Cisco Cisco Firepower Management Center 4000 User Guide
27-46
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 IMAP 流量
选择 IMAP 预处理器选项
许可证:保护
以下列表说明可修改的 IMAP 预处理器选项。
请注意,解码 (或提取,如果 MIME 邮件附件不要求解码)涵盖多个附件 (如果有)以及同时
存在于多个数据包中的大型附件。
存在于多个数据包中的大型附件。
另请注意,当
Base64 Decoding Depth
、
7-Bit/8-Bit/Binary Decoding Depth
、
Quoted-Printable Decoding Depth
或
Unix-to-Unix Decoding Depth
选项的值在以下策略中不相同时,将使用最高的值:
•
默认网络分析策略
•
同一访问控制策略中的网络分析规则调用的任何其他自定义网络分析策略
有关详细信息,请参阅
和
。
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
端口
指定用于检查 IMAP 流量的端口。可指定 0 到 65535 之间的整数。使用逗号分隔多个端口号。
Base64 Decoding Depth
指定要从每个 Base64 编码的 MIME 邮件附件中提取和解码的最大字节数。可指定 1 到 65535
字节,或者指定 0 以解码所有 Base64 数据。指定 -1 将会忽略 Base64 数据。
字节,或者指定 0 以解码所有 Base64 数据。指定 -1 将会忽略 Base64 数据。
请注意,不能被 4 整除的正值将向上舍入为最接近的 4 的倍数,但值 65533、 65534、 65535
除外,因为它们将向下舍入为 65532。
除外,因为它们将向下舍入为 65532。
如果启用了 Base64 解码,可以启用规则 141:4,以在解码失败时生成事件;导致解码失败的
原因包括,编码不正确或数据损坏,等等。
原因包括,编码不正确或数据损坏,等等。
7-Bit/8-Bit/Binary Decoding Depth
指定要从每个不要求解码的 MIME 邮件附件中提取的数据的最大字节数。这些附件类型包括 7
位、 8 位、二进制以及各种多部分内容类型 (例如,纯文本、 jpeg 图像、 mp3 文件等)。可指
定 1 到 65535 字节,或者指定 0 以提取数据包中的所有数据。指定 -1 将会忽略非解码数据。
位、 8 位、二进制以及各种多部分内容类型 (例如,纯文本、 jpeg 图像、 mp3 文件等)。可指
定 1 到 65535 字节,或者指定 0 以提取数据包中的所有数据。指定 -1 将会忽略非解码数据。
Quoted-Printable Decoding Depth
指定要从每个 Quoted-Printable (QP) 编码的 MIME 邮件附件中提取和解码的最大字节数。可
指定 1 到 65535 字节,或者指定 0 以解码数据包中的所有 QP 编码数据。指定 -1 将会忽略 QP
编码数据。
指定 1 到 65535 字节,或者指定 0 以解码数据包中的所有 QP 编码数据。指定 -1 将会忽略 QP
编码数据。
如果启用了 Quoted-Printable 解码,可以启用规则 141:6,以在解码失败时生成事件;导致解
码失败的原因包括,编码不正确或数据损坏,等等。
码失败的原因包括,编码不正确或数据损坏,等等。
Unix-to-Unix Decoding Depth
指定要从每个 Unix-to-Unix 编码 (UuEncode 编码)的 MIME 邮件附件中提取和解码的最大
字节数。可指定 1 到 65535 字节,或者指定 0 以解码数据包中的所有 UuEncode 编码数据。指
定 -1 将会忽略 UuEncode 编码数据。
字节数。可指定 1 到 65535 字节,或者指定 0 以解码数据包中的所有 UuEncode 编码数据。指
定 -1 将会忽略 UuEncode 编码数据。
如果启用了 Unix-to-Unix 解码,可以启用规则 141:7,以在解码失败时生成事件;导致解码失
败的原因包括,编码不正确或数据损坏,等等。
败的原因包括,编码不正确或数据损坏,等等。