- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-應用層檢測引擎配置
本章節下載: 01-應用層檢測引擎配置 (241.90 KB)
目 錄
應用層檢測引擎服務於DPI業務模塊,用於對報文的應用層信息(應用層協議以及應用行為)進行統一識別。DPI業務模塊使用應用層檢測引擎提供的識別結果,對報文的進行相應的業務處理。
應用層檢測引擎提供以下基本功能:
· 協議解析:識別並分析報文應用層字段,區分應用層協議,並對部分字段進行正規化和解壓縮。
· 關鍵字匹配:根據檢測規則對報文載荷內容進行關鍵字匹配,是應用層檢測引擎的核心。
· 選項匹配:關鍵字匹配成功後,對其所屬檢測規則中的選項做進一步匹配。該過程與關鍵字匹配相比,匹配速度比較緩慢。
應用層檢測引擎使用檢測規則對報文進行匹配,檢測規則由各DPI業務的規則或特征轉換而成,包含關鍵字和選項兩種匹配項。
· 關鍵字:標識報文特征的不少於3個字節的字符串,也稱作“AC關鍵字”。
· 選項:非關鍵字的輔助匹配項,例如報文的端口號、協議類型等。
檢測規則中可以同時包含關鍵字和選項,或者僅包含選項。如果檢測規則中同時包含關鍵字和選項,則兩者都被匹配上才算是與該檢測規則匹配成功;如果檢測規則中僅包含選項,則隻要匹配選項就算與該檢測規則匹配成功。
如圖1-1所示,應用層檢測引擎的具體工作機製如下:
應用層檢測引擎的處理機製如下:
(1) 報文進入應用層檢測引擎後,應用層檢測引擎首先對報文進行協議解析,根據分析結果查找相應的檢測規則。
(2) 應用層檢測引擎判斷檢測規則中是否包含關鍵字,如果包含關鍵字,則首先進行關鍵字匹配,否則直接進行選項匹配。
(3) 如果報文匹配上關鍵字,則繼續進行選項匹配(該選項是匹配上的關鍵字所屬檢測規則中的選項);如果報文未匹配上關鍵字,則直接允許報文通過。
(4) 如果報文與選項匹配成功,則表示此報文與該檢測規則匹配成功。
(5) 應用層檢測引擎通知相應的DPI業務模塊對此報文做進一步的處理;如果報文與選項匹配失敗,則直接允許報文通過。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
產品係列 |
產品型號 |
說明 |
|
MSG係列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
· MSG360-4:支持 · MSG360-4-PWR:支持 · MSG360-10:支持 · MSG360-10S:支持 · MSG360-10-PWR:支持 · MSG360-10-LTE:支持 · MSG360-20:支持 · MSG360-40:不支持 · MSG360-22L-PWR:支持 |
|
WX2500H-WiNet係列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
|
WX3500H-WiNet係列 |
WX3508H-WiNet |
支持 |
|
WAC係列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
· WAC380-30:支持 · WAC380-60:支持 · WAC380-90:支持 · WAC380-120:支持 · WAC381:不支持 |
|
WX2500H-LI係列 |
WX2540H-LI WX2560H-LI |
支持 |
|
WX3500H-LI係列 |
WX3510H-LI WX3520H-LI |
支持 |
|
AC1000係列 |
AC1016 AC1108 |
支持 |
應用層檢測引擎配置任務如下:
(1) 配置DPI應用Profile
(3) 配置應用層檢測引擎動作參數
(4) (可選)優化應用層檢測引擎性能
(5) (可選)配置應用層檢測引擎CPU門限響應功能
(6) (可選)配置應用層檢測引擎檢測固定長度數據流功能
(7) (可選)配置DPI業務特征庫在線升級所使用的代理服務器
(8) (可選)關閉應用層檢測引擎功能
DPI應用profile是DPI業務的配置模板,用於關聯各DPI業務的策略(例如URL過濾業務)。
(1) 進入係統視圖。
system-view
(2) 創建DPI應用profile視圖,並進入DPI應用profile視圖。
app-profile profile-name
(3) 在DPI應用profile中引用URL過濾策略。
url-filter apply policy policy-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“URL過濾”。
缺省情況下,DPI應用profile中未引用URL過濾策略。
當DPI業務模塊(比如URL過濾業務)的策略和規則被創建、修改和刪除後,有以下方式可以使得這些策略和規則的配置生效:
· 保存配置後重啟設備
· 執行inspect activate命令
執行inspect activate命令會暫時中斷DPI業務的處理,為了避免重複執行此命令對DPI業務造成影響,請完成部署DPI各業務模塊的策略和規則後統一執行此命令。
(1) 進入係統視圖。
system-view
(2) 激活DPI業務模塊的策略和規則配置。
inspect activate
缺省情況下,DPI業務模塊的策略和規則被創建、修改和刪除時不生效。
日誌動作參數profile用來為DPI業務模塊的日誌動作提供動作參數,此profile中可以配置日誌的輸出方式。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的日誌動作參數profile視圖,並進入該日誌動作參數profile視圖。
inspect logging parameter-profile parameter-name
(3) 配置記錄報文日誌的方式。
log { email | syslog }
缺省情況下,報文日誌被輸出到信息中心。
重定向動作參數profile用來為DPI業務模塊的重定向動作提供動作參數,在此profile中可以配置重定向報文的URL。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的重定向動作參數profile,並進入重定向動作參數profile視圖。
inspect redirect parameter-profile parameter-name
