Cisco Cisco Firepower Management Center 4000 User Guide

27-7

FireSIGHT 系统用户指南 

第 27 章      使用应用层预处理器 

  解码 DCE/RPC 流量    

Microsoft IIS 代理服务器和 DCE/RPC 服务器可以位于同一主机上，也可以位于不同的主机上。对
于这两种情况，都提供独立的代理和服务器选项。对于上图，请注意以下几点：

DCE/RPC 服务器监控端口 593 的 DCE/RPC 客户端流量，但防火墙阻止该端口。

默认情况下，防火墙通常会阻止端口 593。

RPC over HTTP 使用已知 HTTP 端口 80 （防火墙通常允许此端口）通过 HTTP 传输 DCE/RPC。

在示例 1 中，将会选择 

 选项来监控 DCE/RPC 客户端与 MicroSoft IIS RPC 

代理服务器之间流量。

在示例 2 中，如果 MicroSoft IIS RPC 代理服务器与 DCE/RPC 服务器位于不同的主机，且设
备监控这两个服务器之间的流量，将会选择 

 选项。

RPC over HTTP 完成 DCE/RPC 客户端和服务器代理设置后，流量仅包含通过 TCP 传输的面
向连接 DCE/RPC。

选择 DCE/RPC 基于目标的策略选项

许可证：保护

每个基于目标的策略都允许指定以下各个选项。请注意，除 

 和 A

 这两个选项外，修改这些选项可能会对性能或检测能力造成负面影响。除非

您已充分理解此预处理器及其与已启用的 DCE/RPC 规则之间的交互，否则请勿修改这些选项。

如果在以下描述中未提到任何预处理器规则，该选项不与预处理规则相关。

网络

需要应用 DCE/RPC 基于目标的服务器策略的主机 IP 地址。

可以指定单个 IP 地址或地址块，或者单个 IP 地址和/或地址块的逗号分隔列表。总共最多可
以指定 255 个配置文件 （包括默认策略）。有关在 FireSIGHT 系统中指定 IPv4 和 IPv6 地址
块的详细信息，请参阅。