- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
08-应用层检测引擎命令
本章节下载: 08-应用层检测引擎命令 (712.69 KB)
目 录
1.1.5 display inspect md5-verify configuration
1.1.6 display inspect reputation cloud-query statistics
1.1.7 display inspect smb-breakpoint-resume table
1.1.13 import block warning-file
1.1.17 inspect block-source parameter-profile
1.1.19 inspect bypass protocol
1.1.20 inspect cache-option maximum
1.1.21 inspect capture parameter-profile
1.1.24 inspect cpu-threshold disable
1.1.25 inspect dual-active enable
1.1.26 inspect email parameter-profile
1.1.27 inspect file-fixed-length
1.1.28 inspect file-fixed-length enable
1.1.29 inspect file-uncompr-layer
1.1.30 inspect file-uncompr-len
1.1.31 inspect ips log-details enable
1.1.32 inspect log-details max-size
1.1.33 inspect logging parameter-profile
1.1.34 inspect log-statistics-report
1.1.35 inspect md5-fixed-length
1.1.36 inspect md5-fixed-length enable
1.1.37 inspect md5-verify all-files
1.1.38 inspect optimization disable
1.1.40 inspect real-ip detect-field priority
1.1.41 inspect real-ip detect-field tcp-option
1.1.42 inspect real-ip detect-field xff
1.1.44 inspect real-ip extraction mode
1.1.45 inspect real-ip reuse enable
1.1.46 inspect record-filename nfs maximum
1.1.47 inspect redirect parameter-profile
1.1.48 inspect reputation cloud-server host
1.1.49 inspect reputation cloud-server register
1.1.50 inspect signature auto-update proxy
1.1.51 inspect signature auto-update source
1.1.52 inspect signature auto-update vpn-instance
1.1.53 inspect signature version-report
1.1.54 inspect smb-reassemble enable
1.1.55 inspect source-port-identify enable
1.1.56 inspect stream-fixed-length
1.1.57 inspect stream-fixed-length disable
1.1.58 inspect tcp-reassemble enable
1.1.59 inspect tcp-reassemble max-segment
1.1.60 inspect transparent enable
1.1.61 inspect uncompress maximum
1.1.62 inspect url-filter warning parameter-profile
1.1.63 inspect waf http-log-details enable
1.1.64 inspect warning parameter-profile
1.1.71 reset block warning-file
1.1.72 reset inspect reputation cloud-query statistics
1.1.73 reset inspect smb-breakpoint-resume table
1.1.75 secure-authentication enable
非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
app-profile命令用来创建DPI应用profile,并进入DPI应用profile视图。如果指定的DPI应用profile已经存在,则直接进入DPI应用profile视图。
undo app-profile命令用来删除指定的DPI应用profile。
【命令】
app-profile profile-name
undo app-profile profile-name
【缺省情况】
不存在DPI应用profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
profile-name:表示DPI应用profile的名称,为1~63个字符的字符串,不区分大小写,且只能为字母、数字、下划线。
【使用指导】
DPI(Deep Packet Inspection,深度报文检测)应用profile是一个安全业务模板,通过在DPI应用profile中引用DPI各业务策略(例如URL过滤策略),并将其应用于安全策略规则中来实现报文的应用层检测功能。
【举例】
# 创建一个名称为abc的DPI应用profile,并进入DPI应用profile视图。
<Sysname> system-view
[Sysname] app-profile abc
[Sysname-app-profile-abc]
authentication enable命令用来开启发送邮件的认证功能。
undo authentication enable命令用来关闭发送邮件的认证功能。
【命令】
authentication enable
undo authentication enable
【缺省情况】
发送邮件的认证功能处于开启状态。
【视图】
应用层检测引擎邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
当通过命令email-server指定的邮件服务器需要认证时,可以开启发送邮件的认证功能,否则不需要开启此功能。
【举例】
# 关闭发送邮件的认证功能。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] undo authentication enable
block-period命令用来配置报文源IP地址被阻断的时长。
undo block-period命令用来恢复缺省情况。
【命令】
block-period period
undo block-period
【缺省情况】
报文源IP地址被阻断的时长为1800秒。
【视图】
应用层检测引擎的源阻断动作参数profile视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
period:表示报文源IP地址被阻断的时长,取值范围为1~86400,单位为秒。
【使用指导】
如果设备上同时开启了黑名单过滤功能,则报文的源IP地址被添加到IP黑名单表项后的老化时间为源阻断动作参数profile中配置的阻断时长。阻断时长之内,后续来自该源IP地址的报文将直接被黑名单过滤功能丢弃,不再进入应用层检测引擎中检测。
如果设备上未开启黑名单过滤功能,报文的源IP地址仍会被添加到IP黑名单表项中,但IP黑名单功能并未生效,后续来自该源IP地址的报文不会被黑名单过滤功能丢弃,仍将进入应用层检测引擎中处理。
有关黑名单过滤功能的详细介绍,请参见“安全配置指导”中的“攻击检测与防范”。
【举例】
# 在名称为b1的应用层检测引擎源阻断动作参数profile中,配置报文源IP地址被阻断的时长为3600秒。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile b1
[Sysname-inspect-block-source-b1] block-period 3600
【相关命令】
· blacklist enable (security zone view)(安全命令参考/攻击检测与防范)
· blacklist global enable(安全命令参考/攻击检测与防范)
· inspect block-source parameter-profile
capture-limit命令用来配置捕获报文的最大字节数。
undo capture-limit命令用来恢复缺省情况。
【命令】
capture-limit kilobytes
undo capture-limit
【缺省情况】
捕获报文的最大字节数为512千字节。
【视图】
应用层检测引擎的捕获动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
kilobytes:表示捕获报文的最大字节数,取值范围为0~1024,单位为千字节。
【使用指导】
非缺省vSystem不支持本命令。
捕获到的报文将被缓存到设备本地,当缓存的报文字节数达到指定上限值时,系统会将缓存的报文上传到指定的URL上,并清空本地缓存,然后重新开始捕获报文。如果配置捕获报文的最大字节数为0,则系统会将捕获到的报文立刻上传到指定的URL上。
【举例】
# 在名称为c1的应用层检测引擎捕获动作参数profile中,配置捕获报文的最大值为1024千字节。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-c1] capture-limit 1024
【相关命令】
· export repeating-at
· export url
· inspect capture parameter-profile
display inspect md5-verify configuration命令用来显示MD5哈希运算配置。
【命令】
display inspect md5-verify configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【举例】
# 显示MD5哈希运算配置。
<Sysname> system-view
[Sysname] display inspect md5-verify configuration
MD5 file verification for all files: Enabled
表1-1 display inspect md5-verify configuration命令显示信息描述表
|
字段 |
描述 |
|
MD5 file verification for all files |
MD5哈希运算功能状态,取值包括: · Enabled:表示应用层检测引擎对所有文件进行MD5哈希运算 · Disabled:表示应用层检测引擎对部分文件进行MD5哈希运算 |
【相关命令】
· inspect md5-verify all-files
display insepct reputation cloud-query statistics命令用来显示信誉业务云端查询功能处理异常情况时的统计信息。
【命令】
display inspect reputation cloud-query statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的信誉业务云端查询功能处理异常情况时的统计信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上的信誉云端查询统计信息。
【使用指导】
本命令用于显示IP信誉和域名信誉云端查询功能出现查询失败等异常情况时的统计信息,例如,因云端服务器繁忙导致的查询失败的次数等,方便用户定位故障。
【举例】
# 显示指定slot上的信誉业务云端查询功能处理异常情况时的统计信息。
<Sysname> display insepct reputation cloud-query statistics slot 1
Cloud-query statistics:
Number of cloud queries failed due to server disconnection : 0
Number of cloud queries failed due to server busyness : 0
Number of cloud queries failed due to exhaustion of available quota : 0
Number of cloud queries failed due to invalid API key : 0
Number of cloud queries failed due to general server errors : 0
Number of cloud queries failed due to general network errors : 0
Number of failed IP address queries for cloud query tasks : 0
Number of failed domain queries for cloud query tasks : 0
LIPC messages received by cloud query tasks for IP addresses : 0
Queries for IP addresses by cloud query tasks : 0
Malicious IP addresses received by cloud query tasks : 0
Secure IP addresses received by cloud query tasks : 0
LIPC messages received by cloud query tasks for domains : 0
Queries for domains by cloud query tasks : 0
Malicious domains received by cloud query tasks : 0
Secure domains received by cloud query tasks : 0
Slot 1:
Number of KLIPC message sending failures : 0
Number of KLIPC message sending successes : 0
IP addresses awaiting query in the device : 0
Malicious IP addresses in devices : 0
Secure IP addresses in devices : 0
Malicious IP addresses queried in LIPC query results : 0
Secure IP addresses queried in LIPC query results : 0
Number of IP address cloud query queue size exceedances : 0
Domains awaiting query in the device : 0
Malicious domains in devices : 0
Secure domains in devices : 0
Malicious domains queried in LIPC query results : 0
Secure domains queried in LIPC query results : 0
Number of domain cloud query queue size exceedances : 0
图1-1 display insepct reputation cloud-query statistics命令显示信息描述表
|
字段 |
描述 |
|
Number of cloud queries failed due to server disconnection |
因连接云端服务器失败导致的查询失败次数 |
|
Number of cloud queries failed due to server busyness |
因云端服务器繁忙导致的查询失败次数 |
|
Number of cloud queries failed due to exhaustion of available quota |
因云端查询次数耗尽导致的查询失败次数 |
|
Number of cloud queries failed due to invalid API key |
APIkey错误导致的查询失败次数 |
|
Number of Cloud queries failed due to general server errors |
因云端服务器返回错误导致的查询失败次数 |
|
Number of Cloud queries failed due to general network errors |
因发送云端查询报文失败导致的查询失败次数 |
|
Number of failed IP addresses queries for cloud query tasks |
发送IP信誉云端查询请求失败的次数 |
|
Number of failed domain queries for cloud query tasks |
发送域名信誉云端查询请求失败的次数 |
|
LIPC messages received by cloud query tasks for IP addresses |
信誉云端查询任务从内核接收到的IP信誉LIPC查询消息 |
|
Queries for IP addresses by cloud query tasks |
信誉云端查询任务已发送的IP信誉云端查询请求个数 |
|
Malicious IP addresses received by cloud query tasks |
信誉云端查询任务查询到的恶意IP个数 |
|
Secure IP addresses received by cloud query tasks |
信誉云端查询任务查询到的安全IP个数 |
|
LIPC messages received by cloud query tasks for domains |
信誉云端查询任务从内核接收到的域名信誉LIPC查询消息 |
|
Queries for domains by cloud query tasks |
信誉云端查询任务已发送的域名信誉云端查询请求个数 |
|
Malicious domains received by cloud query tasks |
信誉云端查询任务查询到的恶意域名个数 |
|
Secure domains received by cloud query tasks |
信誉云端查询任务查询到的安全域名个数 |
|
Number of KLIPC message sending failures |
在内核发LIPC云端查询消息失败的次数 |
|
