연결을 추적할 때는 VLAN 헤더를 무시하십시오.

다음에서처럼 트래픽을 식별할 때 VLAN 헤더를 무시할지 포함할지를 지정합니다.

• 이 옵션을 선택하면 시스템은 VLAN 헤더를 무시합니다. 서로 다른 방향으로 이동하는 트래픽 내의 같은 연결에 대한 다른 VLAN 태그를 탐지하는, 구축된 디바이스에 이 설정을 사용하십시오.

• 이 옵션을 비활성화하면 시스템은 VLAN 헤더를 포함합니다. 서로 다른 방향으로 이동하는 트래픽 내의 같은 연결에 대한 다른 VLAN 태그를 탐지하지 않는, 구축된 디바이스에 이 설정을 사용하십시오.

최대 활성 응답

TCP 연결당 최대 활성 응답 수를 지정합니다. 추가 트래픽은 활성 응답이 시작된 연결에서 발생하고, 이전 활성 응답 이후 Minimum Response Seconds(최소 응답 시간(단위: 초))보다 트래픽이 더 많이 발생한 경우, 지정된 최대값에 도달하지 않는 한 시스템은 다른 활성 응답을 보냅니다. 0으로 설정하면 resp 또는 react 규칙이 트리거하는 추가 활성 응답이 비활성화됩니다. 침입 삭제 규칙에서의 활성 응답 및 활성 응답 키워드를 참조하십시오.

트리거된 resp 또는 react 규칙은 이 옵션의 구성과 상관없이 활성 응답을 시작합니다.

최소 응답 시간(단위: 초)

Maximum Active Responses(최대 활성 응답)에 도달할 때까지, 시스템이 능동 응답을 시작한 연결에 대한 추가 트래픽이 후속 능동 응답으로 이어지기 전의 대기 시간(단위: 초)을 지정합니다.

문제 해결 옵션: 세션 종료 로깅 임계값

경고	지원팀의 지시가 있을 때만 세션 종료 로깅 임계값을 수정하십시오.

Support(지원팀)는 문제 해결 통화 중에 시스템을 구성하여 개별 연결이 지정된 임계값을 초과하면 메시지를 로깅하도록 요청할 수 있습니다. 이 옵션에 대한 설정을 변경하면 성능에 영향을 미치므로 지원 안내서를 통해서만 변경해야 합니다.

이 옵션은 세션이 종료되고 지정된 수가 초과된 경우 로깅된 메시지의 바이트 수를 지정합니다.

참고	1GB의 상한 값은 또한 스트림 처리에 할당된 관리되는 디바이스의 메모리 양에 의해 제한됩니다.

수동 또는 인라인 배포에서 다음 옵션을 Enabled(활성화) 또는 Disabled(비활성화)로, 또는 인라인 배포에서 Drop(삭제)으로 설정할 수 있습니다.

• ICMP 체크섬

• IP 체크섬

• TCP 체크섬

• UDP 체크섬

옵션을 Drop(삭제)으로 설정하고 위반 패킷을 삭제하려면 관련 네트워크 분석 정책에서 Inline Mode(인라인 모드)를 활성화하고 장치가 인라인으로 구축되었는지 확인해야 합니다.

또한 이러한 옵션을 수동 배포에서 Drop(삭제)으로 설정하는 것은, 또는 탭 모드의 인라인 배포에서 그렇게 설정하는 것은 이들을 Enabled(활성화)로 설정하는 것과 동일합니다.

주의	TCP 체크섬에서 Ignore(무시) 옵션(기본값)은 구성된 모든 Snort 규칙을 우회하거나 무시합니다.

모든 체크섬 확인 옵션의 기본값은 Enabled입니다. 하지만 threat defense 라우팅 및 투명 인터페이스는 언제나 IP 체크섬 확인에 실패하는 패킷을 삭제합니다. threat defense 라우팅 및 투명 인터페이스는 배드 체크섬이 있는 UDP 패킷을 수정한 후 패킷을 Snort 프로세스로 전달합니다.

최소 TTL

Reset TTL(TTL 재설정)이 이 옵션에 설정된 값보다 크거나 같을 때 다음을 지정합니다.

• Normalize IPv4가 활성화되었을 때 시스템이 IPv4 Time to Live (TTL) 필드에서 허용할 최소값. 값이 더 낮으면 TTL에 대한 패킷 값이 Reset TTL에 대해 설정된 값으로 표준화됩니다.

• Normalize IPv6이 활성화되었을 때 시스템이 IPv6 Hop Limit 필드에서 허용할 최소값. 값이 더 낮으면 Hop Limit에 대한 패킷 값이 Reset TTL에 대해 설정된 값으로 표준화됩니다.

필드가 비어 있는 경우 시스템은 값을 1로 가정합니다.

참고	threat defense 라우팅 및 투명 인터페이스의 경우 Minimum TTL(최소 TTL) 및 Reset TTL(TTL 재설정) 옵션은 무시됩니다. 연결에 대한 최대 TTL은 초기 패킷의 TTL이 결정합니다. 후속 패킷에 대한 TTL은 줄일 수는 있지만 늘릴 수는 없습니다. 시스템은 TTL을 해당 연결에 대해 목격된 최저 TTL로 재설정합니다. 이렇게 하면 TTL 회피 공격을 방지할 수 있습니다.

패킷 디코딩 Detect Protocol Header Anomalies(포로토콜 헤더 이상 탐지) 옵션이 활성화되면, 이 옵션을 위해 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.에 대한 디코더 규칙 카테고리의 다음 규칙을 활성화할 수 있습니다.

• 규칙 116:428을 활성화하여 시스템이 지정된 최소 값보다 작은 TTL 값이 포함된 IPv4 패킷을 탐지하는 경우 트리거할 수 있습니다.

• 규칙 116:270을 활성화하여 시스템이 지정된 최소 값보다 작은 홉 제한 값이 포함된 IPv6 패킷을 탐지하는 경우 트리거할 수 있습니다.

TTL 재설정

Minimum TTL(최소 TTL)보다 크거나 같은 값을 설정할 때, 다음을 표준화합니다.

