DCE/RPC 预处理器全局选项控制预处理器的工作方式。请注意，除已达到内存限制 (Memory Cap Reached) 和 SMB 会话上自动检测策略 (Auto-Detect Policy on SMB Session) 这两个选项外，修改这些选项可能会对性能或检测能力造成负面影响。除非您已充分理解此预处理器及其与已启用的 DCE/RPC 规则之间的交互，否则请勿修改这些选项。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

最大分片大小 (Maximum Fragment Size)

当选择启用分片重组 (Enable Defragmentation) 时，可指定允许的最大 DCE/RPC 分片长度。预处理器会在分片重组前将较大分片截断成为指定的尺寸以便进行处理，但不会改变实际数据包。空白字段将禁用此选项。

确保最大分片大小 (Maximum Fragment Size) 选项大于或等于规则需要检测到的深度。

重组阈值 (Reassembly Threshold)

当选择启用分片重组 (Enable Defragmentation) 时，0 表示禁用此选项，或者指定分片 DCE/RPC 最小字节数，并且如果适用，则指定在向规则引擎发送已重组的数据包之前要加入队列的分段 SMB 字节数。值越小，实现早期检测的可能性越高，但可能会对性能造成负面影响。如果启用此选项，应当测试性能所受的影响。

确保重组阈值 (Reassembly Threshold) 选项大于或等于规则需要检测到的深度。

启用分片重组 (Enable Defragmentation)

指定是否对 DCE/RPC 流量进行分片重组。当此选项处于禁用状态时，预处理器仍会检测异常并向规则引擎发送 DCE/RPC 数据，但可能会检测不出分片 DCE/RPC 数据中的漏洞。

尽管通过此选项可灵活选择是否对 DCE/RPC 流量进行分片重组，但大多数 DCE/RPC 漏洞都会尝试利用分片隐藏自己。禁用此选项将会忽略大多数已知漏洞，从而造成大量误报。

已达到内存限制 (Memory Cap Reached)

检测达到或超过分配给预处理器的最大内存限制的时间。当达到或超过最大内存上限时，预处理器会释放与造成内存上限事件的会话相关的所有待处理数据并忽略该会话的剩余部分。

您可以启用规则 133:1 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

SMB 会话上自动检测策略 (Auto-Detect Policy on SMB Session)

检测在 SMB Session Setup AndX 请求和响应中识别出的 Windows 或 Samba 版本。如果检测到的版本不同于为策略 (Policy) 配置选项配置的 Windows 或 Samba 版本，检测到的版本将会仅覆盖为该会话配置的版本。

例如，如果将策略 (Policy) 设置为 Windows XP，而预处理器检测到 Windows Vista，则预处理器将对该会话使用 Windows Vista 策略。其他设置仍然有效。

如果 DCE/RPC 传输不是 SMB（即传输协议为 TCP 或 UDP 时），则无法检测到版本，并且策略不能实现自动配置。

要启用此选项，请从下拉列表中选择以下其中一项：

• 选择客户端 (Client)，检查该策略类型的服务器到客户端流量。

• 选择服务器 (Server)，检查该策略类型的客户端到服务器流量。

• 选择两者 (Both)，检查该策略类型的服务器到客户端流量和客户端到服务器流量。

传统 SMB 检测模式 (Legacy SMB Inspection Mode)

如果启用了传统 SMB 检测模式 (Legacy SMB Inspection Mode)，则系统只会将 SMB 入侵规则应用于 SMB 版本 1 流量，并将 DCE/RPC 入侵规则应用于使用 SMB 版本 1 作为传输的 DCE/RPC 流量。如果禁用此选项，系统会将 SMB 入侵规则应用于使用 SMB 版本 1、2 和 3 的流量，但会将 DCE/RPC 入侵规则应用于使用 SMB 作为 SMB 版本 1 传输的 DCE/RPC 流量。

在每个基于目标的策略中，都可以启用一个或多个 TCP、UDP、SMB 和 RPC over HTTP 传输。启用传输时，还必须指定一个或多个检测端口（即，已知用于传输 DCE/RPC 流量的端口）。

思科建议使用默认检测端口，这些端口可以是已知端口，也可以是各协议的常用端口。在非默认端口检测到 DCE/RPC 流量的情况下才可以添加端口。

可以在 Windows 基于目标的策略中为一个或多个传输指定任意组合的端口，以便与网络流量匹配，但是，在 Samba 基于目标的策略中只能为 SMB 传输指定端口。

注	在基于目标的默认策略中必须至少启用一个 DCE/RPC 传输，除非已添加至少启用了一个传输的 DCE/RPC 基于目标的策略。例如，可能要为所有 DCE/RPC 实施指定主机且不将基于目标的默认策略部署到未指定的主机，在此情况下，不会为基于目标的默认策略启用传输。

或者，也可以启用和指定自动检测端口；预处理器会首先对这些端口进行测试，以确定它们是否传输 DCE/RPC 流量，仅在检测到 DCE/RPC 流量的情况下，预处理器才会继续进行处理。

启用自动检测端口时，请确保将端口范围设置为 1024 到 65535，以便覆盖整个临时端口范围。

请注意，仅对于传输检测端口尚未识别的端口才会出现自动检测。

对于“RPC over HTTP 代理自动检测端口”(RPC over HTTP Proxy Auto-Detect Ports) 选项或“SMB 自动检测端口”(SMB Auto-Detect Ports) 选项，不太可能会启用或指定自动检测端口，因为除非是在指定的默认检测端口上，否则任一端口出现流量的可能性极低甚至不可能出现。

每个基于目标的策略都允许指定以下各个选项。如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

网络 (Networks)

要部署 DCE/RPC 基于目标的服务器策略的主机 IP 地址。此外，当添加基于目标的策略时，命名“添加目标”(Add Target) 弹出窗口中的服务器地址 (Server Address) 字段。

可以指定单个 IP 地址或地址块，或者单个 IP 地址和/或地址块的逗号分隔列表。最多可以配置总共 255 个配置文件，包括默认策略。

请注意，默认策略中的 default 设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP 地址。因此，不能且不需要为默认策略指定 IP 地址或 CIDR 块/前缀长度，并且不能在其他策略中将此设置留空或使用地址记法来表示 any（例如，0.0.0.0/0 或 ::/0）。

策略

目标主机或受监控网段上主机使用的 Windows 或 Samba DCE/RPC 实现。

请注意，可以启用 Auto-Detect Policy on SMB Session 全局选项，以便在 DCE/RPC 传输是 SMB 时自动覆盖每个会话的此选项的设置。

SMB Invalid Shares

用于在尝试连接到指定的共享资源时，识别预处理器将检测的一个或多个 SMB 共享资源。您可以在逗号分隔列表中指定多个共享，或者可以将共享用引号引起来（旧版软件要求这样做，但现在不再有此要求），例如：

"C$", D$, "admin", private

启用 SMB 端口 (SMB Ports) 后，预处理器会检测 SMB 流量中的无效共享。

请注意，大多数情况下，对于被识别为无效共享的 Windows 命名的驱动器，应该在其后面附上一个美元符号。例如，将驱动器 C 标识为 C$ 或 "C$"。

另请注意，要检测 SMB 无效共享，还必须启用 SMB 端口 (SMB Ports) 或 SMB 自动检测端口 (SMB Auto-Detect Ports)。

可以启用规则 133:26 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

SMB Maximum AndX Chain

允许的链式 SMB AndX 命令的最大数量。通常，超过若干链式 AndX 命令即表示存在异常行为，可能代表有躲避行为。指定 1 表示不允许链式命令，指定 0 将会禁止检测链式命令数量。

请注意，预处理器会首先计算链式命令数量，如果随附的 SMB 预处理器规则已启用，并且链式命令数量等于或超过配置的值，预处理器将会生成事件。然后会继续进行处理。

小心	只有 SMB 协议专业人员可以修改 SMB Maximum AndX Chains 选项的设置。

可以启用规则 133:20 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

RPC proxy traffic only

启用 RPC over HTTP 代理端口 (RPC over HTTP Proxy Ports) 指示检测到的客户端 RPC over HTTP 流量只是代理流量还是可能包含其他 Web 服务器流量。例如，端口 80 可能传输代理流量和其他网络服务器流量。

此选项处于禁用状态时，将会同时传输代理流量和其他网络服务器流量。例如，如果服务器是专用代理服务器，请启用此选项。启用此选项后，预处理器会测试流量以确定其是否传输 DCE/RPC，如果不是，预处理器将会忽略该流量，如果是，则继续进行处理。请注意，仅在已选择 RPC over HTTP 代理端口 (RPC over HTTP Proxy Ports) 复选框的情况下，此选项才有用。

RPC over HTTP 代理端口 (RPC over HTTP Proxy Ports)

如果受管设备位于 DCE/RPC 客户端与 MicroSoft IIS RPC 代理服务器之间，可以使用此选项对 RPC over HTTP 通过每个指定端口传输的 DCE/RPC 流量启用检测。

启用此选项后，可以添加任意发现 DCE/RPC 流量的端口，但是这项操作一般并不必要，因为网络服务器通常使用默认端口传输 DCE/RPC 和其他流量。启用此选项后，不可以启用 RPC over HTTP 代理自动检测端口 (RPC over HTTP Proxy Auto-Detect Ports)，但如果检测到的客户端 RPC over HTTP 流量仅包含代理流量而不包含其他网络服务器流量，则可以启用仅 PRC 代理流量 (RPC Proxy Traffic Only)。

