安全 : Cisco Firepower Management Center

由轴向标准化预处理程序的POST确认和PRE确认检查

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

轴向标准化预处理程序规范化流量最小化逃避在轴向部署的攻击者的机会检测。 标准化发生在解码的数据包之后和在所有其他预处理程序前,继续从数据包的内在层向外。轴向标准化不生成事件,但是准备数据包供其他预处理程序使用。本文描述如何配置轴向标准化预处理程序,并且帮助您了解轴向标准化的两高级选项差异和影响。

贡献用Nazmul Rajib和亚伦威廉斯, Cisco TAC工程师。

先决条件

要求

思科建议您有FireSIGHT系统的知识并且打鼾。

当您运用一项入侵策略用启用时的轴向标准化预处理程序,您的IPS测试以下两个条件保证您使用一轴向部署: 

  • 丢弃,当轴向选项启用。
  • 策略应用对线型或线型与failopen接口集。
所以,除启用和配置轴向标准化预处理程序之外,您必须也保证以下或预处理程序不会规范化流量:
  • 必须设置您的策略降低在轴向部署的流量。
  • 您必须运用您的策略到轴向集。

使用的组件

本文档中的信息基于下列硬件和软件版本:

  • FireSIGHT管理中心和火力设备
  • 软件版本5.2或以上

警告:本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络实际,请确保您了解启用轴向标准化潜在影响。

启用轴向标准化

要启用在入侵策略的轴向标准化,请遵从下面步骤: 

步骤 1:您的FireSIGHT管理中心网页用户界面的洛金。 

步骤 2:导航对策略>入侵>入侵策略 

步骤 3:选择您要适用于您的受管理设备的入侵策略。 

步骤 4:点击铅笔图标开始编辑。在您单击后,编辑策略页出版。

  

步骤 5:点击先进的设置先进Settings页出版。 

步骤 6:查找轴向标准化选项在传输/network层预处理程序下。 

步骤 7:选择已启用启用此功能。

  

您能配置轴向标准化预处理程序规范化任意组合IPv4,IPv6、ICMPv4、ICMPv6和TCP数据流。 当该协议标准化打开时,每份协议的标准化自动地发生。  

Enable (event) POST Ack检查和PRE Ack检查

 在您启用轴向标准化预处理程序后,您能编辑设置启用规范化TCP规范化TCP有效载荷选项。在轴向标准化预处理程序switche的这些选项检查之间两个区别模式: 
  • 波斯特确认(POST Ack)
  • 前确认(PRE Ack)

了解POST Ack检查(请规范化禁用的TCP/Normalize TCP有效载荷)

在POST Ack检查,在喷鼻息的信息包流重组、冲洗(手对检查进程的其余)和检测发生,在确认(ACK)后从完成攻击的数据包的受害者由IPS接收。 在数据流冲洗发生前,已损坏的数据包已经到达了受害者。所以,在已损坏的数据包到达了受害者后,警报/丢弃发生。当从受害者的ACK已损坏的数据包的到达IPS,此操作发生。

了解PRE Ack检查(请规范化启用的TCP/Normalize TCP有效载荷)

此功能规范化流量,在解码和之后在处理的数据包其他喷鼻息功能前最小化TCP躲避努力。 这保证到达IPS的数据包是相同的象那个通过在受害者上。 喷鼻息降低在完成攻击的数据包的流量,在攻击到达它是受害者前。

 

启用规范化TCP也降低匹配以下条件的流量: 

  1. 以前丢弃的数据包的被重新传输的复制
  2. 尝试继续一以前已丢失会话的流量
  3. 匹配以下TCP数据流预处理程序中的任一个的流量规定:
    • 129:1
    • 129:3
    • 129:4
    • 129:6
    • 129:8
    • 129:11
    • 129:14至129:19

注意:要启用由标准化预处理程序丢弃的TCP数据流规则的警报,您在TCP数据流配置里必须启用状态检测反常现象功能。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 117927