如何比较Firepower设备上的NAP策略

简介

本文档介绍如何比较由Firepower管理中心(FMC)管理的firepower设备的不同网络分析策略(NAP)。

先决条件

要求

Cisco 建议您了解以下主题：

• 开源Snort知识
• Firepower管理中心(FMC)
• Firepower威胁防御(FTD)

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 本文适用于所有Firepower平台

• 运行软件版本6.4.0的思科Firepower威胁防御(FTD)

• 运行软件版本6.4.0的Firepower管理中心虚拟(FMC)

背景信息

Snort使用模式匹配技术来查找和防止网络数据包中的漏洞。为此，Snort引擎需要准备网络数据包，以便进行此比较。此过程在NAP的帮助下完成，可以经历以下三个阶段：

• 解码
• 规范化
• 预处理

网络分析策略分阶段处理数据包：首先，系统通过前三个TCP/IP层对数据包进行解码，然后继续进行规范化、预处理和检测协议异常。

预处理器提供两个主要功能：

• 流量规范化以进一步检查
• 识别协议异常

注意:某些入侵策略规则需要某些预处理器选项才能执行检测

有关开源Snort的信息，请访问 https://www.snort.org/

检验NAP配置

要创建或编辑firepower NAP策略，请导航至FMC Policies > Access Control > Intrusion，然后单击右上角的Network Analysis Policy选项，如图所示：

检验默认网络分析策略

检查应用于访问控制策略(ACP)的默认网络分析(NAP)策略

导航到策略>访问控制并编辑要验证的ACP。单击Advanced 选项卡，向下滚动到Network Analysis and Intrusion Policies部分。

与ACP关联的默认网络分析策略是平衡安全和连接，如图所示:

注意：请勿混淆Balanced Security and Connectivity for Intrusion Policies和Balanced Security and Connectivity for Network Analysis。前者用于Snort规则，后者用于预处理和解码。

比较网络分析策略(NAP)

可以比较NAP策略所做的更改，此功能有助于识别和排除问题。此外，还可以同时生成和导出NAP比较报告。

导航至Policies > Access Control > Intrusion。然后，单击右上角的“网络分析策略”选项。在NAP策略页面下，您可以看到右上方的“比较策略”选项卡，如图所示：

网络分析策略比较有两种形式：

• 在两个不同的NAP策略之间
• 在同一NAP策略的两个不同修订版之间

比较窗口提供两个选定NAP策略之间的逐行比较，可以从右上角的“比较报告”(comparison report)选项卡导出报告，如图所示：

为了比较同一NAP策略的两个版本，可以选择修订版选项来选择所需的修订版ID，如图所示：