Cisco Cisco Firepower Management Center 2000 User Guide
第
章
36-1
FireSIGHT 系统用户指南
36
了解和编写入侵规则
入侵规则是一组指定的关键字和参数,通过分析网络流量来检查其是否符合规则中的条件,从而
检测试图利用网络漏洞的行为。系统将数据包与每条规则中指定的条件进行比较,如果数据包数
据符合规则中指定的所有条件,则触发此规则。如果规则是
检测试图利用网络漏洞的行为。系统将数据包与每条规则中指定的条件进行比较,如果数据包数
据符合规则中指定的所有条件,则触发此规则。如果规则是
警报规则,将生成入侵事件。如果是
通过规则,将忽略流量。可以通过防御中心或网络界面查看和评估入侵事件。
注意事项
将编写的入侵规则用于生产环境之前,请务必使用受控网络环境测试这些规则。编写错误的入侵
规则可能会严重影响系统性能。
规则可能会严重影响系统性能。
请注意:
•
对于内联部署中的
丢弃规则,系统将丢弃数据包并生成事件。有关丢弃规则的详细信息,请
参阅
•
思科提供两种类型的入侵规则:共享对象规则和标准文本规则。思科漏洞研究工作组 (VRT)
可以使用共享对象规则来检测传统标准文本规则无法检测的漏洞攻击。不能创建共享对象规
则。在自行编写入侵规则时,可以创建标准文本规则。
可以使用共享对象规则来检测传统标准文本规则无法检测的漏洞攻击。不能创建共享对象规
则。在自行编写入侵规则时,可以创建标准文本规则。
可以编写自定义标准文本规则,以调整可能出现的事件类型。请注意,虽然本文档有时讨论以检
测特定漏洞为目标的规则,但最成功的规则是以检测可能试图利用已知漏洞的流量为目标,而不
是以检测特定已知漏洞为目标。通过编写规则和指定规则的事件消息,可以更轻松地识别可能存
在攻击和策略逃避行为的流量。有关评估事件的详细信息,请参阅
测特定漏洞为目标的规则,但最成功的规则是以检测可能试图利用已知漏洞的流量为目标,而不
是以检测特定已知漏洞为目标。通过编写规则和指定规则的事件消息,可以更轻松地识别可能存
在攻击和策略逃避行为的流量。有关评估事件的详细信息,请参阅
当您启用自定义入侵策略中的自定义标准文本规则时,请记住,某些控制关键字和参数需要首先
以某种方式解码或预处理该流量。本章说明在用于管理预处理的网络分析策略中必须配置的选
项。请注意,如果禁用所需的预处理器,系统会自动采用其当前设置使用该预处理器,尽管该预
处理器在网络分析策略网络界面中保持禁用状态。
以某种方式解码或预处理该流量。本章说明在用于管理预处理的网络分析策略中必须配置的选
项。请注意,如果禁用所需的预处理器,系统会自动采用其当前设置使用该预处理器,尽管该预
处理器在网络分析策略网络界面中保持禁用状态。
注
由于预处理和入侵检测如此密切相关,检查每个数据包的网络分析和入侵策略必须互相补充。定
制预处理,特别是使用多个自定义网络分析策略,是一项高级任务。有关详细信息,请参阅
制预处理,特别是使用多个自定义网络分析策略,是一项高级任务。有关详细信息,请参阅
。
有关详细信息,请参阅以下各节:
•
介绍构成有效标准文本规则的组成部分,包括规则报头和规则
选项。
•
详细介绍规则报头的各个部分。
•
解释 FireSIGHT 系统中可用的入侵规则关键字的使
用和语法。
•