- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-應用層檢測引擎配置
本章節下載: 02-應用層檢測引擎配置 (431.07 KB)
目 錄
1.8.8 配置應用層檢測引擎記錄NFS協議文件名數量的上限值
1.9.3 配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例
1.9.4 配置特征庫在線升級時發送給服務器的請求報文的源IP地址
1.10.3 配置X-Forwarded-For字段檢測結果的提取位置
應用層檢測引擎服務於DPI業務模塊,用於對報文的應用層信息(應用層協議以及應用行為)進行統一識別。DPI業務模塊使用應用層檢測引擎提供的識別結果,對報文進行相應的業務處理。
應用層檢測引擎提供以下基本功能:
· 協議解析:識別並分析報文應用層字段,區分應用層協議,並對部分字段進行正規化和解壓縮。
· 關鍵字匹配:根據檢測規則對報文載荷內容進行關鍵字匹配,是應用層檢測引擎的核心。
· 選項匹配:關鍵字匹配成功後,對其所屬檢測規則中的選項做進一步匹配。該過程與關鍵字匹配相比,匹配速度比較緩慢。
應用層檢測引擎使用檢測規則對報文進行匹配,檢測規則由各DPI業務的規則或特征轉換而成,包含關鍵字和選項兩種匹配項。
· 關鍵字:標識報文特征的不少於3個字節的字符串,也稱作“AC關鍵字”。
· 選項:非關鍵字的輔助匹配項,例如報文的端口號、協議類型等。
檢測規則中可以同時包含關鍵字和選項,或者僅包含選項。如果檢測規則中同時包含關鍵字和選項,則兩者都被匹配上才算是與該檢測規則匹配成功;如果檢測規則中僅包含選項,則隻要匹配選項就算與該檢測規則匹配成功。
如圖1-1所示,應用層檢測引擎的具體工作機製如下:
應用層檢測引擎的處理機製如下:
(1) 報文進入應用層檢測引擎後,應用層檢測引擎首先對報文進行協議解析,根據分析結果查找相應的檢測規則。
(2) 應用層檢測引擎判斷檢測規則中是否包含關鍵字,如果包含關鍵字,則首先進行關鍵字匹配,否則直接進行選項匹配。
(3) 如果報文匹配上關鍵字,則繼續進行選項匹配(該選項是匹配上的關鍵字所屬檢測規則中的選項);如果報文未匹配上關鍵字,則直接允許報文通過。
(4) 如果報文與選項匹配成功,則表示此報文與該檢測規則匹配成功。
(5) 應用層檢測引擎通知相應的DPI業務模塊對此報文做進一步的處理;如果報文與選項匹配失敗,則直接允許報文通過。
應用層檢測引擎配置任務如下:
(1) 配置DPI應用Profile
(3) 配置應用層檢測引擎動作參數
(4) (可選)優化應用層檢測引擎性能
(5) (可選)配置應用層檢測引擎CPU門限響應功能
(6) (可選)配置應用層檢測引擎參數
(7) (可選)配置應用層檢測引擎擴展功能
(8) 關閉應用層檢測引擎功能
DPI應用profile是DPI業務的配置模板,用於關聯各DPI業務的策略(例如URL過濾業務)。DPI應用profile被安全策略規則引用後,各DPI業務策略才能生效。
(1) 進入係統視圖。
system-view
(2) 創建DPI應用profile視圖,並進入DPI應用profile視圖。
app-profile profile-name
(3) 關聯各DPI業務策略。
¡ 在DPI應用profile中引用IPS策略。
ips apply policy policy-name mode { protect | alert }
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“IPS”。
¡ 在DPI應用profile中引用URL過濾策略。
url-filter apply policy policy-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“URL過濾”。
¡ 在DPI應用profile下引用數據過濾策略。
data-filter apply policy policyname
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“數據過濾”。
¡ 在DPI應用profile下引用文件過濾策略。
file-filter apply policy policyname
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“文件過濾”。
¡ 在DPI應用profile下引用防病毒策略。
anti-virus apply policy policyname mode { alert | protect }
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“防病毒”。
¡ 在DPI應用profile下引用WAF策略。
waf apply policy policy-name mode { protect | alert }
缺省情況下,未關聯DPI業務策略。
缺省情況下,當任意一個DPI業務模塊(比如URL過濾業務)發生配置變更時(即策略或規則被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時執行一次激活操作,使這些策略和規則的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果用戶希望對發生變化的業務的策略或規則立即進行激活,可執行inspect activate命令手工激活。
(1) 進入係統視圖。
system-view
(2) 激活DPI業務模塊的策略和規則配置。
inspect activate
缺省情況下,DPI業務模塊的策略和規則被創建、修改和刪除後係統會自動激活配置。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
源阻斷動作參數profile用來為DPI業務模塊的源阻斷動作提供動作參數,在此profile中可以配置報文被阻斷的時長。
本功能僅在開啟黑名單過濾功能後生效。如果設備上開啟了黑名單過濾功能,則在源阻斷動作參數profile中配置的阻斷時長內,來自該源IP地址的報文將被直接丟棄,不再進入應用層檢測引擎中檢測。
