端口号

规则标头中的端口号告诉SIFLOW-IDS将给定规则应用于从指定源端口和目标端口发送或发送到指定的源端口和目标端口的流量。

端口以几种不同的方式声明:

  • any 作为端口(意味着匹配从任何端口发送或发送到任何端口的流量)

  • 作为静态端口(例如, 80,445,21)

  • 作为 SIFLOW-IDS 配置中定义的变量,它指定一个端口或一组端口(例如, $HTTP_PORTS)

  • 正如范围运算符指示的端口范围一样,(例如, 1:1024500)

  • 静态端口、端口变量和/或端口范围的列表,它们使用逗号分隔且不包含任何空格(例如, 1:1024,4444,5555,$HTTP_PORTS)

规则标头应具有两个端口声明,一个用于定义源端口,另一个用于定义目标端口。源端口和目标端口分别在源 IP 地址和目标 IP 地址之后声明。

注意

端口声明也可以通过在它们之前放置 ! 来否定。

例子:

alert udp any any -> 192.168.1.0/24 1:1024 (

alert tcp any any -> 192.168.1.0/24 6000 (

alert tcp any $HOME_PORT -> 192.168.1.0/24 500:1000 (