- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-應用層檢測引擎配置
本章節下載: 02-應用層檢測引擎配置 (341.85 KB)
目 錄
應用層檢測引擎服務於DPI業務模塊,用於對報文的應用層信息(應用層協議以及應用行為)進行統一識別。DPI業務模塊使用應用層檢測引擎提供的識別結果,對報文進行相應的業務處理。
應用層檢測引擎提供以下基本功能:
· 協議解析:識別並分析報文應用層字段,區分應用層協議,並對部分字段進行正規化和解壓縮。
· 關鍵字匹配:根據檢測規則對報文載荷內容進行關鍵字匹配,是應用層檢測引擎的核心。
· 選項匹配:關鍵字匹配成功後,對其所屬檢測規則中的選項做進一步匹配。該過程與關鍵字匹配相比,匹配速度比較緩慢。
應用層檢測引擎使用檢測規則對報文進行匹配,檢測規則由各DPI業務的規則或特征轉換而成,包含關鍵字和選項兩種匹配項。
· 關鍵字:標識報文特征的不少於3個字節的字符串,也稱作“AC關鍵字”。
· 選項:非關鍵字的輔助匹配項,例如報文的端口號、協議類型等。
檢測規則中可以同時包含關鍵字和選項,或者僅包含選項。如果檢測規則中同時包含關鍵字和選項,則兩者都被匹配上才算是與該檢測規則匹配成功;如果檢測規則中僅包含選項,則隻要匹配選項就算與該檢測規則匹配成功。
如圖1-1所示,應用層檢測引擎的具體工作機製如下:
應用層檢測引擎的處理機製如下:
(1) 報文進入應用層檢測引擎後,應用層檢測引擎首先對報文進行協議解析,根據分析結果查找相應的檢測規則。
(2) 應用層檢測引擎判斷檢測規則中是否包含關鍵字,如果包含關鍵字,則首先進行關鍵字匹配,否則直接進行選項匹配。
(3) 如果報文匹配上關鍵字,則繼續進行選項匹配(該選項是匹配上的關鍵字所屬檢測規則中的選項);如果報文未匹配上關鍵字,則直接允許報文通過。
(4) 如果報文與選項匹配成功,則表示此報文與該檢測規則匹配成功。
(5) 應用層檢測引擎通知相應的DPI業務模塊對此報文做進一步的處理;如果報文與選項匹配失敗,則直接允許報文通過。
應用層檢測引擎配置任務如下:
(1) 配置DPI應用Profile
(3) 配置應用層檢測引擎動作參數
(4) (可選)優化應用層檢測引擎性能
(5) (可選)配置應用層檢測引擎CPU門限響應功能
(6) (可選)配置應用層檢測引擎檢測參數
(7) (可選)配置應用層檢測引擎擴展功能
(8) 關閉應用層檢測引擎功能
DPI應用profile是DPI業務的配置模板,用於關聯各DPI業務的策略(例如URL過濾業務)。DPI應用profile被安全策略規則引用後,各DPI業務策略才能生效。
(1) 進入係統視圖。
system-view
(2) 創建DPI應用profile視圖,並進入DPI應用profile視圖。
app-profile profile-name
(3) 關聯各DPI業務策略。
¡ 在DPI應用profile中引用IPS策略。
ips apply policy policy-name mode { protect | alert }
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“IPS”。
¡ 在DPI應用profile中引用URL過濾策略。
url-filter apply policy policy-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“URL過濾”。
¡ 在DPI應用profile下引用數據過濾策略。
data-filter apply policy policyname
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“數據過濾”。
¡ 在DPI應用profile下引用文件過濾策略。
file-filter apply policy policyname
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“文件過濾”。
¡ 在DPI應用profile下引用防病毒策略。
anti-virus apply policy policyname mode { alert | protect }
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“防病毒”。
缺省情況下,未關聯DPI業務策略。
缺省情況下,當任意一個DPI業務模塊(比如URL過濾業務)發生配置變更時(即策略或規則被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時執行一次激活操作,使這些策略和規則的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果用戶希望對發生變化的業務的策略或規則立即進行激活,可執行inspect activate命令手工激活。
(1) 進入係統視圖。
system-view
(2) 激活DPI業務模塊的策略和規則配置。
inspect activate
缺省情況下,DPI業務模塊的策略和規則被創建、修改和刪除後係統會自動激活配置。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
源阻斷動作參數profile用來為DPI業務模塊的源阻斷動作提供動作參數,在此profile中可以配置報文被阻斷的時長。
本功能僅在開啟黑名單過濾功能後生效。如果設備上開啟了黑名單過濾功能,則在源阻斷動作參數profile中配置的阻斷時長內,來自該源IP地址的報文將被直接丟棄,不再進入應用層檢測引擎中檢測。
有關黑名單過濾功能的詳細介紹,請參見“安全配置指導”中的“攻擊檢測與防範”。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的源阻斷動作參數profile,並進入該源阻斷動作參數profile視圖。
