01-应用层检测引擎配置
本章节下载: 01-应用层检测引擎配置 (241.54 KB)
目 录
应用层检测引擎服务于DPI业务模块,用于对报文的应用层信息(应用层协议以及应用行为)进行统一识别。DPI业务模块使用应用层检测引擎提供的识别结果,对报文的进行相应的业务处理。
应用层检测引擎提供以下基本功能:
· 协议解析:识别并分析报文应用层字段,区分应用层协议,并对部分字段进行正规化和解压缩。
· 关键字匹配:根据检测规则对报文载荷内容进行关键字匹配,是应用层检测引擎的核心。
· 选项匹配:关键字匹配成功后,对其所属检测规则中的选项做进一步匹配。该过程与关键字匹配相比,匹配速度比较缓慢。
应用层检测引擎使用检测规则对报文进行匹配,检测规则由各DPI业务的规则或特征转换而成,包含关键字和选项两种匹配项。
· 关键字:标识报文特征的不少于3个字节的字符串,也称作“AC关键字”。
· 选项:非关键字的辅助匹配项,例如报文的端口号、协议类型等。
检测规则中可以同时包含关键字和选项,或者仅包含选项。如果检测规则中同时包含关键字和选项,则两者都被匹配上才算是与该检测规则匹配成功;如果检测规则中仅包含选项,则只要匹配选项就算与该检测规则匹配成功。
如图1-1所示,应用层检测引擎的具体工作机制如下:
应用层检测引擎的处理机制如下:
(1) 报文进入应用层检测引擎后,应用层检测引擎首先对报文进行协议解析,根据分析结果查找相应的检测规则。
(2) 应用层检测引擎判断检测规则中是否包含关键字,如果包含关键字,则首先进行关键字匹配,否则直接进行选项匹配。
(3) 如果报文匹配上关键字,则继续进行选项匹配(该选项是匹配上的关键字所属检测规则中的选项);如果报文未匹配上关键字,则直接允许报文通过。
(4) 如果报文与选项匹配成功,则表示此报文与该检测规则匹配成功。
(5) 应用层检测引擎通知相应的DPI业务模块对此报文做进一步的处理;如果报文与选项匹配失败,则直接允许报文通过。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
产品系列 |
产品型号 |
说明 |
MSG系列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
支持 |
WX2500H-WiNet系列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
WX3500H-WiNet系列 |
WX3508H-WiNet |
支持 |
WAC系列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
· WAC380-30:支持 · WAC380-60:支持 · WAC380-90:支持 · WAC380-120:支持 · WAC381:不支持 |
WX2500H-LI系列 |
WX2540H-LI WX2560H-LI |
支持 |
AC1000系列 |
AC1016 AC1108 |
支持 |
应用层检测引擎配置任务如下:
(1) 配置DPI应用Profile
(3) 配置应用层检测引擎动作参数
(4) (可选)优化应用层检测引擎性能
(5) (可选)配置应用层检测引擎CPU门限响应功能
(6) (可选)配置应用层检测引擎检测固定长度数据流功能
(7) (可选)配置DPI业务特征库在线升级所使用的代理服务器
(8) (可选)关闭应用层检测引擎功能
DPI应用profile是DPI业务的配置模板,用于关联各DPI业务的策略(例如URL过滤业务)。
(1) 进入系统视图。
system-view
(2) 创建DPI应用profile视图,并进入DPI应用profile视图。
app-profile profile-name
(3) 在DPI应用profile中引用URL过滤策略。
url-filter apply policy policy-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“URL过滤”。
缺省情况下,DPI应用profile中未引用URL过滤策略。
当DPI业务模块(比如URL过滤业务)的策略和规则被创建、修改和删除后,有以下方式可以使得这些策略和规则的配置生效:
· 保存配置后重启设备
· 执行inspect activate命令
执行inspect activate命令会暂时中断DPI业务的处理,为了避免重复执行此命令对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一执行此命令。
(1) 进入系统视图。
system-view
(2) 激活DPI业务模块的策略和规则配置。
inspect activate
缺省情况下,DPI业务模块的策略和规则被创建、修改和删除时不生效。
日志动作参数profile用来为DPI业务模块的日志动作提供动作参数,此profile中可以配置日志的输出方式。
(1) 进入系统视图。
system-view
(2) 创建应用层检测引擎的日志动作参数profile视图,并进入该日志动作参数profile视图。
inspect logging parameter-profile parameter-name
(3) 配置记录报文日志的方式。
log { email | syslog }
缺省情况下,报文日志被输出到信息中心。
重定向动作参数profile用来为DPI业务模块的重定向动作提供动作参数,在此profile中可以配置重定向报文的URL。
(1) 进入系统视图。
system-view
(2) 创建应用层检测引擎的重定向动作参数profile,并进入重定向动作参数profile视图。
inspect redirect parameter-profile parameter-name
(3) 配置重定向URL。
redirect-url url-string
缺省情况下,未配置重定向URL。
对经过压缩或编码等处理后的报文应用层信息进行识别时,需要应用层检测引擎先对此类报文进行解压缩或解码等相应处理后才能识别。通过开启应用层检测引擎性能优化功能或调高各项性能参数,可以提高应用层信息的识别能力和准确率,但同时也会消耗一定的系统资源。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎可检测有载荷内容的报文的最大数目。
