- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-應用層檢測引擎配置
本章節下載: 02-應用層檢測引擎配置 (424.06 KB)
目 錄
1.8.3 配置應用層檢測引擎記錄NFS協議文件名數量的上限值
1.9.3 配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例
1.9.4 配置特征庫在線升級時發送給服務器的請求報文的源IP地址
1.10.4 配置X-Forwarded-For字段檢測結果的提取位置
應用層檢測引擎服務於DPI業務模塊,用於對報文的應用層信息(應用層協議以及應用行為)進行統一識別。DPI業務模塊使用應用層檢測引擎提供的識別結果,對報文進行相應的業務處理。
應用層檢測引擎提供以下基本功能:
· 協議解析:識別並分析報文應用層字段,區分應用層協議,並對部分字段進行正規化和解壓縮。
· 關鍵字匹配:根據檢測規則對報文載荷內容進行關鍵字匹配,是應用層檢測引擎的核心。
· 選項匹配:關鍵字匹配成功後,對其所屬檢測規則中的選項做進一步匹配。該過程與關鍵字匹配相比,匹配速度比較緩慢。
應用層檢測引擎使用檢測規則對報文進行匹配,檢測規則由各DPI業務的規則或特征轉換而成,包含關鍵字和選項兩種匹配項。
· 關鍵字:標識報文特征的不少於3個字節的字符串,也稱作“AC關鍵字”。
· 選項:非關鍵字的輔助匹配項,例如報文的端口號、協議類型等。
檢測規則中可以同時包含關鍵字和選項,或者僅包含選項。如果檢測規則中同時包含關鍵字和選項,則兩者都被匹配上才算是與該檢測規則匹配成功;如果檢測規則中僅包含選項,則隻要匹配選項就算與該檢測規則匹配成功。
如圖1-1所示,應用層檢測引擎的具體工作機製如下:
應用層檢測引擎的處理機製如下:
(1) 報文進入應用層檢測引擎後,應用層檢測引擎首先對報文進行協議解析,根據分析結果查找相應的檢測規則。
(2) 應用層檢測引擎判斷檢測規則中是否包含關鍵字,如果包含關鍵字,則首先進行關鍵字匹配,否則直接進行選項匹配。
(3) 如果報文匹配上關鍵字,則繼續進行選項匹配(該選項是匹配上的關鍵字所屬檢測規則中的選項);如果報文未匹配上關鍵字,則直接允許報文通過。
(4) 如果報文與選項匹配成功,則表示此報文與該檢測規則匹配成功。
(5) 應用層檢測引擎通知相應的DPI業務模塊對此報文做進一步的處理;如果報文與選項匹配失敗,則直接允許報文通過。
應用層檢測引擎配置任務如下:
(1) 配置DPI應用Profile
(3) 配置應用層檢測引擎動作參數
(4) (可選)優化應用層檢測引擎性能
(5) (可選)配置應用層檢測引擎CPU門限響應功能
(6) (可選)配置應用層檢測引擎檢測參數
(7) (可選)配置應用層檢測引擎擴展功能
(8) (可選)配置真實源IP地址提取功能
(9) 關閉應用層檢測引擎功能
DPI應用profile是DPI業務的配置模板,用於關聯各DPI業務的策略(例如URL過濾業務)。DPI應用profile被安全策略規則或對象策略規則引用後,各DPI業務策略才能生效。
(1) 進入係統視圖。
system-view
(2) 創建DPI應用profile視圖,並進入DPI應用profile視圖。
app-profile profile-name
(3) 關聯各DPI業務策略。
¡ 在DPI應用profile中引用IPS策略。
ips apply policy policy-name mode { protect | alert }
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“IPS”。
¡ 在DPI應用profile中引用URL過濾策略。
url-filter apply policy policy-name
關於該命令的詳細介紹請參見“DPI深度安全命令參考”中的“URL過濾”。
缺省情況下,未關聯DPI業務策略。
缺省情況下,當任意一個DPI業務模塊(比如URL過濾業務)發生配置變更時(即策略或規則被創建、修改和刪除),係統將會檢測在20秒的間隔時間內是否再次發生了配置變更,並根據判斷結果執行如下操作:
· 如果間隔時間內未發生任何配置變更,則係統將在下一個間隔時間結束時執行一次激活操作,使這些策略和規則的配置生效。
· 如果間隔時間內再次發生了配置變更,則係統將繼續按照間隔時間周期性地檢測是否發生配置變更。