有關黑名單過濾功能的詳細介紹,請參見“安全配置指導”中的“攻擊檢測與防範”。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的源阻斷動作參數profile,並進入該源阻斷動作參數profile視圖。
inspect block-source parameter-profile parameter-name
(3) 配置報文源IP地址被阻斷的時長。
block-period period
缺省情況下,報文源IP地址被阻斷的時長為1800秒。
捕獲動作參數profile用來為DPI業務模塊的捕獲動作提供動作參數,在此profile中可以配置捕獲報文的最大字節數、捕獲報文的上傳時間和URL地址參數(例如tftp://192.168.100.100/upload)。
捕獲到的報文將被緩存到設備本地,並在以下任意條件滿足的情況下被上傳到指定的URL上:
· 緩存的報文字節數達到指定上限值時;
· 當天指定的上傳時間到達時
上傳到指定的URL之後,係統將清空本地緩存,然後重新開始捕獲報文。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的捕獲動作參數profile視圖,並進入該捕獲動作參數profile視圖。
inspect capture parameter-profile parameter-name
(3) 配置捕獲報文的最大字節數。
capture-limit kilobytes
缺省情況下,捕獲報文的最大字節數為512千字節。
(4) 配置每天定時上傳捕獲報文的時間。
export repeating-at time
缺省情況下,每天淩晨1點定時上傳捕獲報文。
(5) 配置上傳捕獲報文的URL地址。
export url url-string
缺省情況下,未配置上傳捕獲報文的URL地址。
日誌動作參數profile用來為DPI業務模塊的日誌動作提供動作參數,此profile中可以配置日誌的輸出方式和輸出語言。
配置記錄IPS日誌使用的語言為中文後,僅IPS日誌的威脅名稱字段使用中文描述,其它日誌信息仍然為英文。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的日誌動作參數profile視圖,並進入該日誌動作參數profile視圖。
inspect logging parameter-profile parameter-name
(3) 配置記錄報文日誌的方式。
log { email | syslog }
缺省情況下,報文日誌被輸出到信息中心。
(4) 配置記錄IPS日誌使用的語言為中文。
log language chinese
缺省情況下,記錄IPS日誌使用的語言為英文。
重定向動作參數profile用來為DPI業務模塊的重定向動作提供動作參數,在此profile中可以配置重定向報文的URL。
重定向報文的URL必須以http://或https://開頭,例如https://www.example.com。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的重定向動作參數profile,並進入重定向動作參數profile視圖。
inspect redirect parameter-profile parameter-name
(3) 配置重定向URL。
redirect-url url-string
缺省情況下,未配置重定向URL。
郵件動作參數profile用來為DPI業務模塊的郵件動作提供動作參數,在此profile中可以配置郵件服務器地址、收件人與發件人地址和登錄郵件服務器的用戶名和密碼等。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的郵件動作參數profile視圖,並進入郵件動作參數profile視圖。
inspect email parameter-profile parameter-name
(3) 配置郵件服務器的地址。
email-server addr-string
缺省情況下,未配置郵件服務器的地址。
(4) 配置發件人地址。
sender addr-string
缺省情況下,未配置發件人地址。
(5) 配置收件人地址。
receiver addr-string
缺省情況下,未配置收件人地址。
(6) (可選)配置客戶端身份驗證功能。
a. 開啟發送郵件的認證功能。
authentication enable
缺省情況下,發送郵件的認證功能處於開啟狀態。
b. 配置登錄郵件服務器的用戶名。
username name-string
缺省情況下,未配置登錄郵件服務器的用戶名。
c. 配置登錄郵件服務器的密碼。
password { cipher | simple } string
缺省情況下,未配置登錄郵件服務器的密碼。
d. (可選)開啟安全傳輸登錄郵件服務器密碼功能。
secure-authentication enable
缺省情況下,安全傳輸登錄郵件服務器密碼功能處於關閉狀態。
(7) 配置以郵件方式輸出日誌的限製條件。
email-limit interval interval max-number value
缺省情況下,5分鍾內,設備最多可向外發送10封郵件。
告警動作參數profile用來為DPI業務模塊的告警動作提供動作參數,在此profile中可以導入告警文件,告警文件中可配置設備向客戶端發送的具體告警信息。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的告警動作參數profile,並進入告警動作參數profile視圖。
inspect warning parameter-profile profile-name
(3) 導入告警文件。
import block warning-file file-path
缺省情況下,設備使用缺省文件裏的告警信息:The site you are accessing has a security risk and thereby is blocked.
