Cisco Cisco Firepower Management Center 4000 User Guide

29-28

FireSIGHT 系统用户指南

第 29 章      配置传输和网络层预处理       

  使用 UDP 数据流预处理

使用 UDP 数据流预处理

许可证：保护

当规则引擎使用以下任何参数根据包含 

flow

 关键字 （请参阅

）的 UDP 规则处理数据包时，会发生 UDP 数据流预处理：

Established

To Client

From Client

To Server

From Server

UDP 是一个无连接协议，并不提供在两个终端之间建立通信信道、交换数据和关闭该信道的方
法。在

会话方面通常未考虑 UDP 数据流。但是，数据流预处理器使用封装 IP 数据报报头中的源

和目标 IP 地址字段及 UDP 报头中的端口字段来确定流动方向并识别会话。当出现下列情况时，
会话将会结束：超过可配置的计时器时；或者，任一终端收到表明另一个终端不可达或所请求的 
服务不可用。

请注意，系统不生成与 UDP 数据流预处理相关的事件；但是，您可以启用相关数据包解码器规
则来检测 UDP 协议报头异常。有关数据包解码器生成的事件的信息，请参阅

配置 UDP 数据流预处理

许可证：保护

您可以配置 UDP 数据流预处理。

要配置数据流预处理器以跟踪 UDP 会话，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

 显示 Access Control Policy 页面，然后点击 

。

系统将显示 Network Analysis Policy 页面。

步骤 2

点击要编辑的策略旁边的编辑图标  (

)。

如果在另一策略中的更改尚未保存，请点击 

 放弃这些更改并继续操作。有关保存其他策略中

尚未保存的更改的详细信息，请参阅

。

系统将显示 Edit Policy 页面。

步骤 3

点击左侧导航面板中的 

。

系统将显示 Settings 页面。

步骤 4

您有两种选择，具体取决于是否启用了 Transport/Network Layer Preprocessors 中的

：

如果该配置已启用，请点击 

。

如果该配置已禁用，请点击 

，然后点击 

。

系统将显示 UDP Stream Configuration 页面。页面底部消息会标识出包含配置的策略层。有关详
细信息，请参阅

步骤 5

或者，配置

超时

值以指定预处理器在状态表中保留非活动数据流的秒数 （1 至 86400）。如果在指

定时间内看不到其他数据报，预处理器会从状态表中删除数据流。