- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-應用識別
本章節下載: 12-應用識別 (299.96 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ PBAR
○ NBAR
○ 應用組
· 配置指南
○ 應用
○ 應用組
APR(Application Recognition)即應用層協議識別。一些基於應用的業務在進行報文處理時需要知道報文所屬的應用層協議,APR可以為這樣的業務提供應用識別服務,並能夠對接口上接收或者發送的某個應用層協議的報文進行數目和速率統計。APR為了更好地識別報文所屬的應用層協議,提供了兩種應用識別方法:基於端口的應用識別和基於內容特征的應用識別。
· PBAR(Port Based Application Recognition,基於端口的應用層協議識別):根據定義的應用層協議端口與應用的映射關係識別報文所屬的應用層協議。
· NBAR(Network Based Application Recognition,基於內容特征的應用層協議識別):提取應用報文區別於其它應用報文的特征,通過將報文的內容與特征庫中的特征項進行匹配來識別報文所屬的應用層協議。
下文中的應用均指設備可以通過APR識別出的應用層協議。應用分為預定義應用和自定義應用兩種:預定義應用由係統缺省創建;自定義應用由管理員通過配置創建。
PBAR(Port Based Application Recognition,基於端口的應用層協議識別)根據預定義的、自定義的端口與應用的映射關係識別出應用層協議。預定義的端口與應用的映射關係由係統預先定義,自定義的端口與應用的映射關係由管理員配置進行創建。
PBAR提供了以下兩種映射機製來維護和使用自定義的端口與應用映射關係:
· 通用端口映射:對管理員自定義端口號和應用層協議建立映射關係。例如:將2121端口映射為FTP協議,這樣所有目的端口是2121的報文將被識別為FTP報文。
· 主機端口映射:對去往某些特定範圍內主機的報文建立自定義端口號和應用層協議的映射。例如:將目的地址為10.110.0.0/16網段的、使用2121端口的報文映射為FTP報文。主機範圍可以通過配置ACL或者指定主機地址、網段來確定。
NBAR根據報文的內容特征與預定義的特征項或管理員自定義的特征項進行匹配來識別報文所屬的應用層協議。預定義的特征項由設備上的APR特征庫自動生成。
目前設備僅支持預定義NBAR類型的應用。
可以將具有相似特征的應用添加到一個應用組中。一個應用組,就是若幹個應用的集合。如果報文被識別為屬於某個應用,而該應用又屬於某個應用組,則報文相當於被識別為屬於某個應用組。基於應用的業務可以對屬於同一個應用組的報文做統一處理。
一個自定義應用組中可以包含多個預定義應用和自定義應用。
· NBAR功能需要安裝License才能使用。License過期後,NBAR功能可以采用設備中已有的APR特征庫正常工作,但無法升級特征庫。關於License的詳細介紹請參見 “License聯機幫助”。
· 使用應用識別功能時,請將應用識別特征庫升級到最新版本。
在應用頁麵可以通過端口映射創建自定義的PBAR類型的應用,也可以對預定義應用進行修改。
根據與應用層協議進行映射的對象範圍的不同,可以將端口映射的配置分為以下四類:
· 通用端口映射:如果報文的目的端口號與某個通用端口映射匹配,則該報文將被識別為相應的應用層協議報文。
· 基於IP地址的主機端口映射:對於目的地址為指定地址或指定範圍的地址的報文,如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。
· 基於網段的主機端口映射:對於目的地址為指定網段的報文,如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。PBAR以最精確的網絡範圍對報文進行匹配,即如果配置了多條網段映射關係,且各映射關係中指定的網段範圍互相包含,則使用網絡範圍最小的映射配置進行匹配。