inspect packet maximum max-number
缺省情况下,应用层检测引擎可检测有载荷内容的报文的最大数目为32。
(3) 配置应用层检测引擎缓存待检测选项的最大数目。
inspect cache-option maximum max-number
缺省情况下,应用层检测引擎缓存待检测选项的最大数目为32。
(4) 配置TCP数据段重组功能
a. 开启TCP数据段重组功能。
inspect tcp-reassemble enable
缺省情况下,TCP数据段重组功能处于关闭状态。
b. 配置TCP数据段重组缓存区可缓存的TCP数据段最大数目。
inspect tcp-reassemble max-segment max-number
缺省情况下,TCP数据段重组缓冲区可缓存的TCP数据段最大数目为10。
(5) (可选)关闭指定的应用层检测引擎的优化调试功能。
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
缺省情况下,应用层检测引擎的所有优化调试功能处于开启状态。
如果设备的吞吐量较差,不能满足基本的通信需求,可关闭相关优化调试功能提高设备的性能。
应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程。当设备的CPU利用率较高时,应用层检测引擎CPU门限响应功能会启动如下机制来缓解系统资源紧张的问题。
· 当CPU利用率达到设备上配置的CPU利用率阈值时:
¡ 若固定长度数据流检测功能处于关闭状态,则系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。
¡ 若固定长度数据流检测功能处于开启状态,则应用层检测引擎只对一条数据流首包后固定长度内的数据进行检测,超出固定长度后的数据不再进行检测。
· 当设备的CPU利用率恢复到或低于设备上配置的CPU利用率恢复阈值时,系统会对整条数据流的内容进行检测。
有关CPU利用率的详细配置请参见“设备管理配置指导”中的“设备管理”。
在系统CPU占用率较高的情况下,建议保持应用层检测引擎CPU门限响应功能处于开启状态;在系统CPU占用率较低的情况下,可以考虑关闭本功能。
(1) 进入系统视图。
system-view
(2) 开启应用层检测引擎CPU门限响应功能。
undo inspect cpu-threshold disable
缺省情况下,应用层检测引擎CPU门限响应功能处于开启状态。
应用层检测引擎检测固定长度数据流功能,是指当设备的CPU利用率达到设备上配置的CPU利用率阈值时,应用层检测引擎只检测每条数据流首包后固定长度内的数据,不再检测超出固定长度后的数据。当设备的CPU利用率恢复到设备上配置的CPU利用率恢复阈值时,系统会对整条数据流的内容进行检测。有关CPU利用率的详细配置请参见“设备管理配置指导”中的“设备管理”。
开启应用层检测引擎CPU门限响应功能,此功能才会生效。
当设备的CPU利用率较高的情况下,建议关闭此功能,此时应用层检测引擎CPU门限响应功能开启的情况下,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。
(1) 进入系统视图。
system-view
(2) 开启应用层检测引擎检测固定长度数据流功能。
undo inspect stream-fixed-length disable
缺省情况下,应用层检测引擎检测固定长度数据流功能处于开启状态。
(3) 配置应用层检测引擎检测数据流的固定长度。
inspect stream-fixed-length { email I ftp | http } * length
缺省情况下,应用层检测引擎对FTP协议、HTTP协议和与E-mail相关协议数据流的固定检测长度均为32千字节。
调高此参数后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理调低参数后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低。
当DPI业务模块(例如URL过滤)的特征库进行在线升级时,若设备不能连接到官方网站,则可配置一个代理服务器使设备连接到官方网站上的特征库服务专区,进行特性库在线升级。有关特征库在线升级功能的详细介绍,请参见各DPI业务配置指导手册中的“特征库升级与回滚”。
代理服务器可以通过IP地址或者域名的方式进行访问。如果使用域名方式,请确保设备能通过静态或动态域名解析方式获得代理服务器的IP地址,并与之路由可达。有关域名解析功能的配置请参见“网络互通配置指导”中的“域名解析”。
(1) 进入系统视图。
system-view
(2) 配置DPI业务特征库在线升级所使用的代理服务器。
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
缺省情况下,未配置DPI业务特征库在线升级所使用的代理服务器。
应用层检测引擎对报文的检测是一个复杂且会占用一定系统资源的过程。开启应用层检测引擎功能后,如果出现系统CPU使用率过高等情况时,可通过关闭此功能来降低对设备转发性能的影响。
关闭应层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。
(1) 进入系统视图。
system-view
(2) 关闭应用层检测引擎功能。
inspect bypass
缺省情况下,应用层检测引擎功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后应用层检测引擎的运行情况。
表1-1 应用层检测引擎显示和维护
操作 |
命令 |
显示应用层检测引擎的运行状态 |
display inspect status |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!