Cisco Cisco Firepower Management Center 4000 User Guide

36-45

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

提示

有关 ICMP 类型编号的完整列表，请访问 

 或 

。

检查 ICMP 消息代码

许可证：保护

ICMP 消息有时包含代码值，用于在目标不可达的情况下提供有关详细信息。（有关与消息类型[可
对其使用消息代码]相关的 ICMP 消息代码的完整列表，请参阅 

 中的第二节。）

使用 

icode

 关键字可识别具有特定 ICMP 代码值的数据包。可以指定有效的 ICMP 代码值或无效

的 ICMP 代码值来测试不同类型的流量。

可以使用小于号 (<) 和大于号 (>) 指定 

icode

 参数值的范围。

例如：

要查找小于 35 的值，请指定 

<35

。

要查找大于 36 的值，请指定 

>36

。

要查找 3 到 55 之间的值，请指定 

3<>55

。

提示

可以同时使用 

icode

 和 

itype

 关键字来识别与这两者都匹配的流量。例如，要识别包含 ICMP 

Destination Unreachable 代码类型和 ICMP Port Unreachable 代码类型的 ICMP 流量，请指定 3 作
为 

itype

 关键字的值（用于 Destination Unreachable 类型），并指定 3 作为 

icode

 关键字的值（用

于 Port Unreachable 类型）。

检查 TCP 报头值和数据流大小

许可证：保护

FireSIGHT 系统支持使用数据包 TCP 报头和 TCP 数据流大小识别尝试攻击的关键字。有关 TCP 
特定关键字的详细信息，请参阅以下各节：

检查 TCP 确认值

许可证：保护

使用 

ack

 关键字可将某个值与数据包的 TCP 确认号进行比较。如果数据包的 TCP 确认号与为 

ack

 

关键字指定的值相匹配，规则将会触发。

ack

 参数值必须为数字。