Cisco Cisco Firepower Management Center 2000 User Guide

27-47

FireSIGHT 系统用户指南 

第 27 章      使用应用层预处理器 

  解码 IMAP 流量    

配置 IMAP 预处理器

许可证：保护

可按照以下步骤配置 IMAP 预处理器。有关 IMAP 预处理器配置选项的更多信息，请参阅

。

要配置 IMAP 预处理器，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

 显示 Access Control Policy 页面，然后点击 

。

系统将显示 Network Analysis Policy 页面。

步骤 2

点击要编辑的策略旁边的编辑图标  (

)。

如果在另一策略中的更改尚未保存，请点击 

 放弃这些更改并继续操作。有关保存其他策略中

系统将显示 Policy Information 页面。

步骤 3

点击左侧导航面板中的 

。

系统将显示 Settings 页面。

步骤 4

您有两种选择，具体取决于是否启用了 Application Layer Preprocessors 下的 

：

如果该配置已启用，请点击 

。

如果该配置已禁用，请点击 

，然后点击 

。

系统将显示 IMAP Configuration 页面。页面底部消息会识别包含配置的网络分析策略层。有关详
情，请参见

步骤 5

在 

 中指定应解码其 IMAP 流量的端口。使用逗号分隔多个端口号。

步骤 6

指定要从以下邮件附件类型的任意组合中提取和解码数据的最大字节数：

（包括各种多部分内容类型，例如纯文本格式、jpeg 图像、mp3 

文件等）

对于每种类型，可指定 1 到 65535 字节；或者指定 0 以提取和 （如有必要）解码数据包中的所有
数据。指定 -1 将会忽略附件类型的数据。

可以在入侵规则中使用 

file_data

 规则关键字来检查附件数据。有关详情，请参见

步骤 7

保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置，或在系统缓存中保留变更后
退出。有关详情，请参见

。