目  錄

1 應用層檢測引擎

1.1 應用層檢測引擎簡介

1.1.1 應用層檢測引擎的基本功能

1.1.2 檢測規則

1.1.3 應用層檢測引擎工作機製

1.2 應用層檢測引擎配置任務簡介

1.3 配置DPI應用Profile

1.4 激活DPI業務模塊的策略和規則配置

1.5 配置應用層檢測引擎動作參數

1.5.1 配置源阻斷動作參數

1.5.2 配置捕獲動作參數

1.5.3 配置日誌動作參數

1.5.4 配置重定向動作參數

1.5.5 配置郵件動作參數

1.6 優化應用層檢測引擎性能

1.7 配置應用層檢測引擎CPU門限響應功能

1.8 配置應用層檢測引擎檢測固定長度數據流功能

1.9 配置應用層檢測引擎可解壓縮數據上限

1.10 配置應用層檢測引擎對所有文件進行MD5哈希運算

1.11 開啟基於源端口的應用識別功能

1.12 配置DPI業務特征庫在線升級所使用的代理服務器

1.13 配置DPI業務雲端服務器

1.14 關閉應用層檢測引擎功能

1.15 應用層檢測引擎顯示和維護

 

1 應用層檢測引擎

1.1  應用層檢測引擎簡介

應用層檢測引擎服務於DPI業務模塊，用於對報文的應用層信息（應用層協議以及應用行為）進行統一識別。DPI業務模塊使用應用層檢測引擎提供的識別結果，對報文進行相應的業務處理。

1.1.1  應用層檢測引擎的基本功能

應用層檢測引擎提供以下基本功能：

·     協議解析：識別並分析報文應用層字段，區分應用層協議，並對部分字段進行正規化和解壓縮。

·     關鍵字匹配：根據檢測規則對報文載荷內容進行關鍵字匹配，是應用層檢測引擎的核心。

·     選項匹配：關鍵字匹配成功後，對其所屬檢測規則中的選項做進一步匹配。該過程與關鍵字匹配相比，匹配速度比較緩慢。

1.1.2  檢測規則

應用層檢測引擎使用檢測規則對報文進行匹配，檢測規則由各DPI業務的規則或特征轉換而成，包含關鍵字和選項兩種匹配項。

·     關鍵字：標識報文特征的不少於3個字節的字符串。

·     選項：非關鍵字的輔助匹配項，例如報文的端口號、協議類型等。

檢測規則中可以同時包含關鍵字和選項，或者僅包含選項。如果檢測規則中同時包含關鍵字和選項，則兩者都被匹配上才算是與該檢測規則匹配成功；如果檢測規則中僅包含選項，則隻要匹配選項就算與該檢測規則匹配成功。

1.1.3  應用層檢測引擎工作機製

如圖1-1所示，應用層檢測引擎的具體工作機製如下：

圖1-1 應用層檢測引擎工作機製示意圖

 

應用層檢測引擎的處理機製如下：

(1)     設備收到報文後，首先對報文進行規則（即安全策略規則或對象策略規則）匹配：

¡     如果規則匹配成功，且規則中需要進行DPI業務處理，則此報文進入應用層檢測引擎處理；如果規則中不需要進行DPI業務處理，則根據規則中的動作對此報文進行處理。