Number of KLIPC message sending successes |
在内核发LIPC云端查询消息成功的次数 |
|
IP addresses awaiting query in the device |
处于内核云端查询等待队列的IP信誉结点个数 |
|
Malicious IP addresses in devices |
设备中恶意IP信誉云端查询结点个数 |
|
Secure IP addresses in devices |
设备中安全IP信誉云端查询结点个数 |
|
Malicious IP addresses queried in LIPC query results |
内核接收到的恶意IP云端查询LIPC消息 |
|
Secure IP addresses queried in LIPC query results |
内核接收到的安全IP云端查询LIPC消息 |
|
Number of IP address cloud query queue size exceedances |
内核IP云端查询队列超出规格限制的次数 |
|
Domains awaiting query in the device |
处于内核云端查询等待队列的域名信誉结点个数 |
|
Malicious domains in devices |
设备中恶意域名信誉云端查询结点个数 |
|
Secure domains in devices |
设备中安全域名信誉云端查询结点个数 |
|
Malicious domains queried in LIPC query results |
内核接收到的恶意域名云端查询LIPC消息 |
|
Secure domains queried in LIPC query results |
内核接收到的安全域名云端查询LIPC消息 |
|
Number of domain cloud query queue size exceedances |
内核域名云端查询队列超出规格限制的次数 |
【相关命令】
· reset inspect reputation cloud-query
display inspect smb-breakpoint-resume table命令用来显示SMB协议断点续传表的信息。
【命令】
display inspect smb-breakpoint-resume table { ipv4 | ipv6 } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的SMB协议断点续传表的信息。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示所有成员设备。
【使用指导】
非缺省vSystem不支持本命令。
SMB协议具有断点续传的功能,即当文件在传输过程中被阻断时,后续文件可能会通过创建新会话的方式继续传输。当SMB协议传输的文件在经过DPI业务(如文件过滤)处理后,最终被执行了丢弃、源阻断、重定向或重置动作时,设备会创建SMB协议断点续传表,记录报文的源IP、目的IP、源VRF、目的VRF以及文件名称等。当设备接收到SMB协议的续传文件时,会将续传文件信息与断点续传表进行匹配,如果匹配成功,则对续传文件继续执行上一次的动作。保证文件可以被成功阻断或执行其他操作。
管理员可通过本命令查看SMB协议断点续传表的信息,便于对被执行了丢弃等动作的文件的信息进行分析。
【举例】
# 显示SMB协议断点续传表的信息。
<Sysname> display inspect smb-breakpoint-resume table ipv4
Slot 1:
Smb-breakpoint-resume table information:
Source IP: 1.1.1.1
Destination IP: 2.2.2.2
Source VRF: public
Destination VRF: public
MDC ID: 1
File name: test.txt
Source IP: 3.3.3.3
Destination IP: 4.4.4.4
Source VRF: public
Destination VRF: public
MDC ID: 2
File name: test.doc
表1-2 display inspect smb-breakpoint-resume table命令显示信息描述表
|
字段 |
描述 |
|
Source IP |
源IP |
|
Destination IP |
目的IP |
|
Source VRF |
源VRF,如果属于公网则显示为public |
|
Destination VRF |
目的VRF,如果属于公网则显示为public |
|
MDC ID |
MDC ID |
|
File name |
文件名称 |
【相关命令】
· reset inspect smb-breakpoint-resume table
display inspect status命令用来显示应用层检测引擎的工作状态。
【命令】
display inspect status
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 显示应用层检测引擎的运行状态。
<Sysname> display inspect status
Chassis 0 Slot 1:
Running status: Normal
表1-3 display inspect status命令显示信息描述表
|
字段 |
描述 |
|
Running status |
应用层检测引擎的运行状态,包括如下取值: · DPI administratively disabled:管理员手工关闭了应用层检测引擎 · DPI auto-bypass for protocol xxx:应用层检测引擎自动关闭了对XXX协议报文的检测功能 · DPI disabled due to high CPU usage:因为CPU使用率过高导致应用层检测引擎被关闭 · Normal:应用层检测引擎处于正常工作状态 |
|
Usage threshold has already been reached for the following CPU cores: xxx |
CPU核XXX已超过利用率阈值门限,应用层检测引擎不再使用该CPU核处理业务 仅当出现CPU核超过利用率阈值门限的情况下才会出现此字段 |
【相关命令】
· monitor cpu-usage threshold core(基础配置命令参考/设备管理)
email-limit命令用来配置以邮件方式输出日志的限制条件。
undo email-limit命令用来恢复缺省情况。
【命令】
email-limit interval interval max-number value
undo email-limit
【缺省情况】
5分钟内,设备最多可向外发送10封邮件。
【视图】
应用层检测引擎邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval interval:指定发送邮件的间隔时间,取值范围为1~10,单位为分钟。
max-number max-number:指定间隔时间内可发送的最大邮件数量,取值范围为1~100。
【使用指导】
非缺省vSystem不支持本命令。
本命令用于对设备发送日志邮件的频率进行限制,避免过于频繁地发送邮件。
设备会将待发送的邮件进行缓存,到达指定的间隔时间时发送邮件。
当待发送的邮件数量达到本功能配置的最大值时,如果有新的邮件需要发送,设备会根据邮件的严重级别(即报文命中的IPS特征的严重级别)进行判断。如果新邮件的严重级别高于已缓存的邮件,则新邮件会覆盖已缓存中严重级别最低、最新缓存的邮件。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置邮件服务器5分钟内最多可发送20封邮件。
<Sysname> system-view
[Sysname] inspect email parameter-profile test
[Sysname-inspect-email-test] email-limit interval 5 max-number 20
email-server命令用来配置邮件服务器的地址。
undo email-server命令用来恢复缺省情况。
【命令】
email-server address-string
undo email-server
【缺省情况】
未配置邮件服务器的地址。
【视图】
应用层检测引擎的邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
address-string:表示邮件服务器的地址,为3~63个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
配置的邮件服务器地址的地址既可以是邮件服务器的IP地址,也可以是邮件服务器的主机名。
采用主机名时,需要确保设备能通过静态或动态域名解析方式获得邮件服务器的IP地址,并与之路由可达。否则邮件发送会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
在同一个邮件动作参数profile视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置邮件服务器地址为example.com。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] email-server example.com
# 配置邮件服务器地址为192.168.1.1。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] email-server 192.168.1.1
export repeating-at命令用来配置每天定时上传捕获报文的时间。
undo export repeating-at命令用来恢复缺省情况。
【命令】
export repeating-at time
undo export repeating-at
【缺省情况】
每天凌晨1点定时上传捕获报文。
【视图】
应用层检测引擎的捕获动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
time:表示每天上传捕获报文的时间,格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
【使用指导】
非缺省vSystem不支持本命令。
每天指定的时间到达时,无论本地缓存是否达到最大值,系统将向指定的URL上传缓存的捕获报文,并清空本地缓存。
【举例】
# 在名称为c1的应用层检测引擎捕获动作参数profile中,配置每天定时上传捕获报文的时间为凌晨2点。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-c1] export repeating-at 02:00:00
【相关命令】
· capture-limit
· export url
· inspect capture parameter-profile
export url命令用来配置上传捕获报文的URL。
undo export url命令用来恢复缺省情况。
【命令】
export url url-string
undo export url
【缺省情况】
未配置上传捕获报文的URL。
【视图】
应用层检测引擎的捕获动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
url-string:表示用于上传捕获报文的URL,为1~255个字符的字符串。
【使用指导】
非缺省vSystem不支持本命令。
本地缓存的捕获的报文字节数达到指定上限值或者每天指定的时间到达时,系统会将缓存的报文上传到指定的URL。如果未配置上传捕获报文的URL,则系统依然会上传捕获到的报文并清空本地缓存,但是会上传失败。
【举例】
# 在名称为c1的应用层检测引擎捕获动作参数profile中,配置上传捕获报文的URL为tftp://192.168.100.100/upload。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-c1] export url tftp://192.168.100.100/upload
【相关命令】
· inspect capture parameter-profile
· capture-limit
· export repeating-at
import block warning-file命令用来导入防病毒告警文件。
【命令】
import block warning-file file-path
【缺省情况】
设备使用缺省文件里的告警信息:The site you are accessing has a security risk and thereby is blocked.
【视图】
防病毒告警动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-path:表示防病毒告警文件的存放路径,为1~200个字符的字符串。
【使用指导】
非缺省vSystem不支持本命令。
本命令用于导入防病毒告警文件,告警文件中可配置具体告警信息。告警信息出现在设备返回给客户端浏览器的提示窗口中,用来提示用户访问的内容有病毒,并且已阻断该访问。
导入的告警文件保存在dpi/av/warning目录下,并将其命名为av-httpDeclare-xxx,其中xxx表示对应的告警动作参数profile的名称。
仅支持导入html和txt类型的告警文件。
告警文件支持以下导入方式:
· 本地导入:使用本地保存的告警文件导入。
· FTP/TFTP导入:通过FTP/TFTP方式下载远程服务器上保存的告警文件,并导入该告警文件信息。
本地导入告警文件时,告警文件只能存储在当前主用设备上,否则设备导入告警文件会失败。
参数file-path的取值与导入的方式有关。本地导入时参数file-path取值请参见表1-4;FTP/TFTP导入时参数file-path取值请参见表1-5。
表1-4 本地导入时参数file-path取值说明表
|
导入场景 |
参数file-path取值 |
说明 |
|
告警文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
告警文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至告警文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
告警文件的存储位置与当前工作路径不在相同存储介质上 |
path/filename |
需要先执行cd命令将工作路径切换至告警文件所在存储介质的根目录下,再指定告警文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-5 FTP/TFTP导入时参数file-path取值说明表
|
导入场景 |
参数file-path取值 |
说明 |
|
告警文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符“%3A或%3a”、“%40”和“%2F或%2f” |
|
告警文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式导入告警文件时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则,设备导入告警文件会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 采用TFTP的方式导入防病毒告警文件,文件远程路径为:tftp://192.168.0.1/warning.txt。
<Sysname> system-view
[Sysname] inspect warning parameter-profile warn
[Sysname-inspect-warning-warn] import block warning-file tftp://192.168.0.1/warning.txt
#采用FTP的方式导入防病毒告警文件,文件远程路径为:ftp://user:[email protected]/warning.txt,用户名为user,密码为password。
<Sysname> system-view
[Sysname] inspect warning parameter-profile warn
[Sysname-inspect-warning-warn] import block warning-file ftp://user:[email protected]/warning.txt
# 采用本地方式导入防病毒告警文件,文件本地路径为cfa0:/warning.txt,且当前工作路径为cfa0。
<Sysname> system-view
[Sysname] inspect warning parameter-profile warn
[Sysname-inspect-warning-warn] import block warning-file warning.txt
import warning-file命令用来导入URL过滤告警文件。
【命令】
import warning-file file-path
【缺省情况】
存在一个名称为uflt-xxx.html的告警文件,其中xxx表示URL过滤告警动作参数profile的名称。
【视图】
URL过滤告警动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-path:表示告警文件的存放路径,为1~200个字符的字符串。
【使用指导】
非缺省vSystem不支持本命令。
缺省告警信息文件中包含的告警信息内容如下:
Web Access Blocked
Your access to this website was denied. To access this webpage, contact Technical Support.
· Reason:XXX
· Category:XXX
· URL:XXXX
其中,设备会根据实际情况显示Reason、Category和URL的具体内容。
· Reason:表示客户端访问的URL被阻断的原因。包括如下取值。
¡ 当客户端访问的URL因命中URL过滤黑名单而被阻断时,此字段将显示为:The URL of the website hit the URL blacklist.
¡ 当客户端访问的URL因命中自定义URL分类而被阻断时,此字段将显示为:The URL of the website hit a user-defined URL category.
¡ 当客户端访问的URL因命中预定义URL分类而被阻断时,此字段将显示为The URL of the website hit a predefined URL category.
¡ 当客户端访问的URL因未命中白名单模式下的白名单而被阻断时,此字段将显示为:No matching whitelist entry was found for the website in whitelist mode.
¡ 当客户端访问的URL因未匹配到任何允许访问的URL分类而被阻断时,此字段将显示为:The URL of the website did not match any accessible URL category.
¡ 当客户端访问的URL因命中URL信誉特征库而被阻断时,此字段将显示为:The URL of the website hit the URL reputation signature library.
