Cisco Cisco Firepower Management Center 2000 User Guide

36-58

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

许可证：保护

每个 SIP 响应中的三位数状态代码指明请求操作的结果。可以使用 

sip_stat_code

 关键字测试 SIP 

响应的特定状态代码。

可以指定一个一位响应型数字 （1 到 9）、一个特定的三位数 （100 到 999）或者包含这两项的任
意组合的逗号分隔列表。如果列表中的任何一个数字与 SIP 响应中的代码相匹配，则列表匹配。

下表介绍了可指定的 SIP 状态代码值。

另请注意，规则引擎不使用快速模式匹配程序搜索用 

sip_stat_code

 关键字指定的值，无论规则

是否包含 

content

 关键字。

GTP 关键字

许可证：保护

有三个 GSRP 隧道协议 (GTP) 关键字可用于检查 GTP 命令通道的 GTP 版本、消息类型和信息元
素。 GTP 关键字不可与其他入侵规则关键字 （例如 

content

 或 

byte_jump

 关键字）结合使用。如

果规则使用了 

gtp_info

 或 

gtp_type

 关键字，还必须使用 

gtp_version

 关键字。

有关详细信息，请参阅以下各节：

可以使用 

gtp_version

 关键字检查 GTP 控制信息以确定 GTP 版本为 0、 1 还是 2。

由于不同的 GTP 版本定义不同的信息类型和信息元素，因此，使用 

gtp_type

 或 

gtp_info

 关键字

时必须同时使用此关键字。可以将值指定为 0、 1 或 2。

要指定 GTP 版本，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

 并点击 

。

系统将显示 

gtp_version

 关键字。

步骤 2

将值指定为 

0

、

1

 或 

2

 以识别 GTP 版本。

表 

sip_stat_code

值 

要检测的内容

可指定的内容

示例

会检测的内容

特定状态代码

三位数状态代码

189

189

任何以指定一位数开始的三位数
代码

一位数

1

1xx；即， 100、
101、 102 等

值列表

以逗号分隔的特定代码与
一位数的组合

222, 3

222 以及 300、
301、 302 等