Cisco Cisco Firepower Management Center 2000 User Guide
29-25
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
使用 TCP 数据流预处理
Perform Stream Reassembly on Client Services
根据连接的客户端的服务启用数据流重组。如果您预计客户端会发出恶意流量,请使用此选项。
必须为选择的每个客户端服务至少启用一个客户端检测器 (请参阅
)。默认情况下,思科提供的所有检测器均已激活。如果没有为相关客户端应用启
用检测器,则系统会自动为应用启用思科提供的所有检测器;如果不存在任何检测器,则系
统会为应用启用最近修改的用户定义的检测器。
统会为应用启用最近修改的用户定义的检测器。
此功能需要保护和可控性许可证。
Perform Stream Reassembly on Server Ports
根据连接的服务器端的端口启用数据流重组。换句话说,它对从网络服务器、邮件服务器或
通常由 $EXTERNAL_NET 中指定的 IP 地址定义的其他 IP 地址发出的数据流进行重组。当您
要监控服务器端攻击时,请使用此选项。您可以通过不指定端口来禁用此选项。
通常由 $EXTERNAL_NET 中指定的 IP 地址定义的其他 IP 地址发出的数据流进行重组。当您
要监控服务器端攻击时,请使用此选项。您可以通过不指定端口来禁用此选项。
Perform Stream Reassembly on Server Services
根据连接的服务器端的服务启用数据流重组。当您要监控服务器端攻击时,请使用此选项。
您可以通过不指定服务来禁用此选项。
您可以通过不指定服务来禁用此选项。
必须为选择的每个服务至少启用一个检测器 (请参阅
)。
默认情况下,思科提供的所有检测器均已激活。如果没有为服务启用检测器,则系统会自动
为相关应用协议启用思科提供的所有检测器;如果不存在任何检测器,则系统会为该应用协
议启用最近修改的用户定义的检测器。
为相关应用协议启用思科提供的所有检测器;如果不存在任何检测器,则系统会为该应用协
议启用最近修改的用户定义的检测器。
此功能需要保护和可控性许可证。
Perform Stream Reassembly on Both Ports
根据连接的客户端和服务器端的端口启用数据流重组。如果您预计相同端口的恶意流量在客户
端和服务器之间可能以任一方向传播,请使用此选项。您可以通过不指定端口来禁用此选项。
端和服务器之间可能以任一方向传播,请使用此选项。您可以通过不指定端口来禁用此选项。
Perform Stream Reassembly on Both Services
根据连接的客户端和服务器端的服务启用数据流重组。如果您预计相同服务的恶意流量在客户
端和服务器之间可能以任一方向传播,请使用此选项。可以通过不指定服务来禁用此选项。
端和服务器之间可能以任一方向传播,请使用此选项。可以通过不指定服务来禁用此选项。
必须为选择的每个服务至少启用一个检测器 (请参阅
)。
默认情况下,思科提供的所有检测器均已激活。如果没有为相关客户端应用或应用协议启用
检测器,则系统会自动启用为应用或应用协议启用思科提供的所有检测器;如果不存在任何
检测器,则系统会为应用或应用协议启用最近修改的用户定义的检测器。
检测器,则系统会自动启用为应用或应用协议启用思科提供的所有检测器;如果不存在任何
检测器,则系统会为应用或应用协议启用最近修改的用户定义的检测器。
此功能需要保护和可控性许可证。
配置 TCP 数据流预处理
许可证:保护
您可以配置 TCP 数据流预处理 (包括 TCP 策略)。有关 TCP 数据流预处理器配置选项的详细信
息,请参阅
息,请参阅
。
要配置数据流预处理器以跟踪 TCP 会话,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Access Control
显示 Access Control Policy 页面,然后点击
Network Analysis Policy
。
系统将显示 Network Analysis Policy 页面。