Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
36-32
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
要使用 byte_test,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在 Create Rule 页面上,从下拉列表中选择
byte_test
并点击
Add Option
。
byte_test
部分将显示在上次选择的关键字下方。
使用 PCRE 搜索内容
许可证:保护
pcre
关键字使您可以使用兼容 Perl 的正则表达式 (PCRE) 为指定的内容检查数据包负载。使用
PCRE 可避免编写以匹配相同内容的细微变化为目的的多个规则。
搜索可以多种方式显示的内容时,正则表达式很有用。内容可能有不同的属性;在尝试从数据包
负载中查找内容时,您会需要考虑其属性。
负载中查找内容时,您会需要考虑其属性。
请注意,入侵规则使用的正则表达式语法是完整正则表达式库的一个子集,并该库中所用命令的语
法在某些方面存在不同之处。使用规则编辑器添加
法在某些方面存在不同之处。使用规则编辑器添加
pcre
关键字时,请按以下格式键入完整的值:
!/pcre/ ismxAEGRBUIPHDMCKSY
其中:
•
!是可选的否定式 (如果想匹配不匹配的正则表达式的模式,请使用此否定式)。
•
/pcre/
是一个兼容 Perl 的正则表达式。
•
ismxAEGRBUIPHDMCKSY
是修饰符选项的任意组合。
另请注意,在 PCRE 中使用下表所列字符在数据包负载中搜索特定内容时,必须对这些字符进行
转义,以使规则引擎能正确地解释这些字符。
转义,以使规则引擎能正确地解释这些字符。
提示
或者,可以用引号将兼容 Perl 的正则表达式引起来,例如,
pcre_expression
或
“pcre_expression”
。这一做法适合习惯使用旧版本的有经验的用户 (旧版本要求必须用引号将正
则表达式引起来)。规则在保存后再显示时,规则编辑器不会显示引号。
还可以使用
m?regex?
,其中,
?
是除 / 以外的分隔符。如果需要在正则表达式中匹配一个正斜杠,
但不想用一个反斜杠来进行转义,可能需要使用此分隔符。例如,可以使用
m?regex?ismxAEGRBUIPHDMCKSY
,其中
regex
是兼容 Perl 的正则表达式,
ismxAEGRBUIPHDMCKSY
是修
饰符选项的任意组合。有关正则表达式语法的详细信息,请参阅
表
36-16
转义
PCRE
字符
必须转义的字符
......
......
使用反斜杠......
或使用十六进制代
码......
码......
# (哈希标记)
\#
\x23
; (分号)
\;
\x3B
| (竖线)
\|
\x7C
: (冒号)
\:
\x3A