¡     如果規則匹配失敗，則直接丟棄此報文。

有關安全策略規則的詳細介紹請參見“安全配置指導”中的“安全策略”；有關對象策略規則的詳細介紹請參見“安全配置指導”中的“對象策略”。

(2)     報文進入應用層檢測引擎後，應用層檢測引擎首先對報文進行協議解析，根據分析結果查找相應的檢測規則。

(3)     應用層檢測引擎判斷檢測規則中是否包含關鍵字，如果包含關鍵字，則首先進行關鍵字匹配，否則直接進行選項匹配。

(4)     如果報文匹配上關鍵字，則繼續進行選項匹配（該選項是匹配上的關鍵字所屬檢測規則中的選項）；如果報文未匹配上關鍵字，則直接允許報文通過。

(5)     如果報文與選項匹配成功，則表示此報文與該檢測規則匹配成功。

(6)     應用層檢測引擎通知相應的DPI業務模塊對此報文做進一步的處理；如果報文與選項匹配失敗，則直接允許報文通過。

1.2  應用層檢測引擎配置任務簡介

應用層檢測引擎配置任務如下：

(1)     配置DPI應用Profile

(2)     激活DPI業務模塊的策略和規則配置

(3)     配置應用層檢測引擎動作參數

(4)     （可選）優化應用層檢測引擎性能

(5)     （可選）配置應用層檢測引擎CPU門限響應功能

(6)     （可選）配置應用層檢測引擎檢測固定長度數據流功能

(7)     （可選）配置應用層檢測引擎可解壓縮數據上限

(8)     （可選）配置應用層檢測引擎對所有文件進行MD5哈希運算

(9)     （可選）開啟基於源端口的應用識別功能

(10)     （可選）配置DPI業務特征庫在線升級所使用的代理服務器

(11)     （可選）配置DPI業務雲端服務器

(12)     （可選）關閉應用層檢測引擎功能

1.3  配置DPI應用Profile

1. 功能簡介

DPI應用profile是DPI業務的配置模板，用於關聯各DPI業務的策略（例如IPS策略、防病毒策略）。DPI應用profile被安全策略規則或對象策略規則引用後，各DPI業務策略才能生效。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建DPI應用profile視圖，並進入DPI應用profile視圖。

app-profile profile-name

(3)     關聯各DPI業務策略。

¡     在DPI應用profile中引用IPS策略。

ips apply policy policy-name mode { protect | alert }

關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“IPS”。

¡     在DPI應用profile中引用URL過濾策略。

url-filter apply policy policy-name

關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“URL過濾”。

¡     在DPI應用profile下引用數據過濾策略。

data-filter apply policy policyname

關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“數據過濾”。

¡     在DPI應用profile下引用文件過濾策略。

file-filter apply policy policyname

關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“文件過濾”。

¡     在DPI應用profile下引用防病毒策略。

anti-virus apply policy policyname mode { alert | protect }

關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“防病毒”。

缺省情況下，未關聯DPI業務策略。

1.4  激活DPI業務模塊的策略和規則配置

1. 功能簡介

當DPI業務模塊（比如IPS和防病毒等特性）的策略和規則被創建、修改和刪除後，有以下方式可以使得這些策略和規則的配置生效：

·     保存配置後重啟設備

·     執行inspect activate命令

2. 配置限製和指導

執行inspect activate命令會暫時中斷DPI業務的處理，為了避免重複執行此命令對DPI業務造成影響，請完成部署DPI各業務模塊的策略和規則後統一執行此命令。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     激活DPI業務模塊的策略和規則配置。

inspect activate

缺省情況下，DPI業務模塊的策略和規則被創建、修改和刪除時不生效。

 

1.5  配置應用層檢測引擎動作參數

1.5.1  配置源阻斷動作參數

1. 功能簡介

源阻斷動作參數profile用來為DPI業務模塊的源阻斷動作提供動作參數，在此profile中可以配置報文被阻斷的時長。

2. 配置限製和指導

本功能僅在開啟黑名單過濾功能後生效。如果設備上開啟了黑名單過濾功能，則在源阻斷動作參數profile中配置的阻斷時長內，來自該源IP地址的報文將被直接丟棄，不再進入應用層檢測引擎中檢測。

