Cisco Cisco Firepower Management Center 2000 User Guide

27-45

FireSIGHT 系统用户指南 

第 27 章      使用应用层预处理器 

  解码 IMAP 流量    

要配置 GTP 命令通道，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

 显示 Access Control Policy 页面，然后点击 

。

系统将显示 Network Analysis Policy 页面。

步骤 2

点击要编辑的策略旁边的编辑图标  (

)。

如果在另一策略中的更改尚未保存，请点击 

 放弃这些更改并继续操作。有关保存其他策略中

系统将显示 Policy Information 页面。

步骤 3

点击左侧导航面板中的 

。

系统将显示 Settings 页面。

步骤 4

您有两种选择，具体取决于是否启用了 Application Layer Preprocessors 下的 

：

如果该配置已启用，请点击 

。

如果该配置已禁用，请点击 

，然后点击 

。

系统将显示 GTP Command Channel Configuration 页面。

步骤 5

或者，修改预处理器进行 GTP 命令消息检查的端口。可指定 0 到 65535 之间的整数。使用逗号分
隔多个端口。

步骤 6

保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置，或在系统缓存中保留变更后
退出。有关详情，请参见

。

解码 IMAP 流量

许可证：保护

互联网邮件应用协议 (IMAP) 用于从远程 IMAP 服务器检索邮件。IMAP 预处理器检查服务器到客
户端的 IMAP4 流量，如果相关的预处理器规则已启用，还会生成关于异常流量的事件。此预处
理器还可以提取和解码客户端到服务器 IMAP4 流量中的邮件附件，并将附件数据发送到规则引
擎。可以在入侵规则中使用 

file_data 

关键字以指向附件数据。有关详情，请参见

提取和解码涵盖多个附件 （如果有）以及同时存在于多个数据包中的大型附件。

如果要 IMAP 预处理器规则生成事件，必须启用这些规则。 IMAP 预处理器规则有生成器 ID 
(GID) 141。有关详细信息，请参阅

有关详细信息，请参阅以下各节：