Cisco Cisco Firepower Management Center 4000 User Guide
32-2
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
了解入侵防御规则类型
了解入侵防御规则类型
许可证:保护
入侵策略包含两种类型的规则:入侵规则和预处理器规则。
入侵规则是一组指定的关键字和参数,用于检测企图利用网络漏洞的行为;入侵规则通过分析网
络流量来检查其是否符合规则中的条件。系统将数据包与每条规则中指定的条件进行比较,如果
数据包数据符合规则中指定的所有条件,则触发此规则。系统包含两种由思科漏洞研究团队
(VRT) 创建的入侵规则:其一为共享对象规则,已编写好且不能修改 (源端口、目标端口和 IP
地址等规则头信息除外);其二为标准文本规则,可以修改并另存为新的自定义规则实例。
络流量来检查其是否符合规则中的条件。系统将数据包与每条规则中指定的条件进行比较,如果
数据包数据符合规则中指定的所有条件,则触发此规则。系统包含两种由思科漏洞研究团队
(VRT) 创建的入侵规则:其一为共享对象规则,已编写好且不能修改 (源端口、目标端口和 IP
地址等规则头信息除外);其二为标准文本规则,可以修改并另存为新的自定义规则实例。
系统中还包含预处理器规则,即与预处理器和数据包解码器检测选项相关联的规则。预处理器规
则不能复制或编辑。大多数预处理器规则默认禁用,如果需要系统为预处理器规则生成事件并在
内联部署中丢弃违规的数据包,必须启用这些规则 (即设置为 Generate Events 或 Drop and
Generate Events)。
则不能复制或编辑。大多数预处理器规则默认禁用,如果需要系统为预处理器规则生成事件并在
内联部署中丢弃违规的数据包,必须启用这些规则 (即设置为 Generate Events 或 Drop and
Generate Events)。
VRT 为系统随附的每个默认入侵策略确定思科共享对象规则、标准文本规则和预处理器规则的默
认规则状态。
认规则状态。
下表介绍 FireSIGHT 系统配套的每种规则类型。
查看入侵策略中的规则
许可证:保护
可以调整规则如何在入侵策略中显示,并且可以按多个条件对规则排序。也可以显示特定规则的
详细信息,以便查看规则设置、规则文档和其他规则详情。
详细信息,以便查看规则设置、规则文档和其他规则详情。
Rules 页面有四个主要的功能区域:
•
过滤功能 - 有关详细信息,请参阅
•
规则属性菜单 - 有关详细信息,请参阅
表
32-1
规则类型
类型
说明
共享对象规则
思科漏洞研究团队 (VRT) 创建的入侵规则,以 C 源代码编译的二进制模块方式提供。您可以使用
共享对象规则,以标准文本规则无法采取的方式来检测攻击。不能修改共享对象规则中的规则关
键字和参数;限制修改规则中使用的变量,限制修改源端口、目标端口和 IP 地址等方面的信息,
也限制将新的规则实例另存为自定义共享对象规则。共享对象规则的 GID (生成器 ID)为 3。有
关详情,请参见
共享对象规则,以标准文本规则无法采取的方式来检测攻击。不能修改共享对象规则中的规则关
键字和参数;限制修改规则中使用的变量,限制修改源端口、目标端口和 IP 地址等方面的信息,
也限制将新的规则实例另存为自定义共享对象规则。共享对象规则的 GID (生成器 ID)为 3。有
关详情,请参见
标准文本规则
由 VRT 创建、复制并另存为新的自定义规则的入侵规则、使用规则编辑器创建的入侵规则或导入
为本地规则 (在本地设备上创建和导入)的入侵规则。不能修改 VRT 创建的标准规则中的规则关
键字和参数;限制修改规则中使用的变量,限制修改源端口、目标端口和 IP 地址等方面的信息,
也限制将新的规则实例另存为自定义标准文本规则。有关详细信息,请参阅
为本地规则 (在本地设备上创建和导入)的入侵规则。不能修改 VRT 创建的标准规则中的规则关
键字和参数;限制修改规则中使用的变量,限制修改源端口、目标端口和 IP 地址等方面的信息,
也限制将新的规则实例另存为自定义标准文本规则。有关详细信息,请参阅
。 VRT 创建的
标准文本规则的 GID (生成器 ID)为 1。使用规则编辑器创建的或导入为本地规则的自定义标准
文本规则,其 SID (签名 ID)为 1000000 或更大值。
文本规则,其 SID (签名 ID)为 1000000 或更大值。
预处理器规则
与数据包解码器的检测选项相关联或与 FireSIGHT 系统配套的预处理器之一相关联的规则。如果
需要预处理器规则生成事件,必须启用这些规则。这些规则的 GID (生成器 ID)为解码器或预处
理器专用的 GID。有关详细信息,请参阅
需要预处理器规则生成事件,必须启用这些规则。这些规则的 GID (生成器 ID)为解码器或预处
理器专用的 GID。有关详细信息,请参阅
表。