Cisco Cisco Firepower Management Center 2000 User Guide
32-15
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
过滤入侵策略中的规则
了解规则类别
许可证:保护
FireSIGHT 系统根据规则检测的流量类型对规则分类。在 Rules 页面中,可以按规则类别过滤,
以便为某个类别的所有规则设置规则属性。例如,如果网络中没有 Linux 主机,可以按
以便为某个类别的所有规则设置规则属性。例如,如果网络中没有 Linux 主机,可以按
os-linux
类
别过滤,然后禁用显示的所有规则,从而禁用整个
os-linux
类别。
将鼠标指针悬停在类别名称的上方可以显示该类别中的规则数量。
注
思科 VRT 可能会使用规则更新机制来添加和删除规则类别。
直接编辑规则过滤器
许可证:保护
通过编辑过滤器可以修改您在过滤器面板中点击过滤器时所提供的特定关键字及其参数。 Rules
页面中的自定义过滤器的功能与规则编辑器中使用的过滤器类似,但除此之外,您还可以使用在
Rules 页面过滤器中提供的任何关键字,使用在过滤器面板中选择过滤器时显示的语法。要确定
供今后使用的关键字,请点击右侧过滤器面板中的相应参数。过滤器关键字和参数语法显示于过
滤器文本框中。
页面中的自定义过滤器的功能与规则编辑器中使用的过滤器类似,但除此之外,您还可以使用在
Rules 页面过滤器中提供的任何关键字,使用在过滤器面板中选择过滤器时显示的语法。要确定
供今后使用的关键字,请点击右侧过滤器面板中的相应参数。过滤器关键字和参数语法显示于过
滤器文本框中。
要查看仅支持特定值的关键字参数列表,请参阅
。请记住,只有 Category 和 Priority
过滤器类型支持关键字有多个以逗号分隔的参数。
源 IP:
键入要作为过滤条件的源 IP 地址,然后点击
OK
。
请注意,您可以根据有效 IP 地址、 CIDR 块/前缀
长度或者使用
长度或者使用
$HOME_NET
或
$EXTERNAL_NET
等变量
进行过滤。
查找使用指定的地址或变量作为规则中的
源 IP 地址标识的规则。
源 IP 地址标识的规则。
目标 IP:
键入要作为过滤条件的目标 IP 地址,然后点击
OK
。
请注意,您可以根据有效 IP 地址、 CIDR 块/前缀
长度或者使用
长度或者使用
$HOME_NET
或
$EXTERNAL_NET
等变量
进行过滤。
查找使用指定的地址或变量作为规则中的
源 IP 地址标识的规则。
源 IP 地址标识的规则。
Source port
键入要作为过滤条件的源端口,然后点击
OK
。
端口值必须为 1 到 65535 之间的整数或端口变量。
查找包含指定源端口的规则。
目标端口
键入要作为过滤条件的目标端口,然后点击
OK
。
端口值必须为 1 到 65535 之间的整数或端口变量。
查找包含指定目标端口的规则。
Rule Overhead
选择要作为过滤条件的规则开销数量:
Low
、
Medium
、
High
或
Very High
;然后点击
OK
。
查找具有规则开销为所选值的规则。
元数据
键入要作为过滤条件的元数据键值对,以空格分隔;
然后点击
然后点击
OK
。
例如,键入
metadata:”service http”
可查找元数
据与 HTTP 应用协议相关的规则。
查找元数据包含匹配的键值对的规则。
表
32-5
Rule Content
过滤器 (续)
要使用此过滤器,
请点击……
请点击……
然后……
结果