Cisco Cisco Firepower Management Center 2000 User Guide
36-95
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
构建规则
步骤 9
从
Direction
列表中,选择指示您希望触发规则的流量方向的运算符。可以使用以下其中一个选项:
•
Directional
匹配从源 IP 地址流向目标 IP 地址的流量
•
Bidirectional
从源 IP 地址流向目标 IP 地址或从目标 IP 地址流向源 IP 地址的流量
步骤 10
从
Detection Options
列表中选择要使用的关键字。
步骤 11
点击
Add Option
。
步骤 12
输入要用于指定所添加的关键字的任何参数。有关规则关键字及其使用方式的详细信息,请参阅
添加关键字和参数时,还可以执行以下操作:
•
要对添加的关键字进行重新排序,请点击要移动的关键字旁边的向上或向下箭头。
•
要删除关键字,点击要删除的关键字旁边的
X
。
至第
步。
步骤 13
点击
Save As New
保存规则。
系统会向新创建的规则分配规则编号序列中下一个可用于本地规则的 Snort ID (SID) 号,并将该
规则保存在本地规则类别中。
规则保存在本地规则类别中。
系统不会根据新的或更改后的规则来评估流量,直至您在适当的入侵策略中启用这些规则,并将
该入侵策略作为访问控制策略的一部分进行应用。有关详情,请参见
该入侵策略作为访问控制策略的一部分进行应用。有关详情,请参见
。
修改现有规则
许可证:保护
您可以修改自定义标准文本规则。您还可以修改思科提供的标准文本规则或共享对象规则,并通
过保存规则来创建一个或多个规则实例。
过保存规则来创建一个或多个规则实例。
创建规则或修改思科规则会将新规则或修订复制到本地规则类别中,并会向该规则分配下一个大
于 100000 的可用 Snort ID (SID)。
于 100000 的可用 Snort ID (SID)。
对于共享对象规则,只能修改报头信息。不能修改共享对象规则或其参数中使用的规则关键字。
修改共享对象规则的报头信息并保存更改将会为该规则创建生成器 ID (GID) 为 3 的新实例,并会
为自定义规则创建下一个可用 SID。Rule Editor 将共享对象规则的新实例链接到保留的
修改共享对象规则的报头信息并保存更改将会为该规则创建生成器 ID (GID) 为 3 的新实例,并会
为自定义规则创建下一个可用 SID。Rule Editor 将共享对象规则的新实例链接到保留的
soid
关键
字,该关键字将创建的规则映射到 VRT 所创建的规则。您可以删除自行创建的共享对象规则实
例,但是不能删除由思科提供的共享对象规则。有关详细信息,请参阅
例,但是不能删除由思科提供的共享对象规则。有关详细信息,请参阅
和
。
注
请勿修改共享对象规则的协议;否则,将会致使规则无效。
要修改规则,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Rule Editor
。
系统将显示 Rule Editor 页面。