Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
27-9
FireSIGHT 系统用户指南 
 
 27       使用应用层预处理器 
  解码 DCE/RPC 流量    
启用此选项后,可以添加任意发现 DCE/RPC 流量的端口,但是这项操作一般并不必要,因
为网络服务器通常使用默认端口传输 DCE/RPC 和其他流量。启用此选项后,不可以启用 
RPC 
over HTTP Proxy Auto-Detect Ports
,但如果检测到的客户端 RPC over HTTP 流量仅包含代理流量
而不包含其他网络服务器流量,可以启用 
RPC Proxy Traffic Only
RPC over HTTP Server Ports
如果 MicroSoft IIS RPC 代理服务器与 DCE/RPC 服务器位于不同的主机,且设备监控这两个
服务器之间的流量,可以使用此选项对 RPC over HTTP 通过每个指定端口传输的 DCE/RPC 
流量启用检测。请参阅
启用此选项后,通常还应启用 
RPC over HTTP Server Auto-Detect Ports
(端口范围介于 1025 到 
65535 之间),即使不知道网络上是否存在任何代理网络服务器。请注意, RPC over HTTP 服
务器端口有时会重新配置,在这种情况下,应该为此选项将重新配置的服务器端口添加到端
口列表。
TCP Ports
对每个指定端口上 TCP 中的 DCE/RPC 流量启用检测。
合法 DCE/RPC 流量和漏洞可能使用多种端口,高于端口 1024 的其他端口很常用。启用此选
项后,通常还应启用 
TCP Auto-Detect Ports
(端口范围介于 1025 到 65535 之间)。
UDP Ports
对每个指定端口上 UDP 中的 DCE/RPC 流量启用检测。
合法 DCE/RPC 流量和漏洞可能使用多种端口,高于端口 1024 的其他端口很常用。启用此选
项后,通常还应启用 
UDP Auto-Detect Ports
(端口范围介于 1025 到 65535 之间)。
SMB Ports
对每个指定端口上 SMB 中的 DCE/RPC 流量启用检测。
可能会出现使用默认检测端口的 SMB 流量。其他端口很少见。通常使用默认设置。
RPC over HTTP Proxy Auto-Detect Ports
如果受管设备位于 DCE/RPC 客户端与 MicroSoft IIS RPC 代理服务器之间,可以使用此选项
对 RPC over HTTP 通过指定端口传输的 DCE/RPC 流量启用自动检测。请参阅
启用此选项后,通常需要指定介于 1025 到 65535 之间的端口范围,以覆盖整个临时端口范围。
RPC over HTTP Server Auto-Detect Ports
如果 MicroSoft IIS RPC 代理服务器与 DCE/RPC 服务器位于不同的主机,且设备监控这两个
服务器之间的流量,可以使用此选项对 RPC over HTTP 通过指定端口传输的 DCE/RPC 流量
启用自动检测。请参阅
TCP Auto-Detect Ports
对指定端口上 TCP 中的 DCE/RPC 流量启用自动检测。
UDP Auto-Detect Ports
对指定端口上 UDP 中的 DCE/RPC 流量启用自动检测。
SMB Auto-Detect Ports
对 SMB 中的 DCE/RPC 流量启用自动检测。