注	如有可能，很少会选择此选项。

RPC over HTTP Server Ports

当 MicroSoft IIS RPC 代理服务器和 DCE/RPC 服务器位于不同的主机且设备监控这两个服务器之间流量时，对每个指定端口上通过 RPC over HTTP 传输的 DCE/RPC 流量启用检测。

启用此选项后，通常还应启用 RPC over HTTP 服务器自动检测端口 (RPC over HTTP Server Auto-Detect Ports)（端口范围介于 1025 到 65535 之间），即使不知道网络上是否存在任何代理网络服务器。请注意，RPC over HTTP 服务器端口有时会重新配置，在这种情况下，应该为此选项将重新配置的服务器端口添加到端口列表。

TCP 端口

对每个指定端口上 TCP 中的 DCE/RPC 流量启用检测。

合法 DCE/RPC 流量和漏洞可能使用多种端口，高于端口 1024 的其他端口很常用。启用此选项后，通常还应启用 TCP 自动检测端口 (TCP Auto-Detect Ports)（端口范围介于 1025 到 65535 之间），即使不知道网络上是否存在任何代理网络服务器。

UDP 端口

对每个指定端口上 UDP 中的 DCE/RPC 流量启用检测。

合法 DCE/RPC 流量和漏洞可能使用多种端口，高于端口 1024 的其他端口很常用。启用此选项后，通常还应启用 UDP 自动检测端口 (UDP Auto-Detect Ports)（端口范围介于 1025 到 65535 之间）。

SMB 端口 (SMB Ports)

对每个指定端口上 SMB 中的 DCE/RPC 流量启用检测。

可能会出现使用默认检测端口的 SMB 流量。其他端口很少见。通常使用默认设置。

请注意，可以启用 Auto-Detect Policy on SMB Session 全局选项，以便在 DCE/RPC 传输是 SMB 时自动覆盖为每个会话的目标策略配置的策略类型。

RPC over HTTP Proxy Auto-Detect Ports

如果受管设备位于 DCE/RPC 客户端与 MicroSoft IIS RPC 代理服务器之间，可以使用此选项对 RPC over HTTP 通过指定端口传输的 DCE/RPC 流量启用自动检测。

启用此选项后，通常需要指定介于 1025 到 65535 之间的端口范围，以覆盖整个临时端口范围。

RPC over HTTP 服务器自动检测端口 (RPC over HTTP Server Auto‑Detect Ports)

当 MicroSoft IIS RPC 代理服务器和 DCE/RPC 服务器位于不同的主机且设备监控这两个服务器之间流量时，对指定端口上通过 RPC over HTTP 传输的 DCE/RPC 启用自动检测。

TCP 自动检测端口 (TCP Auto‑Detect Ports)

对指定端口上 TCP 中的 DCE/RPC 流量启用自动检测。

UDP 自动检测端口 (UDP Auto‑Detect Ports)

对每个指定端口上 UDP 中的 DCE/RPC 流量启用自动检测。

SMB 自动检测端口 (SMB Auto‑Detect Ports)

对 SMB 中的 DCE/RPC 流量启用自动检测。

注	如有可能，很少会选择此选项。

SMB 文件检查 (SMB File Inspection)

启用 SMB 流量检查以检测文件。您有以下选择：

• 选择关闭 (Off) 禁用文件检查。

• 选择仅限 (Only)，检查文件数据但不检查 SMB 中的 DCE/RPC 流量。选择此选项可以提高文件和 DCE/RPC 流量检查性能。

• 选择打开 (On)，检查 SMB 中的文件和 DCE/RPC 流量。选择此选项可能会影响性能。

以下各项不支持 SMB 流量检查：

• 单一 TCP 或 SMB 会话同时传输的文件

• 在多个 TCP 或 SMB 会话之间传输的文件

• 与非连续数据一起传输的文件（例如，协商了消息签名时）

• 与具有相同偏移量的不同数据一起传输的文件（与数据重叠）

• 在远程客户端打开用于编辑并由客户端保存到文件服务器的文件

SMB 文件检查深度 (SMB File Inspection Depth)

如果 SMB 文件检查 (SMB File Inspection) 设置为仅限 (Only) 或打开 (On)，此选项表示在 SMB 流量中检测到文件时检查的字节数。指定以下各项之一：

• 正值

• 0 以检查整个文件

• -1 以禁用文件检查

在此字段中输入小于或等于访问控制策略中“高级”(Advanced) 选项卡的“文件和恶意软件设置”(File and Malware Settings) 部分中定义的值。如果为此选项设置的值大于为限制执行文件类型检测时检查到的字节数 (Limit the number of bytes inspected when doing file type detection) 定义的值，则系统使用访问控制策略设置作为有效的最大值。

如果 SMB File Inspection 设置为 Off，此字段将被禁用。

大多数 DCE/RPC 预处理器规则都会针对 SMB、面向连接的 DCE/RPC 或无连接 DCE/RPC 流量中检测到的异常和规避技术触发。下表列出了可为各类流量启用的规则。

端口

此字段指定 DNS 预处理器应为 DNS 服务器响应监控的源端口。使用逗号分隔多个端口。

为 DNS 预处理器配置的典型端口为已知端口 53，DNS 域名服务器对在 UDP 和 TCP 中传输的 DNS 消息使用该端口。

检测 RData 文本字段中的溢出尝试 (Detect Overflow attempts on RData Text fields)

当资源记录类型为 TXT（文本）时，RData 字段为长度可变的 ASCII 文本字段。

如果选择此选项，系统将会检测条目 CVE-2006-3441 在 MITRE 的当前漏洞和风险数据库中识别出的特定漏洞。这是 Microsoft Windows 2000 Service Pack 4、Windows XP Service Pack 1、Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中的已知漏洞。攻击者可以利用该漏洞发送或者导致主机接收恶意域名服务器响应，导致 RData 文本字段长度计算错误，造成缓冲区溢出，最终全面控制主机。

如果网络上可能有主机运行尚未升级纠正该漏洞的操作系统，应该启用此选项。

您可以启用规则131:3生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

检测过时的 DNS RR 类型 (Detect Obsolete DNS RR Types)

RFC 1035 将多种资源记录类型识别为过时类型。由于这些是过时记录类型，因此，某些系统未对其进行说明，可能容易产生漏洞。在正常 DNS 响应中不会遇到这些记录类型，除非故意将网络配置为包含这些记录类型。

可以将系统配置为会检测过时的资源记录类型。下表列出并说明这些记录类型。

您可以启用规则131:1生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

检测试验性 DNS RR 类型 (Detecting Experimental DNS RR Types)

RFC 1035 将多种资源记录类型识别为试验性类型。由于这些是试验性记录类型，因此，某些系统未对其进行说明，可能容易产生漏洞。在正常 DNS 响应中不会遇到这些记录类型，除非故意将网络配置为包含这些记录类型。

可以将系统配置为会检测试验性资源记录类型。下表列出并说明这些记录类型。

您可以启用规则131:2生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

可以设置全局选项以确定 FTP/Telnet 解码器是否对数据包执行状态检查或无状态检查，是否检测加密 FTP 或 Telnet 会话，以及是否在遇到加密数据后继续检查数据流。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

状态性检查

如果选择此选项，FTP/Telnet 解码器将会保存状态，提供各个数据包的会话情景，并且仅检查重组的会话。如果清除此选项，将会在没有会话上下文的情况下分析每个数据包。

要检查 FTP 数据传输，必须选择此选项。

检测加密流量 (Detect Encrypted Traffic)

检测加密 Telnet 和 FTP 会话。

您可以启用规则 125:7 和 126:2 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

继续检查加密数据 (Continue to Inspect Encrypted Data)

指示预处理器在数据流加密后持续检查数据流，以寻找可处理的最终解密数据。

可以通过 FTP/Telnet 解码器启用或禁用 Telnet 命令规范化，启用或禁用特定异常情况，以及设置允许的 Are You There (AYT) 攻击阈值。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

端口

指明要实现 Telnet 流量规范化的端口。Telnet 通常连接到 TCP 端口 23。可在此界面列出多个端口，端口之间用逗号分隔。

小心	由于加密流量 (SSL) 无法解码，因此，添加端口 22 (SSH) 可能会产生意外结果。

规范化 (Normalize)

对流向指定端口的 Telnet 流量进行规范化。

检测异常

允许检测没有对应 SE（下级协商终点）的 Telnet SB（下级协商起点）。

Telnet 支持以 SB（下级协商起点）开始并且必须以 SE（下级协商终点）结束的下级协商。但是，Telnet 服务器的某些实现将忽略无对应 SE 的 SB。这是异常行为，可能意味着存在躲避行为。由于 FTP 在控制接口使用 Telnet 协议，因此也容易受此行为影响。

如果在 Telnet 流量中检测到这种异常，可以启用规则 126:3 生成事件，并在内联部署中丢弃恶意数据包；如果在 FTP 命令通道中检测到这种异常，可以启用规则 125:9 生成事件。请参阅设置入侵规则状态。

Are You There 攻击阈值数 (Are You There Attack Threshold Number)

