Cisco Cisco Firepower Management Center 2000 User Guide

36-47

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

将规则应用于 TCP 或 UDP 客户端或服务器流量

许可证：保护

可以使用 

flow

 关键字选择由规则根据会话特征进行的检查的数据包。

flow

 关键字允许您指定规

则应用的流量的方向，从而将规则应用于客户端流量或服务器流量。要指定 

flow

 关键字如何检查

数据包，可以设置要分析的流量的方向、已检查的数据包的状态以及这些数据包是否是重建数据
流的一部分。

数据包状态检测发生在规则处理之后。如果要使某个 TCP 规则忽略无状态流量 （尚未建立会话
上下文的流量），必须将 

flow

 关键字添加到该规则，并为该关键字选择 

 参数。如果要

使某个 UDP 规则忽略无状态流量，必须将 

flow 

关键字添加到该规则，并选择 

 参数和/

或方向参数。这样， TCP 或 UDP 规则就会执行数据包状态检查。

如果添加方向参数，规则引擎将只检查具有已建立状态且流向与指定方向匹配的数据包。例如，
如果将具有 

established

 参数和 

From Client

 参数的 

flow

 关键字添加到某个规则，且该规则会在

检测到 TCP 或 UDP 连接的情况下触发，那么规则引擎将只检查从特定客户端发送的数据包。

提示

为了获得最佳性能，应始终在 TCP 规则或 UDP 会话规则中包含 

flow

 关键字。

要指定流量，请从 Create Rule 页面上的 

 列表中选择 

flow

 关键字，并点击 

。然后，为每个字段从列表中选择参数。

下表介绍了可为 

flow

 关键字指定的数据流相关参数：

下表介绍了可为 

flow

 关键字指定的方向选项：

请注意，

From Server

 和 

To Client

 执行相同的功能，

To Server

 和 

From Client

 执行相同的功能。

这些选项是为了是规则具有上下文和可读性。例如，如果要创建用于检测从服务器向客户端发起
的木马攻击的规则，应使用 

From Server

。但是，如果要创建用于检测从客户端向服务器发出的

木马攻击的规则，应使用 

From Client

。

表 

状态相关

参数 

参数

说明

成熟市场

在已建立连接的情况下触发。

无状态

无论数据流处理器的状态如何，都会触发。

表 

方向参数 

参数

说明

To Client

服务器响应时触发。

To Server

客户端响应时触发。

From Client

客户端响应时触发。

From Server

服务器响应时触发。