如果用戶希望對發生變化的業務的策略或規則立即進行激活,可執行inspect activate命令手工激活。
(1) 進入係統視圖。
system-view
(2) 激活DPI業務模塊的策略和規則配置。
inspect activate
缺省情況下,DPI業務模塊的策略和規則被創建、修改和刪除後係統會自動激活配置。
執行此命令會暫時中斷DPI業務的處理,可能導致其他基於DPI功能的業務同時出現中斷。例如,安全策略無法對應用進行訪問控製等。
源阻斷動作參數profile用來為DPI業務模塊的源阻斷動作提供動作參數,在此profile中可以配置報文被阻斷的時長。
本功能僅在開啟黑名單過濾功能後生效。如果設備上開啟了黑名單過濾功能,則在源阻斷動作參數profile中配置的阻斷時長內,來自該源IP地址的報文將被直接丟棄,不再進入應用層檢測引擎中檢測。
有關黑名單過濾功能的詳細介紹,請參見“安全配置指導”中的“攻擊檢測與防範”。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的源阻斷動作參數profile,並進入該源阻斷動作參數profile視圖。
inspect block-source parameter-profile parameter-name
(3) 配置報文源IP地址被阻斷的時長。
block-period period
缺省情況下,報文源IP地址被阻斷的時長為1800秒。
捕獲動作參數profile用來為DPI業務模塊的捕獲動作提供動作參數,在此profile中可以配置捕獲報文的最大字節數、捕獲報文的上傳時間和URL地址參數(例如tftp://192.168.100.100/upload)。
捕獲到的報文將被緩存到設備本地,並在以下任意條件滿足的情況下被上傳到指定的URL上:
· 緩存的報文字節數達到指定上限值時;
· 當天指定的上傳時間到達時
上傳到指定的URL之後,係統將清空本地緩存,然後重新開始捕獲報文。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的捕獲動作參數profile視圖,並進入該捕獲動作參數profile視圖。
inspect capture parameter-profile parameter-name
(3) 配置捕獲報文的最大字節數。
capture-limit kilobytes
缺省情況下,捕獲報文的最大字節數為512千字節。
(4) 配置每天定時上傳捕獲報文的時間。
export repeating-at time
缺省情況下,每天淩晨1點定時上傳捕獲報文。
(5) 配置上傳捕獲報文的URL地址。
export url url-string
缺省情況下,未配置上傳捕獲報文的URL地址。
日誌動作參數profile用來為DPI業務模塊的日誌動作提供動作參數,此profile中可以配置日誌的輸出方式和輸出語言。
配置記錄IPS日誌使用的語言為中文後,僅IPS日誌的威脅名稱字段使用中文描述,其它日誌信息仍然為英文。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的日誌動作參數profile視圖,並進入該日誌動作參數profile視圖。
inspect logging parameter-profile parameter-name
(3) 配置記錄報文日誌的方式。
log { email | syslog }
缺省情況下,報文日誌被輸出到信息中心。
(4) 配置記錄IPS日誌使用的語言為中文。
log language chinese
缺省情況下,記錄IPS日誌使用的語言為英文。
重定向動作參數profile用來為DPI業務模塊的重定向動作提供動作參數,在此profile中可以配置重定向報文的URL。
重定向報文的URL必須以http://或https://開頭,例如http://www.example.com。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的重定向動作參數profile,並進入重定向動作參數profile視圖。
inspect redirect parameter-profile parameter-name
(3) 配置重定向URL。
redirect-url url-string
缺省情況下,未配置重定向URL。
