Cisco Cisco Firepower Management Center 2000 Betriebsanweisung
32-26
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
添加动态规则状态
步骤 5
选择要查看或删除其抑制设置的一条或多条规则。您有以下选项:
•
要选择具体规则,请选择该规则旁边的复选框。
•
要选择当前列表中的所有规则,请选择列顶部的复选框。
步骤 6
此时您有两种选择:
•
要删除某条规则的所有抑制,请选择
Event Filtering > Remove Suppressions
。在随即显示的确认弹
出窗口中点击
OK
。
•
要删除特定的抑制设置,请突出显示该规则,然后点击
Show details
。展开抑制设置,然后点
击要删除的抑制设置旁边的
Delete
。点击
OK
确认要删除所选设置。
页面将刷新,该抑制设置被删除。
步骤 7
保存策略,继续编辑,放弃所做的更改,或者在系统缓存中保留更改的同时退出。有关详细信
息,请参阅
息,请参阅
和
。
添加动态规则状态
许可证:保护
基于速率的攻击通过向网络或主机发送过大的流量,企图让网络或主机不堪重负,导致其速度下
降或拒绝合法请求。为了应对特定规则出现过多规则匹配项的情况,可以使用基于速率的防御来
更改规则的操作。
降或拒绝合法请求。为了应对特定规则出现过多规则匹配项的情况,可以使用基于速率的防御来
更改规则的操作。
有关详细信息,请参阅以下各节:
•
•
了解动态规则状态
许可证:保护
您可以配置入侵策略,使其包含基于速率的过滤器,在指定时间段内出现某条规则的太多匹配项
时进行检测。此功能可以用于内联部署的受管设备上,先在指定时间内拦截基于速率的攻击,然
后恢复为规则匹配项仅生成事件而不丢弃流量的规则状态。
时进行检测。此功能可以用于内联部署的受管设备上,先在指定时间内拦截基于速率的攻击,然
后恢复为规则匹配项仅生成事件而不丢弃流量的规则状态。
基于速率的攻击防御可确定异常流量模式,并可将这些流量对合法请求的影响降至最低。您可以
识别出发往一个或多个特定目标 IP 地址或者由一个或多个特定源 IP 地址发出的流量中存在的过
多规则匹配项。也可以对检测的所有流量中符合特定规则的过多匹配项作出反应。
识别出发往一个或多个特定目标 IP 地址或者由一个或多个特定源 IP 地址发出的流量中存在的过
多规则匹配项。也可以对检测的所有流量中符合特定规则的过多匹配项作出反应。
在入侵策略中,可以为任何入侵规则或预处理器规则配置基于速率的过滤器。基于速率的过滤器
包含三个组成部分:
包含三个组成部分:
•
规则的匹配速率,配置为特定秒数内的规则匹配项数量
•
超过速率时要执行的新操作,可用的操作有三项:Generate Events、Drop and Generate Events
和 Disable
和 Disable
•
操作的持续时间,配置为超时值
请注意,新操作自开始之后,在到达超时时间之前会一直执行,即使速率在这段时间内降到配置
的速率以下亦不会停止。当超时周期结束后,如果速率低于阈值,则规则的操作会恢复到最初为
该规则配置的操作。
的速率以下亦不会停止。当超时周期结束后,如果速率低于阈值,则规则的操作会恢复到最初为
该规则配置的操作。