Cisco Cisco Firepower Management Center 4000 User Guide
27-26
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 HTTP 流量
请注意,不能修改默认配置文件中的
Network
设置。默认配置文件适用于网络上未在其他策
略中识别出的所有客户端主机。
•
在
Max Response Length
字段中指定来自 FTP 客户端的响应的最大长度 (以字节为单位)。
•
要检测 FTP 反弹攻击,请选择
Detect FTP Bounce attempts
。
FTP/Telnet 解码器检测何时发出 FTP PORT 命令以及指定主机与客户端的指定主机不匹配这
种情况。
种情况。
•
要配置包含附加主机和端口的列表 (FTP PORT 命令在这些主机和端口上不应被视为 FTP 反
弹攻击),请在
弹攻击),请在
Allow FTP Bounce to
字段中指定每个主机 (或 CIDR 格式的网络),后跟一个冒
号 (:) 和端口或端口范围。要为主机输入端口范围,请使用破折号 (-) 隔开范围内的开始端口
和最终端口。可以通过用逗号隔开主机条目来输入多个主机。
和最终端口。可以通过用逗号隔开主机条目来输入多个主机。
例如,要允许指向端口 21 处的主机 192.168.1.1 的 FTP PORT 命令,以及指向 22 到 1024 之
间任一端口处的主机 192.168.1.2 的命令,请键入:
间任一端口处的主机 192.168.1.2 的命令,请键入:
192.168.1.1:21, 192.168.1.2:22-1024
有关在 FireSIGHT 系统中使用 CIDR 表示法和前缀长度的信息,请参阅
。
注
要为主机指定多个单独端口,必须为每个端口定义重复主机 IP 地址。例如,要指定 192.168.1.1
上的端口 22 和 25,请键入
上的端口 22 和 25,请键入
192.168.1.1:22, 192.168.1.1:25
。
•
要检测何时在 FTP 命令通道上使用 Telnet 命令,请选择
Detect Telnet Escape Codes within FTP
Commands
。
•
在 FTP 流量规范化过程中忽略 Telnet 字符和行擦除命令,请选择
Ignore Erase Commands During
Normalization
。
步骤 7
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详情,请参见
退出。有关详情,请参见
。
解码 HTTP 流量
许可证:保护
HTTP 检查预处理器负责以下工作:
•
解码和规范化发送到网络上网络服务器的 HTTP 请求以及来自该服务器的 HTTP 响应
•
将发送到网络服务器的消息分成 URI、非 cookie 报头、 cookie 报头、方法和消息正文等组成
部分,以提高与 HTTP 相关的入侵规则的性能
部分,以提高与 HTTP 相关的入侵规则的性能
•
将从网络服务器接收到的消息分成状态代码、状态消息、非 set-cookie 报头、cookie 报头和响
应正文等组成部分,以提高与 HTTP 相关的入侵规则的性能
应正文等组成部分,以提高与 HTTP 相关的入侵规则的性能
•
检测可能的 URI 编码攻击
•
使规范化数据可用于附加规则处理
HTTP 流量可以各种格式进行编码,因此规则很难适当地进行检查。 HTTP 检查可解码 14 种编
码,从而确保 HTTP 流量获得可能的最佳检查。
码,从而确保 HTTP 流量获得可能的最佳检查。
可以在一个服务器上或者对服务器列表全局配置 HTTP 检查选项。