郵件動作參數profile用來為DPI業務模塊的郵件動作提供動作參數,在此profile中可以配置郵件服務器地址、收件人與發件人地址和登錄郵件服務器的用戶名和密碼等。
郵件服務器地址的地址既可以是郵件服務器的IP地址,也可以是郵件服務器的主機名。采用主機名時,需要確保設備能通過靜態或動態域名解析方式獲得郵件服務器的IP地址,並與之路由可達。否則郵件發送會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的郵件動作參數profile視圖,並進入郵件動作參數profile視圖。
inspect email parameter-profile parameter-name
(3) 配置郵件服務器的地址。
email-server addr-string
缺省情況下,未配置郵件服務器的地址。
(4) 配置發件人地址。
sender addr-string
缺省情況下,未配置發件人地址。
(5) 配置收件人地址。
receiver addr-string
缺省情況下,未配置收件人地址。
(6) (可選)配置客戶端身份驗證功能。
a. 開啟發送郵件的認證功能。
authentication enable
缺省情況下,發送郵件的認證功能處於開啟狀態。
b. 配置登錄郵件服務器的用戶名。
username name-string
缺省情況下,未配置登錄郵件服務器的用戶名。
c. 配置登錄郵件服務器的密碼。
password { cipher | simple } string
缺省情況下,未配置登錄郵件服務器的密碼。
d. (可選)開啟安全傳輸登錄郵件服務器密碼功能。
secure-authentication enable
缺省情況下,安全傳輸登錄郵件服務器密碼功能處於關閉狀態。
(7) (可選)配置以郵件方式輸出日誌的限製條件。
email-limit interval interval max-number value
缺省情況下,5分鍾內,設備最多可向外發送10封郵件。
(8) (可選)配置日誌郵件使用的語言。
language { chinese | english }
缺省情況下,日誌郵件使用的語言為中文。
目前僅IPS、防病毒和WAF業務支持發送中文的日誌郵件,且各業務日誌郵件中僅部分字段支持使用中文,具體字段說明請參見命令參考手冊。
URL過濾告警動作參數profile用來為URL過濾模塊的告警動作提供具體的執行參數,在此profile中可以導入告警信息文件,告警信息文件中可配置設備向客戶端發送的具體告警信息。
(1) 進入係統視圖。
system-view
(2) 創建應用層檢測引擎的URL過濾告警動作參數profile,並進入URL過濾告警動作參數profile視圖。
inspect url-filter warning parameter-profile profile-name
(3) 導入URL過濾告警信息文件。
import warning-file file-path
缺省情況下,存在一個名稱為uflt-xxx.html的告警信息文件,其中xxx表示URL過濾告警動作參數profile的名稱。文件中包含缺省的告警信息,具體內容請參見“DPI深度安全命令參考”中的“應用層檢測引擎”手冊中對本命令行缺省情況的詳細介紹。
(4) (可選)重置URL過濾告警信息文件內容。
reset warning-file
配置本命令後,設備會將URL過濾告警信息文件中的內容恢複為缺省告警信息。
對經過壓縮或編碼等處理後的報文應用層信息進行識別時,需要應用層檢測引擎先對此類報文進行解壓縮或解碼等相應處理後才能識別。通過開啟應用層檢測引擎性能優化功能或調高各項性能參數,可以提高應用層信息的識別能力和準確率,但同時也會消耗一定的係統資源。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可檢測有載荷內容的報文的最大數目。
inspect packet maximum max-number
缺省情況下,應用層檢測引擎可檢測有載荷內容的報文的最大數目為32。
(3) 配置應用層檢測引擎緩存待檢測選項的最大數目。
inspect cache-option maximum max-number
缺省情況下,應用層檢測引擎緩存待檢測選項的最大數目為32。
(4) 配置TCP數據段重組功能。
a. 開啟TCP數據段重組功能。
