• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全配置指导

目录

19-应用层检测引擎配置

本章节下载 19-应用层检测引擎配置  (165.29 KB)

19-应用层检测引擎配置


1 应用层检测引擎

1.1  应用层检测引擎简介

1.1.1  应用层检测引擎产生背景

在当前日益复杂和严峻的网络安全威胁中,需要对报文的应用层信息进行识别,以最终识别出此应用层信息的应用或行为。为了避免因业务模块各自进行应用层信息识别(例如七层服务器负载均衡和安全策略),而导致设备性能大幅下降,需要一个公共的检测模块来实现对应用层信息的统一识别。应用层检测引擎就是实现这个公共检测功能的模块。设备会把识别结果反馈给各业务模块,各模块再根据自己的策略完成对报文的后续业务处理,这样设备就能对报文实现一次检测,多次处理的效果。

文中提到的应用层协议识别指的是NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)。有关NBAR的详细介绍请参见“安全配置指导”中的“APR”。

1.1.2  应用层检测引擎简介

应用层检测引擎是应用层信息检测模块,提供以下三个基本功能:

·            协议解析:识别并分析报文应用层字段,区分应用层协议,并对部分字段进行正规化和解压缩。

·            关键字匹配:根据检测规则对报文载荷内容进行关键字匹配,是应用层检测引擎的核心,且匹配速度快。

·            选项匹配:关键字匹配成功后,对其所属检测规则中的选项做进一步匹配。该过程与关键字匹配相比,匹配速度比较缓慢。

1.1.3  检测规则

1. 检测规则

应用层检测引擎使用检测规则对报文进行匹配,检测规则由应用层协议识别业务的规则或特征转换而成,包含关键字和选项两种匹配项。

·            关键字:标识报文特征的不少于3个字节的字符串,也称作“AC关键字”。

·            选项:检测规则中非关键字之外的匹配项,例如报文的端口号、协议类型等。

检测规则中可以包含关键字和选项,也可以不包含关键字。如果检测规则中包含关键字和选项,则两者都被匹配上才算是与该检测规则匹配成功。

1.1.4  应用层检测引擎工作机制

图1-1 应用层检测引擎工作机制示意图

 

图1-1所示,应用层检测引擎的具体工作机制如下:

(1)       设备收到报文后,首先对报文进行安全策略规则的匹配,如果规则匹配成功,且规则中需要进行应用层协议识别,则此报文进入应用层检测引擎处理;如果规则中不需要进行应用层协议识别,则根据规则中的动作对此报文进行处理。如果报文与规则匹配失败,则直接丢弃此报文。有关安全策略规则的详细介绍请参见“安全配置指导”中的“安全策略”。

(2)       报文进入应用层检测引擎后,应用层检测引擎首先对报文进行协议解析,即识别报文的应用层协议和对此报文进行分析,根据分析结果查找相应的检测规则。

(3)       应用层检测引擎判断检测规则中是否包含关键字,如果包含关键字,则进行关键字匹配,否则直接进行选项匹配。

(4)       如果报文匹配上关键字,则继续进行选项匹配(该选项是匹配上的关键字所属检测规则中的选项),否则直接允许报文通过。

(5)       如果报文与选项匹配成功,则表示此报文与该检测规则匹配成功。之后,应用层检测引擎通知基于应用层协议识别的各业务模块对此报文做进一步的处理;如果报文与选项匹配失败,则直接允许报文通过。

1.2  应用层检测引擎配置任务简介

表1-1 应用层检测引擎配置任务简介

配置任务

说明

详细配置

激活应用层协议识别模块的规则配置

必选

1.3 

优化应用层检测引擎性能

可选

1.4 

开启应用层检测引擎CPU门限响应功能

可选

1.5 

配置应用层检测引擎检测固定长度数据流功能

可选

1.6 

配置应用层协议识别特征库在线升级所使用的代理服务器

可选

1.7 

关闭应用层检测引擎功能

可选

1.8 

 

1.3  激活应用层协议识别模块的规则配置

当应用层协议识别模块的规则被创建、修改和删除后,需要执行inspect activate命令来使其规则配置生效。

当应用层协议识别模块的规则被创建、修改和删除且保存配置的情况下,设备重启之后,其相关的所有策略和规则配置也会生效。

执行inspect activate命令会暂时中断应用层协议识别业务的处理,为了避免重复执行此命令对业务造成影响,请完成部署所有规则后统一执行此命令。

表1-2 激活应用层协议识别模块的规则配置

操作

命令

说明

进入系统视图

system-view

-

激活应用层协议识别模块的规则配置

inspect activate

缺省情况下,应用层协议识别模块的规则被创建、修改和删除时不生效

 

1.4  优化应用层检测引擎性能

对经过压缩或编码等处理后的报文应用层信息进行识别时,需要应用层检测引擎先对此类报文进行解压缩或解码等相应处理后才能识别。应用层检测引擎的性能优化功能都开启或参数调高后,其对报文应用层信息的识别能力和准确率都会有所提高,但是也会消耗一定的系统资源。管理员可以根据具体的应用场景定制对报文最优的检测性能。

