Руководство Пользователя для Cisco Cisco Firepower Management Center 4000
36-21
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
在 protected_content 关键字中使用搜索位置选项
将必填的
Length
protected_content
选项与
Offset
或
Distance
位置选项结合使用,可指定开始搜索
指定内容的位置以及继续搜索的深度,如下所示:
•
同时使用
Length
和
Offset
选项可相对于数据包负载起点搜索受保护字符串。
•
同时使用
Length
和
Distance
选项可相对于当前搜索位置搜索受保护字符串。
提示
不能在单个关键字配置中同时使用
Offset
和
Distance
选项,但可以在规则内使用任意数量的位置选项。
如果未指定位置,系统将假设使用默认值;也就是说,将从数据包负载起点开始进行内容搜索,
直至数据包终点。
直至数据包终点。
还可以使用现有
byte_extract
变量指定位置选项的值。有关详细信息,请参阅
要通过网络界面在 protected_content 关键字中指定搜索位置值,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
在字段中为添加的
protected_content
关键字键入一个值。有以下选项可供选择:
•
Length
(必填)
•
Offset
•
Distance
不能在单个
protected_content
关键字配置中同时使用
Offset
和
Distance
选项,但可以在规则内使
用任意数量的位置选项。
步骤 2
继续创建或编辑规则。有关详细信息,请参阅
。
HTTP 内容选项
许可证:保护
通过 HTTP
content
或
protected_content
关键字选项,可以在 HTTP 检查预处理器解码的 HTTP
消息中指定搜索内容匹配的位置。
以下两个选项搜索 HTTP 响应中的状态字段:
•
HTTP Status Code
•
HTTP Status Message
请注意,尽管规则引擎搜索未规范化的原始状态字段,但这里分别列出这些选项,以方便在下文
解释将其他原始 HTTP 字段与规范化 HTTP 字段结合使用时应考虑的限制。
解释将其他原始 HTTP 字段与规范化 HTTP 字段结合使用时应考虑的限制。
以下五个选项搜索 HTTP 请求和/或 HTTP 响应 (视情况而定)中的规范化字段 (有关详细信
息,请参阅
息,请参阅
):
•
HTTP URI
•
HTTP Method
•
HTTP Header
•
HTTP Cookie
•
HTTP Client Body