La couche de base, également appelée politique de base, d’une politique de prévention des intrusions ou d’analyse de réseau définit les paramètres par défaut pour toutes les configurations de la politique et constitue la couche la plus basse de la politique. Lorsque vous créez une nouvelle politique et modifiez un paramètre sans ajouter de nouvelles couches, la modification est stockée dans la couche Mes Modifications et remplace le paramètre de la politique de base, mais ne le modifie pas.

Lorsque vous générez des recommandations d’état de règles dans une politique de prévention des intrusions, vous pouvez choisir de modifier automatiquement les états de règles en fonction des recommandations.

Comme le montre la figure suivante, l’utilisation des états de règles recommandés insère une couche de recommandations Cisco intégrée en lecture seule immédiatement au-dessus de la couche de base.

Notez que cette couche est unique aux politiques de prévention des intrusions.

Si vous choisissez par la suite de ne pas utiliser les états de règles recommandés, le système supprime la couche de recommandations Cisco. Vous ne pouvez pas supprimer manuellement cette couche, mais vous pouvez l’ajouter et la supprimer en choisissant d’utiliser ou de ne pas utiliser les états de règles recommandés.

L’ajout de la couche de recommandations Cisco ajoute un lien aux recommandations Cisco sous Policy Layers (Couches des politiques) dans le panneau de navigation. Ce lien vous mène à une vue en lecture seule de la page de la couche de recommandations Cisco où vous pouvez accéder à une vue filtrée par les recommandations de la page Rules (Règles) en mode lecture seule.

L’utilisation des états de règles recommandés ajoute également un sous-lien Rules (Règles) sous le lien de recommandations Cisco dans le panneau de navigation. Le sous-lien Rules permet d’accéder en lecture seule à la page Rules (Règles) dans la couche de recommandations Cisco. Notez les éléments suivants dans cette vue :

• Lorsqu’il n’y a aucune icône d’état de règle dans la colonne d’état, l’état est hérité de la politique de base.

• Lorsqu’il n’y a pas d’icône d’état de règle dans la colonne Recommandation Cisco de cet affichage ou d’autres affichages de la page de règles, il n’y a aucune recommandation pour cette règle.

Une couche partagée est une couche que vous ajoutez à votre politique après l’avoir créée dans une autre politique où vous autorisez son partage. Une couche partageable est une couche que vous autorisez à partager.

La figure suivante montre un exemple de politique principale dans laquelle vous créez la couche pour l'ensemble de l’entreprise et des couches spécifiques au site pour les sites A et B, et autorisez leur partage. Vous les ajoutez ensuite en tant que couches partagées aux politiques des sites A et B.

La couche à l’échelle de l’entreprise dans la politique principale comprend les paramètres applicables aux sites A et B. Les couches propres au site comprennent les paramètres propres à chaque site. Par exemple, dans le cas d’une politique d’analyse de réseau, le site A pourrait ne pas avoir de serveur Web sur le réseau surveillé et ne nécessiterait pas la protection ou le surdébit de traitement du préprocesseur HTTP Inspect, mais les deux sites nécessiteraient probablement un prétraitement des flux TCP. Vous pourriez activer le traitement des flux TCP dans la couche de l'entreprise que vous partagez avec les deux sites, désactiver le préprocesseur HTTP Inspect dans la couche spécifique au site que vous partagez avec le site A, et activer le préprocesseur HTTP Inspect dans la couche spécifique au site que vous partagez avec le site B. En modifiant les configurations dans une couche supérieure des politiques spécifiques au site, vous pourriez également affiner la politique pour chaque site, si nécessaire, avec des ajustements de configuration.

Il est peu probable que les paramètres de réseau simplifiés dans l'exemple de politique principale soient utiles pour surveiller le trafic, mais le temps économisé dans la configuration et la mise à jour des politiques spécifiques au site en fait une application utile des couches de politiques.

De nombreuses autres configurations de couche sont possibles. Par exemple, vous pouvez définir des niveaux de politiques par entreprise, par service, par réseau ou même par utilisateur. Dans le cas d’une politique de prévention des intrusions, vous pouvez également inclure des paramètres avancés dans une couche et les paramètres de règles dans un autre.

Vous pouvez autoriser le partage d’une couche configurable par l’utilisateur avec d’autres politiques du même type (analyse de prévention des intrusions ou de réseau). Lorsque vous modifiez une configuration dans une couche partageable et que vous validez vos modifications, le système met à jour toutes les politiques qui partagent la couche et vous fournit une liste de toutes les politiques concernées. Vous pouvez uniquement modifier les configurations des fonctionnalités dans la politique dans laquelle vous avez créé la couche.

Vous ne pouvez pas désactiver le partage pour une couche que vous avez ajoutée à une autre politique; vous devez d’abord supprimer la couche de l’autre politique ou supprimer l’autre politique.

Vous ne pouvez pas ajouter une couche partagée à une politique lorsque votre politique de base est une politique personnalisée dans laquelle la couche que vous souhaitez partager a été créée. Cela confèrerait à la politique une dépendance circulaire.

Dans un déploiement multidomaine, vous pouvez ajouter des couches partagées des politiques ascendantes aux politiques des domaines descendants.