inspect tcp-reassemble enable
缺省情況下,TCP數據段重組功能處於關閉狀態。
b. 配置TCP數據段重組緩存區可緩存的TCP數據段最大數目。
inspect tcp-reassemble max-segment max-number
缺省情況下,TCP數據段重組緩衝區可緩存的TCP數據段最大數目為10。
(5) 開啟SMB協議報文重組功能。
inspect smb-reassemble enable
缺省情況下,SMB協議報文重組功能處於關閉狀態。
(6) (可選)關閉指定的應用層檢測引擎的優化調試功能。
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
缺省情況下,應用層檢測引擎的所有優化調試功能處於開啟狀態。
如果設備的吞吐量較差,不能滿足基本的通信需求,可關閉相關優化調試功能提高設備的性能。
應用層檢測引擎對報文的檢測是一個比較複雜且會占用一定係統資源的過程。當設備的CPU利用率較高時,應用層檢測引擎CPU門限響應功能會啟動如下機製來緩解係統資源緊張的問題。
· 當CPU利用率達到設備上配置的CPU利用率閾值時,係統會自動關閉應用層檢測引擎的檢測功能來保證設備的正常運行。
· 當設備的CPU利用率恢複到或低於設備上配置的CPU利用率恢複閾值時,係統會恢複應用層檢測引擎的檢測功能。
有關CPU利用率的詳細配置請參見“基礎配置指導”中的“設備管理”。
在係統CPU占用率較高的情況下,建議保持應用層檢測引擎CPU門限響應功能處於開啟狀態;在係統CPU占用率較低的情況下,可以考慮關閉本功能。
(1) 進入係統視圖。
system-view
(2) 開啟應用層檢測引擎CPU門限響應功能。
undo inspect cpu-threshold disable
缺省情況下,應用層檢測引擎CPU門限響應功能處於開啟狀態。
為適應不同場景對設備性能和檢測率的不同需求,應用層檢測引擎支持如下幾種選項供選擇:
· balanced:適用於大多數場景,設備在性能和檢測率之間可以達到平衡狀態。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為64千字節。
· large-coverage:適用於對檢測率要求較高的場景,設備將提升檢測率,但同時會對性能產生一定影響。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為128千字節。
· high-performance:適用於對設備性能要求較高的場景,設備可在保證一定檢測率的前提下,提升性能。此模式下,應用層檢測引擎對FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議數據流的最大檢測長度均為32千字節。
· user-defined:適用於對檢測率和性能有精確要求的場景。此模式下,可以自定義應用層檢測引擎對各協議數據流的最大檢測長度(通過inspect stream-fixed-length命令配置)。
當檢測率模式由其他模式切換為自定義模式時,數據流最大檢測長度將保持切換前模式下的取值。用戶可以此作為參考,調整各檢測長度。
· 當檢測率模式由其他模式切換為自定義模式時,報文的最大檢測長度和MD5最大檢測長度將保持切換前模式下的取值。
· 當檢測率模式由自定義模式切換到其他模式時,MD5最大檢測長度將恢複到其他模式下的缺省值,報文的最大檢測長度的取值與報文的類型有關,詳見如下說明。
¡ 對於FTP協議、HTTP協議、SMB協議、NFS協議和與E-mail相關協議報文,報文的最大檢測長度將恢複到其他模式下的缺省值。
¡ 對於其他協議以及音頻和視頻類應用報文,如果檢測率模式從自定義模式切換到balanced模式,自定義模式下配置的報文的最大檢測長度的取值將被清空,即不對報文的最大檢測長度進行限製;如果檢測率模式從自定義模式切換到large-coverage和high-performance模式,報文的最大檢測長度將保持自定義模式下的取值。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎檢測率模式。
inspect coverage { balanced | large-coverage | high-performance | user-defined }
