在跟踪连接时忽略 VLAN 报头 (Ignore the VLAN header when tracking connections)

指定在识别流量时是忽略还是包含 VLAN 报头，如下所示：

• 选择此选项时，系统会忽略 VLAN 报头。此设置用于在按不同方向传播的流量中可能检测到同一连接的不同 VLAN 标签的已部署设备

• 当禁用此选项时，系统会包含 VLAN 报头。此设置用于在按不同方向传播的流量中不会检测到同一连接的不同 VLAN 标签的已部署设备。

最大活动响应数

指定每个 TCP 连接的最大活动响应数。如果已启动活动响应的连接上出现其他流量，并且在先前活动响应后流量出现超过最小响应秒数 (Minimum Response Seconds)，系统会发送其他活动响应，除非已达到指定的最大数量。设置为 0 会禁用 resp 或 react 规则触发的其他活动响应。请参阅入侵丢弃规则中的活动响应和活动响应关键字。

请注意，无论此选项如何配置，所触发的 resp 或 react 规则都会启动主动响应。

最小响应秒数 (Minimum Response Seconds)

指定在系统已启动活动响应的连接上的任何其他流量都会产生后续活动响应之前等待的秒数，直至出现最大活动响应数 (Maximum Active Responses)。

故障排除选项：会话终止日志记录阈值 (Troubleshooting Options: Session Termination Logging Threshold)

小心	请勿修改“会话终止日志记录阈值”(Session Termination Logging Threshold)，除非支持人员指示执行此操作。

支持人员可能会在故障排除呼叫期间要求您配置系统，以在单个连接超过指定阈值时记录消息。更改此选项的设置会影响性能，应仅在支持人员的指导下进行操作。

此选项指定一个字节数，当会话终止并超过该指定数字时，将会记录消息。

注	1GB 的上限还受数据流处理分配的受管设备上的内存容量限制。

在被动或内联部署中，可以将以下任何选项设置为已启用 (Enabled) 或已禁用 (Disabled)；或在内联部署中设置为丢弃 (Drop)：

• ICMP 校验和 (ICMP Checksums)

• IP 校验和 (IP Checksums)

• TCP 校验和 (TCP Checksums)

• UDP 校验和 (UDP Checksums)

要丢弃恶意数据包，除将选项设置为丢弃 (Drop) 以外，还必须在关联网络分析策略中启用内联模式 (Inline Mode) 并确保设备为内联部署。

在被动部署中或在分流模式下的内联部署中，将这些选项设置为丢弃 (Drop) 与将其设置为已启用 (Enabled) 的作用相同。

注意	在 TCP 校验和下， 忽略 选项（默认）会绕过或忽略任何已配置的 Snort 规则。

所有校验和验证选项默认为已启用 (Enabled)。但是，威胁防御 路由接口和透明接口始终会丢弃 IP 校验和验证失败的数据包。请注意，在将数据包传递到 Snort 进程之前，威胁防御 路由和透明接口会修复带有错误校验和的 UDP 数据包。

Minimum TTL

当重置 TTL (Reset TTL) 大于或等于为此选项设置的值时，请指定以下设置：

• 启用规范化 IPv4 (Normalize IPv4) 后系统允许“IPv4 生存时间 (TTL)”(IPv4 Time to Live [TTL]) 字段使用的最小值；较小的值会导致将 TTL 的数据包值规范化为针对重置 TTL (Reset TTL) 设置的值

• 启用规范化 IPv6 (Normalize IPv6) 后系统允许“IPv6 跳数限制”(IPv6 Hop Limit) 字段使用的最小值；较小的值会导致将 TTL 的数据包值规范化为针对重置 TTL (Reset TTL) 设置的值

此字段为空时，系统假设值为 1。

注	对于 威胁防御 路由和透明接口，最小 TTL 和重置 TTL 选项会被忽略。连接的最大 TTL 由初始数据包中的 TTL 来确定。后续数据包的 TTL 可以减少，但不能增加。系统会将 TTL 重置为该连接之前看到过的最低 TTL。这可以防止 TTL 回避攻击。

