Руководство Пользователя для Cisco Cisco Firepower Management Center 2000
27-29
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
解码 HTTP 流量
配置文件总数 (包括默认配置文件)上限为 255 个,此外,最多可在 HTTP 服务器列表中包
含 496 个字符 (约 26 个条目),为所有服务器配置文件总共最多可指定 256 个地址条目。有
关在 FireSIGHT 系统中使用 IPv4 CIDR 记法和 IPv6 前缀长度的详细信息,请参阅
含 496 个字符 (约 26 个条目),为所有服务器配置文件总共最多可指定 256 个地址条目。有
关在 FireSIGHT 系统中使用 IPv4 CIDR 记法和 IPv6 前缀长度的详细信息,请参阅
请注意,默认策略中的
default
设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP
地址。因此,不能且不需要为默认策略指定 IP 地址或 CIDR 块/前缀长度,并且不能在其他策
略中将此设置留空或使用地址记法来表示
略中将此设置留空或使用地址记法来表示
any
(例如, 0.0.0.0/0 或 ::/0)。
另请注意,为了让基于目标的策略处理流量,您标识的网络必须匹配您在其中配置该策略的
网络分析策略处理的网络、区域和 VLAN 或是其子集。有关详情,请参见
网络分析策略处理的网络、区域和 VLAN 或是其子集。有关详情,请参见
端口
预处理器引擎会对其 HTTP 流量进行规范化的端口。使用逗号分隔多个端口号。
Oversize Dir Length
检测长度超过指定值的 URL 目录。
可以启用规则 119:15 为此选项生成事件。有关详情,请参见
。
Client Flow Depth
为要在
Ports
中定义的客户端 HTTP 流量中的原始 HTTP 数据包 (包括报头和负载数据)中检
查的规则指定字节数。如果规则中的 HTTP 内容规则选项检查请求消息的特定部分,客户端
流量深度不适用。有关详情,请参见
流量深度不适用。有关详情,请参见
可指定 -1 到 1460 之间的值。思科建议将客户端流量深度设置为最大值。可指定以下任意值:
–
1 到 1460,检查第一个数据包中的指定字节数。如果第一个数据包包含的字节数小于指
定值,将会检查整个数据包。请注意,指定值适用于分段和重组的数据包。
定值,将会检查整个数据包。请注意,指定值适用于分段和重组的数据包。
另请注意,值 300 通常表示许多客户端请求报头末尾出现的大尺寸 HTTP Cookie 无需检查。
–
0 将会检查所有客户端流量,包括会话中的多个数据包,在必要时可超出 1460 字节这个
限制。请注意,此值可能会影响性能。
限制。请注意,此值可能会影响性能。
–
-1 将会忽略所有客户端流量。
Server Flow Depth
为要在
Ports
中指定的服务器端 HTTP 流量中的原始 HTTP 数据包中检查的规则指定字节数。
Inspect HTTP Responses
处于禁用状态时,会检查原始报头和负载;
Inspect HTTP Response
处于启
用状态时,仅检查原始响应正文。
Server Flow Depth 为要在
Ports
中定义的服务器端 HTTP 流量中检查的规则指定会话中原始服
务器响应数据的字节数。可以使用此选项来平衡 HTTP 服务器响应数据的性能和检查水平。
如果规则中的 HTTP 内容规则选项检查响应消息的特定部分,服务器流量深度不适用。有关
详情,请参见
如果规则中的 HTTP 内容规则选项检查响应消息的特定部分,服务器流量深度不适用。有关
详情,请参见
不同于客户端流量深度,服务器流量深度为要检查的规则指定每个 HTTP 响应而非每个
HTTP 请求数据包的字节数。
HTTP 请求数据包的字节数。
可指定 -1 到 65535 之间的值。思科建议将服务器流量深度设置为最大值。可以指定以下任何
内容:
内容:
–
1 到 65535:
当
Inspect HTTP Responses
处于启用状态时,仅检查原始 HTTP 响应正文,不会检查非原始
HTTP 报头;当
Inspect Compressed Data
处于启用状态时,还会同时检查解压缩数据。
当
Inspect HTTP Responses
处于禁用状态时,会检查原始数据包报头和负载。