- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-應用層檢測引擎命令
本章節下載: 01-應用層檢測引擎命令 (510.71 KB)
目 錄
1.1.11 import block warning-file
1.1.15 inspect block-source parameter-profile
1.1.17 inspect bypass protocol
1.1.18 inspect cache-option maximum
1.1.19 inspect capture parameter-profile
1.1.21 inspect cpu-threshold disable
1.1.22 inspect email parameter-profile
1.1.23 inspect file-fixed-length
1.1.24 inspect file-fixed-length enable
1.1.25 inspect file-uncompr-layer
1.1.26 inspect file-uncompr-len
1.1.27 inspect logging parameter-profile
1.1.28 inspect optimization disable
1.1.30 inspect redirect parameter-profile
1.1.31 inspect signature auto-update proxy
1.1.32 inspect source-port-identify enable
1.1.33 inspect stream-fixed-length
1.1.34 inspect stream-fixed-length disable
1.1.35 inspect tcp-reassemble enable
1.1.36 inspect tcp-reassemble max-segment
1.1.37 inspect url-filter warning parameter-profile
1.1.38 inspect warning parameter-profile
1.1.44 reset block warning-file
1.1.46 secure-authentication enable
app-profile命令用來創建DPI應用profile,並進入DPI應用profile視圖。如果指定的DPI應用profile已經存在,則直接進入DPI應用profile視圖。
undo app-profile命令用來刪除指定的DPI應用profile。
【命令】
app-profile profile-name
undo app-profile profile-name
【缺省情況】
不存在DPI應用profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:表示DPI應用profile的名稱,為1~63個字符的字符串,不區分大小寫,且隻能為字母、數字、下劃線。
【使用指導】
DPI(Deep Packet Inspection,深度報文檢測)應用profile是一個安全業務模板,通過在DPI應用profile中引用DPI各業務策略(例如URL過濾),並將其應用於安全策略規則中來實現報文的應用層檢測功能。
【舉例】
# 創建一個名稱為abc的DPI應用profile,並進入DPI應用profile視圖。
<Sysname> system-view
[Sysname] app-profile abc
[Sysname-app-profile-abc]
authentication enable命令用來開啟發送郵件的認證功能。
undo authentication enable命令用來關閉發送郵件的認證功能。
【命令】
authentication enable
undo authentication enable
【缺省情況】
發送郵件的認證功能處於開啟狀態。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【使用指導】
當通過命令email-server指定的郵件服務器需要認證時,可以開啟發送郵件的認證功能,否則不需要開啟此功能。
【舉例】
# 關閉發送郵件的認證功能。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] undo authentication enable
block-period命令用來配置報文源IP地址被阻斷的時長。
undo block-period命令用來恢複缺省情況。
【命令】
block-period period
undo block-period
【缺省情況】
報文源IP地址被阻斷的時長為1800秒。
【視圖】
應用層檢測引擎的源阻斷動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
period:表示報文源IP地址被阻斷的時長,取值範圍為1~86400,單位為秒。
【使用指導】
如果設備上同時開啟了黑名單過濾功能,則報文的源IP地址被添加到IP黑名單表項後的老化時間為源阻斷動作參數profile中配置的阻斷時長。阻斷時長之內,後續來自該源IP地址的報文將直接被黑名單過濾功能丟棄,不再進入應用層檢測引擎中檢測。
如果設備上未開啟黑名單過濾功能,報文的源IP地址仍會被添加到IP黑名單表項中,但IP黑名單功能並未生效,後續來自該源IP地址的報文不會被黑名單過濾功能丟棄,仍將進入應用層檢測引擎中處理。
有關黑名單過濾功能的詳細介紹,請參見“安全配置指導”中的“攻擊檢測與防範”。
【舉例】
# 在名稱為b1的應用層檢測引擎源阻斷動作參數profile中,配置報文源IP地址被阻斷的時長為3600秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile b1
[Sysname-inspect-block-source-b1] block-period 3600
【相關命令】
· blacklist global enable(安全命令參考/攻擊檢測與防範)
· inspect block-source parameter-profile
capture-limit命令用來配置捕獲報文的最大字節數。
undo capture-limit命令用來恢複缺省情況。
【命令】
capture-limit kilobytes
undo capture-limit
【缺省情況】
捕獲報文的最大字節數為512千字節。
【視圖】
應用層檢測引擎的捕獲動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
kilobytes:表示捕獲報文的最大字節數,取值範圍為0~1024,單位為千字節。
【使用指導】
捕獲到的報文將被緩存到設備本地,當緩存的報文字節數達到指定上限值時,係統會將緩存的報文上傳到指定的URL上,並清空本地緩存,然後重新開始捕獲報文。如果配置捕獲報文的最大字節數為0,則係統會將捕獲到的報文立刻上傳到指定的URL上。
【舉例】
# 在名稱為c1的應用層檢測引擎捕獲動作參數profile中,配置捕獲報文的最大值為1024千字節。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-c1] capture-limit 1024
【相關命令】
· export repeating-at
· export url
· inspect capture parameter-profile
display inspect status命令用來顯示應用層檢測引擎的工作狀態。
【命令】
display inspect status
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示應用層檢測引擎的運行狀態。
<Sysname> display inspect status
Chassis 0 Slot 1:
Running status: normal
表1-1 display inspect status命令顯示信息描述表
|
字段 |
描述 |
|
Running status |
應用層檢測引擎的運行狀態,包括如下取值: · bypass by configure:因為配置原因引擎無法處理報文 · bypass by cpu busy:因為CPU使用率過高導致引擎無法處理報文 · normal:引擎工作正常 |
dns-server命令用來配置域名解析服務器的IPv4地址。
undo dns-server命令用來恢複缺省情況。
【命令】
dns-server ip-address
undo dns-server
【缺省情況】
未配置域名解析服務器的IPv4地址。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:表示域名服務器的IPv4地址,為點分十進製格式。
【使用指導】
如果配置的郵件服務器的地址為主機名格式,當設備發送日誌信息郵件時,需要通過域名解析服務器獲取郵件服務器IP地址與主機名的映射關係。
【舉例】
# 配置域名解析的服務器地址為192.168.0.1。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] dns-server 192.168.0.1
email-limit命令用來配置以郵件方式輸出日誌的限製條件。
undo email-limit命令用來恢複缺省情況。
【命令】
email-limit interval interval max-number value
undo email-limit
【缺省情況】
5分鍾內,設備最多可向外發送10封郵件。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
interval interval:指定發送郵件的間隔時間,取值範圍為1~10,單位為分鍾。
max-number max-number:指定間隔時間內可發送的最大郵件數量,取值範圍為1~100。
【使用指導】
本命令用於對設備發送日誌郵件的頻率進行限製,避免過於頻繁地發送郵件。
設備會將待發送的郵件進行緩存,到達指定的間隔時間時發送郵件。
當待發送的郵件數量達到本功能配置的最大值時,如果有新的郵件需要發送,設備會根據郵件的嚴重級別(即報文命中的IPS特征的嚴重級別)進行判斷。如果新郵件的嚴重級別高於已緩存的郵件,則新郵件會覆蓋已緩存中嚴重級別最低、最新緩存的郵件。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置郵件服務器5分鍾內最多可發送20封郵件。
<Sysname> system-view
[Sysname] inspect email parameter-profile test
[Sysname-inspect-email-test] email-limit interval 5 max-number 20
email-server命令用來配置郵件服務器的地址。
undo email-server命令用來恢複缺省情況。
