Cisco Cisco Firepower Management Center 2000 User Guide

36-91

FireSIGHT 系统用户指南

第 36 章了解和编写入侵规则

了解规则中的关键字和参数

•

SMTP、 POP 或 IMAP 流量中的编码邮件附件

要检查 SMTP、 POP 或 IMAP 流量中的邮件附件，必须分别启用 SMTP、 POP 或 IMAP 预处
理器或者启用它们的任意组合。然后，必须确保将已启用的每个预处理器配置为会对您想要
解码的每种附件编码类型进行解码。可以为每个预处理器配置的附件解码选项是：

Base64

Decoding Depth

、

7-Bit/8-Bit/Binary Decoding Depth

、

Quoted-Printable Decoding Depth

和

Unix-to-Unix

Decoding Depth

。有关详细信息，请参阅

第 27-45 页上的解码 IMAP 流量

、

第 27-48 页上的解码

POP 流量

和

第 27-51 页上的解码 SMTP 流量

。

可以在一个规则中使用多个

file_data

关键字。

要指向特定负载类型的开头，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择

file_data

并点击

Add Option

。

系统将显示

file_data

关键字。

file_data

关键字没有参数。

指向数据包负载的开头

许可证：保护

pkt_data

关键字提供一个指针，该指针作为可用于其他关键字（例如

content

、

byte_jump

、

byte_test

和

pcre

）的位置参数参考。

如果检测到规范化的 FTP、 telnet 或 SMTP 流量，

pkt_data

关键字将指向规范化数据包负载的开

头。如果检测到其他流量，

pkt_data

关键字将指向原始 TCP 或 UDP 负载的开头。

必须启用以下规范化选项，系统才会对相应流量进行规范化以供入侵规则进行检测：

•

要规范化 FTP 流量以供检测，必须启用 FTP 和 Telnet 预处理器的

Detect Telnet Escape codes

within FTP commands

选项；请参阅

第 27-22 页上的配置服务器级别 FTP 选项

。

•

要规范化 telnet 流量以供检测，必须启用 FTP 和 Telnet 预处理器的

Normaliz

e telnet 选项；请参

阅

第 27-18 页上的了解 Telnet 选项

。

•

要规范化 SMTP 流量以供检测，必须启用 SMTP 预处理器的

Normalize

选项；请参阅

第 27-51

页上的了解 SMTP 解码

。

可以在一个规则中使用多个

pkt_data

关键字。

要指向数据包负载的开头，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择

pkt_data

并点击

Add Option

。

系统将显示

pkt_data

关键字。

pkt_data

关键字没有参数。