Cisco Cisco Firepower Management Center 2000 User Guide
36-46
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
检查 TCP 标志组合
许可证:保护
可以使用
flags
关键字指定 TCP 标志的任意组合,如果在已检查的数据包中设置此关键字,将导
致规则触发。
注
在使用
A+
作为
flags
的值的一般情况下,应转为使用具有
established
值的
flow
关键字。通常,如
果使用标志以确保标志的所有组合均已检测到,应使用具有
stateless
值的
flow
关键字。关于
flow
关键字的详细信息,请参阅
。
可以检查或忽略下表中所述的
flag
关键字的值。
提示
有关显式拥塞通知 (ECN) 的详细信息,请参阅以下网址提供的信息:
。
使用
flags
关键字时,可以使用运算符来指示系统如何匹配多个标志。下表介绍了这些运算符。
表
36-26
flag
参数
参数
TCP 标志
Ack
确认数据。
Psh
数据应该在此数据包中发送。
Syn
新的连接。
Urg
包含紧急数据的数据包。
Fin
关闭的连接。
Rst
中止的连接。
CWR
ECN 堵塞窗口已减少。这以前是 R1 参数,仍支持向后兼容。
ECE
ECN 响应。这以前是 R2 参数,仍支持向后兼容。
表
36-27
与
flags
配合使用的运算符
运算符
说明
示例
全部
数据包必须包含所有指定
的标志。
的标志。
选择
Urg
和
all
可规定数据包必须包含紧急标志,且可以包含任何
其他标志。
any
数据包可包含任何指定的
标志。
标志。
选择
Ack
、
Psh
和
any
可规定必须设置
Ack
和/或
Psh
标志才能触发规
则,且也可以对数据包设置其他标志。
不会
数据包不得包含指定的标
志集。
志集。
选择
Urg
和
not
可规定不对会触发此规则的数据包进行设置紧急
标志。