【命令】
email-server address-string
undo email-server
【缺省情況】
未配置郵件服務器的地址。
【視圖】
應用層檢測引擎的郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
address-string:表示郵件服務器的地址,為3~63個字符的字符串,區分大小寫。
【使用指導】
配置的郵件服務器地址的地址既可以是郵件服務器的IP地址,也可以是郵件服務器的主機名。
采用主機名時,需要確保設備能通過靜態或動態域名解析方式獲得郵件服務器的IP地址,並與之路由可達。否則郵件發送會失敗。有關域名解析功能的配置請參見“網絡互通配置指導”中的“域名解析”。
在同一個郵件動作參數profile視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置郵件服務器地址為rndcas.123.com。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] email-server rndcas.123.com
# 配置郵件服務器地址為192.168.1.1。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] email-server 192.168.1.1
export repeating-at命令用來配置每天定時上傳捕獲報文的時間。
undo export repeating-at命令用來恢複缺省情況。
【命令】
export repeating-at time
undo export repeating-at
【缺省情況】
每天淩晨1點定時上傳捕獲報文。
【視圖】
應用層檢測引擎的捕獲動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
time:表示每天上傳捕獲報文的時間,格式為hh:mm:ss,取值範圍為00:00:00~23:59:59。
【使用指導】
每天指定的時間到達時,無論本地緩存是否達到最大值,係統將向指定的URL上傳緩存的捕獲報文,並清空本地緩存。
【舉例】
# 在名稱為c1的應用層檢測引擎捕獲動作參數profile中,配置每天定時上傳捕獲報文的時間為淩晨2點。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-c1] export repeating-at 02:00:00
【相關命令】
· capture-limit
· export url
· inspect capture parameter-profile
export url命令用來配置上傳捕獲報文的URL。
undo export url命令用來恢複缺省情況。
【命令】
export url url-string
undo export url
【缺省情況】
未配置上傳捕獲報文的URL。
【視圖】
應用層檢測引擎的捕獲動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
url-string:表示用於上傳捕獲報文的URL,為1~255個字符的字符串。
【使用指導】
本地緩存的捕獲的報文字節數達到指定上限值或者每天指定的時間到達時,係統會將緩存的報文上傳到指定的URL。如果未配置上傳捕獲報文的URL,則係統依然會上傳捕獲到的報文並清空本地緩存,但是會上傳失敗。
【舉例】
# 在名稱為c1的應用層檢測引擎捕獲動作參數profile中,配置上傳捕獲報文的URL為tftp://192.168.100.100/upload。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-c1] export url tftp://192.168.100.100/upload
【相關命令】
· inspect capture parameter-profile
· capture-limit
· export repeating-at
import block warning-file命令用來導入告警文件。
【命令】
import block warning-file file-path
【缺省情況】
設備使用缺省文件裏的告警信息:The site you are accessing has a security risk and thereby is blocked.
【視圖】
告警動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
file-path:表示告警文件的存放路徑,為1~200個字符的字符串。
【使用指導】
本命令用於導入告警文件,告警文件中可配置具體告警信息。告警信息出現在設備返回給客戶端瀏覽器的提示窗口中,用來提示用戶訪問的內容有病毒,並且已阻斷該訪問。
導入的告警文件保存在dpi/av/warning目錄下,並將其命名為av-httpDeclare-xxx,其中xxx表示對應的告警動作參數profile的名稱。
僅支持導入html和txt類型的告警文件。
告警文件支持以下導入方式:
· 本地導入:使用本地保存的告警文件導入。
· FTP/TFTP導入:通過FTP/TFTP方式下載遠程服務器上保存的告警文件,並導入該告警文件信息。
參數file-path的取值與導入的方式有關。本地導入時參數file-path取值請參見表1-2;FTP/TFTP導入時參數file-path取值請參見表1-3。
表1-2 本地導入時參數file-path取值說明表
|
導入場景 |
參數file-path取值 |
說明 |
|
告警文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
告警文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至告警文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
告警文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/filename |
需要先執行cd命令將工作路徑切換至告警文件所在存儲介質的根目錄下,再指定告警文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-3 FTP/TFTP導入時參數file-path取值說明表
|
導入場景 |
參數file-path取值 |
說明 |
|
告警文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符“%3A或%3a”、“%40”和“%2F或%2f” |
|
告警文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式導入告警文件時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則,設備導入告警文件會失敗。有關域名解析功能的詳細配置請參見“網絡互通配置指導”中的“域名解析”。
【舉例】
# 采用TFTP的方式導入告警文件,文件遠程路徑為:tftp://192.168.0.1/warning.txt。
<Sysname> system-view
[Sysname] inspect warning parameter-profile warn
[Sysname-inspect-warning-warn] import block warning-file tftp://192.168.0.1/warning.txt
#采用FTP的方式導入告警文件,文件遠程路徑為:ftp://user:[email protected]/warning.txt,用戶名為user,密碼為password。
<Sysname> system-view
[Sysname] inspect warning parameter-profile warn
[Sysname-inspect-warning-warn] import block warning-file ftp://user:[email protected]/warning.txt
# 采用本地方式導入告警文件,文件本地路徑為cfa0:/warning.txt,且當前工作路徑為cfa0。
<Sysname> system-view
[Sysname] inspect warning parameter-profile warn
[Sysname-inspect-warning-warn] import block warning-file warning.txt
import warning-file命令用來導入URL過濾告警文件。
【命令】
import warning-file file-path
【缺省情況】
存在一個名稱為uflt-xxx.html的告警文件,其中xxx表示URL過濾告警動作參數profile的名稱。
【視圖】
URL過濾告警動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
file-path:表示告警文件的存放路徑,為1~200個字符的字符串。
【使用指導】
缺省告警信息文件中包含的告警信息內容如下:
Web Access Blocked
Your access to this website was denied. To access this webpage, contact Technical Support.
· Reason:XXX
· Category:XXX
· URL:XXXX
其中,設備會根據實際情況顯示Reason、Category和URL的具體內容。
· Reason:表示客戶端訪問的URL被阻斷的原因。包括如下取值。
¡ 當客戶端訪問的URL因命中URL過濾黑名單而被阻斷時,此字段將顯示為:The URL of the website hit the URL blacklist.
¡ 當客戶端訪問的URL因命中自定義URL分類而被阻斷時,此字段將顯示為:The URL of the website hit a user-defined URL category.
¡ 當客戶端訪問的URL因命中預定義URL分類而被阻斷時,此字段將顯示為The URL of the website hit a predefined URL category.
¡ 當客戶端訪問的URL因未命中白名單模式下的白名單而被阻斷時,此字段將顯示為:No matching whitelist entry was found for the website in whitelist mode.
¡ 當客戶端訪問的URL因未匹配到任何允許訪問的URL分類而被阻斷時,此字段將顯示為:The URL of the website did not match any accessible URL category.
¡ 當客戶端訪問的URL因命中URL信譽特征庫而被阻斷時,此字段將顯示為:The URL of the website hit the URL reputation signature library.
