当生成思科 建议时，系统会搜索基本策略以查找防范与网络资产关联的漏洞的规则，并识别基本策略中的规则的当前状态。然后，系统会建议规则状态，如果选择如此，则会将规则设置为建议状态。

系统执行以下基本分析来生成建议：

请注意表中的以下内容：

• 如果某个规则在基本策略中处于禁用状态或设置为“生成事件”，则建议的状态始终是“生成事件”。

  例如，如果基本策略是“无活动规则”，其中的所有规则均处于禁用状态，则不会建议“丢弃并生成事件”。

• 只有对于已在基本策略中设置为“丢弃并生成事件”的规则，才会建议“丢弃并生成事件”。

  如果您要将某个规则设置为“丢弃并生成事件”，且该规则在基本策略中处于禁用状态或已设置为“生成事件”，您必须手动重置该规则的状态。

当生成建议而不更改思科 建议规则的高级设置时，系统会建议更改所发现的整个网络中所有主机的规则状态。

默认情况下，系统仅为低开销或中等开销的规则生成建议，并生成禁用规则的建议。

系统不会为基于使用“影响限定条件”(Impact Qualification) 功能禁用的漏洞的入侵规则建议规则状态。

系统始终建议启用与映射到主机的第三方漏洞相关联的本地规则。

对于未映射的本地规则，系统不会给出状态建议。

在策略报告中包括建议和规则状态之间的所有差异

默认情况下，入侵策略报告列出策略中已启用的规则，即设置为“生成事件”(Generate Events) 或“丢弃并生成事件”(Drop and Generate Events) 的规则。启用包括所有差异 (Include all differences) 选项还会列出其建议状态与已保存状态不同的规则。有关策略报告的信息，请参阅策略报告。

要检查的网络

指定为给出建议而要检查的受监控网络或单独主机。可以指定单个 IP 地址或地址块，也可以指定由单个地址和/或地址块组成并以逗号分隔的列表。

指定主机中的地址列表与一个逻辑或运算关联，但逻辑非除外，逻辑非在所有逻辑或运算计算完之后与一个逻辑与运算关联。

如果要根据主机信息动态调整对特定数据包的主动规则处理，也可以启用自适应配置文件。

建议阈值（就规则开销而言）

防止系统推荐或自动启用开销高于您选择的阈值的入侵规则。

开销基于规则对系统性能的潜在影响以及规则产生误报的可能性。允许开销较高的规则通常会得到更多的建议，但会影响系统性能。在“入侵规则”(Intrusion Rules) 页面的规则详细信息视图中，可以查看规则的开销级别。

请注意，系统在给出禁用规则的建议时，不会将规则开销作为一项考虑因素。此外，本地规则没有开销，除非被映射到第三方漏洞。

为开销级别为特定设置的规则生成建议并不会妨碍您使用不同的开销生成建议后再重新为原来的开销设置生成建议。每次为同一规则集生成建议时，无论生成多少次建议或者生成多少不同的开销设置，为每个开销设置获得的规则状态建议都相同。例如，您可以将开销依次设置为中、高，并最终设置为中来生成建议，如果网络中的主机和应用尚未更改，对于该规则集给出的开销设置为中的两组建议均相同。

接受禁用规则的建议

指定系统是否根据 思科 建议禁用入侵规则。

接受禁用规则的建议会限制规则的覆盖范围。忽略禁用规则的建议会扩大规则的覆盖范围。