Cisco Cisco Firepower Management Center 2000 User Guide

36-21

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

在 protected_content 关键字中使用搜索位置选项

将必填的 

 

protected_content

 选项与 

 或 

 位置选项结合使用，可指定开始搜索

指定内容的位置以及继续搜索的深度，如下所示：

同时使用 

 和 

 选项可相对于数据包负载起点搜索受保护字符串。

同时使用 

 和 

 选项可相对于当前搜索位置搜索受保护字符串。

提示

不能在单个关键字配置中同时使用 

 和 

 选项，但可以在规则内使用任意数量的位置选项。

如果未指定位置，系统将假设使用默认值；也就是说，将从数据包负载起点开始进行内容搜索，
直至数据包终点。

还可以使用现有 

byte_extract

 变量指定位置选项的值。有关详细信息，请参阅

要通过网络界面在 protected_content 关键字中指定搜索位置值，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在字段中为添加的 

protected_content

 关键字键入一个值。有以下选项可供选择：

（必填）

 

不能在单个 

protected_content

 关键字配置中同时使用 

 和 

 选项，但可以在规则内使

用任意数量的位置选项。

步骤 2

继续创建或编辑规则。有关详细信息，请参阅

。

HTTP 内容选项

许可证：保护

通过 HTTP 

content

 或 

protected_content

 关键字选项，可以在 HTTP 检查预处理器解码的 HTTP 

消息中指定搜索内容匹配的位置。

以下两个选项搜索 HTTP 响应中的状态字段：

请注意，尽管规则引擎搜索未规范化的原始状态字段，但这里分别列出这些选项，以方便在下文
解释将其他原始 HTTP 字段与规范化 HTTP 字段结合使用时应考虑的限制。

以下五个选项搜索 HTTP 请求和/或 HTTP 响应 （视情况而定）中的规范化字段 （有关详细信
息，请参阅

）：