Cisco Cisco Firepower Management Center 4000 User Guide
27-30
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 HTTP 流量
如果会话包含的响应字节小于指定值,规则将会根据需要在多个数据包中彻底检查给定
会话中的所有响应数据包。如果会话包含的响应字节大于指定值,规则将会根据需要在
多个数据包中仅检查该会话中的指定字节数。
会话中的所有响应数据包。如果会话包含的响应字节大于指定值,规则将会根据需要在
多个数据包中仅检查该会话中的指定字节数。
请注意,流量深度值小可能会导致针对
Ports
中定义的服务器端流量的规则出现漏报。大
多数这些规则针对的是,可能处于非报头数据的大约前 100 字节中的 HTTP 报头或内容。
报头长度通常少于 300 字节,但报头大小可以不同。
报头长度通常少于 300 字节,但报头大小可以不同。
另请注意,指定值适用于分段和重组的数据包。
–
0 将会为
Ports
中定义的所有 HTTP 服务器端流量检查整个数据包 (包括超过 65535 字节
的会话中的响应数据)。
请注意,此值可能会影响性能。
–
-1:
当
Inspect HTTP Responses
处于启用状态时,仅检查原始 HTTP 响应正文,不会检查原始
HTTP 响应正文。
当
Inspect HTTP Responses
处于禁用状态时,会忽略在
Ports
中定义的所有服务器端流量。
Maximum Header Length
检测 HTTP 请求中长度超过指定最大字节数的报头字段;如果启用了
Inspect HTTP Responses
,
还会对 HTTP 响应执行此项检查。值 0 将会禁用此选项。指定 1 到 65535 之间的任何值将会
启用此选项。
启用此选项。
可以启用规则 119:19 为此选项生成事件。有关详情,请参见
Maximum Number of Headers
检测 HTTP 请求中的报头数量超过此设置的情况。指定 1 到 1024 之间的任何值将会启用此
选项。
选项。
可以启用规则 119:20 为此选项生成事件。有关详情,请参见
Maximum Number of Spaces
当 HTTP 请求中折线中的空格数量等于或超过此设置时,进行检测。值 0 将会禁用此选项。
指定 1 到 65535 之间的任何值将会启用此选项。
指定 1 到 65535 之间的任何值将会启用此选项。
可以启用规则 119:26 为此选项生成事件。有关详情,请参见
HTTP Client Body Extraction Depth
指定从 HTTP 客户端请求的消息正文提取的字节数。通过选择
content
或
protected_content
关键字
HTTP Client Body
选项,可以使用入侵规则检查提取的数据。有关详情,请参见
可指定 -1 到 65495 之间的值。指定 -1 将会忽略客户端正文。指定 0 将会提取整个客户端正
文。请注意,指定特定字节数进行提取可提高系统性能。另请注意,要使
文。请注意,指定特定字节数进行提取可提高系统性能。另请注意,要使
HTTP Client Body
选
项在入侵规则中起作用,必须为此选项指定一个 0 到 65495 之间的值。
Small Chunk Size
指定被认为是小数据块的数据块可包含的最大字节数。可指定 1 到 255 之间的值。值 0 将会
禁用对异常连续小片段的检测。有关详细信息,请参阅
禁用对异常连续小片段的检测。有关详细信息,请参阅
Consecutive Small Chunks
选项。
Consecutive Small Chunks
指定在使用分块传输编码的客户端流量或服务器流量中,代表异常大数量的连续小数据块的
数量。
数量。
Small Chunk Size
选项指定小数据块的最大大小。