- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-應用層檢測引擎命令
本章節下載: 01-應用層檢測引擎命令 (316.01 KB)
目 錄
1.1.11 inspect block-source parameter-profile
1.1.13 inspect cache-option maximum
1.1.14 inspect capture parameter-profile
1.1.15 inspect cpu-threshold disable
1.1.16 inspect email parameter-profile
1.1.17 inspect logging parameter-profile
1.1.18 inspect optimization disable
1.1.20 inspect redirect parameter-profile
1.1.21 inspect signature auto-update proxy
1.1.22 inspect stream-fixed-length disable
1.1.23 inspect stream-fixed-length
1.1.24 inspect tcp-reassemble enable
1.1.25 inspect tcp-reassemble max-segment
1.1.30 secure-authentication enable
app-profile命令用來創建DPI應用profile,並進入DPI應用profile視圖。如果指定的DPI應用profile已經存在,則直接進入DPI應用profile視圖。
undo app-profile命令用來刪除指定的DPI應用profile。
【命令】
app-profile profile-name
undo app-profile profile-name
【缺省情況】
不存在DPI應用profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:表示DPI應用profile的名稱,為1~63個字符的字符串,不區分大小寫,且隻能為字母、數字、下劃線。
【使用指導】
DPI(Deep Packet Inspection,深度報文檢測)應用profile是一個安全業務模板,通過在DPI應用profile中引用DPI各業務策略(例如IPS策略、防病毒策略),並將其應用於對象策略規則或安全策略規則中來實現報文的應用層檢測功能。
【舉例】
# 創建一個名稱為abc的DPI應用profile,並進入DPI應用profile視圖。
<Sysname> system-view
[Sysname] app-profile abc
[Sysname-app-profile-abc]
authentication enable命令用來開啟發送郵件的認證功能。
undo authentication enable命令用來關閉發送郵件的認證功能。
【命令】
authentication enable
undo authentication enable
【缺省情況】
發送郵件的認證功能處於開啟狀態。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當通過命令email-server指定的郵件服務器需要認證時,可以開啟發送郵件的認證功能,否則不需要開啟此功能。
【舉例】
# 關閉發送郵件的認證功能。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] undo authentication enable
block-period命令用來配置報文源IP地址被阻斷的時長。
undo block-period命令用來恢複缺省情況。
【命令】
block-period period
undo block-period
【缺省情況】
報文源IP被阻斷的時長為1800秒。
【視圖】
應用層檢測引擎的源阻斷動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
period:報文源IP地址被阻斷的時長,取值範圍為1~86400,單位為秒。
【使用指導】
如果設備上同時開啟了黑名單功能,則報文的源IP地址被添加到IP黑名單後的老化時間為源阻斷動作參數profile中配置的阻斷時長。報文的源IP地址被加入IP黑名單後,阻斷時長之內,後續來自該源IP地址的報文將被丟棄。
如果設備上未開啟黑名單功能,報文會被阻斷,且報文的源IP地址會被添加到IP黑名單,但IP黑名單功能並未生效。實現IP黑名單功能需要執行blacklist enable或blacklist global enable命令,有關此命令的詳細介紹請參見“安全命令參考”中的“攻擊檢測與防範”。
【舉例】
# 在名稱為b1的應用層檢測引擎源阻斷動作參數profile中,配置報文源IP地址被阻斷的時長為3600秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile b1
[Sysname-inspect-block-para-b1] block-period 3600
【相關命令】
· blacklist enable (security zone view)(安全命令參考/攻擊檢測與防範)
· blacklist global enable(安全命令參考/攻擊檢測與防範)
· inspect block-source parameter-profile
capture-limit命令用來配置捕獲報文的最大字節數。
undo capture-limit命令用來恢複缺省情況。
【命令】
capture-limit kilobytes
undo capture-limit
【缺省情況】
捕獲報文的最大字節數為512千字節。
【視圖】
應用層檢測引擎的捕獲動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
