Cisco Cisco Firepower Management Center 4000 User Guide
36-51
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
ssl_version
许可证:保护
ssl_version
关键字可用于匹配加密会话的版本信息。如果规则使用
ssl_version
关键字,规则引
擎将调用 SSL 预处理器来检查流量的 SSL 版本信息。
例如,如果知道 SSL 2 版本中存在缓冲区溢出漏洞,可以使用带有
sslv2
参数的
ssl_version
关
键字来识别使用该 SSL 版本的流量。
可使用逗号分隔列表为 SSL 版本指定多个参数。如果列出多个参数,系统将使用 OR 运算符对这
些参数进行评估。例如,如果要识别任何未使用 SSLv2 的加密流量,可以向规则添加
些参数进行评估。例如,如果要识别任何未使用 SSLv2 的加密流量,可以向规则添加
ssl_version:ssl_v3,tls1.0,tls1.1,tls1.2
。这样,规则将会评估任何使用 SSL 3 版本、TLS 1.0
版本、 TLS 1.1 版本或 TLS 1.2 版本的流量。
ssl_version
关键字将以下 SSL/TLS 版本标识符作为参数:
检查应用层协议值
许可证:保护
虽然预处理器执行对于应用层协议值的大部分检查和规范化工作,但您仍可以使用以下各节中所
述的关键字对应用层值进行检查。
述的关键字对应用层值进行检查。
•
•
•
•
•
•
•
•
RPC
许可证:保护
rpc
关键字在 TCP 或 UDP 数据包中识别开放网络计算远程过程调用 (ONC RPC) 服务。这使您可
以检测尝试识别主机上 RPC 程序的行为。入侵者可以使用 RPC 端口映射程序来确定网络上是否
运行着可以利用的任何 RPC 服务。他们还可能尝试访问不使用端口映射程序运行 RPC 的其他端
口。下表列出了
运行着可以利用的任何 RPC 服务。他们还可能尝试访问不使用端口映射程序运行 RPC 的其他端
口。下表列出了
rpc
关键字接受的参数。
表
36-35
ssl_version
参数
参数
目的
sslv2
匹配使用安全套接字层 (SSL) 2 版本编码的流量。
sslv3
匹配使用安全套接字层 (SSL) 3 版本编码的流量。
tls1.0
匹配使用传输层安全 (TLS) 1.0 版本编码的流量。
tls1.1
匹配使用传输层安全 (TLS) 1.1 版本编码的流量。
tls1.2
匹配使用传输层安全 (TLS) 1.2 版本编码的流量。