Cisco Cisco Firepower Management Center 2000 Guia Do Utilizador
66-18
FireSIGHT 系统用户指南
第 66 章 更新系统软件
导入规则更新和本地规则文件
•
首次导入规则时,请勿指定 Snort ID (SID) 或版本号;这样做是为了避免与其他规则 (包括
已删除的规则)的 SID 发生冲突。
已删除的规则)的 SID 发生冲突。
系统会自动为规则分配下一个可用的自定义规则 SID (1000000 或更高) 以及版本号 1。
•
导入之前已经导入的本地规则的更新版本时,必须包含系统分配的 SID 以及高于当前版本号
的版本号。
的版本号。
要在 Rule Editor 页面 (
Policies > Intrusion > Rule Editor
) 上查看某个当前本地规则的版本号,请点
击本地规则类别以展开文件夹,然后点击规则该旁边的
Edit
。
•
可以恢复已删除的本地规则,方法是,导入使用系统分配的 SID 且版本号高于当前版本号的
规则。请注意,删除本地规则时,系统会自动增加版本号;这样方便恢复本地规则。
规则。请注意,删除本地规则时,系统会自动增加版本号;这样方便恢复本地规则。
要在 Rule Editor 页面 (
Policies > Intrusion > Rule Editor
) 上查看某个已删除的本地规则的版本号,
请点击已删除规则类别以展开文件夹,然后点击该规则旁边的
Edit
。
•
不能导入包含 SID 大于 2147483647 的规则的规则文件;这种导入将会失败。
•
如果导入包含长于 64 个字符的源端口列表或目标地主机列表,导入将会失效。
•
系统始终将导入的本地规则设置为禁用状态;必须手动设置本地规则的状态后,才能将它们
用于入侵策略中。有关详情,请参见
用于入侵策略中。有关详情,请参见
。
•
必须确保文件中的规则不包含任何转义字符。
•
规则导入程序要求以 ASCII 或 UTF-8 编码格式导入所有自定义规则。
•
所有导入的本地规则都会自动保存在本地规则类别中。
•
所有已删除的本地规则从会从本地规则类别转移到已删除规则类别。
•
系统会导入以一个井号 (#) 开头的本地规则。
•
系统会忽略以两个井号 (##) 开头的本地规则,也就是说,不导入这样的规则。
•
思科强烈建议在高可用性对中的主防御中心上导入本地规则,以避免 SID 编号问题。
•
如果启用某个导入的本地规则,而该规则将弃用的
threshold
关键字与某个入侵策略中的入侵事
件阈值功能结合起来使用,策略验证将会失败。有关详情,请参见
。
要导入本地规则文件,请执行以下操作:
访问:管理
步骤 1
选择
Policies > Intrusion > Rule Editor
。
系统将显示 Rule Editor 页面。
步骤 2
点击
Import Rules
。
系统将显示 Import Rules 页面。
提示
还可以选择
System > Updates
,然后选择
Rule Updates
选项卡。
步骤 3
选择
Rule Update or text rule file to upload and install
,然后点击
Browse
以浏览到规则文件。请注意,以
这种方式上传的所有规则保存在本地规则类别中。
提示
您仅可导入采用 ASCII 或 UTF - 8 编码的明文文本文件。