Cisco Cisco Firepower Management Center 4000 User Guide
32-27
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
添加动态规则状态
在内联部署中,可以将基于速率的攻击防御临时或永久配置为拦截攻击。如果没有基于速率的配
置,设置为 Generate Events 的规则确实会生成事件,但系统不会丢弃这些规则的数据包。但是,
如果攻击流量所匹配的规则配置了基于速率的条件,则基于速率的操作可能会导致系统在该操作
处于活动状态的时间内丢弃数据包,即便这些规则最初并未设置为 Drop and Generate Events。
置,设置为 Generate Events 的规则确实会生成事件,但系统不会丢弃这些规则的数据包。但是,
如果攻击流量所匹配的规则配置了基于速率的条件,则基于速率的操作可能会导致系统在该操作
处于活动状态的时间内丢弃数据包,即便这些规则最初并未设置为 Drop and Generate Events。
注
基于速率的操作无法启用禁用的规则,也无法丢弃与禁用的规则匹配的流量。
可以对同一规则定义多个基于速率的过滤器。入侵策略中列出的第一个过滤器优先级最高。请注
意,当两个基于速率的过滤器的操作相冲突时,将执行第一个基于速率的过滤器的操作。
意,当两个基于速率的过滤器的操作相冲突时,将执行第一个基于速率的过滤器的操作。
下图显示的例子中,攻击者正在尝试访问主机。反复尝试查找密码触发了配置有基于速率的攻击
防御的规则。当在 10 秒的时间跨度内发生五次规则匹配之后,基于速率的设置会将规则属性更
改为 Drop and Generate Events。新的规则属性在 15 秒之后超时。
防御的规则。当在 10 秒的时间跨度内发生五次规则匹配之后,基于速率的设置会将规则属性更
改为 Drop and Generate Events。新的规则属性在 15 秒之后超时。
请注意,到达超时时间后,在接下来的基于速率的采样周期内,系统仍然丢弃数据包。如果采样
速率高于当前或前一个采样周期的阈值,新操作将继续。只有在采样周期完毕而采样速率低于阈
值速率之后,新操作才会恢复为 Generate Events。
速率高于当前或前一个采样周期的阈值,新操作将继续。只有在采样周期完毕而采样速率低于阈
值速率之后,新操作才会恢复为 Generate Events。
设置动态规则状态
许可证:保护
在某些情况下,您可能不希望将某规则设置为 Drop and Generate Events 状态,因为您不想丢弃与
该规则匹配的每个数据包,但同时您又确实希望在指定事件内出现特定频率的匹配项时丢弃与该
规则匹配的数据包。动态规则状态可用于配置应该触发规则操作更改的速率、达到该速率时应该
改而执行的操作以及新操作应该持续的时间。
该规则匹配的每个数据包,但同时您又确实希望在指定事件内出现特定频率的匹配项时丢弃与该
规则匹配的数据包。动态规则状态可用于配置应该触发规则操作更改的速率、达到该速率时应该
改而执行的操作以及新操作应该持续的时间。
您可以通过指定计数来设置该规则匹配项的数量,并设置应该在多少秒数内达到该匹配项数量才触
发操作更改。此外,您还可以设置超时,让该操作在超时时间到期后恢复为该规则以前的状态。
发操作更改。此外,您还可以设置超时,让该操作在超时时间到期后恢复为该规则以前的状态。
可以为同一规则定义多个动态规则状态过滤器。入侵策略的规则详细信息中列出的第一个过滤器
优先级最高。请注意,当两个基于速率的过滤器的操作相冲突时,将执行第一个基于速率的过滤
器的操作。
优先级最高。请注意,当两个基于速率的过滤器的操作相冲突时,将执行第一个基于速率的过滤
器的操作。