Cisco Cisco Firepower Management Center 4000 User Guide
18-11
FireSIGHT 系统用户指南
第 18 章 使用入侵和文件策略控制流量
调整的入侵防御性能
了解数据包延迟阈值设置
许可证:保护
可在需要将设备延迟保持在可接受水平时平衡安全性,只需启用数据包延迟阈值。数据包延迟阈
值用于度量适用的解码器、预处理程序和规则在处理数据包时所需的总时间,并在处理时间超过
可配置阈值时停止对数据包的检查。
值用于度量适用的解码器、预处理程序和规则在处理数据包时所需的总时间,并在处理时间超过
可配置阈值时停止对数据包的检查。
数据包延迟阈值度量所需时间,而不仅是处理时间,目的是为了更准确地反映规则在处理数据包
时实际所需的时间。然而,延迟阈值功能是基于软件实现的延迟管理功能,并不能实施严格的定
时功能。
时实际所需的时间。然而,延迟阈值功能是基于软件实现的延迟管理功能,并不能实施严格的定
时功能。
延迟阈值的得失分别为:实现性能和延迟优势的同时,也会导致未经检查的数据包可能包含攻
击。但是,数据包延迟阈值提供的工具可用于平衡安全性与连接性。
击。但是,数据包延迟阈值提供的工具可用于平衡安全性与连接性。
当解码器开始处理时,每个数据包的计时器开始计时。计时器会持续计时,直到数据包的所有处
理工作结束或处理时间在计时测试点超过阈值。
理工作结束或处理时间在计时测试点超过阈值。
如上图所示,数据包延迟计时在以下测试点测试:
•
在所有解码器和预处理程序的处理完成之后且在规则处理开始之前
•
在每条规则的处理之后
如果处理时间在任何测试点超出阈值,数据包检测将停止。
提示
总的数据包处理时间不包括常规的 TCP 数据流或 IP 分片重组时间。
对于由处理数据包的解码器、预处理程序或规则所触发的事件,数据包延迟阈值不会对其产生影
响。只有当数据包已完全处理完毕,或当数据包处理因超过了延迟阈值而终止时(以先出现者为
准),任何适用的解码器、预处理程序或规则才会触发事件。如果丢弃规则在内联部署中检测到入
侵,则丢弃规则将触发事件并将数据包丢弃。
响。只有当数据包已完全处理完毕,或当数据包处理因超过了延迟阈值而终止时(以先出现者为
准),任何适用的解码器、预处理程序或规则才会触发事件。如果丢弃规则在内联部署中检测到入
侵,则丢弃规则将触发事件并将数据包丢弃。
注
只有当数据包的处理因超出数据包延迟阈值而停止后,才会根据规则评估数据包。本可触发事件
的规则无法触发该事件,同时,丢弃规则无法丢弃该数据包。
的规则无法触发该事件,同时,丢弃规则无法丢弃该数据包。
有关丢弃规则的详细信息,请参阅
。