20、安全情报：网络安全防护的有效手段

安全情报：网络安全防护的有效手段

安全情报最佳实践

安全情报是自动控制可疑活动的有效工具。在启用该工具之前，可参考以下最佳实践：
- 基于5元组的流量阻断 ：若目标是基于源端口、目的端口、源IP、目的IP和协议这5元组来阻断流量，应考虑部署预过滤规则，而非将安全情报作为阻断流量的主要方法，这样能确保系统性能最优。
- 测试新数据源 ：若想测试新的数据源或了解其对实际流量（尤其是生产环境）的潜在影响，可将安全情报的操作从“阻断”设置为“仅监控”模式。
- 利用第三方信息 ：可借助安全情报技术，阻断从第三方安全公告中获取的可疑地址。后续会介绍如何在安全防火墙中批量输入自定义地址。
- 启用健康模块 ：可在健康策略中为安全情报启用健康模块。若系统无法下载安全情报数据或将数据加载到系统内存，该模块可让管理中心生成警报。要找到此页面，可依次点击“系统”>“健康”>“策略”，编辑健康策略，然后从左侧面板中选择“安全情报”。

满足前提条件

要启用安全情报功能，需满足以下前提条件：
- 威胁许可证 ：安全情报需要威胁许可证。要检查管理中心是否有有效的威胁许可证，以及该许可证是否应用于所需的威胁防御设备。若威胁许可证被禁用或过期，管理中心将停止从思科云获取最新的思科情报源。
- 更新情报源 ：若使用新安装的管理中心，基于情报的对象列表可能无法选择。要在“可用对象”字段中填充基于情报的对象类别，需从思