Cisco Cisco Firepower Management Center 2000 사용자 가이드
36-22
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
以下三个选项搜索 HTTP 请求和/或 HTTP 响应 (视情况而定)中的 (未规范化)原始非状态字
段 (有关详细信息,请参阅
段 (有关详细信息,请参阅
):
•
HTTP Raw URI
•
HTTP Raw Header
•
HTTP Raw Cookie
选择 HTTP
content
选项时,请遵循以下准则:
•
HTTP
content
选项仅适用于 TCP 流量。
•
为避免对性能造成负面影响,应只选择消息中那些可能出现指定内容的部分。
例如,如果流量可能包含大型 cookie (例如,购物车消息中的 cookie),可以在 HTTP 报头
中搜索指定内容,而不是在 HTTP cookie 中搜索。
中搜索指定内容,而不是在 HTTP cookie 中搜索。
•
为了利用 HTTP 检查预处理器规范化以及提高性能,应在创建的任何 HTTP 相关规则中至少
包含一个选择了
包含一个选择了
HTTP URI
、
HTTP Method
、
HTTP Header
或 HTTP Client Body 选项的
content
或
protected_content
关键字。
•
不能将
replace
关键字与 HTTP
content
或
protected_content
关键字选项配合使用。
可以指定单个规范化 HTTP 选项或状态字段,或者使用规范化 HTTP 选项与状态字段的任意组
合,以指向要匹配的内容区域。但在使用 HTTP 字段选项时,请注意以下限制:
合,以指向要匹配的内容区域。但在使用 HTTP 字段选项时,请注意以下限制:
•
不能在同一个
content
或
protected_content
关键字中同时使用
Raw Data
选项和任何 HTTP 选项。
•
不能在同一个
content
或
protected_content
关键字中同时使用原始 HTTP 字段选项 (
HTTP
Raw URI
、
HTTP Raw Header
或
HTTP Raw Cookie
)和对应的规范化选项 (分别是
HTTP URI
、
HTTP
Header
或
HTTP Cookie
)。
•
不同同时选择
Use Fast Pattern Matcher
和以下一个或多个 HTTP 字段选项:
HTTP Raw URI
、
HTTP Raw Header
、
HTTP Raw Cookie
、
HTTP Cookie
、
HTTP Method
、
HTTP Status Message
或
HTTP Status Code
但是,可以在使用快速模式匹配程序搜索以下其中一个规范化字段的
content
或
protected_content
关键字中包含上述选项:
HTTP URI
、
HTTP Header
或
HTTP Client Body
例如,如果选择
HTTP Cookie
、
HTTP Header
和
Use Fast Pattern Matcher
,规则引擎将会在 HTTP
cookie 和 HTTP 报头中搜索内容,但快速模式匹配程序仅适用于 HTTP 报头,而不适用于
HTTP cookie。
HTTP cookie。
•
。
上述限制反映在下一列表内每个选项的说明中,此列表介绍 HTTP
content
和 protected_content
关键字选项。
HTTP URI
选择此选项将会在规范化的请求 URI 字段中搜索内容匹配。
请注意,不能将此选项与
pcre
关键字 HTTP URI (U) 选项结合使用来搜索相同的内容。有关
详细信息,请参阅
注
管道化 HTTP 请求数据包包含多个 URI。如果选择了
HTTP URI
,且规则引擎检测到管道化 HTTP
请求数据包,规则引擎将会搜索数据包中的所有 URI 以进行内容匹配。