inspect block-source parameter-profile parameter-name
(3) 配置報文源IP地址被阻斷的時長。
block-period period
缺省情況下,報文源IP地址被阻斷的時長為1800秒。
捕獲動作參數profile用來為DPI業務模塊的捕獲動作提供動作參數,在此profile中可以配置捕獲報文的最大字節數、捕獲報文的上傳時間和URL地址參數。
捕獲到的報文將被緩存到設備本地,並在以下任意條件滿足的情況下被上傳到指定的URL上:
· 緩存的報文字節數達到指定上限值時;
· 當天指定的上傳時間到達時
上傳到指定的URL之後,係統將清空本地緩存,然後重新開始捕獲報文。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的捕獲動作參數profile視圖,並進入該捕獲動作參數profile視圖。
inspect capture parameter-profile parameter-name
(3) 配置捕獲報文的最大字節數。
capture-limit kilobytes
缺省情況下,捕獲報文的最大字節數為512千字節。
(4) 配置每天定時上傳捕獲報文的時間。
export repeating-at time
缺省情況下,每天淩晨1點定時上傳捕獲報文。
(5) 配置上傳捕獲報文的URL地址。
export url url-string
缺省情況下,未配置上傳捕獲報文的URL地址。
日誌動作參數profile用來為DPI業務模塊的日誌動作提供動作參數,此profile中可以配置日誌的輸出方式和輸出語言。
配置記錄IPS日誌使用的語言為中文後,僅IPS日誌的威脅名稱字段使用中文描述,其它日誌信息仍然為英文。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的日誌動作參數profile視圖,並進入該日誌動作參數profile視圖。
inspect logging parameter-profile parameter-name
(3) 配置記錄報文日誌的方式。
log { email | syslog }
缺省情況下,報文日誌被輸出到信息中心。
(4) 配置記錄IPS日誌使用的語言為中文。
log language chinese
缺省情況下,記錄IPS日誌使用的語言為英文。
重定向動作參數profile用來為DPI業務模塊的重定向動作提供動作參數,在此profile中可以配置重定向報文的URL。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的重定向動作參數profile,並進入重定向動作參數profile視圖。
inspect redirect parameter-profile parameter-name
(3) 配置重定向URL。
redirect-url url-string
缺省情況下,未配置重定向URL。
郵件動作參數profile用來為DPI業務模塊的郵件動作提供動作參數,在此profile中可以配置郵件服務器地址、收件人與發件人地址和登錄郵件服務器的用戶名和密碼等。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的郵件動作參數profile視圖,並進入郵件動作參數profile視圖。
inspect email parameter-profile parameter-name
(3) 配置郵件服務器的地址。
email-server addr-string
缺省情況下,未配置郵件服務器的地址。
(4) 配置域名解析服務器的地址。
dns-server ip-address
缺省情況下,未配置域名解析服務器的地址。
(5) 配置發件人地址。
sender addr-string
缺省情況下,未配置發件人地址。
(6) 配置收件人地址。
receiver addr-string
缺省情況下,未配置收件人地址。
(7) (可選)配置客戶端身份驗證功能。
a. 開啟發送郵件的認證功能。
authentication enable
缺省情況下,發送郵件的認證功能處於開啟狀態。
b. 配置登錄郵件服務器的用戶名。
username name-string
缺省情況下,未配置登錄郵件服務器的用戶名。
c. 配置登錄郵件服務器的密碼。
password { cipher | simple } string
缺省情況下,未配置登錄郵件服務器的密碼。
d. (可選)開啟安全傳輸登錄郵件服務器密碼功能。
secure-authentication enable
缺省情況下,安全傳輸登錄郵件服務器密碼功能處於關閉狀態。
(8) 配置以郵件方式輸出日誌的限製條件。
email-limit interval interval max-number value
缺省情況下,5分鍾內,設備最多可向外發送10封郵件。
告警動作參數profile用來為防病毒模塊的告警動作提供動作參數,在此profile中可以導入告警文件,告警文件中可配置設備向客戶端發送的具體告警信息。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的防病毒告警動作參數profile,並進入告警動作參數profile視圖。
inspect warning parameter-profile profile-name
(3) 導入告警文件。
import block warning-file file-path
缺省情況下,設備使用缺省文件裏的告警信息:The site you are accessing has a security risk and thereby is blocked.
