更新

以下主题介绍如何更新 Firepower 部署:

关于系统更新

您可以使用 管理中心 为自身及其管理的设备升级系统软件。您还可以更新提供高级服务的各种数据库和源。

对于可以访问互联网的 管理中心,系统通常可以直接从思科获取更新。我们建议您尽可能安排或启用自动更新。某些更新在初始设置过程中或 在您启用相关功能时自动启用 。您必须自行安排其他更新。完成初始设置后,我们建议您查看所有自动更新,并在必要时进行调整。

表 1. 升级和更新

组件

说明

详细信息

系统软件

主要 软件版本包含新功能、新功能和增强功能。它们可能包括基础设施或架构更改。

维护 版本包含常规漏洞和安全相关修复。行为更改很少见,并且与这些修复相关。

补丁 是按需更新,仅限于具有紧急性的关键修复程序。

热补丁 可以解决特定的客户问题。

直接下载: 仅选择版本,通常在版本可用于手动下载后的一段时间。延迟的长度取决于版本类型、版本采用情况和其他因素。

计划: 仅安装补丁,在 系统系统齿轮图标 > 工具 > 计划

卸载: 仅修补程序。

恢复/重新映像: 仅限主版本和维护版本。

请参阅: 升级系统软件

漏洞数据库 (VDB)

思科漏洞数据库 (VDB) 包含主机可能易受感染的已知漏洞,以及操作系统、客户端和应用指纹。系统借助 VDB 来确定某个特定主机是否会增加遭受危害的风险。

直接下载: 确认。

计划: 确认,在 系统系统齿轮图标 > 工具 > 计划

卸载: 否。

请参阅: 更新漏洞数据库 (VDB)

地理位置数据库 (GeoDB)

思科地理位置数据库 (GeoDB) 是一个与可路由的 IP 地址关联的地理数据数据库。

直接下载: 确认。

计划: 确认,在 系统系统齿轮图标 > 更新

卸载: 否。

请参阅: 更新地理定位数据库

入侵规则 (SRU/LSP)

入侵规则更新提供全新和更新的入侵规则及预处理器规则、现有规则的修改状态和修改的默认入侵策略设置。

另外,规则更新还可能删除规则,提供新规则类别和默认变量,并修改默认变量值。

直接下载: 确认。

计划: 确认,在 系统系统齿轮图标 > 更新

卸载: 否。

请参阅: 更新入侵规则

安全情报源

安全情报源是 IP 地址、域名和 URL 的集合,可用于快速过滤与条目匹配的流量。

直接下载: 确认。

计划: 确认,在 对象 > 对象管理

卸载: 否。

请参阅: 《Cisco Secure Firewall Management Center 设备配置指南》

新 URL 类别和信誉

URL 过滤可以根据 URL 的一般分类(类别)和风险级别(信誉)控制对网站的访问。

直接下载: 确认。

计划: 是,在 集成 > 其他集成 > 云服务 系统系统齿轮图标 > 工具 > 计划上,具体取决于您的要求。

卸载: 否。

请参阅: 《Cisco Secure Firewall Management Center 设备配置指南》

系统更新的要求和必备条件

型号支持

任意

支持的域

全局 除非另有说明。

用户角色

管理员

系统更新的准则和限制

在更新之前

在更新部署的任何组件(包括入侵规则、VDB 或 GeoDB)之前,请阅读更新随附的版本说明或建议性文本。这些内容提供版本特定的关键信息,包括兼容性、必备条件、新功能、行为更改和警告。

计划的更新

系统以 UTC 时间安排任务(包括更新)。这意味着它们在本地发生的时间取决于日期和您的特定位置。此外,由于更新是以 UTC 为单位进行计划的,因此它们不会针对夏令时、夏令时或您在地点可能观察到的任何季节性调整进行调整。如果受影响,则根据当地时间,计划的更新会在夏天比冬季中的一个小时开始。


重要

我们 强烈 建议您查看计划任务,确保计划的更新在您预期的时间执行。

带宽准则

要升级系统软件或执行就绪性检查,升级包必须位于设备上。升级包大小不同。请确保您的带宽足以将大量数据传输到您管理的设备。请参阅将数据从 Firepower 管理中心下载到受管设备的准则(故障排除技术说明)。

