登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-安全配置指导

目录

02-APR配置

本章节下载 02-APR配置  (207.84 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Operation_Manual/H3C_WBC_CG(E5423P05_E5429P01)-6W103/16/202006/1300988_30005_0.htm

02-APR配置

  录

1 APR配置

1.1 APR简介

1.1.1 PBAR

1.1.2 NBAR

1.1.3 APR特征库升级与回滚

1.2 APR的License要求

1.3 APR配置任务简介

1.4 配置自定义NBAR规则

1.5 配置APR特征库升级和回滚

1.5.1 使用限制和指导

1.5.2 配置定期自动在线升级APR特征库

1.5.3 立即自动在线升级APR特征库

1.5.4 手动离线升级APR特征库

1.5.5 回滚APR特征库

1.6 APR显示和维护

 

1 APR配置

1.1  APR简介

APR(Application Recognition)即应用层协议识别。一些基于应用的业务在进行报文处理时需要知道报文所属的应用层协议,APR可以为这样的业务提供应用识别服务,并能够对接口上接收或者发送的某个应用层协议的报文进行数目和速率统计。APR支持以下应用识别方式:PBAR(Port Based Application Recognition,基于端口的应用层协议识别)和NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)。

1.1.1  PBAR

PBAR根据端口与应用的映射关系识别出报文所属的应用层协议,并支持以下类型的映射关系:

·              预定义的端口与应用的映射关系:由系统预先定义。

·              自定义的端口与应用的映射关系:由管理员进行创建。

目前仅支持预定义PBAR。

1.1.2  NBAR

NBAR提取应用报文的特征,通过将报文的内容与特征库中的特征项进行匹配来识别报文所属的应用层协议。

NBAR支持两种类型的特征:

·              预定义特征:由设备上的APR特征库自动生成。

·              自定义特征:由管理员手工配置。

1.1.3  APR特征库升级与回滚

1. APR特征库

APR特征库是用来对经过设备的应用层流量进行字符串特征识别的资源库,包含PBAR和NBAR特征。随着互联网业务的不断变化和发展,网络上的应用也在迅速的增加和变化,需要及时升级设备中的APR特征库,同时设备也支持APR特征库回滚功能。

2. APR特征库升级

APR特征库升级包括如下几种方式:

·              定期自动在线升级:设备根据管理员设置的时间定期自动更新本地的APR特征库。

·              立即自动在线升级:管理员手工触发设备立即更新本地的APR特征库。

·              手动离线升级:当设备无法自动获取APR特征库服务时,需要管理员先手动获取最新的APR特征库,再更新设备本地的APR特征库。

3. APR特征库回滚

设备使用当前APR特征库版本进行识别应用时,如果管理员发现设备识别应用的误报率较高或出现异常情况,则可以将其回滚到上一版本或出厂版本。

1.2  APR的License要求

APR特征库的升级需要安装License。License过期后,APR功能可以采用设备中已有的APR特征库正常工作,但无法升级特征库。关于License的详细介绍请参见“License管理配置指导”中的“License管理”。

1.3  APR配置任务简介

APR配置任务如下:

(1)      配置自定义NBAR规则

(2)      (可选)配置APR特征库升级和回滚

1.4  配置自定义NBAR规则

1. 功能简介

当APR特征库中预定义的应用规则不能满足用户需求时,可以使用本特性自定义NBAR规则,以及配置该NBAR规则的属性和特征。但不能对预定义的NBAR规则进行删除和修改。

为使所有NBAR规则生效,请在设备上创建DPI应用profile,有关DPI应用profile的详细介绍请参见“安全配置指导”中的“应用层检测引擎”。

自定义NBAR规则下可配置的匹配项包括如下内容:

