排除与主机防火墙的恶意连接故障

下载选项

  • PDF     (1.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.4 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.1 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2025 年 6 月 17 日
文档 ID:223116

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何使用Cisco安全终端中的主机防火墙检测Windows终端上的恶意连接并阻止它们。

    先决条件

    要求

    • 主机防火墙可与Secure Endpoint Advantage和Premier软件包配合使用。
    • 支持的连接器版本
      • Windows(x64):保护终端Windows连接器8.4.2及更高版本。
      • Windows(ARM):保护终端Windows连接器8.4.4及更高版本。

    使用的组件

    本文档不限于特定的软件和硬件版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    故障排除指南

    本文档提供使用思科安全终端主机防火墙阻止恶意连接的指南。为了进行测试,请使用测试页malware.wicar.org(208.94.116.246)创建故障排除指南。

    识别并阻止恶意连接的步骤

    1. 首先,您需要确定要查看和阻止的URL或IP地址。对于此场景consider malware.wicar.org。
    2. 验证对URL的访问是否为successful. malware.wicar.org重定向到其他URL,如图所示。

    Browser Malicious URL浏览器恶意URL

    3.使用nslookup命令检索与URL malware.wicar.org关联的IP地址。

    nslookup Outputnslookup输出

    4.一旦获取恶意IP地址,请使用命令netstat -ano检查终端上的活动连接。

    netstat for all Connections所有连接的netstat

    5.为了隔离活动连接,请应用过滤器以仅显示已建立的连接。

    netstat for Established Connections已建立连接的netstat

    6.在上一输出中查找从thenslookupcommand获取的IP地址。确定源IP、目标IP、源端口和目标端口。

    • 本地 IP:192.168.0.61
    • 远程 IP:208.94.116.246
    • 本地端口:不能应用
    • 目的端口到80和443

    7.获得此信息后,导航到Cisco Secure Endpoint Portal以创建主机防火墙配置

    主机防火墙配置和规则创建

    1. 依次导航到管理(Management)>主机防火墙(Host Firewall),然后点击新建配置(New Configuration)。Host Firewall New Configuration主机防火墙新配置
    2. 选择nameDefault Action。在本例中,选择允许Host Firewall Configuration Name and Default Action主机防火墙配置名称和默认操作
      note-icon

      注意:请记住,您创建了一个阻止规则,但必须允许其他流量以免影响合法连接。

    3. 确认已创建默认规则,然后点击Add RuleAdd Rule in Host Firewall在主机防火墙中添加规则
    4. 指定名称并设置下一个参数:
      • 位置:顶部
      • 模式:实施
      • 操作:阻止
      • 方向:出站
      • 协议:TCPRule General Parameters规则常规参数
        note-icon

        注意:当您处理从内部终端到外部目标(通常是Internet)的恶意连接时,方向始终为Out。

    5. 指定本地和目标IP:
      • 本地 IP:192.168.0.61
      • 远程 IP:208.94.116.246
      • Local Portfield留空。
      • Destination端口设置为80和443,这些端口对应于HTTP和HTTPS。Rule Addresses and Ports规则地址和端口

    6.最后,单击保存

    在策略中启用主机防火墙并分配新配置

    1. 在安全终端门户中,导航到Management > Policies,然后选择与要阻止恶意活动的终端关联的策略
    2. 点击编辑(Edit)并导航到主机防火墙(Host Firewall)选项卡。
    3. 启用Host Firewall功能并选择最近的配置,本例中为MaliciousConnection。Host Firewall Enabled in Secure Endpoint Policy在安全终端策略中启用主机防火墙
    4. Click Save.
    5. 最后,验证终端是否已应用策略更改。Policy Update Event策略更新事件

    本地验证配置

    1. 在浏览器中使用URL malware.eicar.org确认其已被阻止。Error Network Access Denied from Browser错误:拒绝从浏览器访问网络
    2. 确认阻止后,验证未建立连接。使用命令netstat -ano | findstr ESTABLISHED可确保与恶意URL(208.94.116.246)关联的IP不可见。

    审核日志

    1.在终端上,导航到文件夹:

    C:\Program Files\Cisco\AMP\<连接器版本>\FirewallLog.csv

    note-icon

    注意:日志文件位于<install directory>\Cisco\AMP\<Connector version>\FirewallLog.csv文件夹中

    2.打开CSV文件以验证“阻止”操作规则的匹配项。使用过滤器区分“允许”和“阻止”连接。Firewall Logs in CSV FileCSV文件中的防火墙日志

    使用Orbital检索防火墙日志

    1. 在安全终端门户中,导航到管理>计算机,找到终端,然后单击检索轨道中的防火墙日志。此操作会将您重定向到轨道门户。Button to Retrieve Firewall Logs in Orbital用于检索轨道中的防火墙日志的按钮
    2. 在轨道门户中,点击运行查询。此操作显示在终端上记录的主机防火墙的所有日志。Run Query from Orbital从轨道运行查询
    3. 信息显示在Resultstab中,或者您可以下载它。Query Results from Orbital轨道查询结果

    修订历史记录

    版本 发布日期 备注
    1.0
    20-Jun-2025
    初始版本
    TAC Authored

    由思科工程师提供

    • 乌列尔·萨莫拉·埃尔南德斯
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品