- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-應用層檢測引擎配置
本章節下載: 11-應用層檢測引擎配置 (492.49 KB)
目 錄
1.8.8 配置應用層檢測引擎記錄NFS協議文件名數量的上限值
1.9.3 配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例
1.9.4 配置特征庫在線升級時發送給服務器的請求報文的源IP地址
1.9.11 配置設備向安全威脅發現與運營管理平台上報統計信息的地址
1.10.4 配置X-Forwarded-For字段檢測結果的提取位置
應用層檢測引擎服務於DPI業務模塊,用於對報文的應用層信息(應用層協議以及應用行為)進行統一識別。DPI業務模塊使用應用層檢測引擎提供的識別結果,對報文進行相應的業務處理。
應用層檢測引擎提供以下基本功能:
· 協議解析:識別並分析報文應用層字段,區分應用層協議,並對部分字段進行正規化和解壓縮。
· 關鍵字匹配:根據檢測規則對報文載荷內容進行關鍵字匹配,是應用層檢測引擎的核心。
· 選項匹配:關鍵字匹配成功後,對其所屬檢測規則中的選項做進一步匹配。該過程與關鍵字匹配相比,匹配速度比較緩慢。
應用層檢測引擎使用檢測規則對報文進行匹配,檢測規則由各DPI業務的規則或特征轉換而成,包含關鍵字和選項兩種匹配項。
· 關鍵字:標識報文特征的不少於3個字節的字符串,也稱作“AC關鍵字”。
· 選項:非關鍵字的輔助匹配項,例如報文的端口號、協議類型等。
檢測規則中可以同時包含關鍵字和選項,或者僅包含選項。如果檢測規則中同時包含關鍵字和選項,則兩者都被匹配上才算是與該檢測規則匹配成功;如果檢測規則中僅包含選項,則隻要匹配選項就算與該檢測規則匹配成功。
如圖1-1所示,應用層檢測引擎的具體工作機製如下:
應用層檢測引擎的處理機製如下:
(1) 報文進入應用層檢測引擎後,應用層檢測引擎首先對報文進行協議解析,根據分析結果查找相應的檢測規則。
(2) 應用層檢測引擎判斷檢測規則中是否包含關鍵字,如果包含關鍵字,則首先進行關鍵字匹配,否則直接進行選項匹配。
(3) 如果報文匹配上關鍵字,則繼續進行選項匹配(該選項是匹配上的關鍵字所屬檢測規則中的選項);如果報文未匹配上關鍵字,則直接允許報文通過。
(4) 如果報文與選項匹配成功,則表示此報文與該檢測規則匹配成功。
(5) 應用層檢測引擎通知相應的DPI業務模塊對此報文做進一步的處理;如果報文與選項匹配失敗,則直接允許報文通過。
應用層檢測引擎配置任務如下:
(1) 配置DPI應用Profile
(3) 配置應用層檢測引擎動作參數
(4) (可選)優化應用層檢測引擎性能
(5) (可選)配置應用層檢測引擎CPU門限響應功能
(6) (可選)配置應用層檢測引擎檢測參數
(7) (可選)配置應用層檢測引擎擴展功能
(8) (可選)配置真實源IP地址檢測功能
(9) (可選)關閉應用層檢測引擎功能
DPI應用profile是DPI業務的配置模板,用於關聯各DPI業務的策略(例如URL過濾業務)。DPI應用profile被安全策略規則引用後,各DPI業務策略才能生效。
(1) 進入係統視圖。
system-view
(2) 創建DPI應用profile視圖,並進入DPI應用profile視圖。
app-profile profile-name
(3) 關聯各DPI業務策略。
¡ 在DPI應用profile中引用IPS策略。
ips apply policy policy-name mode { protect | alert }
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“IPS”。
¡ 在DPI應用profile中引用URL過濾策略。
url-filter apply policy policy-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“URL過濾”。
¡ 在DPI應用profile下引用數據過濾策略。
data-filter apply policy policyname
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“數據過濾”。
¡ 在DPI應用profile下引用文件過濾策略。
file-filter apply policy policyname
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“文件過濾”。
¡ 在DPI應用profile下引用防病毒策略。
anti-virus apply policy policyname mode { alert | protect }
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“防病毒”。
¡ 在DPI應用profile下引用WAF策略。
waf apply policy policy-name mode { protect | alert }
缺省情況下,未關聯DPI業務策略。
缺省情況下,當任意一個DPI業務模塊(比如URL過濾業務)發生配置變更時(即策略或規則被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時執行一次激活操作,使這些策略和規則的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果用戶希望對發生變化的業務的策略或規則立即進行激活,可執行inspect activate命令手工激活。
(1) 進入係統視圖。
system-view
(2) 激活DPI業務模塊的策略和規則配置。
inspect activate
缺省情況下,DPI業務模塊的策略和規則被創建、修改和刪除後係統會自動激活配置。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製、七層負載均衡業務無法基於應用進行負載分擔等。
源阻斷動作參數profile用來為DPI業務模塊的源阻斷動作提供動作參數,在此profile中可以配置報文被阻斷的時長。
本功能僅在開啟黑名單過濾功能後生效。如果設備上開啟了黑名單過濾功能,則在源阻斷動作參數profile中配置的阻斷時長內,來自該源IP地址的報文將被直接丟棄,不再進入應用層檢測引擎中檢測。
有關黑名單過濾功能的詳細介紹,請參見“安全配置指導”中的“攻擊檢測與防範”。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的源阻斷動作參數profile,並進入該源阻斷動作參數profile視圖。
