Cisco Cisco Firepower Management Center 4000 User Guide

36-80

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

设置活动响应重置尝试次数和界面

许可证：保护

可以使用 

 命令进一步配置由 

resp

 和 

react

 规则发起的 TCP 重置的行为。此命令还

会影响丢弃规则发起的活动响应的行为；有关详细信息，请参阅

。

要使用 

 命令，可以在 USER_CONF 高级变量中的单独一行插入此命令。有关使用 

USER_CONF 变量的详细信息，请参阅

。

注意事项

请勿使用高级变量 

USER_CONF

 来配置入侵策略功能，除非功能描述或支持人员指示您这样做。存

在冲突或重复的配置会导致系统停止。

要指定活动响应重置尝试次数和/或活动响应界面，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 USER_CONF 高级变量中的单独一行插入 

config response

 命令的一种形式，具体取决于您是

要仅指定活动响应重置尝试次数、仅指定活动响应界面还是要同时指定这两者。有以下选项可供
选择：

要仅指定活动响应重置尝试次数，请插入以下命令： 

config response: attempts att

例如：

config response: attempts 10

要仅指定活动响应界面，请插入以下命令： 

config response: device dev

例如：

config response: device eth0

要指定活动响应重置尝试次数和活动响应界面，请插入以下命令： 

config response: attempts att, device dev

例如：

config response: attempts 10, device eth0

其中：

 是尝试次数 （1 到 20），每个 TCP 重置数据包在达到指定的尝试次数后，就会停留在当

前连接窗口，以使接收主机接受该数据包。这种

扫射式序列仅对被动部署有用；在内联部署

中，系统会将重置数据包直接插入到数据流中，而不是触发数据包。系统只发送 1 个 ICMP 
可达活动响应。

 备用接口，您希望系统在被动部署中使用该接口发送活动响应，或者在内联部署中在该

接口处插入活动响应。

过滤事件

许可证：保护

可以使用 

detection_filter

 关键字来防止某个规则生成事件，除非在指定时间内有指定数量的数

据包触发该规则。这样可防止规则过早生成事件。例如，在几秒钟内登录失败两三次可能是预期
行为，但在同一时间内出现大量登录尝试可能表示存在蛮力攻击。

detection_filter

 关键字需要使用参数来定义系统是否跟踪源或目标 IP 地址、满足检测条件多少

次后才会触发事件以及持续计数多长时间。