Cisco Cisco Firepower Management Center 2000 User Guide
36-38
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
此示例不匹配:
•
ftp://ftp.example.com?value=|/bin/sh/ -i|
•
http://www.example.com?value=x&input?|cat /etc/passwd|
•
/[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}\:[0-9a-f]{2}/i
此示例为任何 MAC 地址搜索数据包负载。请注意,此示例使用反斜杠对冒号进行转义。
向规则添加元数据
许可证:保护
可以使用
metadata
关键字向规则添加描述性信息。可以根据自身需求使用添加的信息来整理或识
别规则以及搜索规则。
系统按以下格式验证元数据:
key value
其中,
key
和
value
提供以空格分隔的组合描述。这是思科 VRT 用于向思科提供的规则添加元数
据的格式。
也可以使用其他格式:
key=value
例如,借助
key value
格式,可以使用一个类别和子类别按作者和日期识别规则,如下所示:
author SnortGuru_20050406
可以在一个规则中使用多个
metadata
关键字。还可以使用逗号在一个
metadata
关键字中隔开多
个
key value
语句,如以下示例所示:
author SnortGuru_20050406, revised_by SnortUser1_20050707,
revised_by SnortUser2_20061003, revised_by
SnortUser1_20070123
并非只能使用
key value
或
key=value
格式;但是,应了解根据这两种格式进行验证引起的局限性。
避免受限字符
许可证:保护
请注意以下字符限制:
•
请勿在
metadata
关键字中使用分号 (;) 和冒号 (:)。
•
请注意,如果使用逗号,系统会将逗号视为多个
key value
或
key=value
语句的分隔符。例如:
key value, key value, key value
•
请注意,如果使用等号 (=) 字符或空格字符,系会将这些字符视为
key
和
value
之间的分隔
符。例如:
key value
key=value
允许使用所有其他字。
添加 service 元数据
许可证:保护
规则引擎应用具有与数据包中用于主机的应用协议信息匹配的
service
元数据的活动规则来分析和
处理流量。如果不匹配,系统不会将规则应用于流量 如果主机没有应用协议信息,或者规则没有
service
元数据,系统会对照规则中的端口检查流量中的端口,以确定是否将规则应用于流量。