inspect block-source parameter-profile parameter-name
(3) 配置報文源IP地址被阻斷的時長。
block-period period
捕獲動作參數profile用來為DPI業務模塊的捕獲動作提供動作參數,在此profile中可以配置捕獲報文的最大字節數、捕獲報文的上傳時間和URL地址參數(例如tftp://192.168.100.100/upload)。
捕獲到的報文將被緩存到設備本地,並在以下任意條件滿足的情況下被上傳到指定的URL上:
· 緩存的報文字節數達到指定上限值時;
· 當天指定的上傳時間到達時
上傳到指定的URL之後,係統將清空本地緩存,然後重新開始捕獲報文。
當設備檢測到與其對接的雲平台(即安全威脅發現與運營管理平台)已開啟捕獲文件上送功能時,用戶配置的捕獲報文的最大字節數、每天定時上傳捕獲報文的時間和上傳捕獲報文的URL地址參數將對IPS業務失效,其他業務不受影響。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的捕獲動作參數profile視圖,並進入該捕獲動作參數profile視圖。
inspect capture parameter-profile parameter-name
(3) 配置捕獲報文的最大字節數。
capture-limit kilobytes
缺省情況下,捕獲報文的最大字節數為512千字節。
(4) 配置每天定時上傳捕獲報文的時間。
export repeating-at time
缺省情況下,每天淩晨1點定時上傳捕獲報文。
(5) 配置上傳捕獲報文的URL地址。
export url url-string
缺省情況下,未配置上傳捕獲報文的URL地址。
日誌動作參數profile用來為DPI業務模塊的日誌動作提供動作參數,此profile中可以配置日誌的輸出方式和輸出語言。
配置記錄IPS日誌使用的語言為中文後,僅IPS日誌的威脅名稱字段使用中文描述,其它日誌信息仍然為英文。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的日誌動作參數profile視圖,並進入該日誌動作參數profile視圖。
inspect logging parameter-profile parameter-name
(3) 配置記錄報文日誌的方式。
log { email | syslog }
缺省情況下,報文日誌被輸出到信息中心。
(4) 配置記錄IPS日誌使用的語言為中文。
log language chinese
缺省情況下,記錄IPS日誌使用的語言為英文。
重定向動作參數profile用來為DPI業務模塊的重定向動作提供動作參數,在此profile中可以配置重定向報文的URL。
重定向報文的URL必須以http://或https://開頭,例如https://www.example.com。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的重定向動作參數profile,並進入重定向動作參數profile視圖。
inspect redirect parameter-profile parameter-name
(3) 配置重定向URL。
redirect-url url-string
缺省情況下,未配置重定向URL。
郵件動作參數profile用來為DPI業務模塊的郵件動作提供動作參數,在此profile中可以配置郵件服務器地址、收件人與發件人地址和登錄郵件服務器的用戶名和密碼等。
郵件服務器地址的地址既可以是郵件服務器的IP地址,也可以是郵件服務器的主機名。采用主機名時,需要確保設備能通過靜態或動態域名解析方式獲得郵件服務器的IP地址,並與之路由可達。否則郵件發送會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的郵件動作參數profile視圖,並進入郵件動作參數profile視圖。
inspect email parameter-profile parameter-name
(3) 配置郵件服務器的地址。
email-server addr-string
缺省情況下,未配置郵件服務器的地址。
(4) 配置發件人地址。
sender addr-string
缺省情況下,未配置發件人地址。
(5) 配置收件人地址。
receiver addr-string
缺省情況下,未配置收件人地址。
(6) (可選)配置客戶端身份驗證功能。
a. 開啟發送郵件的認證功能。
authentication enable
缺省情況下,發送郵件的認證功能處於開啟狀態。
b. 配置登錄郵件服務器的用戶名。
username name-string
缺省情況下,未配置登錄郵件服務器的用戶名。
c. 配置登錄郵件服務器的密碼。
password { cipher | simple } string
缺省情況下,未配置登錄郵件服務器的密碼。
d. (可選)開啟安全傳輸登錄郵件服務器密碼功能。
secure-authentication enable
缺省情況下,安全傳輸登錄郵件服務器密碼功能處於關閉狀態。
(7) (可選)配置以郵件方式輸出日誌的限製條件。
email-limit interval interval max-number value
缺省情況下,5分鍾內,設備最多可向外發送10封郵件。
(8) (可選)配置日誌郵件使用的語言。
language { chinese | english }
缺省情況下,日誌郵件使用的語言為中文。
目前僅IPS、防病毒和WAF業務支持發送中文的日誌郵件,且各業務日誌郵件中僅部分字段支持使用中文,具體字段說明請參見命令參考手冊。
告警動作參數profile用來為防病毒模塊的告警動作提供動作參數,在此profile中可以導入告警文件,告警文件中可配置設備向客戶端發送的具體告警信息。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的防病毒告警動作參數profile,並進入告警動作參數profile視圖。
inspect warning parameter-profile profile-name
(3) 導入告警文件。
import block warning-file file-path
缺省情況下,設備使用缺省文件裏的告警信息:The site you are accessing has a security risk and thereby is blocked.
