Руководство Пользователя для Cisco Cisco Firepower Management Center 4000
36-8
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则报头
在入侵规则中定义端口
许可证:保护
在规则编辑器中,可以在
Source Port
和
Destination Port
字段中指定源端口和目标端口。有关使用规
则编辑器构建规则报头的步骤的详细信息,请参阅
FireSIGHT 系统使用特定类型的语法来定义规则报头中使用的端口号。
注
如果协议设置为
ip
,系统将忽略入侵规则报头中的端口定义。有关详细信息,请参阅
。
可以列出多个端口,端口之间用逗号分隔,如以下示例所示:
80, 8080, 8138, 8600-9000, !8650-8675
如有需要,可以用方括号将端口列表括起来 (旧版软件要求这样做,但现在不再有此要求),如
以下示例所示:
以下示例所示:
[80, 8080, 8138, 8600-9000, !8650-8675]
请注意,必须用方括号将否定端口列表括起来,如以下示例所示:
![20, 22, 23]
另请注意,入侵规则的源或目标端口列表最多可包含 64 个字符。
下表总结了可使用的语法:
表
36-3
源
/
目标端口语法
要指定......
使用
示例
任意端口
any
any
特定端口
端口号
80
端口范围
范围内第一个和最后一个端口号之间使用破折号
80-443
所有小于或等于指定端口
号的端口
号的端口
在端口号前面加上破折号
-21
所有大于或等于指定端口
号的端口
号的端口
在端口号后面加上破折号
80-
除特定端口或端口范围以
外的所有端口
外的所有端口
在要否定的端口、端口列表或端口范围前面加上
!
字符
请注意,从逻辑上讲,可以否定除
any
(如果它被否定,将表示
无端口)
以外的所有端口名称。
!20
端口变量定义的所有端口 前面带有
$
的大写字母形式的变量名称
有关详情,请参见
。
$HTTP_PORTS
除端口变量定义的端口以
外的所有端口
外的所有端口
前面带有
!$
的大写字母形式的变量名称
!$HTTP_PORTS