Cisco Cisco Firepower Management Center 2000 User Guide
36-83
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
可选的
组名称用于向状态组添加状态名称。一个状态名称可以属于若干个组。未与组关联的状态
并不相互排斥,因此,触发和设置未与组关联的状态的规则不会影响其他同时设置的状态。有关
在组中包含状态名称可如何防止误报的示例 (通过取消设置同一个组中的另一个状态),请参阅
在组中包含状态名称可如何防止误报的示例 (通过取消设置同一个组中的另一个状态),请参阅
。
下表介绍了可用于
flowbits
关键字的运算符、状态和组的各种组合。请注意,状态名称可以包含
字母数字字符、句号 (.)、下划线 (_) 和破折号 (-)。
表
36-57
flowbits
选项
运算符
状态选项
组
说明
set
state_name
可选
为数据包设置某个指定状态。如果定义了某个组,则在
该指定的组中设置该状态。
该指定的组中设置该状态。
state_name&state_name
可选
为数据包设置多个指定状态。如果定义了某个组,则在
该指定的组中设置这些状态。
该指定的组中设置这些状态。
setx
state_name
必需
为数据包在指定组中设置某个指定状态,并取消设置该
组中的所有其他状态。
组中的所有其他状态。
state_name&state_name
必需
为数据包在指定组中设置多个指定状态,并取消设置该
组中的所有其他状态。
组中的所有其他状态。
unset
state_name
没有组
为数据包取消设置某个指定状态。
state_name&state_name
没有组
为数据包取消设置多个指定状态。
全部
必需
取消设置指定组中的所有状态。
toggle
state_name
没有组
取消设置某个指定状态 (如果已设置),以及设置某个
指定状态 (如果未设置)。
指定状态 (如果未设置)。
state_name&state_name
没有组
取消设置多个指定状态 (如果已设置),以及设置多个
指定状态 (如果未设置)。
指定状态 (如果未设置)。
全部
必需
取消设置指定组中已设置的所有状态,以及设置指定组
中未设置的所有状态。
中未设置的所有状态。
isset
state_name
没有组
确定是否已在数据包中设置了某个指定状态。
state_name&state_name
没有组
确定是否已在数据包中设置了多个指定状态。
state_name|state_name
没有组
确定是否已在数据包中设置了任何指定状态。
any
必需
确定是否已在指定组中设置了任何状态。
全部
必需
确定是否已在指定组中设置了所有状态。
isnotset
state_name
没有组
确定是否未在数据包中设置某个指定状态。
state_name&state_name
没有组
确定是否未在数据包中设置多个指定状态。
state_name|state_name
没有组
确定是否未在数据包中设置任何指定状态。
any
必需
确定是否未在数据包中设置任何状态。
全部
必需
确定是否未在数据包中设置所有状态。
重置
(无状态)
可选
为所有数据包取消设置所有状态。取消设置某个组中的
所有状态 (如果已指定该组)。
所有状态 (如果已指定该组)。
noalert
(无状态)
没有组
可将此运算符与任何其他运算符结合使用,以抑制事件
生成。
生成。