Cisco Cisco Firepower Management Center 2000 User Guide
28-3
FireSIGHT 系统用户指南
第 28 章 配置 SCADA 预处理
配置 DNP3 预处理器
配置 DNP3 预处理器
许可证:保护
分布式网络协议 (DNP3) 是一种 SCADA 协议,最初开发用于为电站之间提供一致的通信。DNP3
还广泛应用于供水、废物处置、运输及其他行业。
还广泛应用于供水、废物处置、运输及其他行业。
DNP3 预处理器可检测 DNP3 流量中的异常,解码 DNP3 协议以供规则引擎进行处理 (规则引擎
使用 DNP3 关键字来访问某些协议字段)。有关详情,请参见
使用 DNP3 关键字来访问某些协议字段)。有关详情,请参见
如果要下表中所列的 DNP3 预处理器规则生成事件,必须启用这些规则。有关启用规则的详细信
息,请参阅
息,请参阅
请注意,关于 DNP3 预处理器的使用,如果您的网络不包含任何启用了 DNP3 的设备,您不应该
在应用于流量的网络分析策略中启用此预处理器。有关详情,请参见
在应用于流量的网络分析策略中启用此预处理器。有关详情,请参见
以下列表说明可配置的 DNP3 预处理器选项。
端口
启用对每个指定端口的 DNP3 流量检查。可以指定单个端口或端口的逗号分隔列表。可以为
每个端口指定一个 0 到 65535 之间的值。
每个端口指定一个 0 到 65535 之间的值。
Log bad CRCs
如果启用此选项,将会验证包含在 DNP3 链路层帧中的校验和。具有无效校验和的帧将被忽略。
可以启用规则 145:1,以便在检测到无效校验和时生成事件。
要配置 DNP3 预处理器,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Access Control
显示 Access Control Policy 页面,然后点击
Network Analysis Policy
。
系统将显示 Network Analysis Policy 页面。
表
28-2
DNP3
预处理器规则
预处理器规则
GID:SID
GID:SID
说明
145:1
在
Log bad CRC
已启用的情况下,如果预处理器检测到具有无效校验和的链路层
帧,将会生成事件。
145:2
如果预处理器检测到具有无效长度的 DNP3 链路层帧,将会生成事件并阻止
该数据包。
该数据包。
145:3
如果预处理器检测到具有无效序列号的传输层分段,将会生成事件并在重组
期间阻止数据包。
期间阻止数据包。
145:4
如果需要清除 DNP3 重组缓冲区后才能重组完整的分片,将会生成事件。如
果在其他分片已加入队列后出现带有 FIR 标志的分片,将会发生这种情况。
果在其他分片已加入队列后出现带有 FIR 标志的分片,将会发生这种情况。
145:5
如果预处理器检测到使用保留地址的 DNP3 链路层帧,将会生成事件。
145:6
如果预处理器检测到使用保留函数代码的 DNP3 请求或响应,将会生成事件。