Manualsbrain.com
  1. Manuals
  2. Brands
  3. Cisco
  4. Cisco Firepower Management Center 2000
  5. User Guide

Cisco Cisco Firepower Management Center 2000 User Guide

Download
Page of 1826
 
36-38
FireSIGHT 系统用户指南
  
 36       了解和编写入侵规则       
  了解规则中的关键字和参数
此示例不匹配:
  •
ftp://ftp.example.com?value=|/bin/sh/ -i|
  •
http://www.example.com?value=x&input?|cat /etc/passwd|
  •
/[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}/i
此示例为任何 MAC 地址搜索数据包负载。请注意,此示例使用反斜杠对冒号进行转义。
向规则添加元数据
许可证:保护
可以使用 
metadata
 关键字向规则添加描述性信息。可以根据自身需求使用添加的信息来整理或识
别规则以及搜索规则。
系统按以下格式验证元数据:
key value
其中,
key
 和 
value
 提供以空格分隔的组合描述。这是思科 VRT 用于向思科提供的规则添加元数
据的格式。
也可以使用其他格式:
key=value
例如,借助 
key value
 格式,可以使用一个类别和子类别按作者和日期识别规则,如下所示:
author SnortGuru_20050406
可以在一个规则中使用多个 
metadata
 关键字。还可以使用逗号在一个 
metadata
 关键字中隔开多
个 
key value
 语句,如以下示例所示:
author SnortGuru_20050406, revised_by SnortUser1_20050707,
 
revised_by SnortUser2_20061003, revised_by
 
SnortUser1_20070123
并非只能使用 
key value
 或 
key=value
 格式;但是,应了解根据这两种格式进行验证引起的局限性。
避免受限字符
许可证:保护
请注意以下字符限制:
  •
请勿在 
metadata
 关键字中使用分号 (;) 和冒号 (:)。
  •
请注意,如果使用逗号,系统会将逗号视为多个 
key value
 或 
key=value
 语句的分隔符。例如:
key value, key value, key value
  •
请注意,如果使用等号 (=) 字符或空格字符,系会将这些字符视为 
key
 和 
value
 之间的分隔
符。例如:
key value
key=value
允许使用所有其他字。
添加 service 元数据
许可证:保护
规则引擎应用具有与数据包中用于主机的应用协议信息匹配的 
service
 元数据的活动规则来分析和
处理流量。如果不匹配,系统不会将规则应用于流量 如果主机没有应用协议信息,或者规则没有 
service
 元数据,系统会对照规则中的端口检查流量中的端口,以确定是否将规则应用于流量。