Cisco Cisco Firepower Management Center 2000 User Guide
27-56
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 SMTP 流量
注
即使
Valid Commands
列表为空,预处理器仍会将下列命令看作有效命令:ATRN、 AUTH、 BDAT、
DATA、 DEBUG、 EHLO、 EMAL、 ESAM、 ESND、 ESOM、 ETRN、 EVFY、 EXPN、 HELO、
HELP、 IDENT、 MAIL、 NOOP、 QUIT、 RCPT、 RSET、 SAML、 SOML、 SEND、 ONEX、
QUEU、 STARTTLS、 TICK、 TIME、 TURN、 TURNME、 VERB、 VRFY、 X-EXPS、
X-LINK2STATE、XADR、XAUTH、XCIR、XEXCH50、XGEN、XLICENSE、XQUE、XSTA、
XTRN 或 XUSR。
HELP、 IDENT、 MAIL、 NOOP、 QUIT、 RCPT、 RSET、 SAML、 SOML、 SEND、 ONEX、
QUEU、 STARTTLS、 TICK、 TIME、 TURN、 TURNME、 VERB、 VRFY、 X-EXPS、
X-LINK2STATE、XADR、XAUTH、XCIR、XEXCH50、XGEN、XLICENSE、XQUE、XSTA、
XTRN 或 XUSR。
步骤 14
在
Data Commands
字段中指定您希望以与 SMTP DATA 命令按照 RFC5321 的要求发送数据相同的
方法发起数据发送的任何命令。使用空格分隔各个命令。
步骤 15
在
Binary Data Commands
字段中指定您希望以与 BDAT 命令按照 RFC 3030 的要求发送数据类似的
方法发起数据发送的任何命令。使用空格分隔各个命令。
步骤 16
在
Authentication Commands
字段中指定发起客户端和服务器之间的身份验证交换的任何命令。使用
空格分隔各个命令。
步骤 17
检测作为 X-Link2State Microsoft Exchange 缓冲区数据溢出攻击的一部分的数据包,请选择
Detect
xlink2state
。
步骤 18
要为不同类型的邮件附件指定要提取和解码的数据的最大字节数,请为以下任何类型的附件指定
一个值:
一个值:
•
Base64 Decoding Depth
•
7-Bit/8-Bit/Binary Decoding Depth
(包括各种多部分内容类型,例如纯文本格式、jpeg 图像、mp3
文件等)
•
Quoted-Printable Decoding Depth
•
Unix-to-Unix Decoding Depth
可指定 1 到 65535 字节,或者指定 0 以提取和(必要时)解码该类型数据包中的所有数据。指定 -1
将会忽略附件类型的数据。
将会忽略附件类型的数据。
可以在入侵规则中使用
file_data
要提取和解码跨数据包数据或跨越多个 TCP 分段的数据,还必须选择 SMTP
Stateful Inspection
选项。
步骤 19
配置用于将上下文信息与 SMTP 流量触发的入侵事件相关联的选项:
•
要允许提取 MIME 附件文件名以便与入侵事件相关联,请选择
Log MIME Attachment Names
。
•
要允许提取收件人邮件地址,请选择
Log To Addresses
。
•
要允许提取发件人邮件地址以便与入侵事件相关联,请选择
Log From Addresses
。
•
要提取邮件报头以便与入侵事件相关联并编写用于检查邮件报头的规则,请选择
Log Headers
。
请注意,报头信息显示在入侵事件数据包视图中。另请注意,还可以编写将使用
content
或
protected_content
关键字以及邮件报头数据作为模式的入侵规则。有关详细信息,请参阅
。
或者,可以在
Header Log Depth
中指定 0 到 20480 字节之间的邮件标头,便于进行提取。值 0 将
会禁用
Log Headers
。
步骤 20
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详情,请参见
退出。有关详情,请参见
。