(4) (可選)重置告警文件內容。
reset block warning-file
配置本命令後,設備會將告警文件中的告警信息重置為缺省文件中的告警信息。
URL過濾告警動作參數profile用來為URL過濾模塊的告警動作提供具體的執行參數,在此profile中可以導入告警信息文件,告警信息文件中可配置設備向客戶端發送的具體告警信息。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的URL過濾告警動作參數profile,並進入URL過濾告警動作參數profile視圖。
inspect url-filter warning parameter-profile profile-name
(3) 導入URL過濾告警信息文件。
import warning-file file-path
缺省情況下,存在一個名稱為uflt-xxx.html的告警信息文件,其中xxx表示URL過濾告警動作參數profile的名稱。文件中包含缺省的告警信息,具體內容請參見“DPI深度安全命令參考”中的“應用層檢測引擎”手冊中對本命令行缺省情況的詳細介紹。
(4) (可選)重置URL過濾告警信息文件內容。
reset warning-file
配置本命令後,設備會將URL過濾告警信息文件中的內容恢複為缺省告警信息。
對經過壓縮或編碼等處理後的報文應用層信息進行識別時,需要應用層檢測引擎先對此類報文進行解壓縮或解碼等相應處理後才能識別。通過開啟應用層檢測引擎性能優化功能或調高各項性能參數,可以提高應用層信息的識別能力和準確率,但同時也會消耗一定的係統資源。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可檢測有載荷內容的報文的最大數目。
inspect packet maximum max-number
缺省情況下,應用層檢測引擎可檢測有載荷內容的報文的最大數目為32。
(3) 配置應用層檢測引擎緩存待檢測選項的最大數目。
inspect cache-option maximum max-number
缺省情況下,應用層檢測引擎緩存待檢測選項的最大數目為32。
(4) 配置TCP數據段重組功能
a. 開啟TCP數據段重組功能。
inspect tcp-reassemble enable
缺省情況下,TCP數據段重組功能處於關閉狀態。
b. 配置TCP數據段重組緩存區可緩存的TCP數據段最大數目。
inspect tcp-reassemble max-segment max-number
缺省情況下,TCP數據段重組緩衝區可緩存的TCP數據段最大數目為10。
(5) (可選)關閉指定的應用層檢測引擎的優化調試功能。
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
缺省情況下,應用層檢測引擎的所有優化調試功能處於開啟狀態。
如果設備的吞吐量較差,不能滿足基本的通信需求,可關閉相關優化調試功能提高設備的性能。
應用層檢測引擎對報文的檢測是一個比較複雜且會占用一定係統資源的過程。當設備的CPU利用率較高時,應用層檢測引擎CPU門限響應功能會啟動如下機製來緩解係統資源緊張的問題。
· 當CPU利用率達到設備上配置的CPU利用率閾值時,係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。
· 當設備的CPU利用率恢複到或低於設備上配置的CPU利用率恢複閾值時,係統會恢複應用層檢測引擎的檢測功能。
有關CPU利用率的詳細配置請參見“設備管理配置指導”中的“設備管理”。
在係統CPU占用率較高的情況下,建議保持應用層檢測引擎CPU門限響應功能處於開啟狀態;在係統CPU占用率較低的情況下,可以考慮關閉本功能。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎CPU門限響應功能。
undo inspect cpu-threshold disable
缺省情況下,應用層檢測引擎CPU門限響應功能處於開啟狀態。
為適應不同場景對設備性能和檢測率的不同需求,應用層檢測引擎支持如下幾種選項供選擇:
· balanced:適用於大多數場景,設備在性能和檢測率之間可以達到平衡狀態。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為64千字節;MD5最大檢測長度為2048千字節。
· large-coverage:適用於對檢測率要求較高的場景,設備將提升檢測率,但同時會對性能產生一定影響。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為128千字節;MD5最大檢測長度為5120千字節。