· Category:表示客戶端訪問的URL所屬的自定義分類、預定義分類或URL信譽的攻擊分類。
· URL:表示客戶端訪問的URL。
當缺省的告警信息不滿足實際需求時,管理員可以自行編輯一個HTML或TXT類型的告警文件,並通過本命令導入到設備中。設備會將導入的告警文件中的內容放入缺省告警信息文件中,覆蓋原有內容。當設備阻斷客戶端訪問的URL後,會向客戶端瀏覽器的提示框中顯示更新後的告警信息。
告警文件支持以下導入方式:
· 本地導入:導入設備本地保存的告警文件。
· FTP/TFTP導入:通過FTP/TFTP方式導入遠程服務器上保存的告警文件。
多次執行本命令,最後一次執行的命令生效。
參數file-path的取值與導入的方式有關。本地導入時參數file-path取值請參見表1-4;FTP/TFTP導入時參數file-path取值請參見表1-5。
表1-4 本地導入時參數file-path取值說明表
|
導入場景 |
參數file-path取值 |
說明 |
|
告警文件的存儲位置與當前工作路徑一致 |
filename |
可以執行pwd命令查看當前工作路徑 有關pwd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
告警文件的存儲位置與當前工作路徑不一致,且在相同存儲介質上 |
filename |
需要先執行cd命令將工作路徑切換至告警文件所在目錄下 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
|
告警文件的存儲位置與當前工作路徑不在相同存儲介質上 |
path/filename |
需要先執行cd命令將工作路徑切換至告警文件所在存儲介質的根目錄下,再指定告警文件的相對路徑 有關cd命令的詳細介紹請參見“基礎配置命令參考”中的“文件係統管理” |
表1-5 FTP/TFTP導入時參數file-path取值說明表
|
導入場景 |
參數file-path取值 |
說明 |
|
告警文件存儲在開啟FTP服務的遠程服務器上 |
ftp://username:password@server/filename |
username為登錄FTP服務器的用戶名,password為登錄FTP服務器的密碼,server為FTP服務器的IP地址或主機名 當FTP的用戶名和密碼中使用了“:”、“@”和“/”三種特殊字符時,需要將這三種特殊字符替換為其對應的轉義字符“%3A或%3a”、“%40”和“%2F或%2f” |
|
告警文件存儲在開啟TFTP服務的遠程服務器上 |
tftp://server/filename |
server為TFTP服務器的IP地址或主機名 |
當采用FTP/TFTP方式導入告警文件時,如果指定的是服務器的主機名,則需要確保設備能通過靜態或動態域名解析方式獲得FTP/TFTP服務器的IP地址,並與之路由可達。否則,設備導入告警文件會失敗。有關域名解析功能的詳細配置請參見“網絡互通配置指導” 中的“域名解析”。
【舉例】
# 采用TFTP的方式導入URL過濾告警文件,文件遠程路徑為:tftp://192.168.0.1/warning.txt。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile warn
[Sysname-inspect-url-filter-warning-warn] import warning-file tftp://192.168.0.1/warning.txt
# 采用FTP的方式導入URL過濾告警文件,文件遠程路徑為:ftp://user:[email protected]/warning.txt,用戶名為user,密碼為password。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile warn
[Sysname-inspect-url-filter-warning-warn] import warning-file ftp://user:[email protected]/warning.txt
# 采用本地方式導入URL過濾告警文件,文件本地路徑為cfa0:/warning.txt,且當前工作路徑為cfa0。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile warn
[Sysname-inspect-url-filter-warning-warn] import warning-file warning.txt
inspect activate命令用來激活DPI各業務模塊的策略和規則配置。
【命令】
inspect activate
【缺省情況】
DPI各業務模塊的策略和規則被創建、修改和刪除後會自動激活。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
缺省情況下,當任意一個DPI業務模塊(比如URL過濾業務)發生配置變更時(即策略或規則被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時執行一次激活操作,使這些策略和規則的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果希望對發生變化的業務的策略或規則立即進行激活,可執行inspect activate命令手工激活。
【舉例】
# 激活DPI各業務模塊的策略和規則配置。
<Sysname> system-view
[Sysname] inspect activate
inspect auto-bypass enable命令用來開啟應用層檢測引擎自動關閉對指定協議報文的檢測功能。
undo inspect auto-bypass enable命令用來關閉應用層檢測引擎自動關閉對指定協議報文的檢測功能。
【命令】
inspect auto-bypass enable
undo inspect auto-bypass enable
【缺省情況】
應用層檢測引擎自動關閉指定協議報文的檢測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟本功能後,如果應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,則當係統重啟後,應用層檢測引擎將自動關閉對該協議報文的檢測功能,跳過對此協議報文的處理。
【舉例】
# 開啟應用層檢測引擎自動關閉對指定協議報文的檢測功能。
<Sysname> system-view
[Sysname] inspect auto-bypass enable
This feature might cause some functions of the DPI engine to be unavailable. Continue? [Y/N]:y
inspect block-source parameter-profile命令用來創建應用層檢測引擎的源阻斷動作參數profile,並進入源阻斷動作參數profile視圖。如果指定的源阻斷動作參數profile已經存在,則直接進入源阻斷動作參數profile視圖。
undo inspect block-source parameter-profile命令用來刪除應用層檢測引擎的源阻斷動作參數profile。
【命令】
inspect block-source parameter-profile parameter-name
undo inspect block-source parameter-profile parameter-name
【缺省情況】
不存在源阻斷動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
parameter-name:表示源阻斷動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入源阻斷動作參數profile視圖後,可以配置對報文執行源阻斷動作時采用的特定參數,比如阻斷時長。
【舉例】
# 創建名稱為b1的應用層檢測引擎源阻斷動作參數profile,並進入源阻斷動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile b1
[Sysname-inspect-block-source-b1]
【相關命令】
· block-period
inspect bypass命令用來關閉應用層檢測引擎功能。
undo inspect bypass命令用來開啟應用層檢測引擎功能。
【命令】
inspect bypass
undo inspect bypass
【缺省情況】
應用層檢測引擎功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
關閉應用層檢測引擎功能後,係統將不會對接收到的報文進行DPI深度安全處理。可能導致其他基於DPI功能的業務出現中斷。例如,安全策略無法對應用進行訪問控製等。
應用層檢測引擎對報文的檢測是一個複雜且會占用一定的係統資源的過程。開啟應用層檢測功能後,如果出現CPU使用率過高等情況時,可以通過關閉此功能來保證設備的正常運行。
【舉例】
# 關閉應用層檢測引擎功能。
<Sysname> system-view
[Sysname] inspect bypass
【相關命令】
· display inspect status
inspect bypass protocol命令用來手工關閉應用層檢測引擎對指定協議報文的檢測功能。
undo inspect bypass protocol命令用來手工開啟應用層檢測引擎對指定協議報文的檢測功能。
【命令】
inspect bypass protocol { dns | ftp | ftp-data | http | https | imap | nfs | pop3 | rtmp | sip | smb | smtp | telnet | tftp } *
undo inspect bypass protocol [ dns | ftp | ftp-data | http | https | imap | nfs | pop3 | rtmp | sip | smb | smtp | telnet | tftp ] *