• Normalize IPv4가 활성화된 경우 IPv4 TTL 필드

• Normalize IPv6이 활성화된 경우 IPv6 Hop Limit 필드

패킷 값이 Minimum TTL보다 작은 경우 시스템은 TTL 또는 Hop Limit 값을 이 옵션에 대해 설정된 값으로 변경하여 패킷을 표준화합니다. 이 필드에 아무 값도 입력하지 않거나 0 또는 Minimum TTL(최소 TTL)보다 작은 값으로 설정하면 이 옵션이 비활성화됩니다.

IPv4 표준화

IPv4 트래픽의 표준화를 활성화합니다. 시스템은 다음 조건 시 필요하다면 TTL 필드도 표준화합니다.

• 이 옵션을 활성화하고,

• Reset TTL(TTL 재설정)에 설정된 값이 TTL 표준화를 활성화합니다.

이 옵션을 활성화하면 추가 IPv4 옵션도 활성화할 수 있습니다.

이 옵션을 활성화하면, 시스템은 다음 기본 IPv4 표준화를 수행합니다.

• 과도한 페이로드를 가진 패킷을 IP 헤더에 지정된 데이터그램 길이로 줄입니다.

• 예전에는 Type of Service(서비스 유형, ToS)로 알려졌던 Differentiated Services(차별화된 서비스, DS) 필드의 내용을 지웁니다.

• 모든 옵션 옥텟을 1(무연산)로 설정합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다. Threat Defense 디바이스는 라우터 알림, 옵션 목록의 끝(EOOL), 특정 라우팅 또는 투명 인터페이스의 작업 없음(NOP)을 제외한 다른 IP 옵션을 포함하는 RSVP 패킷은 모두 삭제합니다.

조각화 금지 비트 표준화

IPv4 Flags(플래그) 헤더 필드의 단일 비트 Don’t Fragment(조각화 금지) 하위 필드의 내용을 지웁니다. 이 옵션을 활성화하면 필요한 경우 다운스트림 라우터가 패킷을 삭제하는 대신 조각화할 수 있습니다. 또한 삭제할 조작된 패킷에 기반하여 회피를 방지할 수 있습니다. 이 옵션을 선택하려면 Normalize IPv4를 활성화해야 합니다.

예약 비트 표준화

IPv4 Flags(플래그) 헤더 필드의 단일 비트 Reserved(예약) 하위 필드의 내용을 지웁니다. 일반적으로 이 옵션을 활성화합니다. 이 옵션을 선택하려면 Normalize IPv4를 활성화해야 합니다.

TOS 비트 표준화

예전에는 Type of Service(서비스 유형, ToS)로 알려졌던 1바이트 Differentiated Services(차별화된 서비스, DS) 필드의 내용을 지웁니다. 이 옵션을 선택하려면 Normalize IPv4를 활성화해야 합니다.

초과 페이로드 표준화

페이로드가 과도한 패킷을 IP 헤더 및 Layer(레이어) 2(예를 들어, Ethernet(이더넷)) 헤더에 지정된 데이터그램 길이로 줄이지만 최소 프레임 길이 이하로 줄이지는 않습니다. 이 옵션을 선택하려면 Normalize IPv4를 활성화해야 합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다. 초과 페이로드가 있는 패킷은 이러한 인터페이스에서는 항상 삭제됩니다.

IPv6 표준화

Hop‑by‑Hop Options(홉 바이 홉 옵션) 및 Destination Options(대상 옵션) 확장 헤더의 모든 Option Type(옵션 유형) 필드를 00(건너뛰기 및 처리 계속)으로 설정합니다. 이 옵션이 활성화되고 Reset TTL(TTL 재설정)에 설정된 값이 홉 제한 표준화를 활성화하는 경우 시스템에서도 필요에 따라 Hop Limit(홉 제한) 필드를 표준화합니다.

ICMPv4 표준화

ICMPv4 트래픽 내 Echo(Request)(에코(요청)) 및 Echo Reply(에코 응답) 메시지에서 8비트 Code(코드) 필드의 내용을 지웁니다.

ICMPv6 표준화

ICMPv6 트래픽 내 Echo(Request)(에코(요청)) 및 Echo Reply(에코 응답) 메시지에서 8비트 Code(코드) 필드의 내용을 지웁니다.

예약 비트 표준화/지우기

TCP 헤더에 있는 Reserved(예약) 비트를 지웁니다.

옵션 패딩 바이트 표준화/지우기

모든 TCP 옵션 패딩 바이트를 지웁니다.

URG=0인 경우 긴급 포인터 지우기

긴급(URG) 제어 비트가 설정되지 않은 경우 16비트 TCP 헤더 Urgent Pointer(긴급 포인터) 필드의 내용을 지웁니다.

빈 페이로드의 긴급 포인터/URG 지우기

페이로드가 없는 경우 TCP 헤더 Urgent Pointer(긴급 포인터) 필드의 내용 및 URG 제어 비트를 비웁니다.

긴급 포인터가 설정되지 않은 경우 URG 지우기

긴급 포인터가 설정되지 않은 경우 TCP 헤더 URG 제어 비트를 지웁니다.

긴급 포인터 표준화

포인터가 페이로드 길이보다 긴 경우 2바이트 TCP 헤더 Urgent Pointer(긴급 포인터) 필드를 페이로드 길이로 설정합니다.

TCP 페이로드 표준화

TCP Data(데이터) 필드의 표준화를 활성화하여 재전송된 데이터의 일관성을 유지합니다. 제대로 리어셈블될 수 없는 모든 세그먼트는 삭제됩니다.

SYN 데이터 제거

TCP 운영 체제 정책이 Mac OS가 아닌 경우 동기화(SYN) 패킷의 데이터를 제거합니다.

또한 이 옵션은 TCP 스트림 전처리기 Policy(정책) 옵션이 Mac OS로 설정돼 있지 않을 때 트리거할 수 있는 규칙 129:2를 비활성화합니다.

RST 데이터 제거

TCP 재설정(RST) 패킷에서 모든 데이터를 제거합니다.