缺省情況下,應用層檢測引擎檢測率模式為平衡模式。
應用層檢測引擎每進行一次解壓縮操作都會消耗一定的設備內存。當解壓縮的次數較多時,可能會消耗大量的設備內存,導致設備整機的並發性能下降。此時,可通過配置解壓縮次數的上限值來控製對內存的占用。
調低上限值,可降低對內存的消耗,但應用層檢測引擎的檢測成功率可能會降低;調高上限值,可能會提升應用層檢測引擎的檢測成功率,但同時會降低設備的並發性能。請管理員根據實際需求配置此功能。
僅支持在缺省MDC下配置本命令。有關MDC的詳細介紹,請參見“虛擬化技術配置指導”中的“MDC”。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎可解壓縮數據上限。
inspect uncompress maximum max-number
缺省情況下,應用層檢測引擎解壓縮文件的總次數上限值由設備實際內存計算得出。
應用層檢測引擎在對文件進行檢測時,會使用特定的存儲結構記錄文件名,用於展示在日誌中,方便用戶獲取文件信息。該記錄過程會占用一定的內存,且檢測的文件數量越多,對內存占用就越大,可能會降低設備的並發性能。當實際組網環境中大量使用NFS協議傳輸文件時,管理員可通過配置本功能,限製應用層檢測引擎記錄的基於NFS協議傳輸的文件的文件名數量。
在對設備並發性能要求較高的場景下,可減少記錄的文件名數量,降低對內存的消耗;在對設備並發性能要求較低的場景下,可調高此參數,增加記錄的文件名數量,方便用戶獲取更多的文件信息。請管理員根據實際需求配置此功能。
(1) 進入係統視圖。
system-view
(2) 配置應用層檢測引擎記錄NFS協議文件名數量的上限值。
inspect uncompress maximum max-number
缺省情況下,應用層檢測引擎記錄NFS協議文件名數量的上限值由設備實際內存計算得出。
如果網絡中的流量種類單一、源端口固定,但無法通過目的端口對其進行基於端口的應用識別或無法基於流量特征進行內容識別時,可以開啟本功能,對流量進行源端口識別,將源端口為固定端口的流量識別為訪問特定類型應用的流量。
開啟本功能後,可能會造成應用識別結果的誤報,請管理員根據組網環境的實際情況配置。
(1) 進入係統視圖。
system-view
(2) 開啟基於源端口的應用識別功能。
inspect source-port-identify enable
當DPI業務模塊(例如URL過濾)的特征庫進行在線升級時,若設備不能連接到官方網站,則可配置一個代理服務器使設備連接到官方網站上的特征庫服務專區,進行特征庫在線升級。有關特征庫在線升級功能的詳細介紹,請參見各DPI業務配置指導手冊中的“特征庫升級與回滾”。
代理服務器可以通過IP地址或者域名的方式進行訪問。如果使用域名方式,請確保設備能通過靜態或動態域名解析方式獲得代理服務器的IP地址,並與之路由可達。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置DPI業務特征庫在線升級所使用的代理服務器。
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
缺省情況下,未配置DPI業務特征庫在線升級所使用的代理服務器。
當設備對特征庫進行立即在線升級或定期在線升級時,需要訪問官網的特征庫服務器來獲取特征庫文件。如果設備需要通過指定的VPN實例訪問特征庫時,則必須通過配置本命令指定該VPN,否則會導致特征庫升級失敗。
如果同時配置了特征庫在線升級時發送給服務器的請求報文的源IP地址(即配置inspect signature auto-update source命令),需要保證源IP地址所屬的VPN實例與本功能配置的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例。
inspect signature auto-update vpn-instance vpn-instance-name
缺省情況下,未配置特征庫在線升級時訪問的特征庫服務器所屬的VPN實例。
如果管理員希望特征庫在線升級時發送給特征庫服務器的請求報文的源IP地址是一個特定的地址時,則需要配置此功能。例如,當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問特征庫服務器時,則需要管理員通過本命令指定一個符合NAT地址轉換規則的IP地址(其中,如果設備需要經過一台獨立的NAT設備進行地址轉換時,本命令指定的IP地址必須可以與NAT設備三層路由可達),使設備發出的報文經由NAT地址轉換後訪問特征庫服務器。