【缺省情況】
應用層檢測引擎對所有支持的協議都進行檢測。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dns:表示關閉應用層檢測引擎對DNS協議報文的檢測功能。
ftp:表示關閉應用層檢測引擎對FTP協議報文的檢測功能。
ftp-data:表示關閉應用層檢測引擎對FTP-DATA協議報文的檢測功能。
http:表示關閉應用層檢測引擎對HTTP協議報文的檢測功能。
https:表示關閉應用層檢測引擎對HTTPS協議報文的檢測功能。
imap:表示關閉應用層檢測引擎對IMAP協議報文的檢測功能。
nfs:表示關閉應用層檢測引擎對NFS協議報文的檢測功能。
pop3:表示關閉應用層檢測引擎對POP3協議報文的檢測功能。
rtmp:表示關閉應用層檢測引擎對RTMP協議報文的檢測功能。
sip:表示關閉應用層檢測引擎對SIP協議報文的檢測功能。
smb:表示關閉應用層檢測引擎對SMB協議報文的檢測功能。
smtp:表示關閉應用層檢測引擎對SMTP協議報文的檢測功能。
telnet:表示關閉應用層檢測引擎對TELNET協議報文的檢測功能。
tftp:表示關閉應用層檢測引擎對TFTP協議報文的檢測功能。
【使用指導】
執行undo inspect bypass protocol命令時,如果不指定任何參數,則表示開啟應用層檢測引擎對所有協議報文的檢測功能。
建議在如下場景中配置本命令關閉應用層檢測引擎對指定協議報文的檢測功能:
· 當組網環境中不需要對某些協議的報文進行檢測時,可以關閉應用層檢測引擎對該協議報文的檢測,以減少對設備資源的占用,提升設備性能。
· 當應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,可單獨關閉引擎對該協議報文的檢測功能,規避由檢測該協議報文帶來的問題,同時又不影響引擎對其他協議報文的檢測。
【舉例】
# 手工關閉應用層檢測引擎對HTTP協議報文的檢測功能。
<Sysname> system-view
[Sysname] inspect bypass protocol http
This feature might cause the DPI engine to be unavailable for the specified protocol. Continue? [Y/N]:y
【相關命令】
· display inspect status
inspect cache-option maximum命令用來配置應用層檢測引擎緩存待檢測規則的選項的最大數目。
undo cache-option命令用來恢複缺省情況。
【命令】
inspect cache-option maximum max-number
undo inspect cache-option
【缺省情況】
應用層檢測引擎緩存待檢測規則的選項的最大數目為32。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
max-number:指定應用層檢測引擎在檢測報文時,對每條TCP/UDP流緩存待檢測規則的選項的最大數目,取值範圍為1~254。
【使用指導】
應用層檢測引擎中的檢測規則是由各個DPI業務模塊中的規則或特征轉換而成。一個檢測規則可以對應多個關鍵字,每個關鍵字可對應多個選項。僅當關鍵字和選項全部匹配,該檢測規則才能匹配成功。
當應用層檢測引擎在檢測一條TCP/UDP數據流時,首先匹配上了一個關鍵字,此時還不能確定檢測規則是否匹配成功,還需要對該關鍵字所對應的所有選項進行匹配。若當前報文不能匹配到某個選項,則需要將該選項緩存,以便後續報文與之匹配;若選項成功匹配,則不進行緩存,繼續匹配下一個選項。直到所有選項均成功匹配,數據流才能與該檢測規則成功匹配。
通常,使用缺省配置即可滿足用戶需求。但是在某些場景中,為了提高應用層檢測引擎對TCP/UDP數據流應用或行為的識別能力和準確率,需要將應用層檢測引擎當前緩存待檢測選項的最大數調高,調高後,每條數據流占用的內存可能會上升。同理某些場景下,設備內存使用率偏高,可以調低此參數,提高設備性能,以保證基礎的數據轉發正常進行。
【舉例】
# 配置應用層檢測引擎緩存待檢測規則的選項的最大數目為4。
<Sysname> system-view
[Sysname] inspect cache-option maximum 4
inspect capture parameter-profile命令用來創建應用層檢測引擎的捕獲動作參數profile,並進入捕獲動作參數profile視圖。如果指定的捕獲動作參數profile已經存在,則直接進入捕獲動作參數profile視圖。
undo inspect capture parameter-profile命令用來刪除應用層檢測引擎的捕獲動作參數profile。
【命令】
inspect capture parameter-profile parameter-name
undo inspect capture parameter-profile parameter-name
【缺省情況】
不存在捕獲動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:捕獲動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入捕獲動作參數profile視圖後,可以配置執行報文捕獲動作時采用的特定參數,比如本地緩存報文的最大值字節數。目前,僅IPS功能支持。
【舉例】
# 創建名稱為c1的應用層檢測引擎捕獲動作參數profile,並進入捕獲動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-c1]
【相關命令】
· capture-limit
· export repeating-at
· export url
inspect coverage命令用來配置應用層檢測引擎檢測率模式。
undo inspect coverage命令用來恢複缺省情況。
【命令】
inspect coverage { balanced | large-coverage | high-performance | user-defined }
undo inspect coverage
【缺省情況】
應用層檢測引擎檢測率模式為平衡模式。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
balanced:表示平衡模式。該模式下,設備會在性能和檢測率之間進行調整,以達到平衡狀態。
large-coverage:表示高檢測率模式。該模式下,設備會適當的犧牲性能,以達到最佳的引擎檢測率。
high-performance:表示最佳性能模式。該模式下,設備會適當降低引擎檢測率,以保證最佳性能。
user-defined:表示自定義模式。該模式下,用戶可以根據需求調整應用層檢測引擎的檢測長度。
【使用指導】
為了適應不同場景下對設備性能和檢測率的不同需求,應用層檢測引擎支持如下幾種選項供選擇:
· balanced:適用於大多數場景,設備在性能和檢測率之間可以達到平衡狀態。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為64千字節;MD5最大檢測長度為2048千字節。
· large-coverage:適用於對檢測率要求較高的場景,設備將提升檢測率,但同時會對性能產生一定影響。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為128千字節;MD5最大檢測長度為5120千字節。
· high-performance:適用於對設備性能要求較高的場景,設備可在保證一定檢測率的前提下,提升性能。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為32千字節;MD5最大檢測長度為32千字節。
· user-defined:適用於對檢測率和性能有精確要求的場景。此模式下,可以自定義應用層檢測引擎對各協議數據流的最大檢測長度(通過inspect stream-fixed-length命令配置)。
【舉例】
# 配置應用層檢測引擎檢測率模式為自定義模式。
<Sysname> system-view
[Sysname] inspect coverage user-defined
【相關命令】
· inspect stream-fixed-length enable
· inspect file-fixed-length enable
inspect cpu-threshold disable命令用來關閉CPU門限響應功能。
undo inspect cpu-threshold disable命令用來開啟CPU門限響應功能。
【命令】
inspect cpu-threshold disable
undo inspect cpu-threshold disable
【缺省情況】
CPU門限響應功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
應用層檢測引擎對報文的檢測是一個比較複雜且會占用一定係統資源的過程。當設備的CPU利用率較高時,應用層檢測引擎CPU門限響應功能會啟動如下機製來緩解係統資源緊張的問題。
· 當CPU利用率達到設備上配置的CPU利用率閾值時,係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。
· 當設備的CPU利用率恢複到或低於設備上配置的CPU利用率恢複閾值時,係統會恢複應用層檢測引擎的檢測功能。
在係統CPU占用率較高的情況下,不建議用戶配置此命令。
【舉例】
# 關閉CPU門限響應功能。
<Sysname> system-view
[Sysname] inspect cpu-threshold disable
【相關命令】
· display inspect status
· inspect bypass
· inspect stream-fixed-length disable