Window로 데이터 절감

TCP Data(데이터) 필드를 Window 필드에 지정된 크기로 줄입니다.

MSS로 데이터 절감

페이로드가 Maximum Segment Size(최대 세그먼트 크기, MSS)보다 긴 경우 TCP Data(데이터) 필드를 MSS로 줄입니다.

해결할 수 없는 TCP 헤더 이상 징후 차단

이 옵션을 활성화하면 표준화된 경우 시스템은 유효하지 않고 수신 호스트가 차단할 가능성이 높은 변칙적 TCP 패킷을 차단합니다. 예를 들어, 시스템은 설정된 세션에 차후에 전송된 모든 SYN 패킷을 차단합니다.

시스템은 또한 규칙이 활성화되어 있는지 여부에 관계없이 다음 TCP 스트림 전처리기 규칙에 하나라도 일치하는 모든 패킷을 삭제합니다.

• 129:1

• 129:3

• 129:4

• 129:6

• 129:8

• 129:11

• 129:14~129:19

Total Blocked Packets(전체 차단된 패킷) 성능 표는 인라인 배포와 수동 배포 및 탭 모드의 인라인 배포에서 차단된 패킷 수 및 인라인 배포에서 차단되었을 수도 있는 수를 추적합니다.

명시적 정체 알림

Explicit Congestion Notification(명시적 정체 알림, ECN) 플래그의 패킷별 또는 스트림별 표준화를 다음과 같이 활성화합니다.

• 협상에 관계없이 패킷별로 ECN 플래그를 지우려면 Packet(패킷)을 선택합니다

• ECN 사용이 협상되지 않은 경우 스트림별로 ECN 플래그를 지우려면 Stream(스트림)을 선택합니다

Stream(스트림)을 선택한 경우, 이 표준화를 실행하려면 TCP 스트림 전처리기 Require TCP 3‑Way Handshake(TCP 3방향 핸드셰이크 요청) 옵션을 활성화해야 합니다.

기존 TCP 옵션 지우기

Allow These TCP Options(이러한 TCP 옵션 허용)을 활성화합니다.

이러한 TCP 옵션 허용

사용자가 트래픽에서 허용하는 특정 TCP 옵션의 표준화를 비활성화합니다.

시스템은 사용자가 명시적으로 허용하는 옵션을 표준화하지 않습니다. 이는 옵션을 No Operation(무연산, TCP 옵션 1)으로 설정함으로써 사용자가 명시적으로 허용하지 않는 옵션을 표준화합니다.

시스템은 Allow These TCP Options(이러한 TCP 옵션 허용) 설정 여부에 상관없이 다음 옵션을 항상 허용해야 합니다. 최상의 TCP 성능을 위해 자주 사용하는 옵션이기 때문입니다.

• 최대 세그먼트 크기(MSS)

• 창 크기 조정

• 타임 스탬프 TCP

시스템은 드물게 사용되는 다른 옵션은 자동으로 허용하지 않습니다.

다음의 예시에서처럼 옵션 키워드, 옵션 번호, 또는 둘 다로 이루어진 쉼표로 구분된 목록을 작성하여 특정 옵션을 허용할 수 있습니다.

	sack, echo, 19

옵션 키워드를 지정하는 것은 키워드와 관련된 하나 이상의 TCP 옵션을 지정하는 것과 같습니다. 예를 들어, sack을 지정하는 것은 TCP 옵션 4(Selective Acknowledgment Permitted(허용된 선택적 수신 확인)) 및 5(Selective Acknowledgment(선택적 수신 확인))를 지정하는 것과 같습니다. 옵션 키워드는 대소문자를 구분하지 않습니다.

또한 모든 TCP 옵션을 허용하고 모든 TCP 옵션의 표준화를 효과적으로 비활성화하는 any를 지정할 수 있습니다.

다음 표는 허용할 TCP 옵션을 지정하는 방법에 대해 요약합니다. 필드를 비워 둘 경우, 시스템은 MSS, Window Scale(Window 크기), Time Stamp(타임 스탬프) 옵션만 허용합니다.

이 옵션에 any를 지정하지 않은 경우, 표준화에는 다음이 포함됩니다.

• MSS, Window Scale(Window 크기), Time Stamp(타임 스탬프) 및 모든 명시적으로 허용된 옵션을 제외하고, 모든 옵션 바이트를 No Operation(무연산, TCP 옵션 1)으로 설정합니다.

• Time Stamp(타임 스탬프)가 존재하지만 유효하지 않은 경우, 또는 유효하지만 협상되지 않은 경우, Time Stamp(타임 스탬프) 옥텟을 No Operation(무연산)으로 설정합니다.

• Time Stamp(타임 스탬프)가 협상되었지만 존재하지 않는 경우 패킷을 차단합니다.

• Acknowledgment(수신 확인, ACK) 제어 비트가 설정되지 않은 경우 Time Stamp Echo Reply(타임 스탬프 에코 응답, TSecr) 옵션 필드를 비웁니다.

• SYN 제어 비트가 설정되지 않은 경우 MSS 및 Window Scale(Window 크기) 옵션을 No Operation(무연산, TCP 옵션 1)으로 설정합니다

단순히 IP 조각 모음을 활성화하거나 비활성화하도록 선택할 수도 있습니다. 그러나 Cisco는 IP 조각 모음 전처리기의 활성화된 작업을 더욱 세밀한 수준으로 지정할 것을 권장합니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

다음 전역 옵션을 설정할 수 있습니다.

Preallocated Fragments(미리 할당된 조각)

전처리기가 한 번에 처리할 수 있는 개별 조각의 최대 수입니다. 미리 할당할 조각 노드의 수를 지정하면 정적 메모리 할당이 활성화됩니다.

경고	개별 조각을 처리하면 메모리 중 약 1550바이트가 사용됩니다. 전처리기가 개별 조각을 처리하는 데 관리되는 디바이스에 미리 정해진 허용 가능한 메모리 제한보다 더 많은 메모리가 필요한 경우 해당 디바이스의 메모리 제한이 우선합니다.

