Cisco Cisco Firepower Management Center 2000 User Guide

36-23

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

选择此选项将会在规范化的请求 URI 字段中搜索内容匹配。

请注意，不能将此选项与 

pcre

 关键字 HTTP URI (U) 选项结合使用来搜索相同的内容。有关

详细信息，请参阅

注

管道化 HTTP 请求数据包包含多个 URI。如果选择了 

，且规则引擎检测到管道化 HTTP 

请求数据包，规则引擎将会搜索数据包中的所有 URI 以进行内容匹配。

选择此选项将会在请求方法字段中搜索内容匹配，该字段确定要对 URI 中识别出的资源执行
的操作 （例如 GET 和 POST）。

选择此选项将会在 HTTP 请求内的规范化报头字段 （cookie 除外）中搜索内容匹配；如果 
HTTP 检查预处理器的 

 选项已启用，还会在响应中搜索内容匹配。

请注意，不能将此选项与 

pcre

 关键字 HTTP 报头 (H) 选项结合使用来搜索相同的内容。有关

详细信息，请参阅

选择此选项将会在 HTTP 请求内的原始报头字段 （cookie 除外）中搜索内容匹配；如果 
HTTP 检查预处理器的 

 选项已启用，还会在响应中搜索内容匹配。

请注意，不能将此选项与 

pcre

 关键字 HTTP 原始报头 (D) 选项结合使用来搜索相同的内容。

有关详细信息，请参阅

选择此选项将会在规范化 HTTP 客户端请求报头内识别出的任何 cookie 中搜索内容匹配；如
果 HTTP 检查预处理器的 

 选项已启用，还会在响应 set-cookie 数据中搜

索内容匹配。请注意，系统将消息正文中包含的 cookie 看作正文内容。

若要仅对 cookie 进行内容匹配搜索，必须启用 HTTP 检查预处理器的 

 选项；

否则，规则引擎将搜索包括 cookie 在内的整个报头。有关详情，请参见

请注意：

  –

不能将此选项与 

pcre

 关键字 HTTP cookie (C) 选项结合使用来搜索相同的内容。有关详细

信息，请参阅

  –

Cookie:

 和 

Set-Cookie:

 报头名称、标题行中的前导空格以及终止标题行的 

CRLF

 将作为报

头的一部分而非 cookie 的一部分进行检查。

选择此选项将会在原始 HTTP 客户端请求报头内识别出的任何 cookie 中搜索内容匹配；如果 
HTTP 检查预处理器的 

 选项已启用，还会在响应 set-cookie 数据中搜索

内容匹配；请注意，系统将消息正文中包含的 cookie 看作正文内容。

若要仅对 cookie 进行内容匹配搜索，必须启用 HTTP 检查预处理器的 

 选项；

否则，规则引擎将搜索包括 cookie 在内的整个报头。有关详情，请参见