11-应用识别
本章节下载: 11-应用识别 (344.70 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ PBAR
¡ NBAR
¡ 应用组
· 配置指南
¡ 应用
¡ 应用组
APR(Application Recognition)即应用层协议识别。一些基于应用的业务在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计。APR为了更好地识别报文所属的应用层协议,提供了两种应用识别方法:基于端口的应用识别和基于内容特征的应用识别。
· PBAR(Port Based Application Recognition,基于端口的应用层协议识别):根据定义的应用层协议端口与应用的映射关系识别报文所属的应用层协议。
· NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别):提取应用报文区别于其它应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议。
下文中的应用均指设备可以通过APR识别出的应用层协议。应用分为预定义应用和自定义应用两种:预定义应用由系统缺省创建;自定义应用由管理员通过配置创建。
PBAR(Port Based Application Recognition,基于端口的应用层协议识别)根据预定义的、自定义的端口与应用的映射关系识别出应用层协议。预定义的端口与应用的映射关系由系统预先定义,自定义的端口与应用的映射关系由管理员配置进行创建。
PBAR提供了以下两种映射机制来维护和使用自定义的端口与应用映射关系:
· 通用端口映射:对管理员自定义端口号和应用层协议建立映射关系。例如:将2121端口映射为FTP协议,这样所有目的端口是2121的报文将被识别为FTP报文。
· 主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用层协议的映射。例如:将目的地址为10.110.0.0/16网段的、使用2121端口的报文映射为FTP报文。主机范围可以通过配置ACL或者指定主机地址、网段来确定。
NBAR功能需要安装License才能使用。License过期后,NBAR功能可以采用设备中已有的APR特征库正常工作,但无法升级特征库。关于License的详细介绍请参见 “License联机帮助”。 |
NBAR根据报文的内容特征与预定义的特征项或管理员自定义的特征项进行匹配来识别报文所属的应用层协议。
目前设备仅支持预定义NBAR类型的应用。
可以将具有相似特征的应用添加到一个应用组中。一个应用组,就是若干个应用的集合。如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组。基于应用的业务可以对属于同一个应用组的报文做统一处理。
一个自定义应用组中可以包含多个预定义应用和自定义应用。
在应用页面可以通过端口映射创建自定义的PBAR类型的应用,也可以对预定义应用进行修改。
根据与应用层协议进行映射的对象范围的不同,可以将端口映射的配置分为以下四类:
· 通用端口映射:如果报文的目的端口号与某个通用端口映射匹配,则该报文将被识别为相应的应用层协议报文。
· 基于IP地址的主机端口映射:对于目的地址为指定地址或指定范围的地址的报文,如果报文的目的端口号与某个映射关系匹配,则该报文将被识别为对应的应用层协议报文。
· 基于网段的主机端口映射:对于目的地址为指定网段的报文,如果报文的目的端口号与某个映射关系匹配,则该报文将被识别为对应的应用层协议报文。PBAR以最精确的网络范围对报文进行匹配,即如果配置了多条网段映射关系,且各映射关系中指定的网段范围互相包含,则使用网络范围最小的映射配置进行匹配。
· 基于ACL的主机端口映射:对于匹配指定ACL的报文(其目的IP地址与ACL中某规则指定的源IP地址参数相匹配),如果报文的目的端口号与某个映射关系匹配,则该报文将被识别为对应的应用层协议报文。
1. 选择“对象 > 应用安全 > 应用识别 > 应用”。
2. 在“应用”页面单击<新建>按钮,进入“新建自定义应用”页面。
3. 在“新建自定义应用”页面配置应用的名称,并为应用配置所属的风险类型。设备将根据配置的风险类型自动计算应用的风险等级。
4. 在端口映射区域,单击<新建>按钮,进入“添加端口映射”页面。
5. 新建端口映射关系,具体配置内容如下:
表-1 端口映射关系配置
参数 |
说明 |
端口号 |
表示指定与应用层协议映射的端口 |
协议类型 |
表示指定应用层协议使用的传输层协议名称,其取值包括:all、DCCP(Datagram Congestion Control Protocol,数据报拥塞控制协议)、SCTP(Stream Control Transmission Protocol,流控制传输协议)、TCP协议、UDP协议和UDP-Lite协议。all表示所有传输层协议的指定端口的报文均被识别为指定应用层协议的报文 |
匹配方式 |
匹配方式包括如下几种:all(通用端口映射)、基于IPv4地址的主机端口映射、基于IPv4网段的主机端口映射、基于IPv4 ACL的主机端口映射、基于IPv6地址的主机端口映射、基于IPv6网段的主机端口映射和基于IPv6 ACL的主机端口映射 |
匹配条件 |
选择匹配方式为基于IP地址的主机端口映射时匹配条件为IP地址范围,匹配方式为基于网段的主机端口映射时匹配条件为IP地址网段,匹配方式为基于ACL的主机端口映射时匹配条件为ACL |
VRF实例 |
指定主机所属的VPN |
6. 单击<确定>按钮,可以为此PBAR应用添加一条端口映射表。
在一个自定义PBAR应用的端口映射表中可添加多条端口映射条目,当存在以上四类端口映射条目时,对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用。而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置。
7. 在“新建自定义应用”页面单击<确定>按钮,可在设备上成功添加一个PBAR类型的应用。在“应用”页面勾选<只显示自定义应用>筛选条件即可清晰地看到添加的自定义应用。
1. 选择“对象 > 应用安全 > 应用识别 > 应用”。
2. 在“应用”页面选中已存在的一个应用,单击此应用右面的<编辑>按钮,进入“修改预定义应用”页面。
3. 在“修改预定义应用”页面可以添加端口映射条目,有关添加端口映射条目的具体步骤请参见“新增PBAR类型应用步骤”中的第4步。
修改完预定义应用后,与此预定义应用原有识别规则和新增端口映射关系匹配成功的报文,都可以识别为此应用。
可以将具有相似特征或者相似限制要求的应用添加到一个应用组。
1. 选择“对象 > 应用安全 > 应用识别 > 应用组”。
2. 在“应用组”页面单击<新建>按钮,进入“新建应用组”页面。
3. 新建应用组,具体配置内容如下:
表-2 应用组配置
参数 |
说明 |
应用组名称 |
表示应用组的名称 |
描述 |
通过合理编写描述信息,便于管理员快速理解和识别该应用组的作用,有利于后期维护 |
类别 |
通过筛选类别,可以快速选择所需的应用 |
风险类型 |
通过筛选风险类型,可以快速选择属于某个风险类型的应用 |
风险级别 |
通过筛选风险级别,可以快速选择属于某个风险级别的应用 |
筛选 |
“可选应用”栏中所显示的内容是通过“类别”、“风险类型”和“风险级别“筛选出的应用。可单击右侧的<全部选择>或者<选择>按钮,将所需的应用筛选到<已选应用>栏中 |
4. 单击<确定>按钮,此应用组创建成功,在应用组页面可看到新建的应用组。
· 使用应用识别功能时,请将应用识别特征库升级到最新版本。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!