Cisco Cisco Firepower Management Center 2000 User Guide
29-9
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
规范化内联流量
Allow These TCP Options
禁用您在流量中允许的特定 TCP 选项的规范化。
系统不对您明确允许的选项进行规范化。系统会通过将您未明确允许的选项设置为 No
Operation (TCP 选项 1)来规范化这些选项。
Operation (TCP 选项 1)来规范化这些选项。
系统始终允许 Maximum Segment Size (MSS)、 Window Scale 和 Time Stamp TCP 选项,因为
这些选项常用于实现最佳 TCP 性能。无论
这些选项常用于实现最佳 TCP 性能。无论
Allow These TCP Options
的配置如何,系统都会规范
化这些常用选项。系统不会自动允许其他不太常用的选项。
您可以通过配置选项关键字和/或选项编号的逗号分隔列表来允许特定选项,如下例所示:
sack, echo, 19
指定选项关键字等同于指定与该关键字相关的一个或多个 TCP 选项的编号。例如,指定
sack
等同于指定 TCP 选项 4 (Selective Acknowledgement Permitted) 和选项 5 (Selective
Acknowledgement)。选项关键字不区分大小写。
Acknowledgement)。选项关键字不区分大小写。
您还可以指定
any
,这样将会允许所有 TCP 选项并有效地禁用所有 TCP 选项的规范化。
下表总结了如何指定要允许的 TCP 选项。如果将字段留空,则系统仅允许 MSS、 Window
Scale 和 Time Stamp 选项。
Scale 和 Time Stamp 选项。
当没有为此选项指定
any
,规范化包括以下内容:
•
除 MSS、 Window Scale、 Time Stamp 及任何明确允许的选项以外,所有选项字节都设置为
No Operation (TCP 选项 1)
No Operation (TCP 选项 1)
•
如果时间戳存在但无效,或者有效但未协商,则将时间戳八位元设置为 No Operation
•
如果时间戳已协商但不存在,则阻止数据包
•
如果未设置 Acknowledgement (ACK) 控制位,则清除 Time Stamp Echo Reply (TSecr) 选项
字段
字段
•
如果未设置 SYN 控制位,则将 MSS 和 Window Scale 选项设置为 No Operation (TCP 选项 1)
可指定的内容
以允许......
sack
TCP 选项 4 (Selective Acknowledgement Permitted) 和选
项 5 (Selective Acknowledgement)
项 5 (Selective Acknowledgement)
echo
TCP 选项 6 (Echo Request) 和选项 7 (Echo Reply)
partial_order
TCP 选项 9 (Partial Order Connection Permitted) 和选项
10 (Partial Order Service Profile)
10 (Partial Order Service Profile)
conn_count
TCP 连接计数选项 11 (CC)、选项 12 (CC.New) 和选项
13 (CC.Echo)
13 (CC.Echo)
alt_checksum
TCP 选项 14 (Alternate Checksum Request) 和选项 15
(Alternate Checksum)
(Alternate Checksum)
md5
TCP 选项 19 (MD5 Signature)
选项编号 (2 至 255) 特定选项,包括没有关键字的选项
any
any
所有 TCP 选项;此设置会有效地禁用 TCP 选项规范化