Cisco Cisco Firepower Management Center 2000 User Guide

36-63

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

要指定 GTP 消息类型，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

 并点击 

。

系统将显示 

gtp_type

 关键字。

步骤 2

为消息类型指定一个定义的十进制值 （0 到 255）、定义的字符串或包含这两项的任意组合的逗
号分隔列表。有关系统识别出的值和字符串，请参阅 

表。

一条 GTP 消息可以包含多个信息元素，其中的每一个元素均由已定义的一个数值和一个字符串来
识别。可以将 

gtp_info

 与 

gtp_version

 关键字结合使用，以在特定信息元素开头开始检查，并将

检查限制为仅针对该信息元素。

可以为信息元素指定已定义的十进制值或字符串。可以指定一个值或字符串，也可以在一个规则
中使用多个 

gtp_info

 关键字来检查多个信息元素。

如果一条消息包含相同类型的多个信息元素，将会全部检查这些元素来进行匹配。如果信息元素
按无效顺序出现，将仅检查最后一个实例。

请注意，不同的 GTP 版本有时对同一个信息元素使用不同的值。例如，

cause

 这个信息元素在 

GTPv0 和 GTPv1 中值是 1，但在 GTPv2 中值是 2。

gtp_info

 关键字匹配不同的值，具体取决于数据包中的版本号。在上述示例中，在 GTPv0 或 

GTPv1 数据包中，此关键字匹配信息元素值 1，在 GTPv2 数据包中，则匹配值 2。如果数据包中
的信息元素值不是在数据包中指定的版本的已知值，此关键字不会匹配数据包。

如果为信息元素指定一个整数，则当关键字中的消息类型与 GTP 数据包中的该值匹配时，关键字
将会匹配，无论数据包中指定的版本如何。

下表列出了系统识别出的每个 GTP 信息元素的值和字符串。

表 

信息元素 

价值

0 版本

版本 1 

版本 2

1

cause

cause

imsi

2

imsi

imsi

cause

3

rai

rai

恢复

4

tlli

tlli

不适用

5

p_tmsi

p_tmsi

不适用

6

qos 

不适用

不适用

8

recording_required

recording_required

不适用

9

身份验证

身份验证

不适用

11

map_cause

map_cause

不适用

12

p_tmsi_sig

p_tmsi_sig

不适用

13

ms_validated

ms_validated

不适用

14

恢复

恢复

不适用

15

selection_mode

selection_mode

不适用