kilobytes:表示捕獲報文的最大字節數,取值範圍為0~1024,單位為千字節。
【使用指導】
捕獲到的報文將被緩存到設備本地,當緩存的報文字節數達到指定上限值時,係統會將緩存的報文上傳到指定的URL上,並清空本地緩存,然後重新開始捕獲報文。如果配置捕獲報文的最大字節數為0,則係統會將捕獲到的報文立刻上傳到指定的URL上。
【舉例】
# 在名稱為c1的應用層檢測引擎捕獲動作參數profile中,配置捕獲報文的最大值為1024千字節。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-para-c1] capture-limit 1024
【相關命令】
· inspect capture parameter-profile
· export url
· export repeating-at
display inspect status命令用來顯示應用層檢測引擎的工作狀態。
【命令】
display inspect status
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示應用層檢測引擎的運行狀態。
<Sysname> display inspect status
Chassis 0 Slot 1:
Running status: normal
表1-1 display inspect status命令顯示信息描述表
|
字段 |
描述 |
|
Running status |
應用層檢測引擎的運行狀態,包括如下取值: · bypass by configure:因為配置原因引擎無法處理報文 · bypass by cpu busy:因為CPU使用率過高導致引擎無法處理報文 · normal:引擎工作正常 |
dns-server命令用來配置域名解析服務器的IPv4地址。
undo dns-server命令用來恢複缺省情況。
【命令】
dns-server ip-address
undo dns-server
【缺省情況】
不存在域名解析服務器的IPv4地址。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:表示域名服務器的IPv4地址,為點分十進製格式。
【使用指導】
如果配置的郵件服務器的地址為主機名格式,當設備發送日誌信息郵件時,需要通過域名解析服務器獲取郵件服務器IP地址與主機名的映射關係。
【舉例】
# 配置域名解析的服務器地址為192.168.0.1。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] dns-server 192.168.0.1
email-server命令用來配置郵件服務器的地址。
undo email-server命令用來恢複缺省情況。
【命令】
email-server address-string
undo email-server
【缺省情況】
不存在郵件服務器的地址。
【視圖】
應用層檢測引擎的郵件動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address-string:表示郵件服務器的地址,為3~63個字符的字符串,區分大小寫。
【使用指導】
配置的郵件服務器地址的地址既可以是郵件服務器的IP地址,也可以是郵件服務器的主機名。
在同一個郵件動作參數profile視圖下,多次執行本命令,最後一次執行的命令生效。
采用主機名時,需要確保設備能通過靜態或動態域名解析方式獲得郵件服務器的IP地址,並與之路由可達。否則郵件發送會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”
【舉例】
# 配置郵件服務器地址為rndcas.123.com。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] email-server rndcas.123.com
# 配置郵件服務器地址為192.168.1.1。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] email-server 192.168.1.1
export repeating-at命令用來配置每天定時上傳捕獲報文的時間。
undo export repeating-at命令用來恢複缺省情況。
【命令】
export repeating-at time
undo export repeating-at
【缺省情況】
每天淩晨1點定時上傳捕獲報文。
【視圖】
應用層檢測引擎的捕獲動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time:表示每天上傳捕獲報文的時間,格式為hh:mm:ss,取值範圍為00:00:00~23:59:59。
【使用指導】
每天指定的時間到達時,無論本地緩存是否達到最大值,係統將向指定的URL上傳緩存的捕獲報文,並清空本地緩存。
【舉例】
# 在名稱為c1的應用層檢測引擎捕獲動作參數profile中,配置每天定時上傳捕獲報文的時間為淩晨2點。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-para-c1] export repeating-at 02:00:00
【相關命令】
· inspect capture parameter-profile
· export url
· capture-limit
export url命令用來配置上傳捕獲報文的URL。
undo export url命令用來恢複缺省情況。
【命令】
export url url-string
undo export url
【缺省情況】
未指定上傳捕獲報文的URL。
【視圖】
應用層檢測引擎的捕獲動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url-string:表示用於上傳捕獲報文的URL,為1~255個字符的字符串。