· Category:表示客户端访问的URL所属的自定义分类、预定义分类或URL信誉的攻击分类。
· URL:表示客户端访问的URL。
当缺省的告警信息不满足实际需求时,管理员可以自行编辑一个HTML或TXT类型的告警文件,并通过本命令导入到设备中。设备会将导入的告警文件中的内容放入缺省告警信息文件中,覆盖原有内容。当设备阻断客户端访问的URL后,会向客户端浏览器的提示框中显示更新后的告警信息。
告警文件支持以下导入方式:
· 本地导入:导入设备本地保存的告警文件。
· FTP/TFTP导入:通过FTP/TFTP方式导入远程服务器上保存的告警文件。
多次执行本命令,最后一次执行的命令生效。
本地导入告警文件时,告警文件只能存储在当前主用设备上,否则设备导入告警文件会失败。
参数file-path的取值与导入的方式有关。本地导入时参数file-path取值请参见表1-6;FTP/TFTP导入时参数file-path取值请参见表1-7。
表1-6 本地导入时参数file-path取值说明表
|
导入场景 |
参数file-path取值 |
说明 |
|
告警文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
告警文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至告警文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
告警文件的存储位置与当前工作路径不在相同存储介质上 |
path/filename |
需要先执行cd命令将工作路径切换至告警文件所在存储介质的根目录下,再指定告警文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-7 FTP/TFTP导入时参数file-path取值说明表
|
导入场景 |
参数file-path取值 |
说明 |
|
告警文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符“%3A或%3a”、“%40”和“%2F或%2f” |
|
告警文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式导入告警文件时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则,设备导入告警文件会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 采用TFTP的方式导入URL过滤告警文件,文件远程路径为:tftp://192.168.0.1/warning.txt。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile warn
[Sysname-inspect-url-filter-warning-warn] import warning-file tftp://192.168.0.1/warning.txt
# 采用FTP的方式导入URL过滤告警文件,文件远程路径为:ftp://user:[email protected]/warning.txt,用户名为user,密码为password。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile warn
[Sysname-inspect-url-filter-warning-warn] import warning-file ftp://user:[email protected]/warning.txt
# 采用本地方式导入URL过滤告警文件,文件本地路径为cfa0:/warning.txt,且当前工作路径为cfa0。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile warn
[Sysname-inspect-url-filter-warning-warn] import warning-file warning.txt
inspect activate命令用来激活DPI各业务模块的策略和规则配置。
【命令】
inspect activate
【缺省情况】
DPI各业务模块的策略和规则被创建、修改和删除后会自动激活。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
缺省情况下,当任意一个DPI业务模块(比如URL过滤业务)发生配置变更时(即策略或规则被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时执行一次激活操作,使这些策略和规则的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果希望对发生变化的业务的策略或规则立即进行激活,可执行inspect activate命令手工激活。
【举例】
# 激活DPI各业务模块的策略和规则配置。
<Sysname> system-view
[Sysname] inspect activate
inspect auto-bypass enable命令用来开启应用层检测引擎自动关闭对指定协议报文的检测功能。
undo inspect auto-bypass enable命令用来关闭应用层检测引擎自动关闭对指定协议报文的检测功能。
【命令】
inspect auto-bypass enable
undo inspect auto-bypass enable
【缺省情况】
应用层检测引擎自动关闭指定协议报文的检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
开启本功能后,如果应用层检测引擎对某个协议报文的检测导致设备出现异常并重启的情况时,则当系统重启后,应用层检测引擎将自动关闭对该协议报文的检测功能,跳过对此协议报文的处理。
【举例】
# 开启应用层检测引擎自动关闭对指定协议报文的检测功能。
<Sysname> system-view
[Sysname] inspect auto-bypass enable
This feature might cause some functions of the DPI engine to be unavailable. Continue? [Y/N]:y
inspect block-source parameter-profile命令用来创建应用层检测引擎的源阻断动作参数profile,并进入源阻断动作参数profile视图。如果指定的源阻断动作参数profile已经存在,则直接进入源阻断动作参数profile视图。
undo inspect block-source parameter-profile命令用来删除应用层检测引擎的源阻断动作参数profile。
【命令】
inspect block-source parameter-profile parameter-name
undo inspect block-source parameter-profile parameter-name
【缺省情况】
不存在源阻断动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
parameter-name:表示源阻断动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
进入源阻断动作参数profile视图后,可以配置对报文执行源阻断动作时采用的特定参数,比如阻断时长。
【举例】
# 创建名称为b1的应用层检测引擎源阻断动作参数profile,并进入源阻断动作参数profile视图。
<Sysname> system-view
[Sysname] inspect block-source parameter-profile b1
[Sysname-inspect-block-source-b1]
【相关命令】
· block-period
inspect bypass命令用来关闭应用层检测引擎功能。
undo inspect bypass命令用来开启应用层检测引擎功能。
【命令】
inspect bypass
undo inspect bypass
【缺省情况】
应用层检测引擎功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
关闭应用层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其他基于DPI功能的业务出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等。
非缺省vSystem不支持本命令。
应用层检测引擎对报文的检测是一个复杂且会占用一定的系统资源的过程。开启应用层检测功能后,如果出现CPU使用率过高等情况时,可以通过关闭此功能来保证设备的正常运行。
【举例】
# 关闭应用层检测引擎功能。
<Sysname> system-view
[Sysname] inspect bypass
【相关命令】
· display inspect status
inspect bypass protocol命令用来手工关闭应用层检测引擎对指定协议报文的检测功能。
undo inspect bypass protocol命令用来手工开启应用层检测引擎对指定协议报文的检测功能。
【命令】
inspect bypass protocol { dns | ftp | ftp-data | http | https | ibm-db2 | imap | mongodb-protocol | ms-sql-s | mysql-protocol | nfs | pop3 | postgresql-protocol | rtmp | sip | smb | smtp | sqlnet | telnet | tftp } *
undo inspect bypass protocol [ dns | ftp | ftp-data | http | https | ibm-db2 | imap | mongodb-protocol | ms-sql-s | mysql-protocol | nfs | pop3 | postgresql-protocol | rtmp | sip | smb | smtp | sqlnet | telnet | tftp ] *
【缺省情况】
应用层检测引擎对所有支持的协议都进行检测。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
dns:表示关闭应用层检测引擎对DNS协议报文的检测功能。
ftp:表示关闭应用层检测引擎对FTP协议报文的检测功能。
ftp-data:表示关闭应用层检测引擎对FTP-DATA协议报文的检测功能。
http:表示关闭应用层检测引擎对HTTP协议报文的检测功能。
https:表示关闭应用层检测引擎对HTTPS协议报文的检测功能。
ibm-db2:表示关闭应用层检测引擎对IBM DB2协议报文的检测功能。
imap:表示关闭应用层检测引擎对IMAP协议报文的检测功能。
mongodb-protocol:表示关闭应用层检测引擎对MongoDB协议报文的检测功能。
ms-sql-s:表示关闭应用层检测引擎对Microsoft SQL Server协议报文的检测功能。
mysql-protocol:表示关闭应用层检测引擎对MySQL协议报文的检测功能。
nfs:表示关闭应用层检测引擎对NFS协议报文的检测功能。
pop3:表示关闭应用层检测引擎对POP3协议报文的检测功能。
postgresql-protocol:表示关闭应用层检测引擎对PostgreSQL协议报文的检测功能。
rtmp:表示关闭应用层检测引擎对RTMP协议报文的检测功能。
sip:表示关闭应用层检测引擎对SIP协议报文的检测功能。
smb:表示关闭应用层检测引擎对SMB协议报文的检测功能。
smtp:表示关闭应用层检测引擎对SMTP协议报文的检测功能。
sqlnet:表示关闭应用层检测引擎对SQLNet协议报文的检测功能。
telnet:表示关闭应用层检测引擎对TELNET协议报文的检测功能。
tftp:表示关闭应用层检测引擎对TFTP协议报文的检测功能。
【使用指导】
非缺省vSystem不支持本命令。
执行undo inspect bypass protocol命令时,如果不指定任何参数,则表示开启应用层检测引擎对所有协议报文的检测功能。
建议在如下场景中配置本命令关闭应用层检测引擎对指定协议报文的检测功能:
· 当组网环境中不需要对某些协议的报文进行检测时,可以关闭应用层检测引擎对该协议报文的检测,以减少对设备资源的占用,提升设备性能。
· 当应用层检测引擎对某个协议报文的检测导致设备出现异常并重启的情况时,可单独关闭引擎对该协议报文的检测功能,规避由检测该协议报文带来的问题,同时又不影响引擎对其他协议报文的检测。
【举例】
# 手工关闭应用层检测引擎对HTTP协议报文的检测功能。
<Sysname> system-view
[Sysname] inspect bypass protocol http
This feature might cause the DPI engine to be unavailable for the specified protocol. Continue? [Y/N]:y
【相关命令】
· display inspect status
inspect cache-option maximum命令用来配置应用层检测引擎缓存待检测规则的选项的最大数目。
undo cache-option命令用来恢复缺省情况。
【命令】
inspect cache-option maximum max-number
undo inspect cache-option
【缺省情况】
应用层检测引擎缓存待检测规则的选项的最大数目为32。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
max-number:指定应用层检测引擎在检测报文时,对每条TCP/UDP流缓存待检测规则的选项的最大数目,取值范围为1~254。
【使用指导】
应用层检测引擎中的检测规则是由各个DPI业务模块中的规则或特征转换而成。一个检测规则可以对应多个关键字,每个关键字可对应多个选项。仅当关键字和选项全部匹配,该检测规则才能匹配成功。
当应用层检测引擎在检测一条TCP/UDP数据流时,首先匹配上了一个关键字,此时还不能确定检测规则是否匹配成功,还需要对该关键字所对应的所有选项进行匹配。若当前报文不能匹配到某个选项,则需要将该选项缓存,以便后续报文与之匹配;若选项成功匹配,则不进行缓存,继续匹配下一个选项。直到所有选项均成功匹配,数据流才能与该检测规则成功匹配。
通常,使用缺省配置即可满足用户需求。但是在某些场景中,为了提高应用层检测引擎对TCP/UDP数据流应用或行为的识别能力和准确率,需要将应用层检测引擎当前缓存待检测选项的最大数调高,调高后,每条数据流占用的内存可能会上升。同理某些场景下,设备内存使用率偏高,可以调低此参数,提高设备性能,以保证基础的数据转发正常进行。
【举例】
# 配置应用层检测引擎缓存待检测规则的选项的最大数目为4。
<Sysname> system-view
[Sysname] inspect cache-option maximum 4
inspect capture parameter-profile命令用来创建应用层检测引擎的捕获动作参数profile,并进入捕获动作参数profile视图。如果指定的捕获动作参数profile已经存在,则直接进入捕获动作参数profile视图。
undo inspect capture parameter-profile命令用来删除应用层检测引擎的捕获动作参数profile。
【命令】
inspect capture parameter-profile parameter-name
undo inspect capture parameter-profile parameter-name
【缺省情况】
不存在捕获动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
profile-name:捕获动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
进入捕获动作参数profile视图后,可以配置执行报文捕获动作时采用的特定参数,比如本地缓存报文的最大值字节数。目前,仅IPS功能支持。
【举例】
# 创建名称为c1的应用层检测引擎捕获动作参数profile,并进入捕获动作参数profile视图。
<Sysname> system-view
[Sysname] inspect capture parameter-profile c1
[Sysname-inspect-capture-c1]
【相关命令】
· capture-limit
· export repeating-at
· export url
inspect cloud-server命令用来配置DPI云端服务器的主机名。
undo inspect cloud-server命令用来删除指定的DPI云端服务器。
【命令】
inspect cloud-server host-name
undo inspect cloud-server
【缺省情况】
DPI云端服务器主机名为sec.h3c.com。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
host-name:表示DPI云端服务器主机名,为1~255个字符串,只能是字母、数字、下划线“_”、连接符“-”和点号“·”,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
DPI云端服务器为各DPI业务提供云端查询功能,目前支持URL过滤分类查询以及防病毒MD5值查询。
配置DPI云端查询功能时,需要确保设备能通过静态或动态域名解析方式获得DPI云端服务器的IP地址,并与之路由可达,否则进行云端查询会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
【举例】
# 配置DPI云端服务器的主机名为service.example.h3c.com。
<Sysname> system-view
[Sysname] inspect cloud-server service.example.h3c.com
【相关命令】
· cloud-query enable(anti-virus-policy view)(DPI深度安全命令参考/防病毒)
· cloud-query enable(url-filter-policy view)(DPI深度安全命令参考/URL过滤)
