Cisco Cisco Firepower Management Center 2000 User Guide
27-34
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 HTTP 流量
您可以启用规则 120:14、 120:15、 120:16 和 120:17 来生成此选项的事件,如下所述:
Extract Original Client IP Address
允许从 X-Forwarded-For (XFF)、True-Client-IP 或自定义 HTTP 报头提取原始客户端 IP 地址。
可以在入侵事件表视图中显示提取的原始客户端 IP 地址。有关详情,请参见
可以在入侵事件表视图中显示提取的原始客户端 IP 地址。有关详情,请参见
可以启用规则 119:23、 119:29 和 119:30 为此选项生成事件。有关详情,请参见
。
XFF 报头优先级
当启用
Extract Original Client IP Address
时,指定系统处理原始客户端 IP HTTP 报头的顺序。如果
您预期在受监控网络上遇到 X-Forwarded-For (XFF) 或 True-Client-IP 之外的原始客户端 IP 报
头,则可以点击
头,则可以点击
Add
将其他报头名称添加到优先级列表。然后,可以使用每个报头类型旁的
向上和向下箭头图标调整其优先级。请注意,如果在 HTTP 请求中出现多个 XFF 报头,则系
统仅处理优先级最高的报头。
统仅处理优先级最高的报头。
Log URI
允许从 HTTP 请求数据包提取原始 URI (如果有),并将该 URI 与为会话生成的所有入侵事
件相关联。
件相关联。
启用此选项后,可以在入侵事件表视图的 HTTP URI 列中显示提取的 URI 的前 50 个字符。可
以在数据包视图中显示完整的 URI (最多 2048 字节)。有关详细信息,请参阅
以在数据包视图中显示完整的 URI (最多 2048 字节)。有关详细信息,请参阅
和
Log Hostname
允许从 HTTP 请求主机报头中提取主机名 (如果有),并将该主机名与为会话生成的所有入
侵事件相关联。如果存在多个主机报头,将会从第一个报头提取主机名。
侵事件相关联。如果存在多个主机报头,将会从第一个报头提取主机名。
启用此选项后,可以在入侵事件表视图的 HTTP Hostname 列中显示提取的主机名的前 50 个
字符。可以在数据包视图中显示完整的主机名 (最多 256 字节)。有关详细信息,请参阅
字符。可以在数据包视图中显示完整的主机名 (最多 256 字节)。有关详细信息,请参阅
和
可以启用规则 119:25 为此选项生成事件。有关详情,请参见
请注意,在启用了预处理器和规则 119:24 的情况下,如果在 HTTP 请求中检测到多个主机报
头,预处理器将会生成入侵事件,不管此选项的设置如何。有关详情,请参见
头,预处理器将会生成入侵事件,不管此选项的设置如何。有关详情,请参见
。
简档
指定为 HTTP 流量规范化的编码的类型。系统提供了一个适用于大多数服务器的默认配置文
件、适用于 Apache 服务器和 IIS 服务器的若干默认配置文件以及自定义默认设置,您可以对
这些设置进行自定义,以满足受监控流量的需求。有关详情,请参见
件、适用于 Apache 服务器和 IIS 服务器的若干默认配置文件以及自定义默认设置,您可以对
这些设置进行自定义,以满足受监控流量的需求。有关详情,请参见
表
27-8
解压缩
PDF
文件
(Deflate)
选项规则
规则
会触发事件的情况
120:14
文件解压缩失败。
120:15
由于一种不支持的压缩类型,导致文件解压缩失败。
120:16
由于一种不支持的 PDF 流过滤器,导致文件解压缩失败。
120:17
文件解析失败。