【使用指導】
本地緩存的捕獲的報文字節數達到指定上限值或者每天指定的時間到達時,係統會將緩存的報文上傳到指定的URL。如果未配置上傳捕獲報文的URL,則係統依然會上傳捕獲到的報文並清空本地緩存,但是會上傳失敗。
【舉例】
# 在名稱為c1的應用層檢測引擎捕獲動作參數profile中,配置上傳捕獲報文的URL為tftp://192.168.100.100/upload。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-para-c1] export url tftp://192.168.100.100/upload
【相關命令】
· inspect capture parameter-profile
· capture-limit
· export repeating-at
inspect activate命令用來激活DPI各業務模塊的策略和規則配置。
【命令】
inspect activate
【缺省情況】
DPI各業務模塊的策略和規則被創建、修改和刪除時不生效。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
當DPI各業務模塊(比如IPS和防病毒等特性)的策略和規則被創建、修改和刪除後,需要執行inspect activate命令來使其策略和規則配置生效。
當DPI各業務模塊的策略和規則被創建、修改和刪除且保存配置的情況下,設備重啟之後,其相關的所有策略和規則配置也會生效。
執行此命令會暫時中斷DPI業務的處理,為了避免重複執行此命令對DPI業務造成影響,請完成部署DPI各業務模塊的策略和規則後統一執行此命令。
【舉例】
# 激活DPI各業務模塊的策略和規則配置。
<Sysname> system-view
[Sysname] inspect activate
inspect block-source parameter-profile命令用來創建應用層檢測引擎的源阻斷動作參數profile,並進入源阻斷動作參數profile視圖。如果指定的源阻斷動作參數profile已經存在,則直接進入源阻斷動作參數profile視圖。
undo inspect block-source parameter-profile命令刪除應用層檢測引擎的源阻斷動作參數profile。
【命令】
inspect block-source parameter-profile parameter-name
undo inspect block-source parameter-profile parameter-name
【缺省情況】
不存在源阻斷動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
parameter-name:源阻斷動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入源阻斷動作參數profile視圖後,可以配置對報文執行源阻斷動作時采用的特定參數,比如阻斷時長。
【舉例】
# 創建名稱為b1的應用層檢測引擎源阻斷動作參數profile,並進入源阻斷動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile b1
[Sysname-inspect-block-para-b1]
【相關命令】
· block-period
inspect bypass命令用來關閉應用層檢測引擎功能。
undo inspect bypass命令用來開啟應層檢測引擎功能。
【命令】
inspect bypass
undo inspect bypass
【缺省情況】
應用層檢測引擎功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
應用層檢測引擎對報文的檢測是一個複雜且會占用一定的係統資源的過程。開啟應用層檢測功能後,如果出現CPU使用率過高等情況時,可以通過關閉此功能來保證設備的正常運行。
關閉應層檢測引擎功能後,係統將不會對接收到的報文進行DPI深度安全處理。
【舉例】
# 關閉應用層檢測引擎功能。
<Sysname> system-view
[Sysname] inspect bypass
【相關命令】
· display inspect status
inspect cache-option maximum命令用來配置應用層檢測引擎緩存待檢測規則的選項的最大數目。
undo cache-option命令用來恢複缺省情況。
【命令】
inspect cache-option maximum max-number
undo inspect cache-option
【缺省情況】
應用層檢測引擎緩存待檢測規則的選項的最大數目為32。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
max-number:指定應用層檢測引擎在檢測報文時,對每條TCP/UDP流緩存待檢測規則的選項的最大數目,取值範圍為1~254。
【使用指導】
應用層檢測引擎中的檢測規則是由各個DPI業務模塊中的規則或特征轉換而成。
有時應用層檢測引擎在檢測一條TCP/UDP數據流時,雖然匹配上了一個或多個關鍵字,但是隻根據當前TCP/UDP報文的內容,不能確定檢測規則是否能夠被匹配上,因此需要對這些檢測規則的選項進行緩存,通過繼續檢測後續報文是否能夠匹配上這些檢測規則的選項,來判斷是否能識別出此條TCP/UDP數據流的應用或行為。
通常,使用缺省配置即可滿足應用需求。但是在某些場景中,為了提高應用層檢測引擎對TCP/UDP數據流應用或行為的識別能力和準確率,需要將應用層檢測引擎當前緩存待檢測選項的最大數調高,調高後,每條數據流占用的內存可能會上升。同理某些場景下,設備內存使用率偏高,可以調低這個參數,提高設備性能,以保證基礎的數據轉發正常進行。
