使用ASDM配置網路AMP或檔案控制的FirePOWER模組。

簡介

本文檔介紹FirePOWER模組的網路高級惡意軟體防護(AMP)/檔案訪問控制功能，以及使用自適應安全裝置管理器(ASDM)配置這些功能的方法。

必要條件

需求

思科建議您瞭解以下主題：

• 瞭解自適應安全裝置(ASA)防火牆和ASDM。
• FirePOWER裝置知識。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行軟體版本5.4.1及更高版本的ASA Firepower模組(ASA 5506X/5506H-X/5506W-X、ASA 5508-X、ASA 5516-X)。
• 運行軟體版本6.0.0及更高版本的ASA Firepower模組(ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X)。
• ASDM 7.5.1及更高版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

惡意軟體/惡意軟體可以透過多種方式進入組織的網路。為了辨識並緩解此惡意軟體和惡意軟體的影響，FirePOWER的AMP功能可用於檢測惡意軟體和惡意軟體在網路中的傳輸，並可選擇性地阻止其傳輸。

使用檔案控制功能，您可以選擇監控（檢測）、阻止或允許檔案上傳和下載的傳輸。例如，可以實施阻止使用者下載執行檔的檔案策略。

藉助網路AMP功能，您可以選擇要透過常用協定監控的檔案型別，然後將SHA 256雜湊、來自檔案的後設資料，甚至檔案本身的副本傳送到思科安全情報雲進行惡意軟體分析。根據檔案分析，雲會將檔案雜湊性質返回為乾淨或惡意。

檔案控制和面向Firepower的AMP可以配置為檔案策略，並作為整體訪問控制配置的一部分使用。與訪問控制規則相關的檔案策略檢查滿足規則條件的網路流量。  

注意：請確保FirePOWER模組具有保護/控制/惡意軟體許可證以配置此功能。為了驗證許可證，請選擇Configuration > ASA FirePOWER Configuration > License。

為檔案控制/網路AMP配置檔案策略 

配置檔案訪問控制

登入ASDM並選擇Configuration > ASA Firepower Configuration > Policies > Files。 此時將出現New File Policy對話方塊。

輸入新策略的名稱和可選說明，然後按一下Store ASA Firepower Changes選項。系統將顯示File Policy Rule頁面。  

按一下Add File Rule以向檔案策略增加規則。檔案規則可讓您精細控制要記錄、阻止或掃描惡意軟體的檔案型別。  

應用協定：將應用協定指定為Any(預設)或特定協定(HTTP、SMTP、IMAP、POP3、FTP、SMB)。

傳輸方向：指定檔案傳輸的方向。根據應用協定，可以是Any（任意）或Upload/Download（上傳/下載）。您可以檢查檔案下載的通訊協定(HTTP、IMAP、POP3、FTP、SMB)和檔案上傳的通訊協定(HTTP、SMTP、FTP、SMB)。使用Any選項可透過多個應用程式協定檢測檔案，而不管使用者是傳送還是接收檔案。

動作：指定檔案存取控制功能的動作。操作可以是Detect Files或Block Files。 Detect File操作生成事件，Block Files操作生成事件並阻止檔案傳輸。透過Block Files 操作，您可以根據需要選擇Reset Connection以終止連線。 

檔案型別類別：選取您要封鎖檔案或產生警示的檔案型別類別。

檔案型別：選取檔案型別。「檔案型別」選項提供了更精細的選項來選擇特定的檔案型別。 

選擇儲存ASA Firepower更改選項以儲存配置。

配置網路惡意軟體防護（網路AMP） 

登入到ASDM並導航到配置> ASA Firepower配置>策略>檔案。  便會顯示「檔案原則」頁面。現在按一下New File Policy對話方塊。

為新策略輸入名稱和可選說明，然後按一下儲存ASA Firepower更改選項。便會顯示「檔案原則規則」頁面。  

按一下Add File Rule選項，將規則增加到檔案策略。檔案規則可讓您精細控制要記錄、阻止或掃描惡意軟體的檔案型別。

應用協定：指定任何（預設）或特定協定(HTTP、SMTP、IMAP、POP3、FTP、SMB)

傳輸方向：指定檔案傳輸的方向。可以是任意(Any)或根據應用協定上傳/下載(Upload/Download)。您可以檢查用於檔案下載的通訊協定(HTTP、IMAP、POP3、FTP、SMB)和用於檔案上傳的通訊協定(HTTP、SMTP、FTP、SMB)。使用Any選項可檢測多個應用程式協定上的檔案，而不管傳送或接收檔案的使用者是誰。

操作：對於網路惡意軟體保護功能，操作可能是惡意軟體雲查詢或阻止惡意軟體。 操作Malware Cloud Lookup 僅生成事件，而操作Block Malware 生成事件並阻止惡意軟體檔案傳輸。 

注意：惡意軟體雲查詢和阻止惡意軟體規則允許Firepower計算SHA-256雜湊並將其傳送以進行雲查詢過程，以確定流經網路的檔案是否包含惡意軟體。

檔案型別類別：選取特定的檔案類別。

檔案型別：選取特定的檔案型別，以取得更精細的檔案型別。 

選擇儲存ASA Firepower更改選項以儲存配置。 

注意：檔案策略按以下規則-操作順序處理檔案：阻止優先於惡意軟體檢查，後者優先於簡單檢測和日誌記錄。

如果配置基於網路的高級惡意軟體防護(AMP)，且思科雲未正確檢測檔案性質，則可以使用SHA-256雜湊值將檔案增加到檔案清單，以提高將來檢測檔案性質的能力。根據檔案清單的型別，您可以執行以下操作：

• 要將檔案視為雲分配了乾淨處置情況，請將該檔案增加到乾淨清單。
• 要將檔案視為雲分配了惡意軟體性質，請將該檔案增加到自定義清單中。

要對此進行配置，請導航到Configuration > ASA FirePOWER Configuration > Object Management > File List，然後編輯清單以增加SHA-256。 

設定檔案原則的存取控制原則

導航到配置> ASA Firepower配置> 策略>訪問控制策略，然後建立新的訪問規則或編輯現有訪問規則，如下圖所示。

要配置檔案策略，操作應為Allow。導航到檢查頁籤，然後從下拉選單中選擇檔案策略。

要啟用日誌記錄，請導航日誌記錄選項，然後選擇相應的日誌記錄選項和日誌檔案選項。按一下Save/Add按鈕儲存配置。

選擇儲存ASA Firepower更改選項以儲存AC策略更改。 

部署訪問控制策略

導航到ASDM的Deploy選項，然後從下拉選單中選擇Deploy Firepower Change選項。按一下Deploy選項以部署更改。 

導航到監控> ASA Firepower監控>任務狀態。  確保任務必須完成才能應用配置更改。

注意：在版本5.4.x中，要將訪問策略應用於感測器，您需要按一下「應用ASA FirePOWER更改」。

    

監視檔案策略事件的連線 

為了檢視Firepower模組生成的與檔案策略相關的事件，請導航到Monitoring > ASA Firepower Monitoring > Real Time Eventing。

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

確保檔案策略已正確配置為協定/方向/操作/檔案型別。 確保訪問規則中包含正確的檔案策略。 

確保訪問控制策略部署成功完成。 

監控連線事件和檔案事件(Monitoring > ASA Firepower Monitoring > Real Time Eventing)，驗證流量是否達到正確規則。

相關資訊

• 技術支援與文件 - Cisco Systems