(4) (可選)重置告警文件內容。
reset block warning-file
配置本命令後,設備會將告警文件中的告警信息重置為缺省文件中的告警信息。
URL過濾告警動作參數profile用來為URL過濾模塊的告警動作提供具體的執行參數,在此profile中可以導入告警信息文件,告警信息文件中可配置設備向客戶端發送的具體告警信息。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的URL過濾告警動作參數profile,並進入URL過濾告警動作參數profile視圖。
inspect url-filter warning parameter-profile profile-name
(3) 導入URL過濾告警信息文件。
import warning-file file-path
缺省情況下,存在一個名稱為uflt-xxx.html的告警信息文件,其中xxx表示URL過濾告警動作參數profile的名稱。文件中包含缺省的告警信息,具體內容請參見“DPI深度安全命令參考”中的“應用層檢測引擎”手冊中對本命令行缺省情況的詳細介紹。
(4) (可選)重置URL過濾告警信息文件內容。
reset warning-file
配置本命令後,設備會將URL過濾告警信息文件中的內容恢複為缺省告警信息。
對經過壓縮或編碼等處理後的報文應用層信息進行識別時,需要應用層檢測引擎先對此類報文進行解壓縮或解碼等相應處理後才能識別。通過開啟應用層檢測引擎性能優化功能或調高各項性能參數,可以提高應用層信息的識別能力和準確率,但同時也會消耗一定的係統資源。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可檢測有載荷內容的報文的最大數目。
inspect packet maximum max-number
缺省情況下,應用層檢測引擎可檢測有載荷內容的報文的最大數目為32。
(3) 配置應用層檢測引擎緩存待檢測選項的最大數目。
inspect cache-option maximum max-number
缺省情況下,應用層檢測引擎緩存待檢測選項的最大數目為32。
(4) 配置TCP數據段重組功能。
a. 開啟TCP數據段重組功能。
inspect tcp-reassemble enable
缺省情況下,TCP數據段重組功能處於關閉狀態。
b. 配置TCP數據段重組緩存區可緩存的TCP數據段最大數目。
inspect tcp-reassemble max-segment max-number
缺省情況下,TCP數據段重組緩衝區可緩存的TCP數據段最大數目為10。
(5) 開啟SMB協議報文重組功能。
inspect smb-reassemble enable
缺省情況下,SMB協議報文重組功能處於關閉狀態。
(6) (可選)關閉指定的應用層檢測引擎的優化調試功能。
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
缺省情況下,應用層檢測引擎的所有優化調試功能處於開啟狀態。
如果設備的吞吐量較差,不能滿足基本的通信需求,可關閉相關優化調試功能提高設備的性能。
應用層檢測引擎對報文的檢測是一個比較複雜且會占用一定係統資源的過程。當設備的CPU利用率較高時,應用層檢測引擎CPU門限響應功能會啟動如下機製來緩解係統資源緊張的問題。
· 當CPU利用率達到設備上配置的CPU利用率閾值時,係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。
· 當設備的CPU利用率恢複到或低於設備上配置的CPU利用率恢複閾值時,係統會恢複應用層檢測引擎的檢測功能。
有關CPU利用率的詳細配置請參見“基礎配置指導”中的“設備管理”。
在係統CPU占用率較高的情況下,建議保持應用層檢測引擎CPU門限響應功能處於開啟狀態;在係統CPU占用率較低的情況下,可以考慮關閉本功能。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎CPU門限響應功能。
undo inspect cpu-threshold disable
為適應不同場景對設備性能和檢測率的不同需求,應用層檢測引擎支持如下幾種模式供選擇:
· balanced:適用於大多數場景,設備在性能和檢測率之間可以達到平衡狀態。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議報文的最大檢測長度均為32千字節,對其他協議報文以及音頻和視頻類應用報文未作限製;MD5最大檢測長度為2048千字節。
· large-coverage:適用於對檢測率要求較高的場景,設備將提升檢測率,但同時會對性能產生一定影響。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議報文的最大檢測長度均為128千字節,對其他協議報文以及音頻和視頻類應用報文未作限製;MD5最大檢測長度為5120千字節。
· high-performance:適用於對設備性能要求較高的場景,設備可在保證一定檢測率的前提下,提升性能。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議報文的最大檢測長度均為32千字節,對其他協議報文以及音頻和視頻類應用報文未作限製;MD5最大檢測長度為32千字節。
· user-defined:適用於對檢測率和性能有精確要求的場景。此模式下,可以自定義應用層檢測引擎對報文的最大檢測長度(通過inspect stream-fixed-length命令配置)和MD5最大檢測長度(通過inspect md5-fixed-length命令配置)。
當檢測率模式發生切換時,報文的最大檢測長度和MD5最大檢測長度將發生如下變化,用戶可以此作為參考,調整各檢測長度:
· 當檢測率模式由其他模式切換為自定義模式時,報文的最大檢測長度和MD5最大檢測長度將保持切換前模式下的取值。
· 當檢測率模式由自定義模式切換到其他模式時,MD5最大檢測長度將恢複到其他模式下的缺省值,報文的最大檢測長度的取值與報文的類型有關,詳見如下說明。
¡ 對於FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議報文,報文的最大檢測長度將恢複到其他模式下的缺省值。
