简介
本文档介绍如何比较由Firepower管理中心(FMC)管理的firepower设备的不同网络分析策略(NAP)。
先决条件
要求
Cisco 建议您了解以下主题:
- 开源Snort知识
- Firepower管理中心(FMC)
- Firepower威胁防御(FTD)
使用的组件
本文档中的信息基于以下软件和硬件版本:
背景信息
Snort使用模式匹配技术来查找和防止网络数据包中的漏洞。为此,Snort引擎需要准备网络数据包,以便进行此比较。此过程在NAP的帮助下完成,可以经历以下三个阶段:
网络分析策略分阶段处理数据包:首先,系统通过前三个TCP/IP层对数据包进行解码,然后继续进行规范化、预处理和检测协议异常。
预处理器提供两个主要功能:
注意:某些入侵策略规则需要某些预处理器选项才能执行检测
有关开源Snort的信息,请访问 https://www.snort.org/
检验NAP配置
要创建或编辑firepower NAP策略,请导航至FMC Policies > Access Control > Intrusion,然后单击右上角的Network Analysis Policy选项,如图所示:
检验默认网络分析策略
检查应用于访问控制策略(ACP)的默认网络分析(NAP)策略
导航到策略>访问控制并编辑要验证的ACP。单击Advanced 选项卡,向下滚动到Network Analysis and Intrusion Policies部分。
与ACP关联的默认网络分析策略是平衡安全和连接,如图所示:
注意:请勿混淆Balanced Security and Connectivity for Intrusion Policies和Balanced Security and Connectivity for Network Analysis。前者用于Snort规则,后者用于预处理和解码。
比较网络分析策略(NAP)
可以比较NAP策略所做的更改,此功能有助于识别和排除问题。此外,还可以同时生成和导出NAP比较报告。
导航至Policies > Access Control > Intrusion。然后,单击右上角的“网络分析策略”选项。在NAP策略页面下,您可以看到右上方的“比较策略”选项卡,如图所示:
网络分析策略比较有两种形式:
- 在两个不同的NAP策略之间
- 在同一NAP策略的两个不同修订版之间
比较窗口提供两个选定NAP策略之间的逐行比较,可以从右上角的“比较报告”(comparison report)选项卡导出报告,如图所示:
为了比较同一NAP策略的两个版本,可以选择修订版选项来选择所需的修订版ID,如图所示: