Cisco Cisco Firepower Management Center 2000 User Guide

Cisco

36-24

FireSIGHT 系统用户指南

第 36 章了解和编写入侵规则

了解规则中的关键字和参数

请注意：

–

不能将此选项与

pcre

关键字 HTTP 原始 cookie (K) 选项结合使用来搜索相同的内容。有

关详细信息，请参阅

特定于 Snort 的后正则表达式修饰符

–

Cookie:

和

Set-Cookie:

报头名称、标题行中的前导空格以及终止标题行的

CRLF

将作为报

头的一部分而非 cookie 的一部分进行检查。

HTTP Client Body

选择此选项将会在 HTTP 客户端请求消息正文中搜索内容匹配。

请注意，要使此选项起作用，必须为 HTTP 检查预处理器的

HTTP Client Body Extraction Depth

选

项指定一个 0 到 65535 之间的值。有关详情，请参见

第 27-28 页上的选择服务器级别 HTTP 规

。

HTTP Status Code

选择此选项将会在 HTTP 响应的三位数状态代码中搜索内容匹配。

要使此选项能够返回匹配，必须启用 HTTP 检查预处理器的

Inspect HTTP Responses

选项。有关

详情，请参见

第 27-28 页上的选择服务器级别 HTTP 规范化选项

HTTP Status Message

选择此选项将会在 HTTP 响应中状态代码随附的文字描述中搜索内容匹配。

要使此选项能够返回匹配，必须启用 HTTP 检查预处理器的

Inspect HTTP Responses

选项。有关

详情，请参见

第 27-28 页上的选择服务器级别 HTTP 规范化选项

要在进行 TCP 流量内容搜索时指定 HTTP 选项，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

或者，要利用 HTTP 检查预处理器规范化以及提高性能，请选择：

•

为添加的

content

或

protected_content

关键字至少选择

HTTP URI

、

HTTP Raw URI

、

HTTP

Method

、

HTTP Header

、

HTTP Raw Header

或

HTTP Client Body

选项之一

•

HTTP Cookie

或

HTTP 原始 Cookie

选项

步骤 2

继续创建或编辑规则。有关详细信息，请参阅

第 36-16 页上的限制内容匹配

第 36-14 页上的搜

索内容匹配

第 36-93 页上的编写新规则

第 36-95 页上的修改现有规则

。

Use Fast Pattern Matcher

许可证：保护

注

配置

protected_content

关键字时，这些选项不可用。有关详细信息，请参阅

第 36-14 页上的使

用 protected_content 关键字

快速模式匹配程序快速确定在将数据包传递到规则引擎之前要对哪些规则进行评估。这项初步工
作可大大减少用于数据包评估的规则数量，从而提高性能。