Cisco Cisco Firepower Management Center 2000 User Guide
29-23
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
使用 TCP 数据流预处理
Perform Stream Reassembly on Client Ports, Server Ports, Both Ports
为客户端端口和/或服务器端口指定用于识别要重组的数据流预处理器流量的端口的逗号分隔
列表。请参阅
列表。请参阅
Perform Stream Reassembly on Client Services, Server Services, Both Services
为客户端服务和/或服务器服务指定用于识别要重组的数据流预处理器流量的服务。请参阅
。
Troubleshooting Options: Maximum Queued Bytes
支持代表在故障排除呼叫期间可能要求您指定可以在 TCP 连接的一端排队的数据量。值 0 表
示无限字节数。
示无限字节数。
注意事项
更改此故障排除选项的设置会影响性能,并仅应在支持代表指导下进行。
Troubleshooting Options: Maximum Queued Segments
支持代表在故障排除呼叫期间可能要求您指定可以在 TCP 连接的一端排队的数据分段的最大
字节数。值 0 表示无限的数据段字节数。
字节数。值 0 表示无限的数据段字节数。
注意事项
更改此故障排除选项的设置会影响性能,并仅应在支持代表指导下进行。
重组 TCP 数据流
许可证:保护
数据流预处理器收集和重组属于 TCP 会话的服务器到客户端通信数据流和/或客户端到服务器通
信数据流的一部分的所有数据包。这允许规则引擎将数据流作为单个已重组实体进行检查,而不
是仅检查属于指定数据流的一部分的个别数据包。
信数据流的一部分的所有数据包。这允许规则引擎将数据流作为单个已重组实体进行检查,而不
是仅检查属于指定数据流的一部分的个别数据包。
有关详细信息,请参阅以下各节:
•
•
了解基于数据流的攻击
许可证:保护
数据流重组允许规则引擎识别基于数据流的攻击,在检查个别数据包时它可能无法检测此类攻
击。您可以根据网络需要指定规则引擎重组哪些通信数据流。例如,在监控网络服务器上的流量
时,您可能只希望检查客户端流量,因为您不太可能从自己的网络服务器接收到恶意流量。
击。您可以根据网络需要指定规则引擎重组哪些通信数据流。例如,在监控网络服务器上的流量
时,您可能只希望检查客户端流量,因为您不太可能从自己的网络服务器接收到恶意流量。
选择数据流重组选项
许可证:保护
在每个 TCP 策略中,您可以指定用于识别要重组的数据流预处理器流量的端口的逗号分隔列表。
启用自适应配置文件后,您还可以列出用于识别要重组的流量的服务 (以替代端口或端口组合的
形式)。有关启用和使用自适应配置文件的详细信息,请参阅
启用自适应配置文件后,您还可以列出用于识别要重组的流量的服务 (以替代端口或端口组合的
形式)。有关启用和使用自适应配置文件的详细信息,请参阅