Cisco Cisco Firepower Management Center 2000 User Guide
36-18
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
提示
可以配置 HTTP 检查预处理器
Client Flow Depth
和
Server Flow Depth
选项,以确定是否在 HTTP 流量
中检查原始数据以及检查的原始数据量。有关详细信息,请参阅
要分析原始数据,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
为添加的
content
或
protected_content
关键字选择
Raw Data
复选框。
步骤 2
继续创建或编辑规则。有关详细信息,请参阅
或
非
许可证:保护
选择
Not
选项可搜索与指定内容不匹配的内容。如果创建包含已选择
Not
选项的
content
或
protected_content
关键字的规则,还必须在该规则中至少包含另一个未选择
Not
选项的
content
或
protected_content
关键字。
注意事项
请勿创建仅包含一个选择了 Not 选项的
content
或
protected_content
关键字的规则。否则,可能会
使入侵策略无效。
例如, SMTP 规则 1:2541:9 包含三个
content
关键字,其中一个选择了
Not
选项。如果移除除选
择了
Not
选项的关键字以外的其他
content
关键字,基于该规则的自定义规则将无效。将该规则
添加到入侵策略将导致策略失效。
要搜索与指定内容不匹配的内容,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
为添加的
content
或
protected_content
关键字选择
Not
复选框。
提示
不能对同一个
content
关键字同时选择
Not
复选框和
Use Fast Pattern Matcher
复选框。
步骤 2
在规则中至少包含另一个未选择
Not
选项的
content
或
protected_content
关键字。
步骤 3
继续创建或编辑规则。有关详细信息,请参阅
或