Cisco Cisco Firepower Management Center 2000 User Guide
27-32
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 HTTP 流量
Normalize UTF Encodings to UTF-8
如果启用了
Inspect HTTP Responses
,此选项检测 HTTP 响应中的 UTF-16LE、 UTF-16BE、
UTF-32LE 和 UTF32-BE 编码,并将其规范化为 UTF-8。
可以启用规则 120:4 为此选项生成事件。有关详情,请参见
。
Inspect Compressed Data
当
Inspect HTTP Responses
已启用时,此选项启用 HTTP 响应正文中的 gzip 和兼容 deflate 的压
缩数据的解压,以及对规范化解压缩数据的检查。系统将检查分块和非分块 HTTP 响应数
据。系统会根据需要逐一检查多个数据包中的解压缩数据;也就是说,系统不会将来自不同
数据包的解压缩数据合并来进行检查。当达到
据。系统会根据需要逐一检查多个数据包中的解压缩数据;也就是说,系统不会将来自不同
数据包的解压缩数据合并来进行检查。当达到
Maximum Compressed Data Depth
或
Maximum
Decompressed Data Depth
中指定的值,或者达到压缩数据末尾时,解压缩将会结束。当达到
Server Flow Depth
中指定的值时,对解压缩数据的检查将会结束,除非还选择了
Unlimited
Decompression
。可以使用
file_data
规则关键字检查解压缩数据;有关详细信息,请参阅
Unlimited Decompression
当启用
Inspect Compressed Data
(或者
Decompress SWF File (LZMA)
、
Decompress SWF File (Deflate)
或
Decompress PDF File (Deflate)
)时,会覆盖跨多个数据包的
Maximum Decompressed Data Depth
;即,
此选项会启用跨多个数据包的无限解压缩。请注意,启用此选项不会影响单个数据包中的
Maximum Compressed Data Depth
或
Maximum Decompressed Data Depth
。另请注意,如果启用此选
项,提交修改时
Maximum Compressed Data Depth
和
Maximum Decompressed Data Depth
将会设置为
65535。请参阅
。
Normalize Javascript
当
Inspect HTTP Responses
已启用时,此选项启用对 HTTP 响应正文中 Javascript 的检测和规范
化。预处理器会对模糊 JavaScript 数据 (例如, unescape 函数、 decodeURI 函数和
String.fromCharCode 方法)进行规范化。预处理器会对 unescape、 decodeURI 和
decodeURIComponent 函数中的以下编码进行规范化:
String.fromCharCode 方法)进行规范化。预处理器会对 unescape、 decodeURI 和
decodeURIComponent 函数中的以下编码进行规范化:
–
%XX
–
%uXXXX
–
0xXX
–
\xXX
–
\uXXXX
预处理器检测连续空格,并将其规范化为一个空格。此选项处于启用状态时,配置字段允许
您指定模糊 Javascript 数据中允许的最大连续空格数量。可输入 1 到 65535 之间的值。值 0 将
会禁止生成事件,不管与该字段相关的预处理器规则 (120:10) 是否启用。
您指定模糊 Javascript 数据中允许的最大连续空格数量。可输入 1 到 65535 之间的值。值 0 将
会禁止生成事件,不管与该字段相关的预处理器规则 (120:10) 是否启用。
预处理器还会对 Javascript 加号 (+) 运算符进行规范化,并使用该运算符连接字符串。
可以使用
file_data
关键字使入侵规则指向规范化的 Javascript 数据。有关详情,请参见
可以启用规则 120:9、 120:10 和 120:11 为此选项生成事件,如下所示:
表
27-6
规范化
Javascript
选项规则
规则
会触发事件的情况
120:9
预处理器内的模糊级别大于或等于 2。