Cisco Cisco Firepower Management Center 2000 User Guide
28-2
FireSIGHT 系统用户指南
第 28 章 配置 SCADA 预处理
配置 Modbus 预处理器
请注意,关于 Modbus 预处理器的使用,如果您的网络不包含任何启用了 Modbus 的设备,您不
应该在应用于流量的网络分析策略中启用此预处理器。
应该在应用于流量的网络分析策略中启用此预处理器。
可以按照以下步骤修改 Modbus 预处理器监控的端口。
要配置 Modbus 预处理器,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Access Control
显示 Access Control Policy 页面,然后点击
Network Analysis Policy
。
系统将显示 Network Analysis Policy 页面。
步骤 2
点击要编辑的策略旁边的编辑图标 (
)。
如果在另一策略中的更改尚未保存,请点击
OK
放弃这些更改并继续操作。有关保存其他策略中
尚未保存的更改的详细信息,请参阅
。
系统将显示 Policy Information 页面。
步骤 3
点击左侧导航面板中的
Settings
。
系统将显示 Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了
SCADA Preprocessors
下的
Modbus Configuration
:
•
如果该配置已启用,请点击
Edit
。
•
如果该配置已禁用,请点击
Enabled
,然后点击
Edit
。
系统将显示 Modbus Configuration 页面。页面底部消息会识别包含配置的网络分析策略层。有关
详情,请参见
详情,请参见
。
步骤 5
或者,在
Ports
中修改预处理器要检查其 Modbus 流量的端口。可指定 0 到 65535 之间的整数。使
用逗号分隔多个端口。
步骤 6
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详情,请参见
退出。有关详情,请参见
。
表
28-1
Modbus
预处理器规则
预处理器规则
GID:SID
GID:SID
说明
144:1
如果 Modbus 报头中的长度与 Modbus 函数代码所要求的长度不匹配,将会
生成事件。
生成事件。
每个 Modbus 函数都有预期的请求和响应格式。如果消息长度与预期格式不
匹配,将会生成此事件。
匹配,将会生成此事件。
144:2
如果 Modbus 协议 ID 未非零值,将会生成事件。协议 ID 字段用于将其他协
议与 Modbus 协议复用。由于预处理器并不处理此类其他协议,因此会生成
此事件。
议与 Modbus 协议复用。由于预处理器并不处理此类其他协议,因此会生成
此事件。
144:3
如果预处理器检测到保留的 Modbus 函数代码,将会生成事件。