· high-performance:適用於對設備性能要求較高的場景,設備可在保證一定檢測率的前提下,提升性能。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為32千字節。MD5最大檢測長度為32千字節。
· user-defined:適用於對檢測率和性能有精確要求的場景。此模式下,可以自定義應用層檢測引擎對各協議數據流的最大檢測長度(通過inspect stream-fixed-length命令配置)。
當檢測率模式由其他模式切換為自定義模式時,數據流最大檢測長度和MD5最大檢測長度將保持切換前模式下的取值。用戶可以此作為參考,調整各檢測長度。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎檢測率模式。
inspect coverage { balanced | large-coverage | high-performance | user-defined }
缺省情況下,應用層檢測引擎檢測率模式為平衡模式。
本功能用於配置應用層檢測引擎檢測的數據流的固定長度,從每條數據流首包後開始,應用層檢測引擎隻檢測固定長度內的數據,對超出固定長度後的數據不進行檢測。可通過調整固定檢測長度提升檢測效率。
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎檢測固定長度數據流功能。
undo inspect stream-fixed-length disable
缺省情況下,應用層檢測引擎檢測固定長度數據流功能處於開啟狀態。
(3) 配置應用層檢測引擎檢測數據流的固定長度。
inspect stream-fixed-length { email | ftp | http | nfs | smb } * length
缺省情況下,應用層檢測引擎對FTP協議、HTTP協議、NFS協議、SMB協議和與E-mail相關協議數據流的固定檢測長度均為64千字節。
調高此參數後,設備的吞吐量性能會下降,但是應用層信息識別的成功率會提高;同理調低參數後,設備的吞吐量會增加,但是應用層信息識別的成功率會降低。
本功能用於配置應用層檢測引擎對每條數據流中傳輸文件的固定檢測長度,超過長度的文件內容將不再進行檢測。由於病毒特征一般都位於文件的前半部分,可配置文件的固定檢測長度,對超過長度的文件內容不進行檢測,從而提高設備的檢測效率。
由於文件在數據流中傳輸,所以配置的文件固定檢測長度必須小於等於數據流固定檢測長度。
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎檢測固定長度文件功能。
inspect file-fixed-length enable
缺省情況下,應用層檢測引擎檢測固定長度文件功能處於關閉狀態。
(3) 配置應用層檢測引擎檢測文件的固定長度。
inspect file-fixed-length { email | ftp | http | nfs | smb } * length-value
缺省情況下,應用層檢測引擎對基於FTP協議、HTTP協議、NFS協議、SMB協議和與E-mail相關協議傳輸的文件固定檢測長度均為64千字節。
如果一條數據流中包含多個文件,則每個文件均僅檢測配置的固定長度內的內容。
當設備收到壓縮文件時,應用層檢測引擎會對文件進行解壓縮,並對解壓縮後的數據進行特征匹配等處理。管理員可根據實際需求,對引擎可解壓縮的文件層數和單個文件中可解壓縮的數據大小進行配置。
· 可解壓縮數據上限:設備解壓一個文件時可解壓縮數據的最大值。到達上限後,該文件的剩餘數據不再進行解壓,直接按照壓縮文件格式進行特征匹配等處理。
· 可解壓縮文件層數上限:設備最多可解壓縮的文件的層數。當超過配置的層數時,設備將不對超出層數上限的文件進行解壓,直接按照壓縮文件格式進行特征匹配等處理。
僅支持解壓縮ZIP和GZIP格式的文件。
如果配置的解壓縮參數過大,當設備頻繁收到過大或壓縮層數較多的壓縮文件時,將一直解壓縮一個文件,會影響後續文件的解壓縮,並消耗大量的設備內存,影響設備的轉發性能,但是對文件內容的識別率會有所提升;如果配置的解壓縮參數過小,可能導致壓縮文件中的原始文件內容無法正確識別,從而對DPI業務(例如防病毒和數據過濾業務)的檢測結果產生影響,但是會降低對設備轉發性能的影響。請管理員合理配置此參數。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可解壓縮數據上限。