각 IP 조각 모음 정책에 다음 옵션을 구성할 수 있습니다,

네트워크

조각 모음 정책을 적용할 호스트의 IP 주소입니다.

단일 IP 주소 또는 주소 블록을 지정하거나, 쉼표로 구분된 하나 또는 둘 다의 목록을 지정할 수 있습니다. 기본 정책을 비롯한 총 255개의 프로파일을 지정할 수 있습니다.

참고	시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축에서 리터럴 IP 주소를 사용하여 이 컨피그레이션을 제한하면 예기치 않은 결과가 발생할 수 있습니다. 하위 도메인 관리자는 재정의가 활성화된 개체를 사용하여 로컬 환경에 맞게 글로벌 컨피그레이션을 조정할 수 있습니다.

기본 정책의 default 설정은 다른 대상 기반 정책으로는 처리되지 않는 모니터링된 네트워크 세그먼트에 모든 IP 주소를 지정한다는 점에 유의하십시오. 따라서, 기본 정책에 대한 IP 주소 또는 CIDR 차단/접두사 길이를 지정할 수가 없으며, 지정할 필요도 없습니다. 그리고 다른 정책에서 이 설정을 공백으로 비워둘 수 없으며 any(예를 들어, 0.0.0.0/0 또는 ::/0)를 나타내는 주소 표기법을 사용할 수도 없습니다.

정책

모니터링된 네트워크 세그먼트의 호스트 집합에 사용할 조각 모음 정책입니다.

대상 호스트의 운영체제에 따라 7가지 조각 모음 정책 중 하나를 선택하면 됩니다. 다음 표는 7개의 정책 및 각각을 사용하는 운영 체제를 나열합니다. First 및 Last 정책 이름은 해당 정책이 원래의 중첩 패킷을 지원하는지, 아니면 후속 중첩 패킷을 지원하는지 여부를 반영합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

시간 초과

조각화된 패킷을 리어셈블할 때 전처리기 엔진이 사용할 수 있는 최대 시간(단위: 초)을 지정합니다. 패킷이 지정된 기간 내에 리어셈블될 수 없는 경우, 전처리기 엔진은 패킷 리어셈블 시도를 중지하고 수신한 조각을 삭제합니다.

최소 TTL

패킷이 가질 수 있는 허용 가능한 최소 TTL 값을 지정합니다. 이 옵션은 TTL 기반 삽입 공격을 탐지합니다.

규칙 123:11을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

이상 징후 탐지

중첩되는 조각과 같은 조각화 문제를 식별합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

다음 규칙을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

• 123:1~123:4

• 123:5(BSD 정책)

• 123:6~123:8

중첩 제한

한 세션에서 중첩되는 세그먼트에 대해 구성된 수가 탐지된 경우 해당 세션에 대한 조각 모음이 중단됨을 명시합니다.

이 옵션을 구성하려면 Detect Anomalies(이상 징후 탐지)를 활성화해야 합니다. 빈 필드 값이 이 옵션을 비활성화합니다. 0 값은 무제한 중첩 세그먼트 수를 지정합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다. 중첩되는 프래그먼트는 이러한 인터페이스에서는 항상 삭제됩니다.

규칙 123:12를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

최소 조각 크기

구성된 바이트 수보다 작은, 마지막이 아닌 조각이 탐지된 경우 패킷이 악성으로 간주됨을 명시합니다.

이 옵션을 구성하려면 Detect Anomalies(이상 징후 탐지)를 활성화해야 합니다. 빈 필드 값이 이 옵션을 비활성화합니다. 0 값은 무제한 바이트 수를 지정합니다.

규칙 123:13을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

GTP 데이터 채널 디코딩

캡슐화된 GTP(GPRS[General Packet Radio Service] 터널링 프로토콜) 데이터 채널을 디코딩합니다. 기본적으로, 디코더는 포트 3386의 버전 0 데이터 및 포트 2152의 버전 1 데이터를 디코딩합니다. GTP_PORTS 기본 변수를 사용하여 캡슐화된 GTP 트래픽을 식별하는 포트를 수정할 수 있습니다.

규칙 116:297 및 116:298을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

비표준 포트에서 Teredo 탐지

포트 3544 이외의 UDP 포트에서 확인된 IPv6 트래픽의 Teredo 터널링을 검사합니다.

IPv6 트래픽이 있으면 항상 시스템에서 검사합니다. 기본적으로, IPv6 검사에는 4in6, 6in4, 6to4 및 6in6 터널링 체계가 포함되며, UDP 헤더가 포트 3544를 지정하는 경우에는 Teredo 터널링도 포함됩니다.

IPv4 네트워크에서 IPv4 호스트는 Teredo 프로토콜을 사용하여 IPv4 NAT(Network Address Translation) 디바이스를 통해 IPv6 트래픽을 터널링할 수 있습니다. Teredo는 IPv4 NAT 디바이스의 배후에 있는 IPv6 연결을 허용하기 위해 IPv4 UDP 데이터그램 안에서 IPv6 패킷을 캡슐화합니다. 시스템은 일반적으로 UDP 포트 3544를 사용하여 Teredo 트래픽을 식별합니다. 그러나 공격자는 탐지를 피하기 위해 비표준 포트를 사용할 수 있습니다. Detect Teredo on Non‑Standard Ports(비표준 포트에서 Teredo 탐지)를 활성화하여 시스템이 Teredo 터널링의 모든 UDP 페이로드를 검사하도록 할 수 있습니다.

Teredo 디코딩은 첫 번째 UDP 헤더에서만, 그리고 IPv4가 외부 네트워크 레이어에 사용될 때만 수행됩니다. IPv6 데이터에서 캡슐화된 UDP 데이터로 인해 Teredo IPv6 레이어 다음에 두 번째 UDP 레이어가 나타나는 경우 규칙 엔진은 UDP 침입 규칙을 사용하여 내부 및 외부 UDP 레이어를 분석합니다.