inspect coverage命令用来配置应用层检测引擎检测率模式。
undo inspect coverage命令用来恢复缺省情况。
【命令】
inspect coverage { balanced | large-coverage | high-performance | user-defined }
undo inspect coverage
【缺省情况】
应用层检测引擎检测率模式为平衡模式。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
balanced:表示平衡模式。该模式下,设备会在性能和检测率之间进行调整,以达到平衡状态。
large-coverage:表示高检测率模式。该模式下,设备会适当的牺牲性能,以达到最佳的引擎检测率。
high-performance:表示最佳性能模式。该模式下,设备会适当降低引擎检测率,以保证最佳性能。
user-defined:表示自定义模式。该模式下,用户可以根据需求调整应用层检测引擎的检测长度。
【使用指导】
非缺省vSystem不支持本命令。
为了适应不同场景下对设备性能和检测率的不同需求,应用层检测引擎支持如下几种选项供选择:
· balanced:适用于大多数场景,设备在性能和检测率之间可以达到平衡状态。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议数据流的最大检测长度均为32千字节;MD5最大检测长度为2048千字节。
· large-coverage:适用于对检测率要求较高的场景,设备将提升检测率,但同时会对性能产生一定影响。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议数据流的最大检测长度均为128千字节;MD5最大检测长度为5120千字节。
· high-performance:适用于对设备性能要求较高的场景,设备可在保证一定检测率的前提下,提升性能。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议数据流的最大检测长度均为32千字节;MD5最大检测长度为32千字节。
· user-defined:适用于对检测率和性能有精确要求的场景。此模式下,可以自定义应用层检测引擎对各协议数据流的最大检测长度(通过inspect stream-fixed-length命令配置)和MD5最大检测长度(通过inspect md5-fixed-length命令配置)。
【举例】
# 配置应用层检测引擎检测率模式为自定义模式。
<Sysname> system-view
[Sysname] inspect coverage user-defined
【相关命令】
· inspect stream-fixed-length enable
· inspect file-fixed-length enable
inspect cpu-threshold disable命令用来关闭CPU门限响应功能。
undo inspect cpu-threshold disable命令用来开启CPU门限响应功能。
【命令】
inspect cpu-threshold disable
undo inspect cpu-threshold disable
【缺省情况】
CPU门限响应功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程。当设备的CPU利用率较高时,应用层检测引擎CPU门限响应功能会启动如下机制来缓解系统资源紧张的问题。
· 当CPU利用率达到设备上配置的CPU利用率阈值时,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。
· 当设备的CPU利用率恢复到或低于设备上配置的CPU利用率恢复阈值时,系统会恢复应用层检测引擎的检测功能。
在系统CPU占用率较高的情况下,不建议用户配置此命令。
【举例】
# 关闭CPU门限响应功能。
<Sysname> system-view
[Sysname] inspect cpu-threshold disable
【相关命令】
· display inspect status
· inspect bypass
· inspect stream-fixed-length disable
inspect dual-active enable命令用来开启DPI业务支持HA双主模式功能。
undo inspect dual-active enable命令用来关闭DPI业务支持HA双主模式功能。
【命令】
inspect dual-active enable
undo inspect dual-active enable
【缺省情况】
DPI业务支持HA双主模式功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
在双主模式下,开启本功能可以保证在报文来回路径不一致的网络环境中正常处理DPI业务。
本功能仅在设备处于HA双主模式下生效。
本功能仅在开启HA在设备间透传业务流量功能后生效。
有关HA的详细介绍,请参见“高可靠性配置指导”中的“高可靠性”。
【举例】
# 开启DPI业务支持HA双主模式功能。
<Sysname> system-view
[Sysname] inspect dual-active enable
【相关命令】
· backup-mode dual-active(高可靠性命令参考/高可靠性)
· transparent-transmit enable(高可靠性命令参考/高可靠性)
inspect email parameter-profile命令用来创建应用层检测引擎的邮件动作参数profile,并进入邮件动作参数profile视图。如果指定的邮件动作参数profile已经存在,则直接进入邮件动作参数profile视图。
undo inspect email parameter-profile命令删除应用层检测引擎邮件动作参数profile。
【命令】
inspect email parameter-profile parameter-name
undo inspect email parameter-profile parameter-name
【缺省情况】
不存在邮件动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
parameter-name:表示邮件动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
进入邮件动作参数profile视图后,可以配置执行发送邮件动作时采用的特定参数,比如邮件服务器的地址、发件人与收件人的地址和登录邮件服务器的用户名和密码等信息。
【举例】
# 创建名称为c1的应用层检测引擎邮件动作参数profile,并进入邮件动作参数profile视图。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1]
inspect file-fixed-length命令用来配置应用层检测引擎检测文件的固定长度。
undo inspect file-fixed-length命令用来恢复缺省情况。
【命令】
inspect file-fixed-length { email | ftp | http | nfs | smb } * length-value
undo inspect file-fixed-length
【缺省情况】
应用层检测引擎对基于FTP协议、HTTP协议、NFS协议、SMB协议和与E-mail相关协议传输的文件固定检测长度均为32千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
email:表示配置基于E-mail相关协议传输的文件的固定检测长度,支持的E-mail协议包括SMTP、POP3和IMAP。
ftp:表示配置基于FTP协议传输的文件的固定检测长度。
http:表示配置基于HTTP协议传输的文件的固定检测长度。
nfs:表示配置基于NFS协议传输的文件的固定检测长度。
smb:表示配置基于SMB协议传输的文件的固定检测长度。
length-value:文件的固定检测长度,取值范围为1~2048,单位为KB。
【使用指导】
非缺省vSystem不支持本命令。
本命令仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
由于病毒特征一般都位于文件的前半部分,可配置文件的固定检测长度,对超过长度的文件内容不再进行检测,从而提高设备的检测效率。
如果一条数据流中包含多个文件,则每个文件均仅检测配置的固定长度内的内容。
由于文件在数据流中传输,所以配置的文件固定检测长度必须小于等于数据流固定检测长度(通过inspect stream-fixed-length命令配置)。
【举例】
# 配置应用层检测引擎检测基于HTTP协议传输的文件的固定检测长度为128KB。
<Sysname> system-view
[Sysname] inspect file-fixed-length http 128
【相关命令】
· inspect coverage user-defined
· inspect file-fixed-length enable
· inspect stream-fixed-length
inspect file-fixed-length enable命令用来开启应用层检测引擎检测固定长度文件功能。
undo inspect file-fixed-length enable命令用来关闭应用层检测引擎检测固定长度文件功能。
【命令】
inspect file-fixed-length enable
undo inspect file-fixed-length enable
【缺省情况】
应用层检测引擎检测固定长度文件功能处于关闭状态,不对文件检测长度进行限制。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
本功能用于限制应用层检测引擎只检测每条数据流中固定长度内的文件内容,超出固定长度后的文件内容不再检测。
开启本功能后,会导致超过出固定长度的文件内容无法识别,可能会对数据过滤等业务产生影响。
【举例】
# 开启应用层检测引擎检测固定长度文件功能。
<Sysname> system-view
[Sysname] inspect file-fixed-length enable
【相关命令】
· inspect coverage user-defined
· inspect file-fixed-length
inspect file-uncompr-layer命令用来配置可解压缩文件层数上限。
undo inspect file-uncompr-layer命令用来恢复缺省情况。
【命令】
inspect file-uncompr-layer max-layer
undo inspect file-uncompr-layer
【缺省情况】
可解压缩文件层数上限为3。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-layer:表示可解压缩文件层数上限,取值范围0~8。当此参数配置为0时,表示不对文件进行解压缩。
【使用指导】
非缺省vSystem不支持本命令。
当需要检测的内容存在多层压缩的文件时,可配置本命令设置可解压缩文件的层数。当超过配置的可解压缩文件的层数时,设备将不对超出层数上限的文件进行解压缩,直接按照压缩文件格式进行特征匹配等处理。
如果配置的层数过大,当设备频繁收到多层压缩的文件时,设备将一直解压缩一个文件,会影响后续文件的解压缩,并消耗大量的设备内存;如果配置的层数过小,可能导致压缩文件中的原始文件内容无法正确识别,从而对DPI业务(例如防病毒和数据过滤业务)的检测结果产生影响。请管理员合理配置此参数。
设备仅支持对ZIP和GZIP类型文件进行解压缩。
【举例】
# 配置最大解压缩文件层数为5。
<Sysname> system-view
[Sysname] inspect file-uncompr-layer 5
【相关命令】
· inspect file-uncompr-len
inspect file-uncompr-len命令用来配置可解压缩数据上限。
undo inspect file-uncompr-len命令用来恢复缺省情况。
【命令】
inspect file-uncompr-len max-size
undo inspect file-uncompr-len
【缺省情况】
可解压缩数据上限为100MB。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-size:表示可解压缩数据上限,取值范围为1~200,单位为MB。
【使用指导】
非缺省vSystem不支持本命令。
可解压缩数据上限是指设备解压一个文件时可解压缩数据的最大值。到达上限后,该文件的剩余数据不再进行解压。
如果配置的可解压缩数据过大,当设备频繁收到过大的压缩文件时,设备将一直解压缩一个文件,会影响后续文件的解压缩,并影响设备的转发性能;如果配置的可解压缩数据过小,设备将不能识别压缩文件中的部分内容,从而对DPI业务(例如防病毒和数据过滤业务)的检测结果产生影响。请管理员合理配置此参数。
目前,仅支持解压缩ZIP格式的文件。
【举例】
# 配置最大解压缩数据大小为150MB。
<Sysname> system-view
[Sysname] inspect file-uncompr-len 150
inspect ips log-details enable命令用来开启IPS日志记录报文详情功能。
undo inspect ips log-details enable命令用来关闭IPS日志记录报文详情功能。
【命令】
inspect ips log-details enable
undo inspect ips log-details enable
【缺省情况】
IPS日志记录报文详情功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
开启本功能后,设备将缓存报文的详情信息,并记录在IPS日志中,方便用户了解报文详情。例如,对于HTTP报文,当响应报文中检测到攻击特征时,IPS日志中将记录其请求报文的HOST字段,以及响应报文的响应行信息,包括状态码、状态信息等。
开启本功能后,会占用系统的缓存资源,建议仅在关心报文的详细信息的情况下开启此功能。
【举例】
# 开启IPS日志记录报文详情功能。
<Sysname> system-view
[Sysname] inspect ips log-details enable
inspect log-details max-size命令用来配置内存中可缓存的IPS日志报文详情字段的存储空间上限值。
undo inspect log-details max-size命令用来恢复缺省情况。
【命令】
inspect log-details max-size max-size-value
undo inspect log-details max-size
【缺省情况】
内存中可缓存的IPS日志报文详情字段的存储空间上限值由设备实际内存计算得出。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-size-value:指定内存中可缓存的IPS日志报文详情字段的存储空间上限值,取值范围为1~524288,单位为MB。
【使用指导】
开启IPS日志记录报文详情功能后(通过inspect ips log-details enable命令配置),设备会使用内存来缓存报文中的HOST、URI等字段。当组网环境中存在大量HTTP报文时,可能会消耗大量的设备内存,导致设备整机的并发性能下降。此时,可通过调整内存中可缓存的IPS日志报文详情字段的存储空间上限值来控制对内存的占用。调低上限值,可降低对内存的消耗,但有些IPS日志中可能无法正常显示报文详情字段;调高此参数,可能会提升IPS日志显示报文详情字段的成功率,但同时会降低设备的并发性能。请管理员根据实际需求进行调整。
非缺省vSystem不支持本命令。
仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
【举例】
# 内存中可缓存的IPS日志报文详情字段的存储空间上限值为524288MB。
<Sysname> system-view
[Sysname] inspect log-details max-size 524288
【相关命令】
· inspect ips log-details enable
inspect logging parameter-profile命令用来创建应用层检测引擎的日志动作参数profile,并进入日志动作参数profile视图。如果指定的日志动作参数profile已经存在,则直接进入日志动作参数profile视图。
undo inspect logging parameter-profile命令用来删除应用层检测引擎的日志动作参数profile。
【命令】
inspect logging parameter-profile parameter-name
undo inspect logging parameter-profile parameter-name
【缺省情况】
不存在日志动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
profile-name:日志动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
进入日志动作的参数profile视图后,可以配置生成报文日志时采用的特定参数,比如输出日志的方式。
【举例】
# 创建名称为log1的应用层检测引擎的日志动作参数profile,并进入日志动作参数profile视图。
<Sysname> system-view
[Sysname] inspect logging parameter-profile log1
[Sysname-inspect-logging-log1]
【相关命令】
· log
inspect log-statistics-report命令用来配置日志统计信息的上报地址。
undo inspect log-statistics-report命令用来删除日志统计信息的上报地址。
【命令】
inspect log-statistics-report { ip-address ip-address | ipv6-address ipv6-address } port port uri uri [ vpn-instance vpn-instance-name ] kafka-server kafka-server
