Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
36-48
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
下表介绍了可为
flow
关键字指定的数据流相关参数:
例如,可以使用
To Server, Established, Only Stream Traffic
作为
flow
关键字的值,这样将
会检测在建立的会话中从客户端流向服务器并且由数据流预处理器重组的流量。
识别静态 TCP 序列号
许可证:保护
使用
seq
关键字可指定静态序列号值。序列号与指定参数相匹配的数据包将会触发包含此关键字
的规则。虽然此关键字很少使用,但它有助于识别使用生成的具有静态序列号的数据包的攻击和
网络扫描。
网络扫描。
识别给定大小的 TCP 窗口
许可证:保护
可以使用
window
关键字指定想要的 TCP 窗口大小。包含此关键字的规则每当遇到具有指定大小
TCP 窗口的数据包时,都会触发。虽然此关键字很少使用,但它有助于识别使用生成的具有静态
TCP 窗口大小的数据包的攻击和网络扫描。
TCP 窗口大小的数据包的攻击和网络扫描。
识别给定大小的 TCP 数据流
许可证:保护
可以将
stream_size
关键字与数据流预处理器配合使用,以确定 TCP 数据流的大小 (以字节为单
位),具体格式如下:
direction,operator,bytes
其中,
bytes
是字节数。必须用逗号 (,) 分隔参数中的每个选项。
下表介绍了可为
stream_size
关键字指定的不区分大小写的方向选项:
表
36-30
数据流相关的
flow
参数
参数
说明
Ignore Stream Traffic
重建流数据包时不触发。
Only Stream Traffic
仅在重建流数据包时触发。
表
36-31
stream_size
关键字定向参数
参数
说明
客户端
当来自客户端的数据流与指定数据流大小相匹配时触发。
服务器
当来自服务器的数据流与指定数据流大小相匹配时触发。
both
当来自客户端和服务器的流量都与指定数据流大小相匹配时触发。
例如,如果来自客户端的流量大于 200 字节,且来自服务器的流量也大于 200
字节,参数
字节,参数
both, >, 200
将会触发。
either
当来自客户端或服务器流量与指定数据流大小相匹配时触发 (无论哪一种情况
先发生)。
先发生)。
例如,如果来自客户端的流量大于 200 字节,或来自服务器的流量大于 200 字
节,参数
节,参数
either, >, 200
将会触发。