Cisco Cisco Firepower Management Center 4000 User Guide
36-2
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则结构
•
•
解释如何显示规则子集以帮助查找特定规则。
了解规则结构
许可证:保护
所有标准文本规则均包含两个逻辑部分:规则报头和规则选项。规则报头包含:
•
规则的操作或类型
•
协议
•
源 IP 地址、目标 IP 地址和子网掩码
•
方向指示符 (显示从源到目标的流量流动方向)
•
源端口和目标端口
规则选项部分包含:
•
事件消息
•
关键字及其参数
•
模式 (数据包负载必须与之匹配才能触发规则)
•
规范 (规定规则引擎应检查数据包的哪些部分)
下图说明规则的组成部分:
请注意,括号里的是规则选项部分。规则编辑器提供了一个易于使用的界面来帮助构建标准文本
规则。
规则。