Cisco Cisco Firepower Management Center 4000 User Guide
29-3
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
配置高级传输/网络设置
使用入侵丢弃规则启动活动响应
许可证:保护
丢弃规则是指规则状态设置为 Drop and Generate Events 的入侵规则或预处理器规则。在内联部署
中,系统通过丢弃触发数据包并阻止数据包起始的会话来对 TCP 或 UDP 丢弃规则作出响应。在
被动部署中,系统无法丢弃数据包,并且除使用活动响应的情况以外,不会阻止会话。
中,系统通过丢弃触发数据包并阻止数据包起始的会话来对 TCP 或 UDP 丢弃规则作出响应。在
被动部署中,系统无法丢弃数据包,并且除使用活动响应的情况以外,不会阻止会话。
提示
由于在
会话方面通常未考虑 UDP 数据流,因此,请参阅
以进一步了解数据流预处理器如何使用封装 IP 数据报报头中的源和目标 IP 地址字段及 UDP 报头
中的端口字段来确定流动方向并识别 UDP 会话。
中的端口字段来确定流动方向并识别 UDP 会话。
您可以配置
Maximum Active Responses
选项来启动一个或多个活动响应,从而在有问题的数据包触
发 TCP 或 UDP 丢弃规则时,更精确具体地关闭 TCP 连接或 UDP 会话。
在内联部署中启用活动响应后,系统通过丢弃触发数据包并在客户端和服务器流量中均插入 TCP
重置 (RST) 数据包来对 TCP 丢弃规则作出响应。系统在被动部署中无法丢弃数据包;在被动部署
中启用活动响应时,系统通过向 TCP 连接的客户端和服务器端均发送 TCP 重置来对 TCP 丢弃规
则作出响应。在内联部署或被动部署中启用活动响应后,系统通过向会话的两端发送 ICMP 不可
达数据包来关闭 UDP 会话。活动响应在内联部署中最有效,因为重置更有可能及时到达以影响
连接或会话。
重置 (RST) 数据包来对 TCP 丢弃规则作出响应。系统在被动部署中无法丢弃数据包;在被动部署
中启用活动响应时,系统通过向 TCP 连接的客户端和服务器端均发送 TCP 重置来对 TCP 丢弃规
则作出响应。在内联部署或被动部署中启用活动响应后,系统通过向会话的两端发送 ICMP 不可
达数据包来关闭 UDP 会话。活动响应在内联部署中最有效,因为重置更有可能及时到达以影响
连接或会话。
根据
Maximum Active Responses
选项的配置,如果系统看到连接或会话的任一端有其他流量,也可
以启动其他活动响应。自从先前响应以来经过指定的秒数后,系统最多会启动数量为指定最大值
的每个其他活动响应。
的每个其他活动响应。
有关有关设置最大活动响应数的信息,请参阅
。
请注意,无论
Maximum Active Responses
的配置如何,已触发的
resp
或
react
规则也会启动活动响应;
但是,
Maximum Active Responses
控制系统是否以与其控制丢弃规则的最大活动响应数相同的方式来
启动
resp
和
react
规则的其他活动响应。有关详细信息,请参阅
。
您还可以使用
config response
命令配置要使用的活动响应接口以及要在被动部署中尝试的 TCP
重置次数。有关详细信息,请参阅
没有预处理器规则与以下选项关联。
Maximum Active Responses
指定每次 TCP 连接的最大活动响应数 (1 至 25)。如果已启动活动响应的连接上出现其他流
量,并且在先前活动响应后流量出现超过
量,并且在先前活动响应后流量出现超过
最小响应秒数
,系统会发送其他活动响应,除非已达
到指定的最大数量。设置为 0 会禁用丢弃规则触发的活动响应,并禁用
resp
或
react
规则触发
的其他活动响应。有关详细信息,请参阅
Minimum Response Seconds
指定等待 1 到 300 秒,直至出现
最大活动响应数
,然后在系统已启动活动响应的连接上的任何
其他流量都会产生后续活动响应。
要使用丢弃规则启动活动响应,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择
Policies > Access Control。
系统将显示 Access Control Policy 页面。