정책‑기타 규칙 카테고리의 침입 규칙 12065, 12066, 12067 및 12068은 Teredo 트래픽을 탐지하지만 디코딩하지는 않는다는 점에 유의하십시오. 필요에 따라 이러한 규칙을 사용하여 인라인 구축에서 Teredo 트래픽을 삭제할 수 있습니다. 하지만 Detect Teredo on Non‑Standard Ports(비표준 포트에서 Teredo 탐지)를 활성화할 때는 이러한 규칙이 비활성화되어 있거나 트래픽을 삭제하지 않고 이벤트를 생성하도록 설정되어 있는지 확인해야 합니다.

과도한 길이 값 탐지

패킷 헤더가 실제 패킷 길이보다 큰 패킷 길이를 지정할 때를 탐지합니다.

이 옵션은 threat defense 라우팅, 투명 및 인라인 인터페이스에 대해서는 무시됩니다. 헤더 길이가 너무 긴 패킷은 항상 삭제됩니다. 그러나 이 옵션은 threat defense 인라인 탭과 수동 인터페이스에는 적용되지 않습니다.

규칙 116:6, 116:47, 116:97 및 116:275를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

유효하지 않은 IP 옵션 탐지

유효하지 않은 IP 옵션을 사용하는 익스플로잇을 식별하기 위해 유효하지 않은 IP 헤더 옵션을 탐지합니다. 예를 들어, 시스템을 마비시키는 방화벽에 대한 DoS(Denial-of-Service) 공격이 존재합니다. 방화벽은 유효하지 않은 Timestamp(타임 스탬프) 및 Security IP(보안 IP) 옵션의 분석을 시도하고 제로 길이를 점검하는 데 실패하는데, 이는 복구할 수 없는 무한 루프를 야기합니다. 규칙 엔진은 제로 길이 옵션을 식별하고, 방화벽에서 공격을 완화하는 데 사용할 수 있는 정보를 제공합니다.

Threat Defense 디바이스는 라우터 알림, 옵션 목록의 끝(EOOL), 특정 라우팅 또는 투명 인터페이스의 작업 없음(NOP)을 제외한 다른 IP 옵션을 포함하는 RSVP 패킷은 모두 삭제합니다. 인라인, 인라인 탭 또는 수동 인터페이스의 경우 IP 옵션은 위에서 설명한 대로 처리됩니다.

규칙 116:4 및 116:5를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

실험적 TCP 옵션 탐지

실험적 TCP 옵션이 포함된 TCP 헤더를 탐지합니다. 다음 표는 이러한 옵션에 대해 설명합니다.

이는 실험적 옵션이므로, 일부 시스템은 이를 처리하지 않고 익스플로잇에 노출될 수 있습니다.

참고	위 표에 나열된 실험적 옵션 외에도, 시스템은 26보다 큰 옵션 번호를 가진 모든 TCP 옵션을 실험적인 것으로 고려합니다.

규칙 116:58을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

사용하지 않는 TCP 옵션 탐지

사용하지 않는 TCP 옵션이 포함된 TCP 헤더를 탐지합니다. 이는 사용하지 않는 옵션이므로, 일부 시스템은 이를 처리하지 않고 익스플로잇에 노출될 수 있습니다. 다음 표는 이러한 옵션에 대해 설명합니다.

규칙 116:57을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

T/TCP 탐지

CC.ECHO 옵션이 포함된 TCP 헤더를 탐지합니다. CC.ECHO 옵션은 TCP for Transactions(트랜잭션용 TCP, T/TCP)가 사용되고 있음을 확인합니다. T/TCP 헤더 옵션은 널리 사용되지 않기 때문에, 일부 시스템은 이를 처리하지 않고 익스플로잇에 노출될 수 있습니다.

규칙 116:56을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

기타 TCP 옵션 탐지

다른 TCP 디코딩 이벤트 옵션으로 탐지되지 않는 유효하지 않은 TCP 옵션을 통해 TCP 헤더를 탐지합니다. 예를 들어, 이 옵션은 정확하지 않은 길이 또는 옵션 데이터를 TCP 헤더 외부에 배치하는 길이를 가진 TCP 옵션을 탐지합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다. 잘못된 TCP 옵션이 있는 패킷은 항상 삭제됩니다.

규칙 116:54, 116:55 및 116:59를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

프로토콜 헤더 이상 징후 탐지

더 많은 특정 IP 및 TCP 디코더 옵션으로 탐지되지 않는 다른 디코딩 오류를 탐지합니다. 예를 들어 디코더는 잘못된 형식의 데이터 연결 프로토콜 헤더를 탐지할 수 있습니다.

이 옵션은 threat defense 라우팅, 투명 및 인라인 인터페이스에 대해서는 무시됩니다. 헤더 이상 징후가 있는 패킷은 항상 삭제됩니다. 그러나 이 옵션은 Threat Defense(위협 방어) 인라인 탭과 수동 인터페이스에는 적용되지 않습니다.

이 옵션을 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.하려면 다음 규칙 중 하나를 활성화해야 합니다.

또한 다른 패킷 디코더 옵션과 연결되지 않은 패킷 디코더 규칙은 무엇이든 활성화할 수 있습니다.

어떤 전처리기 규칙도 다음 설명에 언급되지 않은 경우, 이 옵션은 전처리기 규칙과 연결되지 않습니다.

다음 전역 TCP 옵션을 구성할 수 있습니다.

패킷 유형 성능 증대

활성화된 침입 규칙에 지정되지 않은 모든 포트 및 애플리케이션 프로토콜에 대한 TCP 트래픽 무시를 활성화합니다. 단, 소스 및 목적지 포트가 모두 any로 설정된 TCP 규칙에 flow 또는 flowbits 옵션이 있는 경우는 예외입니다. 이러한 성능 향상으로 공격이 누락될 수 있습니다.

각 TCP 정책에 대해 다음 옵션을 구성할 수 있습니다.

네트워크

사용자가 TCP 스트림 리어셈블리 정책을 적용할 호스트 IP 주소를 지정합니다.

단일 IP 주소 또는 주소 블록을 지정할 수 있습니다. 기본 정책을 비롯한 255개의 총 프로파일을 지정할 수 있습니다.

