- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
21-APR配置
本章節下載: 21-APR配置 (279.68 KB)
目 錄
APR(Application Recognition)即應用識別。一些基於應用的業務(例如應用審計與管理)在進行報文處理時需要知道報文所屬的應用,APR可以為這樣的業務提供應用識別服務,並能夠對接口上接收或者發送的某個應用的報文進行數目和速率統計。APR支持以下應用識別方式:PBAR(Port Based Application Recognition,基於端口的應用識別)和NBAR(Network Based Application Recognition,基於內容特征的應用識別)。
PBAR根據端口與應用的映射關係識別出報文所屬的應用,並支持以下類型的映射關係:
· 預定義的端口與應用的映射關係:由係統預先定義。
· 自定義的端口與應用的映射關係:由管理員進行創建。
根據與應用進行映射的對象範圍的不同,PBAR提供以下映射機製來維護和使用自定義的端口與應用映射關係:
· 通用端口映射:對於所有報文,建立自定義端口號和應用的映射關係。例如:將53222端口映射為BitTorrent應用,這樣所有目的端口是53222的報文將被識別為BitTorrent應用報文。
· 主機端口映射:對去往某些特定範圍內主機的報文建立自定義端口號和應用的映射。例如:將目的地址為10.110.0.0/16網段的、使用53222端口的報文映射為BitTorrent應用報文。主機範圍可以通過配置ACL或者指定主機地址、網段來確定。
主機端口映射還可以細分為如下類型:
¡ 基於ACL的主機端口映射:對於匹配指定ACL的報文,建立端口號與應用的映射關係;
¡ 基於網段的主機端口映射:對於目的地址為指定網段的報文,建立端口號與應用的映射關係;
¡ 基於IP地址的主機端口映射:對於目的地址為指定IP地址的報文,建立端口號與應用的映射關係。
以上端口映射配置對於同一個報文的生效優先級從高到低依次為:基於IP地址、基於網段、基於ACL、通用。而對於其中的每一類,指定傳輸層協議名稱的配置優先級高於不指定傳輸層協議名稱的配置。
NBAR提取應用報文的特征,通過將報文的內容與特征庫中的規則進行匹配來識別報文所屬的應用。
NBAR支持預定義應用和自定義應用。
· 預定義應用:由設備上的APR特征庫定義。
· 自定義應用:由管理員根據實際需求手工配置。
設備為NBAR應用定義了所屬的風險類型,一個應用可同時具有多種風險類型也可以沒有任何風險類型,所屬的風險類型越多,表示該應用的風險級別越高。管理員可根據應用的風險級別配置相應的防護策略(例如安全策略),保護內網安全。
預定義應用的風險類型由特征庫自動生成,自定義應用的風險類型由管理員手工配置。
當設備同時識別出多個應用時,識別結果以優先級高的應用為準。優先級數值越低,表示級別越高。
可以將具有相似特征的應用添加到一個應用組中。一個應用組,就是若幹個應用的集合。如果報文被識別為屬於某個應用,而該應用又屬於某個應用組,則報文相當於被識別為屬於某個應用組。基於應用的業務(例如應用審計與管理)可以對屬於同一個應用組的報文做統一處理。
APR特征庫是用來對經過設備的應用層流量進行字符串特征識別的資源庫,包含PBAR和NBAR特征。隨著互聯網業務的不斷變化和發展,網絡上的應用也在迅速的增加和變化,需要及時升級設備中的APR特征庫。
APR特征庫升級包括如下幾種方式:
· 定期自動在線升級:設備根據管理員設置的時間定期自動更新本地的APR特征庫。
· 立即自動在線升級:管理員手工觸發設備立即更新本地的APR特征庫。
· 手動離線升級:當設備無法自動獲取APR特征庫服務時,需要管理員先手動獲取最新的APR特征庫,再更新設備本地的APR特征庫。
APR特征庫的升級需要購買並正確安裝License後才能使用。License過期後,APR功能可以采用設備中已有的APR特征庫正常工作,但無法升級特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。
APR配置任務如下:
· 配置PBAR
· 配置應用組
· (可選)配置接口的應用統計功能
(1) 進入係統視圖。
system-view
(2) 配置端口映射。請至少選擇其中一項進行配置。
¡ 配置通用端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ]
¡ 配置基於ACL的主機端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
¡ 配置基於網段的主機端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
¡ 配置基於IP地址的主機端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
缺省情況下,各應用與其對應的知名端口號映射。
本功能僅支持對預定義PBAR應用進行配置。
當APR特征庫中預定義的NBAR應用不能滿足用戶需求時,可以根據實際組網環境需求,手工配置NBAR自定義應用。應用中支持配置的內容如下:
· 應用的描述信息
· 應用下包含的規則,包含數值型規則和關鍵字型規則
· 規則間的匹配邏輯,包括邏輯與和邏輯或
· 應用的優先級
· 應用所屬的風險類型
· 應用的最大檢測字節數
報文與應用匹配成功的判斷原則為:當應用的規則間是邏輯與的關係時,報文需要成功匹配該應用下的所有規則;當應用的規則間是邏輯或的關係時,報文僅需要成功匹配一條規則。
配置NBAR自定義應用的風險類型前,需要先將APR特征庫升級到最新版本。
(1) 進入係統視圖。
system-view
(2) 創建NBAR自定義應用,並進入NBAR自定義應用視圖。
nbar user-defined-application application-name
(3) 配置NBAR自定義應用的優先級。
priority priority-level
缺省情況下,未配置NBAR自定義應用的優先級。
配置的數值越小,優先級越高。當設備同時識別出多個應用時,識別結果為優先級更高的應用;當優先級相同時,識別結果為最先配置的應用。
(4) 配置NBAR自定義應用規則的匹配邏輯。
rule match-logic { and | or }
缺省情況下,NBAR自定義應用規則的匹配邏輯為or。
(5) (可選)配置NBAR自定義應用的描述信息。
description text