检测超过指定阈值的连续 AYT 命令数量。思科建议将 AYT 阈值设置为不超过默认值的数值。

可以启用规则 126:1生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

可以在多个 FTP 服务器上设置解码选项。创建的每个服务器配置文件都包含服务器 IP 地址以及应监控其流量的服务器端口。可以为特定服务器指定需要验证的 FTP 命令和可忽略的 FTP 命令，并可设置最大命令参数长度。还可以设置解码器应针对特定命令验证的具体命令语法，并可设置替代最大命令参数长度。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

网络 (Networks)

使用此选项可指定 FTP 服务器的一个或多个 IP 地址。

可以指定单个 IP 地址或地址块，也可以指定由单个地址和/或地址块组成并以逗号分隔的列表。最多可配置 1024 个字符，最多可指定 255 个配置文件（包括默认配置文件）。

请注意，默认策略中的 default 设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP 地址。因此，不能且不需要为默认策略指定 IP 地址或地址块，并且不能在其他策略中将此设置留空或使用地址记法来表示 any（例如，0.0.0.0/0 或 ::/0）。

端口

使用此选项可指定受管设备应监控其流量的 FTP 服务器上的端口。可在此界面列出多个端口，端口之间用逗号分隔。端口 21 是已知的 FTP 流量端口。

文件获取命令 (File Get Commands)

使用此选项可定义用于从服务器向客户端传输文件的 FTP 命令。请勿改变此选项的值，除非支持人员指示执行此操作。

小心	请勿修改文件获取命令 (File Get Commands) 字段，除非支持人员指示执行此操作。

文件放置命令 (File Put Commands)

使用此选项可定义用于从客户端向服务器传输文件的 FTP 命令。请勿改变此选项的值，除非支持人员指示执行此操作。

小心	请勿修改文件放置命令 (File Put Commands) 字段，除非支持人员指示执行此操作。

附加 FTP 命令 (Additional FTP Commands)

使用此行可指定解码器应检测的其他命令。使用空格隔开其他命令。

可能需要添加的其他命令包括 XPWD、XCWD、XCUP、XMKD 和 XRMD。有关这些命令的详细信息，请参阅网络工作组发布的 RFC775《面向目录的 FTP 命令规范》。

默认最大参数长度 (Default Max Parameter Length)

在未设置替代最大参数长度的情况下，使用此选项可检测命令的最大参数长度。可以根据需要添加尽可能多的替代最大参数长度。

可以启用规则 125:3 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

替代最大参数长度 (Alternate Max Parameter Length)

使用此选项可指定要为其检测其他最大参数长度的命令，并指定这些命令的最大参数长度。点击添加 (Add) 可添加行，在添加的行中可指定其他最大参数长度，以便检测特定命令。

检查字符串格式攻击命令 (Check Commands for String Format Attacks)

使用此选项可检查指定命令的字符串格式攻击。

可以启用规则 125:5 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

命令有效性 (Command Validity)

使用此选项可为特定命令输入有效格式。点击 Add 可添加命令验证行。

可以启用规则 125:2 和 125:4 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

忽略 FTP 传输 (Ignore FTP Transfers)

使用此选项可禁用除数据传输通道状态检查之外的所有检查，从而提高 FTP 数据传输的性能。

注	要检查数据传输，必须选择 FTP/Telnet Stateful Inspection 全局选项。

检测 FTP 命令内的 Telnet 转义代码 (Detect Telnet Escape Codes within FTP Commands)

使用此选项可检测何时在 FTP 命令通道上使用 Telnet 命令。

可以启用规则 125:1 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

忽略规范化过程中的擦除命令 (Ignore Erase Commands during Normalization)

如果选择了检测 FTP 命令内的 Telnet 转义代码 (Detect Telnet Escape Codes within FTP Commands)，使用此选项可在 FTP 流量规范化过程中忽略 Telnet 字符和行擦除命令。此选项的设置应与 FTP 服务器处理 Telnet 擦除命令的方式相匹配。请注意，新 FTP 服务器通常会忽略 Telnet 擦除命令，而旧服务器通常会进行处理。

故障排除选项：记录 FTP 命令验证配置 (Troubleshooting Option: Log FTP Command Validation Configuration)

支持人员可能要求您在故障排除呼叫期间配置系统，以打印为服务器列出的每个 FTP 命令的配置信息。

小心	请勿启用记录 FTP 命令验证配置 (Log FTP Command Validation Configuration)，除非支持人员指示执行此操作。

使用这些选项可以配置自定义 FTP 客户端配置文件。如果某选项说明不包括预处理器规则，则该选项不与预处理器规则关联。

网络

使用此选项可指定 FTP 客户端的一个或多个 IP 地址。

可以指定单个 IP 地址或地址块，也可以指定由单个地址和/或地址块组成并以逗号分隔的列表。最多可指定 1024 个字符，最多可指定 255 个配置文件（包括默认配置文件）。

请注意，默认策略中的 default 设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP 地址。因此，不能且不需要为默认策略指定 IP 地址或地址块，并且不能在其他策略中将此设置留空或使用地址记法来表示 any（例如，0.0.0.0/0 或 ::/0）。

最大响应长度 (Max Response Length)

使用此选项可以指定客户端接受的 FTP 命令的最大允许响应长度。这可以检测到基本的缓冲区溢出。

您可以启用规则 125:6 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

检测 FTP 退回尝试 (Detect FTP Bounce Attempts)

使用此选项可检测 FTP 退回攻击。

您可以启用规则 125:8 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

允许 FTP 退回至 (Allow FTP Bounce to)

使用此选项可配置包含附加主机以及这些主机上端口的列表，在这些主机上，FTP PORT 命令不应被视为 FTP 退回攻击。

检测 FTP 命令内的 Telnet 转义代码 (Detect Telnet Escape Codes within FTP Commands)

使用此选项可检测何时在 FTP 命令通道上使用 Telnet 命令。

可以启用规则 125:1 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

忽略规范化过程中的擦除命令 (Ignore Erase Commands During Normalization)

如果选择了检测 FTP 命令内的 Telnet 转义代码 (Detect Telnet Escape Codes within FTP Commands)，使用此选项可在 FTP 流量规范化过程中忽略 Telnet 字符和行擦除命令。此选项的设置应与 FTP 客户端处理 Telnet 擦除命令的方式相匹配。请注意，新 FTP 客户端通常会忽略 Telnet 擦除命令，而旧客户端通常会进行处理。

为 HTTP 检查预处理器的全局 HTTP 选项用于控制预处理器的工作方式。如果由未指定为网络服务器的端口接收 HTTP 流量，可使用这些选项启用或禁用 HTTP 规范化。

请注意以下提示：

• 如果启用无限压缩 (Unlimited Decompression)，提交修改时，最大压缩数据深度 (Maximum Compressed Data Depth) 和最大解压缩数据深度 (Maximum Decompressed Data Depth) 选项将会自动设置为 65535。

• 当最大压缩数据深度 (Maximum Compressed Data Depth) 或最大解压缩数据深度 (Maximum Decompressed Data Depth) 的值在以下位置不同时，将会使用最高值：

  • 默认网络分析策略

  • 由同一访问控制策略中的网络分析规则调用的任何其他自定义网络分析策略

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

检测异常 HTTP 服务器 (Detect Anomalous HTTP Servers)

检测发送到未指定为网络服务器的端口或由其接收的 HTTP 流量。

注	如果启用此选项，请确保在“HTTP 配置”(HTTP Configuration) 页面上的服务器配置文件中列出会接收 HTTP 流量的所有端口。如果不这样做，并且启用此选项以及随附的预处理器规则，则与该服务器之间的正常流量会生成事件。默认的服务器配置文件包含所有通常用于 HTTP 流量的端口，但如果修改了该配置文件，可能需要将这些端口添加到另一个配置文件中，以防止生成事件。

可以启用规则 120:1 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

检测 HTTP 代理服务器 (Detect HTTP Proxy Servers)

检测使用未由允许 HTTP 代理使用 (Allow HTTP Proxy Use) 选项定义的代理服务器的 HTTP 流量。

可以启用规则 119:17 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

最大压缩数据深度 (Maximum Compressed Data Depth)

启用 Inspect Compressed Data（或者 Decompress SWF File (LZMA)、Decompress SWF File (Deflate) 或 Decompress PDF File (Deflate)）后，设置要解压缩的压缩数据的最大大小。

最大解压缩数据深度 (Maximum Decompressed Data Depth)

启用 Inspect Compressed Data（或者 Decompress SWF File (LZMA)、Decompress SWF File (Deflate) 或 Decompress PDF File (Deflate)）后，设置规范化解压缩数据的最大大小。

可以为监控的每个服务器、全局地为所有服务器或者为服务器列表设置服务器级别选项。此外，可以使用预定义的服务器配置文件来设置这些选项，也可以单独设置它们来满足环境需求。可以使用这些选项或设置这些选项的其中一个默认配置文件来指定要规范化其流量的 HTTP 服务器端口、要规范化的服务器响应负载数量以及要规范化的编码的类型。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

网络 (Networks)

使用此选项可指定一个或多个服务器的 IP 地址。可以指定单个 IP 地址或地址块，也可以指定由单个地址和/或地址块组成并以逗号分隔的列表。

除总共最多 255 个配置文件（包括默认配置文件）的限制以外，还可以在 HTTP 服务器列表中包含最多 496 个字符（或大约 26 个条目），并为所有服务器配置文件指定总共最多 256 个地址条目。

