Cisco Cisco Firepower Management Center 2000 User Guide

27-31

FireSIGHT 系统用户指南 

第 27 章      使用应用层预处理器 

  解码 HTTP 流量    

例如，将 

 设置为 10 并将 

 设置为 5，可检测包含 10 个或

更少字节的 5 个连续数据块。

对于客户端流量和服务器流量，可分别启用预处理器规则 119:27 和 120:7 针对过多小数据块
这种情况触发事件。如果 

 已启用且此选项设置为 0 或 1，启用这些规则将会对

每个指定大小或更小的数据块触发事件。有关详情，请参见

指定除系统预期会在流量中遇到的 GET 和 POST 以外的 HTTP 请求方法。使用逗号隔开多个值。

入侵规则结合使用 

content

 或 

protected_content

 关键字及其 

 参数来搜索 HTTP 

方法中的内容。请参阅

。如果在流量中遇到 GET、POST 或为

此选项配置的方法以外的方法，可以启用规则 119:31 生成事件。

当随附的预处理器规则处于启用状态时禁用入侵事件。

注

此选项不会禁用 HTTP 标准文本规则和共享对象规则。

当 

 处于启用状态时，启用请求和响应报头中非 cookie 数据的规范化。如

果未启用 

，启用请求和响应报头中 HTTP 报头 （包括 cookie）的规范化。

允许从 HTTP 请求提取 cookie。如果 

 已启用，还允许从响应报头提取 

set-cookie 数据。当不需要提取 cookie 时，禁用此选项可提高性能。

请注意，

Cookie:

 和 

Set-Cookie:

 报头名称、标题行中的前导空格以及终止标题行的 

CRLF

 将

作为报头的一部分而非 cookie 的一部分进行检查。

启用 HTTP 请求报头中 cookie 的规范化。当 

 处于启用状态时，还会启用

响应报头中 set-cookie 数据的规范化。选择了 

 之后才能选择此选项。

允许将受监控的网络服务器用作 HTTP 代理。此选项仅用于检查 HTTP 请求。

仅检查规范化 HTTP 请求数据包的 URI 部分。

启用对 HTTP 响应的延展检查，从而使预处理器不仅会对 HTTP 请求消息进行解码和规范
化，还会提取响应字段以供规则引擎进行检查。启用此选项后，系统会提取响应报头、正
文、状态代码等；如果还启用了 

，系统还会提取 set-cookie 数据。有关详

细信息，请参阅

。

可以启用规则 120:2 和 120:3 为此选项生成事件。有关详情，请参见