更新漏洞数据库 (VDB)

思科漏洞数据库 (VDB) 包含主机可能易受感染的已知漏洞,以及操作系统、客户端和应用指纹。系统借助 VDB 来确定某个特定主机是否会增加遭受危害的风险。

思科定期发布 VDB 更新。在 管理中心上更新 VDB 及其关联映射所需的时间取决于网络映射中的主机数量。一般说来,将主机数除以 1000,即可估算出执行更新所需的大致时间(分钟)。

从 VDB 343 开始,所有应用检测器信息均可通过 Cisco Secure Firewall 应用检测器来获取。该站点包含一个可搜索的应用检测器数据库。版本说明提供了有关特定 VDB 版本的变更信息。


作为一次性操作,管理中心 上的初始设置会自动下载并安装思科提供的最新 VDB。或者,安排任务以下载和安装 VDB 更新以及部署配置。有关详细信息,请参阅漏洞数据库更新自动化

手动更新 VDB

使用此程序手动更新 VDB。


小心

请勿执行与映射的漏洞相关的任务,直至更新完成。即使消息中心在几分钟内不显示进度或指示更新失败,也不要重启更新。相反,请联系思科 TAC

在大多数情况下,VDB 更新后的第一次部署都会重新启动 Snort 进程,从而中断流量检查。系统会在发生这种情况时向您发出警告(更新的应用检测器和操作系统指纹需要重新启动;漏洞信息则不需要)。在此中断期间,流量是被丢弃还是不经进一步检查直接通过,将取决于目标设备处理流量的方式。有关详细信息,请参阅Snort 重启流量行为

开始之前

如果您计划将 VDB 手动上传到 管理中心,请从 https://www.cisco.com/go/firepower-software下载。

过程

步骤 1

选择 系统系统齿轮图标 > 更新,然后点击产品更新 (Product Updates)

步骤 2

获取 VDB 到 管理中心。您可以:

  • 从思科直接下载:点击下载更新 (Download Updates) 按钮可立即为您的部署下载最新的 VDB、最新的维护版本和最新的关键补丁。

  • 手动上传:点击上传更新 (Upload Update),然后点击选择文件 (Choose File)。浏览到更新并点击上传 (Upload)

步骤 3

安装 VDB。

  1. 点击漏洞和指纹数据库更新旁的安装图标。

  2. 选择 管理中心

  3. 点击安装

在消息中心监控更新进度。在更新完成后,系统将使用新的漏洞信息。但您必须先进行部署,已更新的应用检测器和操作系统指纹才会生效。

步骤 4

验证更新是否成功。

选择 帮助 帮助图标 > 关于 以查看当前的 VDB 版本。

下一步做什么

部署配置更改。

更新地理定位数据库

地理位置数据库 (GeoDB) 是可用于根据地理位置查看和过滤流量的数据库。

系统随附一个将 IP 地址映射到国家/地区/大洲的初始 GeoDB 国家/地区代码包 ,因此信息应始终可用。如果您更新 GeoDB,系统还会下载 包含 情景数据的 IP 数据包。此情景数据包括其他位置详细信息,以及连接信息,例如 ISP、连接类型、代理类型、域名等。我们还会定期更新 GeoDB,您必须定期更新 GeoDB 才能获得准确的地理位置信息。

作为初始配置的一部分, 系统配置每周的自动 GeoDB 更新。如果配置更新失败且 管理中心 可以访问互联网,我们建议您配置常规 GeoDB 更新,如 安排 GeoDB 更新

更新 GeoDB 所需的时间取决于您的设备,但最多可能需要 45 分钟,具体取决于更新的大小(例如,如果这是您第一次下载完整的 GeoDB)。虽然 GeoDB 更新不会中断任何其他系统功能(包括正在进行的地理位置信息收集),但更新执行时的确会占用系统资源。制定更新计划时需要考虑这一点。