undo inspect log-statistics-report { ip-address ip-address | ipv6-address ipv6-address } port port uri uri [ vpn-instance vpn-instance-name ] kafka-server kafka-server
【缺省情况】
未配置日志统计信息的上报地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address ip-address:表示上送日志统计信息的目的IPv4地址
ipv6-address ipv6-address:表示上送日志统计信息的目的IPv6地址
port port:表示上送日志统计信息的目的端口号,范围为1~65535。
uri uri:表示上送日志统计信息的URI,为1~127个字符的字符串,不区分大小写,以“/”开头。
vpn-instance vpn-instance-name:表示日志统计信息的上报地址所属的VPN实例名称,为1~31个字符的字符串,区分大小写。
kafka-server kafka-server:表示KAFKA服务器集群中服务器的主机名,为1~15个字符的字符串,区分大小写,只允许输入数字、字母或者下划线。
【使用指导】
非缺省vSystem不支持本命令。
本功能用于安全威胁发现与运营管理平台监控设备与KAFKA服务器集群间的日志发送情况。配置本命令后,设备会将上一个小时内发送给KAFKA服务器集群的IPS日志的总数以及设备产生的所有IPS日志的总数等统计信息发送到指定的安全威胁发现与运营管理平台地址。
多次执行本命令,可以配置多个安全威胁发现与运营管理平台地址,其中IPv4和IPv6地址最大配置条数分别为4条。
【举例】
# 配置日志统计信息的上报地址为192.12.26.118、端口号为8080、URI为/aabbcc、KAFKA服务器集群名称为aaa、上报地址所属VPN实例名称为bbb。
<Sysname> system-view
[Sysname] inspect log-statistics-report ip-address 192.12.26.118 port 8080 uri /aabbcc vpn-instance bbb kafka-server aaa
inspect md5-fixed-length命令用来配置应用层检测引擎MD5固定检测长度。
undo inspect md5-fixed-length命令用来恢复缺省情况。
【命令】
inspect md5-fixed-length { email | ftp | http | nfs | smb } * length
undo inspect md5-fixed-length
【缺省情况】
应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议数据流中文件的MD5固定检测长度均为2048千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
email:表示E-mail相关协议,支持的E-mail协议包括SMTP、POP3和IMAP。
ftp:表示FTP协议。
http:表示HTTP协议。
nfs:表示NFS协议。
smb:表示SMB协议。
length:表示指定协议类型的数据流中文件MD5最大检测长度。取值范围为1~5120,单位为千字节。MD5固定检测长度必须大于数据流的固定检测长度。
【使用指导】
非缺省vSystem不支持本命令。
本命令仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
对于一些DPI业务(例如防病毒),应用层检测引擎对报文的特征检测和MD5检测是同时进行的,当引擎检测的报文长度达到固定数据流检测长度后,将不再进行特征检测,但MD5检测仍然会进行,直到达到MD5固定检测长度时才会停止。
调高此参数后,设备性能会略微下降,但是MD5检测的成功率会提高;调低此参数后,设备性能会提升,但是MD5检测的成功率会降低。
【举例】
# 配置应用层检测引擎对FTP协议的MD5固定检测长度为1024千字节、HTTP协议为512千字节。
<Sysname> system-view
[Sysname] inspect md5-fixed-length ftp 1024 http 512
【相关命令】
· inspect coverage user-defined
· inspect md5-fixed-length enable
inspect md5-fixed-length enable命令用来开启应用层检测引擎MD5固定检测长度功能。
undo inspect md5-fixed-length enable命令用来关闭应用层检测引擎MD5固定检测长度功能。
【命令】
inspect md5-fixed-length enable
undo inspect md5-fixed-length enable
【缺省情况】
应用层检测引擎MD5固定检测长度功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
本命令仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
本功能用于限制应用层检测引擎对数据流中每个文件MD5的最大检测长度。当引擎检测的文件长度达到配置的值时,将停止计算该文件的MD5值。
【举例】
# 关闭应用层检测引擎MD5固定检测长度功能。
<Sysname> system-view
[Sysname] undo inspect md5-fixed-length enable
【相关命令】
· inspect coverage user-defined
· inspect md5-fixed-length
inspect md5-verify all-files命令用来配置应用层检测引擎对所有文件进行MD5哈希运算。
undo inspect md5-verify all-files命令用来恢复缺省情况。
【命令】
inspect md5-verify all-files
undo inspect md5-verify all-files
【缺省情况】
只对可执行文件、office文件和压缩文件等文件进行MD5哈希运算。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
开启此功能后,应用层检测引擎将对所有文件进行MD5哈希运算,并将生成的MD5值与特征库中的MD5规则进行匹配。如果匹配成功,则认为该文件携带病毒。
开启此功能后将对设备业务处理性能产生影响,请管理员根据设备实际情况进行配置。
【举例】
# 配置应用层检测引擎对所有文件进行MD5哈希运算。
<Sysname> system-view
[Sysname] inspect md5-verify all-files
【相关命令】
· display inspect md5-verify configuration
inspect optimization disable命令用来关闭指定的应用层检测引擎的优化调试功能。
undo inspect optimization disable命令用来开启指定的应用层检测引擎的优化调试功能。
【命令】
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
undo inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
【缺省情况】
应用层检测引擎的所有优化调试功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
chunk:表示应用层检测引擎对Chunk格式报文进行解码的优化调试功能。
no-acsignature:表示应用层检测引擎对没有关键字检测规则进行检测的优化调试功能。
raw:表示应用层检测引擎对未经解码TCP/UDP的应用层载荷字段进行检测的优化调试功能。
uncompress:表示应用层检测引擎对HTTP Body字段进行解压缩的优化调试功能。
url-normalization:表示应用层检测引擎对HTTP URL字段进行正规化校准的优化调试功能。
【使用指导】
如果不指定任何参数,则表示关闭或开启应用层检测引擎的所有优化调试功能。
有关应用层检测引擎的各种优化调试功能的详细介绍如下:
· 应用层检测引擎对Chunk格式报文进行解码的优化调试功能:Chunk是HTTP协议载荷(Body)的一种传输方式,对于以Chunk方式传输的HTTP协议的载荷,需要先对其进行解码以获取真正的载荷内容。但是在某些应用场景下,设备的处理性能不能满足用户基本的通信需求,这时,关闭应用层检测引擎解码Chunk格式报文的功能,可以提高设备的吞吐量。但是配置关闭应用层检测引擎解码Chunk格式报文的功能后,应用层检测引擎对某些针对安全漏洞的攻击行为不能被识别。
· 应用层检测引擎对没有关键字检测规则进行检测的优化调试功能:没有关键字的检测规则是指此规则不是基于字符串匹配进行检测,而是基于报文的端口号、错误码等字段进行检测。缺省情况下应用层检测引擎对没有关键字的检测规则进行检测,但是在某些场景下,如果设备的吞吐量较差,不能满足客户基本的通信需求,此时可以配置应用层检测引擎对没有关键字的检测规则不进行检测,以提高设备的性能,保证用户最基础的网络通信。
· 应用层检测引擎对未经解码TCP/UDP的应用层载荷字段进行检测的优化调试功能:有些TCP/UDP数据流的应用层协议(例如HTTP、SMTP、POP3、IMAP4)涉及编码和解码处理,而对该类数据流的应用层内容的检测需要在对报文载荷进行解码之后进行。如果当前设备的处理性能不能满足用户基本的通信需求,可以通过该命令取消对未解码的应用层载荷字段的检测,以提高设备的吞吐量。但是配置此功能后,应用层检测引擎对报文载荷内容的应用或行为的识别能力会受到影响。
· 应用层检测引擎对HTTP Body字段进行解压缩的优化调试功能:如果报文的HTTP Body字段是压缩编码,应用层检测引擎需要先对HTTP Body字段进行解压缩后,才能对此字段的内容进行检测。但是在某些应用场景下,设备的处理性能不能满足用户基本的通信需求,这时,可以通过配置此命令来取消对HTTP Body字段的压缩编码进行解压缩处理,以提高设备的吞吐量。但是配置此功能后,应用层检测引擎对某些针对安全漏洞的攻击行为不能被识别。
· 应用层检测引擎对HTTP URL字段进行正规化校准的优化调试功能:对HTTP URL字段进行正规化校准功能是指把URL中绝对路径字调整为常规路径格式,对特殊的路径字段进行调整和正确性检查。例如报文URL中绝对路径部分输入的是test/dpi/../index.html,正规化处理后是test/index.html。但是在某些应用场景下,设备的处理性能不能满足用户基本的通信需求,这时,可以通过配置此命令来取消对HTTP URL字段进行正规化校准处理,以提高设备的吞吐量。但是配置此功能后,应用层检测引擎对某些针对安全漏洞的攻击行为不能被识别。
【举例】
# 关闭应用层检测引擎的所有优化调试功能。
<Sysname> system-view
[Sysname] inspect optimization disable
inspect packet maximum命令用来配置应用层检测引擎可检测有载荷内容的报文的最大数目。
undo inspect packet命令用来恢复缺省情况。
【命令】
inspect packet maximum max-number
undo inspect packet
【缺省情况】
应用层检测引擎可检测有载荷内容的报文的最大数目为32。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
max-number:指定应用层检测引擎检测有载荷内容的报文的最大数目,取值范围为1~254。
【使用指导】
应用层检测引擎在对一个数据流的第一个有载荷内容的报文进行检测时,如果没有匹配上任何检测规则,则需要继续检测此数据流的第二个有载荷内容的报文,以此类推。如果直到设备设置的最大报文检测个数还未匹配上任何检测规则,则表示对此数据流匹配失败,并直接允许此数据流通过。
通常,使用缺省配置即可满足应用需求。但是在某些应用场景中,应用层检测引擎在检测有载荷内容的报文的个数达到指定的个数之后,仍然不能识别当前报文应用层信息的应用或行为,此时需要调高这个参数。调高此参数后,设备的吞吐量性能会下降,但是应用识别的成功率会增加。同理在设备吞吐量较差,不能满足客户需求的应用场景中,此时需要调低这个参数,调低参数后,吞吐量会增加,但是应用识别成功率会降低。
【举例】
# 配置应用层检测引擎可检测有载荷内容的报文的最大数目为16。
<Sysname> system-view
[Sysname] inspect packet maximum 16
inspect real-ip detect-field priority命令用来配置真实源IP地址字段的优先级。
undo inspect real-ip detect-field priority命令用来取消配置真实源IP地址字段的优先级。
【命令】
inspect real-ip detect-field { cdn-src-ip | tcp-option | x-real-ip | xff } priority priority-value
undo inspect real-ip detect-field { cdn-src-ip | tcp-option | x-real-ip | xff } priority
【缺省情况】
未配置真实源IP地址字段的优先级,各字段优先级均为0。设备默认各字段的优先级从高到底依次为xff、cdn-src-ip、x-real-ip、tcp-option。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
cdn-src-ip:表示HTTP报文扩展头中的Cdn-Src-IP字段。
tcp-option:表示TCP报文中的选项字段。
xff:表示HTTP报文扩展头中的X-Forwarded-For字段。
x-real-ip:表示HTTP报文扩展头中的X-Real-IP字段。
priority priority-value:表示各检测字段生效的优先级,取值范围为1~100,数值越大表示优先级越高,且不同的字段优先级不能相同。
【使用指导】
非缺省vSystem不支持本命令。
当真实源IP地址的提取模式为按照优先级提取时(即通过inspect real-ip extraction mode priority命令配置),设备会从报文的多个字段中获取客户端的真实源IP地址,并将优先级最高的字段中提取出的IP地址作为最终的真实源IP地址。
【举例】
# 配置真实源IP地址字段X-Forwarded-For的优先级为10。
<Sysname> system-view
[Sysname] inspect real-ip detect-field xff priority 10
【相关命令】
· inspect real-ip extraction mode priority
inspect real-ip detect-field tcp-option命令用来配置TCP Option字段的检测参数。
undo inspect real-ip detect-field tcp-option命令用来恢复缺省情况。
【命令】
inspect real-ip detect-field tcp-option hex hex-vector [ offset offset-value ] [ depth depth-value ] [ ip-offset ip-offset-value ]
undo inspect real-ip detect-field tcp-option
【缺省情况】
未配置TCP Option字段的检测参数,设备不从TCP Option字段获取真实源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
hex hex-vector:表示作为标志的十六进制字符内容,为6~66个字符的字符串,且必须输入偶数个字符,输入参数必须在两个竖杠“|”之间,区分大小写,例如|1234f5b6|。
offset offset-value:表示标志内容的偏移量,即从TCP Option字段起始位置开始偏移的字节数,取值范围为0~32。若不配置该参数,则表示从TCP Option字段的起始位置开始检测标志内容。
depth depth-value:表示标志内容的检测深度,即从标志内容检测起始位置开始,检测的字节数,取值范围为2~40。若不配置该参数,则表示检测整个TCP Option字段。
ip-offset ip-offset-value:表示真实源IP地址与标志内容的偏移量,即从标志内容的结束位置开始偏移的字节数,取值范围为0~32。若不配置该参数,则表示真实源IP地址与标志内容不存在偏移,标志内容后的数据即为真实源IP地址。
【使用指导】
非缺省vSystem不支持本命令。
当需要通过检测TCP Option字段获取真实源IP地址时,需要通过配置检测参数,首先找到一个特定的标志,然后基于此标记去获取源IP地址。
需要配置的检测参数如下:
· 标志内容(hex hex-vector):TCP Option字段中,真实源IP地址位于一个“标志”的后面,只有检测到标志,设备才会继续向后检测真实源IP地址。如果没有检测到标志,则表示不存在真实源IP地址,设备会停止对TCP Option字段的检测。
· 标志内容的检测范围:包括偏移量(offset offset-value)和检测深度(depth depth-value)。偏移量确定了检测的起始位置,检测深度确定了检测的终止位置。
· 真实源IP地址与标志的偏移量(ip-offset ip-offset-value):即检测真实源IP地址的起始位置。
【举例】
# 真实源IP地址的标志内容为十六进制向量|0102|,标志内容的偏移量为2字节,检测深度为10字节,真实源IP地址与标示内容的偏移量为2字节。
<Sysname> system-view
[Sysname] inspect real-ip detect-field tcp-option hex |0102| offset 2 depth 10 ip-offset 2
inspect real-ip detect-field xff命令用来配置X-Forwarded-For字段的提取位置。
undo inspect real-ip detect-field xff命令用来缺省情况。
【命令】
inspect real-ip detect-field xff { head | tail [ number ] }