inspect file-uncompr-len max-size
缺省情況下,可解壓縮數據上限為100MB。
(3) 配置應用層檢測引擎可解壓縮文件層數上限。
inspect file-uncompr-layer max-layer
缺省情況下,可解壓縮文件層數上限為3。當此參數配置為0時,表示不對文件進行解壓縮。
如果網絡中的流量種類單一、源端口固定,但無法通過目的端口對其進行基於端口的應用識別或無法基於流量特征進行內容識別時,可以開啟本功能,對流量進行源端口識別,將源端口為固定端口的流量識別為訪問特定類型應用的流量。
開啟本功能後,可能會造成應用識別結果的誤報,請管理員根據組網環境的實際情況配置。
(1) 進入係統視圖。
system-view
(2) 開啟基於源端口的應用識別功能。
inspect source-port-identify enable
當DPI業務模塊(例如URL過濾)的特征庫進行在線升級時,若設備不能連接到官方網站,則可配置一個代理服務器使設備連接到官方網站上的特征庫服務專區,進行特征庫在線升級。有關特征庫在線升級功能的詳細介紹,請參見各DPI業務配置指導手冊中的“特征庫升級與回滾”。
代理服務器可以通過IP地址或者域名的方式進行訪問。如果使用域名方式,請確保設備能通過靜態或動態域名解析方式獲得代理服務器的IP地址,並與之路由可達。有關域名解析功能的配置請參見“網絡互通配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置DPI業務特征庫在線升級所使用的代理服務器。
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
缺省情況下,未配置DPI業務特征庫在線升級所使用的代理服務器。
應用層檢測引擎對報文的檢測是一個複雜且會占用一定係統資源的過程。開啟應用層檢測引擎功能後,如果出現係統CPU使用率過高等情況時,可通過關閉此功能來降低對設備轉發性能的影響。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎功能。
inspect bypass
缺省情況下,應用層檢測引擎功能處於開啟狀態。
關閉應用層檢測引擎功能後,係統將不會對接收到的報文進行DPI深度安全處理。可能導致其他基於DPI功能的業務出現中斷。例如,安全策略無法對應用進行訪問控製等。
在如下場景中管理員可能需要關閉應用層檢測引擎對指定協議報文的檢測功能。
· 場景一:當組網環境中不需要對某些協議的報文進行檢測時,可以關閉應用層檢測引擎對該協議報文的檢測,以減少對設備資源的占用,提升設備性能。
· 場景二:當應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,可單獨關閉引擎對該協議報文的檢測功能,避免由於再次檢測該協議報文導致設備反複重啟的問題,同時又不影響引擎對其他協議報文的檢測。
設備支持如下兩種方式關閉應用層檢測引擎對指定協議報文的檢測功能:
· 手動關閉:此方式要求管理員已知需要關閉哪些協議報文的檢測功能,適用於場景一和場景二。
· 自動關閉:此方式由設備自動判斷需要關閉哪些協議報文的檢測功能,適用於場景二。使用此方式後,如果應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,則當係統重啟後,應用層檢測引擎將自動關閉對該協議報文的檢測功能,跳過對此協議報文的處理。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎對指定協議報文的檢測功能。
¡ 手工關閉應用層檢測引擎對指定協議報文的檢測功能。
inspect bypass protocol { dns | ftp | ftp-data | http | https | imap | nfs | pop3 | rtmp | sip | smb | smtp | telnet | tftp } *
缺省情況下,應用層檢測引擎對所有支持的協議都進行檢測。
¡ 自動關閉應用層檢測引擎對指定協議報文的檢測功能。
inspect auto-bypass enable
缺省情況下,應用層檢測引擎自動關閉指定協議報文的檢測功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後應用層檢測引擎的運行情況。
表1-1 應用層檢測引擎顯示和維護
|
操作 |
命令 |
|
顯示應用層檢測引擎的運行狀態 |
display inspect status |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
