Cisco Cisco Firepower Management Center 2000 User Guide
27-33
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 HTTP 流量
有关详情,请参见
。
解压缩 SWF 文件 (LZMA) 和解压缩 SWF 文件 (Deflate)
当启用
HTTP Inspect Responses
时,这些选项会解压缩位于 HTTP 请求的 HTTP 响应正文内的文
件的压缩部分。
注
您只能解压缩在 HTTP GET 响应中找到的文件的压缩部分。
– Decompress SWF File (LZMA)
可解压缩 Adobe ShockWave Flash (
.swf
) 文件的 LZMA 兼容压缩
部分
– Decompress SWF File (Deflate)
可解压缩 Adobe ShockWave Flash (
.swf
) 文件的 Deflate 兼容压
缩部分
当达到
Maximum Compressed Data Depth
或
Maximum Decompressed Data Depth
中指定的值,或者达
到压缩数据末尾时,解压缩将会结束。当达到
Server Flow Depth
中指定的值时,对解压缩数据
的检查将会结束,除非还选择了
Unlimited Decompression
。可以使用
file_data
规则关键字检查
。
可以启用规则 120:12 和 120:13 为此选项生成事件,如下所述:
解压缩 PDF 文件 (Deflate)
当启用
HTTP Inspect Responses
时,
Decompress PDF File (Deflate)
会解压缩位于 HTTP 请求的 HTTP
响应正文内的可移植文件格式 (
.pdf
) 文件的 deflate 兼容压缩部分。系统只能使用
/FlateDecode
流过滤器解压缩 PDF 文件。其他流过滤器 (包括
/FlateDecode
/FlateDecode
)不受支持。
注
您只能解压缩在 HTTP GET 响应中找到的文件的压缩部分。
当达到
Maximum Compressed Data Depth
或
Maximum Decompressed Data Depth
中指定的值,或者达
到压缩数据末尾时,解压缩将会结束。当达到
Server Flow Depth
中指定的值时,对解压缩数据
的检查将会结束,除非还选择了
Unlimited Decompression
。可以使用
file_data
规则关键字检查
。
120:10
Javascript 模糊数据中的连续空格数量大于或等于为允许的最大连续空格
数量配置的值。
数量配置的值。
120:11
经转义或编码的数据包含多于一种类型的编码。
表
27-6
规范化
Javascript
选项规则 (续)
规则
会触发事件的情况
表
27-7
解压缩
SWF
文件选项规则
规则
会触发事件的情况
120:12
deflate 文件解压缩失败。
120:13
LZMA 文件解压缩失败。