Cisco Cisco Firepower Management Center 2000 User Guide
32-28
FireSIGHT 系统用户指南
第 32 章 使用规则调整入侵策略
添加动态规则状态
请注意,当键入的值无效时,字段中会显示恢复图标 (
);点击该图标可恢复为该字段的上一个
有效值,如果没有上一个值,则会清空该字段的值。
注
动态规则状态无法启用禁用的规则,也无法丢弃与禁用的规则匹配的流量。
要添加动态规则状态,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Intrusion Policy
。
系统将显示 Intrusion Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
尚未保存的更改的详细信息,请参阅
。
系统将显示 Policy Information 页面。
步骤 3
点击
Rules
。
系统将显示 Rules 页面。
步骤 4
查找要在其中添加动态规则状态的一条或多条规则。您有以下选项:
•
要对当前显示排序,请点击列标题或图标。要反向排序,请再次点击。
•
页面将刷新,显示所有匹配的规则。
步骤 5
选择要在其中添加动态规则状态的一条或多条规则。您有以下选项:
•
要选择具体规则,请选择该规则旁边的复选框。
•
要选择当前列表中的所有规则,请选择列顶部的复选框。
步骤 6
选择
Dynamic State > Add Rate-Based Rule State
。
系统将显示 Add Rate-Based Rule State 对话框。
步骤 7
从
Track By
下拉列表中选择您希望如何跟踪规则匹配项:
•
选择
Source
将跟踪由特定的一个或一组源地址发出的该规则匹配项的数量。
•
选择
Destination
将跟踪发往特定的一个或一组目标地址的该规则匹配项的数量。
•
选择
Rule
将跟踪该规则的所有匹配项。
步骤 8
将
Track By
设置为
Source
或
Destination
时,在
Network
字段中输入要跟踪的每台主机的地址。
可以指定单个 IP 地址、地址块、变量或由这些值的任意组合组成并以逗号分隔的列表。有关在
FireSIGHT 系统中使用 IPv4 CIDR 和 IPv6 前缀长度地址块的详细信息,请参阅
FireSIGHT 系统中使用 IPv4 CIDR 和 IPv6 前缀长度地址块的详细信息,请参阅
。
步骤 9
下一个是
Rate
,指示每个时间段的规则匹配项数量,用于设置攻击速率:
•
在
Count
字段中,使用 1 到 2147483647 之间的整数指定要用作阈值的规则匹配项数量。
•
在
Count
字段中,使用 1 到 2147483647 之间的整数指定时间段的秒数,系统将跟踪该时间段
内的攻击。
步骤 10
从
New State
下拉列表中指定满足条件时应执行的新操作。
•
选择
Generate Events
将生成事件。