undo inspect real-ip detect-field xff
【缺省情况】
X-Forwarded-For字段的提取位置为最后一项。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
head:表示X-Forwarded-For字段中的第一项。
tail:表示X-Forwarded-For字段中的最后一项。
number:表示提取X-Forwarded-For字段中的最后number个地址,取值范围为2~10。若未配置本参数,则表示仅提取X-Forwarded-For字段中的最后一个地址。
【使用指导】
非缺省vSystem不支持本命令。
在客户端通过HTTP代理连接到Web服务器的场景中,HTTP报文的首部可能会携带X-Forwarded-For字段。X-Forwarded-For字段中携带多个地址,标准的格式为X-Forwarded-For: <client>, <proxy1>, <proxy2>,…<proxyn>。如果一个报文通过多个代理,则会列出每个代理服务器的IP地址。即,最右边(tail)的proxyn是最新的代理服务器的IP地址,最左边(head)的client是原始客户端的IP地址。
管理员可通过配置参数number,提取多个地址,方便对客户端的代理情况进行分析。
【举例】
# 配置X-Forwarded-For字段的提取位置为第一项。
<Sysname> system-view
[Sysname] inspect real-ip detect-field xff head
【相关命令】
· inspect real-ip enable
inspect real-ip enable命令用来开启真实源IP地址检测功能。
undo inspect real-ip enable命令用来关闭真实源IP地址检测功能。
【命令】
inspect real-ip enable
undo inspect real-ip enable
【缺省情况】
真实源IP地址检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
本功能适用于客户端使用代理方式访问服务器的场景。
当客户端使用代理方式访问服务器时,源IP地址将会发生改变,设备无法获取客户端的真实IP地址,可能造成一些攻击无法准确识别。开启真实源IP地址检测功能后,设备将从客户端请求报文的相关字段获取真正的源IP地址,避免上述问题。
【举例】
# 开启真实源IP地址检测功能。
<Sysname> system-view
[Sysname] inspect real-ip enable
inspect real-ip extraction mode命令用于配置真实源IP地址提取模式。
undo inspect real-ip extraction mode命令用来恢复缺省情况。
【命令】
inspect real-ip extraction mode { cdn-src-ip-only | priority | tcp-option-only | x-real-ip-only | xff-only }
undo inspect real-ip extraction mode
【缺省情况】
真实源IP地址提取模式为xff-only。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
cdn-src-ip-only:表示仅从HTTP报文扩展头中的Cdn-Src-IP字段中提取真实源IP地址。
priority:表示从Cdn-Src-IP、TCP-Option、X-Real-IP以及X-Forwarded-For字段中均提取真实源IP地址,最终以高优先级字段的提取结果为准。其中,各字段的优先级需要通过inspect real-ip detect-field priority命令指定。
tcp-option-only:表示仅从TCP报文中的选项字段中提取真实源IP地址。
x-real-ip-only:表示仅从HTTP报文扩展头中的X-Real-IP字段中提取真实源IP地址。
xff-only:表示仅从HTTP报文扩展头中的X-Forwarded-For字段中提取真实源IP地址。
【使用指导】
设备支持多种真实源IP地址提取模式,管理员可以根据实际情况选择其中一种进行配置。
· 单字段提取:当管理员可以确定当前组网环境中仅需要针对报文中的某个特定字段提取真实源IP地址时,可将真实源IP地址提取模式配置为仅提取该字段(即XXX-only模式)。
· 字段优先级提取:当管理员不确定需要从哪些字段中获取真实源IP时,可将真实源IP地址提取模式配置为按照字段优先级提取(即priority模式),并可根据实际需求调整各字段的优先级。此模式下,设备会从报文的多个字段中获取多个客户端的真实源IP地址,并将优先级最高的字段中提取出的IP地址作为最终的真实源IP地址。
【举例】
# 配置真实源IP的提取模式为x-real-ip-only模式。
<Sysname> system-view
[Sysname] inspect real-ip extraction mode x-real-ip-only
【相关命令】
· inspect real-ip detect-field priority
inspect real-ip reuse enable命令用于开启真实源IP地址复用功能。
undo inspect real-ip reuse enable命令用于关闭真实源IP地址复用功能。
【命令】
inspect real-ip reuse enable
undo inspect real-ip reuse enable
【缺省情况】
真实源IP地址复用功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
当一个会话中存在多个请求报文时,设备会对会话内的每个请求报文都进行真实源IP地址的提取,并分别记录提取结果。缺省情况下,若某个请求报文中未提取到真实源IP地址时,则认为该报文的真实源IP地址为空。在某些代理场景下,代理服务器只在每个会话的第一个HTTP请求报文中携带真实源IP地址,这样会导致设备只能提取到第一个报文中的真实源IP地址,后续请求报文则无法提取,将会对IPS白名单等业务造成影响。此时,管理员可以通过开启真实源IP地址功能解决上述问题。开启真实源IP地址复用功能后,当一个请求报文中提取不到真实源IP地址时,设备将沿用从上一个请求报文中提取到的地址作为本次提取结果。
【举例】
# 开启真实源IP地址复用功能。
<Sysname> system-view
[Sysname] inspect real-ip reuse enable
inspect record-filename nfs maximum命令用来配置应用层检测引擎记录NFS协议文件名数量的上限值。
undo inspect record-filename nfs命令用来恢复缺省情况。
【命令】
inspect record-filename nfs maximum max-number
undo inspect record-filename nfs
【缺省情况】
应用层检测引擎记录NFS协议文件名数量的上限值由设备实际内存计算得出。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:指定应用层检测引擎记录NFS协议文件名数量的上限值,取值范围为0~4294967295。其中,当取值为0时,表示不对应用层检测引擎记录的NFS协议文件名数量进行限制。
【使用指导】
应用层检测引擎在对文件进行检测时,会使用特定的存储结构记录文件名,用于展示在日志中,方便用户获取文件信息。该记录过程会占用一定的内存,且检测的文件数量越多,对内存占用就越大,可能会降低设备的并发性能。当实际组网环境中大量使用NFS协议传输文件时,管理员可通过配置本功能,限制应用层检测引擎记录的基于NFS协议传输的文件的文件名数量。在对设备并发性能要求较高的场景下,可减少记录的文件名数量,降低对内存的消耗;在对设备并发性能要求较低的场景下,可调高此参数,增加记录的文件名数量,方便用户获取更多的文件信息。请管理员根据实际需求配置此功能。
【举例】
# 配置应用层检测引擎可记录NFS协议文件名数量的上限值为110000。
<Sysname> system-view
[Sysname] inspect record-filename nfs maximum 110000
inspect redirect parameter-profile命令用来创建应用层检测引擎的重定向动作参数profile,并进入重定向动作参数profile视图。如果指定的重定向动作参数profile已经存在,则直接进入重定向动作参数profile视图。
undo inspect redirect parameter-profile命令用来删除应用层检测引擎的重定向动作参数profile。
【命令】
inspect redirect parameter-profile parameter-name
undo inspect redirect parameter-profile parameter-name
【缺省情况】
不存在重定向动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
parameter-name:重定向动作参数profile的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
进入重定向动作参数profile视图后,可以配置对报文执行重定向动作时采用的特定参数,比如对报文重定向的URL。
【举例】
# 创建名称为r1的应用层检测引擎重定向动作参数profile,并进入重定向动作参数profile视图。
<Sysname> system-view
[Sysname] inspect redirect parameter-profile r1
[Sysname-inspect-redirect-r1]
inspect reputation cloud-server host命令用来配置信誉业务云端服务器的主机名。
undo reputation cloud-server host命令用来恢复缺省情况。
【命令】
inspect reputation cloud-server host host-name [ port port-number ]
undo inspect reputation cloud-server host
【缺省情况】
信誉业务云端服务器的主机名为security.h3c.com,端口号为443。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
host host-name:表示信誉业务云端服务器的主机名。host-name为3~255个字符的字符串,只能包括字母、数字、下划线“_”、连接符“-”和点号“·”,不区分大小写。
port-number:表示信誉业务云端服务器端口号,取值范围为0~65535,缺省值为443。
【使用指导】
信誉业务云端服务器为IP信誉和域名信誉业务提供了云端查询功能。当开启了IP信誉或者域名信誉的云端查询功能时,需要配置云端服务器的主机名,保证报文可以上送到云端服务器进行查询。
配置云端服务器的主机名前,用户需要确保设备能通过静态或动态域名解析方式获得信誉业务云端服务器的IP地址,并与之路由可达,否则云端查询会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
多次执行本命令,最后一次执行的命令生效。
仅支持在缺省MDC下配置本命令。有关MDC的详细介绍,请参见“虚拟化技术配置指导”中的“MDC”。
非缺省vSystem不支持本命令。
【举例】
# 配置信誉业务云端服务器的主机名为example.com.cn、端口为443。
<Sysname> system-view
[Sysname] inspect reputation cloud-server host example.com.cn port 443
【相关命令】
· cloud-query enable(domain-reputation view)
· cloud-query enable(ip-reputation view)
inspect reputation cloud-server register命令用来手动触发设备注册信誉业务云端服务器。
【命令】
inspect reputation cloud-server register
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
当用户配置了信誉业务云端服务器主机名(通过执行inspect reputation cloud-server命令)并开启了IP信誉/域名信誉业务云端查询功能(通过执行cloud-query enable命令)后,设备会自动触发一次注册云端服务器的行为,向云端服务器发送请求注册报文(包含注册信息,例如设备SN码等),请求与其进行连接并获取后续两者通信时所需的密钥等。
设备会按照固定的时间间隔(30分钟)周期性地自动触发注册云端服务器的操作,以达到能够及时发现设备与云端服务器连接断开,并重新与云端服务器建立连接的目的。
当用户发现设备与云端服务器连接断开时,如果希望设备立即恢复与云端服务器的连接,可通过执行本命令,立即手动触发设备注册云端服务器。
非缺省vSystem不支持本命令。
【举例】
# 手动触发设备注册信誉业务云端服务器。
<Sysname> system-view
[Sysname] inspect reputation cloud-server register
inspect signature auto-update proxy命令用来配置DPI业务特征库在线升级所使用的代理服务器。
undo inspect signature auto-update proxy命令用来恢复缺省情况。
【命令】
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
undo inspect signature auto-update proxy
【缺省情况】
未配置DPI业务特征库在线升级所使用的代理服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
domain domain-name:指定代理服务器的域名。domain-name表示代理服务器的域名,为3~63个字符的字符串,不区分大小写。
ip ip-address:指定代理服务器的IP地址,仅支持IPv4类型地址。
port port-number:指定代理服务器的端口号,取值范围为1~65535,缺省值为80。
user user-name:指定登录代理服务器的用户名。user-name表示用户名,为1~31个字符的字符串,不区分大小写。
password:指定登录代理服务器的用户密码。
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串。
【使用指导】
非缺省vSystem不支持本命令。
当DPI业务模块(例如URL过滤业务)的特征库进行在线升级时,若设备不能连接到官方网站,则可配置一个代理服务器使设备连接到官方网站上的特征库服务专区,进行特性库在线升级。有关特征库在线升级功能的详细介绍,请参见各DPI业务配置指导手册中的“特征库升级与回滚”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置DPI业务特征库在线升级所使用的代理服务器域名为www.example.com,端口号为8888,登录代理服务器的用户名和密码均为admin。
<Sysname> system-view
[Sysname] inspect signature auto-update proxy domain www.example.com port 8888 user admin password simple admin
inspect signature auto-update source命令用来配置特征库在线升级时发送给服务器的请求报文的源IP地址。
undo inspect signature auto-update source命令用来恢复缺省情况。
【命令】
inspect signature auto-update source { ip | ipv6 } { ip-address | interface interface-type interface-number }
undo inspect signature auto-update source
【缺省情况】
特征库在线升级时发送给服务器的请求报文的源IP地址为系统根据路由表项查找到的出接口的地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ip-address:指定特征库在线升级时发送给服务器的请求报文的源IPv4地址。
ipv6 ip-address:指定特征库在线升级时发送给服务器的请求报文的源IPv6地址。
interface interface-type interface-number:指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。
【使用指导】
非缺省vSystem不支持本命令。
如果管理员希望特征库在线升级时发送给特征库服务器的请求报文的源IP地址是一个特定的地址时,则需要配置此命令。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问特征库服务器时,则需要管理员通过本命令指定一个符合NAT地址转换规则的IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文经由NAT地址转换后访问特征库服务器。
如果同时配置了特征库在线升级时访问的特征库服务器所属的VPN实例(即配置inspect signature auto-update vpn-instance命令),需要保证本命令配置的源IP地址所属的VPN实例与该特征库服务器所属的VPN实例相同。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置特征库在线升级时发送给服务器的请求报文的源IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] inspect signature auto-update source ip 1.1.1.1
【相关命令】
· inspect signature auto-update vpn-instance
inspect signature auto-update vpn-instance命令用来配置特征库在线升级时访问的特征库服务器所属的VPN实例。
