Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
27-51
FireSIGHT 系统用户指南 
 
 27       使用应用层预处理器 
  解码 SMTP 流量    
解码 SMTP 流量
许可证:保护
SMTP 预处理器指示规则引擎对 SMTP 命令进行规范化。预处理器还可以提取和解码客户端到服
务器流量中的邮件附件,并根据不同的软件版本,提取邮件的文件名、地址和报头数据,以在显
示 SMTP 流量触发的入侵事件时提供上下文。
使用 SMTP 预处理器时,请注意以下几点:
  •
必须启用生成器 ID (GID) 为 124 的 SMTP 预处理器规则才可生成事件。有关详情,请参见
有关详细信息,请参阅以下各节:
  •
  •
  •
了解 SMTP 解码
许可证:保护
可以启用或禁用规范化,还可以对选项进行配置以控制 SMTP 解码器检测的异常流量类型。
请注意,解码 (或提取,如果 MIME 邮件附件不要求解码)涵盖多个附件 (如果有)以及同时
存在于多个数据包中的大型附件。
另请注意,如果在与访问控制策略的默认操作相关的入侵策略以及与访问控制规则相关的入侵策
略中,
Base64 Decoding Depth
7-Bit/8-Bit/Binary Decoding Depth
Quoted-Printable Decoding Depth
 或 
Unix-to-Unix Decoding Depth
 选项的值不同,将会使用最大值。
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
端口
指定要实现 SMTP 流量规范化的端口。可指定 0 到 65535 之间的整数。使用逗号分隔多个端口。
状态性检查
如果选择此选项, SMTP 解码器将会保存状态,提供各个数据包的会话上下文,并且仅检查
重组的会话。如果清除此选项,将会在没有会话上下文的情况下分析每个数据包。
Normalize
如果设置为 All,将会规范化所有命令。会检查命令后是否有多个空格字符。
如果设置为 None,不会对命令进行规范化。
如果设置为 Cmds,将会规范化 
Custom Commands
 中列出的命令。
Custom Commands
如果 
Normalize
 设置为 Cmds,此选项会规范化列出的命令。
可在文本框中指定应进行规范化的命令。会检查命令后是否有多个空格字符。
空格 (ASCII 0x20) 和制表符 (ASCII 0x09) 字符被视为是用于规范化目的的空格字符。