Безопасность : Cisco Firepower Management Center

Конфигурация правила прохода о системе FireSIGHT

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Можно создать правила прохода предотвратить пакеты, которые соответствуют критериям, определенным в правиле прохода от вызова аварийного правила в определенных ситуациях, вместо того, чтобы отключить аварийное правило. По умолчанию передайте правила предупреждения замены правил. Если данные пакета совпадают со всеми условиями, заданными в правиле, спусковых механизмах правила, Система FireSIGHT сравнивает пакеты с условиями, заданными в каждом правиле и. Если правило является аварийным правилом, оно генерирует событие проникновения. Если это - правило прохода, это игнорирует трафик.

Например, вы могли бы хотеть правило, которое ищет попытки войти в сервер FTP как в пользователя, "анонимного", чтобы остаться активным. Однако, если сеть имеет один или несколько легитимные анонимные серверы FTP, вы могли бы записать и активировать правило прохода, которое указывает, что для тех определенных серверов анонимные пользователи не вызывают исходное правило.

Этот документ описывает то, что является правилом прохода, как создать его и как включить его в политике проникновения.

Внимание.  : Когда исходное правило, что правило прохода основывается, получает пересмотр, правило прохода автоматически не обновлено. Поэтому правила прохода может быть трудно поддержать.

Примечание: При активации опции Подавления для правила она подавляет уведомления о событии для того правила. Однако, правило, все еще оценен. Например, если вы подавляете правило отбрасывания, пакеты, которые совпадают с правилом, тихо отброшены. 

Внесенный Нэзмулом Рэджибом и Джозией Циммерманом, специалистами службы технической поддержки Cisco.

Конфигурация

Создайте правило прохода


1. Перейдите к Политике> Проникновение> Редактор Правила, для открытия Редактора Правила, использующего веб-интерфейс

2. Найдите правило, что вы хотите фильтровать. Используйте поле поиска или списки категории для обнаружения правила, что вы хотите заставить проход управлять для.

3. Отредактируйте правило совпасть с критериями:

  • Нажмите кнопку Edit, соответствующую правилу.
  • Измените Source IP и IP - адрес назначения к хостам или сетям, на которых вы не хотите правило предупредить.
  • Измените действие от предупреждения для прохождения.




4. Нажмите Save As New. Примечание Номер ID нового правила. Например, 1000000.

Включите правило прохода

Необходимо включить новое правило в соответствующей политике Проникновения для прохождения трафика адресам источника или назначения, которые вы задали. Выполните действия ниже для включения правила прохода:

1. Модифицируйте активную Политику Проникновения.

  • Перейдите к Политике> Проникновение> Политика Проникновения.
  • Нажмите Edit рядом с рабочей политикой.


2. Добавьте новое правило к списку правила.

  • Нажмите Rules на левой боковой панели.
  • Введите идентификатор Правила, на который вы обратили внимание ранее в блоке фильтров.
  • Установите флажок правил и измените Состояние Правила для Генерации Событий.
  • Нажмите Policy Information на левой боковой панели. Нажмите кнопку Commit Changes.


3. Нажмите Применять кнопку Policy рядом с Политикой Проникновения. Выберите устройства и нажмите Reapply.
 

Проверка

Необходимо следить за развитием новых событий для когда-то, чтобы удостовериться, что никакие события не генерируются для этого определенного правила для определенного источника или IP - адреса назначения.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.