Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
31-5
FireSIGHT 系统用户指南 
 
 31       入侵策略入门 
  编辑入侵策略  
要编辑入侵策略,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择 
Policies > Intrusion > Intrusion Policy
系统将显示 Intrusion Policy 页面。
步骤 2
点击要配置的入侵策略旁的编辑图标  (
)。
系统将显示入侵策略编辑器,其以 Policy Information 页面为中心,在左侧显示导航面板。
步骤 3
编辑您的策略。采取上面总结的任何操作。
步骤 4
保存策略,继续编辑,放弃所做的更改,或者在系统缓存中保留更改的同时退出。有关详细信
息,请参阅
在内联部署中设置丢弃行为
许可证:保护
在内联部署中,入侵策略会阻止和修改流量:
  •
Drop rules 可以丢弃匹配的数据包并生成入侵事件。要配置入侵或预处理程序丢弃规则,请将
其状态设置为 Drop and Generate Events;请参阅
  •
入侵规则可使用 
replace
 关键字替换恶意内容;请参
要使入侵规则影响流量,必须正确配置丢弃规则和内容替换规则,以及正确部署内联受管设备,
也就是与内联接口集内联。最后,您必须启用入侵策略的
丢弃行为或 
Drop when Inline
 设置。
要阻止通过 FTP 传输恶意软件文件,不仅必须正确配置基于网络的高级恶意软件防护 (AMP),而
且还要在访问控制策略的默认入侵策略中启用 
Drop when Inline
。要确定或更改默认入侵策略,请
参阅
如果要评估您的配置在内联部署中如何运行,而不实际影响流量,您可以禁用丢弃行为。在这种
情况下,系统会生成入侵事件,但不会丢弃触发丢弃规则的数据包。当您对结果满意时,您可以
启用丢弃行为。
请注意,在分路模式下,在被动部署或内联部署中,无论丢弃行为如何,系统都无法影响流量。
换句话说,在被动部署中,设置为 Drop and Generate Events 的规则的行为与设置为 Generate 
Events 的规则完全一致 - 系统生成入侵事件,但不会丢弃数据包。
当您查看入侵事件时,工作流可能包括 inline result,其指明流量是确实已丢弃,还只是本该已丢
弃。当数据包与丢弃规则匹配时,内联结果如下:
  •
Dropped
适合已启用丢弃行为时正确配置的内联部署所丢弃的数据包
  •
Would have dropped
,适合由于已被动部署设备或已禁用丢弃行为而未丢弃的数据包。请注
意,系统在修剪时,无论如何部署,对于检测到的数据包,内联结果始终为 
Would have 
dropped