Cisco Cisco Firepower Management Center 2000 Guía Del Usuario

36-14

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

搜索内容匹配

许可证：保护

使用 

content

 关键字或 

protected_content

 关键字可以指定要在数据包中检测的内容。有关详细

信息，请参阅以下各节：

使用 content 关键字

当使用 

content

 关键字时，规则引擎在数据包负载或数据流中搜索该字符串。例如，如果您输入 

/bin/sh

 作为其中一个 

content

 关键字的值，规则引擎将在数据包负载中搜索字符串 

/bin/sh

。

可以使用 ASCII 字符串、十六进制内容 （二进制字节代码）或这两者的组合来匹配内容。可以在
关键字值中将十六进制内容放在两条竖线 (|) 之间。例如，可以混合使用十六进制内容和 ASCII 
内容，例如，

|90C8 C0FF FFFF|/bin/sh

。

可以在一个规则中指定多项内容匹配。要这样做，请使用 

content

 关键字的其他实例。对于各项

内容匹配，可以指明必须在数据包负载或数据流中发现内容匹配才可触发规则。

使用 protected_content 关键字

protected_content

 关键字使您可以在配置规则参数前对搜索内容字符串进行编码。原始规则作

者在配置关键字前使用哈希函数 （SHA-512、 SHA-256 或 MD5）对字符串进行编码。

如果使用 

protected_content

 关键字而不使用 

content

 关键字，规则引擎在数据包负载或数据流

中搜索字符串的方式并不会改变，且大多数关键字选项将起到预期作用。下表总结了 

protected_content

 关键字选项与 

content

 关键字选项存在差异的例外情况。

思科建议在包含 

protected_content

 关键字的规则中至少包含一个 

content

 关键字，以确保规则

引擎使用快速模式匹配程序，从而加快处理速度和提高性能。在规则中，

content

 关键字应置于 

protected_content

 关键字之前。请注意，如果规则包含至少一个 

content

 关键字，无论您是否启

用 

content

 关键字的 Use Fast Pattern Matcher 参数，规则引擎都会使用快速模式匹配程序。

表 

选项例外 

选项

说明

Hash Type

protected_content

 规则关键字的新增选项。有关详细信

息，请参阅

Case Insensitive

不支持

Within

不支持

深度

不支持

长度

protected_content

 规则关键字的新增选项。有关详细信

息，请参阅

。

Use Fast Pattern Matcher

不支持

Fast Pattern Matcher Only

不支持

Fast Pattern Matcher Offset and Length 不支持