- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
21-APR配置
本章节下载: 21-APR配置 (259.73 KB)
目 录
APR(Application Recognition)即应用识别。一些基于应用的业务(例如应用审计与管理)在进行报文处理时需要知道报文所属的应用,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用的报文进行数目和速率统计。APR支持以下应用识别方式:PBAR(Port Based Application Recognition,基于端口的应用识别)和NBAR(Network Based Application Recognition,基于内容特征的应用识别)。
PBAR根据端口与应用的映射关系识别出报文所属的应用,并支持以下类型的映射关系:
· 预定义的端口与应用的映射关系:由系统预先定义。
· 自定义的端口与应用的映射关系:由管理员进行创建。
根据与应用进行映射的对象范围的不同,PBAR提供以下映射机制来维护和使用自定义的端口与应用映射关系:
· 通用端口映射:对于所有报文,建立自定义端口号和应用的映射关系。例如:将53222端口映射为BitTorrent应用,这样所有目的端口是53222的报文将被识别为BitTorrent应用报文。
· 主机端口映射:对去往某些特定范围内主机的报文建立自定义端口号和应用的映射。例如:将目的地址为10.110.0.0/16网段的、使用53222端口的报文映射为BitTorrent应用报文。主机范围可以通过配置ACL或者指定主机地址、网段来确定。
主机端口映射还可以细分为如下类型:
¡ 基于ACL的主机端口映射:对于匹配指定ACL的报文,建立端口号与应用的映射关系;
¡ 基于网段的主机端口映射:对于目的地址为指定网段的报文,建立端口号与应用的映射关系;
¡ 基于IP地址的主机端口映射:对于目的地址为指定IP地址的报文,建立端口号与应用的映射关系。
以上端口映射配置对于同一个报文的生效优先级从高到低依次为:基于IP地址、基于网段、基于ACL、通用。而对于其中的每一类,指定传输层协议名称的配置优先级高于不指定传输层协议名称的配置。
NBAR提取应用报文的特征,通过将报文的内容与特征库中的规则进行匹配来识别报文所属的应用。
NBAR支持预定义应用和自定义应用。
· 预定义应用:由设备上的APR特征库定义。
· 自定义应用:由管理员根据实际需求手工配置。
设备为NBAR应用定义了所属的风险类型,一个应用可同时具有多种风险类型也可以没有任何风险类型,所属的风险类型越多,表示该应用的风险级别越高。管理员可根据应用的风险级别配置相应的防护策略(例如安全策略),保护内网安全。
预定义应用的风险类型由特征库自动生成,自定义应用的风险类型由管理员手工配置。
当设备同时识别出多个应用时,识别结果以优先级高的应用为准。优先级数值越低,表示级别越高。
可以将具有相似特征的应用添加到一个应用组中。一个应用组,就是若干个应用的集合。如果报文被识别为属于某个应用,而该应用又属于某个应用组,则报文相当于被识别为属于某个应用组。基于应用的业务(例如应用审计与管理)可以对属于同一个应用组的报文做统一处理。
APR特征库是用来对经过设备的应用层流量进行字符串特征识别的资源库,包含PBAR和NBAR特征。随着互联网业务的不断变化和发展,网络上的应用也在迅速的增加和变化,需要及时升级设备中的APR特征库。
APR特征库升级包括如下几种方式:
· 定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的APR特征库。
· 立即自动在线升级:管理员手工触发设备立即更新本地的APR特征库。
· 手动离线升级:当设备无法自动获取APR特征库服务时,需要管理员先手动获取最新的APR特征库,再更新设备本地的APR特征库。
APR特征库的升级需要购买并正确安装License后才能使用。License过期后,APR功能可以采用设备中已有的APR特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“基础配置指导”中的“License管理”。
APR配置任务如下:
· 配置PBAR
· 配置应用组
· (可选)配置接口的应用统计功能
(1) 进入系统视图。
system-view
(2) 配置端口映射。请至少选择其中一项进行配置。
¡ 配置通用端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ]
¡ 配置基于ACL的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number
¡ 配置基于网段的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
¡ 配置基于IP地址的主机端口映射。
port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]
缺省情况下,各应用与其对应的知名端口号映射。
本功能仅支持对预定义PBAR应用进行配置。
当APR特征库中预定义的NBAR应用不能满足用户需求时,可以根据实际组网环境需求,手工配置NBAR自定义应用。应用中支持配置的内容如下:
· 应用的描述信息
· 应用下包含的规则,包含数值型规则和关键字型规则
· 规则间的匹配逻辑,包括逻辑与和逻辑或
· 应用的优先级
· 应用所属的风险类型
· 应用的最大检测字节数
报文与应用匹配成功的判断原则为:当应用的规则间是逻辑与的关系时,报文需要成功匹配该应用下的所有规则;当应用的规则间是逻辑或的关系时,报文仅需要成功匹配一条规则。
配置NBAR自定义应用的风险类型前,需要先将APR特征库升级到最新版本。
(1) 进入系统视图。
system-view
(2) 创建NBAR自定义应用,并进入NBAR自定义应用视图。
nbar user-defined-application application-name
(3) 配置NBAR自定义应用的优先级。
priority priority-level
缺省情况下,未配置NBAR自定义应用的优先级。
配置的数值越小,优先级越高。当设备同时识别出多个应用时,识别结果为优先级更高的应用;当优先级相同时,识别结果为最先配置的应用。
(4) 配置NBAR自定义应用规则的匹配逻辑。
rule match-logic { and | or }
缺省情况下,NBAR自定义应用规则的匹配逻辑为or。
(5) (可选)配置NBAR自定义应用的描述信息。
description text
