Cisco Cisco Firepower Management Center 4000 User Guide

36-17

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

要在进行内容搜索时指定不区分大小写，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

为添加的 

content

 关键字选择 

。

步骤 2

继续创建或编辑规则。

有关详细信息，请参阅

或

许可证：保护

注

此选项仅对于 

protected_content

 关键字可配置。有关详细信息，请参阅

。

使用 

 下拉列表确定用于编码搜索字符串的哈希函数。系统支持对 

protected_content

 搜

索字符串进行 SHA-512、 SHA-256 和 MD5 哈希处理。如果哈希内容的长度与所选的哈希类型不
匹配，系统将不会保存规则。

系统将自动选择思科设置的默认值。如果选择了 

，将不会向规则写入特定哈希函数，且系

统将假设 SHA-512 为哈希函数。

要在搜索受保护内容时指定哈希函数，请执行以下操作：

步骤 1

从 

 下拉列表中，选择 

、

、

 或 

 作为添加的 

protected_content

 关

键字的哈希。

提示

如果选择思科设置的

默认值

，系统将假设 SHA-512 为哈希函数。有关详细信息，请参阅

。

步骤 2

继续创建或编辑规则。有关详细信息，请参阅

。

许可证：保护

 选项指示规则引擎应在分析规范化负载数据 （由 网络分析策略解码）之前分析原始数据

包负载，此选项不使用参数值。进行规范化之前，可以在分析 telnet 流量时使用此关键字在负载
中检查 telnet 协商选项。

不能在同一个 

content

 或 

protected_content

 关键字中同时使用 

 选项和任何 HTTP 内容

选项。有关详情，请参见