inspect email parameter-profile命令用來創建應用層檢測引擎的郵件動作參數profile,並進入郵件動作參數profile視圖。如果指定的郵件動作參數profile已經存在,則直接進入郵件動作參數profile視圖。
undo inspect email parameter-profile命令刪除應用層檢測引擎郵件動作參數profile。
【命令】
inspect email parameter-profile parameter-name
undo inspect email parameter-profile parameter-name
【缺省情況】
不存在郵件動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
parameter-name:表示郵件動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入郵件動作參數profile視圖後,可以配置執行發送郵件動作時采用的特定參數,比如郵件服務器的地址、發件人與收件人的地址和登錄郵件服務器的用戶名和密碼等信息。
【舉例】
# 創建名稱為c1的應用層檢測引擎郵件動作參數profile,並進入郵件動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1]
inspect file-fixed-length命令用來配置應用層檢測引擎檢測文件的固定長度。
undo inspect file-fixed-length命令用來恢複缺省情況。
【命令】
inspect file-fixed-length { email | ftp | http | nfs | smb } * length-value
undo inspect file-fixed-length
【缺省情況】
應用層檢測引擎對基於FTP協議、HTTP協議、NFS協議、SMB協議和與E-mail相關協議傳輸的文件固定檢測長度均為64千字節。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
email:表示配置基於E-mail相關協議傳輸的文件的固定檢測長度,支持的E-mail協議包括SMTP、POP3和IMAP。
ftp:表示配置基於FTP協議傳輸的文件的固定檢測長度。
http:表示配置基於HTTP協議傳輸的文件的固定檢測長度。
nfs:表示配置基於NFS協議傳輸的文件的固定檢測長度。
smb:表示配置基於SMB協議傳輸的文件的固定檢測長度。
length-value:文件的固定檢測長度,取值範圍為1~2048,單位為KB。
【使用指導】
本命令僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
由於病毒特征一般都位於文件的前半部分,可配置文件的固定檢測長度,對超過長度的文件內容不再進行檢測,從而提高設備的檢測效率。
如果一條數據流中包含多個文件,則每個文件均僅檢測配置的固定長度內的內容。
由於文件在數據流中傳輸,所以配置的文件固定檢測長度必須小於等於數據流固定檢測長度(通過inspect stream-fixed-length命令配置)。
【舉例】
# 配置應用層檢測引擎檢測基於HTTP協議傳輸的文件的固定檢測長度為128KB。
<Sysname> system-view
[Sysname] inspect file-fixed-length http 128
【相關命令】
· inspect coverage user-defined
· inspect file-fixed-length enable
· inspect stream-fixed-length
inspect file-fixed-length enable命令用來開啟應用層檢測引擎檢測固定長度文件功能。
undo inspect file-fixed-length enable命令用來關閉應用層檢測引擎檢測固定長度文件功能。
【命令】
inspect file-fixed-length enable
undo inspect file-fixed-length enable
【缺省情況】
應用層檢測引擎檢測固定長度文件功能處於關閉狀態,不對文件檢測長度進行限製。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
本功能用於限製應用層檢測引擎隻檢測每條數據流中固定長度內的文件內容,超出固定長度後的文件內容不再檢測。
開啟本功能後,會導致超過出固定長度的文件內容無法識別,可能會對數據過濾等業務產生影響。
【舉例】
# 開啟應用層檢測引擎檢測固定長度文件功能。
<Sysname> system-view
[Sysname] inspect file-fixed-length enable
【相關命令】
· inspect coverage user-defined
· inspect file-fixed-length
inspect file-uncompr-layer命令用來配置可解壓縮文件層數上限。
undo inspect file-uncompr-layer命令用來恢複缺省情況。
【命令】
inspect file-uncompr-layer max-layer
undo inspect file-uncompr-layer
【缺省情況】
可解壓縮文件層數上限為3。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
max-layer:表示可解壓縮文件層數上限,取值範圍0~8。當此參數配置為0時,表示不對文件進行解壓縮。
【使用指導】
當需要檢測的內容存在多層壓縮的文件時,可配置本命令設置可解壓縮文件的層數。當超過配置的可解壓縮文件的層數時,設備將不對超出層數上限的文件進行解壓縮,直接按照壓縮文件格式進行特征匹配等處理。
如果配置的層數過大,當設備頻繁收到多層壓縮的文件時,設備將一直解壓縮一個文件,會影響後續文件的解壓縮,並消耗大量的設備內存;如果配置的層數過小,可能導致壓縮文件中的原始文件內容無法正確識別,從而對DPI業務(例如防病毒和數據過濾業務)的檢測結果產生影響。請管理員合理配置此參數。
設備僅支持對ZIP和GZIP類型文件進行解壓縮。
【舉例】
# 配置最大解壓縮文件層數為5。
<Sysname> system-view
[Sysname] inspect file-uncompr-layer 5
【相關命令】
· inspect file-uncompr-len
inspect file-uncompr-len命令用來配置可解壓縮數據上限。
undo inspect file-uncompr-len命令用來恢複缺省情況。
【命令】
inspect file-uncompr-len max-size
undo inspect file-uncompr-len
【缺省情況】
可解壓縮數據上限為100MB。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
max-size:表示可解壓縮數據上限,取值範圍為1~200,單位為MB。
【使用指導】
可解壓縮數據上限是指設備解壓一個文件時可解壓縮數據的最大值。到達上限後,該文件的剩餘數據不再進行解壓。
如果配置的可解壓縮數據過大,當設備頻繁收到過大的壓縮文件時,設備將一直解壓縮一個文件,會影響後續文件的解壓縮,並影響設備的轉發性能;如果配置的可解壓縮數據過小,設備將不能識別壓縮文件中的部分內容,從而對DPI業務(例如防病毒和數據過濾業務)的檢測結果產生影響。請管理員合理配置此參數。
目前,僅支持解壓縮ZIP格式的文件。
【舉例】
# 配置最大解壓縮數據大小為150MB。
<Sysname> system-view
[Sysname] inspect file-uncompr-len 150
inspect logging parameter-profile命令用來創建應用層檢測引擎的日誌動作參數profile,並進入日誌動作參數profile視圖。如果指定的日誌動作參數profile已經存在,則直接進入日誌動作參數profile視圖。
undo inspect logging parameter-profile命令用來刪除應用層檢測引擎的日誌動作參數profile。
【命令】
inspect logging parameter-profile parameter-name
undo inspect logging parameter-profile parameter-name
【缺省情況】
不存在日誌動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:日誌動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入日誌動作的參數profile視圖後,可以配置生成報文日誌時采用的特定參數,比如輸出日誌的方式。
【舉例】
# 創建名稱為log1的應用層檢測引擎的日誌動作參數profile,並進入日誌動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect logging parameter-profile log1
[Sysname-inspect-logging-log1]
【相關命令】
· log
inspect optimization disable命令用來關閉指定的應用層檢測引擎的優化調試功能。
undo inspect optimization disable命令用來開啟指定的應用層檢測引擎的優化調試功能。
【命令】
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
undo inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
【缺省情況】
應用層檢測引擎的所有優化調試功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
chunk:表示應用層檢測引擎對Chunk格式報文進行解碼的優化調試功能。