缺省情況下,NBAR自定義應用的描述信息為User defined application。
(6) (可選)配置NBAR自定義應用的風險類型。
risk-type risk-type
缺省情況下,未配置NBAR自定義應用的風險類型。
(7) (可選)NBAR自定義應用的最大檢測字節數。
detect-length value
缺省情況下,未配置NBAR自定義應用的最大檢測長度。
NBAR自定義應用的規則中可配置如下內容:
· 規則的描述信息
· 規則下的特征(一條規則下可配置多個特征)
· 規則匹配條件,包括源\目的IP地址網段、方向和源\目的端口號
報文與應用規則匹配成功的判斷原則為:報文至少成功匹配一個特征且同時滿足所有匹配條件。
NBAR自定義應用的規則分為數值型和關鍵字型:
· 數值型:表示規則匹配的內容為數值。
· 關鍵字型:表示規則匹配的內容為字符串。
(1) 進入係統視圖。
system-view
(2) 進入NBAR自定義應用視圖。
nbar user-defined-application application-name
(3) 創建NBAR自定義應用規則,並進入NBAR自定義應用規則視圖。
rule rule-id l4-protocol l4-protocol-name l5-protocol l5-protocol-name pattern-type { keyword | integer }
缺省情況下,未配置NBAR自定義應用規則。
(4) 配置NBAR自定義應用規則的匹配條件。
¡ 配置NBAR自定義應用規則匹配的源端口號。
source port { port-num | range start-port to end-port }
缺省情況下,NBAR自定義應用規則匹配所有源端口號。
¡ 配置NBAR自定義應用規則匹配的目的端口號。
destination port { port-num | range start-port to end-port }
缺省情況下,NBAR自定義應用規則匹配所有目的端口號。
¡ 配置NBAR自定義應用規則匹配的源IP地址網段。
source address ip ipv4-address [ mask-length ]
缺省情況下,NBAR自定義應用規則匹配所有源IP地址網段。
¡ 配置NBAR自定義應用規則匹配的目的IP地址網段。
destination address ip ipv4-address [ mask-length ]
缺省情況下,NBAR自定義應用規則匹配所有目的IP地址網段。
¡ 配置NBAR自定義應用規則的匹配方向。
direction { to-client | to-server }
缺省情況下,NBAR自定義應用規則對client和server之間互訪的雙向流量都進行匹配。
(5) 創建數值型NBAR自定義應用規則特征。
integer-signature field field-name { { eq | nequ } number | range start-number to end-number }
缺省情況下,未配置數值型NBAR自定義應用規則特征。
本功能僅支持在數值型NBAR自定義應用規則下配置。
(6) 創建關鍵字型NBAR自定義應用規則特征。
a. 創建關鍵字型NBAR自定義應用規則特征,並進入關鍵字型NBAR自定義應用規則特征視圖。
keyword-signature signature-id field field-name include { hex hex-vector | text text-string } [ [ offset offset-value ] [ depth depth-value ] ]
缺省情況下,未配置關鍵字型NBAR自定義應用規則特征。
b. 配置關鍵字型NBAR自定義應用規則特征的檢查項。
detection detection-id field field-name match-type { exclude | include } { hex hex-vector | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
缺省情況下,未配置關鍵字型NBAR自定義應用規則特征的檢查項。
c. 退回NBAR自定義應用規則視圖。
quit
本功能僅支持在關鍵字型NBAR自定義應用規則下配置。
(7) 退回NBAR自定義應用視圖。
quit
(8) (可選)配置NBAR自定義應用規則的描述信息。
description text
缺省情況下,NBAR自定義應用規則的描述信息為“User defined rule”。
(9) (可選)禁用NBAR自定義應用規則。
disable
缺省情況下,NBAR自定義應用規則處於生效狀態。
(1) 進入係統視圖。
system-view
(2) 創建應用組,並進入應用組視圖。
app-group group-name
(3) (可選)為自定義的應用組設置描述信息。
description text
缺省情況下,自定義應用組的描述信息為“User-defined application group”。
(4) 向應用組中添加應用。請至少選擇其中一項進行配置。
¡ 在應用組中複製另一個應用組中的所有應用。
copy app-group group-name
可以通過多次執行本命令複製多個應用組裏的應用。
¡ 在應用組中添加應用。
include application application-name
缺省情況下,應用組中不包含應用。
在接口上開啟應用統計功能之後,設備能夠對接口上收到或者發送的報文的數目、速率按照應用分別進行統計,生成的統計信息可以通過display application statistics命令查看。
接口的應用統計功能會消耗大量係統內存。當係統出現內存告警時,請關閉接口的應用統計功能。
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟接口的應用統計功能。
application statistics enable [ inbound | outbound ]
缺省情況下,接口的應用統計功能處於關閉狀態。
如果不指定任何參數,則表示同時開啟接口出方向和入方向上的應用統計功能。
請勿刪除設備存儲介質根目錄下的/dpi/文件夾,否則設備升級特征庫會失敗。
當係統內存使用狀態處於告警門限狀態時,請勿進行特征庫升級,否則易造成設備特征庫升級失敗,進而影響NBAR業務的正常運行。有關內存告警門限狀態的詳細介紹請參見“設備管理配置指導”中的“硬件資源管理”。