例如當前應用層檢測引擎有5000條檢測規則,每條檢測規則有一個關鍵字,那麼當前應用層檢測引擎中一共有5000個關鍵字。應用層檢測引擎需要檢測一條TCP/UDP數據流的報文的載荷部分是否存在這5000個關鍵字,一種可能的情況是當前報文中存在10個關鍵字。根據應用層檢測引擎的工作原理可知,這10個關鍵字所屬的10條檢測規則,要求關鍵字之後的載荷部分各自需要匹配出10個不同的選項,因為每個選項都是對一個完整TCP/UDP數據流的檢測,所以僅僅根據當前報文載荷就不能確定這些選項是否能被匹配上。因此需要針對這條TCP/UDP數據流緩存10個選項,通過繼續檢測後續報文是否能夠匹配上這些檢測規則的選項,來判斷是否能識別出此條TCP/UDP數據流的應用層或行為。
一般一個檢測規則可以對應多個關鍵字,每個關鍵字對應多個選項。
【舉例】
# 配置應用層檢測引擎緩存待檢測規則的選項的最大數目為4。
<Sysname> system-view
[Sysname] inspect cache-option maximum 4
inspect capture parameter-profile命令用來創建應用層檢測引擎的捕獲動作參數profile,並進入捕獲動作參數profile視圖。如果指定的捕獲動作參數profile已經存在,則直接進入捕獲動作參數profile視圖。
undo inspect capture parameter-profile命令用來刪除應用層檢測引擎的捕獲動作參數profile。
【命令】
inspect capture parameter-profile parameter-name
undo inspect capture parameter-profile parameter-name
【缺省情況】
不存在捕獲動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:捕獲動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入捕獲動作參數profile視圖後,可以配置執行報文捕獲動作時采用的特定參數,比如本地緩存報文的最大值字節數。目前,僅IPS功能支持。
【舉例】
# 創建名稱為c1的應用層檢測引擎捕獲動作參數profile,並進入捕獲動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-para-b1]
【相關命令】
· capture-limit
· export repeating-at
· export url
inspect cpu-threshold disable命令用來關閉CPU門限響應功能。
undo inspect cpu-threshold disable命令用來恢複CPU門限響應功能。
【命令】
inspect cpu-threshold disable
undo inspect cpu-threshold disable
【缺省情況】
CPU門限響應功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
應用層檢測引擎對報文的檢測是一個比較複雜且會占用一定係統資源的過程。當設備的CPU利用率較高時,應用層檢測引擎CPU門限響應功能會啟動如下機製來緩解係統資源緊張的問題。
· 當CPU利用率達到設備上配置的CPU利用率閾值時,係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。
· 當設備的CPU利用率恢複到或低於設備上配置的CPU利用率恢複閾值時,係統會恢複應用層檢測引擎的檢測功能。
在係統CPU占用率較高的情況下,不建議用戶關閉此功能。
【舉例】
# 關閉CPU門限響應功能。
<Sysname> system-view
[Sysname] inspect cpu-threshold disable
【相關命令】
· display inspect status
· inspect bypass
· inspect stream-fixed-length disable
inspect email parameter-profile命令用來創建應用層檢測引擎的郵件動作參數profile,並進入郵件動作參數profile視圖。如果指定的郵件動作參數profile已經存在,則直接進入郵件動作參數profile視圖。
undo inspect email parameter-profile命令刪除應用層檢測引擎郵件動作參數profile。
【命令】
inspect email parameter-profile parameter-name
undo inspect email parameter-profile parameter-name
【缺省情況】
不存在郵件動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
parameter-name:郵件動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入郵件動作參數profile視圖後,可以配置執行發送郵件動作時采用的特定參數,比如郵件服務器的地址、發件人與收件人的地址和登錄郵件服務器的用戶名和密碼等信息。
【舉例】
# 創建名稱為c1的應用層檢測引擎郵件動作參數profile,並進入郵件動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1]
inspect logging parameter-profile命令用來創建應用層檢測引擎的日誌動作參數profile,並進入日誌動作參數profile視圖。如果指定的日誌動作參數profile已經存在,則直接進入日誌動作參數profile視圖。
undo inspect logging parameter-profile命令用來刪除應用層檢測引擎的日誌動作參數profile。
【命令】
inspect logging parameter-profile parameter-name
undo inspect logging parameter-profile parameter-name
【缺省情況】
