Cisco Cisco Firepower Management Center 2000 Betriebsanweisung

66-18

FireSIGHT 系统用户指南

第 66 章      更新系统软件       

  导入规则更新和本地规则文件

首次导入规则时，请勿指定 Snort ID (SID) 或版本号；这样做是为了避免与其他规则 （包括
已删除的规则）的 SID 发生冲突。

系统会自动为规则分配下一个可用的自定义规则 SID （1000000 或更高） 以及版本号 1。

导入之前已经导入的本地规则的更新版本时，必须包含系统分配的 SID 以及高于当前版本号
的版本号。

要在 Rule Editor 页面 (

) 上查看某个当前本地规则的版本号，请点

击本地规则类别以展开文件夹，然后点击规则该旁边的 

。

可以恢复已删除的本地规则，方法是，导入使用系统分配的 SID 且版本号高于当前版本号的
规则。请注意，删除本地规则时，系统会自动增加版本号；这样方便恢复本地规则。

要在 Rule Editor 页面 (

) 上查看某个已删除的本地规则的版本号，

请点击已删除规则类别以展开文件夹，然后点击该规则旁边的 

。

不能导入包含 SID 大于 2147483647 的规则的规则文件；这种导入将会失败。

如果导入包含长于 64 个字符的源端口列表或目标地主机列表，导入将会失效。

系统始终将导入的本地规则设置为禁用状态；必须手动设置本地规则的状态后，才能将它们
用于入侵策略中。有关详情，请参见

。

必须确保文件中的规则不包含任何转义字符。

规则导入程序要求以 ASCII 或 UTF-8 编码格式导入所有自定义规则。

所有导入的本地规则都会自动保存在本地规则类别中。

所有已删除的本地规则从会从本地规则类别转移到已删除规则类别。

系统会导入以一个井号 (#) 开头的本地规则。

系统会忽略以两个井号 (##) 开头的本地规则，也就是说，不导入这样的规则。

思科强烈建议在高可用性对中的主防御中心上导入本地规则，以避免 SID 编号问题。

如果启用某个导入的本地规则，而该规则将弃用的 

threshold

 关键字与某个入侵策略中的入侵事

件阈值功能结合起来使用，策略验证将会失败。有关详情，请参见

。

要导入本地规则文件，请执行以下操作：

访问：管理

步骤 1

选择 

。

系统将显示 Rule Editor 页面。

步骤 2

点击

。

系统将显示 Import Rules 页面。

提示

还可以选择 

，然后选择 

 选项卡。

步骤 3

选择 

，然后点击 

 以浏览到规则文件。请注意，以

这种方式上传的所有规则保存在本地规则类别中。

提示

您仅可导入采用 ASCII 或 UTF - 8 编码的明文文本文件。