Cisco Cisco Firepower Management Center 2000 User Guide
36-4
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则报头
指定规则操作
许可证:保护
每个规则报头都包含一个用于指定数据包触发规则时系统应采取的操作的参数。操作设置为 alert
的规则将会针对触发规则的数据包生成入侵事件并记录该数据包的详细信息。操作设置为 pass 的
规则不会针对触发规则的数据包生成入侵事件,也不会记录该数据包的详细信息。
的规则将会针对触发规则的数据包生成入侵事件并记录该数据包的详细信息。操作设置为 pass 的
规则不会针对触发规则的数据包生成入侵事件,也不会记录该数据包的详细信息。
注
在内联部署中,规则状态设置为 Drop and Generate Events 的规则会针对触发规则的数据包生成入
侵事件。此外,如果在被动部署中应用丢弃规则,该规则将会充当警报规则。有关丢弃规则的详
细信息,请参阅
侵事件。此外,如果在被动部署中应用丢弃规则,该规则将会充当警报规则。有关丢弃规则的详
细信息,请参阅
默认情况下,通过规则会覆盖警报规则。可以创建通过规则来防止符合通过规则中定义的条件的数据
包在特定情况下触发警报规则,而无需禁用预警报则。例如,您可能希望使检测尝试作为“匿名”用
户登录 FTP 服务器这种情况的规则保持活动状态。但是,如果网络有一个或多个合法的匿名 FTP 服
务器,您可以编写并激活一个通过规则,在其中指明匿名用户不会对那些特定服务器触发原始规则。
包在特定情况下触发警报规则,而无需禁用预警报则。例如,您可能希望使检测尝试作为“匿名”用
户登录 FTP 服务器这种情况的规则保持活动状态。但是,如果网络有一个或多个合法的匿名 FTP 服
务器,您可以编写并激活一个通过规则,在其中指明匿名用户不会对那些特定服务器触发原始规则。
在规则编辑器中,可以从
Action
列表中选择规则类型。有关使用规则编辑器构建规则报头的步骤
的详细信息,请参阅
指定协议
许可证:保护
在每个规则报头中,必须指定规则检查的流量的协议。可以指定以下网络协议用于分析:
•
ICMP (互联网控制消息协议)
•
IP (互联网协议)
注
如果协议设置为
ip
,系统将忽略入侵规则报头中的端口定义。有关详细信息,请参阅
•
TCP (传输控制协议)
•
UDP (用户数据报协议)
如果使用
IP
作为协议类型,将会检查 IANA 分配的所有协议 (包括 TCP、 UDP、 ICMP、 IGMP
等等)。有关 IANA 分配的协议的完整列表,请访问
。
注
目前不能编写与 IP 负载中下一个报头 (例如 TCP 报头)模式匹配的规则。相反,内容匹配从上
一个解码的协议开始。要解决这个问题,可以使用规则选项来匹配 TCP 报头中的模式。
一个解码的协议开始。要解决这个问题,可以使用规则选项来匹配 TCP 报头中的模式。
在规则编辑器中,可以从
Protocol
列表中选择协议类型。有关使用规则编辑器构建规则报头的步
骤的详细信息,请参阅