当数据包解码检测协议报头异常选项已启用时，可以启用解码器规则类别中的以下规则来为此选项生成事件并在内联部署中丢弃攻击性数据包：

• 当系统检测到 TTL 小于指定最小值的 IPv4 数据包时，您可以启用规则 116：428 来触发。

• 当系统检测到跳数限制小于指定最小值的 IPv6 数据包时，您可以启用规则 116：270 来触发。

Reset TTL

如果设置为大于或等于最小 TTL (Minimum TTL) 的值，请规范化以下字段：

• IPv4 TTL 字段（如果启用了规范化 IPv4 [Normalize IPv4]）

• “IPv6 跳数限制”(IPv6 Hop Limit) 字段（如果启用了规范化 IPv6 [Normalize IPv6]）

当数据包值小于最小 TTL (Minimum TTL) 时，系统会通过将其 TTL 或“跳数限制”(Hop Limit) 值更改为针对此选项设置的值来规范化数据包。将此字段留空或设置为 0，或设置为小于最小 TTL (Minimum TTL) 的任意值会禁用该选项。

规范化 IPv4 (Normalize IPv4)

启用 IPv4 流量规范化。在以下时候，系统还会根据需要规范化 TTL 字段：

• 此选项启用，且

• 为重置 TTL (Reset TTL) 设置的值启用 TTL 规范化。

此选项启用时，还可以启用额外的 IPv4 选项。

启用此选项时，系统执行以下基本 IPv4 规范化：

• 将具有多余负载的数据包截断至 IP 报头中指定的数据报长度

• 清除“差分服务 (DS)”(Differentiated Services [DS]) 字段（以前称为“服务类型 (TOS)”(Type of Service [TOS]) 字段）

• 将所有选项八位元设置为 1（“无操作”[No Operation]）

对于 威胁防御 路由和透明接口，此选项会被忽略。威胁防御 设备将丢弃任何包含除任何路由或透明接口上的路由器警报、选项列表结束 (EOOL) 以及无操作 (NOP) 选项之外的 IP 选项的 RSVP 数据包。

规范化不分片位 (Normalize Don't Fragment Bit)

清除“IPv4 标志”(IPv4 Flags) 报头字段的一位“不分片”(Don’t Fragment) 子字段。通过启用此选项，下游路由器可在必要时对数据包进行分片而不是将其丢弃；启用此选项还可以根据要丢弃的构造数据包来防止躲避检测。必须启用规范化 IPv4 (Normalize IPv4) 后才可以选择此选项。

规范化保留位 (Normalize Reserved Bit)

清除“IPv4 标志”(IPv4 Flags) 报头字段的一位“保留”(Reserved) 子字段。通常会启用此选项。必须启用规范化 IPv4 (Normalize IPv4) 后才可以选择此选项。

规范化 TOS 位 (Normalize TOS Bit)

清除一个字节的“差分服务”(Differentiated Services) 字段（以前称为“服务类型”[Type of Service]）。必须启用规范化 IPv4 (Normalize IPv4) 后才可以选择此选项。

规范化多余负载 (Normalize Excess Payload)

将具有多余负载的数据包截断至 IP 报头中指定的数据报长度加上第 2 层（例如以太网）报头，但是不截断为小于最小帧长度。必须启用规范化 IPv4 (Normalize IPv4) 后才可以选择此选项。

对于 威胁防御 路由和透明接口，此选项会被忽略。在这些接口上始终丢弃具有多余负载的数据包。

规范化 IPv6 (Normalize IPv6)

将“逐跳选项”(Hop-by-Hop Options)和“目标选项”(Destination Options) 扩展报头中的所有“选项类型”(Option Type) 字段设置为 00（跳过并继续处理）。此选项处于启用状态并且为重置 TTL (Reset TTL) 设置的值会启用跳数限制规范化时，系统还会根据需要规范化 Hop Limit 字段。

规范化 ICMPv4 (Normalize ICMPv4)

清除 ICMPv4 流量中“回应（请求）”(Echo [Request]) 和“回应答复”(Echo Reply) 消息内的 8 位“代码”(Code) 字段。

规范化 ICMPv6 (Normalize ICMPv6)

清除 ICMPv6 流量中“回应（请求）”(Echo [Request]) 和“回应答复”(Echo Reply) 消息内的 8 位“代码”(Code) 字段。

Normalize/Clear Reserved Bits

清除 TCP 报头中的保留位。

规范化/清除选项填充字节 (Normalize/Clear Option Padding Bytes)

清除任何 TCP 选项填充字节。

Clear Urgent Pointer if URG=0

如果未设置紧急 (URG) 控制位，则清除 16 位 TCP 报头 Urgent Pointer 字段。

Clear Urgent Pointer/URG on Empty Payload

如果没有负载，则清除 TCP 报头“紧急指针”(Urgent Pointer) 字段和 URG 控制位。

如果未设置紧急指针则清除 URG (Clear URG if Urgent Pointer is Not Set)