不存在日誌動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:日誌動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入日誌動作的參數profile視圖後,可以配置生成報文日誌時采用的特定參數,比如輸出日誌的方式。
【舉例】
# 創建名稱為log1的應用層檢測引擎的日誌動作參數profile,並進入日誌動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect logging parameter-profile log1
[Sysname-inspect-logging-para-log1]
【相關命令】
· log
inspect optimization disable命令用來關閉指定的應用層檢測引擎的優化調試功能。
undo inspect optimization disable命令用來開啟指定的應用層檢測引擎的優化調試功能。
【命令】
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
undo inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
【缺省情況】
應用層檢測引擎的所有優化調試功能均處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
chunk:表示應用層檢測引擎對Chunk格式報文進行解碼的優化調試功能。
no-acsignature:表示應用層檢測引擎對沒有關鍵字檢測規則進行檢測的優化調試功能。
raw:表示應用層檢測引擎對未經解碼TCP/UDP的應用層載荷字段進行檢測的優化調試功能。
uncompress:表示應用層檢測引擎對HTTP Body字段進行解壓縮的優化調試功能。
url-normalization:表示應用層檢測引擎對HTTP URL字段進行正規化校準的優化調試功能。
【使用指導】
如果不指定任何參數,則表示關閉或開啟應用層檢測引擎的所有優化調試功能。
有關應用層檢測引擎的各種優化調試功能的詳細介紹如下:
應用層檢測引擎對Chunk格式報文進行解碼的優化調試功能:Chunk是HTTP協議載荷(Body)的一種傳輸方式,對於以Chunk方式傳輸的HTTP協議的載荷,需要先對其進行解碼以獲取真正的載荷內容。但是在某些應用場景下,設備的處理性能不能滿足用戶基本的通信需求,這時,可以通過配置此命令來關閉應層檢測引擎解碼Chunk格式報文的功能,以提高設備的吞吐量。但是配置此功能後,應用層檢測引擎對某些針對安全漏洞的攻擊行為不能被識別。
應用層檢測引擎對沒有關鍵字檢測規則進行檢測的優化調試功能:沒有關鍵字的檢測規則是指此規則不是基於字符串匹配進行檢測,而是基於報文的端口號、錯誤碼等字段進行檢測。缺省情況下應用層檢測引擎對沒有關鍵字的檢測規則進行檢測,但是在某些場景下,如果設備的吞吐量較差,不能滿足客戶基本的通信需求,此時可以配置應用層檢測引擎對沒有關鍵字的檢測規則不進行檢測,以提高設備的性能,保證用戶最基礎的網絡通信。
應用層檢測引擎對未經解碼TCP/UDP的應用層載荷字段進行檢測的優化調試功能:有些TCP/UDP數據流的應用層協議(例如HTTP、SMTP、POP3、IMAP4)涉及編碼和解碼處理,而對該類數據流的應用層內容的檢測需要在對報文載荷進行解碼之後進行。如果當前設備的處理性能不能滿足用戶基本的通信需求,可以通過該命令取消對未解碼的應用層載荷字段的檢測,以提高設備的吞吐量。但是配置此功能後,應用層檢測引擎對報文載荷內容的應用或行為的識別能力會受到影響。
應用層檢測引擎對HTTP Body字段進行解壓縮的優化調試功能:如果報文的HTTP Body字段是壓縮編碼,應用層檢測引擎需要先對HTTP Body字段進行解壓縮後,才能對此字段的內容進行檢測。但是在某些應用場景下,設備的處理性能不能滿足用戶基本的通信需求,這時,可以通過配置此命令來取消對HTTP Body字段的壓縮編碼進行解壓縮處理,以提高設備的吞吐量。但是配置此功能後,應用層檢測引擎對某些針對安全漏洞的攻擊行為不能被識別。
應用層檢測引擎對HTTP URL字段進行正規化校準的優化調試功能:對HTTP URL字段進行正規化校準功能是指把URL中絕對路徑字調整為常規路徑格式,對特殊的路徑字段進行調整和正確性檢查。例如報文URL中絕對路徑部分輸入的是test/dpi/../index.html,正規化處理後是test/index.html。但是在某些應用場景下,設備的處理性能不能滿足用戶基本的通信需求,這時,可以通過配置此命令來取消對HTTP URL字段進行正規化校準處理,以提高設備的吞吐量。但是配置此功能後,應用層檢測引擎對某些針對安全漏洞的攻擊行為不能被識別。
【舉例】
# 關閉應用層檢測引擎的所有優化調試功能。
<Sysname> system-view
[Sysname] inspect optimization disable
inspect packet maximum命令用來配置應用層檢測引擎可檢測有載荷內容的報文的最大數目。
undo inspect packet命令用來恢複缺省情況。
【命令】
inspect packet maximum max-number
undo inspect packet
【缺省情況】
應用層檢測引擎可檢測有載荷內容的報文的最大數目為32。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
max-number:指定應用層檢測引擎檢測有載荷內容的報文的最大數目,取值範圍為1~254。
【使用指導】
應用層檢測引擎在對一個數據流的第一個有載荷內容的報文進行檢測時,如果沒有匹配上任何檢測規則,則需要繼續檢測此數據流的第二個有載荷內容的報文,以此類推。如果直到設備設置的最大報文檢測個數還未匹配上任何檢測規則,則表示對此數據流匹配失敗,並直接允許此數據流通過。