缺省情况下,NBAR自定义应用的描述信息为User defined application。
(6) (可选)配置NBAR自定义应用的风险类型。
risk-type risk-type
缺省情况下,未配置NBAR自定义应用的风险类型。
(7) (可选)NBAR自定义应用的最大检测字节数。
detect-length value
缺省情况下,未配置NBAR自定义应用的最大检测长度。
NBAR自定义应用的规则中可配置如下内容:
· 规则的描述信息
· 规则下的特征(一条规则下可配置多个特征)
· 规则匹配条件,包括源\目的IP地址网段、方向和源\目的端口号
报文与应用规则匹配成功的判断原则为:报文至少成功匹配一个特征且同时满足所有匹配条件。
NBAR自定义应用的规则分为数值型和关键字型:
· 数值型:表示规则匹配的内容为数值。
· 关键字型:表示规则匹配的内容为字符串。
(1) 进入系统视图。
system-view
(2) 进入NBAR自定义应用视图。
nbar user-defined-application application-name
(3) 创建NBAR自定义应用规则,并进入NBAR自定义应用规则视图。
rule rule-id l4-protocol l4-protocol-name l5-protocol l5-protocol-name pattern-type { keyword | integer }
缺省情况下,未配置NBAR自定义应用规则。
(4) 配置NBAR自定义应用规则的匹配条件。
¡ 配置NBAR自定义应用规则匹配的源端口号。
source port { port-num | range start-port to end-port }
缺省情况下,NBAR自定义应用规则匹配所有源端口号。
¡ 配置NBAR自定义应用规则匹配的目的端口号。
destination port { port-num | range start-port to end-port }
缺省情况下,NBAR自定义应用规则匹配所有目的端口号。
¡ 配置NBAR自定义应用规则匹配的源IP地址网段。
source address ip ipv4-address [ mask-length ]
缺省情况下,NBAR自定义应用规则匹配所有源IP地址网段。
¡ 配置NBAR自定义应用规则匹配的目的IP地址网段。
destination address ip ipv4-address [ mask-length ]
缺省情况下,NBAR自定义应用规则匹配所有目的IP地址网段。
¡ 配置NBAR自定义应用规则的匹配方向。
direction { to-client | to-server }
缺省情况下,NBAR自定义应用规则对client和server之间互访的双向流量都进行匹配。
(5) 创建数值型NBAR自定义应用规则特征。
integer-signature field field-name { { eq | nequ } number | range start-number to end-number }
缺省情况下,未配置数值型NBAR自定义应用规则特征。
本功能仅支持在数值型NBAR自定义应用规则下配置。
(6) 创建关键字型NBAR自定义应用规则特征。
a. 创建关键字型NBAR自定义应用规则特征,并进入关键字型NBAR自定义应用规则特征视图。
keyword-signature signature-id field field-name include { hex hex-vector | text text-string } [ [ offset offset-value ] [ depth depth-value ] ]
缺省情况下,未配置关键字型NBAR自定义应用规则特征。
b. 配置关键字型NBAR自定义应用规则特征的检查项。
detection detection-id field field-name match-type { exclude | include } { hex hex-vector | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]
缺省情况下,未配置关键字型NBAR自定义应用规则特征的检查项。
c. 退回NBAR自定义应用规则视图。
quit
本功能仅支持在关键字型NBAR自定义应用规则下配置。
(7) 退回NBAR自定义应用视图。
quit
(8) (可选)配置NBAR自定义应用规则的描述信息。
description text
缺省情况下,NBAR自定义应用规则的描述信息为“User defined rule”。
(9) (可选)禁用NBAR自定义应用规则。
disable
缺省情况下,NBAR自定义应用规则处于生效状态。
(1) 进入系统视图。
system-view
(2) 创建应用组,并进入应用组视图。
app-group group-name
(3) (可选)为自定义的应用组设置描述信息。
description text
缺省情况下,自定义应用组的描述信息为“User-defined application group”。
(4) 向应用组中添加应用。请至少选择其中一项进行配置。
¡ 在应用组中复制另一个应用组中的所有应用。
copy app-group group-name
可以通过多次执行本命令复制多个应用组里的应用。
¡ 在应用组中添加应用。
include application application-name
缺省情况下,应用组中不包含应用。
在接口上开启应用统计功能之后,设备能够对接口上收到或者发送的报文的数目、速率按照应用分别进行统计,生成的统计信息可以通过display application statistics命令查看。
接口的应用统计功能会消耗大量系统内存。当系统出现内存告警时,请关闭接口的应用统计功能。
(1) 进入系统视图。
system-view
(2) 进入三层接口视图。
interface interface-type interface-number
(3) 开启接口的应用统计功能。
application statistics enable [ inbound | outbound ]
缺省情况下,接口的应用统计功能处于关闭状态。
如果不指定任何参数,则表示同时开启接口出方向和入方向上的应用统计功能。
请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级特征库会失败。
当系统内存使用状态处于告警门限状态时,请勿进行特征库升级,否则易造成设备特征库升级失败,进而影响NBAR业务的正常运行。有关内存告警门限状态的详细介绍请参见“设备管理配置指导”中的“硬件资源管理”。