如果未设置紧急指针，则清除 TCP 报头 URG 控制位。

Normalize Urgent Pointer

如果指针大于负载长度，则将两字节的 TCP 报头 Urgent Pointer 字段设置为负载长度。

规范化 TCP 负载 (Normalize TCP Payload)

启用“TCP 数据”(TCP Data) 字段的规范化以确保重传数据的一致性。无法正确重组的所有数据段都会被丢弃。

Remove Data on SYN

如果 TCP 操作系统策略不是 Mac OS，则移除同步 (SYN) 数据包中的数据。

此选项还会禁用规则 129:2，该规则原本会在 TCP 数据流预处理器策略选项未设置为 Mac OS 时触发。

Remove Data on RST

从 TCP 重置 (RST) 数据包中删除所有数据。

根据窗口修剪数据 (Trim Data to Window)

将“TCP 数据”(TCP Data) 字段修剪为在“窗口”(Window) 字段中指定的大小。

根据 MSS 修剪数据 (Trim Data to MSS)

如果负载长度大于 MSS，则将 TCP Data 字段修剪为 Maximum Segment Size (MSS)

阻止不可解析的 TCP 报头异常 (Block Unresolvable TCP Header Anomalies)

启用此选项时，系统阻止异常 TCP 数据包，这些数据包在规范化的情况下会无效，并可能受到接收主机的阻止。例如，系统阻止后续传输到已建立的会话上的任何 SYN 数据包。

无论是否启用规则，系统都会丢弃与以下任何 TCP 数据流预处理器规则匹配的任何数据包：

• 129:1

• 129:3

• 129:4

• 129:6

• 129:8

• 129:11

• 129:14 至 129:19

Total Blocked Packets 性能图跟踪内联部署中阻止的数据包的数量，并且，在被动部署和轻触模式下的内联部署中，跟踪在内联部署中已阻止的数量。

显式堵塞通知

对显式堵塞通知 (ECN) 标志启用逐个数据包或逐条数据流规范化，如下所示：

• 选择 Packet 以逐个数据包清除 ECN 标志（无论协商与否）

• 选择 Stream 以逐条数据流清除 ECN 标志（如果未协商 ECN 的使用）

如果选择数据流 (Stream)，您还必须确保启用 TCP 数据流预处理器的需要 TCP 三次握手 (Require TCP 3-Way Handshake) 选项以进行此规范化。

清除现有 TCP 选项 (Clear Existing TCP Options)

启用允许这些 TCP 选项 (Allow These TCP Options)。

允许这些 TCP 选项 (Allow These TCP Options)

禁用您在流量中允许的特定 TCP 选项的规范化。

系统不对您明确允许的选项进行规范化。系统会通过将您未明确允许的选项设置为“无操作”(No Operation)（TCP 选项 1）来规范化这些选项。

由于这些选项常用于实现最佳 TCP 性能，因此无论允许这些 TCP 选项的配置如何，系统始终会允许以下选项：

• 最大分片大小 (MSS)

• 窗口比例

• 时间戳 TCP

系统不会自动允许其他不太常用的选项。

您可以通过配置选项关键字和/或选项编号的逗号分隔列表来允许特定选项，如下例所示：

	sack, echo, 19

指定选项关键字等同于指定与该关键字相关的一个或多个 TCP 选项的编号。例如，指定 sack 等同于指定 TCP 选项 4（“允许选择性确认 [Selective Acknowledgment Permitted]”）和选项 5（“选择性确认”[Selective Acknowledgment]）。选项关键字不区分大小写。

您还可以指定 any，这样将会允许所有 TCP 选项并有效地禁用所有 TCP 选项的规范化。

下表总结了如何指定要允许的 TCP 选项。如果将字段留空，则系统仅允许 MSS、Window Scale 和 Time Stamp 选项。

如果没有为此选项指定 any，则规范化会包含以下内容：

• 除 MSS、“窗口比例”(Window Scale)、“时间戳”(Time Stamp) 及任何明确允许的选项以外，所有选项字节都设置为“无操作”(No Operation)（TCP 选项 1）

• 如果时间戳存在但无效，或者有效但未协商，则将时间戳八位元设置为“无操作”(No Operation)

• 如果“时间戳”(Time Stamp) 已协商但不存在，则阻止数据包

• 如果未设置 Acknowledgment (ACK) 控制位，则清除“时间戳回应答复 (TSecr)”(Time Stamp Echo Reply [TSecr]) 选项字段

