Cisco Cisco Firepower Management Center 2000 User Guide

31-4

FireSIGHT 系统用户指南

第 31 章入侵策略入门

编辑入侵策略

许可证：保护

当您新建入侵策略时，它的入侵规则和高级设置与其基本策略相同。下表说明了编辑入侵策略时
最常见的操作：

定制入侵策略时，特别是在启用和添加规则时，请记住一些入侵规则要求首先以某种方式解码或
预处理流量。在入侵策略检查数据包之前，系统将根据网络分析策略中的预处理数据包。如果您
禁用一个必需的预处理程序，虽然该预处理程序在网络分析策略网络界面中保持禁用，但系统仍
自动通过其当前设置使用它。

注

由于预处理和入侵检查如此密切关联，因此，检查单个数据包的网络分析和入侵策略必须相互补
充。定制预处理，特别是使用多个自定义网络分析策略，是一个高级任务。有关详细信息，请参
阅

第 23-10 页上的自定义策略的局限性

。

系统为每个用户缓存一个入侵策略。在编辑入侵策略时，如果您选择任何菜单或指向另一页面的
其他路径时，即使您离开此页，您的更改也会保留在系统缓存中。除了上表中您可以执行的操
作，

第 23-1 页上的了解网络分析和入侵策略

还提供了关于使用导航面板、解决冲突和执行更改的

信息

表

31-2

入侵策略编辑操作

要......

您可以......

请参阅......

在内联部署中指定丢弃
行为

选择或清除 Policy Information 页面上的

Drop when

Inline

复选框。

第 31-5 页上的在内联部署中设置丢弃
行为

更改基本策略

从 Policy Information 页面上的

Base Policy

下拉列表选

择基本策略。

第 24-3 页上的更改基本策略

查看基本策略中的设置在 Policy Information 页面上点击

Manage Base Policy

。

第 24-2 页上的了解基本层

显示或配置入侵规则

在 Policy Information 页面上点击

Manage Rules

。

第 32-2 页上的查看入侵策略中的规则

按当前规则状态显示入
侵规则的已过滤视图并
且可选地配置这些规则

在 Policy Information 页面上，点击

Management Rules

下方设置成 Generate Events 或 Drop and Generate
Events 的规则数量旁边的

View

。

第 32-9 页上的过滤入侵策略中的规则

配置 FireSIGHT 建议的
规则

在导航面板中点击

FireSIGHT Recommendations

。

第 33-3 页上的使用 FireSIGHT 建议

按当前建议的规则状态
显示入侵规则的已过滤
视图并且可选地配置这
些规则

在 Policy Information 页面上，在生成建议后：

•

点击建议数量旁的

View

，以生成事件、丢弃和生

成事件或禁用规则

•

点击

View Recommended Changes

以查看所有建议

第 33-3 页上的使用 FireSIGHT 建议

启用、禁用或者编辑高
级设置

在导航面板中点击

Advanced Settings

第 31-6 页上的在入侵策略中配置高级
设置

管理策略层

在导航面板中点击

Policy Layers

第 24-1 页上的在网络分析或入侵策略
中使用层