Vous pouvez afficher les paramètres de couche individuelle dans la page Rules de la couche ou l’effet net de tous les paramètres dans l’affichage de la politique de la page Rules. Lorsque vous modifiez les paramètres de règles dans la vue de politique de la page Rules, vous modifiez la couche configurable par l’utilisateur la plus élevée dans la politique. Vous pouvez passer à une autre couche à l’aide de la liste déroulante des couches sur n’importe quelle page de règles.

Le tableau suivant décrit les effets de la configuration du même type de paramètres dans plusieurs couches.

Par exemple, si vous définissez un état de règle sur Supprimer et Générer des événements dans une couche et sur Désactivé dans une couche supérieure, la page des règles de politique d'intrusion indique que la règle est désactivée.

Dans un autre exemple, si vous définissez une suppression basée sur la source pour une règle à 192.168.1.1 dans une couche et que vous définissez également une suppression basée sur la destination pour la règle à 192.168.1.2 dans une autre couche, la page Rules (Règles) indique que les est de supprimer les événements pour l’adresse source 192.168.1.1 et l’adresse de destination 192.168.1.2. Notez que les paramètres d’état de suppression et de règle basés sur le débit combinent de manière cumulative des paramètres du même type pour chaque règle sélectionnée jusqu’à la première couche où un état de règle est défini pour la règle. Les paramètres situés sous la couche dans laquelle un état de règle est défini sont ignorés.

Un code de couleur sur chaque page de règles pour une couche spécifique indique si l’état effectif est dans la couche supérieure, inférieure ou dans la couche actuelle, comme suit :

• rouge : l’état effectif se trouve dans une couche supérieure

• jaune : l’état effectif se trouve dans une couche inférieure

• non grisé : l’état effectif se trouve dans le calque actuel

Étant donné que la page des règles de la politique de prévention des intrusions est une vue composée de l’effet net de tous les paramètres de règles, les états des règles ne sont pas codés par couleur sur cette page.

Vous utilisez des mécanismes similaires pour configurer les préprocesseurs dans une politique d’analyse de réseau et les paramètres avancés dans une politique de prévention des intrusions. Vous pouvez activer et désactiver les préprocesseurs dans la page des paramètres d’analyse de réseau et les paramètres avancés de la politique de prévention des intrusions dans la page des paramètres avancés de la politique de prévention des intrusions. Ces pages fournissent également des résumés des états effectifs pour toutes les fonctionnalités pertinentes. Par exemple, si le préprocesseur SSL de l’analyse de réseau est désactivé dans une couche et activé dans une couche supérieure, la page Settings (paramètres) indique qu’il est activé. Les modifications apportées sur ces pages apparaissent dans la couche supérieure de la politique. Il convient de souligner que le préprocesseur de l’orifice arrière n’a pas d’options configurables par l’utilisateur.

Vous pouvez également activer ou désactiver les préprocesseurs ou les paramètres avancés et accéder à leurs pages de configuration sur la page de résumé d’une couche configurable par l’utilisateur. Sur cette page, vous pouvez modifier le nom et la description de la couche et configurer si vous souhaitez partager la couche avec d’autres politiques du même type. Vous pouvez passer à la page de résumé pour une autre couche en sélectionnant le nom de la couche sous les couches de politiques dans le panneau de navigation.

Lorsque vous activez un préprocesseur ou un paramètre avancé, un sous-lien vers la page de configuration de cette fonctionnalité s’affiche sous le nom de la couche dans le panneau de navigation et un Edit () s’affiche à côté de la fonctionnalité sur la page de résumé de la couche. ceux-ci disparaîtront lorsque vous désactivez la fonctionnalité dans la couche ou que vous la définissez sur Hériter.

La définition de l’état (activé ou désactivé) pour un préprocesseur ou un paramètre avancé remplace les paramètres d’état et de configuration de cette fonctionnalité dans les couches inférieures. Si vous souhaitez qu’un préprocesseur ou un paramètre avancé hérite de son état et de sa configuration de la politique de base ou d’une couche inférieure, définissez-le sur Inherit (hériter). Notez que l’option Hériter de la sélection n’est pas disponible lorsque vous travaillez dans la page Paramètres ou Paramètres avancés. Notez également que si vous héritez d’une fonctionnalité qui est actuellement activée, le sous-lien de la fonctionnalité dans le panneau de navigation et l’icône de modification sur la page de configuration ne s’affichent plus.

Le système utilise la configuration de la couche la plus élevée où la fonctionnalité est activée. À moins que vous ne modifiez explicitement la configuration, le système utilise la configuration par défaut. Par exemple, si vous activez et modifiez le préprocesseur d’analyse de réseau DCE/RPC dans une couche, et que vous l’activez également mais ne modifiez pas dans une couche supérieure, le système utilise la configuration par défaut dans la couche supérieure.

Un code de couleur sur chaque page de résumé de couche indique si la configuration réelle se trouve dans une couche supérieure, inférieure ou actuelle, comme suit :

• rouge : la configuration réelle se trouve dans une couche supérieure

• jaune : la configuration réelle se trouve dans une couche inférieure

• non ombrée : la configuration réelle se trouve dans la couche actuelle

Étant donné que les pages Settings (Paramètres) et Advanced Settings (Paramètres avancés) sont des vues composées de tous les paramètres pertinents, ces pages n’utilisent pas de code de couleur pour indiquer les emplacements des configurations effectives.