¡ 對於其他協議以及音頻和視頻類應用報文,如果檢測率模式從自定義模式切換到balanced模式,自定義模式下配置的報文的最大檢測長度的取值將被清空,即不對報文的最大檢測長度進行限製;如果檢測率模式從自定義模式切換到large-coverage和high-performance模式,報文的最大檢測長度將保持自定義模式下的取值。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎檢測率模式。
inspect coverage { balanced | large-coverage | high-performance | user-defined }
缺省情況下,應用層檢測引擎檢測率模式為平衡模式。
本功能用於限製應用層檢測引擎對協議報文和音視頻應用報文的最大檢測長度,當引擎已檢測的報文長度達到限製值時,引擎將不對後續報文進行檢測。調高最大檢測長度後,設備的吞吐量性能會下降,但是應用層信息識別的成功率會提高;同理,調低最大檢測長度後,設備的吞吐量會增加,但是應用層信息識別的成功率會降低。請用戶根據實際情況進行配置。
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎對報文的最大檢測長度。
inspect stream-fixed-length { audio-video | dns | email | ftp | http | https | imaps | nfs | pop3s | rtmp | sip | smb | smtps | telnet | tftp } * length
缺省情況下,應用層檢測引擎對FTP協議、HTTP協議、NFS協議、SMB協議和與E-mail相關協議(包括SMTP、POP3和IMAP協議)報文最大檢測長度為32千字節,對音頻和視頻類應用報文以及DNS協議、HTTPS協議、IMAPS協議、POP3S協議、RTMP協議、SIP協議、SMTPS協議、Telnet協議和TFTP協議報文的檢測長度不進行限製。
(3) (可選)關閉應用層檢測引擎對報文的最大檢測長度限製功能。
inspect stream-fixed-length disable
缺省情況下,應用層檢測引擎對報文的最大檢測長度限製功能處於開啟狀態。
當組網環境中對應用層信息識別的成功率要求較高時,可通過關閉應用層檢測引擎對報文的最大檢測長度限製功能,提升應用層信息識別的成功率。
本功能用於配置應用層檢測引擎對每條數據流中傳輸文件的固定檢測長度,超過長度的文件內容將不再進行檢測。由於病毒特征一般都位於文件的前半部分,可配置文件的固定檢測長度,對超過長度的文件內容不進行檢測,從而提高設備的檢測效率。
由於文件在數據流中傳輸,所以配置的文件固定檢測長度必須小於等於數據流固定檢測長度。
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎檢測固定長度文件功能。
inspect file-fixed-length enable
缺省情況下,應用層檢測引擎檢測固定長度文件功能處於關閉狀態。
(3) 配置應用層檢測引擎檢測文件的固定長度。
inspect file-fixed-length { email | ftp | http | nfs | smb } * length-value
缺省情況下,應用層檢測引擎對基於FTP協議、HTTP協議、NFS協議、SMB協議和與E-mail相關協議傳輸的文件固定檢測長度均為64千字節。
如果一條數據流中包含多個文件,則每個文件均僅檢測配置的固定長度內的內容。
防病毒業務中,設備除了特征匹配之外,還可以通過對文件進行MD5哈希運算,並使用計算出的MD5值與特征庫中的MD5規則匹配,來實現病毒檢測。如果MD5值與MD5規則匹配成功,則表示該文件攜帶病毒。有關防病毒檢測功能的詳細介紹請參見“DPI深度安全配置指導”中的“防病毒”。
應用層檢測引擎對報文的特征檢測和文件MD5值檢測會同時進行,當引擎檢測的報文長度達到固定數據流檢測長度後,將不再進行特征檢測。此時,如果希望MD5值檢測可以繼續進行,則需要開啟MD5固定檢測長度功能,並配置檢測長度大於固定數據流檢測長度。引擎將繼續進行MD5值檢測,直到檢測長度達到配置的MD5固定檢測長度後,僅計算檢測範圍內文件的MD5值,超出長度的文件內容不會計算在內。
調高MD5固定檢測長度後,設備性能會下降,但是MD5檢測的成功率會提高;調低MD5固定檢測長度後,設備性能會提升,但是MD5檢測的成功率會降低。
本功能僅在應用層檢測引擎檢測率模式為自定義模式時(通過inspect coverage user-defined命令配置)支持配置。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎MD5固定檢測長度功能。
inspect md5-fixed-length enable
缺省情況下,應用層檢測引擎MD5固定檢測長度功能處於開啟狀態。
(3) 配置應用層檢測引擎MD5固定檢測長度。
inspect md5-fixed-length { email | ftp | http | nfs | smb } * length
缺省情況下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流中文件的MD5固定檢測長度均為2048千字節。
開啟此功能後將對設備業務處理性能產生影響,請管理員根據設備實際情況進行配置。
(1) 配置步驟進入係統視圖。
system-view
(2) 配置應用層檢測引擎對所有文件進行MD5哈希運算。
inspect md5-verify all-files
缺省情況下,隻對可執行文件、office文件和壓縮文件等類型的文件進行MD5哈希運算。
當設備收到壓縮文件時,應用層檢測引擎會對文件進行解壓縮,並對解壓縮後的數據進行特征匹配等處理。管理員可根據實際需求,對引擎可解壓縮的文件層數和單個文件中可解壓縮的數據大小進行配置。
· 可解壓縮數據上限:設備解壓一個文件時可解壓縮數據的最大值。到達上限後,該文件的剩餘數據不再進行解壓,直接按照壓縮文件格式進行特征匹配等處理。
· 可解壓縮文件層數上限:設備最多可解壓縮的文件的層數。當超過配置的層數時,設備將不對超出層數上限的文件進行解壓,直接按照壓縮文件格式進行特征匹配等處理。
僅支持解壓縮ZIP和GZIP格式的文件。
如果配置的解壓縮參數過大,當設備頻繁收到過大或壓縮層數較多的壓縮文件時,將一直解壓縮一個文件,會影響後續文件的解壓縮,並消耗大量的設備內存,影響設備的轉發性能,但是對文件內容的識別率會有所提升;如果配置的解壓縮參數過小,可能導致壓縮文件中的原始文件內容無法正確識別,從而對DPI業務(例如防病毒和數據過濾業務)的檢測結果產生影響,但是會降低對設備轉發性能的影響。請管理員合理配置此參數。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可解壓縮數據上限。
