关于预过滤
在系统执行更多资源密集型评估之前,预过滤是访问控制的第一阶段。预过滤非常简单、快速并且可以及早执行。预过滤使用有限的外部报头条件来快速处理流量。将此过滤操作与后续评估进行比较,后续评估使用内部报头并具有更强大的检测功能。
配置预过滤:
-
提高性能 - 越早排除不需要检查的流量,越好。您可以基于隧道的外部封装报头传递隧道为某些类型的明文设置快速路径或加以阻止,而不检查其封装的连接。您还可以为从及早处理中受益的其他任何连接设置快速路径或加以阻止。
-
为封装流量定制深度检查 - 您可以对某些类型的隧道重新分区,以便以后可以使用相同的检查标准处理其封装的连接。重新分区是必要的,因为在预过滤后,访问控制使用内部报头。
关于预过滤策略
预过滤是一种基于策略的功能。要将它分配给设备,请将其分配给分配给该设备的访问控制策略。
策略要素:规则和默认操作
在预过滤策略中,隧道规则、预过滤规则和默认操作处理网络流量:
-
隧道和预过滤规则 - 首先,预过滤策略中的规则按您指定的顺序处理流量。隧道规则只与特定隧道匹配,并支持重新分区。预过滤规则的约束范围更广,不支持重新分区。有关详细信息,请参阅隧道与预过滤器规则。
-
默认操作(仅限隧道)- 如果隧道不与任何规则匹配,则对隧道应用默认操作。默认操作可以阻止这些隧道,或继续对其单独封装的连接进行访问控制。不能使用默认操作对隧道重新分区。
没有用于未封装流量的默认操作。如果未封装的连接与任何预过滤规则都不匹配,系统将继续进行访问控制。
连接日志记录
您可以记录被预过滤策略使用快速路径或阻止的连接。
连接事件包含有关记录的连接(包括整个隧道)是否被预过滤以及如何预过滤的信息。您可以在事件视图(工作流)、仪表板和报表中查看此信息,并将其用作关联标准。注意,由于被快速路径和阻止的连接不进行深度检查,因此关联的连接事件包含的信息有限。
默认预过滤策略
每个访问控制策略都有一个关联的预过滤策略。
如果不配置自定义预过滤,系统将使用默认策略。最初,此系统提供的策略将所有流量传递到访问控制的下一阶段。您可以更改策略的默认操作并配置其日志记录选项,但不能向其添加规则或将其删除。
预过滤策略继承和多租户
访问控制使用基于分层的实施,完善了多租户策略。除了其他高级设置之外,您还可以锁定预过滤策略关联,在所有子代访问控制策略中实施该关联。有关详细信息,请参阅访问控制策略继承。
在多域部署中,系统会显示在当前域中创建的策略,您可以对其进行编辑。系统还会显示在祖先域中创建的策略,您不可以对其进行编辑。要查看和编辑在较低域中创建的策略,请切换至该域。默认的预过滤策略属于全局域。
隧道与预过滤器规则
配置隧道规则还是预过滤器规则取决于要匹配的特定流量类型和要执行的操作或进一步分析。
特征 |
隧道规则 |
预过滤器规则 |
---|---|---|
主要功能 |
对明文传递隧道快速使用快速路径、加以阻止或重新分区。 |
对从早期处理中受益的其他任何连接快速使用快速路径或加以阻止。 |
封装和端口/协议标准 |
封装条件只与所选协议上的明文隧道匹配,请参阅封装规则条件。 |
与隧道规则相比,端口规则可以使用范围更广泛的端口和协议限制;请参阅端口、协议和 ICMP 代码规则条件。 |
网络标准 |
隧道终端条件限制要处理的隧道的终端;请参阅网络规则条件。 |
网络条件限制每个连接中的源主机和目标主机;请参阅网络规则条件。 |
方向 |
双向或单向(可配置)。 默认情况下,隧道规则是双向的,这样便于它们处理隧道终端之间的所有流量。 |
仅单向(不可配置)。 预处理器规则只与源到目标流量匹配。 |
对会话进行重新分区以便进一步分析 |
支持,使用隧道区域;请参阅隧道区域与预过滤。 |
不支持。 |
预过滤与访问控制
预过滤和访问控制策略都允许您阻止和信任流量,但预过滤“信任”功能被称为“快速路径”,因为它会跳过更多检查。下表说明了这一点以及预过滤与访问控制之间的其他差异,以帮助您决定是否配置自定义预过滤。
