Cisco Cisco Firepower Management Center 4000 Betriebsanweisung

36-48

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

下表介绍了可为 

flow

 关键字指定的数据流相关参数：

例如，可以使用 

To Server, Established, Only Stream Traffic 

作为 

flow

 关键字的值，这样将

会检测在建立的会话中从客户端流向服务器并且由数据流预处理器重组的流量。

识别静态 TCP 序列号

许可证：保护

使用 

seq

 关键字可指定静态序列号值。序列号与指定参数相匹配的数据包将会触发包含此关键字

的规则。虽然此关键字很少使用，但它有助于识别使用生成的具有静态序列号的数据包的攻击和
网络扫描。

识别给定大小的 TCP 窗口

许可证：保护

可以使用 

window

 关键字指定想要的 TCP 窗口大小。包含此关键字的规则每当遇到具有指定大小 

TCP 窗口的数据包时，都会触发。虽然此关键字很少使用，但它有助于识别使用生成的具有静态 
TCP 窗口大小的数据包的攻击和网络扫描。

识别给定大小的 TCP 数据流

许可证：保护

可以将 

stream_size

 关键字与数据流预处理器配合使用，以确定 TCP 数据流的大小 （以字节为单

位），具体格式如下：

direction,operator,bytes

其中，

 是字节数。必须用逗号 (,) 分隔参数中的每个选项。

下表介绍了可为 

stream_size

 关键字指定的不区分大小写的方向选项：

表 

数据流相关的

参数 

参数

说明

Ignore Stream Traffic

重建流数据包时不触发。

Only Stream Traffic

仅在重建流数据包时触发。

表 

关键字定向参数 

参数

说明

客户端

当来自客户端的数据流与指定数据流大小相匹配时触发。

服务器

当来自服务器的数据流与指定数据流大小相匹配时触发。

both

当来自客户端和服务器的流量都与指定数据流大小相匹配时触发。

例如，如果来自客户端的流量大于 200 字节，且来自服务器的流量也大于 200 
字节，参数 

both, >, 200

 将会触发。

either

当来自客户端或服务器流量与指定数据流大小相匹配时触发 （无论哪一种情况
先发生）。

例如，如果来自客户端的流量大于 200 字节，或来自服务器的流量大于 200 字
节，参数 

either, >, 200

 将会触发。