Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
29-24
FireSIGHT 系统用户指南
  
 29       配置传输和网络层预处理       
  使用 TCP 数据流预处理
您可以指定端口和/或服务。您可以为客户端端口和/或服务器端口的任意组合指定单独的端口列
表。您还可以为客户端服务和/或服务器服务指定单独的服务列表。例如,假设您要重组以下内容:
  •
来自客户端的 SMTP (端口 25)流量
  •
FTP 服务器响应 (端口 21)
  •
两个方向的 telnet (端口 23)流量
您可以配置以下内容:
  •
对于客户端端口,指定 
23 和 25
  •
对于服务器端口,指定 
21 和 23
或者,您可以配置以下内容:
  •
对于客户端端口,指定 
25
  •
对于服务器端口,指定 
21
  •
对于客户端端口和服务器端口,指定 
23
此外,请参考以下示例,该示例将端口和服务进行组合,并在启用自适应配置文件后有效:
  •
对于客户端端口,指定 
23
  •
对于客户端服务,指定 
smtp
  •
对于服务器端口,指定 
21
  •
对于服务器服务,指定 
telnet
取消一个端口 (例如,
!80
)可通过阻止 TCP 数据流预处理器处理该端口的流量来提升性能。
虽然您也可以指定 
all
 作为参数来为所有端口提供重组,但是思科不建议将端口设置为 
all
,因
为这样做可能会不必要地增加此预处理器检查的流量并降低性能。
TCP 重组自动透明地包括添加到其他预处理器的端口。但是,如果明确向已添加到其他预处理器
配置的 TCP 重组列表中添加端口,这些端口将进行正常处理。这包括以下预处理器的端口列表:
  •
FTP/Telnet (服务器级别 FTP)
  •
DCE/RPC
  •
HTTP 检查
  •
SMTP
  •
会话发起协议
  •
POP
  •
IMAP
  •
SSL
请注意,重组其他流量类型 (客户端和/或服务器)会增加资源需求。
如果在以下描述中未提到任何预处理器规则,该选项不与预处理规则相关。
Perform Stream Reassembly on Client Ports
根据连接的客户端的端口启用数据流重组。换句话说,它对目标为网络服务器、邮件服务器
或通常由 $HOME_NET 中指定的 IP 地址定义的其他 IP 地址的数据流进行重组。如果您预计
客户端会发出恶意流量,请使用此选项。