inspect file-uncompr-len max-size
缺省情況下,可解壓縮數據上限為100MB。
(3) 配置應用層檢測引擎可解壓縮文件層數上限。
inspect file-uncompr-layer max-layer
缺省情況下,可解壓縮文件層數上限為3。當此參數配置為0時,表示不對文件進行解壓縮。
應用層檢測引擎每進行一次解壓縮操作都會消耗一定的設備內存。當解壓縮的次數較多時,可能會消耗大量的設備內存,導致設備整機的並發性能下降。此時,可通過配置解壓縮次數的上限值來控製對內存的占用。
調低上限值,可降低對內存的消耗,但應用層檢測引擎的檢測成功率可能會降低;調高上限值,可能會提升應用層檢測引擎的檢測成功率,但同時會降低設備的並發性能。請管理員根據實際需求配置此功能。
僅支持在缺省Context下配置本命令。有關Context的詳細介紹,請參見“虛擬化技術配置指導”中的“Context”。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可解壓縮數據上限。
inspect uncompress maximum max-number
缺省情況下,應用層檢測引擎解壓縮文件的總次數上限值由設備實際內存計算得出。
應用層檢測引擎在對文件進行檢測時,會使用特定的存儲結構記錄文件名,用於展示在日誌中,方便用戶獲取文件信息。該記錄過程會占用一定的內存,且檢測的文件數量越多,對內存占用就越大,可能會降低設備的並發性能。當實際組網環境中大量使用NFS協議傳輸文件時,管理員可通過配置本功能,限製應用層檢測引擎記錄的基於NFS協議傳輸的文件的文件名數量。
在對設備並發性能要求較高的場景下,可減少記錄的文件名數量,降低對內存的消耗;在對設備並發性能要求較低的場景下,可調高此參數,增加記錄的文件名數量,方便用戶獲取更多的文件信息。請管理員根據實際需求配置此功能。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎記錄NFS協議文件名數量的上限值。
inspect record-filename nfs maximum max-number
缺省情況下,應用層檢測引擎記錄NFS協議文件名數量的上限值由設備實際內存計算得出。
如果網絡中的流量種類單一、源端口固定,但無法通過目的端口對其進行基於端口的應用識別或無法基於流量特征進行內容識別時,可以開啟本功能,對流量進行源端口識別,將源端口為固定端口的流量識別為訪問特定類型應用的流量。
開啟本功能後,可能會造成應用識別結果的誤報,請管理員根據組網環境的實際情況配置。
(1) 進入係統視圖。
system-view
(2) 開啟基於源端口的應用識別功能。
inspect source-port-identify enable
當DPI業務模塊需要配合雲端服務器使用,但設備無法直接連接到雲端服務器,可配置一個代理服務器使設備連接到雲端服務器,進行相應業務,比如防病毒雲端查詢、特征庫在線升級等。
代理服務器可以通過IP地址或者域名的方式進行訪問。如果使用域名方式,請確保設備能通過靜態或動態域名解析方式獲得代理服務器的IP地址,並與之路由可達。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
多次執行本命令,最後一次執行的命令生效。
(1) 進入係統視圖。
system-view
(2) 配置DPI業務代理服務器所使用的參數。
inspect proxy-server { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
缺省情況下,未配置DPI代理服務器所使用的參數。
當設備對特征庫進行立即在線升級或定期在線升級時,需要訪問官網的特征庫服務器來獲取特征庫文件。如果設備需要通過指定的VPN實例訪問特征庫時,則必須通過配置本命令指定該VPN,否則會導致特征庫升級失敗。
如果同時配置了特征庫在線升級時發送給服務器的請求報文的源IP地址(即配置inspect signature auto-update source命令),需要保證源IP地址所屬的VPN實例與本功能配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例。
inspect signature auto-update vpn-instance vpn-instance-name
缺省情況下,未配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例。
如果管理員希望特征庫在線升級時發送給特征庫服務器的請求報文的源IP地址是一個特定的地址時,則需要配置此功能。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問特征庫服務器時,則需要管理員通過本命令指定一個符合NAT地址轉換規則的IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文經由NAT地址轉換後訪問特征庫服務器。
如果同時配置了特征庫在線升級時訪問的特征庫服務器所屬的VPN實例(即配置inspect signature auto-update vpn-instance命令),需要保證本功能配置的源IP地址所屬的VPN實例與該特征庫服務器所屬的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 配置特征庫在線升級時發送給服務器的請求報文的源IP地址。
inspect signature auto-update source { ip | ipv6 } { ip-address | interface interface-type interface-number }
缺省情況下,特征庫在線升級時發送給服務器的請求報文的源IP地址為係統根據路由表項查找到的出接口的地址。
DPI雲端服務器為各DPI業務提供雲端查詢功能,目前支持URL過濾分類查詢以及防病毒MD5值查詢。
當用戶配置了防病毒業務雲端服務器主機名(通過執行inspect cloud-server命令)並開啟了防病毒業務雲端查詢功能(通過執行cloud-query enable命令)後,設備會自動觸發一次注冊雲端服務器的行為,向雲端服務器發送請求注冊報文(包含注冊信息,例如設備SN碼等),請求與其進行連接並獲取後續兩者通信時所需的密鑰等。