如果同時配置了特征庫在線升級時訪問的特征庫服務器所屬的VPN實例(即配置inspect signature auto-update vpn-instance命令),需要保證本功能配置的源IP地址所屬的VPN實例與該特征庫服務器所屬的VPN實例相同。
(1) 進入係統視圖。
system-view
(2) 配置特征庫在線升級時發送給服務器的請求報文的源IP地址。
inspect signature auto-update source { ip | ipv6 } { ip-address | interface interface-type interface-number }
缺省情況下,特征庫在線升級時發送給服務器的請求報文的源IP地址為係統根據路由表項查找到的出接口的地址。
DPI雲端服務器為各DPI業務提供雲端查詢功能,目前僅支持URL過濾分類查詢。
配置DPI雲端查詢功能時,需要確保設備能通過靜態或動態域名解析方式獲得DPI雲端服務器的IP地址,並與之路由可達,否則進行雲端查詢會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。
(1) 進入係統視圖。
system-view
(2) 配置DPI業務雲端服務器。
inspect cloud-server host-name
缺省情況下,DPI雲端服務器主機名為sec.h3c.com。
在HA雙主模式下,開啟本功能可以保證在報文來回路徑不一致的網絡環境中正常處理DPI業務。
有關HA的詳細介紹,請參見“可靠性配置指導”中的“雙機熱備(RBM)”。
本功能僅在設備處於HA雙主模式下生效。
本功能僅在開啟HA在設備間透傳業務流量功能後生效。
開啟本功能後可能會降低設備性能,請管理員根據實際情況進行配置。
(1) 進入係統視圖。
system-view
(2) 開啟DPI業務支持HA雙主模式功能。
inspect dual-active enable
缺省情況下,DPI業務支持HA雙主模式功能處於關閉狀態。
開啟本功能後,設備將緩存HTTP報文的詳情信息,並記錄在WAF日誌中,方便用戶了解報文詳情。
對於HTTP請求報文和應答報文,WAF日誌會在原有字段的基礎上記錄不同的詳情信息:
· 對於HTTP請求報文,開啟本功能後,WAF日誌中將記錄報文的所有詳情信息。關閉本功能後,WAF日誌中僅記錄報文的請求行和請求方法。
· 對於HTTP應答報文,開啟本功能後,WAF日誌中將記錄報文的狀態行信息;關閉本功能後,WAF日誌中將不記錄報文的詳情信息。
對於已產生的WAF日誌,本功能並不生效,設備不會記錄報文詳情,日誌中的報文詳情字段為空。
建議僅在關心WAF處理的HTTP報文的詳細信息的情況下開啟此功能,避免此功能占用係統的緩存資源。
(1) 進入係統視圖。
system-view
(2) 開啟WAF日誌記錄報文詳情功能。
inspect waf http-log-details enable
當客戶端使用代理方式訪問服務器時,源IP地址將會發生改變,設備無法獲取客戶端的真實IP地址,可能會造成一些攻擊無法準確識別(例如基於源IP地址數量判定是否為攻擊的場景)。開啟真實源IP檢測功能後,設備將從客戶端請求報文的相關字段獲取真正的源IP地址,避免上述問題。
(1) 進入係統視圖。
system-view
(2) 開啟真實源IP地址提取功能。
inspect real-ip enable
缺省情況下,真實源IP地址提取功能處於關閉狀態。
設備支持多種真實源IP地址提取模式,管理員可以根據實際情況選擇其中一種進行配置。
· 單字段提取:當管理員可以確定當前組網環境中僅需要針對報文中的某個特定字段提取真實源IP地址時,可將真實源IP地址提取模式配置為僅提取該字段(即XXX-only模式)。
· 字段優先級提取:當管理員不確定需要從哪些字段中獲取真實源IP時,可將真實源IP地址提取模式配置為按照字段優先級提取(即priority模式),並可根據實際需求調整各字段的優先級。此模式下,設備會從報文的多個字段中獲取多個客戶端的真實源IP地址,並將優先級最高的字段中提取出的IP地址作為最終的真實源IP地址。
(1) 進入係統視圖。