GeoDB 更新将会覆盖之前的所有 GeoDB 版本并立即生效。更新 GeoDB 时,管理中心会自动更新其受管设备上的相关数据。GeoDB 更新可能需要几分钟时间才能在整个部署中生效。更新后,无需重新部署。

系统系统齿轮图标 > 更新 > 地理位置更新 页面和 帮助 帮助图标 > 关于 页面均列出了当前版本。

安排 GeoDB 更新

作为初始配置的一部分, 系统配置每周的自动 GeoDB 更新。如果配置更新失败且 管理中心 可以访问互联网,我们建议您配置常规 GeoDB 更新,如 此程序。

开始之前

确保 管理中心可以访问互联网。

过程

步骤 1

选择系统系统齿轮图标 > 更新 > 地理位置更新

步骤 2

在周期性地理位置更新下,选择 从支持站点启用周期性每周更新

步骤 3

指定更新开始时间

步骤 4

点击保存 (Save)

手动更新 GeoDB(互联网连接)

如果 管理中心 可以访问互联网,请使用此程序对 GeoDB 执行按需更新。

过程

步骤 1

选择系统系统齿轮图标 > 更新 > 地理位置更新

步骤 2

在一次性地理位置更新下,选择 从支持站点下载并安装地理位置更新

步骤 3

点击导入

您可以在消息中心监控更新的进度。

步骤 4

验证更新是否成功。

“地理位置更新”页面和 帮助 帮助图标 > 关于 页面均列出当前版本。

手动更新 GeoDB(无互联网连接)

如果 管理中心 无法访问互联网,请使用此程序执行 GeoDB 的按需更新。

过程

步骤 1

思科支持和下载站点下载 GeoDB: https://www.cisco.com/go/firepower-software

选择或搜索您的型号(或选择任何型号 - 对所有 管理中心型号使用相同的 GeoDB),然后浏览至 覆盖和内容更新 页面。

确保下载国家/地区代码和 IP 软件包。

步骤 2

选择系统系统齿轮图标 > 更新 > 地理位置更新

步骤 3

在一次性地理位置更新下,选择 上传并安装地理位置更新

步骤 4

点击 选择文件,然后浏览到您之前下载的 国家/地区代码 包。

步骤 5

点击导入

您可以在消息中心监控更新的进度。

步骤 6

对 IP 包重复步骤 4 和 5。

步骤 7

验证更新是否成功。

“地理位置更新”页面和 帮助 帮助图标 > 关于 页面均列出当前版本。

更新入侵规则

随着新漏洞的暴露,Talos 情报小组 会发布可导入到 管理中心上的入侵规则更新,然后通过将已更改的配置部署到受管设备进行实施。这些更新会影响入侵规则、预处理器规则和使用这些规则的策略。

入侵规则更新是累加性的,并且思科建议始终导入最新的更新。不能导入与当前安装的规则的版本匹配或早于该版本的入侵规则更新。

入侵规则更新可能提供以下内容:

  • 新的和修改的规则和规则状态 - 规则更新提供新的和更新的入侵和预处理器规则。对于新的规则,每个系统提供的入侵规则中的规则状态可能不同。例如,一个新规则在 Security over Connectivity 入侵策略中可能是启用状态,在 Connectivity over Security 入侵策略中则可能是禁用状态。规则更新也可以更改现有规则的默认状态,或者完全删除现有规则。

  • 新规则类别 - 规则更新可能包括始终添加的新规则类别。

  • 修改的预处理器和高级设置��规则更新可能更改系统提供的入侵策略中的高级设置,以及系统提供的网络分析策略中的预处理器设置。它们也可以更新访问控制策略中的高级预处理和性能选项的默认值。

  • 新的和修改的变量 - 规则更新可能修改现有默认变量的默认值,但不会覆盖您的更改。始终会添加新变量。

在多域部署中,可以在任何域中导入本地入侵规则,但是,只能在全局域中从 Talos 导入入侵规则更新。

了解入侵规则更新何时修改策略

入侵规则更新可以影响系统提供的和自定义网络分析策略,以及所有访问控制策略:

  • 系统提供 - 对系统提供的网络分析和入侵策略的更改以及对高级访问控制设置的任何更改将在您更新后重新部署策略时自动生效。

  • 自定义 - 因为每个自定义网络分析和入侵策略都使用系统提供的策略作为其基础,或作为策略链中的事件基础,所以规则更新可以影响自定义网络分析和入侵策略。但是,您可以阻止规则更新自动执行这些更改。这使您能够在独立于规则更新导入的计划中手动更新系统提供的基本策略。无论您的选择(在每个自定义策略基础上实施)如何,更新系统提供的策略都不会覆盖您定制的任何设置。

请注意,导入规则更新会丢弃对网络分析和入侵策略所做的所有已缓存更改。为了方便起见,Rule Updates 页面列出了包含已缓存更改的策略以及做出这些更改的用户。

部署入侵规则更新

为使入侵规则更新所做的更改生效,必须重新部署配置。在导入规则更新时,可以将系统配置为自动重新部署到受影响设备。如果允许入侵规则更新修改系统提供的基本入侵策略,则此方法尤其有用。

周期性入侵规则更新

可以在 Rule Updates 页面上设置为按日、周或月导入规则更新。

如果部署包括管理中心的高可用性对,则仅在主防御中心上导入更新。辅助管理中心会在常规同步过程中接收规则更新。

入侵规则更新导入中的适用子任务按以下顺序出现:下载、安装、基本策略更新和策略部署。完成一个子任务后,才会开始下一个子任务。

在计划的时间,系统按照在先前步骤中所指定,安装规则更新并部署已更改的配置。在导入之前或导入过程中,可注销或使用 Web 界面执行其他任务。在导入过程中访问时,“规则更新日志”显示 红色状态红色状态图标,此外,您还可以在“规则更新日志”详细视图中查看消息。根据规则更新大小和内容,可能几分钟之后才会显示状态消息。

作为初始配置的一部分,系统配置每日从 思科支持和下载站点 为 Snort 2 设备自动更新入侵规则 (SRU)。如果配置更新失败且 管理中心 可以访问互联网,我们建议您配置定期入侵规则更新,如 计划入侵规则更新.

导入本地入侵规则

本地入侵规则是从本地计算机以采用 ASCII 或 UTF-8 编码的纯文本文件形式导入的自定义标准文本规则。可以使用 Snort 用户手册(可在 http://www.snort.org 上获取)中的说明创建本地规则。

在多域部署中,可以在任何域中导入本地入侵规则。可以查看在当前域和祖先域中导入的本地入侵规则。

一次性手动更新入侵规则

如果 管理中心无法访问互联网,则请手动导入新的入侵规则更新。

过程

步骤 1

从思科支持站点 (http://www.cisco.com/cisco/web/support/index.html) 手动下载更新。

步骤 2

选择 系统系统齿轮图标 > 更新,然后点击 规则更新

步骤 3

如果要将已创建或导入的所有用户定义的规则都移至已删除的文件夹,则必须点击工具栏中的删除所有本地规则 (Delete All Local Rules),然后点击确定 (OK)

步骤 4

选择要上传并安装的规则更新或文本规则文件 (Rule Update or text rule file to upload and install),然后点击浏览 (Browse) 以浏览并选择规则更新文件。

步骤 5

如果要在更新完成后自动将策略重新部署到受管设备,请选择在规则更新导入完成后重新应用所有策略 (Reapply all policies after the rule update import completes)

步骤 6

点击 Import。系统将安装规则更新并显示“规则更新日志”(Rule Update Log) 详细视图。

 

如果在安装规则更新时出现错误消息,请联系支持部门。

一次性自动更新入侵规则

此部分适用于 Snort 2。

要自动导入新的入侵规则更新,设备必须具有互联网访问权限以连接到支持站点。

开始之前

过程

步骤 1

选择系统系统齿轮图标 > 更新

 

也可以点击入侵规则编辑器页面(对象 > 入侵规则)上的导入规则

步骤 2

点击 规则更新

步骤 3

如果要将已创建或导入的所有用户定义的规则都移至已删除的文件夹,请点击工具栏中的删除所有本地规则 (Delete All Local Rules),然后点击确定 (OK)

