確定在Firepower威脅防禦(FTD)上運行的活動Snort版本

下載選項

  • PDF     (1.3 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.0 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (421.3 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 4 月 21 日
文件 ID:220415

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹在思科Firepower裝置管理器(FDM)、思科Firepower管理中心(FMC)或思科Defense Orchestrator(CDO)管理思科Firepower威脅防禦(FTD)時,確認其運行的活動Snort版本的步驟。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • Cisco Firepower Management Center(FMC)
    • Cisco Firepower威脅防禦(FTD)
    • Cisco Firepower裝置管理員(FDM)
    • Cisco Defense Orchestrator(CDO)

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • Cisco Firepower威脅防禦(FTD)v6.7.0和7.0.0
    • 思科Firepower管理中心(FMC)v6.7.0和7.0.0
    • Cisco Defense Orchestrator(CDO)

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    SNORT®入侵防禦系統正式推出了Snort 3,這是一種全面的升級,具有提高效能、加快處理速度、提高網路可擴充性等改進和新功能,並且擁有200多個外掛,因此使用者可以為其網路建立自定義設定。

    Snort 3的優勢包括,但不限於:

    • 改進的效能

    • 改進的SMBv2檢測

    • 新的指令碼檢測功能

    • HTTP/2檢測

    • 自定義規則組

    • 使自定義入侵規則更易於編寫的語法

    • 入侵事件中「would have dropped」內聯結果的原因

    • 將更改部署到VDB、SSL策略、自定義應用檢測器、強制網路門戶身份源和TLS伺服器身份發現時,不重新啟動Snort

    • 由於Snort 3特定的遙測資料傳送到思科成功網路,並且故障排除日誌更出色,因此可維護性得到提高

    對Snort 3.0的支援是為6.7.0思科Firepower威脅防禦(FTD)引入的,此時正通過Cisco Firepower裝置管理器(FDM)管理FTD。

    :對於由FDM管理的新6.7.0 FTD部署,Snort 3.0是預設檢測引擎。如果您將FTD從舊版本升級到6.7,則Snort 2.0仍舊是作用中檢查引擎,但您可以切換到Snort 3.0。

    :對於此版本,Snort 3.0不支援虛擬路由器、基於時間的訪問控制規則或TLS 1.1或更低連線的解密。僅在不需要這些功能時才啟用Snort 3.0。

    然後,Firepower 7.0版引入了對Cisco FDM和Cisco Firepower管理中心(FMC)管理的Firepower威脅防禦裝置的Snort 3.0支援。

    :對於新的7.0 FTD部署,Snort 3現在是預設檢測引擎。已升級的部署繼續使用Snort 2,但您可以隨時進行切換。

    注意:您可以在Snort 2.0和3.0之間自由切換,以便根據需要恢復更改。每次切換版本時流量都會中斷。

    注意:在切換到Snort 3之前,強烈建議您閱讀並理解《Firepower Management Center Snort 3配置指南》。請特別注意功能限制和遷移說明。雖然升級到Snort 3是為了將影響降至最低而設計的,但功能並不完全對應。升級之前的計畫和準備工作可以幫助您確保按照預期處理流量。

    判斷在FTD上執行的作用中Snort版本

    FTD命令列介面(CLI)

    若要判斷在FTD上執行的作用中Snort版本,請登入FTD CLI並執行show snort3 status命令:

    範例1:當沒有顯示輸出時,FTD會執行Snort 2。

    >show snort3 status
    >

    範例2:當輸出顯示「Currently running Snort 2」時,FTD會執行Snort 2。

    >show snort3 status
    Currently running Snort 2

    範例3:當輸出顯示「Currently running Snort 3」時,FTD會執行Snort 3。

    >show snort3 status
    Currently running Snort 3

    由Cisco FDM管理的FTD

    若要判斷在Cisco FDM管理的FTD上執行的作用中Snort版本,請繼續執行以下步驟:

    1. 通過FDM Web介面登入到Cisco FTD。
    2. 從主選單中選擇Policies
    3. 然後,選擇Intrusion頁籤。
    4. 尋找「Snort版本」或「檢查引擎」一節,以確認FTD中處於使用中的Snort版本。

    範例1:FTD執行snort版本2。

    FDM snort v2

    範例2: FTD執行snort版本3。

    FDM snort v3

    由管理的FTD Cisco FMC

    若要判斷在Cisco FMC管理的FTD上執行的作用中Snort版本,請繼續執行以下步驟:

    1. 登入到Cisco FMC Web介面。
    2. Devices選單中選擇Device Management
    3. 然後,選擇適當的FTD裝置。
    4. 按一下Edit鉛筆圖示。
    5. 選擇Device索引標籤,並檢視Inspection Engine部分,以確認FTD中處於活動狀態的Snort版本:

    範例1:FTD執行snort版本2。

    FMC snort v2

    範例2: FTD執行snort版本3。

    FMC snort v3

    由管理的FTD Cisco CDO

    若要判斷在Cisco Defense Orchestrator管理的FTD上執行的作用中Snort版本,請繼續執行以下步驟:

    1. 登入到Cisco Defense Orchestrator網路介面。
    2. Inventory功能表中選擇適當的FTD裝置。
    3. Device Details部分中,查詢Snort Version:

    範例1:FTD執行snort版本2。

    CDO snort v2

    範例2: FTD執行snort版本3。

    CDO snort v3

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    23-Apr-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Theresa Grant
      Cisco Engineer
    • Amber Hurst
      Cisco Engineer
    • Christian Hernande
      Cisco Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品