Cisco Cisco Firepower Management Center 2000 User Guide

36-93

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  构建规则  

许可证：保护

base64_data

 关键字提供用于检查使用 

base64_decode

 关键字进行解码的 Base64 数据的参考。

base64_data

 关键字将检查设置在解码的 Base64 数据开头开始。或者，可以随后使用可用于其他

关键字的位置参数 （例如 

content

 或 

byte_test

）进一步指定要检查的位置。

使用 

base64_decode

 关键字后，必须至少使用一次 

base64_data

 关键字至少一次；可以多次使用 

base64_data

 以返回到解码的 Base64 数据的开头。

检查 Base64 数据时，请注意：

不能使用快速模式匹配程序；有关详细信息，请参阅

如果在某个规则中以干预性 HTTP 内容参数中断 Base64 检查，必须在该规则中插入另一个 

base64_data

 关键字后再进一步检查 Base64 数据；有关详细信息，请参阅

。

要检查解码的 Base64数据，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

 并点击 

。

系统将显示 

base64_data

 关键字。

构建规则

许可证：保护

就像创建自定义标准文本规则一样，您也可以修改现有的由思科提供的标准文本规则和共享对象
规则，并将所做的更改保存为新规则。请注意，对于思科提供的共享对象规则，您只能修改规则
报头信息，例如，源端口、目标端口、源 IP 地址和目标 IP 地址。不能修改共享对象规则中的规
则关键字和规则参数。

有关详细信息，请参阅以下各节：

编写新规则

许可证：保护

您可以创建自己的标准文本规则。

在自定义标准文本规则中，可以设置规则报头设置、规则关键字和规则参数。或者，可以通过规
则报头设置将规则设置为仅针对使用特定协议以及发往或来自特定 IP 地址或端口的流量。