Cisco Cisco Firepower Management Center 4000 User Guide
第
章
30-1
FireSIGHT 系统用户指南
30
调整被动部署中的预处理
通常,系统使用网络分析策略中的静态设置预处理和分析流量。然而,通过自适应配置文件功
能,该系统可将主机信息与网络映射的流量关联从而适应网络流量,然后据此处理网络流量。
能,该系统可将主机信息与网络映射的流量关联从而适应网络流量,然后据此处理网络流量。
当主机接收流量时,主机上运行的操作系统重组 IP 片段。重组所用顺序取决于操作系统。与之类
似,每个操作系统都可能以不同方式执行 TCP,因此 TCP 数据流重组方式也有不同。如果预处理
器重组数据时所用格式与目标主机操作系统所用格式不同,该系统在接受主机端重组数据时有可
能错过可能是恶意的内容。
似,每个操作系统都可能以不同方式执行 TCP,因此 TCP 数据流重组方式也有不同。如果预处理
器重组数据时所用格式与目标主机操作系统所用格式不同,该系统在接受主机端重组数据时有可
能错过可能是恶意的内容。
提示
在被动部署中,思科建议您配置自适应配置文件。在内嵌式部署中,思科建议您配置启用了
Normalize TCP Payload
选项的内联规范化预处理程序。有关详细信息,请参阅
。
有关使用自适应配置文件改善数据包片段和 TCP 数据流重组的详细信息,请参阅以下主题:
•
•
了解自适应配置文件
许可证:保护
借助于自适应配置文件,可启用最适合 IP 分片重组和 TCP 数据流预处理的操作系统配置文件。
有关网络分析策略中受自适应配置文件这影响的各方面的详细信息,请参阅
有关网络分析策略中受自适应配置文件这影响的各方面的详细信息,请参阅
该系统可以使用由网络发现工具检出、通过 Nmap 扫描工具获得或通过主机输入功能添加的主机
信息来适应处理行为。
信息来适应处理行为。
注
当您使用命令行导入实用程序或主机输入 API 通过第三方应用程序输入主机信息时,您必须首先
映射该数据至产品定义,以便系统将其用于自适应配置文件。有关详细信息,请参阅
映射该数据至产品定义,以便系统将其用于自适应配置文件。有关详细信息,请参阅
。