如果不配置自定义预过滤,则只能在访问控制策略中使用早期放置的“阻止”和“信任”规则来接近而非复制预过滤功能。
特征 |
预过滤 |
访问控制 |
有关详细信息,请参阅...... |
---|---|---|---|
主要功能 |
对特定类型的明文、直通隧道快速使用快速路径或加以阻止(请参阅封装规则条件),或针对其封装的流量定制后续检查。 对从早期处理中受益的其他任何连接使用快速路径或加以阻止。 |
使用简单或复杂的条件检查和控制所有网络流量,包括情景信息和深度检查结果。 |
|
实施 |
预过滤策略。 预过滤策略由访问控制策略调用。 |
访问控制策略。 访问控制策略是主配置。除了调用子策略,访问控制策略还具有自己的规则。 |
|
访问控制中的序列 |
首先。 在所有其他访问控制配置之前,系统会将流量与预过滤条件匹配。 |
- |
- |
规则操作 |
更少。 您可以停止进一步检查(快速路径和阻止),或对其余访问控制允许进一步分析(分析)。 |
更多。 访问控制规则有更广泛的操作,包括监控、深度检查、阻止并重置和交互式阻止。 |
|
绕过功能 |
快速路径规则操作。 在预过滤阶段为流量使用快速路径可绕过所有进一步检查和处理,包括:
|
信任规则操作。 访问控制规则信任的流量仅免于深度检查和发现。 |
|
规则条件 |
限制版。 预过滤策略中的规则使用简单网络条件:IP 地址、VLAN 标记、端口和协议。 对于隧道,隧道终端条件会指定隧道任一端上网络设备的路由接口的 IP 地址。 |
强健。 访问控制规则使用网络条件,但同时也采用用户、应用、请求的 URL 和数据包负载中可用的其他情景信息。 网络条件指定源和目标主机的 IP 地址。 |
|
使用的 IP 报头(隧道处理) |
最外层。 使用外部报头使您可以处理整个明文、直通隧道。 对于未封闭的流量,预过滤仍使用“外部”标头 - 在这种情况下,它们是唯一报头。 |
尽可能在内部。 对于未加密隧道,访问控制作用于其各个封装的连接,而不是作用于整个隧道。 |
|
对封装的连接重新分区以进行进一步分析 |
重新分区隧道传输的流量。 隧道区域允许您对预过滤的封装流量定制后续检查。 |
使用隧道区域。 访问控制使用在预过滤期间分配的隧道区域。 |
|
连接日志记录 |
仅使用快速路径和阻止的流量。允许的连接仍然可由其他配置进行记录。 |
任何连接。 |
|
支持的设备 |
仅限 Cisco Secure Firewall Threat Defense。 |
All. |
— |
传递隧道和访问控制
明文(非加密)隧道可以封装多个连接,通常在非连续网络之间流动。这些隧道对通过 IP 网络的路由自定义协议、通过 Ipv4 网络的 IPv6 流量等尤其有用。
外部封装报头指定隧道终端(隧道任一端的网络设备的路由接口)的源 IP 地址和目标 IP 地址。内部负载报头指定封装连接的实际终端的源 IP 地址和目标 IP 地址。
通常,网络安全设备将明文隧道处理为传递流量。也就是说,设备不是隧道终端之一。该设备部署在隧道终端之间,用于监控终端之间流动的流量。
某些网络安全设备(例如运行思科 ASA 软件[而不是 Cisco Secure Firewall Threat Defense]的思科 ASA 防火墙)可使用外部 IP 报头实施安全策略。即使对于明文隧道,这些设备也不能控制或洞察各个封装连接及其负载。
相比之下,Firepower 系统可利用访问控制进行以下操作:
-
外部报头评估 - 首先,预过滤使用外部报头处理流量。可以对此阶段的整个明文、传递隧道进行阻止或使用快速路径。
-
内部报头评估 - 然后,其余访问控制(和 QoS 等其他功能)使用报头最深处可检测的级别确保实现最精细的检测和处理。
如果传递隧道未加密,则系统会在此阶段对它的各个封装连接执行操作。您必须对隧道进行重新分区(请参阅隧道区域与预过滤)以对其所有封装连接执行操作。
访问控制无法洞察已加密的传递隧道。例如,访问控制规则会将一个传递 VPN 隧道看做一个连接。系统仅使用其外部封装报头中的信息处理整个隧道。