Cisco Cisco Firepower Management Center 4000 User Guide

3-16

FireSIGHT 系统用户指南

第 3 章      管理可重用对象       

  使用变量集

当变量更准确地反映网络环境时，规则更加有效。至少应修改默认变量集中的的默认变量，如

中所述。通过确保变量（例如 

$HOME_NET

）正确地定义网络且 

$HTTP_SERVERS

 包括网络上的所有网络服务器，从而优化处理和监控所有相关系统的可疑活动。

要使用变量，请将变量集链接到与访问控制规则相关的入侵策略或访问控制策略的默认操作。默
认情况下，默认设置集链接到访问控制策略使用的所有入侵策略。

有关详细信息，请参阅以下各节：

优化预定义默认变量

许可证：保护

默认情况下，FireSIGHT 系统提供一个默认变量集，它包含预定义默认变量。思科漏洞研究团队 
(VRT) 使用规则更新来提供最新的入侵规则及其他入侵策略元素（包括默认变量）。有关详情，请
参见

。

由于思科提供的许多入侵规则使用预定义默认变量，因此，应该为这些变量设置适当的值。可以
在任何或所有变量集中修改这些默认变量的值，具体取决于如何使用变量集识别网络流量。有关
详情，请参见

。

注意事项

导入访问控制策略或入侵策略会以导入的默认变量覆盖默认变量集中的现有默认变量。如果现有
默认变量集包含不属于导入默认变量集的自定义变量，则会保留该唯一的变量。有关详细信息，
请参阅

下表介绍思科提供的变量并指出通常需要修改哪些变量。要获得为网络定制自定义变量方面的帮
助，请联系专业服务或支持部门。

表 

思科 提供的变量

说明

是否需要修改？

$AIM_SERVERS

定义已知的 AOL Instant Messenger (AIM) 服务器，并用
于基于聊天的规则和查找 AIM 漏洞攻击的规则。

不需要。

$DNS_SERVERS

定义域名服务 (DNS) 服务器。如果创建专门影响 DNS 服
务器的规则，可以使用 

$DNS_SERVERS

 变量作为目标或源 

IP 地址。

在当前规则集中不需要。

$EXTERNAL_NET

定义 FireSIGHT 系统视为未受保护的网络，并在许多规
则中用于定义外部网络。

需要；应该充分定义 

$HOME_NET

，然

后避免将 

$HOME_NET

 作为 

$EXTERNAL_NET

 的值。