Cisco Cisco Firepower Management Center 2000 User Guide
29-22
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
使用 TCP 数据流预处理
您可以启用规则 129:9 和 129:10 来生成此选项的事件。有关详细信息,请参阅
。
Consecutive Small Segments
启用
Stateful Inspection Anomalies
后,可指定允许的连续 TCP 小分段的最大数量 (1 至 2048)。
值设置为 0 会禁止连续小分段。
此选项必须与
Small Segment Size
选项一起进行设置;您可以同时禁用这两个选项或者将它们都
设置为非零值。请注意,在无干预确认的情况下接收多达 2000 个连续分段,即使每个分段长
度为 1 字节,分段数量也会远远超出您通常的预期。
度为 1 字节,分段数量也会远远超出您通常的预期。
您可以启用规则 129:12 来生成此选项的事件。有关详细信息,请参阅
Small Segment Size
启用
Stateful Inspection Anomalies
后,可指定被视为小分段的 TCP 分段大小(1 至 2048 字节)。
值设置为 0 会禁止指定小分段的大小。
此选项必须与
Consecutive Small Segments
选项一起进行设置;您可以同时禁用这两个选项或者将
它们都设置为非零值。请注意,一个 2048 字节的 TCP 分段大于普通的 1500 字节的以太网帧。
Ports Ignoring Small Segments
启用
Stateful Inspection Anomalies
、
Consecutive Small Segments
和
Small Segment Size
后,您或者可以
指定一个或多个会忽略小 TCP 分段检测的端口的逗号分隔列表。将此选项留空表示未忽略任
何端口。
何端口。
您可以向列表中添加任何端口,但是列表仅影响 TCP 策略中的某个
Perform Stream Reassembly
on port
列表中指定的端口。
Require TCP 3-Way Handshake
指定仅在 TCP 三次握手完成后,会话才被视为已建立的会话。禁用此选项可提高性能,防御
SYN 泛洪攻击,并允许在部分异步环境中操作。启用此选项可避免尝试通过发送不属于已建
立的 TCP 会话的信息来生成误报的攻击。
SYN 泛洪攻击,并允许在部分异步环境中操作。启用此选项可避免尝试通过发送不属于已建
立的 TCP 会话的信息来生成误报的攻击。
您可以启用规则 129:20 来生成此选项的事件。有关详细信息,请参阅
3-Way Handshake Timeout
指定启用
Require TCP 3-Way Handshake
后必须允许用于完成握手的时间(0 [无限制] 至 86400 秒
[24 小时])。必须启用
Require TCP 3-Way Handshake
后才能修改此选项的值。
Packet Size Performance Boost
将预处理器设置为在重组缓冲区中不对大数据包进行排队。这种性能改进可能会导致未能检
测出某些攻击。禁用此选项可防止使用 1 到 20 字节的小数据包尝试躲避检测。当您肯定所有
流量都由超大数据包组成并因此无此类攻击时,可启用此选项。
测出某些攻击。禁用此选项可防止使用 1 到 20 字节的小数据包尝试躲避检测。当您肯定所有
流量都由超大数据包组成并因此无此类攻击时,可启用此选项。
Legacy Reassembly
重组数据包时,将数据流预处理器设置为模拟废弃的数据流 4 预处理器,借此可以将该数据
流预处理器重组的事件与基于数据流 4 预处理器重组的相同数据流的事件相比较。
流预处理器重组的事件与基于数据流 4 预处理器重组的相同数据流的事件相比较。
Asynchronous Network
指定受监控网络是否为异步网络,即,系统只能看到一半流量的网络。启用此选项后,系统
不重组 TCP 数据流来提高性能。
不重组 TCP 数据流来提高性能。