(4) (可選)重置告警文件內容。
reset block warning-file
配置本命令後,設備會將告警文件中的告警信息重置為缺省文件中的告警信息。
對經過壓縮或編碼等處理後的報文應用層信息進行識別時,需要應用層檢測引擎先對此類報文進行解壓縮或解碼等相應處理後才能識別。通過開啟應用層檢測引擎性能優化功能或調高各項性能參數,可以提高應用層信息的識別能力和準確率,但同時也會消耗一定的係統資源。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可檢測有載荷內容的報文的最大數目。
inspect packet maximum max-number
缺省情況下,應用層檢測引擎可檢測有載荷內容的報文的最大數目為32。
(3) 配置應用層檢測引擎緩存待檢測選項的最大數目。
inspect cache-option maximum max-number
缺省情況下,應用層檢測引擎緩存待檢測選項的最大數目為32。
(4) 配置TCP數據段重組功能
a. 開啟TCP數據段重組功能。
inspect tcp-reassemble enable
缺省情況下,TCP數據段重組功能處於關閉狀態。
b. 配置TCP數據段重組緩存區可緩存的TCP數據段最大數目。
inspect tcp-reassemble max-segment max-number
缺省情況下,TCP數據段重組緩衝區可緩存的TCP數據段最大數目為10。
(5) (可選)關閉指定的應用層檢測引擎的優化調試功能。
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
缺省情況下,應用層檢測引擎的所有優化調試功能處於開啟狀態。
如果設備的吞吐量較差,不能滿足基本的通信需求,可關閉相關優化調試功能提高設備的性能。
應用層檢測引擎對報文的檢測是一個比較複雜且會占用一定係統資源的過程。當設備的CPU利用率較高時,應用層檢測引擎CPU門限響應功能會啟動如下機製來緩解係統資源緊張的問題。
· 當CPU利用率達到設備上配置的CPU利用率閾值時,係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。
· 當設備的CPU利用率恢複到或低於設備上配置的CPU利用率恢複閾值時,係統會恢複應用層檢測引擎的檢測功能。
有關CPU利用率的詳細配置請參見“基礎配置指導”中的“設備管理”。
在係統CPU占用率較高的情況下,建議保持應用層檢測引擎CPU門限響應功能處於開啟狀態;在係統CPU占用率較低的情況下,可以考慮關閉本功能。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎CPU門限響應功能。
undo inspect cpu-threshold disable
缺省情況下,應用層檢測引擎CPU門限響應功能處於開啟狀態。
為適應不同場景對設備性能和檢測率的不同需求,應用層檢測引擎支持如下幾種選項供選擇:
· balanced:適用於大多數場景,設備在性能和檢測率之間可以達到平衡狀態。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為32千字節;MD5最大檢測長度為2048千字節。
· large-coverage:適用於對檢測率要求較高的場景,設備將提升檢測率,但同時會對性能產生一定影響。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為128千字節;MD5最大檢測長度為5120千字節。
· high-performance:適用於對設備性能要求較高的場景,設備可在保證一定檢測率的前提下,提升性能。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為32千字節。MD5最大檢測長度為32千字節。
· user-defined:適用於對檢測率和性能有精確要求的場景。此模式下,可以自定義應用層檢測引擎對各協議數據流的最大檢測長度(通過inspect stream-fixed-length命令配置)和MD5最大檢測長度(通過inspect md5-fixed-length命令配置)。
當檢測率模式由其他模式切換為自定義模式時,數據流最大檢測長度和MD5最大檢測長度將保持切換前模式下的取值。用戶可以此作為參考,調整各檢測長度。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎檢測率模式。
inspect coverage { balanced | large-coverage | high-performance | user-defined }
缺省情況下,應用層檢測引擎檢測率模式為平衡模式。