no-acsignature:表示應用層檢測引擎對沒有關鍵字檢測規則進行檢測的優化調試功能。
raw:表示應用層檢測引擎對未經解碼TCP/UDP的應用層載荷字段進行檢測的優化調試功能。
uncompress:表示應用層檢測引擎對HTTP Body字段進行解壓縮的優化調試功能。
url-normalization:表示應用層檢測引擎對HTTP URL字段進行正規化校準的優化調試功能。
【使用指導】
如果不指定任何參數,則表示關閉或開啟應用層檢測引擎的所有優化調試功能。
有關應用層檢測引擎的各種優化調試功能的詳細介紹如下:
· 應用層檢測引擎對Chunk格式報文進行解碼的優化調試功能:Chunk是HTTP協議載荷(Body)的一種傳輸方式,對於以Chunk方式傳輸的HTTP協議的載荷,需要先對其進行解碼以獲取真正的載荷內容。但是在某些應用場景下,設備的處理性能不能滿足用戶基本的通信需求,這時,關閉應用層檢測引擎解碼Chunk格式報文的功能,可以提高設備的吞吐量。但是配置關閉應用層檢測引擎解碼Chunk格式報文的功能後,應用層檢測引擎對某些針對安全漏洞的攻擊行為不能被識別。
· 應用層檢測引擎對沒有關鍵字檢測規則進行檢測的優化調試功能:沒有關鍵字的檢測規則是指此規則不是基於字符串匹配進行檢測,而是基於報文的端口號、錯誤碼等字段進行檢測。缺省情況下應用層檢測引擎對沒有關鍵字的檢測規則進行檢測,但是在某些場景下,如果設備的吞吐量較差,不能滿足客戶基本的通信需求,此時可以配置應用層檢測引擎對沒有關鍵字的檢測規則不進行檢測,以提高設備的性能,保證用戶最基礎的網絡通信。
· 應用層檢測引擎對未經解碼TCP/UDP的應用層載荷字段進行檢測的優化調試功能:有些TCP/UDP數據流的應用層協議(例如HTTP、SMTP、POP3、IMAP4)涉及編碼和解碼處理,而對該類數據流的應用層內容的檢測需要在對報文載荷進行解碼之後進行。如果當前設備的處理性能不能滿足用戶基本的通信需求,可以通過該命令取消對未解碼的應用層載荷字段的檢測,以提高設備的吞吐量。但是配置此功能後,應用層檢測引擎對報文載荷內容的應用或行為的識別能力會受到影響。
· 應用層檢測引擎對HTTP Body字段進行解壓縮的優化調試功能:如果報文的HTTP Body字段是壓縮編碼,應用層檢測引擎需要先對HTTP Body字段進行解壓縮後,才能對此字段的內容進行檢測。但是在某些應用場景下,設備的處理性能不能滿足用戶基本的通信需求,這時,可以通過配置此命令來取消對HTTP Body字段的壓縮編碼進行解壓縮處理,以提高設備的吞吐量。但是配置此功能後,應用層檢測引擎對某些針對安全漏洞的攻擊行為不能被識別。
· 應用層檢測引擎對HTTP URL字段進行正規化校準的優化調試功能:對HTTP URL字段進行正規化校準功能是指把URL中絕對路徑字調整為常規路徑格式,對特殊的路徑字段進行調整和正確性檢查。例如報文URL中絕對路徑部分輸入的是test/dpi/../index.html,正規化處理後是test/index.html。但是在某些應用場景下,設備的處理性能不能滿足用戶基本的通信需求,這時,可以通過配置此命令來取消對HTTP URL字段進行正規化校準處理,以提高設備的吞吐量。但是配置此功能後,應用層檢測引擎對某些針對安全漏洞的攻擊行為不能被識別。
【舉例】
# 關閉應用層檢測引擎的所有優化調試功能。
<Sysname> system-view
[Sysname] inspect optimization disable
inspect packet maximum命令用來配置應用層檢測引擎可檢測有載荷內容的報文的最大數目。
undo inspect packet命令用來恢複缺省情況。
【命令】
inspect packet maximum max-number
undo inspect packet
【缺省情況】
應用層檢測引擎可檢測有載荷內容的報文的最大數目為32。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
max-number:指定應用層檢測引擎檢測有載荷內容的報文的最大數目,取值範圍為1~254。
【使用指導】
應用層檢測引擎在對一個數據流的第一個有載荷內容的報文進行檢測時,如果沒有匹配上任何檢測規則,則需要繼續檢測此數據流的第二個有載荷內容的報文,以此類推。如果直到設備設置的最大報文檢測個數還未匹配上任何檢測規則,則表示對此數據流匹配失敗,並直接允許此數據流通過。
通常,使用缺省配置即可滿足應用需求。但是在某些應用場景中,應用層檢測引擎在檢測有載荷內容的報文的個數達到指定的個數之後,仍然不能識別當前報文應用層信息的應用或行為,此時需要調高這個參數。調高此參數後,設備的吞吐量性能會下降,但是應用識別的成功率會增加。同理在設備吞吐量較差,不能滿足客戶需求的應用場景中,此時需要調低這個參數,調低參數後,吞吐量會增加,但是應用識別成功率會降低。
【舉例】
# 配置應用層檢測引擎可檢測有載荷內容的報文的最大數目為16。
<Sysname> system-view
[Sysname] inspect packet maximum 16
inspect redirect parameter-profile命令用來創建應用層檢測引擎的重定向動作參數profile,並進入重定向動作參數profile視圖。如果指定的重定向動作參數profile已經存在,則直接進入重定向動作參數profile視圖。
undo inspect redirect parameter-profile命令用來刪除應用層檢測引擎的重定向動作參數profile。
【命令】
inspect redirect parameter-profile parameter-name
undo inspect redirect parameter-profile parameter-name
【缺省情況】
不存在重定向動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
parameter-name:重定向動作參數profile的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
進入重定向動作參數profile視圖後,可以配置對報文執行重定向動作時采用的特定參數,比如對報文重定向的URL。
【舉例】
# 創建名稱為r1的應用層檢測引擎重定向動作參數profile,並進入重定向動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect redirect parameter-profile r1
[Sysname-inspect-redirect-r1]
inspect signature auto-update proxy命令用來配置DPI業務特征庫在線升級所使用的代理服務器。
undo inspect signature auto-update proxy命令用來恢複缺省情況。
【命令】
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
undo inspect signature auto-update proxy
【缺省情況】
未配置DPI業務特征庫在線升級所使用的代理服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
domain domain-name:指定代理服務器的域名。domain-name表示代理服務器的域名,為3~63個字符的字符串,不區分大小寫。
ip ip-address:指定代理服務器的IP地址,僅支持IPv4類型地址。
port port-number:指定代理服務器的端口號,取值範圍為1~65535,缺省值為80。
user user-name:指定登錄代理服務器的用戶名。user-name表示用戶名,為1~31個字符的字符串,不區分大小寫。
password:指定登錄代理服務器的用戶密碼。
cipher:表示以密文方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~31個字符的字符串,密文密碼為1~73個字符的字符串。
【使用指導】
當DPI業務模塊(例如URL過濾業務)的特征庫進行在線升級時,若設備不能連接到官方網站,則可配置一個代理服務器使設備連接到官方網站上的特征庫服務專區,進行特性庫在線升級。有關特征庫在線升級功能的詳細介紹,請參見各DPI業務配置指導手冊中的“特征庫升級與回滾”。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置DPI業務特征庫在線升級所使用的代理服務器域名為www.abc.com,端口號為8888,登錄代理服務器的用戶名和密碼均為admin。
<Sysname> system-view
[Sysname] inspect signature auto-update proxy domain www.abc.com port 8888 user admin password simple admin
inspect source-port-identify enable命令用來開啟基於源端口的應用識別功能。
undo inspect source-port-identify enable命令用來關閉基於源端口的應用識別功能。
【命令】
inspect source-port-identify enable
undo inspect source-port-identify enable
【缺省情況】
基於源端口的應用識別功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
如果網絡中的流量種類單一、源端口固定,但無法通過目的端口對其進行基於端口的應用識別或無法基於流量特征進行內容識別時,可以開啟本功能,對流量進行源端口識別,將源端口為固定端口的流量識別為訪問特定類型應用的流量。
開啟本功能後,可能會造成應用識別結果的誤報,請管理員根據組網環境的實際情況配置。
【舉例】
# 開啟基於源端口的應用識別功能。
<sysname> system-view
[sysname] inspect source-port-identify enable
