Cisco Cisco Firepower Management Center 2000 User Guide

29-14

FireSIGHT 系统用户指南

第 29 章      配置传输和网络层预处理       

  了解数据包解码

步骤 3

点击左侧导航面板中的 

。

系统将显示 Settings 页面。

步骤 4

根据是否已启用 Transport/Network Layer Preprocessors 下的 

，有两个选项：

如果该配置已启用，请点击 

。

如果该配置已禁用，请点击 

，然后点击 

。

系统将显示 IP Defragmentation 页面。页面底部消息会标识出包含配置的策略层。有关详细信息，
请参阅

步骤 5

或者，可以修改 Global Settings 页面区域中的 

 设置。

步骤 6

此时您有两种选择：

添加新的基于目标的策略。点击页面左侧 

 旁边的添加图标  (

)。系统将显示 Add 

Target 弹出窗口。在

 字段中指定一个或多个 IP 地址，然后点击 

。

可以指定单个 IP 地址或地址块，或者单个 IP 地址和/或地址块的逗号分隔列表。您可以创建
总共 255 个基于目标的策略 （包括默认策略）。有关在 FireSIGHT 系统中使用 IP 地址块的信
息，请参阅

。

请注意，为使基于目标的策略可以处理流量，您识别的网络必须与由网络分析策略 （其中已
配置该基于目标的策略）处理的网络、区域和 VLAN 匹配或者是其子集。有关详细信息，请
参阅

。

新条目将出现在页面左侧的目标列表中，突出显示以表明其已被选定；Configuration 部分会
进行更新，以反映所添加的策略的当前配置。

修改现有基于目标的策略的设置。点击您在页面左侧

 中添加的策略的配置地址，或者点

击

。

所选项目将会突出显示，并且 Configuration 部分会进行更新以显示所选策略的当前配置。要
删除现有的基于目标的策略，请点击要删除的策略旁边的删除图标  (

)。

步骤 7

或者，您可以修改 Configuration 页面区域中的任意选项。

步骤 8

保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置，或在系统缓存中保留变更后
退出。有关详细信息，请参阅

。

了解数据包解码

许可证：保护

在将捕获的数据包发送到预处理器之前，系统首先会将数据包发送到数据包解码器。数据包解码
器将数据包报头和负载转换为便于预处理器和规则引擎使用的格式。从数据链路层开始，每个堆
栈层依次进行解码，并继续至网络层和传输层。

请注意，如果您希望数据包解码器规则生成事件，则必须启用这些规则，其生成器 ID (GID) 为 
116。有关详细信息，请参阅

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

解码 GTP 数据信道

解码封装的 GTP （通用分组无线业务 [GPRS] 隧道协议）数据通道。默认情况下，解码器会解码
端口 3386 上的版本 0 数据和端口 2152 上的版本 1 数据。您可以使用 

GTP_PORTS

 默认变量修改用

于识别封装的 GTP 流量的端口。有关详细信息，请参阅

您可以启用规则 116:297 和 116:298 来生成此选项的事件。