Cisco Cisco Firepower Management Center 2000 User Guide
36-94
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
构建规则
创建新规则后,可以使用规则编号 (其格式为
GID:SID:Rev
)再次迅速找到该规则。所有标准文
本规则的规则编号均以 1 开头。规则编号的第二部分 (Snort ID (SID) 号)指明规则是本地规则
还是由思科提供的规则。当您创建新规则时,系统会向新规则分配下一个可用于本地规则的
Snort ID 号,并将该规则保存在本地规则类别中。本地规则的 Snort ID 号从 1,000,000 开始(但在
高可用性对中辅助防御中心上创建的入侵规则的 Snort ID 号从 1,000,000,000 开始),每个本地规
则的 SID 号以 1 为增量。规则编号的最后一部分是修订号。对于新规则,修订号为 1。每修改一
次自定义规则,修订号就增加 1。
还是由思科提供的规则。当您创建新规则时,系统会向新规则分配下一个可用于本地规则的
Snort ID 号,并将该规则保存在本地规则类别中。本地规则的 Snort ID 号从 1,000,000 开始(但在
高可用性对中辅助防御中心上创建的入侵规则的 Snort ID 号从 1,000,000,000 开始),每个本地规
则的 SID 号以 1 为增量。规则编号的最后一部分是修订号。对于新规则,修订号为 1。每修改一
次自定义规则,修订号就增加 1。
注
系统会向您导入的入侵策略中的任何自定义规则分配一个新的 SID。有关详细信息,请参阅
。
要使用规则编辑器编写自定义标准文本规则,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Intrusion > Rule Editor
。
系统将显示 Rule Editor 页面。
步骤 2
点击
Create Rule
。
系统将显示 Create Rule 页面。
步骤 3
在
Message
字段中,输入要与事件一起显示的消息。
有关事件消息的详细信息,请参阅
提示
必须指定规则消息。此外,消息不能只包含空白字符、一个或多个引号、一个或多个撇号或者仅
由空白字符、引号或撇号组成的任意组合。
由空白字符、引号或撇号组成的任意组合。
步骤 4
从
Classification
列表中选择用以描述事件类型的分类。
有关有效分类的详细信息,请参阅
。
步骤 5
从
Action
列表中选择要创建的规则的类型。可以使用以下其中一个选项:
•
选择
alert
,将会创建在被流量触发时会生成事件的规则。
•
选择
pass
,将会创建忽略触发自身的流量的规则。
步骤 6
从
Protocol
列表中选择您希望规则检查的数据包的流量协议 (
tcp
、
udp
、
icmp
或
ip
)。
有关选择协议类型的详细信息,请参阅
步骤 7
在
Source IPs
字段中,为应触发规则的流量输入源 IP 地址或地址块。在
Destination IPs
字段中,为
应触发规则的流量输入目标 IP 地址或地址块。
有关规则编辑器接受的 IP 地址语法的更多详细信息,请参阅
。
步骤 8
在
Source Port
字段中,为应触发规则的流量输入发起端口号。在
Destination Port
字段中,为应触发
规则的流量输入接收端口号。
注
如果协议设置为
ip
,系统将忽略入侵规则报头中的端口定义。
有关规则编辑器接受的端口语法的更多详细信息,请参阅
。