Cisco Cisco Firepower Management Center 2000 User Guide

36-3

FireSIGHT 系统用户指南

第 36 章了解和编写入侵规则

了解规则报头

许可证：保护

每个标准文本规则和共享对象规则都有一个包含参数的规则报头。下面说明规则报头的组成部分：

下表介绍了规则报头的上述各个部分。

注

与大多数入侵规则一样，以上示例使用默认变量。有关变量、变量的含义以及如何配置变量的详
细信息，请参阅

第 3-15 页上的使用变量集

。

有关规则报头参数的详细信息，请参阅以下各节：

•

第 36-4 页上的指定规则操作

介绍规则类型，并解释如何指定触发规则时发生的操作。

•

第 36-4 页上的指定协议

解释如何为规则应测试的流量定义流量协议。

•

第 36-5 页上的在入侵规则中指定 IP 地址

解释如何在规则报头中定义单个 IP 地址和 IP 地址块。

•

第 36-8 页上的在入侵规则中定义端口

解释如何在规则报头中定义单个端口和端口范围。

•

第 36-9 页上的指定方向

介绍可用的运算符，并解释应如何指定流量的流动方向才能使规则对

流量进行测试。

表

36-1

规则报头值

规则报头组成部分

示例值

示例值的作用

操作

警报

如果触发，将会生成事件。

协议

tcp

仅测试 TCP 流量。

源 IP 地址

$EXTERNAL_NET

测试来自不在内部网络上的任何主机的流量。

源端口

any

测试来自发起主机上任何端口的流量。

运算符

测试外部流量（流向网络上的网络服务器）。

目标 IP 地址:

$HTTP_SERVERS

测试将要传送到内部网络上被指定为网络服务器的任何
主机的流量

目标端口

$HTTP_PORTS

测试传送到内部网络上 HTTP 端口的流量。