请注意，默认策略中的 default 设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP 地址。因此，不能且不需要为默认策略指定 IP 地址或 CIDR 块/前缀长度，并且不能在其他策略中将此设置留空或使用地址记法来表示 any（例如，0.0.0.0/0 或 ::/0）。

端口

预处理器引擎会对其 HTTP 流量进行规范化的端口。使用逗号分隔多个端口号。

过大的目录长度 (Oversize Dir Length)

检测长度超过指定值的 URL 目录。

当预处理器检测到长于指定长度的 URL 请求时，您可以启用规则 119:15 来生成事件并在内联部署中丢弃攻击性数据包。

客户端流量深度 (Client Flow Depth)

为要在端口 (Ports) 中定义的客户端 HTTP 流量中的原始 HTTP 数据包（包括报头和负载数据）中检查的规则指定字节数。如果规则中的 HTTP 内容规则选项检查请求消息的特定部分，客户端流量深度不适用。

可指定以下任意值：

• 正值，检查第一个数据包中的指定字节数。如果第一个数据包包含的字节数小于指定值，则检查整个数据包。请注意，指定值适用于分段和重组的数据包。

  另请注意，值 300 通常表示许多客户端请求报头末尾出现的大尺寸 HTTP Cookie 无需检查。

• 0 将会检查所有客户端流量，包括会话中的多个数据包，在必要时可超出字节上限。请注意，此值可能会影响性能。

• -1 将会忽略所有客户端流量。

服务器流量深度 (Server Flow Depth)

为要在端口 (Ports) 中指定的服务器端 HTTP 流量中的原始 HTTP 数据包中检查的规则指定字节数。Inspect HTTP Responses 处于禁用状态时，会检查原始报头和负载；Inspect HTTP Response 处于启用状态时，仅检查原始响应正文。

服务器流量深度为要在端口 (Ports) 中定义的服务器端 HTTP 流量中检查的规则指定会话中原始服务器响应数据的字节数。可以使用此选项来平衡 HTTP 服务器响应数据的性能和检查级别。如果规则中的 HTTP 内容规则选项检查响应消息的特定部分，服务器流量深度不适用。

不同于客户端流量深度，服务器流量深度为要检查的规则指定每个 HTTP 响应而非每个 HTTP 请求数据包的字节数。

可以指定以下任何内容：

• 正值：

  当检查 HTTP 响应 (Inspect HTTP Responses) 处于启用状态时，仅检查原始 HTTP 响应正文，不会检查非原始 HTTP 报头；当检查 HTTP 响应 (Inspect HTTP Responses) 处于启用状态时，还会同时检查解压缩数据。

  当检查 HTTP 响应 (Inspect HTTP Responses) 处于禁用状态时，会检查原始数据包报头和负载。

  如果会话包含的响应字节数小于指定值，规则将会根据需要在多个数据包中彻底检查给定会话中的所有响应数据包。如果会话包含的响应字节数大于指定值，规则将会根据需要在多个数据包中仅检查该会话中的指定字节数。

  请注意，流量深度值小可能会导致针对端口 (Ports) 中定义的服务器端流量的规则出现漏报。大多数这些规则针对的是，可能处于非报头数据的大约前 100 字节中的 HTTP 报头或内容。报头长度通常少于 300 字节，但报头大小可以不同。

  另请注意，指定值适用于分段和重组的数据包。

• 0 将会为端口 (Ports) 中定义的所有 HTTP 服务器端流量检查整个数据包（包括超过 65535 字节的会话中的响应数据）。

  请注意，此值可能会影响性能。

• -1：

  当检查 HTTP 响应 (Inspect HTTP Responses) 处于启用状态时，仅检查原始 HTTP 响应正文，不会检查原始 HTTP 响应正文。

  当检查 HTTP 响应 (Inspect HTTP Responses) 处于禁用状态时，会忽略在端口 (Ports) 中定义的所有服务器端流量。

最大报头长度 (Maximum Header Length)

检测 HTTP 请求中长度超过指定最大字节数的报头字段；如果启用了检查 HTTP 响应 (Inspect HTTP Responses)，还会对 HTTP 响应执行此项检查。值为 0 将会禁用此选项。指定正值可启用此选项。

您可以启用规则 119:19 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。。

最大报头数 (Maximum Number of Headers)

检测 HTTP 请求中的报头数量超过此设置的情况。值为 0 将会禁用此选项。指定正值可启用此选项。

您可以启用规则 119:20 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。。

最大空格数 (Maximum Number of Spaces)

检测 HTTP 请求的折线中的空格数量等于或超过此设置的情况。值为 0 将会禁用此选项。指定正值可启用此选项。

您可以启用规则 119:26 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。。

HTTP 客户端正文提取深度 (HTTP Client Body Extraction Depth)

指定从 HTTP 客户端请求的消息正文提取的字节数。通过选择 content 或 protected_content 关键字 HTTP Client Body 选项，可以使用入侵规则检查提取的数据。

指定 -1 将会忽略客户端正文。指定 0 将会提取整个客户端正文。请注意，确定要提取的特定字节数可提高系统性能。另请注意，要使 HTTP 客户端正文 (HTTP Client Body) 选项在入侵规则中起作用，必须为此选项指定一个大于或等于 0 的值。

小数据块大小 (Small Chunk Size)

指定被认为是小数据块的数据块可包含的最大字节数。指定一个正值。值 0 将会禁用对异常连续小分片的检测。有关详细信息，请参阅连续小数据块 (Consecutive Small Chunks) 选项。

连续小数据块 (Consecutive Small Chunks)

指定在使用分块传输编码的客户端流量或服务器流量中，代表异常大数量的连续小数据块的数量。小数据块大小 (Small Chunk Size) 选项指定小数据块的最大大小。

例如，将小数据块大小 (Small Chunk Size) 设置为 10 并将连续小数据块 (Consecutive Small Chunks) 设置为 5，可检测包含 10 个或更少字节的 5 个连续数据块。

对于客户端流量和服务器流量，可分别启用预处理器规则 119:27 和 120:7 针对过多小数据块进行生成事件并在内联部署中丢弃攻击性数据包。如果 Small Chunk Size 已启用且此选项设置为 0 或 1，启用这些规则将会对每个指定大小或更小的数据块触发事件。

HTTP 方法 (HTTP Methods)

指定除预期系统会在流量中遇到的 GET 和 POST 以外的 HTTP 请求方法。使用逗号隔开多个值。

入侵规则将 content 或 protected_content 关键字与 HTTP Method 参数配合使用来搜索 HTTP 方法中的内容。如果在流量中遇到 GET、POST 或为此选项配置的方法以外的方法，您可以启用规则 119:31 来生成事件并在内联部署中丢弃攻击性数据包。请参阅设置入侵规则状态。

无警报 (No Alerts)

当随附的预处理器规则处于启用状态时禁用入侵事件。

注	此选项不会禁用 HTTP 标准文本规则和共享对象规则。

规范化 HTTP 报头 (Normalize HTTP Headers)

当检查 HTTP 响应 (Inspect HTTP Responses) 处于启用状态时，启用请求和响应报头中非 cookie 数据的规范化。如果未启用检查 HTTP 响应 (Inspect HTTP Responses)，则启用请求和响应报头中整个 HTTP 报头（包括 cookie）的规范化。

检查 HTTP Cookie (Inspect HTTP Cookies)

允许从 HTTP 请求报头中提取 cookie。当检查 HTTP 响应 (Inspect HTTP Responses) 处于启用状态时，还允许从响应报头提取 set-cookie 数据。当不需要提取 cookie 时，禁用此选项可提高性能。

请注意，Cookie: 和 Set-Cookie: 报头名称、报头行中的前导空格以及终止报头行的 CRLF 将作为报头的一部分而非 cookie 的一部分进行检查。

HTTP 报头中的规范化 Cookie (Normalize Cookies in HTTP headers)

启用 HTTP 请求报头中 cookie 的规范化。当检查 HTTP 响应 (Inspect HTTP Responses) 处于启用状态时，还会启用响应报头中 set-cookie 数据的规范化。必须选择检查 HTTP Cookie (Inspect HTTP Cookies) 之后才能选择此选项。

允许 HTTP 代理使用 (Allow HTTP Proxy Use)

允许将受监控的 Web 服务器用作 HTTP 代理。此选项仅用于检查 HTTP 请求。

仅检查 URI (Inspect URI Only)

仅检查规范化 HTTP 请求数据包的 URI 部分。

检查 HTTP 响应 (Inspect HTTP Responses)

启用对 HTTP 响应的延展检查，从而使预处理器不仅会对 HTTP 请求消息进行解码和规范化，还会提取响应字段以供规则引擎进行检查。启用此选项后，系统会提取响应报头、正文、状态代码等；如果还启用了检查 HTTP Cookie (Inspect HTTP Cookies)，系统还会提取 set-cookie 数据。

您可以启用规则 120:2 和 120:3 来生成事件并在内联部署中丢弃攻击性数据包，如下所述：

将 UTF 编码规范化为 UTF-8 (Normalize UTF Encodings to UTF-8)

如果启用了检查 HTTP 响应 (Inspect HTTP Responses)，此选项检测 HTTP 响应中的 UTF-16LE、UTF-16BE、UTF-32LE 和 UTF32-BE 编码，并将其规范化为 UTF-8。

当 UTF 规范化失败时，您可以启用规则 120:4 来生成事件并在内联部署中丢弃攻击性数据包。

检查压缩数据 (Inspect Compressed Data)

