Cisco Cisco Firepower Management Center 4000 User Guide
36-79
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
例如,要将规则配置为会在规则触发时重置连接的两端,可使用
reset_both
作为
resp
关键字的值。
可以使用逗号分隔列表指定多个参数,如下所示:
argument,argument,argument
关于使用
config response
命令配置用以使用的主动响应界面和试图在被动部署中进行的 TCP 重
新设定数的详细信息,请参阅
要指定活动响应,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
resp
并点击
Add Option
。
系统将显示
resp
关键字。
步骤 2
在
resp
字段中指定
在 TCP 重置之前发送 HTML 页面
许可证:保护
如果数据包触发规则,您可以使用
react
关键字将默认 HTML 页面发送到 TCP 连接客户端;发送
HTML 页面后,系统将使用 TCP 重置数据包来发起对连接两端的活动响应
react
关键字不会对
UDP 流量触发活动响应。
或者,可以指定以下参数:
msg
如果数据包触发使用
msg
参数的
react
规则, HTML 页面将包含规则事件消息。关于事件消息字
段的说明,请参阅
如果未指定
msg
参数, HTML 页面将包含以下消息:
You are attempting to access a forbidden site.
Consult your system administrator for details.
注
由于活动响应可以回送,因此,请确保 HTML 响应页面不会触发
react
规则;否则,可能会导致活
动响应出现无穷尽的顺序。思科建议您将
react
规则用于生产环境之前,先广泛测试这些规则。
关于使用
config response
命令配置用以使用的主动响应界面和试图在被动部署中进行的 TCP 重
新设定数的详细信息,请参阅
要在发起活动响应之前发送 HTML 页面,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
react
并点击
Add Option
。
系统将显示
react
关键字。
步骤 2
您有两种选择:
•
要在关闭连接之前将包含为规则配置的事件消息的 HTML 页面发送到客户端,请在
react
字段
中键入
msg
。
•
要在关闭连接之前将包含以下默认消息的 HTML 页面发送到客户端,请将
react
字段留空:
You are attempting to access a forbidden site.
Consult your system administrator for details