有關黑名單過濾功能的詳細介紹，請參見“安全配置指導”中的“攻擊檢測與防範”。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建應用層檢測引擎的源阻斷動作參數profile，並進入該源阻斷動作參數profile視圖。

inspect block-source parameter-profile parameter-name

(3)     配置報文源IP地址被阻斷的時長。

block-period period

缺省情況下，報文源IP地址被阻斷的時長為1800秒。

1.5.2  配置捕獲動作參數

1. 功能簡介

捕獲動作參數profile用來為DPI業務模塊的捕獲動作提供動作參數，在此profile中可以配置捕獲報文的最大字節數、捕獲報文的上傳時間和URL地址參數。

捕獲到的報文將被緩存到設備本地，並在以下任意條件滿足的情況下被上傳到指定的URL上：

·     緩存的報文字節數達到指定上限值時；

·     當天指定的上傳時間到達時

上傳到指定的URL之後，係統將清空本地緩存，然後重新開始捕獲報文。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建應用層檢測引擎的捕獲動作參數profile視圖，並進入該捕獲動作參數profile視圖。

inspect capture parameter-profile parameter-name

(3)     配置捕獲報文的最大字節數。

capture-limit kilobytes

缺省情況下，捕獲報文的最大字節數為512千字節。

(4)     配置每天定時上傳捕獲報文的時間。

export repeating-at time

缺省情況下，每天淩晨1點定時上傳捕獲報文。

(5)     配置上傳捕獲報文的URL地址。

export url url-string

缺省情況下，未配置上傳捕獲報文的URL地址。

1.5.3  配置日誌動作參數

1. 功能簡介

日誌動作參數profile用來為DPI業務模塊的日誌動作提供動作參數，此profile中可以配置日誌的輸出方式和輸出語言。

2. 配置限製和指導

配置記錄IPS日誌使用的語言為中文後，僅IPS日誌的威脅名稱字段使用中文描述，其它日誌信息仍然為英文。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建應用層檢測引擎的日誌動作參數profile視圖，並進入該日誌動作參數profile視圖。

inspect logging parameter-profile parameter-name

(3)     配置記錄報文日誌的方式。

log { email | syslog }

缺省情況下，報文日誌被輸出到信息中心。

(4)     配置記錄IPS日誌使用的語言為中文。

log language chinese

缺省情況下，記錄IPS日誌使用的語言為英文。

1.5.4  配置重定向動作參數

1. 功能簡介

重定向動作參數profile用來為DPI業務模塊的重定向動作提供動作參數，在此profile中可以配置重定向報文的URL。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建應用層檢測引擎的重定向動作參數profile，並進入重定向動作參數profile視圖。

inspect redirect parameter-profile parameter-name

(3)     配置重定向URL。

redirect-url url-string

缺省情況下，未配置重定向URL。

1.5.5  配置郵件動作參數

1. 功能簡介

郵件動作參數profile用來為DPI業務模塊的郵件動作提供動作參數，在此profile中可以配置郵件服務器地址、收件人與發件人地址和登錄郵件服務器的用戶名和密碼等。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建應用層檢測引擎的郵件動作參數profile視圖，並進入郵件動作參數profile視圖。

inspect email parameter-profile parameter-name

(3)     配置郵件服務器的地址。

email-server addr-string

缺省情況下，未配置郵件服務器的地址。

(4)     配置域名解析服務器的地址。

dns-server ip-address

缺省情況下，未配置域名解析服務器的地址。

(5)     配置發件人地址。

sender addr-string

缺省情況下，未配置發件人地址。

(6)     配置收件人地址。

receiver addr-string

缺省情況下，未配置收件人地址。

(7)     （可選）配置客戶端身份驗證功能。

a.     開啟發送郵件的認證功能。

authentication enable

缺省情況下，發送郵件的認證功能處於開啟狀態。

b.     配置登錄郵件服務器的用戶名。

username name-string

缺省情況下，未配置登錄郵件服務器的用戶名。

c.     配置登錄郵件服務器的密碼。

password { cipher | simple } string

缺省情況下，未配置登錄郵件服務器的密碼。

d.     （可選）開啟安全傳輸登錄郵件服務器密碼功能。

secure-authentication enable

缺省情況下，安全傳輸登錄郵件服務器密碼功能處於關閉狀態。

1.6  優化應用層檢測引擎性能

1. 功能簡介

對經過壓縮或編碼等處理後的報文應用層信息進行識別時，需要應用層檢測引擎先對此類報文進行解壓縮或解碼等相應處理後才能識別。通過開啟應用層檢測引擎性能優化功能或調高各項性能參數，可以提高應用層信息的識別能力和準確率，但同時也會消耗一定的係統資源。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置應用層檢測引擎可檢測有載荷內容的報文的最大數目。