• 如果未设置 SYN 控制位，则将 MSS 和 Window Scale 选项设置为 No Operation (TCP Option 1)

您可以选择只是启用或禁用 IP 分片重组；但是，思科建议以更精细的级别指定已启用的 IP 分片重组预处理器的行为。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

可以配置以下全局选项：

预分配分片 (Preallocated Fragments)

预处理器一次可以处理的最大单个分片数量。指定要预分配的片段节点的数量会启用静态内存分配。

小心	处理单个分片会使用大约 1550 字节的内存。如果预处理器处理单个片段所需的内存超过受管设备的预定允许的内存限制，则设备的内存限制优先。

您可以为每个 IP 分片重组策略配置以下选项：

网络 (Networks)

要对其应用分片重组策略的一个或多个主机的 IP 地址。

可以指定单个 IP 地址或地址块，或者单个 IP 地址和/或地址块的逗号分隔列表。您可以指定总共最多 255 个配置文件（包括默认策略）。

请注意，默认策略中的 default 设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP 地址。因此，不能且不需要为默认策略指定 IP 地址或 CIDR 块/前缀长度，并且不能在其他策略中将此设置留空或使用地址记法来表示 any（例如，0.0.0.0/0 或 ::/0）。

策略

要为受监控网段上的主机组使用的分片重组策略。

根据目标主机的操作系统，可以选择七个分片重组策略之一。下表列出了这七个策略以及使用每个策略的操作系统。第一个和最后一个这两个策略名称反映这些策略是否支持原始或后续重叠数据包。

对于 威胁防御 路由和透明接口，此选项会被忽略。

超时

指定预处理器引擎在重组分片数据包时可用的最长时间（以秒为单位）。如果在指定的时间段内无法重组数据包，则预处理器引擎会停止尝试重组数据包并丢弃接收到的片段。

最小 TTL

指定数据包可具有的可接受最小 TTL 值。此选项检测基于 TTL 的插入攻击。

您可以启用规则 123:11 为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测异常

确定分片问题，例如重叠分片。

对于 威胁防御 路由和透明接口，此选项会被忽略。

您可以通过启用以下规则来为此选项生成事件并在内联部署中丢弃攻击性数据包：

• 123:1 至 123:4

• 123:5（BSD 策略）

• 123:6 至 123:8

重叠限制 (Overlap Limit)

指定在检测到会话中存在所配置数量的重叠片段时，将会停止该会话的分片重组。

必须启用检测异常 (Detect Anomalies) 后才可以配置此选项。不指定值将会禁用此选项。值为 0 指定重叠片段的数量不受限制。

对于 威胁防御 路由和透明接口，此选项会被忽略。在这些接口上始终丢弃重叠分片。

您可以启用规则 123:12 为此选项生成事件并在内联部署中丢弃攻击性数据包。

Minimum Fragment Size

指定在检测到小于所配置数量的非最后一个分片时，数据包将被视为恶意。

必须启用检测异常 (Detect Anomalies) 后才可以配置此选项。不指定值将会禁用此选项。值 0 表示无限字节数。

您可以启用规则 123:13 为此选项生成事件并在内联部署中丢弃攻击性数据包。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

解码 GTP 数据通道 (Decode GTP Data Channel)

解码封装的 GTP（通用分组无线服务 [GPRS] 隧道协议）数据通道。默认情况下，解码器在端口 3386 上解码版本 0 数据，在端口 2152 上解码版本 1 数据。您可以使用默认变量 GTP_PORTS 来修改用于识别封装 GTP 流量的端口。

您可以启用规则 116:297 和 116:298 以为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测非标准端口上的 Teredo (Detect Teredo on Non-Standard Ports)

检测 UDP 端口（而非端口 3544）上识别的 IPv6 流量的 Teredo 隧道。

只要 IPv6 流量存在，系统总会检测到 IPv6 流量。默认情况下，IPv6 检测包括 4in6、6in4、6to4 和 6in6 隧道方案；当 UDP 报头指定端口 3544 时，还包括 Teredo 隧道。

在 IPv4 网络中，IPv4 主机可使用 Teredo 协议通过 IPv4 网络地址转换 (NAT) 设备隧道传输 IPv6 流量。Teredo 将在 IPv4 UDP 数据报内封装 IPv6 数据包，以允许在 IPv4 NAT 设备后面执行 IPv6 连接。正常情况下，系统使用 UDP 端口 3544 来识别 Teredo 流量。但是，攻击者可能会使用非标准端口来尝试避开检测。您可以启用检测非标准端口上的 Terado (Detect Teredo on Non-Standard Ports)，使系统检查 Teredo 隧道的所有 UDP 负载。