步骤 4

选择从支持站点下载新规则更新 (Download new Rule Update from the Support Site)

步骤 5

如果要在更新完成后自动将已更改的配置部署到受管设备,请选中在规则更新导入完成后重新应用所有策略 (Reapply all policies after the rule update import completes) 复选框。

步骤 6

点击 Import

系统将安装规则更新并显示“规则更新日志”(Rule Update Log) 详细视图。

小心

 

如果在安装规则更新时出现错误消息,请联系支持部门。

计划入侵规则更新

此部分适用于 Snort 2。

作为初始配置的一部分,系统配置每日从 思科支持和下载站点 为 Snort 2 设备自动更新入侵规则 (SRU)。如果配置更新失败且 管理中心 可以访问互联网,我们建议您配置定期入侵规则更新,如 此部分。

过程

步骤 1

选择系统系统齿轮图标 > 更新

 

也可以点击入侵规则编辑器页面(对象 > 入侵规则)上的导入规则

步骤 2

点击 规则更新

步骤 3

如果要将已创建或导入的所有用户定义的规则都移至已删除的文件夹,请点击工具栏中的删除所有本地规则 (Delete All Local Rules),然后点击确定 (OK)

步骤 4

选中 启用从支持网站重复规则更新导入 复选框。

导入状态消息显示在 Recurring Rule Update Imports 部分下方。

步骤 5

导入频率 (Import Frequency) 字段中,指定:

  • 更新频率(每天 [Daily]每周 [Weekly]每月 [Monthly]
  • 要发生更新的周日期或月日期
  • 要开始更新的时间

步骤 6

如果要在更新完成后自动将已更改的配置重新部署到受管设备,请选中在规则更新完成后将已部署的策略部署到目标设备 (Deploy updated policies to targeted devices after rule update completes) 复选框。

步骤 7

点击保存 (Save)

小心

 

如果在安装入侵规则更新时收到错误消息,请联系支持部门。

Recurring Rule Update Imports 部分下方的状态信息会发生变化,以指明尚未运行规则更新。

导入本地入侵规则最佳实践

导入本地规则文件时,请遵循以下准则:

  • 规则导入程序要求以 ASCII 或 UTF-8 编码的纯文本文件导入所有自定义规则。

  • 文本文件名称可包含字母数字字符和空格,不可包含除下划线 (_)、句号 (.) 和破折号 (-) 以外的其他特殊字符。

  • 系统会导入以一个井号 (#) 开头的本地规则,但它们被标记为已删除。

  • 系统会导入以一个井号 (#) 开头的本地规则,但不会导入以两个井号 (##) 开头的本地规则。

  • 规则不能包含任何转义字符。

  • 在多域部署中,系统将为导入到“全局”域或在该域中创建的规则分配一个为 1 的 GID,并为所有其他域分配一个特定于域的 GID,数值介于 1000 与 2000 之间。

  • 导入本地规则时,不必指定生成器 ID (GID)。如果指定了生成器 ID,则请仅为标准文本规则指定 GID 1。

  • 首次导入规则时,请指定 Snort ID (SID) 或修订版本号。这可避免与其他规则的 SID 发生冲突,包括已删除的规则。系统会自动为规则分配下一个可用的自定义规则 SID(1000000 或更高) 以及版本号 1。

    如果必须导入带有 SID 的规则,则 SID 可以是 1,000,000 或以上的任何唯一数字。

    在多域部署中,如果多个管理员同时导入本地规则,则单个域中的 SID 可能不连续,因为系统已将该序列的中间编号分配给其他域。

  • 导入之前已导入的本地规则的更新版本时,或者重新安装已删除的本地规则时,必须包含由系统分配的 SID 以及高于当前编号的修订版本号。您可以通过编辑规则确定当前或已删除规则的修订版本号。


    删除本地规则时,系统会自动增加修订版本号;这样方便恢复本地规则。所有已删除的本地规则从会从本地规则类别转移到已删除规则类别。

  • 请在高可用性对中的主 Firepower 管理中心上导入本地规则,以避免 SID 编号问题。

  • 如果规则包含以下任意一项,则导入失败:

