Cisco Cisco Firepower Management Center 2000 User Guide
24-11
FireSIGHT 系统用户指南
第 24 章 在网络分析或入侵策略中使用层
管理层
在层中配置入侵规则
许可证:保护
在入侵策略中,可为任何用户可配置层中的规则设定规则状态、事件过滤、动态状态、警报和规
则评论。访问要进行更改的层之后,可以按照在入侵策略 Rules 页面上所用的相同方法在该层的
Rules 页面上添加设置;请参阅
则评论。访问要进行更改的层之后,可以按照在入侵策略 Rules 页面上所用的相同方法在该层的
Rules 页面上添加设置;请参阅
。
可以在该层的 Rules 页面上查看个别层设置,也可以在 Rules 页面的策略视图中查看所有设置的
实际效果。在 Rules 页面的策略视图中修改规则设置时,修改的是策略中最高用户可配置层。可
使用任何 Rules 页面上的下拉列表切换到另一层。
实际效果。在 Rules 页面的策略视图中修改规则设置时,修改的是策略中最高用户可配置层。可
使用任何 Rules 页面上的下拉列表切换到另一层。
下表介绍了在多个层中配置相同设置类型的效果。
例如,如在一层中将规则状态设置为 Drop and Generate Events,但在上层设置为 Disabled,则入
侵策略的 Rules 页面将显示规则已被禁用。
侵策略的 Rules 页面将显示规则已被禁用。
再比如,如在一层中为规则将基于源的抑制设置为 192.168.1.1,同时也为该规则将基于目标的抑
制设置为 192.168.1.2,则 Rules 页面显示:累积效应将为源地址 192.168.1.1 和目标地址
192.168.1.2 抑制事件。请注意,抑制和基于速率的规则状态设置会将每个所选规则的相同类型设
置累积合并至为该规则设定规则状态所在的第一层。设定规则状态所在层下的设置均被忽略。
制设置为 192.168.1.2,则 Rules 页面显示:累积效应将为源地址 192.168.1.1 和目标地址
192.168.1.2 抑制事件。请注意,抑制和基于速率的规则状态设置会将每个所选规则的相同类型设
置累积合并至为该规则设定规则状态所在的第一层。设定规则状态所在层下的设置均被忽略。
要修改层中的规则,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
编辑入侵策略时,请在导航面板中展开
Policy Layers
,然后展开要修改的策略层。
步骤 2
点击紧挨要修改的策略层下方的
Rules
。
系统将显示该层的 Rules 页面。
表
24-2
层规则设置
您可设定...... 此设置类型......
以......
一个
规则状态
覆盖为较低层规则设定的规则状态,并忽略在较低层为该规则配置的所有阈
值、抑制、基于速率的规则状态和警报。有关详细信息,请参阅
值、抑制、基于速率的规则状态和警报。有关详细信息,请参阅
。
如果想要规则从基本策略或较低层继承状态,请将规则状态设置为 Inherit。请
注意,在入侵策略 Rules 页面操作时,不能将规则状态设置为 Inherit。
注意,在入侵策略 Rules 页面操作时,不能将规则状态设置为 Inherit。
另请注意,当在特定层的 Rules 页面上查看规则状态设置时,规则状态设置会
进行颜色编码:其有效状态设置在更低层中的规则以黄色突出显示;其有效状
态设置在更高层中的规则以红色突出显示;其有效状态设置在当前层中的规则
不突出显示。由于入侵策略 Rules 页面是所有规则设置的实际效果的综合视图,
因此,在该页面上未对规则状态进行颜色编码。
进行颜色编码:其有效状态设置在更低层中的规则以黄色突出显示;其有效状
态设置在更高层中的规则以红色突出显示;其有效状态设置在当前层中的规则
不突出显示。由于入侵策略 Rules 页面是所有规则设置的实际效果的综合视图,
因此,在该页面上未对规则状态进行颜色编码。
一个
阈值
SNMP 警报
SNMP 警报
覆盖较低层中规则的相同类型设置。请注意,设置阈值时会覆盖层中规则的任
何现有阈值。有关详细信息,请参阅
何现有阈值。有关详细信息,请参阅
和
一个或多个
抑制
基于速率的规则状态
基于速率的规则状态
会将每个所选规则的相同类型设置累积合并至为该规则设定规则状态所在的第
一层。设定规则状态所在层下的设置均被忽略。有关详细信息,请参阅
一层。设定规则状态所在层下的设置均被忽略。有关详细信息,请参阅
和
一个或多个
注释
向规则添加注释。注释因规则而异,而非因策略或层而异。可以向任何层中的
规则添加一条或多条注释。有关详细信息,请参阅
规则添加一条或多条注释。有关详细信息,请参阅
。