当检查 HTTP 响应 (Inspect HTTP Responses) 已启用时，此选项启用 HTTP 响应正文中的 gzip 和兼容 deflate 的压缩数据的解压，以及对规范化解压缩数据的检查。系统将检查分块和非分块 HTTP 响应数据。系统会根据需要逐一检查多个数据包中的解压缩数据；也就是说，系统不会将来自不同数据包的解压缩数据合并来进行检查。当达到最大压缩数据深度 (Maximum Compressed Data Depth) 或最大解压缩数据深度 (Maximum Decompressed Data Depth) 中指定的值，或者达到压缩数据末尾时，解压缩将会结束。当达到服务器流量深度 (Server Flow Depth) 中指定的值时，对解压缩数据的检查将会结束，除非还选择了无限制解压缩 (Unlimited Decompression)。您可以使用 file_data 规则关键字来检查解压缩数据。

您可以启用规则 120:6 和 120:24 来生成事件并在内联部署中丢弃攻击性数据包，如下所述：

无限解压

当启用检查压缩数据 (Inspect Compressed Data)（或者 解压缩 SWF 文件 (LZMA) [Decompress SWF File (LZMA)]、解压缩 SWF 文件 (Deflate) [Decompress SWF File (Deflate)] 或解压缩 PDF 文件 (Deflate) [Decompress PDF File (Deflate)]）时，会跨多个数据包覆盖最大压缩数据深度 (Maximum Compressed Data Depth)；也就是说，此选项支持跨多个数据包无限制解压缩。请注意，启用此选项不会影响单个数据包中的最大压缩数据深度 (Maximum Compressed Data Depth) 或最大解压缩数据深度 (Maximum Decompressed Data Depth)。另请注意，如果启用此选项，确认修改时最大压缩数据深度 (Maximum Compressed Data Depth) 和最大解压缩数据深度 (Maximum Decompressed Data Depth) 将会设置为 65535。

规范化 Javascript (Normalize Javascript)

当检查 HTTP 响应 (Inspect HTTP Responses) 已启用时，此选项启用对 HTTP 响应正文中 Javascript 的检测和规范化。预处理器会对模糊 JavaScript 数据（例如，unescape 函数、decodeURI 函数和 String.fromCharCode 方法）进行规范化。预处理器会对 unescape、decodeURI 和 decodeURIComponent 函数中的以下编码进行规范化：

• %XX

• %uXXXX

• 0xXX

• \xXX

• \uXXXX

预处理器检测连续空格，并将其规范化为一个空格。此选项处于启用状态时，配置字段允许您指定模糊 Javascript 数据中允许的最大连续空格数量。可输入 1 到 65535 之间的值。值 0 将会禁止生成事件，不管与该字段相关的预处理器规则 (120:10) 是否启用。

预处理器还会对 Javascript 加号 (+) 运算符进行规范化，并使用该运算符连接字符串。

您可以使用 file_data 入侵规则关键字使入侵规则指向规范化的 Javascript 数据。

您可以启用规则 120:9、120:10 和 120:11 以生成事件并在内联部署中丢弃攻击性数据包，如下所示：

“解压缩 SWF 文件 (LZMA)” (Decompress SWF File [LZMA]) 和“解压缩 SWF 文件 (Deflate)”(Decompress SWF File [Deflate])

启用 HTTP Inspect Responses 后，这些选项解压缩位于 HTTP 请求的 HTTP 响应主体中文件的压缩部分。.

注	您只能解压缩在 HTTP GET 响应中找到的文件的压缩部分。

• Decompress SWF File (LZMA) 解压缩 Adobe ShockWave Flash (.swf) 文件的 LZMA 兼容压缩部分。

• Decompress SWF File (Deflate) 解压缩 Adobe ShockWave Flash (.swf) 文件的 deflate 兼容压缩部分。

当达到最大压缩数据深度 (Maximum Compressed Data Depth) 或最大解压缩数据深度 (Maximum Decompressed Data Depth) 中指定的值，或者达到压缩数据末尾时，解压缩将会结束。当达到服务器流量深度 (Server Flow Depth) 中指定的值时，对解压缩数据的检查将会结束，除非还选择了无限制解压缩 (Unlimited Decompression)。您可以使用 file_data 入侵规则关键字来检查解压缩数据。

您可以启用规则 120:12 和 120:13 以生成事件并在内联部署中丢弃攻击性数据包，如下所示：

Decompress PDF File (Deflate)

检查 HTTP 响应 (Inspect HTTP Responses) 处于启用状态时，解压缩 SWF 文件 (Deflate) (Decompress PDF File [Deflate]) 会解压缩位于 HTTP 请求的 HTTP 响应主体中可移植文档格式 (.pdf) 文件的 deflate 兼容压缩部分。系统只能使用 /FlateDecode 数据流过滤器解压缩 PDF 文件。不支持其他数据流过滤器（包括 /FlateDecode /FlateDecode）。

注	您只能解压缩在 HTTP GET 响应中找到的文件的压缩部分。

当达到最大压缩数据深度 (Maximum Compressed Data Depth) 或最大解压缩数据深度 (Maximum Decompressed Data Depth) 中指定的值，或者达到压缩数据末尾时，解压缩将会结束。当达到服务器流量深度 (Server Flow Depth) 中指定的值时，对解压缩数据的检查将会结束，除非还选择了无限制解压缩 (Unlimited Decompression)。您可以使用 file_data 入侵规则关键字来检查解压缩数据。

您可以启用规则 120:14、120:15、120:16 和 120:17 以生成事件并在内联部署中丢弃攻击性数据包，如下所示：

提取原始客户端 IP 地址 (Extract Original Client IP Address)

在入侵检查过程中启用原始客户端 IP 地址的检查。系统从您在 XFF 报头优先级 (XFF Header Priority) 选项中定义的 X-Forwarded-For (XFF)、True-Client-IP 或自定义 HTTP 报头提取原始客户端 IP 地址。您可以在入侵事件表中查看提取的原始客户端 IP 地址。

您可以启用规则 119:23、119:29 和 119:30 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。。

XFF 报头优先级 (XFF Header Priority)

日志 URI (Log URI)

允许从 HTTP 请求数据包提取原始 URI（如果有），并将该 URI 与为会话生成的所有入侵事件相关联。

启用此选项后，可以在入侵事件表视图的“HTTP URI”列中显示提取的 URI 的前 50 个字符。可以在数据包视图中显示完整的 URI（最多 2048 字节）。

日志主机名 (Log Hostname)

允许从 HTTP 请求主机报头中提取主机名（如果有），并将该主机名与为会话生成的所有入侵事件相关联。如果存在多个主机报头，系统将会从第一个报头中提取主机名。

启用此选项后，可以在入侵事件表视图的“HTTP 主机名”(HTTP Hostname) 列中显示提取的主机名的前 50 个字符。可以在数据包视图中显示完整的主机名（最多 256 字节）。

您可以启用规则 119:25 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

请注意，如果启用了规则 119:24，它将在于 HTTP 请求中检测到多个主机报头时触发，而不管该选项的设置为何。

配置文件

指定为 HTTP 流量规范化的编码的类型。系统提供了一个适用于大多数服务器的默认配置文件、适用于 Apache 服务器和 IIS 服务器的若干默认配置文件以及自定义默认设置，您可以对这些设置进行自定义，以满足受监控流量的需求：

• 选择 All 将会使用适用于所有服务器的标准默认配置文件。

• 选择 IIS 将会使用系统提供的 IIS 配置文件。

• 选择 Apache 将会使用系统提供的 Apache 配置文件。

• 选择自定义 (Custom) 将会创建您自己的服务器配置文件。

可以启用下表的 Preprocessor Rule GID:SID 列中的规则，为与特定配置选项无关的 HTTP 检查预处理器规则生成事件。

端口

指定要规范化其流量的端口。可在此界面列出多个端口，端口之间用逗号分隔。典型的 RPC 端口为 111 和 32771。如果网络将 RPC 流量发送到其他端口，可考虑添加这些端口。

检测分片 RPC 记录 (Detect fragmented RPC records)

检测 RPC 分片记录。

您可以启用规则 106:1 和 106:5 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

检测一个数据包中的多个记录 (Detect multiple records in one packet)

在每个数据包（或重组数据包）中检测多于一个 RPC 请求。

可以启用规则 106:2生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

检测超出一个分片的片段的记录和

检测超过当前数据包长度的重组分片记录长度。

可以启用规则 106:3生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

检测超过一个数据包长度的单个分片记录

检测部分记录

可以启用规则 106:4生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

对于以下选项，您可以指定从 1 到 65535 字节的正值或 0，以禁用选项的事件生成（无论是否启用关联规则）。

• Maximum Request URI Length

• Maximum Call ID Length

• Maximum Request Name Length

• Maximum From Length

• Maximum To Length

• Maximum Via Length

• Maximum Contact Length

• Maximum Content Length

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

端口

指定用于检查 SIP 流量的端口。可指定 0 到 65535 之间的整数。使用逗号分隔多个端口号。

检查方法 (Methods to Check)

指定 SIP 检测方法。可以指定以下当前定义的任何 SIP 方法：

	ack, benotify, bye, cancel, do, info, invite, join, message,
	notify, options, prack, publish, quath, refer, register,
	service, sprack, subscribe, unsubscribe, update

