Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
36-78
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
出于一些原因,活动响应并不用于取代防火墙;这些原因包括:系统不能在被动部署中插入数据
包;攻击者可能已选择忽略或绕过活动响应。
包;攻击者可能已选择忽略或绕过活动响应。
由于活动响应可以回送,因此,系统不允许 TCP 重置发起 TCP 重置;这样可防止活动响应出现
无穷尽的顺序。此外,为了符合标准做法,系统也不允许 ICMP 不可达数据包发起 ICMP 不可达
数据包。
无穷尽的顺序。此外,为了符合标准做法,系统也不允许 ICMP 不可达数据包发起 ICMP 不可达
数据包。
可以配置 TCP 数据流预处理器,使它在入侵规则触发了活动响应后检测连接或会话的其他流量。
如果预处理器检测到其他流量,它会将指定最大数量的其他活动响应发送到连接或会话的两端。
有关详情,请参见
如果预处理器检测到其他流量,它会将指定最大数量的其他活动响应发送到连接或会话的两端。
有关详情,请参见
有关可用于发起活动响应的关键字的信息,请参阅以下各节:
•
•
•
按类型和方向发起主动响应
许可证:保护
可以使用
resp
关键字来主动响应 TCP 连接或 UDP 会话,具体取决于在规则报头中指定的是 TCP
还是 UDP 协议。有关详情,请参见
使用关键字参数可指定数据包方向,以及指定是使用 TCP 重置 (RST) 数据包还是 ICMP 不可达数
据包作为活动响应。
据包作为活动响应。
可以使用任何 TCP 重置或 ICMP 不可达参数来关闭 TCP 连接。只能使用 ICMP 不可达参数来关闭
UDP 会话。
UDP 会话。
此外,不同的 TCP 重置参数使得可以将数据包源和/或目标作为活动响应的目标。所有 ICMP 不
可达参数都将数据包源作为目标,并且允许指定是使用 ICMP 网络、主机还是端口的不可达数据
包,还是同时使用这三者的不可达数据包。
可达参数都将数据包源作为目标,并且允许指定是使用 ICMP 网络、主机还是端口的不可达数据
包,还是同时使用这三者的不可达数据包。
下表列出了可与
resp
关键字配合使用以指定您希望 FireSIGHT 系统在规则触发时会采取的操作
的参数。
表
36-52
resp
参数
参数
说明
reset_source 将 TCP 重置数据包引至发送触发规则的数据包的终端。此外,可以指定
rst_snd
(为了获得向后兼容性,仍支持使用此参数)。
reset_dest
将 TCP 重置数据包引至触发规则的数据包的预期目标终端。此外,可以指定
rst_rcv
(为了获得向后兼容性,仍支持使用此参数)。
reset_both
将 TCP 重置数据包引至发送终端和接收终端。此外,可以指定
rst_all
(为了获
得向后兼容性,仍支持使用此参数)。
icmp_net
将 ICMP 网络不可达消息引至发送方。
icmp_host
将 ICMP 主机不可达消息引至发送方。
icmp_port
将 ICMP 端口不可达消息引至发送方。此参数用于终止 UDP 流量。
icmp_all
将以下 ICMP 消息引至发送方:
•
网络不可达消息
•
主机不可达消息
•
端口不可达消息