undo inspect signature auto-update vpn-instance命令用来恢复缺省情况。
【命令】
inspect signature auto-update vpn-instance vpn-instance-name
undo inspect signature auto-update vpn-instance
【缺省情况】
未配置特征库在线升级时访问的特征库服务器所属的VPN实例。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance-name:表示特征库服务器所属的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
当设备对特征库进行立即在线升级或定期在线升级时,需要访问官网的特征库服务器来获取特征库文件。如果设备需要通过指定的VPN实例访问特征库时,则必须通过配置本命令指定该VPN,否则会导致特征库升级失败。
如果同时配置了特征库在线升级时发送给服务器的请求报文的源IP地址(即配置inspect signature auto-update source命令),需要保证源IP地址所属的VPN实例与本功能配置的VPN实例相同。
【举例】
# 配置特征库在线升级时访问的特征库服务器所属的VPN实例。
<Sysname> system-view
[Sysname] inspect signature auto-update vpn-instance vpn1
【相关说明】
· inspect signature auto-update source
inspect signature version-report命令用来配置特征库版本信息的上报地址。
undo inspect signature version-report命令用来删除特征库版本信息的上报地址。
【命令】
inspect signature version-report { ip-address ip-address | ipv6-address ipv6-address } port port uri uri [ vpn-instance vpn-instance-name ]
undo inspect signature version-report { ip-address ip-address | ipv6-address ipv6-address } port port uri uri [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置特征库版本信息的上报地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address ip-address:表示上送特征库版本信息的目的IPv4地址。
ipv6-address ipv6-address:表示上送特征库版本信息的目的IPv6地址。
port port:表示上送特征库版本信息的目的端口号,取值范围为1~65535。
uri uri:表示上送特征库版本信息的目的URI,为1~127个字符的字符串,不区分大小写,以“/”开头。
vpn-instance vpn-instance-name:表示特征库版本信息的上报地址所属的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示特征库版本信息的上报地址属于公网。
【使用指导】
非缺省vSystem不支持本命令。
本功能用于安全威胁发现与运营管理平台监控设备的特征库版本信息变动。目前,仅安全威胁发现与运营管理平台可接收特征库版本信息。
配置本功能后,设备会进行如下操作:
· 当IPS特征库升级或回滚时,会立即通过HTTP协议向指定的目的地址上送特征库版本信息。
· 设备每隔10天向指定的目的地址上送最新的IPS特征库版本信息。
多次执行本命令,可以配置多个安全威胁发现与运营管理平台地址,其中IPv4和IPv6地址最大配置条数分别为2条。
【举例】
# 配置特征库版本信息的上报地址为192.12.26.118、端口号为8080、URI为/aabbcc,所属VPN实例名称为test。
<Sysname> system-view
[Sysname] inspect signature version-report ip-address 192.12.26.118 port 8080 uri /aabbcc vpn-instance test
inspect smb-reassemble enable命令用来开启SMB协议报文重组功能。
undo inspect smb-reassemble enable命令用来关闭SMB协议报文重组功能。
【命令】
inspect smb-reassemble enable
undo inspect smb-reassemble enable
【缺省情况】
SMB协议报文重组功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
大量的SMB协议的乱序报文极有可能会造成应用层检测引擎对此协议报文检测失败。为了提高应用层检测引擎对SMB协议报文检测的准确率,可以在设备上开启SMB协议报文重组功能。
当设备接收到乱序的SMB报文时,会将此报文和来自于同一条数据流的后续报文暂时保存至缓冲区,进行报文重组,完成重组再送往后续流程处理。
【举例】
# 开启SMB协议报文重组功能。
<Sysname> system-view
[Sysname] inspect smb-reassemble enable
inspect source-port-identify enable命令用来开启基于源端口的应用识别功能。
undo inspect source-port-identify enable命令用来关闭基于源端口的应用识别功能。
【命令】
inspect source-port-identify enable
undo inspect source-port-identify enable
【缺省情况】
基于源端口的应用识别功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
如果网络中的流量种类单一、源端口固定,但无法通过目的端口对其进行基于端口的应用识别或无法基于流量特征进行内容识别时,可以开启本功能,对流量进行源端口识别,将源端口为固定端口的流量识别为访问特定类型应用的流量。
开启本功能后,可能会造成应用识别结果的误报,请管理员根据组网环境的实际情况配置。
【举例】
# 开启基于源端口的应用识别功能。
<sysname> system-view
[sysname] inspect source-port-identify enable
inspect stream-fixed-length命令用来配置应用层检测引擎对报文的最大检测长度。
undo inspect stream-fixed-length命令用来恢复缺省情况。
【命令】
inspect stream-fixed-length { audio-video | dns | email | ftp | http | https | imaps | nfs | pop3s | rtmp | sip | smb | smtps | telnet | tftp } * length
undo inspect stream-fixed-length
【缺省情况】
应用层检测引擎对FTP协议、HTTP协议、NFS协议、SMB协议和与E-mail相关协议(包括SMTP、POP3和IMAP协议)报文最大检测长度为32千字节,对音频和视频类应用报文以及DNS协议、HTTPS协议、IMAPS协议、POP3S协议、RTMP协议、SIP协议、SMTPS协议、Telnet协议和TFTP协议报文的检测长度不进行限制。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
audio-video:表示设置音视频应用报文的最大检测长度。
dns:表示设置DNS协议报文的最大检测长度。
email:表示设置与E-mail协议相关类型报文的最大检测长度,支持的E-mail协议包括SMTP、POP3和IMAP。
ftp:表示设置FTP协议类型报文的最大检测长度。
http:表示设置HTTP协议类型报文的最大检测长度。
https:表示设置HTTPS协议报文的最大检测长度。
imaps:表示设置IMAPS协议报文的最大检测长度。
nfs:表示设置NFS协议类型报文的最大检测长度。
pop3s:表示设置POP3S协议报文的最大检测长度。
rtmp:表示设置RTMP协议报文的最大检测长度。
smb:表示设置SMB协议类型报文的最大检测长度。
sip:表示设置SIP协议报文的最大检测长度。
smtps:表示设置SMTPS协议报文的最大检测长度。
telnet:表示设置Telnet协议报文的最大检测长度。
tftp:表示设置TFTP协议报文的最大检测长度。
length:表示设置报文的最大检测长度,取值范围为1~2048,单位为千字节。
【使用指导】
非缺省vSystem不支持本命令。
本命令仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
调高此参数后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理调低参数后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低。
【举例】
# 配置应用层检测引擎对FTP协议类型报文的最大检测长度为35千字节,HTTP协议类型报文的最大检测长度为40千字节。
<Sysname> system-view
[Sysname] inspect stream-fixed-length ftp 35 http 40
【相关命令】
· inspect coverage user-defined
· inspect cpu-threshold disable
· inspect stream-fixed-length disable
inspect stream-fixed-length disable命令用来关闭应用层检测引擎对报文的最大检测长度限制功能。
undo inspect stream-fixed-length disable命令用来开启应用层检测引擎对报文的最大检测长度限制功能。
【命令】
inspect stream-fixed-length disable
undo inspect stream-fixed-length disable
【缺省情况】
应用层检测引擎对报文的最大检测长度限制功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
本功能仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
本功能用于限制应用层检测引擎对协议报文和音视频应用报文的最大检测长度,当引擎已检测的报文长度达到限制值时,引擎将不对后续报文进行检测。
当组网环境中对应用层信息识别的成功率要求较高时,可通过关闭应用层检测引擎对报文的最大检测长度限制功能,提升应用层信息识别的成功率。
【举例】
# 关闭应用层检测引擎对报文的最大检测长度限制功能。
<Sysname> system-view
[Sysname] inspect stream-fixed-length disable
【相关命令】
· inspect coverage user-defined
· inspect cpu-threshold disable
· inspect stream-fixed-length
inspect tcp-reassemble enable命令用来开启TCP数据段重组功能。
undo inspect tcp-reassemble enable命令用来关闭TCP数据段重组功能。
【命令】
inspect tcp-reassemble enable
undo inspect tcp-reassemble enable
【缺省情况】
TCP数据段重组功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
大量的TCP乱序数据段极有可能会造成应用层检测引擎对此TCP数据流检测失败。例如应用层检测引擎需要检测TCP载荷中是否包含关键字“this is a secret”,由于数据段乱序,可能含有“a secret”的数据段先到达设备,含有“this is”的数据段后到达设备,这样就会造成应用层检测引擎对此TCP数据流检测失败。
为了提高应用层检测引擎对TCP数据流检测的准确率,可以在设备上开启TCP数据段重组功能。当接收到乱序的TCP数据段时,设备会将此数据段和来自于同一条数据流的后续数据段暂时保存至缓冲区,进行TCP数据段重组,完成数据段重组再送往后续流程处理。
若缓冲区中已缓存的数据段数目达到最大值(可以通过inspect tcp-reassemble max-segment命令来配置)时仍无法成功重组,则设备直接将已缓存的乱序数据段和此条数据流的所有后续TCP数据段送往后续流程处理,不再进行TCP重组。这样可以降低对设备转发性能的影响。
【举例】
# 开启TCP数据段重组功能。
<Sysname> system-view
[Sysname] inspect tcp-reassemble enable
【相关命令】
· inspect tcp-reassemble max-segment
inspect tcp-reassemble max-segment命令用来配置TCP重组缓冲区可缓存的TCP数据段最大数目。
undo inspect tcp-reassemble max-segment命令用来恢复缺省情况。
【命令】
inspect tcp-reassemble max-segment max-number
undo inspect tcp-reassemble max-segment
【缺省情况】
TCP重组缓冲区可缓存的TCP数据段最大数目为10。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:表示TCP重组缓冲区可缓存的TCP数据段最大数目,取值范围为10~50。
【使用指导】
非缺省vSystem不支持本命令。
在存在大量TCP乱序数据段的网络环境中,调高此参数,则可提高应用层检测引擎对TCP数据段检测的准确率,但是设备转发性能可能会下降。若调低此参数可避免因长时间缓存TCP数据段而造成设备转发性能下降,但是应用层检测引擎对TCP数据段检测的准确率会降低。请根据实际情况调整此参数。
本命令仅在开启TCP数据段重组功能后生效。
【举例】
# 配置TCP重组缓冲区中可缓存的TCP数据段最大数目为20。
<Sysname> system-view
[Sysname] inspect tcp-reassemble max-segment 20
【相关命令】
· inspect tcp-reassemble enable
inspect transparent enable命令用来开启应用层检测引擎透传DPI业务流量功能。
undo inspect transparent enable命令用来关闭应用层检测透传DPI业务流量功能。
【命令】
inspect transparent enable
undo inspect transparent enable
【缺省情况】
应用层检测引擎透传DPI业务流量功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
当组网环境中存在非对称流量时,即同一条流量的报文来回路径不一致,可能导致流量的正反向报文被送到不同的设备,这将会导致DPI业务无法正常处理,例如防病毒业务无法识别出病毒文件等。为了解决上述问题,应用层检测引擎默认会在设备间、安全业务板间透传DPI业务流量,使同一条流量的正反向报文最终会被送到同一台设备或同一块业务板。
但是,透传流量的过程会消耗设备资源,降低设备性能。当组网环境中对设备性能要求较高且可以接受损失一部分DPI业务检测准确性的风险时,可通过关闭应用层检测引擎透传DPI业务流量功能,降低对设备性能的影响。
【举例】
# 关闭应用层检测引擎透传DPI业务流量功能。
<Sysname> system-view
[Sysname] undo inspect transparent enable
inspect uncompress maximum命令用来配置应用层检测引擎解压缩文件的总次数上限值。
undo inspect uncompress maximum命令用来恢复缺省情况。
【命令】
inspect uncompress maximum max-number
undo inspect uncompress maximum
【缺省情况】
应用层检测引擎解压缩文件的总次数上限值由设备实际内存计算得出。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:指定应用层检测引擎解压缩文件的总次数的上限值,取值范围为0~4294967295。其中,当取值为0时,表示不对应用层检测引擎的解压缩文件总次数进行限制。
【使用指导】
应用层检测引擎每进行一次解压缩操作都会消耗一定的设备内存。当解压缩的次数较多时,可能会消耗大量的设备内存,导致设备整机的并发性能下降。此时,可通过配置解压缩次数的上限值来控制对内存的占用。调低上限值,可降低对内存的消耗,但应用层检测引擎的检测成功率可能会降低;调高此参数,可能会提升应用层检测引擎的检测成功率,但同时会降低设备的并发性能。请管理员根据实际需求配置此功能。
仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
【举例】
# 配置应用层检测引擎解压缩文件的总次数上限值为120000。
<Sysname> system-view
[Sysname] inspect uncompress maximum 120000
inspect url-filter warning parameter-profile命令用来创建应用层检测引擎的URL过滤告警动作参数profile,并进入URL过滤告警动作参数profile视图。如果指定的URL过滤告警动作参数profile已经存在,则直接进入URL过滤告警动作参数profile视图。
undo inspect url-filter warning parameter-profile命令用来删除应用层检测引擎的URL过滤告警动作参数profile。
【命令】
inspect url-filter warning parameter-profile profile-name
undo inspect url-filter warning parameter-profile profile-name