참고	시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축에서 리터럴 IP 주소를 사용하여 이 컨피그레이션을 제한하면 예기치 않은 결과가 발생할 수 있습니다. 하위 도메인 관리자는 재정의가 활성화된 개체를 사용하여 로컬 환경에 맞게 글로벌 컨피그레이션을 조정할 수 있습니다.

기본 정책의 default 설정은 다른 대상 기반 정책으로는 처리되지 않는 모니터링된 네트워크 세그먼트에 모든 IP 주소를 지정한다는 점에 유의하십시오. 따라서, 기본 정책에 대한 IP 주소 또는 CIDR 차단/접두사 길이를 지정할 수가 없으며, 지정할 필요도 없습니다. 그리고 다른 정책에서 이 설정을 공백으로 비워둘 수 없으며 any(예를 들어, 0.0.0.0/0 또는 ::/0)를 나타내는 주소 표기법을 사용할 수도 없습니다.

정책

대상 호스트의 TCP 정책 운영 체제를 식별합니다. Mac OS 이외의 정책을 선택하는 경우, 시스템은 동기화(SYN) 패킷에서 데이터를 제거하고 규칙 129:2의 이벤트 생성을 비활성화합니다. 인라인 표준화 전처리기 Remove Data on SYN(SYN에서 데이터 제거) 옵션을 활성화하면 규칙 129:2도 비활성화됩니다.

다음 표는 각각을 사용하는 호스트 운영 체제 및 운영 체제 정책을 식별합니다.

팁	First 운영 체제 정책에서는 호스트 운영 체제를 알 수 없는 경우 일부 보호를 제공할 수 있습니다. 하지만, 이로 인해 공격이 누락될 수 있습니다. 알고 있는 경우 정확한 운영 체제를 지정하는 정책을 수정해야 합니다.

시간 초과

1에서 86400 사이의 시간(단위: 초)으로, 침입 규칙 엔진이 이 시간 동안 상태 표에서 비활성 스트림을 유지합니다. 스트림이 지정된 시간에 리어셈블되지 않는 경우, 침입 규칙 엔진은 이를 상태 표에서 삭제합니다.

참고	관리되는 디바이스가 네트워크 트래픽이 디바이스의 대역폭 제한에 도달할 가능성이 높은 세그먼트에 구축된 경우, 처리 오버헤드의 양을 낮추기 위해 이 값을 더 높게(예: 600초) 설정할 것을 고려해야 합니다.

threat defense 디바이스는 이 옵션을 무시하며, 대신 고급 액세스 컨트롤 Threat Defense Service Policy(위협 방어 서비스 정책)의 설정을 사용합니다. 자세한 내용은 서비스 정책 규칙 구성를 참조하십시오.

최대 TCP 창

수신 호스트가 지정한 대로 허용된 1에서 1073725440바이트 사이의 최대 TCP 창 크기를 지정합니다. 값을 0으로 설정하면 TCP 창 크기 확인이 비활성화됩니다.

경고	상한은 RFC에서 허용하는 최대 창 크기이며 공격자의 탐지 회피를 방지하는 것이 목적이지만, 최대 창 크기를 너무 크게 설정하면 자체적으로 서비스 거부가 발생할 수 있습니다.

Stateful Inspection Anomalies(상태 저장 검사 이상 징후)가 활성화되면 이 옵션에 대해 규칙 129:6을 활성화하여 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

중첩 제한

세션에서 중첩되는 세그먼트에 대해 0(무제한)과 255 사이의 구성된 번호가 탐지된 경우 해당 세션을 위한 세그먼트 리어셈블리가 중단되며, Stateful Inspection Anomalies(상태 저장 검사 이상 징후)가 활성화되고 동반되는 전처리기 규칙이 활성화된 경우 이벤트가 생성된다는 것을 지정합니다.

규칙 129:7을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

플러시 배율

인라인 구축에서, 비감소 크기의 세그먼트 1~2048 사이로 구성된 수에 이어 감소 크기의 세그먼트가 탐지된 경우 시스템은 탐지를 위해 누적된 세그먼트 데이터를 플러시합니다. 값을 0으로 설정하면 이러한 세그먼트 패턴의 탐지가 비활성화되며, 이는 요청 또는 응답의 종료를 나타낼 수 있습니다. 이 옵션을 적용하려면 Inline Normalization(인라인 표준화) Normalize TCP Payload(TCP 페이로드 표준화) 옵션이 활성화되어야 한다는 점에 유의하십시오.

상태 저장 검사 이상 징후

TCP 스택에서 비정상적 상태를 탐지합니다. TCP/IP 스택이 잘못 로깅된 경우 동반되는 전처리기 규칙이 활성화되면 이로 인해 많은 이벤트가 생성될 수 있습니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

다음 규칙을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

• 129:1~129:5

• 129:6(Mac OS만 해당)

• 129:8~129:11

• 129:13~129:19

다음에 유의하십시오.

• 규칙 129:6이 트리거되려면 Maximum TCP Window(최대 TCP 창)에 0보다 큰 값을 구성해야 합니다.

• 규칙 129:9 및 129:10이 트리거되려면 TCP Session Hijacking(TCP 세션 가로채기)도 활성화해야 합니다.

TCP 세션 가로채기

세션에서 수신된 후속 패킷에 대한 3방향 핸드셰이크 동안 TCP 연결의 양쪽에서 탐지된 하드웨어(MAC) 주소를 검증하여 TCP 세션 가로채기를 탐지합니다. 한쪽 또는 다른 쪽의 MAC 주소가 일치하지 않으면, Stateful Inspection Anomalies가 활성화되고 두 개의 해당 프리프로세서 규칙 중 하나가 활성화된 경우 시스템이 이벤트를 생성합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

규칙 129:9 및 129:10을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다. 이러한 규칙 중 하나가 이벤트를 생성하려면 Stateful Inspaction Anomalies(상태 저장 검사 이상 징후)도 활성화해야 합니다.