同一時刻隻能對一個特征庫進行升級,如果當前已有其他特征庫正在升級,請稍後再試。
如果設備可以訪問官方網站上的特征庫服務專區,可以采用定期自動在線升級方式來對設備上的APR特征庫進行升級。
該方式下,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級APR特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 開啟定期自動在線升級APR特征庫功能,並進入自動在線升級配置視圖。
apr signature auto-update
缺省情況下,定期自動在線升級APR特征庫功能處於關閉狀態。
(3) 配置定期自動在線升級APR特征庫的時間。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情況下,設備在每天02:01:00至04:01:00之間自動升級APR特征庫。
(4) (可選)配置定期自動在線升級APR特征庫時覆蓋當前的特征文件。
override-current
缺省情況下,定期自動在線升級APR特征庫時不會覆蓋當前的特征庫文件,而是同時備份當前的特征庫文件。
當管理員發現官方網站的特征庫服務專區中的APR特征有更新時,可以選擇立即自動在線升級方式來及時升級APR特征庫版本。
該方式下,需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址,並與之路由可達,否則設備升級APR特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 立即自動在線升級APR特征庫。
apr signature auto-update-now
如果設備不能訪問官方網站上的特征庫服務專區,管理員可以采用如下幾種方式手動離線升級APR特征庫版本。
· 本地升級:使用本地保存的特征庫文件升級係統上的APR特征庫版本。
· FTP/TFTP升級:通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件,並升級係統上的APR特征庫版本。
使用本地升級方式離線升級APR特征庫版本時,特征庫文件隻能存儲在當前主控板上,否則設備升級特征庫會失敗。
(1) 進入係統視圖。
system-view
(2) 手動離線升級APR特征庫。
apr signature update [ override-current ] file-path
可在任意視圖下執行以下命令:
· 顯示預定義的端口映射信息。
display port-mapping pre-defined
· 顯示自定義的端口映射信息。
display port-mapping user-defined [ application application-name | port port-number ]
可在任意視圖下執行以下命令:
· 顯示應用組信息。
display app-group [ name group-name ]
· 顯示應用信息。
display application [ name application-name | pre-defined | user-defined ]
可在任意視圖下執行以下命令:
· 顯示接口上的應用統計信息
display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ slot slot-number ] | name application-name ] *
· 按指定類型的統計排名顯示接口應用統計信息。
display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ slot slot-number ]
請在用戶視圖下執行以下命令,清除指定接口或所有接口的應用統計信息。
reset application statistics [ interface interface-type interface-number ]
可在任意視圖下執行以下命令,顯示當前APR特征庫的版本信息
display apr signature library
主機通過Router與外網相連,通過配置Router實現丟棄主機向外部網絡發送的目的端口為8080的HTTP連接報文。
圖1-1 PBAR基本組網配置組網圖
# 創建應用組group1,並進入應用組視圖。
<Router> system-view
[Router] app-group group1
# 添加HTTP應用。
[Router-app-group-group1] include application http
[Router-app-group-group1] quit
# 配置名為HTTP的應用與TCP協議、端口8080之間的映射。
[Router] port-mapping application http port 8080 protocol tcp
# 定義類classifier_1,匹配應用組group1。
[Router] traffic classifier classifier_1
[Router-classifier-classifier_1] if-match app-group group1
[Router-classifier-classifier_1] quit
# 定義流行為bdeny,動作為流量過濾(deny),對數據包進行丟棄。
[Router] traffic behavior bdeny
[Router-behavior-bdeny] filter deny
[Router-behavior-bdeny] quit
# 定義策略1,為類classifier_1指定流行為bdeny。
[Router] qos policy 1
[Router-qospolicy-1] classifier classifier_1 behavior bdeny
[Router-qospolicy-1] quit
# 在GigabitEthernet0/0/1入方向上應用QoS策略。
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] qos apply policy 1 inbound
[Router-GigabitEthernet0/0/1] quit
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
