Cisco Cisco Firepower Management Center 2000 User Guide

第

章

27-1

FireSIGHT 系统用户指南

使用应用层预处理器

您在网络分析策略中配置应用层预处理器，该预处理器准备流量，以便使用在入侵策略中启用的
规则检查该流量。有关详情，请参见

第 23-1 页上的了解网络分析和入侵策略

。

应用层协议可以多种方式呈现相同的数据。思科提供应用层协议解码器，这些解码器可将特定类
型的数据包数据规范化为入侵规则引擎可以分析的格式。规范化应用层协议编码使得规则引擎可
以有效地将相同的内容相关规则应用于其数据以不同方式呈现的数据包，并获得有意义的结果。

当入侵规则或规则参数要求禁用的预处理器时，系统会自动使用其当前设置，即使其在网络分析
策略网络界面中保持禁用状态。有关详细信息，请参阅

第 23-10 页上的自定义策略的局限性

。

注意事项

有些具有自定义用户角色的用户无法通过标准菜单路径 (

Policies > Access Control > Network Analysis

Policy

) 访问网络分析策略。这些用户可以通过入侵策略访问网络分析策略：

Policies > Intrusion >

Intrusion Policy > Network Analysis Policy

。有关自定义用户角色的详细信息，请参阅

第 61-48 页上的管

理自定义用户角色

。

请注意，大多数情况下，预处理器不会生成事件，除非已启用入侵策略中随附的预处理器规则。
有关详情，请参见

第 32-18 页上的设置规则状态

。

有关详细信息，请参阅以下各节：

•

第 27-2 页上的解码 DCE/RPC 流量

介绍 DCE/RPC 预处理器，并解释如何对其进行配置以防止

检测躲避行为并检测 DCE/RPC 流量异常。

•

第 27-13 页上的检测 DNS 域称服务器响应中的漏洞

介绍 DNS 预处理器，并解释如何对其进

行配置以检测 DNS 域名服务器响应中三种特定漏洞的任何一种。

•

第 27-16 页上的解码 FTP 和 Telnet 流量

介绍 FTP/Telnet 解码器，并解释如何对其进行配置以

规范化和解码 FTP 与 Telnet 流量。

•

第 27-26 页上的解码 HTTP 流量

介绍 HTTP 解码器，并解释如何对其进行配置以规范化 HTTP

流量。

•

第 27-39 页上的使用 Sun RPC 预处理器

介绍 HTTP 解码器，并解释如何对其进行配置以规范

化 RPC 流量。

•

第 27-40 页上的解码会话发起协议

解释如何使用 SIP 预处理器来解码和检测 SIP 流量异常。

•

第 27-44 页上的配置 GTP 命令通道

解释如何使用 GTP 预处理器向规则引擎提供数据包解码器

提取的 GTP 命令通道消息。

•

第 27-45 页上的解码 IMAP 流量

解释如何使用 IMAP 预处理器来解码和检测 IMAP 流量异常。

•

第 27-48 页上的解码 POP 流量

解释如何使用 POP 预处理器来解码和检测 POP 流量异常。

•

第 27-51 页上的解码 SMTP 流量

介绍 SMTP 解码器，并解释如何对其进行配置以解码和规范

化 SMTP 流量。