Cisco Cisco Firepower Management Center 4000 User Guide
27-27
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 HTTP 流量
使用 HTTP 检查预处理器时,请注意以下几点:
•
预处理器引擎
无状态地执行 HTTP 规范化。也就是说,它会逐个数据包进行 HTTP 字符串规
范化,并且只能处理已由 TCP 数据流预处理器重组的 HTTP 字符串。
•
必须启用生成器 ID (GID) 为 119 的 HTTP 预处理器规则才可生成事件。有关详情,请参见
。
有关详细信息,请参阅以下各节:
•
•
•
•
•
•
选择全局 HTTP 规范化选项
许可证:保护
为 HTTP 检查预处理器的全局 HTTP 选项用于控制预处理器的工作方式。如果由未指定为网络服
务器的端口接收 HTTP 流量,可使用这些选项启用或禁用 HTTP 规范化。
务器的端口接收 HTTP 流量,可使用这些选项启用或禁用 HTTP 规范化。
请注意:
•
如果启用
Unlimited Decompression
,提交修改时,
Maximum Compressed Data Depth
和
Maximum
Decompressed Data Depth
选项将会自动设置为 65535。有关详情,请参见
•
如果在与访问控制策略的默认操作相关的入侵策略以及与访问控制规则相关的入侵策略
中,
中,
Maximum Compressed Data Depth
和
Maximum Decompressed Data Depth
选项的值不同,将会使
用最大值。
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
Detect Anomalous HTTP Servers
检测发送到未指定为网络服务器的端口或由其接收的 HTTP 流量。
注
如果启用该选项,请确保在 HTTP Configuration 页面上的服务器配置文件中列出接收 HTTP 流量的
所有端口。如果不这样做,并且已启用此选项以及随附的预处理器规则,则发送至该服务器和来自
该服务器的正常流量均会生成事件。默认的服务器配置文件包含所有通常用于 HTTP 流量的端口,
但如果修改了该配置文件,可能需要将这些端口添加到另一个配置文件中,以防止生成事件。
所有端口。如果不这样做,并且已启用此选项以及随附的预处理器规则,则发送至该服务器和来自
该服务器的正常流量均会生成事件。默认的服务器配置文件包含所有通常用于 HTTP 流量的端口,
但如果修改了该配置文件,可能需要将这些端口添加到另一个配置文件中,以防止生成事件。
可以启用规则 120:1 为此选项生成事件。有关详情,请参见
。
Detect HTTP Proxy Servers
检测使用未由
Allow HTTP Proxy Use
选项定义的代理服务器的 HTTP 流量。
可以启用规则 119:17 为此选项生成事件。有关详情,请参见
。
Maximum Compressed Data Depth
当启用
Inspect Compressed Data
(或者
Decompress SWF File (LZMA)
、
Decompress SWF File (Deflate)
或
Decompress PDF File (Deflate)
)时,可设置要解压的压缩数据的最大大小。可指定 1 到 65535 字节。