Cisco Cisco Firepower Management Center 4000 User Guide

27-4

FireSIGHT 系统用户指南

第 27 章      使用应用层预处理器       

  解码 DCE/RPC 流量

了解基于目标的 DCE/RPC 服务器策略

许可证：保护

可以创建一个或多个基于目标的服务器策略，并使用这些策略将 DCE/RPC 预处理器配置为像指
定类型的服务器一样检查 DCE/RPC 流量。基于目标的策略配置包括识别在网络上识别出的主机
上运行的 Windows 或 Samba 版本，启用传输协议并指定将 DCE/RPC 流量传输到这些主机的端
口，以及设置其他特定于服务器的选项。

Windows 和 Samba DCE/RPC 的实现有很大不同。例如，在对 DCE/RPC 流量进行分片重组时，所
有 Windows 版本都在第一个分片中使用 DCE/RPC 上下文 ID，而所有 Samba 版本都在最后一个分
片中使用上下文 ID。再如， Windows Vista 在第一个分片中使用操作编号报头字段来识别特定函
数调用，而 Samba 及其他所有 Windows 版本都在最后一个分片中使用操作编号字段。

Windows 和 Samba SMB 的实现也有很大不同。例如， Windows 在与命名管道配合使用时可识别 
SMB OPEN 和 READ 命令，而 Samba 不能识别这些命令。

启用 DCE/RPC 预处理器会自动启用默认基于目标的策略。或者，可以添加针对运行不同 
Windows 或 Samba 版本的其他主机的基于目标的策略，方法是从 

下拉列表选择所需的版

本。默认基于目标的策略适用于未包含在其他基于目标的策略的任何主机。

在每个基于目标的策略中，可以启用一个或多个传输并为每个传输指定

检测端口。还可以启用和

指定

自动检测端口。有关详情，请参见

。

还可以配置基于目标的策略的其他选项。可以设置预处理器，使它检测试图连接一个或多个识别出
的共享 SMB 资源的情况。可以将预处理器配置为会检测 SMB 流量中的文件，以及会检查检测出的
文件中的指定字节数。还可以修改原本只能由具备 SMB 协议专业知识的用户修改的高级选项；通
过该选项，可以将预处理器设置为会检测链式 SMB AndX 命令数量超过指定最小数量的情况。

在每个基于目标的策略中，可以：

启用一个或多个传输并为每个传输指定

检测端口。

启用和指定

自动检测端口。有关详情，请参见

设置预处理器，使它检测试图连接一个或多个识别出的共享 SMB 资源的情况。

将预处理器配置为会检测 SMB 流量中的文件，以及会检查检测出的文件中的指定字节数。

修改原本只能由具备 SMB 协议专业知识的用户修改的高级选项；通过该选项，可以将预处理
器设置为会检测链式 SMB AndX 命令数量超过指定最小数量的情况。

请注意，可以启用 

 全局选项，以便在 DCE/RPC 传输是 SMB 时自

动覆盖为每个会话的目标策略配置的策略类型。请参阅

除了在 DCE/RPC 预处理器中启用 SMB 流量文件检测功能，还可以配置文件策略以便选择性地捕
获和拦截这些文件，或者将这些文件提交到综合安全智能云以进行动态分析。在策略中，必须创
建具有

操作

为 

 或 

 且选定

应用协议

为 

 或 

 的文件规则。有关

详细信息，请参阅

。

了解 DCE/RPC 传输

许可证：保护

在每个基于目标的策略中，都可以启用一个或多个 TCP、 UDP、 SMB 和 RPC over HTTP 传输。
启用传输时，还必须指定一个或多个

检测端口 （即，已知用于传输 DCE/RPC 流量的端口）。或

者，也可以启用和指定

自动检测端口；预处理器会首先对这些端口进行测试，以确定它们是否传

输 DCE/RPC 流量，仅在检测到 DCE/RPC 流量的情况下，预处理器才会继续进行处理。