方法不区分大小写。方法名称可以包含字母字符、数字和下划线字符。不允许任何其他特殊字符。使用逗号隔开多种方法。

由于将来可能会定义新的 SIP 方法，因此，配置可以包含当前未定义的字母字符串。系统最多支持 32 种方法，包括 21 种当前定义的方法和 11 种其他方法。系统将忽略您可能配置的任何未定义的方法。

请注意，除为此选项指定的任何方法外，总共 32 种方法包括入侵规则中使用 sip_method 关键字指定的方法。

会话中的最大对话数 (Maximum Dialogs within a Session)

指定数据流会话中允许的最大对话数量。如果创建的对话框数量超过该数量，则最早的对话框会被丢弃，直至对话框数量不超过指定的最大数量。可指定 1 到 4194303 之间的整数。

您可以启用规则 140:27 生成事件并在内联部署中丢弃此选项的攻击性数据包。请参阅设置入侵规则状态。

最大请求 URL 长度 (Maximum Request URI Length)

指定 Request-URI 报头字段中允许的最大字节数。如果启用了规则 140:3，则更长的“URI”生成事件并在内联部署中丢弃攻击性数据包。请求 URI 字段指明请求的目标路径或目标页面。

最大调用 ID 长度 (Maximum Call ID Length)

指定请求或响应 Call-ID 报头字段中允许的最大字节数。如果启用了规则 140:5，则更长的“调用 ID”生成事件并在内联部署中丢弃攻击性数据包。“调用 ID”字段唯一地识别请求和响应中的 SIP 会话。

最大请求名称长度 (Maximum Request Name Length)

指定请求名称中允许的最大字节数（该名称是 CSeq 事务标识符中指定的方法的名称）。如果启用了规则 140:7，则更长的“请求名称”生成事件并在内联部署中丢弃攻击性数据包。

最大发件人长度 (Maximum From Length)

指定请求或响应“发件人”(From) 报头字段中允许的最大字节数。如果启用了规则 140:9，则更长的“发件人”生成事件并在内联部署中丢弃攻击性数据包。“发件人”(From) 字段识别消息发起方。

最大收件人长度 (Maximum To Length)

指定请求或响应“收件人”(To) 报头字段中允许的最大字节数。如果启用了规则 140:11，则更长的“收件人”生成事件并在内联部署中丢弃攻击性数据包。“收件人”(To) 字段识别消息收件人。

最大路径长度 (Maximum Via Length)

指定请求或响应“路径”(Via) 报头字段中允许的最大字节数。如果启用了规则 140:13，则更长的“通过”生成事件并在内联部署中丢弃攻击性数据包。“路径”(Via) 字段提供请求的路径，并在响应中提供回执信息。

最大联系人长度 (Maximum Contact Length)

指定请求或响应“联系人”(Contact) 报头字段中允许的最大字节数。如果启用了规则 140:15，则更长的“联系人”生成事件并在内联部署中丢弃攻击性数据包。“联系人”(Contact) 字段提供用以指定与后续消息进行联系的位置的 URI。

最大内容长度 (Maximum Content Length)

指定在请求或响应消息正文的内容中允许的最大字节数。如果启用了规则 140:16，则更长的内容生成事件并在内联部署中丢弃攻击性数据包。

忽略音频/视频数据通道 (Ignore Audio/Video Data Channel)

启用和禁用数据通道流量检查。请注意，如果启用了此选项，预处理器会继续检查其他非数据通道 SIP 流量。

下表中的 SIP 预处理器规则与特定配置选项无关。与其他 SIP 预处理器规则一样，如果要使这些规则生成事件并在内联部署中丢弃攻击性数据包，必须启用这些规则。

如果要下表中所列的 GTP 预处理器规则生成事件并在内联部署中丢弃攻击性数据包，必须启用它们。

请注意，解码（或提取，如果 MIME 邮件附件不要求解码）涵盖多个附件（如果有）以及同时存在于多个数据包中的大型附件。

另请注意，当 Base64 解码深度 (Base64 Decoding Depth)、7 位/8 位/二进制解码深度 (7-Bit/8-Bit/Binary Decoding Depth)、Quoted-Printable 解码深度 (Quoted-Printable Decoding Depth) 或 Unix-to-Unix 解码深度 (Unix-to-Unix Decoding Depth) 选项的值在以下设置中不同时，将会使用最高值：

• 默认网络分析策略

• 由同一访问控制策略中的网络分析规则调用的任何其他自定义网络分析策略

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

端口

指定用于检查 IMAP 流量的端口。可指定 0 到 65535 之间的整数。使用逗号分隔多个端口号。

Base64 解码深度 (Base64 Decoding Depth)

指定要从每个 Base64 编码的 MIME 邮件附件中提取和解码的最大字节数。可指定一个正值，或者指定 0 以解码所有 Base64 数据。指定 -1 将会忽略 Base64 数据。

请注意，不能被 4 整除的正值将向上舍入为最接近的 4 的倍数，但值 65533、65534、65535 除外，因为它们将向下舍入为 65532。

当启用此选项时，您可以启用规则 141:4 以在解码失败时生成事件并在内联部署中丢弃攻击性数据包；解码可能会由于不正确的编码或损坏的数据等原因而失败。

7 位/8 位/二进制解码深度 (7-Bit/8-Bit/Binary Decoding Depth)

指定要从每个不要求解码的 MIME 邮件附件中提取的数据的最大字节数。这些附件类型包括 7 位、8 位、二进制以及各种多部分内容类型（例如，纯文本、jpeg 图像、mp3 文件等）。可指定一个正值，或者指定 0 以提取数据包中的所有数据。指定 -1 将会忽略非解码数据。

当启用此选项时，您可以启用规则 141:6 以在提取失败时生成事件并在内联部署中丢弃攻击性数据包；提取可能会由于损坏的数据等原因而失败。

Quoted-Printable 解码深度 (Quoted-Printable Decoding Depth)

指定要从每个 Quoted-Printable (QP) 编码的 MIME 邮件附件中提取和解码的最大字节数。可指定一个正值，或者指定 0 以解码数据包中的所有 QP 编码数据。指定 -1 将会忽略 QP 编码数据。

当启用此选项时，您可以启用规则 141:5 以在解码失败时生成事件并在内联部署中丢弃攻击性数据包；解码可能会由于不正确的编码或损坏的数据等原因而失败。

Unix-to-Unix 解码深度 (Unix-to-Unix Decoding Depth)

指定要从每个 Unix-to-Unix 编码（UuEncode 编码）的邮件附件中提取和解码的最大字节数。可指定一个正值，或者指定 0 以解码数据包中的所有 UuEncode 编码数据。指定 -1 将会忽略 UuEncode 编码数据。

当启用此选项时，您可以启用规则 141:7 以在解码失败时生成事件并在内联部署中丢弃攻击性数据包；解码可能会由于不正确的编码或损坏的数据等原因而失败。

下表中的 IMAP 预处理器规则与特定配置选项无关。与其他 IMAP 预处理器规则一样，如果要使这些规则能够生成事件并在内联部署中丢弃攻击性数据包，则必须启用它们。

请注意，解码（或提取，如果 MIME 邮件附件不要求解码）涵盖多个附件（如果有）以及同时存在于多个数据包中的大型附件。

另请注意，当 Base64 解码深度 (Base64 Decoding Depth)、7 位/8 位/二进制解码深度 (7-Bit/8-Bit/Binary Decoding Depth)、Quoted-Printable 解码深度 (Quoted-Printable Decoding Depth) 或 Unix-to-Unix 解码深度 (Unix-to-Unix Decoding Depth) 选项的值在以下设置中不同时，将会使用最高值：

• 默认网络分析策略

• 由同一访问控制策略中的网络分析规则调用的任何其他自定义网络分析策略

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

端口

指定用于检查 POP 流量的端口。可指定 0 到 65535 之间的整数。使用逗号分隔多个端口号。

Base64 解码深度 (Base64 Decoding Depth)

指定要从每个 Base64 编码的 MIME 邮件附件中提取和解码的最大字节数。可指定一个正值，或者指定 0 以解码所有 Base64 数据。指定 -1 将会忽略 Base64 数据。

请注意，不能被 4 整除的正值将向上舍入为最接近的 4 的倍数，但值 65533、65534、65535 除外，因为它们将向下舍入为 65532。

启用此选项时，您可以在解码失败时启用规则 142:4 至生成事件并在内联部署中丢弃攻击性数据包，例如，由于解码不正确或数据损坏，解码可能会失败。

7 位/8 位/二进制解码深度 (7-Bit/8-Bit/Binary Decoding Depth)

指定要从每个不要求解码的 MIME 邮件附件中提取的数据的最大字节数。这些附件类型包括 7 位、8 位、二进制以及各种多部分内容类型（例如，纯文本、jpeg 图像、mp3 文件等）。可指定一个正值，或者指定 0 以提取数据包中的所有数据。指定 -1 将会忽略非解码数据。

启用此选项时，您可以在提取失败时启用规则 142:6 至生成事件并在内联部署中丢弃攻击性数据包；例如，由于数据损坏，提取可能会失败。

Quoted-Printable 解码深度 (Quoted-Printable Decoding Depth)

指定要从每个 Quoted-Printable (QP) 编码的 MIME 邮件附件中提取和解码的最大字节数。可指定一个正值，或者指定 0 以解码数据包中的所有 QP 编码数据。指定 -1 将会忽略 QP 编码数据。