【缺省情况】
不存在URL过滤告警动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
profile-name:URL过滤告警动作参数profile的名称,为1~63个字符的字符串,只支持数字、字母、下划线,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
创建URL过滤告警动作参数profile后,可通过导入告警文件的方式配置告警信息。
【举例】
# 创建名称为c1的应用层检测引擎的URL过滤告警动作参数profile,并进入URL过滤告警动作参数profile视图。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile c1
[Sysname-inspect-url-filter-warning-c1]
【相关命令】
· import url-filter warning-file
inspect waf http-log-details enable命令用来开启WAF日志记录报文详情功能。
undo inspect waf http-log-details enable命令用来关闭WAF日志记录报文详情功能。
【命令】
inspect waf http-log-details enable
undo inspect waf http-log-details enable
【缺省情况】
WAF日志记录报文详情功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
开启本功能后,设备将缓存HTTP报文的详情信息,并记录在WAF日志中,方便用户了解报文详情。
对于HTTP请求报文和应答报文,WAF日志会在原有字段的基础上记录不同的详情信息:
· 对于HTTP请求报文,开启本功能后,WAF日志中将记录报文的所有详情信息。关闭本功能后,WAF日志中仅记录报文的请求行和请求方法。
· 对于HTTP应答报文,开启本功能后,WAF日志中将记录报文的状态行信息;关闭本功能后,WAF日志中将不记录报文的详情信息。
对于已产生的WAF日志,本功能并不生效,设备不会记录报文详情,日志中的报文详情字段为空。
建议仅在关心WAF处理的HTTP报文的详细信息的情况下开启此功能,避免此功能占用系统的缓存资源。
【举例】
# 开启WAF日志记录报文详情功能。
<Sysname> system-view
[Sysname] inspect waf http-log-details enable
inspect warning parameter-profile命令用来创建应用层检测引擎的防病毒告警动作参数profile,并进入防病毒告警动作参数profile视图。如果指定的防病毒告警动作参数profile已经存在,则直接进入防病毒告警动作参数profile视图。
undo inspect warning parameter-profile命令用来删除应用层检测引擎的防病毒告警动作参数profile。
【命令】
inspect warning parameter-profile profile-name
undo inspect warning parameter-profile profile-name
【缺省情况】
不存在防病毒告警动作参数profile。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
profile-name:防病毒告警动作参数profile的名称,为1~63个字符的字符串,只支持数字、字母、下划线,不区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
创建防病毒告警动作参数profile后,可通过导入告警文件的方式配置告警信息。
【举例】
# 创建名称为w1的应用层检测引擎的防病毒告警动作参数profile,并进入防病毒告警动作参数profile视图。
<Sysname> system-view
[Sysname] inspect warning parameter-profile w1
[Sysname-inspect-warning-w1]
【相关命令】
· import block warning-file
· reset block warning-file
· warning parameter-profile(DPI深度安全命令参考/防病毒)
language命令用来配置日志邮件使用的语言。
undo language命令用来恢复缺省情况。
【命令】
language { chinese | english }
undo language
【缺省情况】
日志邮件使用的语言为中文。
【视图】
应用层检测引擎邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
chinese:表示发送中文日志邮件。
english:表示发送英文日志邮件。
【使用指导】
目前仅IPS、防病毒和WAF业务支持发送中文的日志邮件,且各业务日志邮件中仅部分字段支持使用中文。
· IPS日志邮件支持的中文字段包括:应用、攻击名称、攻击分类、攻击子分类。
· 防病毒日志邮件支持的中文字段包括:应用。
· WAF日志邮件支持的中文字段包括:应用、特征名称、攻击分类、攻击子分类、源地区。
【举例】
# 在名为test的应用层检测引擎邮件动作参数profile下,配置邮件使用的语言为英文。
<Sysname> system-view
[Sysname] inspect email parameter-profile test
[Sysname-inspect-email-test] language english
log命令用来配置记录报文日志的方式。
undo log命令用来取消指定的记录报文日志的方式。
【命令】
log { email | syslog }
undo log { email | syslog }
【缺省情况】
报文日志被输出到信息中心。
【视图】
应用层检测引擎的日志动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
email:表示将日志以邮件的方式发送到指定的收件人邮箱。
syslog:表示将日志输出到信息中心。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 在名称为log1的应用层检测引擎日志动作参数profile中,配置将生成的报文日志输出到信息中心。
<Sysname> system-view
[Sysname] inspect logging parameter-profile log1
[Sysname-inspect-logging-log1] log syslog
【相关命令】
· inspect logging parameter-profile
log language命令用来配置记录IPS日志使用的语言为中文。
undo log language命令用来恢复缺省情况。
【命令】
log language chinese
undo log language chinese
【缺省情况】
记录报文日志使用的语言为英文。
【视图】
应用层检测引擎的日志动作参数profile视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
执行本命令后,设备输出的日志中,仅IPS日志的威胁名称字段使用中文描述,其它日志信息仍然为英文。有关IPS日志的详情介绍,请参见“DPI深度安全命令参考”中的“IPS”。
【举例】
# 在名称为log1的应用层检测引擎日志动作参数profile中,配置记录IPS日志使用的语言为中文。
<Sysname> system-view
[Sysname] inspect logging parameter-profile log1
[Sysname-inspect-log-para-log1] log language chinese
【相关命令】
· inspect logging parameter-profile
password命令用来配置登录邮件服务器的密码。
undo password命令用来恢复缺省情况。
【命令】
password { cipher | simple } string
undo password
【缺省情况】
未配置登录邮件服务器的密码。
【视图】
应用层检测引擎邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
cipher:表示以密文方式设置用户密码。
simple:表示以明文方式设置用户密码,该密码将以密文形式存储。
string:表示登录邮件服务器的密码。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
在同一个邮件动作参数profile视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置登录邮件服务器的明文密码为abc123。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] password simple abc123
【相关命令】
· authentication enable
receiver命令用来配置收件人地址。
undo receiver命令用来恢复缺省情况。
【命令】
receiver address-string
undo receiver
【缺省情况】
未配置收件人地址。
【视图】
应用层检测引擎邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
address-string:表示收件人地址,为3~502个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
收件人地址可以同时输入多个,且每个收件人地址之间用英文“;”号隔开。
【举例】
# 配置收件人的地址为[email protected]和[email protected]。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] receiver [email protected];[email protected]
redirect-url命令用来配置重定向URL。
undo redirect-url命令用来恢复缺省情况。
【命令】
redirect-url url-string
undo redirect-url
【缺省情况】
未配置重定向URL。
【视图】
应用层检测引擎的重定向动作参数profile视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
url-string:表示重定向URL,为9~63个字符的字符串,区分大小写。该URL必须以http://或https://开头,例如https://www.example.com。
【使用指导】
非缺省vSystem不支持本命令。
当需要把匹配成功的报文重定向到某个Web界面时,可以通过执行此命令来指定重定向URL。
【举例】
# 配置重定向URL为https://www.example.com/upload。
<Sysname> system-view
[Sysname] inspect redirect parameter-profile r1
[Sysname-inspect-redirect-r1] redirect-url https://www.example.com/upload
【相关命令】
· inspect redirect parameter-profile
reset block warning-file命令用来重置防病毒告警文件内容。
【命令】
reset block warning-file
【视图】
防病毒告警动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
本命令用来将防病毒告警文件中的告警信息重置为缺省文件中的告警信息。
【举例】
# 在名称为w1的应用层检测引擎的防病毒告警动作参数profile中,重置告警文件内容。
<Sysname> system-view
[Sysname] inspect warning parameter-profile w1
[Sysname-inspect-warning-w1] reset block warning-file
【相关命令】
· import warning-file
reset inspect reputation cloud-query statistics命令用来清除信誉业务云端查询功能处理异常情况时的统计信息。
【命令】
reset inspect reputation cloud-query statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:清除指定成员设备上的信誉业务云端查询功能处理异常情况时的统计信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上的信誉云端查询统计信息。
【使用指导】
本命令用于清除IP信誉和域名信誉云端查询功能处理异常情况时的统计信息。
【举例】
# 清除信誉业务云端查询功能处理异常情况时的统计信息。
<Sysname> reset inspect reputation cloud-query statistics
【相关命令】
· display inspect reputation cloud-query statistics
reset inspect smb-breakpoint-resume table命令用来清除SMB协议断点续传表的信息。
【命令】
reset inspect smb-breakpoint-resume table { ipv4 | ipv6 } [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:清除指定成员设备上的SMB协议断点续传表的信息。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示所有成员设备。
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 清除SMB协议断点续传表的信息。
<Sysname> reset inspect smb-breakpoint-resume table ipv4
【相关命令】
· display inspect smb-breakpoint-resume table
reset warning-file命令用来重置URL过滤告警文件内容。
【命令】
reset warning-file
【视图】
URL过滤告警动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
本命令用来将URL过滤告警文件中的内容恢复为缺省告警信息。
【举例】
# 在名称为c1的应用层检测引擎的URL过滤告警动作参数profile中,重置URL过滤告警文件内容。
<Sysname> system-view
[Sysname] inspect url-filter warning parameter-profile c1
[Sysname-inspect-url-filter-warning-c1] reset warning-file
【相关命令】
· import warning-file
secure-authentication enable命令用开启安全传输登录邮件服务器密码功能。
undo secure-authentication enable命令用来关闭安全传输登录邮件服务器密码功能。
【命令】
secure-authentication enable
undo secure-authentication enable
【缺省情况】
安全传输登录邮件服务器密码功能处于关闭状态。
【视图】
应用层检测引擎邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
开启此功能后,首先在设备与邮件服务器之间创建一条安全通道,再从此通道中传输登录邮件服务器的密码。
【举例】
# 开启安全传输登录邮件服务器密码功能。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] secure-authentication enable
【相关命令】
· authentication enable
sender命令用来配置发件人地址。
undo sender命令用来恢复缺省情况。
【命令】
sender address-string
undo sender
【缺省情况】
未配置发件人地址。
【视图】
应用层检测引擎邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
address-string:表示发件人地址,为3~63个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
发件人地址是指设备向目的地发送邮件时使用的源地址。
【举例】
# 配置发件人的地址为[email protected]。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] sender [email protected]
username命令用来配置登录邮件服务器的用户名。
undo username命令用来恢复缺省情况。
【命令】
username name-string
undo username
【缺省情况】
未配置登录邮件服务器的用户名。
【视图】
应用层检测引擎邮件动作参数profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
name-string:表示登录邮件服务器的用户名。为1~63个字符的字符串,区分大小写。
【使用指定】
非缺省vSystem不支持本命令。
在同一个邮件动作参数profile视图下,多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置登录邮件服务器的用户名为han。
<Sysname> system-view
[Sysname] inspect email parameter-profile c1
[Sysname-inspect-email-c1] username han
【相关命令】
· authentication enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
