Cisco Cisco Firepower Management Center 2000 User Guide
51-28
FireSIGHT 系统用户指南
第 51 章 配置关联策略和规则
创建关联策略规则
下图显示网络流量如何触发上述关联规则。
在本示例中,系统在两个不同的主机上检测到 BitTorrent TCP 应用协议:Host 1 和 Host 2。这两
台主机通过 BitTorrent 将数据传输到其他四台主机:Host A、 Host B、 Host C 和 Host D。
台主机通过 BitTorrent 将数据传输到其他四台主机:Host A、 Host B、 Host C 和 Host D。
处理该连接跟踪器的阶段如下:
步骤 1
当系统检测到 Host 1 上的 BitTorrent 应用协议时,系统开始跟踪 0 秒标记处的连接。
请注意,如果系统无法检测到接下来的 5 分钟(按 300 秒标记)内传输的 7 MB 的 BitTorrent TCP
数据,则连接跟踪器将过期。
数据,则连接跟踪器将过期。
步骤 2
5 秒钟时, Host 1 已经传输符合特征的 3 MB 数据:
•
在 1 秒标记处时,从 Host 1 传输至 Host A 的 1 MB 的数据量 (实现连接跟踪器时计算的 1
MB 的 BitTorrent 总流量)
MB 的 BitTorrent 总流量)
•
在 5 秒标记处时,从 Host 1 传输至 Host B 的 2 MB 的数据量 (总共 3 MB)
步骤 3
在 7 秒种时,系统检测 Host 2 上的 BitTorrent 应用协议,同时也开始跟踪该主机的 BitTorrent 连接。
步骤 4
在 20 秒种时,系统已经检测到从 Host 1 和 Host 2 传输的符合特征的其他数据:
•
在 10 秒标记处时,从 Host 2 传输至 Host A 的 1 MB 的数据量 (总共 4 MB)