Cisco Cisco Firepower Management Center 2000 User Guide
18-14
FireSIGHT 系统用户指南
第 18 章 使用入侵和文件策略控制流量
调整的入侵防御性能
计时器测量每次根据一组规则处理数据包所用的处理时间。任何时候,只要规则处理时间超出指
定的规则延迟阈值,系统就会递增计数器的计数。如果连续超出阈值的次数达到了指定的数值,
系统就会执行下列操作:
定的规则延迟阈值,系统就会递增计数器的计数。如果连续超出阈值的次数达到了指定的数值,
系统就会执行下列操作:
•
按指定的期限暂停规则
•
触发事件以指明规则已暂停
•
暂停时间到期时重新启用规则
•
触发事件以指明规则已重新启用
当该组规则已暂停时,或当规则违规次数非连续时,系统会将计数器清零。如在暂停规则前允许
一定次数的连续违规,则将忽略对性能的影响无足轻重的偶发性违规,转而专注于反复超出规则
延迟阈值的规则所造成的更大影响。
一定次数的连续违规,则将忽略对性能的影响无足轻重的偶发性违规,转而专注于反复超出规则
延迟阈值的规则所造成的更大影响。
以下示例显示了未导致规则暂停的 5 次连续规则处理时间。
在以上示例中,处理前三个数据包中各个数据包的所需时间超出 1000 微秒的规则延迟阈值,每
次违规时违规计数器均将递增 1 次计数。第四个数据包的处理时间未超出阈值,因此违规计数器
重置为 0。第五个数据包的处理时间超出阈值,因此违规计数器从 1 开始重新计数。
次违规时违规计数器均将递增 1 次计数。第四个数据包的处理时间未超出阈值,因此违规计数器
重置为 0。第五个数据包的处理时间超出阈值,因此违规计数器从 1 开始重新计数。
以下示例显示了导致规则暂停的 5 次连续规则处理时间。
在第二个示例中,处理五个数据包中每个数据包所需的时间均超出 1000 微秒的规则延迟阈值。由于
每个数据包的规则处理时间是 1100 微秒,超出 1000 微秒阈值的次数到达指定的连续 5 次,因此该组
规则被暂停。在暂停时间到期前,任何后续的数据包(在图中表示为数据包 6 至 n)均不会根据暂停
的规则得以检查。如果重新启用规则后收到了更多的数据包,违规计数器从 0 开始重新计数。
每个数据包的规则处理时间是 1100 微秒,超出 1000 微秒阈值的次数到达指定的连续 5 次,因此该组
规则被暂停。在暂停时间到期前,任何后续的数据包(在图中表示为数据包 6 至 n)均不会根据暂停
的规则得以检查。如果重新启用规则后收到了更多的数据包,违规计数器从 0 开始重新计数。
规则延迟阈值对数据包处理规则所触发的入侵事件无影响。无论规则处理时间是否超出阈值,规
则都会因数据包中检测到的任何入侵而触发事件。如果检测到入侵的规则是内联部署中的丢弃规
则,则将丢弃数据包。当丢弃规则检测到数据包中存在将导致暂停规则的入侵时,丢弃规则将触
发入侵事件,数据包将被丢弃,该规则和所有相关规则均被暂停。有关丢弃规则的详细信息,请
参阅
则都会因数据包中检测到的任何入侵而触发事件。如果检测到入侵的规则是内联部署中的丢弃规
则,则将丢弃数据包。当丢弃规则检测到数据包中存在将导致暂停规则的入侵时,丢弃规则将触
发入侵事件,数据包将被丢弃,该规则和所有相关规则均被暂停。有关丢弃规则的详细信息,请
参阅
。