system-view
(2) 配置真實源IP地址提取模式。
inspect real-ip extraction mode { cdn-src-ip-only | priority | tcp-option-only | x-real-ip-only | xff-only }
缺省情況下,真實源IP地址提取模式為xff-only。
(3) (可選)配置真實源IP地址的字段優先級。
inspect real-ip detect-field { cdn-src-ip | tcp-option | x-real-ip | xff } priority priority-value
缺省情況下,未配置真實源IP地址的字段優先級。設備默認的各真實源IP地址字段的優先級從高到底依次為xff、cdn-src-ip、x-real-ip、tcp-option。
本命令僅在真實源IP地址提取模式為priority時生效。
當一個會話中存在多個請求報文時,設備會對會話內的每個請求報文都進行真實源IP地址的提取,並分別記錄提取結果。缺省情況下,若某個請求報文中未提取到真實源IP地址時,則認為該報文的真實源IP地址為空。在某些代理場景下,代理服務器隻在每個會話的第一個HTTP請求報文中攜帶真實源IP地址,這樣會導致設備隻能提取到第一個報文中的真實源IP地址,後續請求報文則無法提取,將會對IPS白名單等業務造成影響。如下圖所示:
在上述場景中,Host向Web Server發起了3個請求,經過Proxy Server代理後,隻有請求1中攜帶了Host的IP地址。設備提取到了請求1中的真實源IP地址IP1,並將其與IPS白名單進行匹配,匹配成功並放行該報文。對於請求2和請求3,由於設備沒有提取到真實源IP地址,IPS白名單將匹配失敗。此時,管理員可以通過開啟真實源IP地址功能解決上述問題。開啟真實源IP地址複用功能後,當設備在請求2中提取不到真實源IP地址時,會沿用請求1提取到的IP1作為本次提取結果,這樣即可與IPS白名單匹配成功。請求3同理。
(1) 進入係統視圖。
system-view
(2) 開啟真實源IP地址複用功能。
inspect real-ip reuse enable
缺省情況下,真實源IP地址複用功能處於關閉狀態。
在客戶端通過HTTP代理連接到Web服務器的場景中,HTTP報文的首部可能會攜帶X-Forwarded-For字段。X-Forwarded-For字段中攜帶多個地址,標準的格式為X-Forwarded-For: <client>, <proxy1>, <proxy2>,…<proxyn>。如果一個報文通過多個代理,則會列出每個代理服務器的IP地址。即,最右邊(tail)的proxyn是最新的代理服務器的IP地址,最左邊(head)的client是原始客戶端的IP地址。
(1) 進入係統視圖。
system-view
(2) 配置X-Forwarded-For字段檢測結果的提取位置。
inspect real-ip detect-field xff { head | tail [ number ] }
缺省情況下,X-Forwarded-For字段的提取位置為最後一項。
當通過檢測TCP Option字段獲取真實源IP地址時,首先需要找到一個特定的標誌,再基於此標誌去獲取源IP地址。
需要配置的檢測參數如下:
· 標誌內容(hex hex-vector):TCP Option字段中,真實源IP地址位於一個“標誌”的後麵,隻有檢測到標誌,設備才會繼續向後檢測真實源IP地址。如果沒有檢測到標誌,則表示不存在真實源IP地址,設備會停止對TCP Option字段的檢測。
· 標誌內容的檢測範圍:包括偏移量(offset offset-value)和檢測深度(depth depth-value)。偏移量確定了檢測的起始位置(從TCP Option字段起始位置開始的偏移量),檢測深度確定了檢測的終止位置。
· 真實源IP地址與標誌的偏移量(ip-offset ip-offset-value):即檢測真實源IP地址的起始位置。
開啟真實源IP地址提取功能後,設備默認不從TCP Option字段提取真實源IP地址,僅在配置TCP Option檢測參數後才開始檢測TCP Option字段。
(1) 進入係統視圖。
system-view
(2) 配置TCP Option字段的檢測參數。
