Cisco Cisco Firepower Management Center 4000 User Guide
32-14
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
过滤入侵策略中的规则
要使用 Comment 过滤器,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在
Rule Configuration
下,点击
Comment
。
步骤 2
在
Comment
字段中,键入要作为过滤依据的注释文本字符串,然后点击
OK
。
Rules 规则页面将更新,显示对规则应用的注释中包含过滤器中所示字符串的规则。
了解规则内容过滤器
许可证:保护
您可以按多个规则内容项来过滤 Rules 页面中列出的规则。例如,通过搜索规则的 SID 可以快速
检索到该规则。也可以查找用于检查发往特定目标端口的流量的所有规则。
检索到该规则。也可以查找用于检查发往特定目标端口的流量的所有规则。
点击条件列表中的节点选择关键字时将显示一个弹出窗口,供您提供要作为过滤条件的参数。
如果过滤器中已在使用该关键字,则提供的参数将替换该关键字的现有参数。
例如,如果点击过滤器面板中
Rule Content
下的
SID
,系统将显示弹出窗口,提示您提供 SID。如果
键入
1045
,则
SID:”1045”
会被添加到过滤器文本框中。如果随即再次点击
SID
并将 SID 过滤器更
改为
1044
,过滤器将更改为
SID:”1044”
。
有关可用于过滤的规则内容的详细信息,请参阅下表。
表
32-5
Rule Content
过滤器
要使用此过滤器,
请点击……
请点击……
然后……
结果
通信
键入要作为过滤条件的消息字符串并点击
OK
。
查找消息字段中包含所提供字符串的规则。
SID
键入要作为过滤条件的 SID 编号并点击
OK
。
查找 SID 为指定值的规则。
GID
键入要作为过滤条件的 GID 编号并点击
OK
。
查找 GID 为指定值的规则。
参考编号
键入要作为过滤条件的引用字符串并点击
OK
。
要为作为过滤条件的特定引用类型输入字符串,请
选择
选择
CVE ID
、
URL
、
Bugtraq ID
、
Nessus ID
、
Arachnids ID
或
Mcafee ID
,然后键入字符串并点击
OK
。
查找引用字段中包含所提供字符串的规则。
操作
选择要作为过滤条件的操作:
•
要查找告警规则,请选择
Alert
,然后点击
OK
。
•
要查找通过规则,请选择
Pass
,然后点击
OK
。
查找以
alert
或
pass
开头的规则。
协议
选择要作为过滤条件的协议:
ICMP
、
IP
、
TCP
或
UDP
;
然后点击
OK
。
查找包含所选协议的规则。
方向
选择要作为过滤条件的方向设置:
•
要查找用于检查按特定方向传输的流量的规
则,请选择
则,请选择
Directional
,然后点击
OK
。
•
要查找用于检查在源地址与目标地址之间按任
意方向传输的流量的规则,请选择
意方向传输的流量的规则,请选择
Bidirectional
,然后点击
OK
。
根据规则是否包含指示的方向设置来查找
规则。
规则。