Cisco Cisco Firepower Management Center 2000 User Guide

29-10

FireSIGHT 系统用户指南

第 29 章      配置传输和网络层预处理       

  对 IP 数据包进行分片重组

要配置内联规范化预处理器，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

选择 

 显示 Access Control Policy 页面，然后点击 

。

系统将显示 Network Analysis Policy 页面。

步骤 2

点击要编辑的策略旁边的编辑图标  (

)。

如果在另一策略中的更改尚未保存，请点击 

 放弃这些更改并继续操作。有关保存其他策略中

尚未保存的更改的详细信息，请参阅

。

系统将显示 Edit Policy 页面。

步骤 3

点击左侧导航面板中的 

。

系统将显示 Settings 页面。

步骤 4

根据在 Transport/Network Layer Preprocessors 下是否已启用 

，有两个选项：

如果该配置已启用，请点击 

。

如果该配置已禁用，请点击 

，然后点击 

。

系统将显示 Inline Normalization 页面。页面底部消息会标识出包含配置的策略层。有关详细信
息，请参阅

步骤 5

您可以设置

步骤 6

保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置，或在系统缓存中保留变更后
退出。有关详细信息，请参阅

。

对 IP 数据包进行分片重组

许可证：保护

由于 IP 数据报大于最大传输单位 (MTU) 而将其分为两个或多个更小的 IP 数据报，这个过程即为
数据报

分片。单个 IP 数据报片段可能未包含足够的信息来识别隐藏攻击。攻击者可能尝试通过将

攻击数据传输到分片数据包中来躲避检测。规则引擎对分片的 IP 数据报执行规则之前， IP 分片
重组预处理器会重组这些数据报，以便规则可以更适当地识别这些数据包中的攻击。如果分片的
数据报无法重组，则不对其执行规则。

请注意，如果您希望 IP 分片重组预处理器规则生成事件，则必须启用这些规则，其生成器 ID 
(GID) 为 123。有关详细信息，请参阅

。

有关详细信息，请参阅以下各节：