本功能用於配置應用層檢測引擎檢測的數據流的固定長度,從每條數據流首包後開始,應用層檢測引擎隻檢測固定長度內的數據,對超出固定長度後的數據不進行檢測。可通過調整固定檢測長度提升檢測效率。
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎檢測固定長度數據流功能。
undo inspect stream-fixed-length disable
缺省情況下,應用層檢測引擎檢測固定長度數據流功能處於開啟狀態。
(3) 配置應用層檢測引擎檢測數據流的固定長度。
inspect stream-fixed-length { email | ftp | http | nfs | smb } * length
缺省情況下,應用層檢測引擎對FTP協議、HTTP協議、NFS協議、SMB協議和與E-mail相關協議數據流的固定檢測長度均為32千字節。
調高此參數後,設備的吞吐量性能會下降,但是應用層信息識別的成功率會提高;同理調低參數後,設備的吞吐量會增加,但是應用層信息識別的成功率會降低。
本功能用於配置應用層檢測引擎對每條數據流中傳輸文件的固定檢測長度,超過長度的文件內容將不再進行檢測。由於病毒特征一般都位於文件的前半部分,可配置文件的固定檢測長度,對超過長度的文件內容不進行檢測,從而提高設備的檢測效率。
由於文件在數據流中傳輸,所以配置的文件固定檢測長度必須小於等於數據流固定檢測長度。
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎檢測固定長度文件功能。
inspect file-fixed-length enable
缺省情況下,應用層檢測引擎檢測固定長度文件功能處於關閉狀態。
(3) 配置應用層檢測引擎檢測文件的固定長度。
inspect file-fixed-length { email | ftp | http | nfs | smb } * length-value
缺省情況下,應用層檢測引擎對基於FTP協議、HTTP協議、NFS協議、SMB協議和與E-mail相關協議傳輸的文件固定檢測長度均為32千字節。
如果一條數據流中包含多個文件,則每個文件均僅檢測配置的固定長度內的內容。
防病毒業務中,設備除了特征匹配之外,還可以通過對文件進行MD5哈希運算,並使用計算出的MD5值與特征庫中的MD5規則匹配,來實現病毒檢測。如果MD5值與MD5規則匹配成功,則表示該文件攜帶病毒。有關防病毒檢測功能的詳細介紹請參見“DPI深度安全配置指導”中的“防病毒”。
應用層檢測引擎對報文的特征檢測和文件MD5值檢測會同時進行,當引擎檢測的報文長度達到固定數據流檢測長度後,將不再進行特征檢測。此時,如果希望MD5值檢測可以繼續進行,則需要開啟MD5固定檢測長度功能,並配置檢測長度大於固定數據流檢測長度。引擎將繼續進行MD5值檢測,直到檢測長度達到配置的MD5固定檢測長度後,僅計算檢測範圍內文件的MD5值,超出長度的文件內容不會計算在內。
調高MD5固定檢測長度後,設備性能會下降,但是MD5檢測的成功率會提高;調低MD5固定檢測長度後,設備性能會提升,但是MD5檢測的成功率會降低。
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎MD5固定檢測長度功能。
inspect md5-fixed-length enable
缺省情況下,應用層檢測引擎MD5固定檢測長度功能處於開啟狀態。
(3) 配置應用層檢測引擎MD5固定檢測長度。
inspect md5-fixed-length { email | ftp | http | nfs | smb } * length
缺省情況下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流中文件的MD5固定檢測長度均為2048千字節。
開啟此功能後將對設備業務處理性能產生影響,請管理員根據設備實際情況進行配置。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎對所有文件進行MD5哈希運算。
inspect md5-verify all-files
缺省情況下,隻對可執行文件、office文件和壓縮文件等類型的文件進行MD5哈希運算。
可解壓縮數據上限是指設備解壓一個文件時可解壓縮數據的最大值。到達上限後,該文件的剩餘數據不再進行解壓。如果配置的可解壓縮數據過大,當設備頻繁收到過大的壓縮文件時,設備將一直解壓縮一個文件,會影響後續文件的解壓縮,並影響設備的轉發性能。如果配置的可解壓縮數據過小,設備將不能識別壓縮文件中的部分內容,從而對DPI業務(例如防病毒和數據過濾業務)的檢測結果產生影響。請管理員合理配置此參數。
