Cisco Cisco Firepower Management Center 4000 User Guide
32-9
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
过滤入侵策略中的规则
过滤入侵策略中的规则
许可证:保护
可以按单一条件或按一个或多个条件的组合来过滤 Rules 页面中显示的规则。
您所构造的过滤器显示于 Filter 文本框中。点击过滤器面板中的关键字和关键字参数可以构造过
滤器。当选择多个关键字时,系统会使用 AND 逻辑将其合并,创建合成的搜索过滤器。例如,
如果选择
滤器。当选择多个关键字时,系统会使用 AND 逻辑将其合并,创建合成的搜索过滤器。例如,
如果选择
Category
下的
preprocessor
,然后选择
Rule Content > GID
并输入
116
,会得到过滤器
Category: “preprocessor” GID:”116”
,检索属于预处理器规则而且 GID 为 116 的所有规则。
Category、Microsoft Vulnerabilities、Microsoft Worms、Platform Specific、Preprocessor 和 Priority
过滤器组可以为一个关键字提交多个参数,以逗号分隔。例如,按住 Shift,然后从
过滤器组可以为一个关键字提交多个参数,以逗号分隔。例如,按住 Shift,然后从
Category
中选
择
os-linux
和
os-windows
得到过滤器
Category:"os-windows,os-linux"
,检索
os-linux
类别中或
os-windows
类别中的任意规则。
要显示过滤器面板,请点击显示图标 (
)。
要隐藏过滤器面板,请点击隐藏图标 (
)。
有关详细信息,请参阅以下主题:
•
•
了解入侵策略中的规则过滤
许可证:保护
规则过滤器关键字可帮助您找到要对其应用规则状态或事件过滤器等规则设置的规则。您可以按
关键字进行过滤,同时从 Rules 页面的过滤器面板选择所需参数作为关键字的参数。
关键字进行过滤,同时从 Rules 页面的过滤器面板选择所需参数作为关键字的参数。
有关详细信息,请参阅以下各节:
•
•
•
•
•
构造入侵策略规则过滤器的指导原则
许可证:保护
在大多数情况下,构建过滤器时可以在入侵策略中使用 Rules 页面左侧的过滤器面板来选择要使
用的关键字/参数。
用的关键字/参数。
规则过滤器在过滤器面板中分为不同的规则过滤器组。许多规则过滤器组包含子条件,因此可以
更轻松地找到所需的特定规则。某些规则过滤器有多个级别,可以展开后向下找到各个规则。
更轻松地找到所需的特定规则。某些规则过滤器有多个级别,可以展开后向下找到各个规则。
过滤器面板中的项目有时代表过滤器类型组,有时代表关键字,还有时代表关键字的参数。以下
经验法则可以帮助您构建过滤器:
经验法则可以帮助您构建过滤器:
•
当选择不是关键字的过滤器类型组标题 (Rule Configuration、 Rule Content、 Platform
Specific 和 Priority)时,该标题会展开并列出可用的关键字。
Specific 和 Priority)时,该标题会展开并列出可用的关键字。
点击条件列表中的节点选择关键字时将显示一个弹出窗口,供您提供要作为过滤条件的参数。