(3) 配置重定向URL。
redirect-url url-string
缺省情況下,未配置重定向URL。
對經過壓縮或編碼等處理後的報文應用層信息進行識別時,需要應用層檢測引擎先對此類報文進行解壓縮或解碼等相應處理後才能識別。通過開啟應用層檢測引擎性能優化功能或調高各項性能參數,可以提高應用層信息的識別能力和準確率,但同時也會消耗一定的係統資源。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可檢測有載荷內容的報文的最大數目。
inspect packet maximum max-number
缺省情況下,應用層檢測引擎可檢測有載荷內容的報文的最大數目為32。
(3) 配置應用層檢測引擎緩存待檢測選項的最大數目。
inspect cache-option maximum max-number
缺省情況下,應用層檢測引擎緩存待檢測選項的最大數目為32。
(4) 配置TCP數據段重組功能
a. 開啟TCP數據段重組功能。
inspect tcp-reassemble enable
缺省情況下,TCP數據段重組功能處於關閉狀態。
b. 配置TCP數據段重組緩存區可緩存的TCP數據段最大數目。
inspect tcp-reassemble max-segment max-number
缺省情況下,TCP數據段重組緩衝區可緩存的TCP數據段最大數目為10。
(5) (可選)關閉指定的應用層檢測引擎的優化調試功能。
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
缺省情況下,應用層檢測引擎的所有優化調試功能處於開啟狀態。
如果設備的吞吐量較差,不能滿足基本的通信需求,可關閉相關優化調試功能提高設備的性能。
應用層檢測引擎對報文的檢測是一個比較複雜且會占用一定係統資源的過程。當設備的CPU利用率較高時,應用層檢測引擎CPU門限響應功能會啟動如下機製來緩解係統資源緊張的問題。
· 當CPU利用率達到設備上配置的CPU利用率閾值時:
¡ 若固定長度數據流檢測功能處於關閉狀態,則係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。
¡ 若固定長度數據流檢測功能處於開啟狀態,則應用層檢測引擎隻對一條數據流首包後固定長度內的數據進行檢測,超出固定長度後的數據不再進行檢測。
· 當設備的CPU利用率恢複到或低於設備上配置的CPU利用率恢複閾值時,係統會對整條數據流的內容進行檢測。
有關CPU利用率的詳細配置請參見“設備管理配置指導”中的“設備管理”。
在係統CPU占用率較高的情況下,建議保持應用層檢測引擎CPU門限響應功能處於開啟狀態;在係統CPU占用率較低的情況下,可以考慮關閉本功能。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎CPU門限響應功能。
undo inspect cpu-threshold disable
缺省情況下,應用層檢測引擎CPU門限響應功能處於開啟狀態。
應用層檢測引擎檢測固定長度數據流功能,是指當設備的CPU利用率達到設備上配置的CPU利用率閾值時,應用層檢測引擎隻檢測每條數據流首包後固定長度內的數據,不再檢測超出固定長度後的數據。當設備的CPU利用率恢複到設備上配置的CPU利用率恢複閾值時,係統會對整條數據流的內容進行檢測。有關CPU利用率的詳細配置請參見“設備管理配置指導”中的“設備管理”。
開啟應用層檢測引擎CPU門限響應功能,此功能才會生效。
當設備的CPU利用率較高的情況下,建議關閉此功能,此時應用層檢測引擎CPU門限響應功能開啟的情況下,係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎檢測固定長度數據流功能。
undo inspect stream-fixed-length disable
缺省情況下,應用層檢測引擎檢測固定長度數據流功能處於開啟狀態。
(3) 配置應用層檢測引擎檢測數據流的固定長度。
inspect stream-fixed-length { email I ftp | http } * length
缺省情況下,應用層檢測引擎對FTP協議、HTTP協議和與E-mail相關協議數據流的固定檢測長度均為32千字節。
調高此參數後,設備的吞吐量性能會下降,但是應用層信息識別的成功率會提高;同理調低參數後,設備的吞吐量會增加,但是應用層信息識別的成功率會降低。
當DPI業務模塊(例如URL過濾)的特征庫進行在線升級時,若設備不能連接到官方網站,則可配置一個代理服務器使設備連接到官方網站上的特征庫服務專區,進行特性庫在線升級。有關特征庫在線升級功能的詳細介紹,請參見各DPI業務配置指導手冊中的“特征庫升級與回滾”。
代理服務器可以通過IP地址或者域名的方式進行訪問。如果使用域名方式,請確保設備能通過靜態或動態域名解析方式獲得代理服務器的IP地址,並與之路由可達。有關域名解析功能的配置請參見“網絡互通配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置DPI業務特征庫在線升級所使用的代理服務器。
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
缺省情況下,未配置DPI業務特征庫在線升級所使用的代理服務器。
應用層檢測引擎對報文的檢測是一個複雜且會占用一定係統資源的過程。開啟應用層檢測引擎功能後,如果出現係統CPU使用率過高等情況時,可通過關閉此功能來降低對設備轉發性能的影響。
關閉應層檢測引擎功能後,係統將不會對接收到的報文進行DPI深度安全處理。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎功能。
inspect bypass
缺省情況下,應用層檢測引擎功能處於開啟狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後應用層檢測引擎的運行情況。
表1-1 應用層檢測引擎顯示和維護
|
操作 |
命令 |
|
顯示應用層檢測引擎的運行狀態 |
display inspect status |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