系统仅在外网层使用 IPv4 时才会执行 Teredo 解码，并且仅对第一个 UDP 报头执行 Teredo 解码。如果由于 UDP 数据封装在 IPv6 数据中，导致 Teredo IPv6 层之后还有一层 UDP，规则引擎将使用 UDP 入侵规则来分析内外 UDP 层。

请注意，策略-其他 (policy-other) 规则类别中的入侵规则 12065、12066、12067 和 12068 会检测 Teredo 流量，但不对这些流量进行解码。您可以根据需要在内联部署中使用这些规则丢弃 Teredo 流量；但是，启用检测非标准端口上的 Terado (Detect Teredo on Non-Standard Ports) 时，应确保这些规则处于禁用状态或者设置为生成事件而不丢弃流量。

检测多余长度值 (Detect Excessive Length Value)

在数据包报头指定的数据包长度大于实际数据包长度时进行检测。

对于 威胁防御 路由、透明和内联接口，此选项会被忽略。始终丢弃报头长度过长的数据包。但此选项适用于 威胁防御 内联分流和被动接口。

您可以启用规则 116:6、116:47、116:97 和 116:275 以为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测无效 IP 选项 (Detect Invalid IP Options)

检测无效的 IP 报头选项，以识别使用无效 IP 选项的攻击。例如，有一项针对防火墙的拒绝服务攻击，导致系统冻结。防火墙尝试解析无效的“时间戳”(Timestamp) 和“安全 IP”(Security IP) 选项且未能检查到零长度，导致无法恢复的无限循环。规则引擎将识别零长度选项，并提供相关信息供您通过防火墙缓解攻击。

威胁防御 设备将丢弃任何包含除任何路由或透明接口上的路由器警报、选项列表结束 (EOOL) 以及无操作 (NOP) 选项之外的 IP 选项的 RSVP 数据包。对于内联、内联分流或被动接口，对 IP 选项的处理如上所述。

您可以启用规则 116:4 和 116:5 以为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测试验性 TCP 选项 (Detect Experimental TCP Options)

检测使用试验性 TCP 选项的 TCP 报头。下表介绍了这些选项。

由于这些是试验性选项，所以有些系统未使用它们，从而可能遭受攻击。

注	除上表中列出的试验性选项之外，系统还会考虑选项编号大于 26 的任何试验性 TCP 选项。

您可以启用规则 116:58 以为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测过时 TCP 选项 (Detect Obsolete TCP Options)

检测使用过时 TCP 选项的 TCP 报头。由于这些是过时选项，所以有些系统未使用它们，从而可能遭受攻击。下表介绍了这些选项。

您可以启用规则 116:57 以为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测 T/TCP (Detect T/TCP)

检测使用 CC.ECHO 选项的 TCP 报头。CC.ECHO 选项可确认是否正在使用 TCP 事务协议 (T/TCP)。由于 T/TCP 报头选项未被广泛应用，所以有些系统未使用它们，从而可能遭受攻击。

您可以启用规则 116:56 以为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测其他 TCP 选项 (Detect Other TCP Options)

检测其中的无效 TCP 选项未被其他 TCP 解码事件选项检测到的 TCP 报头。例如，此选项会检测长度不正确或长度致使选项数据超出 TCP 报头的 TCP 选项。

对于 威胁防御 路由和透明接口，此选项会被忽略。始终丢弃具有无效 TCP 选项的数据包。

您可以启用规则 116:54、116:55 和 116:59 以为此选项生成事件并在内联部署中丢弃攻击性数据包。

检测协议报头异常 (Detect Protocol Header Anomalies)

检测更具体的 IP 和 TCP 解码器选项未检测到的其他解码错误。例如，解码器可能会检测到格式错误的数据链路协议报头。

对于 威胁防御 路由、透明和内联接口，此选项会被忽略。始终丢弃报头异常的数据包。但此选项适用于威胁防御内联分流和被动接口。

要为此选项生成事件并在内联部署中丢弃攻击性数据包，可以启用以下任一规则：

您也可以启用与其他数据包解码器选项不关联的任何数据包解码器规则。

如果在以下描述中未提及任何预处理器规则，则此选项未与预处理器规则关联。

可以配置以下全局 TCP 选项：

数据包类型性能提高

支持忽略已启用规则中未指定的所有端口和应用协议的 TCP 流量，但在源端口和目标端口均设置为 any 的 TCP 规则具有 flow 或 flowbits 选项时除外。这种性能改进可能会导致未能检测出某些攻击。