inspect packet maximum max-number

缺省情況下，應用層檢測引擎可檢測有載荷內容的報文的最大數目為32。

(3)     配置應用層檢測引擎緩存待檢測選項的最大數目。

inspect cache-option maximum max-number

缺省情況下，應用層檢測引擎緩存待檢測選項的最大數目為32。

(4)     配置TCP數據段重組功能

a.     開啟TCP數據段重組功能。

inspect tcp-reassemble enable

缺省情況下，TCP數據段重組功能處於關閉狀態。

b.     配置TCP數據段重組緩存區可緩存的TCP數據段最大數目。

inspect tcp-reassemble max-segment max-number

缺省情況下，TCP數據段重組緩衝區可緩存的TCP數據段最大數目為10。

(5)     （可選）關閉指定的應用層檢測引擎的優化調試功能。

inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable

缺省情況下，應用層檢測引擎的所有優化調試功能處於開啟狀態。

如果設備的吞吐量較差，不能滿足基本的通信需求，可關閉相關優化調試功能提高設備的性能。

1.7  配置應用層檢測引擎CPU門限響應功能

1. 功能簡介

應用層檢測引擎對報文的檢測是一個比較複雜且會占用一定係統資源的過程。當設備的CPU利用率較高時，應用層檢測引擎CPU門限響應功能會啟動如下機製來緩解係統資源緊張的問題。

·     當CPU利用率達到設備上配置的CPU利用率閾值時，係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。

·     當設備的CPU利用率恢複到或低於設備上配置的CPU利用率恢複閾值時，係統會恢複應用層檢測引擎的檢測功能。

有關CPU利用率的詳細配置請參見“基礎配置指導”中的“設備管理”。

2. 配置限製和指導

在係統CPU占用率較高的情況下，建議保持應用層檢測引擎CPU門限響應功能處於開啟狀態；在係統CPU占用率較低的情況下，可以考慮關閉本功能。

當CPU突發壓力過大時，即使CPU利用率未達到設備上配置的CPU利用率閾值，係統也將會針對部分流量關閉應用層檢測引擎的檢測功能來保證設備的正常運行。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     開啟應用層檢測引擎CPU門限響應功能。

undo inspect cpu-threshold disable

缺省情況下，應用層檢測引擎CPU門限響應功能處於開啟狀態。

1.8  配置應用層檢測引擎檢測固定長度數據流功能

1. 功能簡介

應用層檢測引擎檢測固定長度數據流功能，是指應用層檢測引擎隻檢測每條數據流首包後固定長度內的數據，不再檢測超出固定長度後的數據。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     開啟應用層檢測引擎檢測固定長度數據流功能。

undo inspect stream-fixed-length disable

缺省情況下，應用層檢測引擎檢測固定長度數據流功能處於開啟狀態。

(3)     配置應用層檢測引擎檢測數據流的固定長度。

inspect stream-fixed-length { email I ftp | http } * length

缺省情況下，應用層檢測引擎對FTP協議、HTTP協議和與E-mail相關協議數據流的固定檢測長度均為32千字節。

調高此參數後，設備的吞吐量性能會下降，但是應用層信息識別的成功率會提高；同理調低參數後，設備的吞吐量會增加，但是應用層信息識別的成功率會降低。

1.9  配置應用層檢測引擎可解壓縮數據上限

1. 功能簡介

可解壓縮數據上限是指設備解壓一個文件時可解壓縮數據的最大值。到達上限後，該文件的剩餘數據不再進行解壓。如果配置的可解壓縮數據過大，當設備頻繁收到過大的壓縮文件時，設備將一直解壓縮一個文件，會影響後續文件的解壓縮，並影響設備的轉發性能。如果配置的可解壓縮數據過小，設備將不能識別壓縮文件中的部分內容，從而對DPI業務（例如防病毒和數據過濾業務）的檢測結果產生影響。請管理員合理配置此參數。

