兩個版本之間的比較，可以選擇修訂選項來選擇所需的修訂ID，如下圖所示：