Cisco Cisco Firepower Management Center 4000 Mode D'Emploi
27-50
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 POP 流量
步骤 3
点击左侧导航面板中的
Settings
。
系统将显示 Settings 页面。
步骤 4
您有两种选择,具体取决于是否启用了 Application Layer Preprocessors 下的
POP Configuration
:
•
如果该配置已启用,请点击
Edit
。
•
如果该配置已禁用,请点击
Enabled
,然后点击
Edit
。
系统将显示 POP Configuration 页面。页面底部消息会识别包含配置的网络分析策略层。有关详
情,请参见
情,请参见
步骤 5
在
Ports
中指定应解码其 IMAP 流量的端口。使用逗号分隔多个端口号。
步骤 6
指定要从以下邮件附件类型的任意组合中提取和解码数据的最大字节数:
•
Base64 Decoding Depth
•
7-Bit/8-Bit/Binary Decoding Depth
(包括各种多部分内容类型,例如纯文本格式、jpeg 图像、mp3
文件等)
•
Quoted-Printable Decoding Depth
•
Unix-to-Unix Decoding Depth
对于每种类型,可指定 1 到 65535 字节;或者指定 0 以提取和 (如有必要)解码数据包中的所有
数据。指定 -1 将会忽略附件类型的数据。
数据。指定 -1 将会忽略附件类型的数据。
可以在入侵规则中使用
file_data
规则关键字来检查附件数据。有关详情,请参见
。
步骤 7
保存策略、继续编辑、放弃更改、恢复基本策略中的默认配置设置,或在系统缓存中保留变更后
退出。有关详情,请参见
退出。有关详情,请参见
。
启用其他 POP 预处理器规则
许可证:保护
下表中的 POP 预处理器规则与特定配置选项无关。与其他 POP 预处理器规则一样,如果要使这些
规则生成事件,必须启用它们。有关启用规则的详细信息,请参阅
规则生成事件,必须启用它们。有关启用规则的详细信息,请参阅
表
27-13
其他
POP
预处理器规则
预处理器规则
GID:SID
GID:SID
说明
142:1
如果预处理器检测到未在 RFC 1939 中定义的客户端命令,将会生成事件。
142:2
如果预处理器检测到未在 RFC 1939 中定义的服务器响应,将会生成事件。
142:3
如果预处理器正在使用系统允许的最大内存量,将会生成事件。在这种情况
下,预处理将会停止解码,直至内存可用。
下,预处理将会停止解码,直至内存可用。