Cisco Cisco Firepower Management Center 2000 User Guide
3-26
FireSIGHT 系统用户指南
第 3 章 管理可重用对象
使用变量集
•
从 New Variable 或 Edit Variable 页面添加的单个网络对象(这些对象随后可添加到变量以及其
他现有和将来的变量)
他现有和将来的变量)
•
文字的、单个 IP 地址或地址块
可以通过逐个添加来列出多个文字 IP 地址和地址块。可以单独列出 IPv4 和 IPv6 地址以及地址
块,或者列出它们的任意组合。指定 IPv6 地址时,可使用 RFC 4291 中定义的任意寻址约定。
块,或者列出它们的任意组合。指定 IPv6 地址时,可使用 RFC 4291 中定义的任意寻址约定。
在任何变量中添加的包含网络的默认值是单词
any
,它表示任意 IPv4 或 IPv6 地址。已排除网络的
默认值为
none
,它表示无网络。还可以使用文字值指定地址
::
,以指示包含网络列表中的任何
IPv6 地址,或排除列表中没有 IPv6 地址。
将网络添加到排除列表会使指定的地址和地址块无效。也就是说,可以匹配除了被排除的 IP 地址
或地址块以外的所有 IP 地址。
或地址块以外的所有 IP 地址。
例如,排除文字地址
192.168.1.1
会指定除 192.168.1.1 以外的所有 IP 地址,排除
2001:db8:ca2e::fa4c
会指定除 2001:db8:ca2e::fa4c 以外的所有 IP 地址。
使用文字网络或可用网络可以排除任意的网络组合。例如,排除文字值
192.168.1.1
和
192.168.1.5
会
包含除 192.168.1.1 或 192.168.1.5 以外的所有 IP 地址。也就是说,系统将此解释为“既不是
192.168.1.1 也不是 192.168.1.5”,这就会匹配除括号中列出的 IP 地址以外的所有 IP 地址。
添加或编辑网络变量时,请注意以下几点:
•
在逻辑上,不能排除值
any
,如果排除该值,将表示无地址。例如,不能将具有值
any
的变量
添加到排除网络列表。
•
网络变量为指定的入侵规则和入侵策略功能识别流量。请注意,无论入侵规则中使用的网络
变量定义的主机如何,预处理器规则都可以触发事件。
变量定义的主机如何,预处理器规则都可以触发事件。
•
排除值必须解析为包含值的子集。例如,不能包含地址块 192.168.5.0/24 并排除
192.168.6.0/24。如果这样做,系统将会显示警告错误消息并标识出违规的变量,而且,当您
排除包含值范围之外的值时,将无法保存变量集。
192.168.6.0/24。如果这样做,系统将会显示警告错误消息并标识出违规的变量,而且,当您
排除包含值范围之外的值时,将无法保存变量集。
有关添加和编辑网络变量的信息,请参阅
。
使用端口变量
许可证:保护
端口变量代表可在入侵策略中启用的入侵规则的
Source Port
和
Destination Port
报头字段中使用的
TCP 和 UDP 端口。端口变量与端口对象和端口对象组的不同之处在于,端口变量特定于入侵规
则。可以为除 TCP 和 UDP 以外的其他协议创建端口对象,还可以在系统网络界面中的不同位置
使用端口对象,包括端口变量、访问控制策略、网络发现规则和事件搜索。有关详情,请参见
则。可以为除 TCP 和 UDP 以外的其他协议创建端口对象,还可以在系统网络界面中的不同位置
使用端口对象,包括端口变量、访问控制策略、网络发现规则和事件搜索。有关详情,请参见
。
可以在入侵规则
Source Port
和
Destination Port
报头字段中使用端口变量来限制仅检查来自或发往特
定 TCP 或 UDP 端口的数据包。
在这些字段中使用变量时,链接到与访问控制规则或策略相关的入侵策略的变量集决定应用访问
控制策略的网络流量中这些变量的值。
控制策略的网络流量中这些变量的值。
可以将以下端口配置的任意组合添加到变量:
•
从可用端口列表中选择的端口变量和端口对象的任意组合
请注意,可用端口列表不显示端口对象组,而且不能将这些对象组添加到变量。有关使用对
象管理器创建端口对象的信息,请参阅
象管理器创建端口对象的信息,请参阅
。
•
从 New Variable 或 Edit Variable 页面添加的单个端口对象 (这些对象随后可添加到变量以及
其他现有和将来的变量)
其他现有和将来的变量)