연속된 소규모 세그먼트

Stateful Inspection Anomalies가 활성화된 경우, 허용되는 연속 소형 TCP 세그먼트의 최대 수를 1~2048 범위로 지정합니다. 값을 0으로 설정하면 소규모 연속 세그먼트 확인이 비활성화됩니다.

이 옵션은 Small Segment Size(소규모 세그먼트 크기) 옵션과 함께 설정해야 합니다. 둘 다 비활성화하거나 둘 다 0이 아닌 값으로 설정합니다. 각 세그먼트의 길이가 1바이트라고 해도 개입 ACK 없이 최대 2000개의 연속 세그먼트를 수신하는 경우 일반적으로 예상하는 것보다 훨씬 많은 연속 세그먼트일 수 있음에 유의하십시오.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

규칙 129:12를 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

소규모 세그먼트 크기

Stateful Inspection Anomalies가 활성화된 경우, 소형으로 간주되는 1~2048바이트의 TCP 세그먼트 크기를 지정합니다. 값을 0으로 설정하면 소규모 세그먼트의 크기가 비활성화됩니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

이 옵션은 Consecutive Small Segment Size(연속된 소규모 세그먼트 크기) 옵션과 함께 설정해야 합니다. 둘 다 비활성화하거나 둘 다 0이 아닌 값으로 설정합니다. 2048바이트 TCP 세그먼트는 일반적인 1500바이트 이더넷 프레임보다 크다는 점에 유의하십시오.

Ports Ignoring Small Segments(소규모 세그먼트를 무시하는 포트)

Stateful Inspection Anomalies(상태 저장 검사 이상 징후), Consecutive Small Segment Size(연속된 소규모 세그먼트) 및 Small Segment Size(소규모 세그먼트 크기)가 활성화된 경우, 소규모 TCP 세그먼트 탐지를 무시하는 쉼표로 구분된 하나 이상의 포트 목록을 지정합니다. 이 옵션을 비워 두면 어떤 포트도 무시되지 않습니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

어느 포트든 목록에 추가할 수 있지만, 목록은 TCP 정책 내 Perform Stream Reassembly on(스트림 리어셈블리 수행) 포트 목록 중 하나에서 지정된 포트에만 영향을 미칩니다.

TCP 3방향 핸드셰이크 요청

TCP 3방향 핸드셰이크가 완료되는 경우에만 세션을 설정된 것으로 처리하도록 지정합니다. 성능을 향상시키고, SYN 플러드 공격으로부터 보호하며, 부분 비동기 환경에서 작업을 허용하려면 이 옵션을 비활성합니다. 설정된 TCP 세션의 일부가 아닌 정보를 전송하여 잘못된 긍정을 생성하려고 시도하는 공격을 차단하려면 이 옵션을 활성화합니다.

규칙 129:20을 활성화하여 이 옵션에 대한 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.할 수 있습니다.

3방향 핸드셰이크 시간 제한

Require TCP 3‑Way Handshake(TCP 3방향 핸드셰이크 요청)가 활성화된 경우 핸드셰이크 완료 기한이 되는 시간(단위: 초)을 0(무제한)에서 86400(24시간)까지의 범위에서 지정합니다. 이 옵션의 값을 수정하려면 Require TCP 3‑Way Handshake(TCP 3방향 핸드셰이크 요청)를 활성화해야 합니다.

Firepower Software 디바이스 및 threat defense 인라인, 인라인, 패시브 인터페이스의 경우, 기본값은 0입니다. threat defense 라우팅 및 투명 인터페이스의 경우, 시간 초과는 항상 30 초이며, 여기서 구성된 값은 무시됩니다.

패킷 크기 성능 증대

전처리기가 리어셈블리 버퍼에서 대규모 패킷을 큐에 넣지 않도록 설정합니다. 이러한 성능 향상으로 공격이 누락될 수 있습니다. 1~20바이트의 소규모 패킷을 사용하여 회피 시도를 차단하려면 이 옵션을 비활성화합니다. 모든 트래픽이 매우 큰 패킷으로 구성되어 있어서 그러한 공격이 없을 것임을 확신하는 경우 이 옵션을 활성화합니다.

레거시 리어셈블리

패킷을 리어셈블할 때 스트림 전처리기가 더 이상 사용되지 않는 Stream 4(스트림 4) 전처리기를 모방하도록 설정하여 스트림 전처리기가 리어셈블한 이벤트를 Stream 4(스트림 4) 전처리기가 리어셈블한 동일 데이터 스트림에 기반한 이벤트와 비교할 수 있습니다.

비동기 네트워크

모니터링된 네트워크가 비동기 네트워크, 즉, 시스템이 트래픽의 절반만 표시하는 네트워크인지 여부를 지정합니다. 이 옵션을 활성화할 경우, 시스템은 성능을 높이기 위해 TCP 스트림을 리어셈블하지 않습니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

클라이언트 포트에서 스트림 리어셈블리 수행

연결의 클라이언트 측 포트에 기반한 스트림 리어셈블리를 활성화합니다. 다시 말해, 일반적으로 $HOME_NET에 지정된 IP 주소에 의해 정의되는 웹 서버, 메일 서버, 또는 다른 IP 주소로 전송되는 스트림을 리어셈블합니다. 악성 트래픽이 클라이언트에서 시작될 것으로 예상되는 경우 이 옵션을 사용하십시오.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

클라이언트 서비스에서 스트림 리어셈블리 수행

연결의 클라이언트 측을 위한 서비스에 기반한 스트림 리어셈블리를 활성화합니다. 악성 트래픽이 클라이언트에서 시작될 것으로 예상되는 경우 이 옵션을 사용하십시오.

선택한 각 클라이언트 서비스에 대해 하나 이상의 클라이언트 탐지기가 활성화되어야 합니다. 기본적으로 모든 Cisco 제공 탐지기는 활성화되어 있습니다. 연결된 클라이언트 애플리케이션에 활성화된 탐지기가 없는 경우, 시스템은 해당 애플리케이션의 모든 Cisco 제공 탐지기를 자동으로 활성화합니다. 탐지기가 없는 경우, 시스템은 가장 최근에 수정된 해당 애플리케이션의 사용자 정의 탐지기를 활성화합니다.