可为每个 TCP 策略配置以下选项：

网络

指定要对其应用 TCP 数据流重组策略的主机 IP 地址。

可以指定单个 IP 地址或地址块。总共最多可以指定 255 个配置文件（包括默认策略）。

请注意，默认策略中的 default 设置指定受监控网段上其他基于目标的策略未涵盖的所有 IP 地址。因此，不能且不需要为默认策略指定 IP 地址或 CIDR 块/前缀长度，并且不能在其他策略中将此设置留空或使用地址记法来表示 any（例如，0.0.0.0/0 或 ::/0）。

策略

识别一个或多个目标主机的 TCP 策略操作系统。如果选择除 Mac OS 以外的其他策略，则系统会从同步 (SYN) 数据包中删除数据并禁用规则 129:2 的事件生成。请注意，启用内联规范化预处理器的 SYN 时删除数据 (Remove Data on SYN) 选项也会禁用规则 129:2。

下表列出了操作系统策略以及使用每个策略的主机操作系统。

提示	当您不知道主机操作系统时，第一个操作系统策略可以提供一些保护。但是，它可能会导致未能检测出某些攻击。如果您知道操作系统，则应该编辑策略以指定正确的操作系统。

Timeout

规则引擎在状态表中保持数据流处于非活动状态的秒数（介于 1 和 86400 之间）。如果数据流在指定时间内未重组，则入侵规则引擎会将其从状态表中删除。

注	如果受管设备部署在网络流量可能达到设备的带宽限制的网段上，则应该考虑将该值设置为较高的值（例如 600 秒），以降低处理开销。

威胁防御 设备会忽略此选项，而是使用高级访问控制威胁防御服务策略中的设置。有关详细信息，请参阅配置服务策略规则。

最大 TCP 窗口 (Maximum TCP Window)

指定由接收主机指定的所允许的最大 TCP 窗口大小（1 至 1073725440 字节）。值设置为 0 会禁用检查 TCP 窗口大小。

小心	上限是 RFC 允许的最大窗口大小，旨在防止攻击者躲避检测；但是，设置明显过大的最大窗口大小可能导致自愿接受的拒绝服务。

状态检查异常处于启用状态时，可以启用规则 129:6 为此选项生成事件并在内联部署中丢弃攻击性数据包。

重叠限制 (Overlap Limit)

指定在检测到某会话中存在所配置数量（介于 0 [无限制] 和 255 之间）的重叠分片时，针对该会话的分片重组将会停止，并且，如果状态检查异常 (Stateful Inspection Anomalies) 以及随附的预处理器规则均处于启用状态，将会生成事件。

您可以启用规则 129:7 来为此选项生成事件并在内联部署中丢弃攻击性数据包。

刷新因数 (Flush Factor)

在内联部署中，指定在经过所配置数量（介于 1 和 2048 之间）的大小未减小的分段后检测到大小减小的分段时，系统会刷新为进行检测而累积的分段数据。值设置为 0 会禁用此分段模式的检测（这可能意味着请求或响应结束）。请注意，必须启用 Inline Normalization Normalize TCP Payload 选项才会使此选项生效。

状态检查异常 (Stateful Inspection Anomalies)

检测 TCP 堆栈中的异常行为。启用随附的预处理器规则后，如果 TCP/IP 堆栈编写得不好，可能会生成许多事件。

对于 威胁防御 路由和透明接口，此选项会被忽略。

您可以通过启用以下规则来为此选项生成事件并在内联部署中丢弃攻击性数据包：

• 129:1 至 129:5

• 129:6（仅适用于 Mac OS）

• 129:8 至 129:11

• 129:13 至 129:19

请注意以下提示：

• 为了触发规则 129:6，还必须为最大 TCP 窗口配置一个大于 0 的值。

• 为了触发规则 129:9 和 129:10，还必须启用 TCP 会话劫持。

TCP 会话劫持

通过针对会话上接收到的后续数据包验证三次握手期间从 TCP 连接两端检测到的硬件 (MAC) 地址来检测 TCP 会话劫持。当一端或另一端的 MAC 地址不匹配时，如果启用了状态检查异常 (Stateful Inspection Anomalies) 以及两个对应的预处理器规则之一，系统会生成事件。