    • 大于 2147483647 的 SID。

    • 长度超过 64 个字符的源或目的端口列表。

    • 在多域部署中,在导入到“全局”域时,GID:SID 组合使用 GID 1 和一个已存在于其他域中的 SID;这表示该组合在版本 6.2.1 之前就已存在。可以使用 GID 1 和一个唯一的 SID 重新导入规则。

  • 如果启用某个导入的本地规则,而该规则将弃用的 threshold 关键字与某个入侵策略中的入侵事件阈值功能结合起来使用,策略验证将会失败。

  • 所有导入的本地规则都会自动保存在本地规则类别中。

  • 系统始终将导入的本地规则设置为禁用状态。必须手动设置本地规则的状态后,才能将其用于入侵策略中。

导入本地入侵规则

  • 请确保您的本地规则文件遵循导入本地入侵规则最佳实践中所述的准则,

  • 并确保导入本地入侵规则的过程符合您的安全策略。

  • 请考虑导入因带宽约束和 Snort 重启而带给流量和检测的影响。我们建议将规则更新安排在维护窗口执行。

  • 您可以在任何域中执行此任务。

使用以下程序导入本地入侵规则。导入的入侵规则以被禁用的状态显示在本地规则类别中。

过程

步骤 1

选择 系统系统齿轮图标 > 更新,然后点击 规则更新

步骤 2

(可选)删除现有的本地规则。

点击删除所有本地规则,然后确认是否想要将创建和导入的所有入侵规则移至删除的文件夹。

步骤 3

一次性规则更新/规则导入下,选择 规则更新或文本规则文件以上传和安装,然后点击 选择文件 并浏览到您的本地规则文件。

步骤 4

点击 Import

步骤 5

可以在消息中心监控导入进度。

要显示消息中心,请点击菜单栏上的“系统状态”。即使在消息中心有几分钟时间不显示,或指示导入失败,也不要重启导入,而是联系思科 TAC。
下一步做什么

规则更新日志

管理中心会为导入的规则更新和本地规则文件生成记录。

每个记录都包含时间戳、导入文件的用户名称以及指明导入成功或失败的状态图标。可保留导入的所有规则更新和本地规则文件的列表,删除列表中的任何记录,以及访问有关所有导入的规则和规则更新组成部分的详细记录。

“规则更新导入日志”详细视图列出导入到规则更新或本地规则文件中的每个对象的详细记录。此外,还可以根据列出的记录创建仅包含符合特定需求的信息的自定义工作流程或报告。

入侵规则更新日志表

表 2. 入侵规则更新日志字段

字段

说明

摘要

导入文件的名称。如果导入失败,文件名称下方会显示有关导入失败原因的简要说明。

时间

导入开始的时间和日期。

用户 ID

触发导入的用户的用户名。

状态

导入有以下状态:

  • 成功图标成功图标

  • 失败或进行中  红色状态红色状态图标

导入过程中,Rule Update Log 页面上会显示红色状态图标,表示导入失败或未完成;成功完成导入后,该红色状态图标会变为绿色状态图标。


提示

可以在入侵规则更新导入正在进行中时查看显示的导入详细信息。

查看入侵规则更新日志

在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。

过程

步骤 1

选择系统系统齿轮图标 > 更新

提示

 

也可以点击入侵规则编辑器页面(对象 > 入侵规则)上的导入规则

步骤 2

点击 规则更新

步骤 3

点击 Rule Update Log

步骤 4

此时您有两种选择:

  • 查看 - 要查看规则更新或本地规则文件中导入的每个对象的详细信息,请点击要查看的文件旁边的 视图视图按钮 ;请参阅 查看入侵规则更新导入日志的详细信息
  • 删除 - 要删除导入日志中的导入文件记录(包括文件中包含的所有对象的详细记录),请点击导入文件名旁边的 删除删除图标

     

    删除日志中的文件并不会删除导入到导入文件中的任何对象,而只是删除导入日志记录。

入侵规则更新日志中的字段


提示
即使是通过在仅显示单个导入文件记录的“规则更新导入日志”(Rule Update Import Log) 详细视图中的工具栏上点击搜索 (Search) 发起搜索,也可以搜索整个规则更新导入日志数据库。确保将时间限制条件设置为包含所有搜索中要包含的对象。
表 3. 规则更新导入日志详细视图字段
字段 说明 (Description)