通常,使用缺省配置即可滿足應用需求。但是在某些應用場景中,應用層檢測引擎在檢測有載荷內容的報文的個數達到指定的個數之後,仍然不能識別當前報文應用層信息的應用或行為,此時需要調高這個參數。調高此參數後,設備的吞吐量性能會下降,但是應用識別的成功率會增加。同理在設備吞吐量較差,不能滿足客戶需求的應用場景中,此時需要調低這個參數,調低參數後,吞吐量會增加,但是應用識別成功率會降低。
【舉例】
# 配置應用層檢測引擎可檢測有載荷內容的報文的最大數目為16。
<Sysname> system-view
[Sysname] inspect packet maximum 16
inspect redirect parameter-profile命令用來創建應用層檢測引擎的重定向動作參數profile,並進入重定向動作參數profile視圖。如果指定的重定向動作參數profile已經存在,則直接進入重定向動作參數profile視圖。
undo inspect redirect parameter-profile命令刪除應層檢測引擎的重定向動作參數profile。
【命令】
inspect redirect parameter-profile parameter-name
undo inspect redirect parameter-profile parameter-name
【缺省情況】
不存在重定向動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
parameter-name:重定向動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入重定向動作參數profile視圖後,可以配置對報文執行重定向動作時采用的特定參數,比如對報文重定向的URL。
【舉例】
# 創建名稱為r1的應用層檢測引擎重定向動作參數profile,並進入重定向動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect redirect parameter-profile r1
[Sysname-inspect-redirect-r1]
inspect signature auto-update proxy命令用來配置DPI業務特征庫在線升級所使用的代理服務器。
undo inspect signature auto-update proxy命令用來恢複缺省情況。
【命令】
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
undo inspect signature auto-update proxy
【缺省情況】
未配置DPI業務特征庫在線升級所使用的代理服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain domain-name:指定代理服務器的域名。domain-name表示代理服務器的域名,為3~63個字符的字符串,不區分大小寫。
ip ip-address:指定代理服務器的IP地址,僅支持IPv4類型地址。
port port-number:指定代理服務器的端口號,取值範圍為1~65535,缺省值為80。
user user-name:指定登錄代理服務器的用戶名。user-name表示用戶名,為1~31個字符的字符串,不區分大小寫。
password:指定登錄代理服務器的用戶密碼。
cipher:表示以密文方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~31個字符的字符串,密文密碼為1~73個字符的字符串。
【使用指導】
當DPI業務模塊(例如IPS和URL過濾)的特征庫進行在線升級時,若設備不能連接到H3C官方網站,則可配置一個代理服務器使設備連接到H3C官方網站上的特征庫服務專區,進行特性庫在線升級。有關特征庫在線升級功能的詳細介紹,請參見各DPI業務配置指導手冊中的“特征庫升級與回滾”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置DPI業務特征庫在線升級所使用的代理服務器域名為www.abc.com,端口號為8888,登錄代理服務器的用戶名和密碼均為admin。
<Sysname> system-view
[Sysname] inspect signature auto-update proxy domain www.abc.com port 8888 user admin password simple admin
inspect stream-fixed-length disable命令用來關閉應用層檢測引擎檢測固定長度數據流功能。
undo inspect stream-fixed-length disable命令用來開啟應用層檢測引擎檢測固定長度數據流功能。
【命令】
inspect stream-fixed-length disable
undo inspect stream-fixed-length disable
【缺省情況】
應用層檢測引擎檢測固定長度數據流功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
應用層檢測引擎檢測固定長度數據流功能,是指應用層檢測引擎隻檢測每條數據流首包後固定長度內的數據,不再檢測超出固定長度後的數據。
【舉例】
# 關閉應用層檢測引擎檢測固定長度數據流功能。
<Sysname> system-view
[Sysname] inspect stream-fixed-length disable
【相關命令】
· inspect cpu-threshold disable
· inspect stream-fixed-length
inspect stream-fixed-length命令用來配置應用層檢測引擎檢測數據流的固定長度。
undo inspect stream-fixed-length命令用來恢複缺省情況。
【命令】
inspect stream-fixed-length { email I ftp | http } * length
