Cisco Cisco Firepower Management Center 4000 User Guide

29-8

FireSIGHT 系统用户指南

第 29 章      配置传输和网络层预处理       

  规范化内联流量

如果未设置紧急指针，则清除 TCP 报头 URG 控制位。

如果指针大于负载长度，则将两个字节的 TCP 报头 Urgent Pointer 字段设置为负载长度。

启用 TCP Data 字段的规范化以确保重传数据的一致性。无法正确重组的所有数据段都会被
丢弃。

如果 TCP 操作系统策略不是 Mac OS，则会移除同步 (SYN) 数据包中的数据。

此选项还会禁用规则 129:2 的事件生成。

从 TCP 重置 (RST) 数据包中移除所有数据。

将 TCP Data 字段调整为在 Window 字段中指定的大小。

如果负载长度大于 MSS，则将 TCP Data 字段调整为最大分段大小 (MSS)

启用此选项时，系统阻止异常 TCP 数据包，这些数据包在规范化的情况下会无效，并可能受
到接收主机的阻止。例如，系统阻止已建立的会话后传输的任何 SYN 数据包。

系统还会丢弃符合下列任何 TCP 数据流预处理器规则的任何数据包 （无论是否启用了规则）：

  –

129:1

  –

129:3

  –

129:4

  –

129:6

  –

129:8

  –

129:11

  –

129:14 到 129:19

Total Blocked Packets 性能图跟踪内联部署中阻止的数据包的数量，并且，在被动部署和轻触
模式下的内联部署中，跟踪在内联部署中已阻止的数量。有关详细信息，请参阅

对显式堵塞通知 (ECN) 标志启用逐个数据包或逐条数据流规范化，如下所示：

无论协商与否，都选择 

 以数据包为单位清除 ECN 标记

如果未协商 ECN 使用，则选择 

 以数据流为单位清除 ECN 标记

如果选择

，您还必须确保启用 TCP 数据流预处理器的

 选项以

进行此规范化；有关详细信息，请参阅