Cisco Cisco Firepower Management Center 2000 User Guide

36-25

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

默认情况下，快速模式匹配程序会在数据包内搜索规则中指定的最长内容；这样可最大程度地消
除不必要的规则评估。以如下规则片段为例：

alert tcp any any -> any 80 (msg:"Exploit"; content:"GET";

 

http_method; nocase; content:"/exploit.cgi"; http_uri;

 

nocase;)

几乎所有 HTTP 客户端请求都包含内容 

GET

，但很少会包含 

/exploit.cgi

。使用 

GET

 作为快速模

式内容将会导致规则引擎在大多数情况下评估此规则，但极少会产生匹配。但是，对于大多数客
户端 

GET

 请求，将不会使用 

/exploit.cgi

 对其进行评估，从而提高性能。

规则引擎仅在快速模式匹配程序检测到指定内容时根据规则评估数据包。例如，如果某个规则中
的三个 

content

 关键字分别指定内容 

short

、

longer

 和 

longest

，快速模式匹配程序将使用内容 

longest

，并且仅在规则引擎在负载中找到 

longest

 的情况下对该规则进行评估。

可以使用 

 选项为快速模式匹配程序指定较短的搜索模式。理想情况下，指定

的模式在数据包中被找到的可能性低于最长模式，因此，因此能够更具体地识别所针对的漏洞。

在同一个 

content

 关键字中选择 

 和其他选项时，请注意以下限制：

只能为每个规则指定一次 

。

如果同时选择 

 和 

，将不能使用 

、

、

 和 

。

不同同时选择 Use Fast Pattern Matcher 和以下任何 HTTP 字段选项：

、

、

、

、

、

 

或 

但是，可以在也使用快速模式匹配程序搜索以下其中一个规范化字段的 

content

 关键字中包

含上述选项：

、

 或 

例如，如果选择 

、

 和 

，规则引擎将会在 HTTP 

cookie 和 HTTP 报头中搜索内容，但快速模式匹配程序仅适用于 HTTP 报头，而不适用于 
HTTP cookie。

请注意，不能在同一个 

content

 关键字中同时使用原始 HTTP 字段选项 （

、

 或 

）和对应的规范化选项 （分别是 

、

 或 

）。有关详情，请参见

。

如果将受限选项和不受限选项结合使用，快速模式匹配程序将仅搜索您指定的不受限字段，
以测试是否要将数据包传递到规则引擎以完成评估 （包括受限字段的评估）。

或者，如果选择 

，还可以选择 

 或 

 选项，但不能同时选择这两个选项。

检查 Base64 数据时，不能使用快速模式匹配程序；有关详细信息，请参阅

。

仅使用快速模式匹配程序

通过 

，可以仅将 

content

 关键字作为快速模式匹配程序选项，而不作为规

则选项。如果无需规则引擎评估指定的内容，可以使用此选项来节省资源。例如，假设规则仅要
求内容 

12345

 位于负载中的任何位置。如果快速模式匹配程序检测到该模式，可根据规则中的其

他关键字对数据包进行评估。规则引擎无需重新评估数据包来确定其是否包含模式 

12345

。

如果规则包含其他与指定内容相关的状况，无需使用此选项。例如，如果另一个规则条件尝试确
定 

abcd

 是否出现在 

1234

 之前，将无需使用此项选项搜索内容 

1234

。在这种情况下，规则引擎无

法确定相对位置，因为选择 

 将会指示规则引擎不搜索指定内容。

使用此选项时请注意：

指定的内容与位置无关，也就是说，该内容可出现在负载中的任何位置；因此，不能使用位
置选项 （

、

、

、

 或 

）。