Cisco Cisco Firepower Management Center 2000 User Guide

32-18

FireSIGHT 系统用户指南

第 32 章      使用规则调整入侵策略       

  设置规则状态

设置规则状态

许可证：保护

思科漏洞研究团队 (VRT) 为每个默认策略中的每条入侵规则和预处理器规则设置了默认状态。例
如，一条规则可能会在 Security over Connectivity 默认策略中启用而在 Connectivity over Security 默认
策略中禁用。您创建的入侵策略规则将继承用于创建该策略的默认策略中相应规则的默认状态。

您可以将规则逐一设置为 Generate Events、Drop and Generate Events 或 Disable，也可以按各种因
素过滤规则以选择要修改其状态的规则。在内联部署中，可以在内联入侵部署中使用 Drop and 
Generate Events 规则状态来丢弃恶意数据包。请注意，在被动部署中，包括当 3D9900 或 3 系列
设备的内联接口设置处于分路模式时，规则状态为 Drop and Generate Events 的规则会生成事件但
不会丢弃数据包， 将规则设置为 Generate Events 或 Drop and Generate Events 可启用该规则；将规
则设置为 Disable 将禁用该规则。

我们以两种情况为例。在第一种情况下，特定规则的规则状态被设置为 Generate Events。当恶意数
据包通过网络并触发该规则时，数据包被发送到其目标，系统生成入侵事件。在第二种情况下，假
设同一规则的规则状态在内联部署中被设置为 Drop and Generate Events。在此情况下，当恶意数据
包通过网络时，系统会丢弃恶意数据包并生成入侵事件。该数据包永远不会到达其目标。

在入侵策略中，可将规则的状态设置为以下设置之一：

如果需要系统检测特定的入侵企图并在发现匹配的流量时生成入侵事件，可将规则状态设置
为 

。

如果需要系统检测特定的入侵企图，然后在内联部署中发现匹配的流量时丢弃包含攻击的数
据包并生成入侵事件，或者在被动部署 （包括当 3D9900 或 3 系列设备的内联接口设置处于
分路模式时）中发现匹配的流量时生成入侵事件，可将规则状态设置为 

。

请注意，要让系统丢弃数据包，在内联部署中必须将入侵策略设置为丢弃规则；有关详细信
息，请参阅

如果不需要系统评估匹配的流量，可将规则状态设置为 

。

要使用丢弃规则，必须：

在入侵策略中启用 

 选项。

对于所有应该丢弃与其匹配的数据包的规则，将规则状态设置为 

。

找到包含与入侵策略相关联的访问控制规则的访问控制策略，将其应用到使用内联设置的受
管设备。

在 Rules 页面中过滤规则可帮助您找到要设置为丢弃规则的规则。有关详细信息，请参阅

。

有关规则剖析、规则关键字及其选项和规则编写语法的详细信息，请参阅

VRT 有时会使用规则更新来更改默认策略中一条或多条规则的默认状态。如果允许规则更新对基
本策略进行更新，则意味着当用于创建策略的默认策略中的默认状态发生更改时，也允许规则更
新更改策略中的规则默认状态。但请注意，如果您已经更改了规则状态，规则更新不会覆盖您的
更改。