Cisco Cisco Firepower Management Center 4000 User Guide

32-2

FireSIGHT 系统用户指南

第 32 章      使用规则调整入侵策略       

  了解入侵防御规则类型

了解入侵防御规则类型

许可证：保护

入侵策略包含两种类型的规则：入侵规则和预处理器规则。

入侵规则是一组指定的关键字和参数，用于检测企图利用网络漏洞的行为；入侵规则通过分析网
络流量来检查其是否符合规则中的条件。系统将数据包与每条规则中指定的条件进行比较，如果
数据包数据符合规则中指定的所有条件，则触发此规则。系统包含两种由思科漏洞研究团队 
(VRT) 创建的入侵规则：其一为共享对象规则，已编写好且不能修改 （源端口、目标端口和 IP 
地址等规则头信息除外）；其二为标准文本规则，可以修改并另存为新的自定义规则实例。

系统中还包含预处理器规则，即与预处理器和数据包解码器检测选项相关联的规则。预处理器规
则不能复制或编辑。大多数预处理器规则默认禁用，如果需要系统为预处理器规则生成事件并在
内联部署中丢弃违规的数据包，必须启用这些规则 （即设置为 Generate Events 或 Drop and 
Generate Events）。

VRT 为系统随附的每个默认入侵策略确定思科共享对象规则、标准文本规则和预处理器规则的默
认规则状态。

下表介绍 FireSIGHT 系统配套的每种规则类型。

查看入侵策略中的规则

许可证：保护

可以调整规则如何在入侵策略中显示，并且可以按多个条件对规则排序。也可以显示特定规则的
详细信息，以便查看规则设置、规则文档和其他规则详情。

Rules 页面有四个主要的功能区域：

过滤功能 - 有关详细信息，请参阅

规则属性菜单 - 有关详细信息，请参阅

表 

规则类型

类型

说明

共享对象规则

思科漏洞研究团队 (VRT) 创建的入侵规则，以 C 源代码编译的二进制模块方式提供。您可以使用
共享对象规则，以标准文本规则无法采取的方式来检测攻击。不能修改共享对象规则中的规则关
键字和参数；限制修改规则中使用的变量，限制修改源端口、目标端口和 IP 地址等方面的信息，
也限制将新的规则实例另存为自定义共享对象规则。共享对象规则的 GID （生成器 ID）为 3。有
关详情，请参见

标准文本规则

由 VRT 创建、复制并另存为新的自定义规则的入侵规则、使用规则编辑器创建的入侵规则或导入
为本地规则 （在本地设备上创建和导入）的入侵规则。不能修改 VRT 创建的标准规则中的规则关
键字和参数；限制修改规则中使用的变量，限制修改源端口、目标端口和 IP 地址等方面的信息，
也限制将新的规则实例另存为自定义标准文本规则。有关详细信息，请参阅

。 VRT 创建的

标准文本规则的 GID （生成器 ID）为 1。使用规则编辑器创建的或导入为本地规则的自定义标准
文本规则，其 SID （签名 ID）为 1000000 或更大值。

预处理器规则

与数据包解码器的检测选项相关联或与 FireSIGHT 系统配套的预处理器之一相关联的规则。如果
需要预处理器规则生成事件，必须启用这些规则。这些规则的 GID （生成器 ID）为解码器或预处
理器专用的 GID。有关详细信息，请参阅

 表。