Cisco Cisco Firepower Management Center 4000 User Guide
36-88
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
要在入侵规则中识别 HTTP 编码类型和位置,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
向规则添加
http_encode
关键字。
步骤 2
从
Encoding Location
下拉列表中,选择是要在 HTTP URI、报头还是 cookie (包括 set-cookie)中
搜索指定的编码类型。
步骤 3
使用以下其中一种格式指定一个或多个编码类型:
encode_type
encode_type|encode_type|encode_type...
!encode_type
其中,
encode_type
是以下其中一项:
utf8, double_encode, non_ascii, uencode, bare_byte
请注意,不能同时使用否定 (
!
) 和 OR (
|
) 运算符。
步骤 4
或者,将多个
http_encode
关键字添加到同一个规则,并为每个关键字添加条件。例如,按照以
下条件输入两个关键字:
第一个
http_encode
关键字:
•
Encoding Location
:
HTTP URI
•
Encoding Type
:
utf8
另一个
http_encode
关键字:
•
Encoding Location
:
HTTP URI
•
Encoding Type
:
uencode
此示例配置将在 HTTP URI 中搜索 UTF-8 和 Microsoft IIS %u 编码。
检测文件类型和版本
许可证: 保护
file_type
和
file_group
关键字使您可以根据文件类型和版本检测通过 FTP、 HTTP、 SMTP、
IMAP、POP3 和 NetBIOS-ssn (SMB) 发送的文件。不能在一个入侵规则中使用多个
file_type
或
file_group
关键字。
提示
更新漏洞数据库 (VDB) 可以使规则编辑器获得最新的文件类型、版本和组。有关详细信息,请参
阅
阅
。
必须启用特定预处理器以生成流量与
file_type
或
file_group
关键字匹配的入侵事件。
表
36-59
file_type
和
file_group
入侵事件生成
传输协议
需要的预处理器或预处理器选项
FTP
FTP/Telnet 预处理器和
Normalize TCP Payload
内嵌规范化预处理器选项;请
参阅
和
HTTP
HTTP 检查预处理器;请参阅
。