이 기능을 사용하려면 보호 및 제어 라이선스가 필요합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

서버 포트에서 스트림 리어셈블리 수행

연결의 서버 측만을 위한 포트에 기반한 스트림 리어셈블리를 활성화합니다. 다시 말해, 일반적으로 $EXTERNAL_NET에 지정된 IP 주소에 의해 정의되는 웹 서버, 메일 서버, 또는 다른 IP 주소에서 시작되는 스트림을 리어셈블합니다. 서버 측 공격을 경계하고자 하는 경우 이 옵션을 사용합니다. 포트를 지정하지 않음으로써 이 옵션을 비활성화할 수 있습니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

참고

철저한 서비스 검사를 위해서는 Perform Stream Reassembly on Server Ports(서버 포트에서 스트림 리어셈블리 수행) 필드에 포트 번호를 추가하는 것 외에도 Perform Stream Reassembly on Server Services(서버 서비스에서 스트림 리어셈블리 수행) 필드에 서비스 이름을 추가합니다. 예를 들어 Perform Stream Reassembly on Server Ports(서버 포트에서 스트림 리어셈블리 수행) 필드에 포트 번호 80을 추가하는 것 외에도 Perform Stream Reassembly on Server Services(서버 서비스에서 스트림 리어셈블리 수행) 필드에 'HTTP' 서비스를 추가합니다.

서버 서비스에서 스트림 리어셈블리 수행

연결의 서버 측만을 위한 서비스에 기반한 스트림 리어셈블리를 활성화합니다. 서버 측 공격을 경계하고자 하는 경우 이 옵션을 사용합니다. 서비스를 지정하지 않음으로써 이 옵션을 비활성화할 수 있습니다.

하나 이상의 탐지기를 활성화해야 합니다. 기본적으로 모든 Cisco 제공 탐지기는 활성화되어 있습니다. 서비스에 활성화된 탐지기가 없는 경우, 시스템은 연결된 애플리케이션 프로토콜의 모든 Cisco 제공 탐지기를 자동으로 활성화합니다. 탐지기가 없는 경우, 시스템은 가장 최근에 수정된 애플리케이션 프로토콜의 사용자 정의 탐지기를 활성화합니다.

이 기능을 사용하려면 보호 및 제어 라이선스가 필요합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

두 포트 모두에서 스트림 리어셈블리 수행

연결의 클라이언트 및 서버 측 모두를 위한 포트에 기반한 스트림 리어셈블리를 활성화합니다. 동일한 포트의 악성 트래픽이 클라이언트와 서버 사이에서 어느 방향에서나 이동할 수 있을 것으로 예상되는 경우 이 옵션을 사용하십시오. 포트를 지정하지 않음으로써 이 옵션을 비활성화할 수 있습니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

두 서비스 모두에서 스트림 리어셈블리 수행

연결의 클라이언트 및 서버 측 모두를 위한 서비스에 기반한 스트림 리어셈블리를 활성화합니다. 동일한 서비스의 악성 트래픽이 클라이언트와 서버 사이에서 어느 방향에서나 이동할 수 있을 것으로 예상되는 경우 이 옵션을 사용하십시오. 서비스를 지정하지 않음으로써 이 옵션을 비활성화할 수 있습니다.

하나 이상의 탐지기를 활성화해야 합니다. 기본적으로 모든 Cisco 제공 탐지기는 활성화되어 있습니다. 연결된 클라이언트 애플리케이션 또는 애플리케이션 프로토콜에 대해 활성화된 탐지기가 없을 경우 해당 애플리케이션 또는 애플리케이션 프로토콜에 대해 자동으로 모든 Cisco 제공 탐지기가 활성화됩니다. 탐지기가 하나도 없을 경우 가장 최근에 수정된 사용자 정의 탐지기가 이 애플리케이션 또는 애플리케이션 프로토콜에 대해 활성화됩니다.

이 기능을 사용하려면 보호 및 제어 라이선스가 필요합니다.

이 옵션은 threat defense 라우팅 및 투명 인터페이스에 대해서는 무시됩니다.

문제 해결 옵션: 최대 대기 바이트

Support(지원팀)는 문제 해결 통화 중 사용자에게 TCP 연결의 한 쪽에 대기될 수 있는 데이터의 양을 지정하도록 요청할 수 있습니다. 0 값은 무제한 바이트 수를 지정합니다.

경고	이 문제 해결 옵션에 대한 설정을 변경하면 성능에 영향을 미치므로 지원 안내서를 통해서만 변경해야 합니다.

문제 해결 옵션: 최대 대기 세그먼트

Support(지원팀)는 문제 해결 통화 중 사용자에게 TCP 연결의 한 쪽에 대기될 수 있는 세그먼트의 최대 바이트 수를 지정하도록 요청할 수 있습니다. 0 값은 무제한 데이터 세그먼트 바이트 수를 지정합니다.

경고	이 문제 해결 옵션에 대한 설정을 변경하면 성능에 영향을 미치므로 지원 안내서를 통해서만 변경해야 합니다.

시간 초과

전처리기가 상태 표에서 비활성 스트림을 유지하는 시간(단위: 초)을 지정합니다. 추가 데이터그램이 지정된 시간 안에 표시되지 않으면, 전처리기는 상태 표에서 스트림을 삭제합니다.

Threat Defense 디바이스는 이 옵션을 무시하며, 대신 고급 액세스 컨트롤 Threat Defense Service Policy(위협 방어 서비스 정책)의 설정을 사용합니다. 자세한 내용은 서비스 정책 규칙 구성를 참조하십시오.

패킷 유형 성능 증대

활성화된 규칙에 지정되지 않은 모든 포트 및 애플리케이션 프로토콜에 대한 TCP 트래픽을 무시하도록 전처리기를 설정합니다. 단, 소스 및 대상 포트가 모두 any로 설정된 UDP 규칙에 flow 또는 flowbits 옵션이 있는 경우는 예외입니다. 이러한 성능 향상으로 공격이 누락될 수 있습니다.