2. 配置限製和指導

僅支持解壓縮ZIP格式的文件。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置應用層檢測引擎可解壓縮數據上限。

inspect file-uncompr-len max-size

缺省情況下，可解壓縮數據上限為100MB。

1.10  配置應用層檢測引擎對所有文件進行MD5哈希運算

1. 功能簡介

本功能用於防病毒檢測，設備首先對待檢測文件進行MD5哈希運算，再將計算出的MD5值與特征庫中的MD5規則進行匹配，如果匹配成功，則表示該文件攜帶病毒。

開啟此功能後將對設備業務處理性能產生影響，請管理員根據設備實際情況進行配置。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置應用層檢測引擎對所有文件進行MD5哈希運算。

inspect md5-verify all-files

缺省情況下，隻對可執行文件、office文件和壓縮文件等文件進行MD5哈希運算。

1.11  開啟基於源端口的應用識別功能

1. 功能簡介

如果網絡中的流量種類單一、源端口固定，但無法通過目的端口對其進行基於端口的應用識別或無法基於流量特征進行內容識別時，可以開啟本功能，對流量進行源端口識別，將源端口為固定端口的流量識別為訪問特定類型應用的流量。

開啟本功能後，可能會造成應用識別結果的誤報，請管理員根據組網環境的實際情況配置。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     開啟基於源端口的應用識別功能。

inspect source-port-identify enable

1.12  配置DPI業務特征庫在線升級所使用的代理服務器

1. 功能簡介

當DPI業務模塊（例如IPS和防病毒）的特征庫進行在線升級時，若設備不能連接到官方網站，則可配置一個代理服務器使設備連接到官方網站上的特征庫服務專區，進行特性庫在線升級。有關特征庫在線升級功能的詳細介紹，請參見各DPI業務配置指導手冊中的“特征庫升級與回滾”。

2. 配置限製和指導

代理服務器可以通過IP地址或者域名的方式進行訪問。如果使用域名方式，請確保設備能通過靜態或動態域名解析方式獲得代理服務器的IP地址，並與之路由可達。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置DPI業務特征庫在線升級所使用的代理服務器。

inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]

缺省情況下，未配置DPI業務特征庫在線升級所使用的代理服務器。

1.13  配置DPI業務雲端服務器

1. 功能簡介

DPI雲端服務器為各DPI業務提供雲端查詢功能，目前支持URL過濾分類查詢。

2. 配置限製和指導

配置DPI雲端查詢功能時，需要確保設備能通過靜態或動態域名解析方式獲得DPI雲端服務器的IP地址，並與之路由可達，否則進行雲端查詢會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置DPI業務雲端服務器。

inspect cloud-server host-name

缺省情況下，DPI雲端服務器主機名為sec.h3c.com。

1.14  關閉應用層檢測引擎功能

1. 功能簡介

應用層檢測引擎對報文的檢測是一個複雜且會占用一定係統資源的過程。開啟應用層檢測引擎功能後，如果出現係統CPU使用率過高等情況時，可通過關閉此功能來降低對設備轉發性能的影響。

關閉應層檢測引擎功能後，係統將不會對接收到的報文進行DPI深度安全處理。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     關閉應用層檢測引擎功能。

inspect bypass

缺省情況下，應用層檢測引擎功能處於開啟狀態。

 

1.15  應用層檢測引擎顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後應用層檢測引擎的運行情況。

表1-1 應用層檢測引擎顯示和維護

操作	命令
顯示應用層檢測引擎的運行狀態	display inspect status
顯示MD5哈希運算配置	display inspect md5-verify configuration