Cisco Cisco Firepower Management Center 2000 User Guide
27-48
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 POP 流量
启用其他 IMAP 预处理器规则
许可证:保护
下表中的 IMAP 预处理器规则与特定配置选项无关。与其他 IMAP 预处理器规则一样,如果要使
这些规则生成事件,必须启用它们。有关启用规则的详细信息,请参阅
这些规则生成事件,必须启用它们。有关启用规则的详细信息,请参阅
。
解码 POP 流量
许可证:保护
邮局协议 (POP) 用于从远程 POP 邮件服务器检索邮件。 POP 预处理器检查服务器到客户端的
POP3 流量,如果相关的预处理器规则已启用,还会生成关于异常流量的事件。此预处理器还可
以提取和解码客户端到服务器 POP3 流量中的邮件附件,并将附件数据发送到规则引擎。可以在
入侵规则中使用
POP3 流量,如果相关的预处理器规则已启用,还会生成关于异常流量的事件。此预处理器还可
以提取和解码客户端到服务器 POP3 流量中的邮件附件,并将附件数据发送到规则引擎。可以在
入侵规则中使用
file_data
关键字以指向附件数据。有关详情,请参见
。
提取和解码涵盖多个附件 (如果有)以及同时存在于多个数据包中的大型附件。
如果要 POP 预处理器规则生成事件,必须启用这些规则。 POP 预处理器规则的生成器 ID (GID)
为 142。有关详情,请参见
为 142。有关详情,请参见
。
有关详细信息,请参阅以下各节:
•
•
•
选择 POP 预处理器选项
许可证:保护
以下列表说明可修改的 POP 预处理器选项。
请注意,解码 (或提取,如果 MIME 邮件附件不要求解码)涵盖多个附件 (如果有)以及同时
存在于多个数据包中的大型附件。
存在于多个数据包中的大型附件。
另请注意,如果在与访问控制策略的默认操作相关的入侵策略以及与访问控制规则相关的入侵策
略中,
略中,
Base64 Decoding Depth
、
7-Bit/8-Bit/Binary Decoding Depth
、
Quoted-Printable Decoding Depth
或
Unix-to-Unix Decoding Depth
选项的值不同,将会使用最大值。
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
表
27-12
其他
IMAP
预处理器规则
预处理器规则
GID:SID
GID:SID
说明
141:1
如果预处理器检测到未在 RFC 3501 中定义的客户端命令,将会生成事件。
141:2
如果预处理器检测到未在 RFC 3501 中定义的服务器响应,将会生成事件。
141:3
如果预处理器正在使用系统允许的最大内存量,将会生成事件。在这种情况
下,预处理将会停止解码,直至内存可用。
下,预处理将会停止解码,直至内存可用。