僅支持解壓縮ZIP格式的文件,且僅支持解壓縮一層文件。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可解壓縮數據上限。
inspect file-uncompr-len max-size
應用層檢測引擎每進行一次解壓縮操作都會消耗一定的設備內存。當解壓縮的次數較多時,可能會消耗大量的設備內存,導致設備整機的並發性能下降。此時,可通過配置解壓縮次數的上限值來控製對內存的占用。調低上限值,可降低對內存的消耗,但應用層檢測引擎的檢測成功率可能會降低;調高此參數,可能會提升應用層檢測引擎的檢測成功率,但同時會降低設備的並發性能。請管理員根據實際需求配置此功能。
僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可解壓縮數據上限。
inspect uncompress maximum max-number
缺省情況下,應用層檢測引擎解壓縮文件的總次數上限值由設備實際內存計算得出。
應用層檢測引擎在對文件進行檢測時,會使用特定的存儲結構記錄文件名,用於展示在日誌中,方便用戶獲取文件信息。該記錄過程會占用一定的內存,且檢測的文件數量越多,對內存占用就越大,可能會降低設備的並發性能。當實際組網環境中大量使用NFS協議傳輸文件時,管理員可通過配置本功能,限製應用層檢測引擎記錄的基於NFS協議傳輸的文件的文件名數量。在對設備並發性能要求較高的場景下,可減少記錄的文件名數量,降低對內存的消耗;在對設備並發性能要求較低的場景下,可調高此參數,增加記錄的文件名數量,方便用戶獲取更多的文件信息。請管理員根據實際需求配置此功能。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎記錄NFS協議文件名數量的上限值。
inspect record-filename nfs maximum max-number
缺省情況下,應用層檢測引擎記錄NFS協議文件名數量的上限值由設備實際內存計算得出。
如果網絡中的流量種類單一、源端口固定,但無法通過目的端口對其進行基於端口的應用識別或無法基於流量特征進行內容識別時,可以開啟本功能,對流量進行源端口識別,將源端口為固定端口的流量識別為訪問特定類型應用的流量。
開啟本功能後,可能會造成應用識別結果的誤報,請管理員根據組網環境的實際情況配置。
(1) 進入係統視圖。
system-view
(2) 開啟基於源端口的應用識別功能。
inspect source-port-identify enable
當DPI業務模塊(例如URL過濾)的特征庫進行在線升級時,若設備不能連接到官方網站,則可配置一個代理服務器使設備連接到官方網站上的特征庫服務專區,進行特征庫在線升級。有關特征庫在線升級功能的詳細介紹,請參見各DPI業務配置指導手冊中的“特征庫升級與回滾”。
代理服務器可以通過IP地址或者域名的方式進行訪問。如果使用域名方式,請確保設備能通過靜態或動態域名解析方式獲得代理服務器的IP地址,並與之路由可達。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置DPI業務特征庫在線升級所使用的代理服務器。
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
缺省情況下,未配置DPI業務特征庫在線升級所使用的代理服務器。
當設備對特征庫進行立即在線升級或定期在線升級時,需要訪問官網的特征庫服務器來獲取特征庫文件。如果設備需要通過指定的VPN實例訪問特征庫時,則必須通過配置本命令指定該VPN,否則會導致特征庫升級失敗。
如果同時配置了特征庫在線升級時發送給服務器的請求報文的源IP地址(即配置inspect signature auto-update source命令),需要保證源IP地址所屬的VPN實例與本功能配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例。
inspect signature auto-update vpn-instance vpn-instance-name
缺省情況下,未配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例。
如果管理員希望特征庫在線升級時發送給特征庫服務器的請求報文的源IP地址是一個特定的地址時,則需要配置此功能。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問特征庫服務器時,則需要管理員通過本命令指定一個符合NAT地址轉換規則的IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文經由NAT地址轉換後訪問特征庫服務器。
