Cisco Cisco Firepower Management Center 2000 Betriebsanweisung

36-7

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则报头  

提示

如果需要指定 IP 地址块，但仅以 CIDR 或前缀长度记法无法表示出该地址块，可以在 IP 地址列
表中使用 CIDR 块和前缀长度。

指定网络对象

许可证：保护

可以使用以下语法指定网络对象或网络对象组：

${object_name | group_name}

其中：

 是网络对象的名称

 是网络对象组的名称

有关创建网络对象和网络对象组的信息，请参阅

假设已创建一个名为 

192.168sub16

 的网络对象和一个名为 

all_subnets

 的网络对象组， 那么，可

以指定以下语法以识别使用该网络对象的 IP 地址：

${192.168sub16}

并且可以指定以下语法以使用该网络对象组：

${all_subnets}

还可以对网络对象和网络对象组进行否定。例如：

!${192.168sub16}

有关详情，请参见

。

在入侵规则中排除 IP 地址

许可证：保护

可以使用感叹号 (

!

) 否定指定 IP 地址。也就是说，可以匹配除指定 IP 地址以外的所有 IP 地址。

例如，

!192.168.1.1

 指定除 192.168.1.1 以外的任何 IP 地址，

!2001:db8:ca2e::fa4c

 指定除 

2001:db8:ca2e::fa4c 以外的任何 IP 地址。

要否定某个 IP 地址列表，请用方括号将该 IP 地址列表括起来，并在其前面加上 

!

。例如，

![192.168.1.1,192.168.1.5]

 将定义除 192.168.1.1 和 192.168.1.5 以外的任何 IP 地址。

注

要否定 IP 地址列表，必须使用方括号。

对 IP 地址列表使用否定字符时务必要小心。例如，如果使用 

[!192.168.1.1,!192.168.1.5]

 匹配

不是 192.168.1.1 和 192.168.1.5

 

的任何地址，系统会将此语法解释为“非 192.168.1.1 的任何地

址，或非 192.168.1.5 的任何地址”。

由于 192.168.1.5 不是 192.168.1.1，且 192.168.1.1 不是 192.168.1.5，因此，这两个 IP 地址都与 

[!192.168.1.1,!192.168.1.5]

 的 IP 地址值匹配；此语法实质上与使用“

any

”相同。

应该使用 

![192.168.1.1,192.168.1.5]

。系统会将此语法为“非 192.168.1.1 且非 192.168.1.5”，

这意味着，与方括号中所列地址以外的任何 IP 地址匹配。

请注意，从逻辑上讲，不能对 

any

 进行否定 （如果它被否定，将表示无地址）。