对于 威胁防御 路由和透明接口，此选项会被忽略。

您可以启用规则 129:9 和 129:10 来为此选项生成事件并在内联部署中丢弃攻击性数据包。请注意，为了让这些规则中任一个生成事件，还必须启用状态检查异常 (Stateful Inspection Anomalies)。

连续小分片 (Consecutive Small Segments)

状态检查异常 (Stateful Inspection Anomalies) 处于启用状态时，可指定允许的连续 TCP 小分片的最大数量（1 至 2048）。值设置为 0 会禁止连续小分片。

此选项必须与小分片大小 (Small Segment Size) 选项一起进行设置；您可以同时禁用这两个选项或者将它们都设置为非零值。请注意，在无干预确认的情况下接收多达 2000 个连续分段，即使每个分段长度为 1 字节，分段数量也会远远超出您通常的预期。

对于 威胁防御 路由和透明接口，此选项会被忽略。

您可以启用规则 129:12 来为此选项生成事件并在内联部署中丢弃攻击性数据包。

小分片大小 (Small Segment Size)

状态检查异常 (Stateful Inspection Anomalies) 处于启用状态时，可指定被视为小分片的 TCP 分片大小（1 至 2048 字节）。值设置为 0 会禁止指定小分片的大小。

对于 威胁防御 路由和透明接口，此选项会被忽略。

此选项必须与连续小分片 (Consecutive Small Segments) 选项一起进行设置；您可以同时禁用这两个选项或者将它们都设置为非零值。请注意，一个 2048 字节的 TCP 分段大于普通的 1500 字节的以太网帧。

忽略小分片的端口 (Ports Ignoring Small Segments)

状态检查异常 (Stateful Inspection Anomalies)、连续小分片 (Consecutive Small Segments) 和小分片大小 (Small Segment Size) 处于启用状态时，可指定一个或多个会忽略小 TCP 分片检测的端口的逗号分隔列表。将此选项留空表示未忽略任何端口。

对于 威胁防御 路由和透明接口，此选项会被忽略。

您可以向列表中添加任何端口，但是列表仅影响 TCP 策略中的某个对端口执行数据流重组 (Perform Stream Reassembly on port) 列表中指定的端口。

需要 TCP 三次握手 (Require TCP 3-Way Handshake)

指定仅在 TCP 三次握手完成时，会话才被视为已建立的会话。禁用此选项可提高性能，防御 SYN 泛洪攻击，并允许在部分异步环境中操作。启用此选项可避免尝试通过发送不属于已建立的 TCP 会话的信息来生成误报的攻击。

您可以启用规则 129:20 来为此选项生成事件并在内联部署中丢弃攻击性数据包。

三次握手超时 (3-Way Handshake Timeout)

指定启用需要 TCP 三次握手 (Require TCP 3-Way Handshake) 后必须允许用于完成握手的时间（0 [无限制] 至 86400 秒 [24 小时]）。必须启用需要 TCP 三次握手 (Require TCP 3-Way Handshake) 后才能修改此选项的值。

对于 Firepower 软件设备和 威胁防御 内联、内联分流和被动接口，默认值为 0。对于 威胁防御 路由和透明接口，超时始终为 30 秒；此处配置的值会被忽略。

数据包大小性能提升 (Packet Size Performance Boost)

将预处理器设置为在重组缓冲区中不对大数据包进行排队。这种性能改进可能会导致未能检测出某些攻击。禁用此选项可防止使用 1 到 20 字节的小数据包尝试躲避检测。当您肯定所有流量都由超大数据包组成并因此无此类攻击时，可启用此选项。

旧版重组 (Legacy Reassembly)

重组数据包时，将数据流预处理器设置为模拟废弃的数据流 4 预处理器，借此可以将该数据流预处理器重组的事件与基于数据流 4 预处理器重组的相同数据流的事件相比较。

异步网络 (Asynchronous Network)

指定受监控网络是否为异步网络，即，系统只能看到一半流量的网络。启用此选项后，系统不重组 TCP 数据流来提高性能。

对于 威胁防御 路由和透明接口，此选项会被忽略。

对客户端端口执行数据流重组 (Perform Stream Reassembly on Client Ports)

根据连接的客户端的端口启用数据流重组。换句话说，它对目标为网络服务器、邮件服务器或通常由 $HOME_NET 中指定的 IP 地址定义的其他 IP 地址的数据流进行重组。如果您预计客户端会发出恶意流量，请使用此选项。