inspect real-ip detect-field tcp-option hex hex-vector [ offset offset-value ] [ depth depth-value ] [ ip-offset ip-offset-value ]
缺省情況下,未配置TCP Option字段的檢測參數,設備不從TCP Option字段獲取真實源IP地址。
應用層檢測引擎對報文的檢測是一個複雜且會占用一定係統資源的過程。開啟應用層檢測引擎功能後,如果出現係統CPU使用率過高等情況時,可通過關閉此功能來降低對設備轉發性能的影響。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎功能。
inspect bypass
缺省情況下,應用層檢測引擎功能處於開啟狀態。
關閉應用層檢測引擎功能後,係統將不會對接收到的報文進行DPI深度安全處理。可能導致其他基於DPI功能的業務出現中斷。例如,安全策略無法對應用進行訪問控製等。
在如下場景中管理員可能需要關閉應用層檢測引擎對指定協議報文的檢測功能。
· 場景一:當組網環境中不需要對某些協議的報文進行檢測時,可以關閉應用層檢測引擎對該協議報文的檢測,以減少對設備資源的占用,提升設備性能。
· 場景二:當應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,可單獨關閉引擎對該協議報文的檢測功能,避免由於再次檢測該協議報文導致設備反複重啟的問題,同時又不影響引擎對其他協議報文的檢測。
設備支持如下兩種方式關閉應用層檢測引擎對指定協議報文的檢測功能:
· 手動關閉:此方式要求管理員已知需要關閉哪些協議報文的檢測功能,適用於場景一和場景二。
· 自動關閉:此方式由設備自動判斷需要關閉哪些協議報文的檢測功能,適用於場景二。使用此方式後,如果應用層檢測引擎對某個協議報文的檢測導致設備出現異常並重啟的情況時,則當係統重啟後,應用層檢測引擎將自動關閉對該協議報文的檢測功能,跳過對此協議報文的處理。
(1) 進入係統視圖。
system-view
(2) 關閉應用層檢測引擎對指定協議報文的檢測功能。
¡ 手工關閉應用層檢測引擎對指定協議報文的檢測功能。
inspect bypass protocol { dns | ftp | ftp-data | http | https | imap | nfs | pop3 | rtmp | sip | smb | smtp | telnet | tftp } *
缺省情況下,應用層檢測引擎對所有支持的協議都進行檢測。
¡ 自動關閉應用層檢測引擎對指定協議報文的檢測功能。
inspect auto-bypass enable
缺省情況下,應用層檢測引擎自動關閉指定協議報文的檢測功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後應用層檢測引擎的運行情況。在用戶視圖下執行reset命令可以清除應用層檢測引擎的統計信息。
表1-1 應用層檢測引擎顯示和維護
|
操作 |
命令 |
|
顯示SMB協議斷點續傳表的信息 |
(分布式設備-獨立運行模式)(集中式IRF設備) display inspect smb-breakpoint-resume table { ipv4 | ipv6 } [ slot slot-number [ cpu cpu-number ] ] (分布式設備-IRF模式) display inspect smb-breakpoint-resume table { ipv4 | ipv6 } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
顯示應用層檢測引擎的運行狀態 |
display inspect status |
|
清除SMB協議斷點續傳表的信息 |
(分布式設備-獨立運行模式)(集中式IRF設備) reset inspect smb-breakpoint-resume table { ipv4 | ipv6 } [ slot slot-number [ cpu cpu-number ] ] (分布式設備-IRF模式) reset inspect smb-breakpoint-resume table { ipv4 | ipv6 } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
