在配置文件规则时，请注意以下准则和限制：

• 配置为在被动部署中阻止文件的规则不会阻止匹配的文件。由于连接继续传输文件，因此如果配置规则以记录连接的开始，则您可能会看到为此连接记录的多个事件。

• 一个策略可以包含多个规则。在创建规则时，请确保没有规则被先前的规则“隐藏”。

• 动态分析支持的文件类型是其他分析类型支持的文件类型的子集。要查看每种分析支持的文件类型，请导航至文件规则配置页面，选择阻止恶意软件 (Block Malware) 操作，然后选中所需的复选框。

  要确保系统检查所有的文件类型，请为动态分析和其他类型的分析创建单独的规则（在同一策略内）。

• 如果文件规则配置有恶意软件云查找或阻止恶意软件操作，并且 管理中心无法与 AMP 云建立连接，则系统无法执行任何已配置的规则操作选项，直到恢复连接为止。

• 思科建议启用重置连接 (Reset Connection)（适用于阻止文件 [Block Files] 和阻止恶意软件 [Block Malware] 操作）以防止受阻应用会话保持打开，直到 TCP 连接重置为止。如果不重置连接，则客户端会话会保持打开，直到 TCP 连接重置为止。

• 如果监控大量流量，请勿存储所有捕获文件，或者将所有捕获文件提交进行动态分析。否则可能对系统性能产生不利影响。

• 不能对系统检测到的所有文件类型都执行恶意软件分析。从 Application Protocol、Direction of Transfer 和 Action 下拉列表中选择值之后，系统会对文件类型的列表进行约束。

请考虑文件检测的以下注意事项和限制：

• 如果未启用自适应分析，则访问控制规则无法执行文件控制（包括 AMP）。

• 如果文件与带有应用协议条件的规则相匹配，在系统成功确定该文件的应用协议之后，会生成文件事件。无法识别的文件不生成文件事件。

• FTP 通过不同信道传输命令和数据。在被动或内联分流模式部署中，来自 FTP 数据会话及其控制会话的流量可能不会均衡分摊到同一个内部资源。

• 如果 POP3、POP、SMTP 或 IMAP 会话中文件的所有文件名的总字节数超过 1024，则会话中的文件事件可能无法反映文件名缓冲区填充后检测到的文件的正确文件名。

• 当通过 SMTP 传输基于文本的文件时，某些邮件客户端会将换行符转换为 CRLF 换行符标准。由于基于 MAC 的主机使用回车 (CR) 字符，并且基于 Unix/Linux 的主机使用换行 (LF) 字符，因此，邮件客户端进行的换行可能修改文件的大小。注意某些邮件客户端在处理无法识别的文件类型时默认进行换行。

• 要检测 ISO 文件，请将“限制执行文件类型检测时检查的字节数”选项设置为大于 36870 的值，如文件和恶意软件检测性能和存储选项中所述。

• 无法检测到某些 .rar 存档中的 .Exe 文件，可能包括 rar5。

• 如果文件处置为中性，则为未知处置。

请考虑文件阻止的以下注意事项和限制：

• 无论使用何种传输协议，如果未检测到文件的文件结尾标记，Block Malware 规则或自定义检测列表不会阻止该文件。系统会等待接收整个文件后再阻止文件（如文件结尾标记所指示），并在检测到该标记后阻止文件。

• 如果 FTP 文件传输的文件结尾标记单独从最后一个数据段进行传输，则会阻止该标记，并且 FTP 客户端会指示文件传输失败，但是文件实际上将完整传输到磁盘。

• 具有阻止文件 (Block Files) 和阻止恶意软件 (Block Malware) 操作的文件规则会阻止通过 HTTP 自动恢复文件下载，方法是在进行初始文件传输尝试后检测到相同的文件、URL、服务器和客户端应用达到 24 小时的情况下阻止新会话。

• 在极少数情况下，如果来自 HTTP 上传会话的流量顺序错误，则系统无法正确重组流量，并因此不会阻止该会话或生成文件事件。

• 如果通过 NetBios-ssn 传输使用阻止文件 (Block Files) 规则阻止的文件（例如 SMB 文件传输），则目标主机上可能会显示文件。但是，该文件不可用，原因是在下载启动后阻止了该文件，导致文件传输未完成。

• 如果您创建文件规则来检测或阻止通过 NetBIOS-ssn 传输的文件（例如 SMB 文件传输），系统不会检测正在进行的文件传输。但是，系统会检测部署调用文件策略的访问控制策略后传输的新文件。

• SMB 的多通道功能可以创建 IP 地址相同但端口不同的多个并行会话。对于多通道上的给定事务，文件下载会在未由系统作为单个文件检测的这些会话之间多路复用。

• 系统不会检测单个 TCP 或 SMB 会话中同步传输的文件。

• 在集群环境中，如果现有 SMB 会话因集群角色更改或设备故障而移至新设备，则任何正在传输的文件可能无法得到检测。

• Microsoft Windows 系统之间的一些 SMB 文件传输使用非常高的 TCP 窗口大小来进行快速文件传输。要检测或阻止此类文件传输，建议您增大网络分析策略 (Network Analysis Policy) > TCP 数据流配置 (TCP Stream Configuration) > 故障排除选项 (Troubleshooting Options) 下的最大排队字节数 (Maximum Queued Bytes) 和最大排队分段数 (Maximum Queued Segments) 的值。

• 如果配置了 Firepower 威胁防御高可用性，并且在原始主用设备识别文件时发生故障切换，则文件类型不同步。即使文件策略阻止该文件类型，新的主用设备也会下载该文件。

在配置文件策略时，请注意以下常规准则和限制：

• 可以将单个文件策略与其操作为允许 (Allow)、交互式阻止 (Interactive Block) 或交互式阻止并重置 (Interactive Block with reset) 的访问控制规则关联。

• 您不能使用文件策略检查由访问控制默认操作处理的流量。

• 对于新策略，Web 界面会指出该策略未在使用。如果编辑的是使用中的文件策略，则 Web 界面会告知您使用该文件策略的访问控制策略的数量。在任一情况下，可以点击文本以跳至“访问控制策略”(Access Control Policies) 页面。

• 要使文件阻止起作用，应用于访问控制策略的 NAP 策略必须在保护模式（也称为内联模式）下运行。

• 根据您的配置，您可以在系统首次检测到某个文件时对其进行检查并等待云查找结果，也可以在首次检测到文件时不等待云查找结果即对文件放行。

• 默认情况下，已加密负载的文件检查会被禁用。当已加密连接与已配置文件检查的访问控制规则相匹配时，这有助于减少误报和提高性能。

  注意	默认情况下，为文件/恶意软件策略启用具有以下生成器 ID (GID) 的文件检查预处理器：GID: 146 和 GID: 147。

• 如果在使用恶意软件操作或存储文件选项的文件策略中启用访问控制策略，则会降低设备的计算能力和系统性能。