Cisco Cisco Firepower Management Center 4000 User Guide

46-19

FireSIGHT 系统用户指南 

第 46 章      增强网络发现 

  使用应用检测器  

为应用协议检测器指定检测条件

许可证：FireSIGHT

如果创建用户定义的应用协议检测器，必须指定检测器应检查的流量的协议 （TCP、 UDP 或二
者）。或者，可指定流量使用的端口。

请注意，如未指定端口，则必须配置检测器，使其在流量中检查一个或多个模式的匹配项，如

中所述。

要指定应用协议检测器的检测条件，请执行以下操作：

访问：管理员/发现管理员

步骤 1

在 Create Detector 页面上，从 

 下拉列表，选择检测器应检查的流量的协议。

检测器可检查 TCP、 UDP、或 TCP 和 UDP 流量。

步骤 2

或者，要根据其使用的端口识别应用协议流量，在 

 字段中键入从 1 至 65535 的端口。要使

用多个端口，请用逗号分隔它们。

步骤 3

您有以下选项：

如果想要配置应用协议检测器，使其在流量中检查该应用协议流量中出现的一个或多个模式
的匹配项，请继续执行下一节

如果想要针对一个或多个 PCAP 文件的内容测试新的检测器，跳至

创建检测器完毕，点击 

。

系统将保存应用协议检测器。

请注意，必须先激活检测器，然后系统才能将其用于分析应用协议流量。有关详细信息，请参阅

向应用协议检测器添加检测模式

许可证：FireSIGHT

如果知道包含应用协议流量的任何数据包的包头包含特定模式的字符串，则可配置用户定义的应
用协议检测器来搜索该模式。

应用协议检测器可使用任何偏移搜索 ASCII 或十六进制模式。也可配置检测器，使其搜索多个模
式，在这种情况下，应用协议流量必须匹配所有模式，以便检测器主动识别应用协议。

请注意，如未指定模式，必须配置检测器，使其检查使用一个或多个端口的流量，如

中所述。

要向应用协议检测器添加检测模式，请执行以下操作：

访问：管理员/发现管理员

步骤 1

在 Create Detector 页面上的 Detection Patterns 部分中，点击 

。

系统将显示 Add Pattern 弹出窗口。

步骤 2

指定想要检测的模式类型：

 或 

。

步骤 3

在 

 字段中，键入指定的类型的字符串。