对于 威胁防御 路由和透明接口，此选项会被忽略。

对客户端服务执行数据流重组 (Perform Stream Reassembly on Client Services)

根据连接的客户端的服务启用数据流重组。如果您预计客户端会发出恶意流量，请使用此选项。

必须为选择的每个客户端服务至少启用一个客户端检测器。默认情况下，思科提供的所有检测器均已激活。如果没有为相关客户端应用启用检测器，则系统会自动为应用启用思科提供的所有检测器；如果不存在任何检测器，则系统会为应用启用最近修改的用户定义的检测器。

此功能需要保护和控制许可证。

对于 威胁防御 路由和透明接口，此选项会被忽略。

对服务器端口执行数据流重组 (Perform Stream Reassembly on Server Ports)

根据连接的服务器端的端口启用数据流重组。换句话说，它对从网络服务器、邮件服务器或通常由 $EXTERNAL_NET 中指定的 IP 地址定义的其他 IP 地址发出的数据流进行重组。当您要监控服务器端攻击时，请使用此选项。您可以通过不指定端口来禁用此选项。

对于 威胁防御 路由和透明接口，此选项会被忽略。

注	对于服务的全面检查，除了在对服务器端口执行数据流重组字段中添加端口号以外，还要在对服务器服务执行数据流重组字段中添加服务名称。例如，除了在对服务器端口执行数据流重组字段中添加端口号 80 以外，还要在对服务器服务执行数据流重组字段中添加“HTTP”服务，以检查 HTTP 服务。

对服务器服务执行数据流重组 (Perform Stream Reassembly on Server Services)

根据连接的服务器端的服务启用数据流重组。当您要监控服务器端攻击时，请使用此选项。您可以通过不指定服务来禁用此选项。

必须至少启用一个检测器。默认情况下，思科提供的所有检测器均已激活。如果没有为服务启用检测器，则系统会自动为相关应用协议启用思科提供的所有检测器；如果不存在任何检测器，则系统会为该应用协议启用最近修改的用户定义的检测器。

此功能需要保护和控制许可证。

对于 威胁防御 路由和透明接口，此选项会被忽略。

对客户端端口和服务器端口执行数据流重组 (Perform Stream Reassembly on Both Ports)

根据连接的客户端和服务器端的端口启用数据流重组。如果您预计相同端口的恶意流量在客户端和服务器之间可能以任一方向传播，请使用此选项。您可以通过不指定端口来禁用此选项。

对于 威胁防御 路由和透明接口，此选项会被忽略。

对客户端服务和服务器服务执行数据流重组 (Perform Stream Reassembly on Both Services)

根据连接的客户端和服务器端的服务启用数据流重组。如果您预计相同服务的恶意流量在客户端和服务器之间可能以任一方向传播，请使用此选项。您可以通过不指定服务来禁用此选项。

必须至少启用一个检测器。默认情况下，思科提供的所有检测器均已激活。如果没有为相关客户端应用或应用协议启用检测器，则系统会自动为应用或应用协议启用思科提供的所有检测器；如果不存在任何检测器，则系统会为应用或应用协议启用最近修改的用户定义的检测器。

此功能需要保护和控制许可证。

对于 威胁防御 路由和透明接口，此选项会被忽略。

故障排除选项：最大排队字节数 (Troubleshooting Options: Maximum Queued Bytes)

支持人员可能会在故障排除呼叫期间要求您指定可以在 TCP 连接的一端排队的数据量。值 0 表示无限字节数。

小心	更改此故障排除选项的设置会影响性能，应仅在支持人员的指导下进行操作。

故障排除选项：最大排队分片数 (Troubleshooting Options: Maximum Queued Segments)

支持人员可能会在故障排除呼叫期间要求您指定可以在 TCP 连接的一端排队的数据段的最大字节数。值 0 表示无限的数据段字节数。

小心	更改此故障排除选项的设置会影响性能，应仅在支持人员的指导下进行操作。

超时

指定预处理器在状态表中保持非活动数据流的秒数。如果在指定时间内看不到其他数据报，预处理器会从状态表中删除数据流。

威胁防御 设备会忽略此选项，而是使用高级访问控制威胁防御服务策略中的设置。有关详细信息，请参阅配置服务策略规则。

数据包类型性能提高

将预处理器设为忽略已启用规则中未指定的所有端口和应用协议的 UDP 流量，但在源端口和目标端口均设置为 any 的 UDP 规则具有 flow 或 flowbits 选项时除外。这种性能改进可能会导致未能检测出某些攻击。