启用此选项时，您可以在解码失败时启用规则 142:5 至生成事件并在内联部署中丢弃攻击性数据包；例如，由于解码不正确或数据损坏，解码可能会失败。

Unix-to-Unix 解码深度 (Unix-to-Unix Decoding Depth)

指定要从每个 Unix-to-Unix 编码（UuEncode 编码）的邮件附件中提取和解码的最大字节数。可指定一个正值，或者指定 0 以解码数据包中的所有 UuEncode 编码数据。指定 -1 将会忽略 UuEncode 编码数据。

启用此选项时，您可以在解码失败时启用规则 142:7 到生成事件并在内联部署中丢弃攻击性数据包；例如，由于解码不正确或数据损坏，解码可能会失败。

下表中的 POP 预处理器规则与特定配置选项无关。与其他 POP 预处理器规则一样，如果您需要它们来生成事件并在内联部署中丢弃攻击性数据包，则必须启用这些规则。

可以启用或禁用规范化，还可以对选项进行配置以控制 SMTP 解码器检测的异常流量类型。

请注意，解码（或提取，如果 MIME 邮件附件不要求解码）涵盖多个附件（如果有）以及同时存在于多个数据包中的大型附件。

另请注意，当 Base64 解码深度 (Base64 Decoding Depth)、7 位/8 位/二进制解码深度 (7-Bit/8-Bit/Binary Decoding Depth)、Quoted-Printable 解码深度 (Quoted-Printable Decoding Depth) 或 Unix-to-Unix 解码深度 (Unix-to-Unix Decoding Depth) 选项的值在以下设置中不同时，将会使用最高值：

• 默认网络分析策略

• 由同一访问控制策略中的网络分析规则调用的任何其他自定义网络分析策略

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

端口

指定要规范化其 SMTP 流量的端口。可以指定大于或等于 0 的值。使用逗号分隔多个端口。

状态检查 (Stateful Inspection)

如果选择此选项，SMTP 解码器将会保存状态，提供各个数据包的会话上下文，并且仅检查重组的会话。如果清除此选项，将会在没有会话上下文的情况下分析每个数据包。

规范化 (Normalize)

如果设置为 All，将会规范化所有命令。会检查命令后是否有多个空格字符。

如果设置为 None，则不会对命令进行规范化。

如果设置为 Cmds，将会规范化自定义命令 (Custom Commands) 中列出的命令。

自定义命令

如果规范化 (Normalize) 设置为 Cmds，则会规范化列出的命令。

可在文本框中指定应进行规范化的命令。会检查命令后是否有多个空格字符。

空格 (ASCII 0x20) 和制表符 (ASCII 0x09) 字符被视为是用于规范化目的的空格字符。

忽略数据 (Ignore Data)

不处理邮件数据；仅处理 MIME 邮件报头数据。

忽略 TLS 数据 (Ignore TLS Data)

不处理根据传输层安全协议加密的数据。

无警报 (No Alerts)

当随附的预处理器规则处于启用状态时禁用入侵事件。

检测未知命令 (Detect Unknown Commands)

检测 SMTP 流量中的未知命令。

可以启用规则 124:5，为此选项生成事件并在内联部署中丢弃攻击性数据包。

最大命令行长度 (Max Command Line Len)

检测 SMTP 命令行的长度何时大于此值。指定 0 将不会检测命令行长度。

RFC2821（网络工作组制定的关于简单邮件传输协议的规范）建议将最大命令行长度设置为 512。

可以启用规则 124:1，为此选项生成事件并在内联部署中丢弃攻击性数据包。

最大报头行长度 (Max Header Line Len)

检测 SMTP 数据报头行的长度何时大于此值。指定 0 将不会检测数据报头行长度。

可以启用规则 124:2 和 124:7，为此选项生成事件并在内联部署中丢弃攻击性数据包。

最大响应行长度 (Max Response Line Len)

检测 SMTP 响应行的长度何时大于此值。指定 0 将不会检测响应行长度。

RFC 2821 建议将最大响应行长度设置为 512。

可以启用规则 124:3，为此选项以及替代最大命令行长度（如已启用）生成事件并在内联部署中丢弃攻击性数据包。

替代最大命令行长度 (Alt Max Command Line Len)

检测任何指定命令的 SMTP 命令行的长度何时大于此值。指定 0 将不会检测指定命令的命令行长度。为众多命令设置了不同的默认行长度。

此设置将覆盖指定命令的“最大命令行长度”(Max Command Line Len) 设置。

可以启用规则 124:3，为此选项以及最大响应行长度（如已启用）生成事件并在内联部署中丢弃攻击性数据包。

无效命令 (Invalid Commands)

检测命令是否是从客户端发出的。

可以启用规则 124:6，为此选项以及无效命令生成事件并在内联部署中丢弃攻击性数据包。

有效命令 (Valid Commands)

允许此列表中的命令。

即使此列表为空，预处理器仍允许下列有效命令：ATRN AUTH BDAT DATA DEBUG EHLO EMAL ESAM ESND ESOM ETRN EVFY EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT RCPT RSET SAML SEND SIZE SOML STARTTLS TICK TIME TURN TURNME VERB VRFY XADR XAUTH XCIR XEXCH50 X-EXPS XGEN XLICENSE X-LINK2STATE XQUE XSTA XTRN XUSR

注	RCPT TO 和 MAIL FROM 是 SMTP 命令。对这两个命令，预处理器配置分别使用命令名 RCPT 和 MAIL。在代码中，预处理器会将 RCPT 和 MAIL 映射到正确的命令名。

可以启用规则 124:4，为此选项以及无效命令（如已配置）生成事件并在内联部署中丢弃攻击性数据包。

数据命令 (Data Commands)

列出以与 SMTP DATA 命令按照 RFC5321 的要求发送数据相同的方法发起数据发送的命令。使用空格分隔多个命令。

二进制数据命令 (Binary Data Commands)

列出以与 BDAT 命令按照 RFC 3030 的要求发送数据类似的方法发起数据发送的命令。使用空格分隔多个命令。

身份验证命令 (Authentication Commands)

列出发起客户端和服务器之间的身份验证交换的命令。使用空格分隔多个命令。

检测 xlink2state (Detect xlink2state)

检测作为 X-Link2State Microsoft Exchange 缓冲区数据溢出攻击的一部分的数据包。在内联部署中，系统还可以丢弃这些数据包。

可以启用规则 124:8，为此选项生成事件并在内联部署中丢弃攻击性数据包。

Base64 解码深度 (Base64 Decoding Depth)

在忽略数据 (Ignore Data) 已禁用的情况下，指定要从每个 Base64 编码的 MIME 邮件附件中提取和解码的最大字节数。可指定一个正值，或者指定 0 以解码所有 Base64 数据。指定 -1 将会忽略 Base64 数据。如果选择了忽略数据 (Ignore Data)，预处理器将不会对数据进行解码。

请注意，不能被 4 整除的正值将向上舍入为最接近的 4 的倍数，但值 65533、65534、65535 除外，因为它们将向下舍入为 65532。

当启用此选项时，可以启用规则 124:10，在解码失败时生成事件并在内联部署中丢弃攻击性数据包；举例来说，解码可能会由于不正确的编码或损坏的数据而失败。

请注意，此选项取代已被弃用的启用 MIME 解码 (Enable MIME Decoding) 和最大 MIME 解码深度 (Maximum MIME Decoding Depth) 选项，后两个选项由于具有向后兼容性，因此在现有入侵策略中仍受到支持。

7 位/8 位/二进制解码深度 (7-Bit/8-Bit/Binary Decoding Depth)

在忽略数据 (Ignore Data) 已禁用的情况下，指定要从每个不要求解码的 MIME 邮件附件中提取的数据的最大字节数。这些附件类型包括 7 位、8 位、二进制以及各种多部分内容类型（例如，纯文本、jpeg 图像、mp3 文件等）。可指定一个正值，或者指定 0 以提取数据包中的所有数据。指定 -1 将会忽略非解码数据。如果选择了忽略数据 (Ignore Data)，预处理器将不会提取数据。

Quoted-Printable 解码深度 (Quoted-Printable Decoding Depth)

在忽略数据 (Ignore Data) 已禁用的情况下，指定要从每个 Quoted-Printable (QP) 编码的 MIME 邮件附件中提取和解码的最大字节数。

可指定 1 到 65535 字节，或者指定 0 以解码数据包中的所有 QP 编码数据。指定 -1 将会忽略 QP 编码数据。如果选择了忽略数据 (Ignore Data)，预处理器将不会对数据进行解码。

当启用此选项时，可以启用规则 124:11，在解码失败时生成事件并在内联部署中丢弃攻击性数据包；举例来说，解码可能会由于不正确的编码或损坏的数据而失败。

Unix-to-Unix 解码深度 (Unix-to-Unix Decoding Depth)

在忽略数据 (Ignore Data) 已禁用的情况下，指定要从每个 Unix-to-Unix 编码（UuEncode 编码）的 MIME 邮件附件中提取和解码的最大字节数。可指定 1 到 65535 字节，或者指定 0 以解码数据包中的所有 UuEncode 编码数据。指定 -1 将会忽略 UuEncode 编码数据。如果选择了忽略数据 (Ignore Data)，预处理器将不会对数据进行解码。

当启用此选项时，可以启用规则 124:13，在解码失败时生成事件并在内联部署中丢弃攻击性数据包；举例来说，解码可能会由于不正确的编码或损坏的数据而失败。

记录 MIME 附件名称 (Log MIME Attachment Names)

