Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
28-2
FireSIGHT 系统用户指南
  
 28       配置 SCADA 预处理         
  配置 Modbus 预处理器
请注意,关于 Modbus 预处理器的使用,如果您的网络不包含任何启用了 Modbus 的设备,您不
应该在应用于流量的网络分析策略中启用此预处理器。
可以按照以下步骤修改 Modbus 预处理器监控的端口。
要配置 Modbus 预处理器,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择 
Policies > Access Control
 显示 Access Control Policy 页面,然后点击 
Network Analysis Policy
系统将显示 Network Analysis Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标  (
)。
如果在另一策略中的更改尚未保存,请点击 
OK
 放弃这些更改并继续操作。有关保存其他策略中
尚未保存的更改的详细信息,请参阅
系统将显示 Policy Information 页面。
步骤 3
点击左侧导航面板中的 
Settings
系统将显示 Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了 
SCADA Preprocessors
 下的 
Modbus Configuration
  •
如果该配置已启用,请点击 
Edit
  •
如果该配置已禁用,请点击 
Enabled
,然后点击 
Edit
系统将显示 Modbus Configuration 页面。页面底部消息会识别包含配置的网络分析策略层。有关
详情,请参见
步骤 5
或者,在 
Ports
 中修改预处理器要检查其 Modbus 流量的端口。可指定 0 到 65535 之间的整数。使
用逗号分隔多个端口。
步骤 6
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详情,请参见
表 
28-1
Modbus 
预处理器规则 
预处理器规则 
GID:SID
说明
144:1
如果 Modbus 报头中的长度与 Modbus 函数代码所要求的长度不匹配,将会
生成事件。
每个 Modbus 函数都有预期的请求和响应格式。如果消息长度与预期格式不
匹配,将会生成此事件。
144:2
如果 Modbus 协议 ID 未非零值,将会生成事件。协议 ID 字段用于将其他协
议与 Modbus 协议复用。由于预处理器并不处理此类其他协议,因此会生成
此事件。
144:3
如果预处理器检测到保留的 Modbus 函数代码,将会生成事件。