Cisco Cisco Firepower Management Center 4000 User Guide

36-49

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

下表介绍了可与 

stream_size

 关键字配合使用的运算符：

例如，可以使用 

client, >=, 5001216

 作为 

stream_size

 关键字的参数，以检测从客户端发往服务

器的且大于或等于 5001216 字节的 TCP 数据流。

启用和禁用 TCP 数据流重组

许可证：保护

如果对连接检查的流量与规则条件相匹配，可以使用 

stream_reassemble

 关键字为单一连接启用

或禁用 TCP 数据流重组。或者，可以在规则中多次使用此关键字。

可使用以下语法启用或禁用数据流重组：

enable|disable, server|client|both, option, option

下表介绍了可与 

stream_reassemble

 关键字配合使用的可选参数。

例如，以下示例禁用 TCP 客户端数据流重组，而且不针对在 HTTP 响应中检测到 200 OK 状态代
码的连接生成事件：

alert tcp any 80 -> any any (flow:to_client, established; content: “200 OK”; 

stream_reassemble:disable, client, noalert

要使用 stream_reassemble，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

stream_reassemble

 并点击 

。

系统将显示 

stream_reassemble

 部分。

表 

关键字参数运算符 

运算符

说明

=

等于

!=

不等于

>

大于

<

小于

>=

 大于或等于

<=

小于或等于

表 

可选参数 

参数

说明

noalert

无论规则中是否指定任何其他检测选项，都不生成事件。

fastpath

当有匹配时，忽略连接流量的其余部分。