Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
24-9
FireSIGHT 系统用户指南 
 
 24       在网络分析或入侵策略中使用层 
  管理层  
合并层
许可证:保护
可以将网络分析或入侵策略中的用户可配置层与其下方的下一个用户层合并。合并层保留任一层
特有的所有设置,并且如果两层均包含同一预处理程序、入侵规则或高级设置的设置,则会接受
更高层中的设置。合并层保留下层的名称。
如在一个策略中创建的一个共享层已添加至其他策略,则可将紧接共享层并在其之上的非共享层
与该共享层合并,但不能将该共享层与其下方的非共享层合并。
如在一个策略中添加了在其他策略中创建的共享层,则可将该共享层合并到紧接其下方的非共享
层,合并生成的层将不再共享;不能将非共享层合并到其下方的共享层。
要将用户层与其下方的用户层合并,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
编辑策略时,请在导航面板中点击 
Policy Layers
系统将显示 Policy Layers 页面。
步骤 2
在两个层中的上层中点击合并图标  (
),然后点击 
OK
页面刷新,随后该层与其下的层合并。
步骤 3
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详细信息,请参阅
在策略之间共享层
许可证:保护
可以将用户可配置层与同一类型的其他策略 (入侵或网络分析)共享。在共享层中修改配置后提
交更改时,系统会更新使用该共享层的所有策略,并为您提供所有受影响策略的列表。您只能在
创建共享层所在策略中修改该共享层的功能配置。
下图显示的示例主策略作为站点特定策略的来源。
图中的主策略包括一个公司范围层,该层的设置同时适用于站点 A 和站点 B 的策略。它还包括每
个策略的站点特定层。例如,如果使用网络分析策略,则 Site A 在受监控网络上可能没有 Web 服
务器,并且不需要 HTTP Inspect 预处理程序的保护或处理开销,但两个站点均可能需要 TCP 数据
流预处理。可在与两个站点共享的公司范围层启用 TCP 数据流处理,在与 Site A 共享的站点特定
层禁用 HTTP Inspect 预处理程序,在与 Site B 共享的站点特定层启用 HTTP Inspect 预处理程序。
如果编辑站点特定策略中更高层中的配置,还可进一步调整每个站点的策略,必要时可借助任何
配置调整。