· 基於ACL的主機端口映射:對於匹配指定ACL的報文(其目的IP地址與ACL中某規則指定的源IP地址參數相匹配),如果報文的目的端口號與某個映射關係匹配,則該報文將被識別為對應的應用層協議報文。
1. 選擇“對象 > 應用安全 > 應用識別 > 應用”。
2. 在“新建自定義應用”頁麵配置應用的名稱,並為應用配置所屬的風險類型。設備將根據配置的風險類型自動計算應用的風險等級。
3. 在端口映射區域,單擊<新建>按鈕,進入“添加端口映射”頁麵。
4. 新建端口映射關係,具體配置內容如下:
表-1 端口映射關係配置
|
參數 |
說明 |
|
端口號 |
表示指定與應用層協議映射的端口 |
|
協議類型 |
表示指定應用層協議使用的傳輸層協議名稱,其取值包括:all、DCCP(Datagram Congestion Control Protocol,數據報擁塞控製協議)、SCTP(Stream Control Transmission Protocol,流控製傳輸協議)、TCP協議、UDP協議和UDP-Lite協議。all表示所有傳輸層協議的指定端口的報文均被識別為指定應用層協議的報文 |
|
匹配方式 |
匹配方式包括如下幾種:all(通用端口映射)、基於IPv4地址的主機端口映射、基於IPv4網段的主機端口映射、基於IPv4 ACL的主機端口映射、基於IPv6地址的主機端口映射、基於IPv6網段的主機端口映射和基於IPv6 ACL的主機端口映射 |
|
匹配條件 |
選擇匹配方式為基於IP地址的主機端口映射時匹配條件為IP地址範圍,匹配方式為基於網段的主機端口映射時匹配條件為IP地址網段,匹配方式為基於ACL的主機端口映射時匹配條件為ACL |
|
VRF實例 |
指定主機所屬的VPN |
5. 單擊<確定>按鈕,可以為此PBAR應用添加一條端口映射表。
6. 在一個自定義PBAR應用的端口映射表中可添加多條端口映射條目,當存在以上四類端口映射條目時,對於同一個報文的生效優先級從高到低依次為:基於IP地址、基於網段、基於ACL、通用。而對於其中的每一類,指定傳輸層協議名稱的配置優先級高於不指定傳輸層協議名稱的配置。
7. 在“新建自定義應用”頁麵單擊<確定>按鈕,可在設備上成功添加一個PBAR類型的應用。在“應用”頁麵勾選<隻顯示自定義應用>篩選條件即可清晰地看到添加的自定義應用。
1. 選擇“對象 > 應用安全 > 應用識別 > 應用”。
2. 在“應用”頁麵選中已存在的一個應用,單擊此應用右麵的<編輯>按鈕,進入“修改預定義應用”頁麵。
3. 在“修改預定義應用”頁麵可以添加端口映射條目,有關添加端口映射條目的具體步驟請參見“新增PBAR類型應用步驟”中的第4步。
修改完預定義應用後,與此預定義應用原有識別規則和新增端口映射關係匹配成功的報文,都可以識別為此應用。
可以將具有相似特征或者相似限製要求的應用添加到一個應用組。
1. 選擇“對象 > 應用安全 > 應用識別 > 應用組”。
2. 在“應用組”頁麵單擊<新建>按鈕,進入“新建應用組”頁麵。
3. 新建應用組,具體配置內容如下:
表-2 應用組配置
|
參數 |
說明 |
|
應用組名稱 |
表示應用組的名稱 |
|
描述 |
通過合理編寫描述信息,便於管理員快速理解和識別該應用組的作用,有利於後期維護 |
|
類別 |
通過篩選類別,可以快速選擇所需的應用 |
|
風險類型 |
通過篩選風險類型,可以快速選擇屬於某個風險類型的應用 |
|
風險級別 |
通過篩選風險級別,可以快速選擇屬於某個風險級別的應用 |
|
篩選 |
“可選應用”欄中所顯示的內容是通過“類別”、“風險類型”和“風險級別“篩選出的應用。可單擊右側的<全部選擇>或者<選擇>按鈕,將所需的應用篩選到<已選應用>欄中 |
4. 單擊<確定>按鈕,此應用組創建成功,在應用組頁麵可看到新建的應用組。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