undo inspect stream-fixed-length
【缺省情況】
應用層檢測引擎對FTP協議、HTTP協議和與E-mail相關協議數據流的固定檢測長度均為32千字節。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
email:表示設置檢測與E-mail協議相關類型數據流的固定長度,支持的E-mail協議包括SMTP、POP3和IMAP。
ftp:表示設置檢測FTP協議類型數據流的固定長度。
http:表示設置檢測HTTP協議類型數據流的固定長度。
length:表示設置檢測指定協議類型數據流的固定長度,取值範圍為1~128,單位為千字節。
【使用指導】
調高此參數後,設備的吞吐量性能會下降,但是應用層信息識別的成功率會提高;同理調低參數後,設備的吞吐量會增加,但是應用層信息識別的成功率會降低。
【舉例】
# 配置應用層檢測引擎檢測FTP協議類型數據流的固定長度為35千字節,檢測HTTP協議類型數據流的固定長度為40千字節。
<Sysname> system-view
[Sysname] inspect stream-fixed-length ftp 35 http 40
【相關命令】
· inspect cpu-threshold disable
· inspect stream-fixed-length disable
inspect tcp-reassemble enable命令用來開啟TCP數據段重組功能。
undo inspect tcp-reassemble enable命令用來關閉TCP數據段重組功能。
【命令】
inspect tcp-reassemble enable
undo inspect tcp-reassemble enable
【缺省情況】
TCP數據段重組功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
大量的TCP亂序數據段極有可能會造成應用層檢測引擎對此TCP數據流檢測失敗。例如應用層檢測引擎需要檢測TCP載荷中是否包含關鍵字“this is a secret”,由於數據段亂序,可能含有“a secret”的數據段先到達設備,含有“this is”的數據段後到達設備,這樣就會造成應用層檢測引擎對此TCP數據流檢測失敗。
為了提高應用層檢測引擎對TCP數據流檢測的準確率,可以在設備上開啟TCP數據段重組功能。當接收到亂序的TCP數據段時,設備會將此數據段和來自於同一條數據流的後續數據段暫時保存至緩衝區,進行TCP數據段重組,完成數據段重組再送往後續流程處理。
若緩衝區中已緩存的數據段數目達到最大值(可以通過inspect tcp-reassemble max-segment命令來配置)時仍無法成功重組,則設備直接將已緩存的亂序數據段和此條數據流的所有後續TCP數據段送往後續流程處理,不再進行TCP重組。這樣可以降低對設備轉發性能的影響。
【舉例】
# 開啟TCP數據段重組功能。
<Sysname> system-view
[Sysname] inspect tcp-reassemble enable
【相關命令】
· inspect tcp-reassemble max-segment
inspect tcp-reassemble max-segment命令用來配置TCP重組緩衝區可緩存的TCP數據段最大數目。
undo inspect tcp-reassemble max-segment命令用來恢複缺省情況。
【命令】
inspect tcp-reassemble max-segment max-number
undo inspect tcp-reassemble max-segment
【缺省情況】
TCP重組緩衝區可緩存的TCP數據段最大數目為10。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
max-number:表示TCP重組緩衝區可緩存的TCP數據段最大數目,取值範圍為10~50。
【使用指導】
在存在大量TCP亂序數據段的網絡環境中,調高此參數,則可提高應用層檢測引擎對TCP數據段檢測的準確率,但是設備轉發性能可能會下降。若調低此參數可避免因長時間緩存TCP數據段而造成設備轉發性能下降,但是應用層檢測引擎對TCP數據段檢測的準確率會降低。請根據實際情況調整此參數。
僅開啟TCP數據段重組功能後,此命令才生效。
【舉例】
# 配置TCP重組緩衝區中可緩存的TCP數據段最大數目為20個
<Sysname> system-view
[Sysname] inspect tcp-reassemble max-segment 20
【相關命令】
· inspect tcp-reassemble enable
log命令用來配置記錄報文日誌的方式。
undo log命令用來取消指定的記錄報文日誌的方式。
【命令】
log { email | syslog }
undo log { email | syslog }
【缺省情況】
報文日誌被輸出到信息中心。
【視圖】
應用層檢測引擎的日誌動作的參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
email:表示將日誌以郵件的方式發送到指定的收件人郵箱。
syslog:表示將日誌輸出到信息中心。
【舉例】
# 在名稱為log1的應用層檢測引擎日誌動作參數profile中,配置將生成的報文日誌輸出到信息中心。
<Sysname> system-view
[Sysname] inspect logging parameter-profile log1
[Sysname-inspect-log-para-log1] log syslog
【相關命令】
· inspect logging parameter-profile
password命令用來配置登錄郵件服務器的密碼。
undo password命令用來恢複缺省情況。
【命令】
password { cipher | simple } string
undo password
