Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
27-35
FireSIGHT 系统用户指南 
 
 27       使用应用层预处理器 
  解码 HTTP 流量    
选择服务器级别的 HTTP 规范化编码选项
许可证:保护
可以选择服务器级别的 HTTP 规范化选项来指定为 HTTP 流量进行规范化的编码类型,并使系统
针对包含指定类型编码的流量生成事件。
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
ASCII Encoding
对编码的 ASCII 字符进行解码,并指定规则引擎是否生成关于 ASCII 编码 URI 的事件。
可以启用规则 119:1 为此选项生成事件。有关详情,请参见
UTF-8 Encoding
对 URI 中的标准 UTF-8 Unicode 序列进行解码。
可以启用规则 119:6 为此选项生成事件。有关详情,请参见
Microsoft %U Encoding
对 IIS %u 编码方案进行解码(该编码方案使用 %u,%u 后紧跟着 4 个字符;其中的 4 个字符
为十六进制编码的值,并与 IIS Unicode 代码点相关)。
提示
合法的客户端很少使用 %u 编码,因此,思科建议对使用 %u 编码的 HTTP 流量进行解码。
可以启用规则 119:3 为此选项生成事件。有关详情,请参见
Bare Byte UTF-8 Encoding
对裸字节编码进行解码 (这种解码方法使用非 ASCII 字符作为解码 UTF-8 值时的有效值)。
提示
裸字节编码允许用户模拟 IIS 服务器和正确解释非编码标准。思科建议启用此选项,因为合法的
客户端不以这种方式编码 UTF-8。
可以启用规则 119:4 为此选项生成事件。有关详情,请参见
Microsoft IIS Encoding
使用 Unicode 代码点映射进行解码。
提示
思科建议启用此选项,因为它主要出现在攻击和躲避尝试中。
可以启用规则 119:7 为此选项生成事件。有关详情,请参见
Double Encoding
通过在每个进行解码的请求 URI 中形成两条通道,解码 IIS 双编码流量。思科建议启用此选
项,因为它通常只存在于攻击情况中。
可以启用规则 119:2 为此选项生成事件。有关详情,请参见