Cisco Cisco Firepower Management Center 4000 User Guide
18-15
FireSIGHT 系统用户指南
第 18 章 使用入侵和文件策略控制流量
调整的入侵防御性能
注
系统不会根据已暂停的规则对数据包进行评估。本可触发事件的已暂停规则无法触发该事件,同
时,丢弃规则无法丢弃该数据包。
时,丢弃规则无法丢弃该数据包。
通过暂停在处理数据包时耗时最长的规则,规则延迟阈值可提高被动和内联部署模式下的系统性
能,并缩短内联部署中的延迟。在可配置的时间到期之前,系统不会根据被暂停的规则对数据包
再次进行评估,从而留出时间让过载设备进行恢复。例如,这些性能优势可以在以下情形中发挥
出来:
能,并缩短内联部署中的延迟。在可配置的时间到期之前,系统不会根据被暂停的规则对数据包
再次进行评估,从而留出时间让过载设备进行恢复。例如,这些性能优势可以在以下情形中发挥
出来:
•
匆忙写就、大量未经测试的规则需要过长的处理时间
•
网络性能不佳期间(例如,当有人下载超大文件时),数据包检查变慢。
配置规则延迟阈值
许可证:保护
可修改规则延迟阈值、已暂停规则的暂停时间以及暂停规则前必须连续超出阈值的次数。
如果规则处理数据包时所用时间超过
Consecutive Threshold Violations Before Suspending Rule
所指定的
连续次数的
阈值
,则规则延迟阈值就会按
Suspension Time
指定的时间暂停规则。
可启用规则 134:1,当规则已暂停时生成事件;并启用规则 134:2,在启用已暂停规则时生成事
件。有关详细信息,请参阅
件。有关详细信息,请参阅
和
下表进一步介绍在配置规则延迟阈值时可设置的选项。
许多因素影响系统性能,如 CPU 速度、数据速率、数据包大小和协议类型。因此,思科建议您
使用下表中的阈值设置,直到您计算出了适合自己的网络环境的设置。
使用下表中的阈值设置,直到您计算出了适合自己的网络环境的设置。
计算设置时请确定:
•
每秒的平均数据包数
•
每个数据包所需的平均微秒数
将网络中每个数据包所需的平均微秒数乘以一个较大的安全因子,以确保不必要地中断规则检查。
表
18-6
规则延迟阈值选项
选项
说明
阈值
指定规则在检查数据包时不应超出的时间,单位为微秒。有关所建议的
最小阈值设置,请参阅
最小阈值设置,请参阅
表。
暂停规则前连续超出
阈值的次数
阈值的次数
指定在暂停规则之前,规则可按超过为
Threshold
设置的时间检查数据包
的连续次数。
Suspension Time
指定暂停一组规则前需经过的秒数。
表
18-7
最小规则延迟阈值设置
针对此数据速率... 将阈值(微秒)设置为至少...
1 Gbps
500
100 Mbps
1250
5 Mbps
5000 年