設備會按照固定的時間間隔(30分鍾)周期性地自動觸發注冊雲端服務器的操作,以達到能夠及時發現設備與雲端服務器連接斷開,並重新與雲端服務器建立連接的目的。
當用戶發現設備與雲端服務器連接斷開時,如果希望設備立即恢複與雲端服務器的連接,可通過執行inspect cloud-server register命令,立即手動觸發設備注冊雲端服務器。
配置DPI雲端查詢功能時,需要確保設備能通過靜態或動態域名解析方式獲得DPI雲端服務器的IP地址,並與之路由可達,否則進行雲端查詢會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置DPI業務雲端服務器。
inspect cloud-server host-name
缺省情況下,DPI雲端服務器主機名為sec.h3c.com。
(3) (可選)配置雲端查詢服務器協議。
inspect cloud-server-protocol { dtls | https }
缺省情況下,雲端查詢服務器協議為DTLS。
(4) (可選)配置DPI代理服務器相關參數
inspect proxy-server { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
缺省情況下,未配置DPI代理服務器所使用的參數。
(5) (可選)手動觸發設備注冊防病毒業務雲端服務器
inspect cloud-server-register
僅在防病毒業務配置雲端服務器協議為HTTPS時需要配置。
信譽業務雲端服務器為IP信譽和域名信譽業務提供雲端查詢功能,用於擴充本地加載的各業務特征庫。當各業務特征庫無法匹配報文中的特定信息時,可通過雲端查詢功能,將IP地址和域名信息上送雲端服務器進行查詢。雲端服務器完成檢測後,會將檢測結果發送給設備,設備會將檢測結果保存到本地各業務的緩存中,便於後續報文直接在本地進行業務檢測,而不必再上送雲端服務器查詢。
當用戶配置了信譽業務雲端服務器主機名(通過執行inspect reputation cloud-server命令)並開啟了IP信譽/域名信譽業務雲端查詢功能(通過執行cloud-query enable命令)後,設備會自動觸發一次注冊雲端服務器的行為,向雲端服務器發送請求注冊報文(包含注冊信息,例如設備SN碼等),請求與其進行連接並獲取後續兩者通信時所需的密鑰等。
設備會按照固定的時間間隔(30分鍾)周期性地自動觸發注冊雲端服務器的操作,以達到能夠及時發現設備與雲端服務器連接斷開,並重新與雲端服務器建立連接的目的。
當用戶發現設備與雲端服務器連接斷開時,如果希望設備立即恢複與雲端服務器的連接,可通過執行inspect reputation cloud-server register命令,立即手動觸發設備注冊雲端服務器。
配置信譽業務雲端查詢功能時,需要確保設備能通過靜態或動態域名解析方式獲得雲端服務器的IP地址,並與之路由可達,否則雲端查詢會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置信譽業務雲端服務器主機名。
inspect reputation cloud-server host host-name [ port port-number ]
缺省情況下,信譽業務雲端服務器的主機名為security.h3c.com,端口號為443。
(3) (可選)手動觸發設備注冊信譽業務雲端服務器。
inspect reputation cloud-server register
在HA雙主模式下,開啟本功能可以保證在報文來回路徑不一致的網絡環境中正常處理DPI業務。
有關HA的詳細介紹,請參見“高可靠性配置指導”中的“高可靠性”。
本功能僅在設備處於HA雙主模式下生效。
本功能僅在開啟HA在設備間透傳業務流量功能後生效。
開啟本功能後可能會降低設備性能,請管理員根據實際情況進行配置。
(1) 進入係統視圖。
system-view
(2) 開啟DPI業務支持HA雙主模式功能。
inspect dual-active enable
缺省情況下,DPI業務支持HA雙主模式功能處於關閉狀態。
當用戶關心IPS業務所檢測報文的詳細信息時,可開啟IPS日誌記錄報文詳情功能。開啟該功能後,設備將緩存報文的詳情信息,並記錄在IPS日誌中,方便用戶了解報文詳情。例如,開啟該功能後,對於HTTP報文,當響應報文中檢測到攻擊特征時,IPS日誌中將記錄其請求報文的HOST字段,以及響應報文的響應行信息,包括狀態碼、狀態信息等。
開啟IPS日誌記錄報文詳情功能後,設備會使用內存來緩存報文中的各詳情字段,可能會消耗大量的設備內存,導致設備整機的並發性能下降。此時,可通過調整內存中可緩存的IPS日誌報文詳情字段的存儲空間上限值,來控製對內存的占用。調低上限值,可降低對內存的消耗,但日誌中可能無法正常顯示報文詳情字段;調高上限值,可能會提升日誌中顯示報文詳情字段的成功率,但同時會降低設備的並發性能。請管理員根據實際需求進行調整。
開啟IPS日誌記錄報文詳情功能後,會占用係統的緩存資源,建議僅在關心報文的詳細信息的情況下開啟。
(1) 進入係統視圖。
system-view
(2) 開啟IPS日誌記錄報文詳情功能。
inspect ips log-details enable
缺省情況下,IPS日誌記錄報文詳情功能處於關閉狀態。
(3) 配置內存中可緩存的IPS日誌報文詳情字段的存儲空間上限值。
inspect log-details max-size max-size-value
缺省情況下,內存中可緩存的IPS日誌報文詳情字段的存儲空間上限值由設備實際內存計算得出。
開啟本功能後,設備將緩存HTTP報文的詳情信息,並記錄在WAF日誌中,方便用戶了解報文詳情。
對於HTTP請求報文和應答報文,WAF日誌會在原有字段的基礎上記錄不同的詳情信息:
· 對於HTTP請求報文,開啟本功能後,WAF日誌中將記錄報文的所有詳情信息。關閉本功能後,WAF日誌中僅記錄報文的請求行和請求方法。
· 對於HTTP應答報文,開啟本功能後,WAF日誌中將記錄報文的狀態行信息;關閉本功能後,WAF日誌中將不記錄報文的詳情信息。
對於已產生的WAF日誌,本功能並不生效,設備不會記錄報文詳情,日誌中的報文詳情字段為空。
建議僅在關心WAF處理的HTTP報文的詳細信息的情況下開啟此功能,避免此功能占用係統的緩存資源。
(1) 進入係統視圖。
system-view
(2) 開啟WAF日誌記錄報文詳情功能。
inspect waf http-log-details enable