如果同時配置了特征庫在線升級時訪問的特征庫服務器所屬的VPN實例(即配置inspect signature auto-update vpn-instance命令),需要保證本功能配置的源IP地址所屬的VPN實例與該特征庫服務器所屬的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 配置特征庫在線升級時發送給服務器的請求報文的源IP地址。
inspect signature auto-update source { ip | ipv6 } { ip-address | interface interface-type interface-number }
缺省情況下,特征庫在線升級時發送給服務器的請求報文的源IP地址為係統根據路由表項查找到的出接口的地址。
DPI雲端服務器為各DPI業務提供雲端查詢功能,目前支持URL過濾分類查詢以及防病毒MD5值查詢。
配置DPI雲端查詢功能時,需要確保設備能通過靜態或動態域名解析方式獲得DPI雲端服務器的IP地址,並與之路由可達,否則進行雲端查詢會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置DPI業務雲端服務器。
inspect cloud-server host-name
缺省情況下,DPI雲端服務器主機名為sec.h3c.com。
在HA雙主模式下,開啟本功能可以保證在報文來回路徑不一致的網絡環境中正常處理DPI業務。
有關HA雙主模式的詳細介紹,請參見“高可靠性配置指導”中的“雙機熱備(RBM)”。
本功能僅在設備處於HA雙主模式下生效。
開啟本功能後可能會降低設備性能,請管理員根據實際情況進行配置。
(1) 進入係統視圖。
system-view
(2) 開啟DPI業務支持HA雙主模式功能。
inspect dual-active enable
缺省情況下,DPI業務支持HA雙主模式功能處於關閉狀態。
當管理員需要獲取WAF業務處理的HTTP報文的詳細信息時,可開啟本功能,設備將緩存HTTP報文的詳情信息,並記錄在WAF日誌中,方便用戶了解報文詳情。
對於HTTP請求報文和應答報文,WAF日誌會在原有字段的基礎上記錄不同的詳情信息:
· 對於HTTP請求報文,開啟本功能後,WAF日誌中將記錄報文的所有詳情信息。關閉本功能後,WAF日誌中僅記錄報文的請求行和請求方法。
· 對於HTTP應答報文,開啟本功能後,WAF日誌中將記錄報文的狀態行信息;關閉本功能後,WAF日誌中將不記錄報文的詳情信息。
開啟本功能後,對於已產生的WAF日誌,其報文詳情字段為空。
(1) 進入係統視圖。
system-view
(2) 開啟WAF日誌記錄報文詳情功能。
inspect waf http-log-details enable
缺省情況下,WAF日誌記錄報文詳情功能處於關閉狀態。
當客戶端使用代理方式訪問服務器時,源IP地址將會發生改變,設備無法獲取客戶端的真實IP地址,可能會造成一些攻擊無法準確識別(例如基於源IP地址數量判定是否為攻擊的場景)。開啟真實源IP檢測功能後,設備將從客戶端請求報文的相關字段獲取真正的源IP地址,避免上述問題。
(1) 進入係統視圖。
system-view
(2) 開啟真實源IP地址提取功能。
inspect real-ip enable
缺省情況下,真實源IP地址提取功能處於關閉狀態。
開啟真實源IP地址提取功能後,設備默認會通過檢測報文的多個字段獲取客戶端的真實源IP地址。當檢測出多個IP地址時,將使用優先級最高的字段中提取出的IP地址作為最終的真實源IP地址。
(1) 進入係統視圖。
system-view
(2) 配置提取真實源IP地址的字段優先級。
inspect real-ip detect-field { cdn-src-ip | tcp-option | x-real-ip | xff } priority priority-value
缺省情況下,未配置提取真實源IP地址的字段優先級,各字段優先級均為0。設備使用默認的提取順序,從高到底依次為xff、cdn-src-ip、x-real-ip、tcp-option。
在客戶端通過HTTP代理連接到Web服務器的場景中,HTTP報文的首部可能會攜帶X-Forwarded-For字段。X-Forwarded-For字段中攜帶多個地址,標準的格式為X-Forwarded-For: <client>, <proxy1>, <proxy2>,…<proxyn>。如果一個報文通過多個代理,則會列出每個代理服務器的IP地址。即,最右邊(tail)的proxyn是最新的代理服務器的IP地址,最左邊(head)的client是原始客戶端的IP地址。
(1) 進入係統視圖。
system-view
(2) 配置X-Forwarded-For字段檢測結果的提取位置。
