Cisco Cisco Firepower Management Center 4000 User Guide
54-7
FireSIGHT 系统用户指南
第 54 章 配置补救
创建补救
要添加补救,请执行以下操作:
访问:管理员/发现管理员
步骤 1
选择
Policies > Actions > Instances
。
系统将显示 Instances 页面。
步骤 2
在要向其添加补救的实例旁,点击
View
。
如果尚未添加实例,请参阅
系统将显示 Edit Instance 页面。
步骤 3
在
Configured Remediations
部分,选择
Block Source Network
,然后点击
Add
。
系统将显示 Edit Remediation 页面。
步骤 4
在
Remediation Name
字段中,输入补救名称。
所选名称不得包含空格或特殊字符,且应为描述性名称。例如,如有多个 Cisco IOS 路由器实例,
且每个实例有多个补救,则可能想要指定一个诸如
且每个实例有多个补救,则可能想要指定一个诸如
IOS_01_BlockSourceNet
之类的名称。
步骤 5
或者,在
Description
字段中,输入补救的说明。
步骤 6
在
Netmask
字段中,输入子网掩码或描述要阻止流量进入的网络 CIDR 表示法。
例如,要在单个主机触发规则时阻止流量进入整个 Class C 网络 (不推荐),请使用
255.255.255.0
或
24
作为子网掩码。
又例如,要阻止流量进入包括触发 IP 地址的 30 条地址,请指定
255.255.255.224
或
27
作为子网
掩码。在这种情况下,如果 IP 地址
10.1.1.15
触发补救,则将阻止
10.1.1.1
与
10.1.1.30
之间的
所有 IP 地址。要阻止触发 IP 地址,请将该字段留空,输入
32
或
255.255.255.255
。
步骤 7
依次点击
Create
和
Done
。
补救添加成功。
配置 Cisco PIX 防火墙补救
许可证:FireSIGHT
思科 提供 Cisco PIX Shun 补救模块,该模块可用于通过思科的“shun”命令阻止 IP 地址或网络。
该模块阻止从违反关联策略的源或目标主机发送的所有流量,并关闭当前所有连接 (请注意,该
模块不会阻止通过防火墙发送
该模块阻止从违反关联策略的源或目标主机发送的所有流量,并关闭当前所有连接 (请注意,该
模块不会阻止通过防火墙发送
至主机的流量)。
Cisco PIX Shun 补救模块支持 Cisco PIX 防火墙 6.0 和更高版本。必须拥有 15 级或更高的管理访
问权限才能启动 Cisco PIX 补救。
问权限才能启动 Cisco PIX 补救。
注
基于目标的补救仅在以下情况下起作用:将其配置为当基于连接事件或入侵事件的关联规则触发
时启动。发现事件仅传输源主机。
时启动。发现事件仅传输源主机。
注意事项
Cisco PIX 补救激活后,不再使用超时期限。要解除阻止 IP 地址或网络,必须手动从防火墙移除
规则。
规则。