Cisco Cisco Firepower Management Center 2000 User Guide

27-10

FireSIGHT 系统用户指南

第 27 章      使用应用层预处理器       

  解码 DCE/RPC 流量

启用 SMB 流量检查以检测文件。您有以下选项：

  –

选择 

 禁用文件检查。

  –

选择 

，检查文件数据但不检查 SMB 中的 DCE/RPC 流量。选择此选项可以提高文件

和 DCE/RPC 流量检查性能。

  –

选择 

，检查 SMB 中的文件和 DCE/RPC 流量。选择此选项可能会影响性能。

以下各项不支持 SMB 流量检查：

  –

在 SMB2.x 和 SMB3.x 中传输的文件

  –

在启用此选项和应用政策之前在建立的 TCP 或 SMB 会话中传输的文件

  –

单一 TCP 或 SMB 会话同时传输的文件

  –

在多个 TCP 或 SMB 会话之间传输的文件

  –

与非连续数据一起传输的文件 （例如，协商了消息签名时）

  –

与具有相同偏移量的不同数据一起传输的文件 （与数据重叠）

  –

在远程客户端打开用于编辑并由客户端保存到文件服务器的文件

如果 

 设置为 

 或 

，此选项表示在 SMB 流量中检测到文件时检查的字节

数。指定以下各项之一：

  –

1

 到 

2147483647

（约 2GB）之间的任意整数

  –

0

 以检查整个文件

  –

-1

 以禁用文件检查

在此字段中输入的值应等于或小于在访问控制策略中指定的值。如果为此选项设置的值大于
为 

 定义的值，系统会将访问控制策略

设置用作有效的最大值。有关详细信息，请参阅

。

如果 

 设置为 

，此字段将被禁用。

配置 DCE/RPC 预处理器

许可证：保护

可以配置 DCE/RPC 预处理器全局选项以及一个或多个基于目标的服务器策略。

除非启用带有生成器 ID (GID) 133 的规则，否则预处理器不会生成事件。有关与特定检测选项相
关的规则，请参阅

；另请参阅

。

此外，大多数 DCE/RPC 预处理器规则都会针对 SMB、面向连接 DCE/RPC 或无连接 DCE/RPC 流
量中检测到的异常和躲避技术生成事件。下表列出了可为各类流量启用的规则。

表 

流量相关

规则 

流量

预处理器规则 GID:SID

中小企业 (SMB)

133:2 到 133:26，以及 133:48 到 133:57

面向连接 DCE/RPC

133:27 到 133:39

检测无连接 DCE/RPC

133:40 到 133:43