inspect stream-fixed-length命令用來配置應用層檢測引擎檢測數據流的固定長度。
undo inspect stream-fixed-length命令用來恢複缺省情況。
【命令】
inspect stream-fixed-length { email | ftp | http | nfs | smb } * length
undo inspect stream-fixed-length
【缺省情況】
應用層檢測引擎對FTP協議、HTTP協議、NFS協議、SMB協議和與E-mail相關協議數據流的固定檢測長度均為64千字節。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
email:表示設置檢測與E-mail協議相關類型數據流的固定長度,支持的E-mail協議包括SMTP、POP3和IMAP。
ftp:表示設置檢測FTP協議類型數據流的固定長度。
http:表示設置檢測HTTP協議類型數據流的固定長度。
nfs:表示設置檢測NFS協議類型數據流的固定長度。
smb:表示設置檢測SMB協議類型數據流的固定長度。
length:表示設置檢測指定協議類型數據流的固定長度,取值範圍為1~2048,單位為千字節。
【使用指導】
本命令僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
調高此參數後,設備的吞吐量性能會下降,但是應用層信息識別的成功率會提高;同理調低參數後,設備的吞吐量會增加,但是應用層信息識別的成功率會降低。
【舉例】
# 配置應用層檢測引擎檢測FTP協議類型數據流的固定長度為35千字節,檢測HTTP協議類型數據流的固定長度為40千字節。
<Sysname> system-view
[Sysname] inspect stream-fixed-length ftp 35 http 40
【相關命令】
· inspect coverage user-defined
· inspect cpu-threshold disable
· inspect stream-fixed-length disable
inspect stream-fixed-length disable命令用來關閉應用層檢測引擎檢測固定長度數據流功能。
undo inspect stream-fixed-length disable命令用來開啟應用層檢測引擎檢測固定長度數據流功能。
【命令】
inspect stream-fixed-length disable
undo inspect stream-fixed-length disable
【缺省情況】
應用層檢測引擎檢測固定長度數據流功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
應用層檢測引擎檢測固定長度數據流功能,是指應用層檢測引擎隻檢測每條數據流首包後固定長度內的數據,不再檢測超出固定長度後的數據。
【舉例】
# 關閉應用層檢測引擎檢測固定長度數據流功能。
<Sysname> system-view
[Sysname] inspect stream-fixed-length disable
【相關命令】
· inspect coverage user-defined
· inspect cpu-threshold disable
· inspect stream-fixed-length
inspect tcp-reassemble enable命令用來開啟TCP數據段重組功能。
undo inspect tcp-reassemble enable命令用來關閉TCP數據段重組功能。
【命令】
inspect tcp-reassemble enable
undo inspect tcp-reassemble enable
【缺省情況】
TCP數據段重組功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
大量的TCP亂序數據段極有可能會造成應用層檢測引擎對此TCP數據流檢測失敗。例如應用層檢測引擎需要檢測TCP載荷中是否包含關鍵字“this is a secret”,由於數據段亂序,可能含有“a secret”的數據段先到達設備,含有“this is”的數據段後到達設備,這樣就會造成應用層檢測引擎對此TCP數據流檢測失敗。
為了提高應用層檢測引擎對TCP數據流檢測的準確率,可以在設備上開啟TCP數據段重組功能。當接收到亂序的TCP數據段時,設備會將此數據段和來自於同一條數據流的後續數據段暫時保存至緩衝區,進行TCP數據段重組,完成數據段重組再送往後續流程處理。
若緩衝區中已緩存的數據段數目達到最大值(可以通過inspect tcp-reassemble max-segment命令來配置)時仍無法成功重組,則設備直接將已緩存的亂序數據段和此條數據流的所有後續TCP數據段送往後續流程處理,不再進行TCP重組。這樣可以降低對設備轉發性能的影響。
【舉例】
# 開啟TCP數據段重組功能。
<Sysname> system-view
[Sysname] inspect tcp-reassemble enable
【相關命令】
· inspect tcp-reassemble max-segment
inspect tcp-reassemble max-segment命令用來配置TCP重組緩衝區可緩存的TCP數據段最大數目。
undo inspect tcp-reassemble max-segment命令用來恢複缺省情況。
【命令】
inspect tcp-reassemble max-segment max-number
undo inspect tcp-reassemble max-segment
【缺省情況】
TCP重組緩衝區可緩存的TCP數據段最大數目為10。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
max-number:表示TCP重組緩衝區可緩存的TCP數據段最大數目,取值範圍為10~50。
【使用指導】
在存在大量TCP亂序數據段的網絡環境中,調高此參數,則可提高應用層檢測引擎對TCP數據段檢測的準確率,但是設備轉發性能可能會下降。若調低此參數可避免因長時間緩存TCP數據段而造成設備轉發性能下降,但是應用層檢測引擎對TCP數據段檢測的準確率會降低。請根據實際情況調整此參數。
本命令僅在開啟TCP數據段重組功能後生效。
【舉例】
# 配置TCP重組緩衝區中可緩存的TCP數據段最大數目為20。
<Sysname> system-view
[Sysname] inspect tcp-reassemble max-segment 20
【相關命令】
· inspect tcp-reassemble enable
inspect url-filter warning parameter-profile命令用來創建應用層檢測引擎的URL過濾告警動作參數profile,並進入URL過濾告警動作參數profile視圖。如果指定的URL過濾告警動作參數profile已經存在,則直接進入URL過濾告警動作參數profile視圖。
undo inspect url-filter warning parameter-profile命令用來刪除應用層檢測引擎的URL過濾告警動作參數profile。
【命令】
inspect url-filter warning parameter-profile profile-name
undo inspect url-filter warning parameter-profile profile-name
【缺省情況】
不存在URL過濾告警動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:URL過濾告警動作參數profile的名稱,為1~63個字符的字符串,隻支持數字、字母、下劃線,不區分大小寫。
【使用指導】
創建URL過濾告警動作參數profile後,可通過導入告警文件的方式配置告警信息。
【舉例】
# 創建名稱為c1的應用層檢測引擎的URL過濾告警動作參數profile,並進入URL過濾告警動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile c1
[Sysname-inspect-url-filter-warning-c1]
【相關命令】
· import url-filter warning-file
inspect warning parameter-profile命令用來創建應用層檢測引擎的告警動作參數profile,並進入告警動作參數profile視圖。如果指定的告警動作參數profile已經存在,則直接進入告警動作參數profile視圖。
undo inspect warning parameter-profile命令用來刪除應用層檢測引擎的告警動作參數profile。
【命令】
inspect warning parameter-profile profile-name
undo inspect warning parameter-profile profile-name
【缺省情況】
不存在告警動作參數profile。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:告警動作參數profile的名稱,為1~63個字符的字符串,隻支持數字、字母、下劃線,不區分大小寫。
【使用指導】
創建告警動作參數profile後,可通過導入告警文件的方式配置告警信息。
【舉例】
# 創建名稱為w1的應用層檢測引擎告警動作參數profile,並進入告警動作參數profile視圖。
<Sysname> system-view
[Sysname] inspect warning parameter-profile w1
[Sysname-inspect-warning-w1]
【相關命令】
· import block warning-file
· reset block warning-file
· warning parameter-profile(DPI深度安全命令參考/防病毒)
log命令用來配置記錄報文日誌的方式。
