Cisco Cisco Firepower Management Center 2000 User Guide

32-25

FireSIGHT 系统用户指南 

第 32 章      使用规则调整入侵策略 

  按策略过滤入侵事件通知  

步骤 5

选择要为其配置抑制条件的一条或多条规则。您有以下选项：

要选择具体规则，请选择该规则旁边的复选框。

要选择当前列表中的所有规则，请选择列顶部的复选框。

步骤 6

选择 

。

系统将显示抑制弹出窗口。

步骤 7

选择下列 

 选项之一：

选择 

 将完全抑制所选规则的事件。

选择 

 将抑制由指定源 IP 地址发出的数据包生成的事件。

选择 

 将抑制由发往指定目标 IP 地址的数据包生成的事件。

步骤 8

如果为抑制类型选择 

 或 

，则在 

 字段中输入要指定为源或目标 IP 地址的 

IP 地址、地址块或变量，或者输入由这些值的任意组合组成并以逗号分隔的列表。

有关在 FireSIGHT 系统中使用 IPv4 CIDR 和 IPv6 前缀长度地址块的详细信息，请参阅

步骤 9

点击 

。

系统将添加抑制条件并在 Event Filtering 列中被抑制的该规则旁显示事件过滤器图标  (

)。如果

将多个事件过滤器添加到规则，图标上的数字表示事件过滤器的数量。

步骤 10

保存策略，继续编辑，放弃所做的更改，或者在系统缓存中保留更改的同时退出。

有关详细信息，请参阅

查看和删除抑制条件

许可证：保护

您可能需要查看或删除现有抑制条件。例如，由于某个邮件服务器通常会传输看起来像漏洞的数
据包，因此可以抑制由该邮件服务器 IP 地址发出的数据包的事件通知。如果以后停用该邮件服务
器并将此 IP 地址重新分配给其他主机，应删除对该源 IP 地址的抑制条件。

要查看或删除定义的抑制条件，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

。

系统将显示 Intrusion Policy 页面。

步骤 2

点击要编辑的策略旁边的编辑图标  (

)。

如果在另一策略中的更改尚未保存，请点击 

 放弃这些更改并继续操作。有关保存其他策略中

系统将显示 Policy Information 页面。

步骤 3

点击 

。

系统将显示 Rules 页面。默认情况下，页面按消息的字母顺序列出规则。

步骤 4

查找要在其中查看或删除抑制的一条或多条规则。您有以下选项：

要对当前显示排序，请点击列标题或图标。要反向排序，请再次点击。

。

页面将刷新，显示所有匹配的规则。