Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
36-49
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
下表介绍了可与
stream_size
关键字配合使用的运算符:
例如,可以使用
client, >=, 5001216
作为
stream_size
关键字的参数,以检测从客户端发往服务
器的且大于或等于 5001216 字节的 TCP 数据流。
启用和禁用 TCP 数据流重组
许可证:保护
如果对连接检查的流量与规则条件相匹配,可以使用
stream_reassemble
关键字为单一连接启用
或禁用 TCP 数据流重组。或者,可以在规则中多次使用此关键字。
可使用以下语法启用或禁用数据流重组:
enable|disable, server|client|both, option, option
下表介绍了可与
stream_reassemble
关键字配合使用的可选参数。
例如,以下示例禁用 TCP 客户端数据流重组,而且不针对在 HTTP 响应中检测到 200 OK 状态代
码的连接生成事件:
码的连接生成事件:
alert tcp any 80 -> any any (flow:to_client, established; content: “200 OK”;
stream_reassemble:disable, client, noalert
要使用 stream_reassemble,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
stream_reassemble
并点击
Add Option
。
系统将显示
stream_reassemble
部分。
表
36-32
stream_size
关键字参数运算符
运算符
说明
=
等于
!=
不等于
>
大于
<
小于
>=
大于或等于
<=
小于或等于
表
36-33
stream_reassemble
可选参数
参数
说明
noalert
无论规则中是否指定任何其他检测选项,都不生成事件。
fastpath
当有匹配时,忽略连接流量的其余部分。