【缺省情況】
不存在登錄郵件服務器的密碼。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cipher:表示以密文方式設置用戶密碼。
simple:表示以明文方式設置用戶密碼,該密碼將以密文形式存儲。
string:表示登錄郵件服務器的密碼。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串,區分大小寫。
【使用指導】
在同一個郵件動作參數profile視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置登錄郵件服務器的明文密碼為abc123。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] password simple abc123
【相關命令】
· authentication enable
receiver命令用來配置收件人地址。
undo receiver命令用來恢複缺省情況。
【命令】
receiver address-string
undo receiver
【缺省情況】
不存在收件人地址。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address-string:表示收件人地址,為3~511個字符的字符串,區分大小寫。
【使用指導】
收件人地址可以同時輸入多個,且每個收件人地址之間用英文“;”號隔開。
【舉例】
# 配置收件人的地址為[email protected]和[email protected]。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] receiver [email protected];[email protected]
redirect-url命令用來配置重定向URL。
undo redirect-url命令用來恢複缺省情況。
【命令】
redirect-url url-string
undo redirect-url
【缺省情況】
不存在重定向URL。
【視圖】
應層檢測引擎的重定向動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url-string:表示重定向URL,為9~63個字符的字符串,區分大小寫。該URL必須以http://或https://開頭,例如http://www.baidu.com。
【使用指導】
當需要把匹配成功的報文重定向到某個Web界麵時,可以通過執行此命令來指定重定向URL。
【舉例】
# 配置重定向URL為http://www.abc.com/upload。
<Sysname> system-view
[Sysname] inspect redirect parameter-profile r1
[Sysname-inspect-redirect-r1] redirect-url http://www.abc.com/upload
【相關命令】
· inspect redirect parameter-profile
secure-authentication enable命令用開啟安全傳輸登錄郵件服務器密碼功能。
undo secure-authentication enable命令用來關閉安全傳輸登錄郵件服務器密碼功能。
【命令】
secure-authentication enable
undo secure-authentication enable
【缺省情況】
安全傳輸登錄郵件服務器密碼功能處於關閉狀態。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟此功能後,首先在設備與郵件服務器之間創建一條安全通道,然後再在此通道中傳輸登錄郵件服務器的密碼。
【舉例】
# 開啟安全傳輸登錄郵件服務器密碼功能。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] secure-authentication enable
【相關命令】
· authentication enable
sender命令用來配置發件人地址。
undo sender命令用來恢複缺省情況。
【命令】
sender address-string
undo sender
【缺省情況】
不存在發件人地址。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
address-string:表示發件人地址,為3~63個字符的字符串,區分大小寫。
【使用指導】
發件人地址是指設備向目的地發送郵件時使用的源地址。
【舉例】
# 配置發件人的地址為[email protected]。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] sender [email protected]
username命令用來配置登錄郵件服務器的用戶名。
undo username命令用來恢複缺省情況。
【命令】
username name-string
undo username
【缺省情況】
不存在登錄郵件服務器的用戶名。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name-string:表示登錄郵件服務器的用戶名。為1~63個字符的字符串,區分大小寫。
【使用指定】
在同一個郵件動作參數profile視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置登錄郵件服務器的用戶名為han。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] username han
【相關命令】
· authentication enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
