Cisco Cisco Firepower Management Center 2000 User Guide
29-21
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
使用 TCP 数据流预处理
Timeout
规则引擎在状态表中保持数据流处于非活动状态的秒数 (介于 1 和 86400 之间)。如果数据
流在指定时间内未重组,则入侵规则引擎会将其从状态表中删除。
流在指定时间内未重组,则入侵规则引擎会将其从状态表中删除。
注
如果受管设备部署在网络流量可能达到设备的带宽限制的网段上,则应该考虑将该值设置为较高
的值 (例如 600 秒),以降低处理开销。
的值 (例如 600 秒),以降低处理开销。
Maximum TCP Window
指定由接收主机指定的所允许的最大 TCP 窗口大小 (1 至 1073725440 字节)。值设置为 0 会
禁用检查 TCP 窗口大小。
禁用检查 TCP 窗口大小。
注意事项
上限是 RFC 允许的最大窗口大小,旨在防止攻击者躲避检测;但是,设置明显过大的最大窗口大
小可能导致自愿接受的拒绝服务。
小可能导致自愿接受的拒绝服务。
您可以启用规则 129:6 来生成此选项的事件。有关详细信息,请参阅
Overlap Limit
指定在检测到某会话中存在所配置数量 (介于 0 [无限制] 和 255 之间)的重叠分段时,针对
该会话的分段重组将会停止,并且,如果
该会话的分段重组将会停止,并且,如果
Stateful Inspection Anomalies
以及随附的预处理器规则
均处于启用状态,将会生成事件。
您可以启用规则 129:7 来生成此选项的事件。有关详细信息,请参阅
Flush Factor
在内联部署中,指定在经过所配置数量 (介于 1 和 2048 之间)的大小未减小的分段后检测
到大小减小的分段时,系统会刷新为进行检测而累积的分段数据。将该值设置为 0 会禁用此
分段模式的检测,这可能意味着请求或响应结束。请注意,为了使此选项有效,必须启用
Inline Normalization
到大小减小的分段时,系统会刷新为进行检测而累积的分段数据。将该值设置为 0 会禁用此
分段模式的检测,这可能意味着请求或响应结束。请注意,为了使此选项有效,必须启用
Inline Normalization
Normalize TCP Payload
选项。有关详细信息,请参阅
。
Stateful Inspection Anomalies
检测 TCP 堆栈中的异常行为。启用随附的预处理器规则后,如果 TCP/IP 堆栈编写得不好,
可能会生成许多事件。
可能会生成许多事件。
您可以启用以下规则来生成此选项的事件:
–
129:1 至 129:5
–
129:6 (仅适用于 Mac OS)
–
129:8 至 129:11
–
129:13 至 129:19
有关详细信息,请参阅
TCP Session Hijacking
通过针对会话上接收到的后续数据包验证三次握手期间从 TCP 连接两端检测到的硬件 (MAC)
地址来检测 TCP 会话劫持。当一端或另一端的 MAC 地址不匹配时,如果启用了
地址来检测 TCP 会话劫持。当一端或另一端的 MAC 地址不匹配时,如果启用了
Stateful
Inspection Anomalies
以及两个对应的预处理器规则之一,系统会生成事件。