Cisco Cisco Firepower Management Center 2000 User Guide
36-23
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
HTTP Raw URI
选择此选项将会在规范化的请求 URI 字段中搜索内容匹配。
请注意,不能将此选项与
pcre
关键字 HTTP URI (U) 选项结合使用来搜索相同的内容。有关
详细信息,请参阅
注
管道化 HTTP 请求数据包包含多个 URI。如果选择了
HTTP URI
,且规则引擎检测到管道化 HTTP
请求数据包,规则引擎将会搜索数据包中的所有 URI 以进行内容匹配。
HTTP Method
选择此选项将会在请求方法字段中搜索内容匹配,该字段确定要对 URI 中识别出的资源执行
的操作 (例如 GET 和 POST)。
的操作 (例如 GET 和 POST)。
HTTP Header
选择此选项将会在 HTTP 请求内的规范化报头字段 (cookie 除外)中搜索内容匹配;如果
HTTP 检查预处理器的
HTTP 检查预处理器的
Inspect HTTP Responses
选项已启用,还会在响应中搜索内容匹配。
请注意,不能将此选项与
pcre
关键字 HTTP 报头 (H) 选项结合使用来搜索相同的内容。有关
详细信息,请参阅
HTTP Raw Header
选择此选项将会在 HTTP 请求内的原始报头字段 (cookie 除外)中搜索内容匹配;如果
HTTP 检查预处理器的
HTTP 检查预处理器的
Inspect HTTP Responses
选项已启用,还会在响应中搜索内容匹配。
请注意,不能将此选项与
pcre
关键字 HTTP 原始报头 (D) 选项结合使用来搜索相同的内容。
有关详细信息,请参阅
HTTP Cookie
选择此选项将会在规范化 HTTP 客户端请求报头内识别出的任何 cookie 中搜索内容匹配;如
果 HTTP 检查预处理器的
果 HTTP 检查预处理器的
Inspect HTTP Responses
选项已启用,还会在响应 set-cookie 数据中搜
索内容匹配。请注意,系统将消息正文中包含的 cookie 看作正文内容。
若要仅对 cookie 进行内容匹配搜索,必须启用 HTTP 检查预处理器的
Inspect HTTP Cookies
选项;
否则,规则引擎将搜索包括 cookie 在内的整个报头。有关详情,请参见
请注意:
–
不能将此选项与
pcre
关键字 HTTP cookie (C) 选项结合使用来搜索相同的内容。有关详细
信息,请参阅
–
Cookie:
和
Set-Cookie:
报头名称、标题行中的前导空格以及终止标题行的
CRLF
将作为报
头的一部分而非 cookie 的一部分进行检查。
HTTP Raw Cookie
选择此选项将会在原始 HTTP 客户端请求报头内识别出的任何 cookie 中搜索内容匹配;如果
HTTP 检查预处理器的
HTTP 检查预处理器的
Inspect HTTP Responses
选项已启用,还会在响应 set-cookie 数据中搜索
内容匹配;请注意,系统将消息正文中包含的 cookie 看作正文内容。
若要仅对 cookie 进行内容匹配搜索,必须启用 HTTP 检查预处理器的
Inspect HTTP Cookies
选项;
否则,规则引擎将搜索包括 cookie 在内的整个报头。有关详情,请参见