Cisco Cisco Firepower Management Center 2000 User Guide

32-28

FireSIGHT 系统用户指南

第 32 章      使用规则调整入侵策略       

  添加动态规则状态

请注意，当键入的值无效时，字段中会显示恢复图标  (

)；点击该图标可恢复为该字段的上一个

有效值，如果没有上一个值，则会清空该字段的值。

注

动态规则状态无法启用禁用的规则，也无法丢弃与禁用的规则匹配的流量。

要添加动态规则状态，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

。

系统将显示 Intrusion Policy 页面。

步骤 2

点击要编辑的策略旁边的编辑图标  (

)。

如果在另一策略中的更改尚未保存，请点击 

 放弃这些更改并继续操作。有关保存其他策略中

尚未保存的更改的详细信息，请参阅

。

系统将显示 Policy Information 页面。

步骤 3

点击 

。

系统将显示 Rules 页面。

步骤 4

查找要在其中添加动态规则状态的一条或多条规则。您有以下选项：

要对当前显示排序，请点击列标题或图标。要反向排序，请再次点击。

页面将刷新，显示所有匹配的规则。

步骤 5

选择要在其中添加动态规则状态的一条或多条规则。您有以下选项：

要选择具体规则，请选择该规则旁边的复选框。

要选择当前列表中的所有规则，请选择列顶部的复选框。

步骤 6

选择 

。

系统将显示 Add Rate-Based Rule State 对话框。

步骤 7

从 

 下拉列表中选择您希望如何跟踪规则匹配项：

选择 

 将跟踪由特定的一个或一组源地址发出的该规则匹配项的数量。

选择 

 将跟踪发往特定的一个或一组目标地址的该规则匹配项的数量。

选择 

 将跟踪该规则的所有匹配项。

步骤 8

将 

 设置为 

 或 

 时，在 

 字段中输入要跟踪的每台主机的地址。

可以指定单个 IP 地址、地址块、变量或由这些值的任意组合组成并以逗号分隔的列表。有关在 
FireSIGHT 系统中使用 IPv4 CIDR 和 IPv6 前缀长度地址块的详细信息，请参阅

。

步骤 9

下一个是 

，指示每个时间段的规则匹配项数量，用于设置攻击速率：

在 

 字段中，使用 1 到 2147483647 之间的整数指定要用作阈值的规则匹配项数量。

在 

 字段中，使用 1 到 2147483647 之间的整数指定时间段的秒数，系统将跟踪该时间段

内的攻击。

步骤 10

从 

 下拉列表中指定满足条件时应执行的新操作。

选择 

 将生成事件。