Cisco Cisco Firepower Management Center 4000 User Guide

3-15

FireSIGHT 系统用户指南 

第 3 章      管理可重用对象 

  使用变量集  

右键单击某种过滤器类型并点击 

 或 

。请注意，列表会指示已选择的每种类

型的过滤器数目。

要减少显示的过滤器，请在 

 字段中键入搜索字符串；这对类别和标记尤其有

用。要清除搜索，请点击清除图标 —

。

要刷新过滤器列表并清除所有选定的过滤器，请点击重新加载图标  (

)。

要清除所有过滤器和搜索字段，请点击 

。

与所选过滤器匹配的应用将会显示在 Available Applications 列表中。该列表每次显示 100 个应用。

步骤 6

从 

 列表中选择要添加到过滤器的应用：

选择 

 可添加满足在上一步骤中指定的限制条件的所有应用。

要减少显示的应用，请在 

 字段中键入搜索字符串。要清除搜索，请点击清除图

标  (

)。

使用位于列表底部的页码图标可浏览可用应用的列表。

使用 Shift 和 Ctrl 键可选择多个应用。右键单击并选择 

 可全部选择当前显示的应用。

要刷新应用列表并清除所有选定的应用，请点击重新加载图标  (

)。

不能同时选择单个应用和 

。

步骤 7

将所选应用添加到过滤器。可以点击并拖动，也可以点击 

。

结果是以下项的组合：

所选的应用过滤器

所选的各个可用应用，或者 

 

最多可以将 50 个应用和过滤器添加到过滤器。要从所选应用中删除应用或过滤器，请点击相应
的删除图标  (

)。还可以选择一个或多个应用和过滤器，或右键单击并选择 

，然后右键

单击并选择 

。

步骤 8

点击 

。

应用过滤器保存成功。

使用变量集

许可证：保护

变量代表通常在入侵规则中用来识别源 IP 地址、目标 IP 地址、源端口和目标端口的值。还可以
在入侵策略中使用变量表示规则抑制、自适应配置文件和动态规则状态中的 IP 地址。

提示

无论入侵规则中使用的网络变量定义的主机如何，预处理器规则都可以触发事件。

可以使用变量集对变量进行管理、自定义和分组。可以使用思科提供的默认变量集，也可以创建
您自己的自定义变量集。可以在任何变量集中修改预定义默认变量，以及添加和修改用户定义的
变量。

FireSIGHT 系统提供的大多数共享对象规则和标准文本规则都使用预定义的默认变量来定义网络
和端口号。例如，大部分规则使用变量 

$HOME_NET

 指定受保护网络，使用变量 

$EXTERNAL_NET

 指定

未受保护的（或外部）网络。此外，专用规则通常会使用其他预定义的变量。例如，检测针对网络
服务器的漏洞攻击的规则使用 

$HTTP_SERVERS

 和 

$HTTP_PORTS

 变量。