當組網環境中存在非對稱流量時,即同一條流量的報文來回路徑不一致,可能導致流量的正反向報文被送到不同的設備,這將會導致DPI業務無法正常處理,例如防病毒業務無法識別出病毒文件等。為了解決上述問題,應用層檢測引擎默認會在設備間、安全業務板間透傳DPI業務流量,使同一條流量的正反向報文最終會被送到同一台設備或同一塊業務板。
但是,透傳流量的過程會消耗設備資源,降低設備性能。當組網環境中對設備性能要求較高且可以接受損失一部分DPI業務檢測準確性的風險時,可通過關閉應用層檢測引擎透傳DPI業務流量功能,降低對設備性能的影響。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎透傳DPI業務流量功能。
undo inspect transparent enable
缺省情況下,應用層檢測引擎透傳DPI業務流量功能處於開啟狀態。
設備支持與安全威脅發現與運營管理平台對接,並向該平台上報如下數據。
· 設備與KAFKA服務器集群間的日誌發送情況:設備可將上一個小時內發送給KAFKA服務器集群的IPS日誌的總數以及設備產生的所有IPS日誌的總數等統計信息發送到安全威脅發現與運營管理平台地址。
· 設備特征庫版本信息變動情況:當IPS特征庫升級或回滾時,設備可立即通過HTTP協議向安全威脅發現與運營管理平台上送特征庫版本信息。同時,設備支持每隔10天向該平台上送最新的IPS特征庫版本信息。
管理員需要根據實際的數據上送需求,為不同的統計數據配置相應的上報地址,即安全威脅發現與運營管理平台的地址。
(1) 進入係統視圖。
system-view
(2) 配置日誌統計信息的上報地址。
inspect log-statistics-report { ip-address ip-address | ipv6-address ipv6-address } port port uri uri [ vpn-instance vpn-instance-name ] kafka-server kafka-server
缺省情況下,未配置日誌統計信息的上報地址。
多次執行本命令,可以配置多個安全威脅發現與運營管理平台地址,其中IPv4和IPv6地址最大配置條數分別為4條。
(3) 配置特征庫版本信息的上報地址。
inspect signature version-report { ip-address ip-address | ipv6-address ipv6-address } port port uri uri [ vpn-instance vpn-instance-name ]
缺省情況下,未配置特征庫版本信息的上報地址。
多次執行本命令,可以配置多個安全威脅發現與運營管理平台地址,其中IPv4和IPv6地址最大配置條數分別為2條。
當客戶端使用代理方式訪問服務器時,源IP地址將會發生改變,設備無法獲取客戶端的真實IP地址,可能會造成一些攻擊無法準確識別(例如基於源IP地址數量判定是否為攻擊的場景)。開啟真實源IP地址檢測功能後,設備將從客戶端請求報文的相關字段獲取真正的源IP地址,避免上述問題。
(1) 進入係統視圖。
system-view
(2) 開啟真實源IP地址檢測功能。
inspect real-ip enable
缺省情況下,真實源IP地址檢測功能處於關閉狀態。
設備支持多種真實源IP地址提取模式,管理員可以根據實際情況選擇其中一種進行配置。
· 單字段提取:當管理員可以確定當前組網環境中僅需要針對報文中的某個特定字段提取真實源IP地址時,可將真實源IP地址提取模式配置為僅提取該字段(即XXX-only模式)。
· 字段優先級提取:當管理員不確定需要從哪些字段中獲取真實源IP時,可將真實源IP地址提取模式配置為按照字段優先級提取(即priority模式),並可根據實際需求調整各字段的優先級。此模式下,設備會從報文的多個字段中獲取多個客戶端的真實源IP地址,並將優先級最高的字段中提取出的IP地址作為最終的真實源IP地址。
(1) 進入係統視圖。
system-view
(2) 配置真實源IP地址提取模式。
inspect real-ip extraction mode { cdn-src-ip-only | priority | tcp-option-only | x-real-ip-only | xff-only }
缺省情況下,真實源IP地址提取模式為xff-only。
(3) (可選)配置真實源IP地址的字段優先級。
inspect real-ip detect-field { cdn-src-ip | tcp-option | x-real-ip | xff } priority priority-value
缺省情況下,未配置真實源IP地址的字段優先級。設備默認的各真實源IP地址字段的優先級從高到底依次為xff、cdn-src-ip、x-real-ip、tcp-option。
本命令僅在真實源IP地址提取模式為priority時生效。
當一個會話中存在多個請求報文時,設備會對會話內的每個請求報文都進行真實源IP地址的提取,並分別記錄提取結果。缺省情況下,若某個請求報文中未提取到真實源IP地址時,則認為該報文的真實源IP地址為空。在某些代理場景下,代理服務器隻在每個會話的第一個HTTP請求報文中攜帶真實源IP地址,這樣會導致設備隻能提取到第一個報文中的真實源IP地址,後續請求報文則無法提取,將會對IPS白名單等業務造成影響。如下圖所示:
在上述場景中,Host向Web Server發起了3個請求,經過Proxy Server代理後,隻有請求1中攜帶了Host的IP地址。設備提取到了請求1中的真實源IP地址IP1,並將其與IPS白名單進行匹配,匹配成功並放行該報文。對於請求2和請求3,由於設備沒有提取到真實源IP地址,IPS白名單將匹配失敗。此時,管理員可以通過開啟真實源IP地址功能解決上述問題。開啟真實源IP地址複用功能後,當設備在請求2中提取不到真實源IP地址時,會沿用請求1提取到的IP1作為本次提取結果,這樣即可與IPS白名單匹配成功。請求3同理。
(1) 進入係統視圖。
system-view
(2) 開啟真實源IP地址複用功能。
inspect real-ip reuse enable
缺省情況下,真實源IP地址複用功能處於關閉狀態。
在客戶端通過HTTP代理連接到Web服務器的場景中,HTTP報文的首部可能會攜帶X-Forwarded-For字段。X-Forwarded-For字段中攜帶多個地址,標準的格式為X-Forwarded-For: <client>, <proxy1>, <proxy2>,…<proxyn>。如果一個報文通過多個代理,則會列出每個代理服務器的IP地址。即,最右邊(tail)的proxyn是最新的代理服務器的IP地址,最左邊(head)的client是原始客戶端的IP地址。
