Cisco Cisco Firepower Management Center 2000 User Guide

51-21

FireSIGHT 系统用户指南 

第 51 章      配置关联策略和规则 

  创建关联策略规则  

要添加连接跟踪器，请执行以下操作：

访问：管理员/发现管理员

步骤 1

在 Create Rule 页面上，点击 

。

系统将显示 Connection Tracker 部分。

提示

要移除连接跟踪器，请点击 

。

步骤 2

通过设置连接跟踪器的标准指定要跟踪哪些连接。

可以通过创建一个简单的条件来设置连接跟踪器标准，或者通过结合和嵌套条件来创建更较复杂
的结构。

有关如何使用网络界面构建条件的信息，请参阅

步骤 3

根据在第 

 步中确定要跟踪的连接，确定要生成关联事件的时间。

可以创建一个简单的说明要生成事件时间的条件，或通过结合和嵌套条件来创建较复杂的结构。

此外，还必须指定在此期间满足指定的条件以生成关联事件的时间间隔 （单位：秒、分或小时）。

有关如何使用网络界面构建条件的信息，请参阅

步骤 4

或者，继续执行以下各节中的操作步骤：

如果已构建完关联规则，继续执行

中操作步骤的第 

 步以保存规则。

连接跟踪器的语法

许可证：任何环境

下表介绍如何构建指定要跟踪的连接种类的连接跟踪器条件。

您应记住，思科受管设备检测到的连接和由已启用 NetFlow 的设备导出的连接数据包含不同的信
息。例如，受管设备检测到的连接不包含 TCP 标记信息。因此，如果要指定连接事件具有特定 
TCP 标记以触发关联规则，则受管设备检测到的连接都不会触发该规则。

再比如， NetFlow 记录不包含连接中哪个主机是发起方、哪个主机是响应方的信息。当系统处理 
NetFlow 记录时，它会根据各主机正在使用的端口以及此类端口是否为公认端口来使用一种算法
确定该信息。有关详细信息，请参阅

。

表 

连接跟踪器的语法 

如果指定......

选择一个运算符，然后......

访问控制策略

选择记录要跟踪的连接的一个或多个访问控制策略。

Access Control Rule Action

选择与记录要跟踪的连接的访问控制规则相关的一个或多个访问控制规则操作。

注

不管随后处理连接的规则或默认操作如何，请选择 

 以跟踪与任何监控

规则的条件匹配的连接。