Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
36-59
FireSIGHT 系统用户指南 
 
 36       了解和编写入侵规则 
  了解规则中的关键字和参数  
gtp_type
每条 GTP 消息由一种消息类型标识,消息类型由一个数值和一个字符串组成。可以将 
gtp_type
 
与 
gtp_version
 关键字结合使用,以检查流量中的特定 GTP 消息类型。
可以为消息类型指定定义的十进制值,可以指定定义的字符串,或者指定包含这两项的任意组合
的逗号分隔列表,如以下示例所示:
10, 11, echo_request
系统使用 OR 操作来匹配列出的每个值或字符串。值和字符串的列出顺序并不重要。列表中的任
何一个值或字符串均与此关键字匹配。如果尝试保存包含无法识别的字符串或超出范围的值的规
则,将会出现错误消息。
请注意,下表中不同的 GTP 版本有时会对同一种消息类型使用不同的值。例如,
sgsn_context_request
 这一消息类型在 GTPv0 和 GTPv1 中值是 50,但在 GTPv2 中值是 130。
gtp_type
 关键字匹配不同的值,具体取决于数据包中的版本号。在上述示例中,在 GTPv0 或 
GTPv1 数据包中,此关键字匹配消息类型值 50,在 GTPv2 数据包中,则匹配值 130。如果数据
包中的消息类型值不是在数据包中指定的版本的已知值,此关键字不会匹配数据包。
如果为消息类型指定一个整数,则当关键字中的消息类型与 GTP 数据包中的该值匹配时,关键字
将会匹配,无论数据包中指定的版本如何。
下表列出了系统识别出的为每种 GTP 消息类型定义的值和字符串。
表 
36-41
GTP 
消息类型 
价值 版本
版本 1 
版本 2
1
echo_request
echo_request
echo_request
2
echo_response
echo_response
echo_response
3
version_not_supported
version_not_supported
version_not_supported
4
node_alive_request
node_alive_request
不适用
5
node_alive_response
node_alive_response
不适用
6
redirection_request
redirection_request
不适用
7
redirection_response
redirection_response
不适用
16
create_pdp_context_request
create_pdp_context_request
不适用
17
create_pdp_context_response
create_pdp_context_response
不适用
18
update_pdp_context_request
update_pdp_context_request
不适用
19
update_pdp_context_response
update_pdp_context_response
不适用
20
delete_pdp_context_request
delete_pdp_context_request
不适用
21
delete_pdp_context_response
delete_pdp_context_response
不适用
22
create_aa_pdp_context_request
init_pdp_context_activation_request
不适用
23
create_aa_pdp_context_response init_pdp_context_activation_response
不适用
24
delete_aa_pdp_context_request
不适用
不适用
25
delete_aa_pdp_context_response 不适用
不适用
26
error_indication
error_indication
不适用
27
pdu_notification_request
pdu_notification_request
不适用
28
pdu_notification_response
pdu_notification_response
不适用
29
pdu_notification_reject_request
pdu_notification_reject_request
不适用