允许从 MIME Content-Disposition 报头提取 MIME 附件文件名，并将提取的文件名与为会话生成的所有入侵事件相关联。支持多个文件名。

启用此选项后，可以在入侵事件表视图的“邮件附件”(Email Attachment) 列中查看与事件相关的文件名。

记录收件人地址 (Log To Addresses)

允许从 SMTP RCPT TO 命令提取收件人邮件地址，并将提取的收件人地址与为会话生成的所有入侵事件相关联。支持多个收件人。

启用此选项后，可以在入侵事件表视图的“邮件收件人”(Email Recipient) 列中查看与事件相关的收件人。

记录发件人地址 (Log From Addresses)

允许从 SMTP MAIL FROM 命令提取发件人邮件地址，并将提取的发件人地址与为会话生成的所有入侵事件相关联。支持多个发件人地址。

启用此选项后，可以在入侵事件表视图的“邮件发件人”(Email Sender) 列中查看与事件相关的收件人。

记录报头 (Log Headers)

允许提取邮件报头。要提取的字节数取决于为报头日志深度 (Header Log Depth) 指定的值。

可以使用 content 或 protected_content 关键字来编写将邮件报头数据用作模式的入侵规则。还可以在入侵事件数据包视图中查看提取的邮件报头。

报头日志深度 (Header Log Depth)

指定在记录报头 (Log Headers) 已启用的情况下要提取的邮件报头的字节数。可指定 0 到 20480 字节。值 0 将会禁用记录报头 (Log Headers)。

如果发生以下任何一种情况，预处理器将停止检查会话流量：

• 对于某个数量的加密数据包，服务器与客户端之间发生有效交换；连接继续保持。

• 在达到在服务器无响应时可发送的字节数 (Number of Bytes Sent Without Server Response) 中设置的值之前，达到要检查的加密数据包数量；假设发生了攻击。

在待检查的加密数据包数量 (Number of Encrypted Packets to Inspect) 中设置的数量内的每个有效服务器响应会重置服务器无响应时可发送的字节数 (Number of Bytes Sent Without Server Response)，且数据包计数继续进行。

可考虑以下 SSH 预处理器配置示例：

• 服务器端口 (Server Ports)：22

• 自动检测端口 (Autodetect Ports)：off

• 协议版本字符串最大长度 (Maximum Length of Protocol Version String)：80

• 要检查的加密数据包数量 (Number of Encrypted Packets to Inspect)：25

• Number of Bytes Sent Without Server Response：19600

• 所有检测选项均启用。

在本示例中，预处理器仅检查端口 22 的流量。也就是说，自动检测被禁用，因此只检查指定的端口。

此外，如果发生以下任何一种情况，本示例中的预处理器会停止检查流量：

• 客户端发送 25 个加密数据包，这些数据包总共不超过 19600 字节。假设没有发生攻击。

• 客户端发送 25 个加密数据包，这些数据包总共不超过 19600 字节。在这种情况下，预处理器可将发生的攻击视为质询-响应缓冲区溢出攻击，因为本示例中的会话为 SSH 版本 2 会话。

本示例中的预处理器还将检测处理流量过程中发生的以下任何情况：

• 服务器溢出，由大于 80 字节的版本字符串触发，表明为 SecureCRT 攻击

• 协议不匹配

• 数据包的传输方向错误

最后，预处理器将自动检测任何版本字符串（版本 1 和 2 除外）。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

服务器端口 (Server Ports)

指定 SSH 预处理器应检查其流量的端口。

可以配置单个端口或端口的逗号分隔列表。

自动检测端口 (Autodetect Ports)

将预处理器设置为会自动检测 SSH 流量。

如果选择此选项，预处理器会检查某个 SSH 版本号的所有流量。如果客户端和服务器数据包均没有包含版本号，预处理器将会停止处理。禁用此选项时，预处理器只会检查在服务器端口 (Server Ports) 选项中确定的流量。

要检查的加密数据包数量 (Number of Encrypted Packets to Inspect)

指定每个会话待检查的数据流重组加密数据包的数量。

将此选项设置为 0 将允许所有流量通过。

减少待检查的加密数据包的数量可能会导致一些攻击避开检测。增加待检查的加密数据包的数量可能会对性能造成负面影响。

服务器无响应时可发送的字节数 (Number of Bytes Sent Without Server Response)

指定在假设存在质询-响应缓冲区溢出或 CRC-32 攻击之前，SSH 客户端在未获得响应的情况下可以向服务器发送的最大字节数。

如果预处理器对于质询-响应缓冲区溢出或 CRC-32 攻击生成误报，请增加此选项的值。

协议版本字符串的最大长度 (Maximum Length of Protocol Version String)

指定在假设存在 SecureCRT 攻击之前，服务器版本字符串中允许的最大字节数。

检测质询-响应缓冲区溢出攻击 (Detect Challenge-Response Buffer Overflow Attack)

启用或禁用质询-响应缓冲区溢出攻击检测。

您可以启用规则 128:1 为此选项生成事件并在内联部署中丢弃攻击性数据包。请注意，SFTP 会话可偶尔触发规则 128:1。

检测 SSH1 CRC-32 攻击 (Detect SSH1 CRC-32 Attack)

启用或禁用 CRC‑-32 攻击检测。

您可以启用规则 128:2 为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测服务器溢出 (Detect Server Overflow)

启用或禁用 SecureCRT SSH 客户端缓冲区溢出攻击检测。

您可以启用规则 128:3 为此选项 生成事件并在内联部署中丢弃攻击性数据包。

检测协议不匹配 (Detect Protocol Mismatch)

启用或禁用协议不匹配检测。

您可以启用规则 128:4 为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测错误消息方向 (Detect Bad Message Direction)

允许或禁止检测流量传输方向错误这种情况（即，如果假定的服务器生成客户端流量，或者客户端生成服务器流量）。

您可以启用规则 128:5 为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测给定负载的负载大小不正确 (Detect Payload Size Incorrect for the Given Payload)

允许或禁止检测负载大小不正确的数据包，例如，SSH 数据包中指定的长度与 IP 报头中指定的总长度不一致，或者消息被截断（即，无足够的数据用于整个 SSH 报头）。

您可以启用规则 128:6 为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测错误版本字符串 (Detect Bad Version String)

请注意，启用预处理器后，它在检测时无需配置任何版本字符串（版本 1 和 2 除外）。

您可以启用规则 128:7 为此选项生成事件并在内联部署中丢弃攻击性数据包。

注	默认情况下，系统提供的网络分析策略启用 SSL 预处理器。如果预期有已加密流量通过您的网络，思科建议不要在自定义部署中禁用 SSL 预处理器。

如果未配置 SSL 检查，则系统尝试检查已加密流量是否存在恶意软件和入侵，而不对其进行解密。如果启用了 SSL 预处理器，它会检测会话加密的时间。启用 SSL 预处理器后，规则引擎可以调用预处理器来获得 SSL 状态和版本信息。如果在某个入侵策略中启用使用 ssl_state 和 ssl_version 关键字的规则，则还应在该策略中启用 SSL 预处理器。

端口

指定 SSL 预处理器应监控加密会话流量的端口（用逗号隔开）。只会检查此字段中指定端口的加密流量。

注	如果 SSL 预处理器检测到指定用于 SSL 监控的端口上有非 SSL 流量，它会尝试将该流量作为 SSL 流量进行解码，然后将其标记为“损坏”。

停止检查加密流量 (Stop inspecting encrypted traffic)

启用或禁止在会话被标记为“加密”后检查会话中的流量。

启用此选项以禁止检查和重组加密的会话。SSL 预处理器会维护会话状态，因此，它可以禁止对会话中所有流量的检查。启用此选项时，系统会验证会话的几个数据包来确保流被加密，然后绕过深度检查。每个绕过的会话会增加 show snort statistics 命令的响应中显示的快速转发流计数。此外，由于绕过深度检查，连接事件中的发起方和响应方字节数将会不准确。发起方和响应方字节数小于实际会话的值，因为它只包括 Snort 检查的数据包，而不包括绕过深度检查后的任何数据包。这种行为适用于连接摘要事件和各构件中显示的所有流量值。

如果满足以下两个条件，则系统只会停止检查加密会话中的流量：

• 已启用 SSL 预处理

• 已选择此选项

如果清除此选项，则无法修改服务器端数据受信任 (Server side data is trusted) 选项。

服务器端数据受信任 (Server side data is trusted)

当“停止检查加密流量”(Stop inspecting encrypted traffic) 启用时，将支持仅根据客户端流量识别加密流量。

最大检测信号长度 (Max Heartbeat Length)

通过指定数个字节，支持检查 SSL 握手内的检测信号请求和响应以了解是否存在 Heartbleed 漏洞攻击尝试。您可以指定介于 1 和 65535 之间的整数，或指定 0 禁用该选项。

如果预处理器检测的检测信号请求的负载长度大于实际负载长度且规则 137:3 已启用，或者检测信号响应的大小大于当规则 137:4 已启用时为此选项配置的值，则预处理器生成事件并在内联部署中丢弃攻击性数据包。

如果要生成事件并在内联部署中丢弃攻击性数据包，请启用 SSL 预处理器规则 (GID 137)。

下表说明了可启用的 SSL 预处理器规则。