Cisco Cisco Firepower Management Center 4000 User Guide
27-12
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 DCE/RPC 流量
•
要将预处理器设置为会检测是否有企图连接到特定 SMB 共享资源的情况,请在
SMB Invalid
Shares
字段中输入用以识别共享资源的单一字符串或字符串的逗号分隔列表 (字符串不区分大
小写)。或者,用引号将单个字符串引起来 (旧版软件要求这样做,但现在不再有此要求)
例如,要检测名为 C$、 D$、 admin 和 private 的共享资源,可以输入:
"C$", D$, "admin", private
请注意,要检测 SMB 无效共享,还必须启用
SMB Ports
或
SMB Auto-Detect Ports
和
SMB Traffics
全局选项。
另请注意,大多数情况下,对于被识别为无效共享的 Windows 命名的驱动器,应该在其后面
附上一个美元符号。例如,可输入
附上一个美元符号。例如,可输入
C$
或
"C$"
来标识驱动器 C。
•
要检查在 SMB 中的 DCE/RPC 流量中检测到的文件而不分析 DCE/RPC 流量,请从
SMB File
Inspection
下拉列表选择
Only
。要检查在 SMB 中的 DCE/RPC 流量中检测到的文件和 DCE/RPC
流量,请从
SMB File Inspection
下拉列表选择
On
。在
SMB File Inspection Depth
字段输入要在检测
到的文件中检查的字节数。输入
0
将会检查整个检测到的文件。
•
要指定允许的链式 SMB AndX 命令最大数量,请在
SMB Maximum AndX Chains
字段中输入 0 到
255 之间的值。指定
1
表示不允许任何链式命令。指定
0
或将此选项留空将会禁用此功能。
注
只有 SMB 协议专业人员可以修改
SMB Maximum AndX Chains
选项的设置。
•
要为 Windows 策略传输对已知用于传输 DCE/RPC 流量的端口上的 DCE/RPC 流量启用处理,
请选择或清除检测传输旁边的复选框,或者添加或删除用于该传输的端口。
请选择或清除检测传输旁边的复选框,或者添加或删除用于该传输的端口。
为 Windows 策略选择
RPC over HTTP Proxy Ports
、
RPC over HTTP Server Ports
、
TCP Ports
或
UDP Ports
或者它们的任意组合。如果
RPC over HTTP proxy
已启用,且检测到的客户端 RPC over HTTP 流
量仅包含代理流量 (也就是说,不包含其他网络服务器流量),可选择
RPC Proxy Traffic Only
。
为 Samba 策略选择
SMB Ports
。
大多数情况下使用默认设置。有关详细信息,请参阅
。
可以输入单一端口、用破折线 (-) 分隔的一系列端口编号或者用逗号分隔的端口编号和端口范
围列表。
围列表。
•
要测试指定端口是否传输 DCE/RPC 流量并在指定端口是传输 DCE/RPC 流量的情况下继续进
行处理,请选择或清除自动检测传输旁边的复选框,或者添加或删除用于该传输的端口。
行处理,请选择或清除自动检测传输旁边的复选框,或者添加或删除用于该传输的端口。
为 Windows 策略选择
RPC over HTTP Server Auto-Detect Ports
、
TCP Auto-Detect Ports
或
UDP Auto-Detect
Ports
或者它们的任意组合。
请注意,极少情况下需要甚至无需选择
RPC over HTTP Proxy Auto-Detect Ports
或
SMB Auto-Detect
Ports
。
通常应该为自动检测端口指定 1025 到 65535 之间的端口范围,以涵盖整个临时端口范围。有
关详细信息,请参阅
关详细信息,请参阅
和
。
有关详情,请参见
步骤 8
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详情,请参见
退出。有关详情,请参见
。