Cisco Cisco Firepower Management Center 2000 User Guide
36-5
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则报头
在入侵规则中指定 IP 地址
许可证:保护
通过将数据包检查限制为仅针对来自或发往特定 IP 地址的数据包,可以减少系统必须执行的数据
包检查工作量。这样做还可以令规则更加具体,并消除规则针对源和目标 IP 地址未指示可疑行为
的数据包进行触发的可能性,从而减少误报。
包检查工作量。这样做还可以令规则更加具体,并消除规则针对源和目标 IP 地址未指示可疑行为
的数据包进行触发的可能性,从而减少误报。
提示
系统只能识别 IP 地址,不接受源或目标 IP 地址的主机名。
在规则编辑器中,可以在
Source IPs
和
Destination IPs
字段中指定源 IP 地址和目标 IP 地址。有关使
用规则编辑器构建规则报头的步骤的详细信息,请参阅
编写标准文本规则时,可以根据自身需求以多种方法指定 IPv4 和 IPv6 地址。可以指定单个 IP 地
址、
址、
any
、 IP 地址列表、 CIDR 记法、前缀长度、网络变量、网络对象或网络对象组。此外,还可
以指明要排除的特定 IP 地址或 IP 地址集。指定 IPv6 地址时,可使用 RFC 4291 中定义的任意寻
址约定。
址约定。
下表总结了可用于指定源 IP 地址和目标 IP 地址的各种方法。
表
36-2
源
/
目标
IP
地址语法
要指定......
使用......
示例
任何 IP 地址
any
any
特定 IP 地址
IP 地址
请注意,不能在同一规则中混合使用 IPv4 和 IPv6 源地
址和目标地址。
址和目标地址。
192.168.1.1
2001:db8::abcd
IP 地址列表
使用方括号 (
[]
) 将地址括起来,并使用逗号分隔各个
IP 地址
[192.168.1.1,192.168.1.15]
[2001:db8::b3ff,
2001:db8::0202]
IP 地址块
IPv4 CIDR 块或 IPv6 地址前缀记法
192.168.1.0/24
2001:db8::/32
除特定 IP 地址或地址集以外
的任何项
的任何项
在要否定的端口、端口列表或端口范围前面加上
!
字符
!192.168.1.15
!
2001:db8::0202:b3ff:fe1e
IP 地址块中除一个或多个特
定 IP 地址以外的任何 IP 地址
定 IP 地址以外的任何 IP 地址
在地址块后加上被否定地址或地址块的列表
[10.0.0/8, !10.2.3.4,
!10.1.0.0/16]
[2001:db8::/32,
!2001:db8::8329,
!2001:db8::0202]
网络变量定义的 IP 地址
前面带有
$
的大写字母形式的变量名称
$HOME_NET
除 IP 地址变量定义的地址以
外的所有 IP 地址
外的所有 IP 地址
前面带有
!$
的大写字母形式的变量名称
有关详情,请参见
。
!$HOME_NET
网络对象或网络对象组定义
的 IP 地址
的 IP 地址
采用
!{object_name}
这种格式的对象或对象组名称。
有关详情,请参见
。
${192.168sub16}