Cisco Cisco Firepower Management Center 4000 User Guide

27-41

FireSIGHT 系统用户指南 

第 27 章      使用应用层预处理器 

  解码会话发起协议  

SIP 预处理器负责：

解码和分析 SIP 2.0 流量

提取包括 SDP 数据 （如果有）在内的 SIP 报头和消息正文，并将提取的数据传递给规则引
擎，以进行进一步检查

在检测到以下条件并且相应的预处理器规则已启用的情况下，将会生成事件：SIP 数据包中
存在异常和已知漏洞；调用序列乱序和无效。

或者，忽略呼叫通道

预处理器会根据在 SDP 消息中识别出的端口来识别 RTP 通道 （该消息嵌入在 SIP 消息正文中），
但预处理器不提供 RTP 协议检查。

使用 SIP 预处理器时，请注意以下几点：

UDP 通常传输 SIP 支持的媒体会话。 UDP 数据流预处理为 SIP 预处理器提供 SIP 会话跟踪。

SIP 规则关键字允许您指向 SIP 数据包报头或消息正文，并限制为对特定 SIP 方法或状态代码
进行数据包检测。有关详细信息，请参阅

如果启用了预处理器，在向规则引擎发送提取的数据之前，预处理器不会生成事件，除非还
启用了随附的带有生成器 ID (GID) 140 的规则。有关详情，请参见

有关详细信息，请参阅以下各节：

选择 SIP 预处理器选项

许可证：保护

以下列表说明可修改的 SIP 预处理器选项。

对于 

、

、

、

、

、

、

 和 

 选

项，可指定 1 到 65535 字节，或者指定 0 以禁止生成事件，不管相关规则是否已启用。

如果在以下描述中未提到任何预处理器规则，该选项不与预处理规则相关。

端口

指定用于检查 SIP 流量的端口。可指定 0 到 65535 之间的整数。使用逗号分隔多个端口号。

指定 SIP 检测方法。可以指定以下当前定义的任何 SIP 方法：

ack, benotify, bye, cancel, do, info, invite, join, message,

notify, options, prack, publish, quath, refer, register,

service, sprack, subscribe, unsubscribe, update

方法不区分大小写。方法名称可以包含字母字符、数字和下划线字符。不得使用其他特殊字
符。使用逗号隔开多种方法。

由于将来可能会定义新的 SIP 方法，因此，配置可以包含当前未定义的字母串。系统最多支
持 32 种方法，包括 21 种当前定义的方法和 11 种其他方法。系统将忽略您可能配置的任何未
定义的方法。