undo log命令用來取消指定的記錄報文日誌的方式。
【命令】
log { email | syslog }
undo log { email | syslog }
【缺省情況】
報文日誌被輸出到信息中心。
【視圖】
應用層檢測引擎的日誌動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
email:表示將日誌以郵件的方式發送到指定的收件人郵箱。
syslog:表示將日誌輸出到信息中心。
【舉例】
# 在名稱為log1的應用層檢測引擎日誌動作參數profile中,配置將生成的報文日誌輸出到信息中心。
<Sysname> system-view
[Sysname] inspect logging parameter-profile log1
[Sysname-inspect-logging-log1] log syslog
【相關命令】
· inspect logging parameter-profile
log language命令用來配置記錄IPS日誌使用的語言為中文。
undo log language命令用來恢複缺省情況。
【命令】
log language chinese
undo log language chinese
【缺省情況】
記錄報文日誌使用的語言為英文。
【視圖】
應用層檢測引擎的日誌動作參數profile視圖
【缺省用戶角色】
network-admin
【使用指導】
執行本命令後,設備輸出的日誌中,僅IPS日誌的威脅名稱字段使用中文描述,其它日誌信息仍然為英文。有關IPS日誌的詳情介紹,請參見“DPI深度安全命令參考”中的“IPS”。
【舉例】
# 在名稱為log1的應用層檢測引擎日誌動作參數profile中,配置記錄IPS日誌使用的語言為中文。
<Sysname> system-view
[Sysname] inspect logging parameter-profile log1
[Sysname-inspect-log-para-log1] log language chinese
【相關命令】
· inspect logging parameter-profile
password命令用來配置登錄郵件服務器的密碼。
undo password命令用來恢複缺省情況。
【命令】
password { cipher | simple } string
undo password
【缺省情況】
未配置登錄郵件服務器的密碼。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
cipher:表示以密文方式設置用戶密碼。
simple:表示以明文方式設置用戶密碼,該密碼將以密文形式存儲。
string:表示登錄郵件服務器的密碼。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串,區分大小寫。
【使用指導】
在同一個郵件動作參數profile視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置登錄郵件服務器的明文密碼為abc123。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] password simple abc123
【相關命令】
· authentication enable
receiver命令用來配置收件人地址。
undo receiver命令用來恢複缺省情況。
【命令】
receiver address-string
undo receiver
【缺省情況】
未配置收件人地址。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
address-string:表示收件人地址,為3~502個字符的字符串,區分大小寫。
【使用指導】
收件人地址可以同時輸入多個,且每個收件人地址之間用英文“;”號隔開。
【舉例】
# 配置收件人的地址為[email protected]和[email protected]。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] receiver [email protected];[email protected]
redirect-url命令用來配置重定向URL。
undo redirect-url命令用來恢複缺省情況。
【命令】
redirect-url url-string
undo redirect-url
【缺省情況】
未配置重定向URL。
【視圖】
應用層檢測引擎的重定向動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
url-string:表示重定向URL,為9~63個字符的字符串,區分大小寫。該URL必須以http://或https://開頭,例如http://www.baidu.com。
【使用指導】
當需要把匹配成功的報文重定向到某個Web界麵時,可以通過執行此命令來指定重定向URL。
【舉例】
# 配置重定向URL為http://www.abc.com/upload。
<Sysname> system-view
[Sysname] inspect redirect parameter-profile r1
[Sysname-inspect-redirect-r1] redirect-url http://www.abc.com/upload
【相關命令】
· inspect redirect parameter-profile
reset block warning-file命令用來重置告警文件內容。
【命令】
reset block warning-file
【視圖】
告警動作參數profile視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令用來將告警文件中的告警信息重置為缺省文件中的告警信息。
【舉例】
# 在名稱為w1的應用層檢測引擎告警動作參數profile中,重置告警文件內容。
<Sysname> system-view
[Sysname] inspect warning parameter-profile w1
[Sysname-inspect-warning-w1] reset block warning-file
【相關命令】
· import warning-file
reset warning-file命令用來重置URL過濾告警文件內容。
【命令】
reset warning-file
【視圖】
URL過濾告警動作參數profile視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令用來將URL過濾告警文件中的內容恢複為缺省告警信息。
【舉例】
# 在名稱為c1的應用層檢測引擎的URL過濾告警動作參數profile中,重置URL過濾告警文件內容。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile c1
[Sysname-inspect-url-filter-warning-c1] reset warning-file
【相關命令】
· import warning-file
secure-authentication enable命令用開啟安全傳輸登錄郵件服務器密碼功能。
undo secure-authentication enable命令用來關閉安全傳輸登錄郵件服務器密碼功能。
【命令】
secure-authentication enable
undo secure-authentication enable
【缺省情況】
安全傳輸登錄郵件服務器密碼功能處於關閉狀態。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟此功能後,首先在設備與郵件服務器之間創建一條安全通道,再從此通道中傳輸登錄郵件服務器的密碼。
【舉例】
# 開啟安全傳輸登錄郵件服務器密碼功能。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] secure-authentication enable
【相關命令】
· authentication enable
sender命令用來配置發件人地址。
undo sender命令用來恢複缺省情況。
【命令】
sender address-string
undo sender
【缺省情況】
未配置發件人地址。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
address-string:表示發件人地址,為3~63個字符的字符串,區分大小寫。
【使用指導】
發件人地址是指設備向目的地發送郵件時使用的源地址。
【舉例】
# 配置發件人的地址為[email protected]。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] sender [email protected]
username命令用來配置登錄郵件服務器的用戶名。
undo username命令用來恢複缺省情況。
【命令】
username name-string
undo username
【缺省情況】
未配置登錄郵件服務器的用戶名。
【視圖】
應用層檢測引擎郵件動作參數profile視圖
【缺省用戶角色】
network-admin
【參數】
name-string:表示登錄郵件服務器的用戶名。為1~63個字符的字符串,區分大小寫。
【使用指定】
在同一個郵件動作參數profile視圖下,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置登錄郵件服務器的用戶名為han。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] username han
【相關命令】
· authentication enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
