Cisco Cisco Firepower Management Center 2000 User Guide
27-18
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 FTP 和 Telnet 流量
•
如有需要,可选择
Continue to Inspect Encrypted Data
,以便在数据流加密后继续检查数据流,以
及如果数据流再次解码,可以对其进行处理。
步骤 6
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详情,请参见
退出。有关详情,请参见
。
了解 Telnet 选项
许可证:保护
可以通过 FTP/Telnet 解码器启用或禁用 Telnet 命令规范化,启用或禁用特定异常情况,以及设置
允许的 Are You There (AYT) 攻击阈值。
允许的 Are You There (AYT) 攻击阈值。
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
端口
指明要实现 Telnet 流量规范化的端口。可在此界面列出多个端口,端口之间用逗号分隔。
Normalize
对流向指定端口的 Telnet 流量进行规范化。
Detect Anomalies
检测没有对应 SE (下级协商终点)的 Telnet SB (下级协商起点)。
Telnet 支持以 SB (下级协商起点)开始并且必须以 SE 结束 (下级协商终点)的下级协商。
但是, Telnet 服务器的某些实现将忽略无对应 SE 的 SB。这是异常行为,可能意味着存在躲
避行为。由于 FTP 在控制接口使用 Telnet 协议,因此也容易受此行为影响。
但是, Telnet 服务器的某些实现将忽略无对应 SE 的 SB。这是异常行为,可能意味着存在躲
避行为。由于 FTP 在控制接口使用 Telnet 协议,因此也容易受此行为影响。
如果在 Telnet 流量中检测到这种异常,可以启用规则 126:3 生成事件;如果在 FTP 命令通道
中检测到这种异常,可以启用规则 125:9 生成事件。有关详情,请参见
中检测到这种异常,可以启用规则 125:9 生成事件。有关详情,请参见
Are You There Attack Threshold Number
检测超过指定阈值的连续 AYT 命令数量。思科建议您将 AYT 阈值设置为不超过 20 的数值。
可以启用规则 126:1 为此选项生成事件。有关详情,请参见
。
配置 Telnet 选项
许可证:保护
可以启用或禁用规范化,启用或禁用特定异常情况,以及控制允许的 Are You There (AYT) 攻击阈
值。有关 Telnet 选项的更多信息,请参阅
值。有关 Telnet 选项的更多信息,请参阅
。
要配置 Telnet 选项,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Access Control
显示 Access Control Policy 页面,然后点击
Network Analysis Policy
。
系统将显示 Network Analysis Policy 页面。