Cisco Cisco Firepower Management Center 4000 User Guide
27-24
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 FTP 和 Telnet 流量
步骤 7
或者,修改相关的故障排除选项 (但应仅在支持人员要求的情况下才这样做);点击
Troubleshooting Options
旁边的
+
号可展开故障排除选项部分。
步骤 8
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详情,请参见
退出。有关详情,请参见
。
了解客户端级别 FTP 选项
许可证:保护
可以为 FTP 客户端创建配置文件。在每个配置文件中,可以指定来自客户端的 FTP 响应的最大响
应长度。还可以配置解码器是否检测反弹攻击,以及为特定客户端在 FTP 命令通道上使用 Telnet
命令。
应长度。还可以配置解码器是否检测反弹攻击,以及为特定客户端在 FTP 命令通道上使用 Telnet
命令。
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
网络
使用此选项可指定 FTP 客户端的一个或多个 IP 地址。
可以指定单个 IP 地址或地址块,也可以指定由单个地址和/或地址块组成并以逗号分隔的列
表。最多可指定 1024 个字符,最多可指定 255 个配置文件 (包括默认配置文件)。有关在
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
表。最多可指定 1024 个字符,最多可指定 255 个配置文件 (包括默认配置文件)。有关在
FireSIGHT 系统中使用 IPv4 和 IPv6 地址块的详细信息,请参阅
。
请注意,默认策略中的
default
设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP
地址。因此,不能且不需要为默认策略指定 IP 地址或地址块,并且不能在其他策略中将此设
置留空或使用地址记法来表示
置留空或使用地址记法来表示
any
(例如, 0.0.0.0/0 或 ::/0)。
另请注意,为了让基于目标的策略处理流量,您标识的网络必须匹配您在其中配置该策略的
网络分析策略处理的网络、区域和 VLAN 或是其子集。有关详情,请参见
网络分析策略处理的网络、区域和 VLAN 或是其子集。有关详情,请参见
Max Response Length
使用此选项可指定来自 FTP 客户端的响应字符串的最大长度。
可以启用规则 125:6 为此选项生成事件。有关详情,请参见
。
Detect FTP Bounce Attempts
使用此选项可检测 FTP 反弹攻击。
可以启用规则 125:8 为此选项生成事件。有关详情,请参见
。
Allow FTP Bounce to
使用此选项可配置包含附加主机以及这些主机上端口的列表,在这些主机上, FTP PORT 命
令不应被视为 FTP 反弹攻击。
令不应被视为 FTP 反弹攻击。
Detect Telnet Escape Codes within FTP Commands
使用此选项可检测何时在 FTP 命令通道上使用 Telnet 命令。
可以启用规则 125:1 为此选项生成事件。有关详情,请参见
。
Ignore Erase Commands During Normalization
如果选择了
Detect Telnet Escape Codes within FTP Commands
,使用此选项可在 FTP 流量规范化过程
中忽略 Telnet 字符和行擦除命令。此选项的设置应与 FTP 客户端处理 Telnet 擦除命令的方式
相匹配。请注意,新 FTP 客户端通常会忽略 Telnet 擦除命令,而旧客户端通常会进行处理。
相匹配。请注意,新 FTP 客户端通常会忽略 Telnet 擦除命令,而旧客户端通常会进行处理。