Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
36-47
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
将规则应用于 TCP 或 UDP 客户端或服务器流量
许可证:保护
可以使用
flow
关键字选择由规则根据会话特征进行的检查的数据包。
flow
关键字允许您指定规
则应用的流量的方向,从而将规则应用于客户端流量或服务器流量。要指定
flow
关键字如何检查
数据包,可以设置要分析的流量的方向、已检查的数据包的状态以及这些数据包是否是重建数据
流的一部分。
流的一部分。
数据包状态检测发生在规则处理之后。如果要使某个 TCP 规则忽略无状态流量 (尚未建立会话
上下文的流量),必须将
上下文的流量),必须将
flow
关键字添加到该规则,并为该关键字选择
Established
参数。如果要
使某个 UDP 规则忽略无状态流量,必须将
flow
关键字添加到该规则,并选择
Established
参数和/
或方向参数。这样, TCP 或 UDP 规则就会执行数据包状态检查。
如果添加方向参数,规则引擎将只检查具有已建立状态且流向与指定方向匹配的数据包。例如,
如果将具有
如果将具有
established
参数和
From Client
参数的
flow
关键字添加到某个规则,且该规则会在
检测到 TCP 或 UDP 连接的情况下触发,那么规则引擎将只检查从特定客户端发送的数据包。
提示
为了获得最佳性能,应始终在 TCP 规则或 UDP 会话规则中包含
flow
关键字。
要指定流量,请从 Create Rule 页面上的
Detection Options
列表中选择
flow
关键字,并点击
Add
Option
。然后,为每个字段从列表中选择参数。
下表介绍了可为
flow
关键字指定的数据流相关参数:
下表介绍了可为
flow
关键字指定的方向选项:
请注意,
From Server
和
To Client
执行相同的功能,
To Server
和
From Client
执行相同的功能。
这些选项是为了是规则具有上下文和可读性。例如,如果要创建用于检测从服务器向客户端发起
的木马攻击的规则,应使用
的木马攻击的规则,应使用
From Server
。但是,如果要创建用于检测从客户端向服务器发出的
木马攻击的规则,应使用
From Client
。
表
36-28
状态相关
flow
参数
参数
说明
成熟市场
在已建立连接的情况下触发。
无状态
无论数据流处理器的状态如何,都会触发。
表
36-29
flow
方向参数
参数
说明
To Client
服务器响应时触发。
To Server
客户端响应时触发。
From Client
客户端响应时触发。
From Server
服务器响应时触发。