Cisco Cisco Firepower Management Center 4000 Guía Del Usuario

32-7

FireSIGHT 系统用户指南 

第 32 章      使用规则调整入侵策略 

  查看入侵策略中的规则  

步骤 3

如果为抑制类型选择 

 或 

，系统将显示 Network 字段。在 

 字段中，输入 IP 

地址、地址块或由这些内容的任意组合组成的逗号分隔列表。当入侵策略与一个访问控制策略的
默认操作相关联时，还可以在默认操作变量集中指定或列出网络变量。

有关在 FireSIGHT 系统中使用 IPv4 CIDR 和 IPv6 前缀长度地址块的详细信息，请参阅

步骤 4

点击 

。

系统将添加抑制条件并在 Event Filtering 列中被抑制的该规则旁显示事件过滤器图标  (

)。如果

将多个事件过滤器添加到规则，图标上的数字表示过滤器的数量。

为规则设置动态规则状态

许可证：保护

您可以在 Rule Detail 页面中为规则设置一个或多个动态规则状态。列出的第一个动态规则状态的
优先级最高。请注意，当两个动态规则状态相冲突时，将执行第一个状态的操作。有关动态规则
状态的详细信息，请参阅

。

请注意，当键入的值无效时，字段中会显示恢复图标  (

)；点击该图标可恢复为该字段的上一个

有效值，如果没有上一个值，则会清空该字段的值。

要在规则详细信息中设置动态规则状态，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

点击 

 旁边的 

。

系统将显示 Add Rate-Based Rule State 对话框。

步骤 2

从 

 下拉列表中选择一个选项，以指示如何跟踪规则匹配项：

选择 

 将跟踪由特定的一个或一组源地址发出的该规则匹配项的数量。

选择 

 将跟踪发往特定的一个或一组目标地址的该规则匹配项的数量。

选择 

 将跟踪该规则的所有匹配项。

步骤 3

或者，在将 

 设置为 

 或 

 时，在 

 字段中输入要跟踪的每台主机的 IP 

地址。

有关在 FireSIGHT 系统中使用 IPv4 CIDR 和 IPv6 前缀长度表示法的详细信息，请参阅

步骤 4

下一个是 

，指示每个时间段的规则匹配项数量，用于设置攻击速率：

在 

 字段中，使用 0 到 2147483647 之间的整数指定要用作阈值的规则匹配项数量。

在 

 字段中，使用 0 到 2147483647 之间的整数指定构成时间段的秒数，系统将跟踪该

时间段内的攻击。

步骤 5

从 

 下拉列表中选择满足条件时应执行的新操作。

选择 

 将生成事件。

选择 

 将在内联部署中生成事件并丢弃触发该事件的数据包，或在被动

部署中生成事件。

选择 

 将不执行任何操作。

步骤 6

在 

 字段中，使用 1 到 2147483647 （约为 68 年）之间的整数，键入希望新操作保持有效的

秒数。在超时后，规则将恢复到原始状态。指定 

0

 可防止新操作超时。