Cisco Cisco Firepower Management Center 2000 User Guide
27-55
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 SMTP 流量
要配置 SMTP 解码选项,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Access Control
显示 Access Control Policy 页面,然后点击
Network Analysis Policy
。
系统将显示 Network Analysis Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
系统将显示 Policy Information 页面。
步骤 3
点击左侧导航面板中的
Settings
。
系统将显示 Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了 Application Layer Preprocessors 下的
SMTP Configuration
:
•
如果该配置已启用,请点击
Edit
。
•
如果该配置已禁用,请点击
Enabled
,然后点击
Edit
。
系统将显示 SMTP Configuration 页面。下图显示了防御中心数据包视图。页面底部消息会识别包
含配置的网络分析策略层。有关详情,请参见
含配置的网络分析策略层。有关详情,请参见
。
步骤 5
在
Ports
中指定应解码其 SMTP 流量的端口,端口之间用逗号分隔。
步骤 6
选择
Stateful Inspection
将会检查包含 SMTP 数据包的重组 TCP 数据流。清除
Stateful Inspection
将只
会检查非重组数据包
步骤 7
配置规范化选项:
•
要对所有命令进行规范化,请选择
All
。
•
要只对
Custom Commands
中指定的命令进行规范化,请选择
Cmds
并指定要规范化的命令。使
用空格分隔各个命令。
•
如果不想对任何命令进行规范化,请选择
None
。
•
要忽略除 MIME 邮件报头数据以外的邮件数据,请选择
Ignore Data
。
•
要忽略根据传输层安全协议加密的数据,请选择
Ignore TLS Data
。
•
要禁止在随附的预处理器规则已启用的情况下生成事件,请选择
No Alerts
。
•
要检测 SMTP 数据中的未知命令,请选择
Detect Unknown Commands
。
步骤 8
在
Max Command Line Len
字段中指定最大命令行长度。
步骤 9
在
Max Header Line Len
字段中指定最大数据报头行长度。
步骤 10
在
Max Response Line Len
字段中指定最大响应行长度。
注
RCPT TO 和 MAIL FROM 是 SMTP 命令。对这两个命令,预处理器配置分别使用命令名 RCPT 和
MAIL。在代码中,预处理器会将 RCPT 和 MAIL 映射到正确的命令名。
MAIL。在代码中,预处理器会将 RCPT 和 MAIL 映射到正确的命令名。
步骤 11
如有需要,点击
Alt Max Command Line Len
旁边的
Add
,添加要为其指定替代最大命令行长度的命
令,然后指定行长度以及要对其应用该指定长度的命令 (命令之间用空格隔开)。
步骤 12
在
Invalid Commands
字段中指定要将其看作无效命令并进行检测的任何命令。使用空格分隔各个命令。
步骤 13
在
Valid Commands
字段中指定要将其看作有效命令的任何命令。使用空格分隔各个命令。