(1) 進入係統視圖。
system-view
(2) 配置X-Forwarded-For字段檢測結果的提取位置。
inspect real-ip detect-field xff { head | tail [ number ] }
缺省情況下,X-Forwarded-For字段的提取位置為最後一項。
當通過檢測TCP Option字段獲取真實源IP地址時,首先需要找到一個特定的標誌,再基於此標誌去獲取源IP地址。
需要配置的檢測參數如下:
· 標誌內容(hex hex-vector):TCP Option字段中,真實源IP地址位於一個“標誌”的後麵,隻有檢測到標誌,設備才會繼續向後檢測真實源IP地址。如果沒有檢測到標誌,則表示不存在真實源IP地址,設備會停止對TCP Option字段的檢測。
· 標誌內容的檢測範圍:包括偏移量(offset offset-value)和檢測深度(depth depth-value)。偏移量確定了檢測的起始位置(從TCP Option字段起始位置開始的偏移量),檢測深度確定了檢測的終止位置。
· 真實源IP地址與標誌的偏移量(ip-offset ip-offset-value):即檢測真實源IP地址的起始位置。
開啟真實源IP地址檢測功能後,設備默認不從TCP Option字段提取真實源IP地址,僅在配置TCP Option檢測參數後才開始檢測TCP Option字段。
(1) 進入係統視圖。
system-view
(2) 配置TCP Option字段的檢測參數。
inspect real-ip detect-field tcp-option hex hex-vector [ offset offset-value ] [ depth depth-value ] [ ip-offset ip-offset-value ]
缺省情況下,未配置TCP Option字段的檢測參數,設備不從TCP Option字段獲取真實源IP地址。
應用層檢測引擎對報文的檢測是一個複雜且會占用一定係統資源的過程。開啟應用層檢測引擎功能後,如果出現係統CPU使用率過高等情況時,可通過關閉此功能來降低對設備轉發性能的影響。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎功能。
inspect bypass
缺省情況下,應用層檢測引擎功能處於開啟狀態。
關閉應用層檢測引擎功能後,係統將不會對接收到的報文進行DPI深度安全處理。可能導致其他基於DPI功能的業務出現中斷。例如,安全策略無法對應用進行訪問控製、七層負載均衡業務無法基於應用進行負載分擔等。
在如下場景中管理員可能需要關閉應用層檢測引擎對指定協議報文的檢測功能。
· 場景一:當組網環境中不需要對某些協議的報文進行檢測時,可以關閉應用層檢測引擎對該協議報文的檢測,以減少對設備資源的占用,提升設備性能。
· 場景二:當應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,可單獨關閉引擎對該協議報文的檢測功能,避免由於再次檢測該協議報文導致設備反複重啟的問題,同時又不影響引擎對其他協議報文的檢測。
設備支持如下兩種方式關閉應用層檢測引擎對指定協議報文的檢測功能:
· 手動關閉:此方式要求管理員已知需要關閉哪些協議報文的檢測功能,適用於場景一和場景二。
· 自動關閉:此方式由設備自動判斷需要關閉哪些協議報文的檢測功能,適用於場景二。使用此方式後,如果應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,則當係統重啟後,應用層檢測引擎將自動關閉對該協議報文的檢測功能,跳過對此協議報文的處理。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎對指定協議報文的檢測功能。
¡ 手工關閉應用層檢測引擎對指定協議報文的檢測功能。
inspect bypass protocol { dns | ftp | ftp-data | http | https | ibm-db2 | imap | mongodb-protocol | ms-sql-s | mysql-protocol | nfs | pop3 | postgresql-protocol | rtmp | sip | smb | smtp | sqlnet | telnet | tftp } *
缺省情況下,應用層檢測引擎對所有支持的協議都進行檢測。
¡ 自動關閉應用層檢測引擎對指定協議報文的檢測功能。
inspect auto-bypass enable
缺省情況下,應用層檢測引擎自動關閉指定協議報文的檢測功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後應用層檢測引擎的運行情況。在用戶視圖下執行reset命令可以清除應用層檢測引擎的統計信息。
表1-1 應用層檢測引擎顯示和維護
|
操作 |
命令 |
|
顯示MD5哈希運算配置 |
display inspect md5-verify configuration |
|
顯示信譽業務雲端查詢功能處理異常情況時的統計信息。 |
display inspect reputation cloud-query statistics [ slot slot-number [ cpu cpu-number ] ] |
|
顯示SMB協議斷點續傳表的信息 |
display inspect smb-breakpoint-resume table { ipv4 | ipv6 } [ slot slot-number [ cpu cpu-number ] ] |
|
顯示應用層檢測引擎的運行狀態 |
display inspect status |
|
清除信譽業務雲端查詢功能處理異常情況時的統計信息 |
reset inspect reputation cloud-query statistics [ slot slot-number ] |
|
清除SMB協議斷點續傳表的信息 |
reset inspect smb-breakpoint-resume table { ipv4 | ipv6 } [ slot slot-number [ cpu cpu-number ] ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
