Cisco Cisco Firepower Management Center 2000 User Guide
36-58
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
sip_stat_code
许可证:保护
每个 SIP 响应中的三位数状态代码指明请求操作的结果。可以使用
sip_stat_code
关键字测试 SIP
响应的特定状态代码。
可以指定一个一位响应型数字 (1 到 9)、一个特定的三位数 (100 到 999)或者包含这两项的任
意组合的逗号分隔列表。如果列表中的任何一个数字与 SIP 响应中的代码相匹配,则列表匹配。
意组合的逗号分隔列表。如果列表中的任何一个数字与 SIP 响应中的代码相匹配,则列表匹配。
下表介绍了可指定的 SIP 状态代码值。
另请注意,规则引擎不使用快速模式匹配程序搜索用
sip_stat_code
关键字指定的值,无论规则
是否包含
content
关键字。
GTP 关键字
许可证:保护
有三个 GSRP 隧道协议 (GTP) 关键字可用于检查 GTP 命令通道的 GTP 版本、消息类型和信息元
素。 GTP 关键字不可与其他入侵规则关键字 (例如
素。 GTP 关键字不可与其他入侵规则关键字 (例如
content
或
byte_jump
关键字)结合使用。如
果规则使用了
gtp_info
或
gtp_type
关键字,还必须使用
gtp_version
关键字。
有关详细信息,请参阅以下各节:
•
•
•
gtp_version
可以使用
gtp_version
关键字检查 GTP 控制信息以确定 GTP 版本为 0、 1 还是 2。
由于不同的 GTP 版本定义不同的信息类型和信息元素,因此,使用
gtp_type
或
gtp_info
关键字
时必须同时使用此关键字。可以将值指定为 0、 1 或 2。
要指定 GTP 版本,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
gtp_version
并点击
Add Option
。
系统将显示
gtp_version
关键字。
步骤 2
将值指定为
0
、
1
或
2
以识别 GTP 版本。
表
36-40
sip_stat_code
值
要检测的内容
可指定的内容
示例
会检测的内容
特定状态代码
三位数状态代码
189
189
任何以指定一位数开始的三位数
代码
代码
一位数
1
1xx;即, 100、
101、 102 等
101、 102 等
值列表
以逗号分隔的特定代码与
一位数的组合
一位数的组合
222, 3
222 以及 300、
301、 302 等
301、 302 等