操作

指明对对象类型执行了以下其中一项操作:

  • new(对于规则而言,是指第一次把规则存储在此设备上)

  • changed(对于规则更新组成部分或规则而言,规则更新组成部分已被修改,或者规则的版本号更高且 GID 和 SID 相同)

  • collision(对于规则更新组成部分或规则而言,由于版本与设备上的现有组成部分或规则冲突,因此跳过导入)

  • deleted(对于规则而言,已从规则更新删除规则)

  • enabled(对于规则更新编辑而言,已在系统提供的默认策略中启用了预处理器、规则或其他功能)

  • disabled(对于规则而言,已在系统提供的默认策略中禁用规则)

  • drop(对于规则而言,已在系统提供的默认策略中将规则设置为“丢弃并生成事件”[Drop and Generate Events])

  • error(对于规则更新或本地规则文件而言,导入失败)

  • apply(为导入启用了在规则更新导入完成后重新应用所有策略 [Reapply all policies after the rule update import completes] 选项)

默认操作

规则更新定义的默认操作。当导入对象类型是 rule 时,默认操作是 PassAlertDrop。对于所有其他导入对象类型,没有默认操作。

详细信息

组成部分或规则独有的字符串。对于规则、GID、SID 以及已更改规则的上一个版本号,此字段显示为 previously (GID:SID:Rev)。对于未更改的规则,此字段为空白。

其入侵策略可使用更新规则的域。后代域中的入侵策略也可以使用该规则。此字段只存在于多域部署中。

GID

规则的生成器 ID。例如,1(标准文本规则、全局域或旧 GID)或 3(共享对象规则)。

名称

导入对象的名称(对于规则,对应的是规则“消息”[Message] 字段;对于规则更新,对应的是组成部分名称)。

策略

对于导入的规则,此字段显示所有。这表示规则导入成功,并可在所有相应的默认入侵策略中启用。对于其他导入对象类型,此字段为空白。

版本

规则的版本号。

规则更新

规则更新文件名。

SID

规则的 SID。

时间

导入开始的时间和日期。

类型

导入对象的类型,可以是以下类型之一:

  • rule update component(已导入的组成部分,例如规则包或策略包)

  • rule(对于规则而言,是指新的或更新后的规则;请注意,在版本 5.0.1 中,此值替换为 update 值,后者已被弃用)

  • policy apply(为导入启用了在规则更新导入完成后重新应用所有策略选项)

计数

每条记录的计数 (1)。当表受限时,“计数”(Count) 字段显示在表视图中,而且在默认情况下,“规则更新日志”(Rule Update Log) 详细视图受限于规则更新记录。此字段不可搜索。

查看入侵规则更新导入日志的详细信息

在多域部署中,可以查看当前域和任何后代域的数据。不能从更高级别的域或同级域查看数据。

过程

步骤 1

选择系统系统齿轮图标 > 更新

提示

 

也可以点击入侵规则编辑器页面(对象 > 入侵规则)上的导入规则

步骤 2

点击 规则更新

步骤 3

点击 Rule Update Log

步骤 4

点击要查看的详细记录的文件的旁边的 视图视图按钮

步骤 5

可以采取以下任何操作:

  • 书签 - 要将当前页面加入书签,请点击 将此页面加入书签

  • 编辑搜索 - 要打开使用当前单一限制预填充的搜索页面,请选择“搜索限制”旁边的 编辑搜索保存搜索

  • 管理书签 - 要导航至书签管理页面,请点击 报告设计器

  • 报告 - 要根据当前视图中的数据生成报告,请点击 报告设计器

  • 搜索 - 要搜索整个规则更新导入日志数据库以查找规则更新导入记录,请点击 搜索

  • 排序 - 要对当前工作流程页面上的记录进行排序和限制。

  • 切换工作流程 - 要暂时使用其他工作流程,请点击 (切换工作流程)