inspect real-ip detect-field xff { head | tail }
缺省情況下,X-Forwarded-For字段的提取位置為最後一項。
當通過檢測TCP Option字段獲取真實源IP地址時,首先需要找到一個特定的標誌,再基於此標誌去獲取源IP地址。
需要配置的檢測參數如下:
· 標誌內容(hex hex-vector):TCP Option字段中,真實源IP地址位於一個“標誌”的後麵,隻有檢測到標誌,設備才會繼續向後檢測真實源IP地址。如果沒有檢測到標誌,則表示不存在真實源IP地址,設備會停止對TCP Option字段的檢測。
· 標誌內容的檢測範圍:包括偏移量(offset offset-value)和檢測深度(depth depth-value)。偏移量確定了檢測的起始位置(從TCP Option字段起始位置開始的偏移量),檢測深度確定了檢測的終止位置。
· 真實源IP地址與標誌的偏移量(ip-offset ip-offset-value):即檢測真實源IP地址的起始位置。
開啟真實源IP地址提取功能後,設備默認不從TCP Option字段提取真實源IP地址,僅在配置TCP Option檢測參數後才開始檢測TCP Option字段。
(1) 進入係統視圖。
system-view
(2) 配置TCP Option字段的檢測參數。
inspect real-ip detect-field tcp-option hex hex-vector [ offset offset-value ] [ depth depth-value ] [ ip-offset ip-offset-value ]
缺省情況下,未配置TCP Option字段的檢測參數,設備不從TCP Option字段獲取真實源IP地址。
應用層檢測引擎對報文的檢測是一個複雜且會占用一定係統資源的過程。開啟應用層檢測引擎功能後,如果出現係統CPU使用率過高等情況時,可通過關閉此功能來降低對設備轉發性能的影響。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎功能。
inspect bypass
缺省情況下,應用層檢測引擎功能處於開啟狀態。
關閉應用層檢測引擎功能後,係統將不會對接收到的報文進行DPI深度安全處理。可能導致其他基於DPI功能的業務出現中斷。例如,安全策略無法對應用進行訪問控製等。
在如下場景中管理員可能需要關閉應用層檢測引擎對指定協議報文的檢測功能。
· 場景一:當組網環境中不需要對某些協議的報文進行檢測時,可以關閉應用層檢測引擎對該協議報文的檢測,以減少對設備資源的占用,提升設備性能。
· 場景二:當應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,可單獨關閉引擎對該協議報文的檢測功能,避免由於再次檢測該協議報文導致設備反複重啟的問題,同時又不影響引擎對其他協議報文的檢測。
設備支持如下兩種方式關閉應用層檢測引擎對指定協議報文的檢測功能:
· 手動關閉:此方式要求管理員已知需要關閉哪些協議報文的檢測功能,適用於場景一和場景二。
· 自動關閉:此方式由設備自動判斷需要關閉哪些協議報文的檢測功能,適用於場景二。使用此方式後,如果應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,則當係統重啟後,應用層檢測引擎將自動關閉對該協議報文的檢測功能,跳過對此協議報文的處理。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎對指定協議報文的檢測功能。
¡ 手工關閉應用層檢測引擎對指定協議報文的檢測功能。
inspect bypass protocol { dns | ftp | ftp-data | http | https | imap | nfs | pop3 | rtmp | sip | smb | smtp | telnet | tftp } *
缺省情況下,應用層檢測引擎對所有支持的協議都進行檢測。
¡ 自動關閉應用層檢測引擎對指定協議報文的檢測功能。
inspect auto-bypass enable
缺省情況下,應用層檢測引擎自動關閉指定協議報文的檢測功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後應用層檢測引擎的運行情況。
表1-1 應用層檢測引擎顯示和維護
|
操作 |
命令 |
|
顯示應用層檢測引擎的運行狀態 |
display inspect status |
|
顯示MD5哈希運算配置 |
display inspect md5-verify configuration |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
