Cisco Cisco Firepower Management Center 4000 User Guide

29-6

FireSIGHT 系统用户指南

第 29 章      配置传输和网络层预处理       

  规范化内联流量

规范化内联流量

许可证：保护

内联规范化预处理器会将流量规范化，从而尽可能降低攻击者在内联部署中得以避开检测的可能性。
如果在网络分析策略中启用内联规范化预处理器，系统测试以下两个条件以确保使用内联部署：

在策略中已启用 

。请参阅

启用内联规范化的访问控制策略已应用到以内联方式部署或使用内联集的设备。

仅当两个条件均得到满足时，预处理器才会对指定流量进行规范化。

您可以指定 IPv4、 IPv6、 ICMPv4、 ICMPv6 和 TCP 流量的任意组合的规范化。大多数规范化由
内联规范化预处理器逐个数据包执行。但是， TCP 数据流预处理器处理大多数状态相关的数据包
和数据流规范化，包括 TCP 负载规范化。

在数据包解码器进行解码后会立即执行内联规范化，直至其他预处理器进行处理。规范化从内数
据包层继续执行到外数据包层。

内联规范化预处理器不会生成事件；它准备数据包以供内联部署中的其他预处理器和规则引擎使
用。预处理器还有助于确保系统处理的数据包与网络中主机接收的数据包相同。

提示

在内联部署中，思科建议您配置已启用 

 选项的内联规范化预处理器。在被动

部署中，思科建议您配置自适应配置文件。有关详细信息，请参阅

。

当

 大于或等于为此选项设置的值 （1 至 255）时，请指定以下设置：

启用

 后系统允许 IPv4 Time to Live (TTL) 字段使用的最小值；较小的值会导致将 

TTL 的数据包值规范化为针对 

 设置的值

启用

 后系统允许 IPv6 Hop Limit 字段使用的最小值；较小的值会导致将 TTL 的

数据包值规范化为针对 

 设置的值

此字段为空时，系统假设值为 1。

请注意，可以启用解码器规则类别中的以下规则来生成此选项的事件：

您可以启用规则 116:428，以在系统检测到 TTL 小于指定最小值的 IPv4 数据包时生成事件。

您可以启用规则 116:270，以在系统检测到跳数限制小于指定最小值的 IPv6 数据包时生成事件。

有关详细信息，请参阅

中的 

选项。

如果设置为大于或等于

 的值 （1 到 255），请规范化以下字段：

IPv4 TTL 字段 （如果启用了 

）

IPv6 Hop Limit 字段 （如果启用了 

）

当数据包值小于 

 时，系统会通过将其 TTL 或 Hop Limit 值更改为针对此选项设置

的值来规范化数据包。将此选项设置为值 0 或任何小于

 的值会禁用此选项。此字

段为空时，系统假设值为 0。