表1-3 优化应用层检测引擎性能

操作

命令

说明

进入系统视图

system-view

-

配置应用层检测引擎可检测有载荷内容的报文的最大数目

inspect packet maximum max-number

缺省情况下,应用层检测引擎可检测有载荷内容的报文的最大数目为32

配置应用层检测引擎缓存待检测选项的最大数目

inspect cache-option maximum max-number

缺省情况下,应用层检测引擎缓存待检测选项的最大数目为32

开启TCP数据段重组功能

inspect tcp-reassemble enable

缺省情况下,TCP数据段重组功能处于关闭状态

配置TCP数据段重组缓存区可缓存的TCP数据段最大数目

inspect tcp-reassemble max-segment max-number

缺省情况下,TCP数据段重组缓冲区可缓存的TCP数据段最大数目为10

关闭指定的应用层检测引擎的优化调试功能

inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable

缺省情况下,应用层检测引擎的所有优化调试功能的缺省情况处于开启状态

 

1.5  开启应用层检测引擎CPU门限响应功能

应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程。当设备的CPU利用率低于配置的CPU利用率阈值或恢复到CPU利用率恢复阈值时,系统对整条数据流的内容进行检测。当CPU利用率达到设备上配置的CPU利用率阈值时,系统触发CPU门限响应功能,系统会根据如下情况对数据流做出不同的处理:

·            若固定长度数据流检测功能处于关闭状态,则系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。

·            若固定长度数据流检测功能处于开启状态,则应用层检测引擎只对一条数据流首包后固定长度内的数据进行检测,超出固定长度后的的数据不再进行检测。

·            若应用层检测引擎CPU门限响应功能处于关闭状态,则系统仍然对整条数据流的内容进行检测。

在系统CPU占用率较高的情况下,不建议用户关闭此功能。

表1-4 开启应用层检测引擎CPU门限响应功能

操作

命令

说明

进入系统视图

system-view

-

开启应用层检测引擎CPU门限响应功能

undo inspect cpu-threshold disable

缺省情况下,应用层检测引擎CPU门限响应功能处于开启状态

 

1.6  配置应用层检测引擎检测固定长度数据流功能

应用层检测引擎检测固定长度数据流功能,是指当设备的CPU利用率达到设备上配置的CPU利用率阈值时,应用层检测引擎只检测每条数据流首包后固定长度内的数据,不再检测超出固定长度后的数据。当设备的CPU利用率恢复到设备上配置的CPU利用率恢复阈值时,系统会对整条数据流的内容进行检测。有关CPU利用率的详细配置请参见“基础配置指导”中的“设备管理”。

开启应用层检测引擎CPU门限响应功能,此功能才会生效。

当设备的CPU利用率较高的情况下,建议关闭此功能,此时应用层检测引擎CPU门限响应功能开启的情况下,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。

表1-5 配置应用层检测引擎检测固定长度数据流功能

操作

命令

说明

进入系统视图

system-view

-

开启应用层检测引擎检测固定长度数据流功能

undo inspect stream-fixed-length disable

缺省情况下,应用层检测引擎检测固定长度数据流功能处于开启状态

配置应用层检测引擎检测数据流的固定长度

inspect stream-fixed-length { email I ftp | http } * length

缺省情况下,应用层检测引擎对FTP协议、HTTP协议和与E-mail相关协议数据流的固定检测长度均为32千字节

调高此参数后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理调低参数后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低。

 

1.7  配置应用层协议识别业务特征库在线升级所使用的代理服务器

当应用层协议识别业务的特征库进行在线升级时,若设备不能连接到H3C官方网站,则可配置一个代理服务器使设备连接到H3C官方网站上的特征库服务专区,进行特性库在线升级。代理服务器可以通过IP地址或者域名的方式进行访问。如果使用域名方式,请确保设备能通过静态或动态域名解析方式获得代理服务器的IP地址,并与之路由可达。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

表1-6 配置应用层协议识别业务特征库在线升级所使用的代理服务器

操作

命令

说明

进入系统视图

system-view

-

配置应用层协议识别业务特征库在线升级所使用的代理服务器

inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]

缺省情况下,未配置应用层协议识别业务特征库在线升级所使用的代理服务器

 

1.8  关闭应用层检测引擎功能

应用层检测引擎对报文的检测是一个复杂且会占用一定系统资源的过程。开启应用层检测引擎功能后,如果出现系统CPU使用率过高等情况时,可通过关闭此功能来降低对设备转发性能的影响。

关闭应层检测引擎功能后,系统将不会对接收到的报文进行应用层协议识别处理。

表1-7 关闭应用层检测引擎功能

操作

命令

说明

进入系统视图

system-view

-

关闭应用层检测引擎功能

inspect bypass

缺省情况下,应用层检测引擎功能处于开启状态

 

1.9  应用层检测引擎显示维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后应用层检测引擎的运行情况。

表1-8 应用层检测引擎显示和维护

操作

命令

显示应用层检测引擎的运行状态

display inspect status

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们