同一时刻只能对一个特征库进行升级,如果当前已有其他特征库正在升级,请稍后再试。
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的APR特征库进行升级。
该方式下,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级APR特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
(1) 进入系统视图。
system-view
(2) 开启定期自动在线升级APR特征库功能,并进入自动在线升级配置视图。
apr signature auto-update
缺省情况下,定期自动在线升级APR特征库功能处于关闭状态。
(3) 配置定期自动在线升级APR特征库的时间。
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
缺省情况下,设备在每天02:01:00至04:01:00之间自动升级APR特征库。
(4) (可选)配置定期自动在线升级APR特征库时覆盖当前的特征文件。
override-current
缺省情况下,定期自动在线升级APR特征库时不会覆盖当前的特征库文件,而是同时备份当前的特征库文件。
当管理员发现官方网站的特征库服务专区中的APR特征有更新时,可以选择立即自动在线升级方式来及时升级APR特征库版本。
该方式下,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级APR特征库会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
(1) 进入系统视图。
system-view
(2) 立即自动在线升级APR特征库。
apr signature auto-update-now
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级APR特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的APR特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的APR特征库版本。
使用本地升级方式离线升级APR特征库版本时,特征库文件只能存储在当前主控板上,否则设备升级特征库会失败。
(1) 进入系统视图。
system-view
(2) 手动离线升级APR特征库。
apr signature update [ override-current ] file-path
可在任意视图下执行以下命令:
· 显示预定义的端口映射信息。
display port-mapping pre-defined
· 显示自定义的端口映射信息。
display port-mapping user-defined [ application application-name | port port-number ]
可在任意视图下执行以下命令:
· 显示应用组信息。
display app-group [ name group-name ]
· 显示应用信息。
display application [ name application-name | pre-defined | user-defined ]
可在任意视图下执行以下命令:
· 显示接口上的应用统计信息
display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ slot slot-number ] | name application-name ] *
· 按指定类型的统计排名显示接口应用统计信息。
display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ slot slot-number ]
请在用户视图下执行以下命令,清除指定接口或所有接口的应用统计信息。
reset application statistics [ interface interface-type interface-number ]
可在任意视图下执行以下命令,显示当前APR特征库的版本信息
display apr signature library
主机通过Router与外网相连,通过配置Router实现丢弃主机向外部网络发送的目的端口为8080的HTTP连接报文。
图1-1 PBAR基本组网配置组网图
# 创建应用组group1,并进入应用组视图。
<Router> system-view
[Router] app-group group1
# 添加HTTP应用。
[Router-app-group-group1] include application http
[Router-app-group-group1] quit
# 配置名为HTTP的应用与TCP协议、端口8080之间的映射。
[Router] port-mapping application http port 8080 protocol tcp
# 定义类classifier_1,匹配应用组group1。
[Router] traffic classifier classifier_1
[Router-classifier-classifier_1] if-match app-group group1
[Router-classifier-classifier_1] quit
# 定义流行为bdeny,动作为流量过滤(deny),对数据包进行丢弃。
[Router] traffic behavior bdeny
[Router-behavior-bdeny] filter deny
[Router-behavior-bdeny] quit
# 定义策略1,为类classifier_1指定流行为bdeny。
[Router] qos policy 1
[Router-qospolicy-1] classifier classifier_1 behavior bdeny
[Router-qospolicy-1] quit
# 在GigabitEthernet0/0/1入方向上应用QoS策略。
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] qos apply policy 1 inbound
[Router-GigabitEthernet0/0/1] quit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