·              匹配的特征

·              匹配的目的IP地址网段

·              匹配的源IP地址网段

·              匹配的方向

·              匹配的端口号

一条自定义NBAR规则中可以同时配置多个匹配项,仅当所有已配置的匹配项都被匹配成功后,报文与该NBAR规则才能匹配成功。其中,特征可以同时配置多个,且至少匹配上一个特征才能匹配到该匹配项。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      创建自定义NBAR规则,并进入自定义NBAR规则视图。

nbar application application-name protocol { http | tcp | udp }

(3)      (可选)配置自定义NBAR规则的描述信息。

description text

缺省情况下,自定义NBAR规则的描述信息为User defined application。

(4)      配置自定义NBAR规则的特征。

signature [ signature-id ] [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }

缺省情况下,未配置自定义NBAR规则的特征。

(5)      (可选)配置自定义NBAR规则匹配的目的IP地址网段。

destination { ip ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] }

缺省情况下,NBAR规则匹配所有目的IP地址网段。

暂不支持IPv6地址,规则中配置IPv6类型的目的IP地址网段后,IPv6报文无法匹配此条件。

(6)      (可选)配置自定义NBAR规则匹配的源IP地址网段。

source { ip ipv4-address [ mask-length ] | ipv6 ipv6-address [ prefix-length ] }

缺省情况下,NBAR规则匹配所有源IP地址网段。

暂不支持IPv6地址,规则中配置IPv6类型的源IP地址网段后,IPv6报文无法匹配此条件。

(7)      (可选)配置NBAR规则的匹配方向。

direction { to-client | to-server }

缺省情况下,NBAR规则的匹配方向是双向的。

(8)      (可选)配置自定义NBAR规则匹配的端口号。

service-port { port-num | range start-port end-port }

缺省情况下,NBAR规则匹配所有端口号。

(9)      (可选)配置NBAR规则的最大检测字节数。

apr set detectlen bytes

缺省情况下,未配置NBAR规则的最大检测字节数。

(10)   (可选)禁用该自定义NBAR规则。

disable

缺省情况下,自定义的NBAR规则处于生效状态。

(11)   激活自定义NBAR规则

inspect activate

有关inspect activate命令的详细介绍请参见“安全命令参考”中的“应用层检测引擎”。

1.5  配置APR特征库升级和回滚

1.5.1  使用限制和指导

请勿删除设备存储介质根目录下的/dpi/文件夹,否则设备升级或回滚特征库会失败。

当系统内存使用状态处于告警门限状态时,请勿进行特征库升级或回滚,否则易造成设备特征库升级或回滚失败,进而影响NBAR业务的正常运行。有关内存告警门限状态的详细介绍请参见“设备管理配置指导”中的“设备管理”。

1.5.2  配置定期自动在线升级APR特征库

1. 功能简介

如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的APR特征库进行升级。

2. 使用限制和指导

该方式下,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级APR特征库会失败。有关域名解析功能的配置请参见“网络互通配置指导”中的“域名解析”。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      开启定期自动在线升级APR特征库功能,并进入自动在线升级配置视图。

apr signature auto-update

缺省情况下,定期自动在线升级APR特征库功能处于关闭状态。

(3)      配置定期自动在线升级APR特征库的时间。

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

缺省情况下,设备在每天02:01:00至04:01:00之间自动升级APR特征库。

(4)      (可选)配置定期自动在线升级APR特征库时覆盖当前的特征文件。

override-current

缺省情况下,定期自动在线升级APR特征库时不会覆盖当前的特征库文件,而是同时备份当前的特征库文件。

1.5.3  立即自动在线升级APR特征库

1. 功能简介

当管理员发现官方网站的特征库服务专区中的APR特征有更新时,可以选择立即自动在线升级方式来及时升级APR特征库版本。

2. 使用限制和指导

该方式下,需要确保设备能通过静态或动态域名解析方式获得官方网站的IP地址,并与之路由可达,否则设备升级APR特征库会失败。有关域名解析功能的配置请参见“网络互通配置指导”中的“域名解析”。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      立即自动在线升级APR特征库。

apr signature auto-update-now

1.5.4  手动离线升级APR特征库

1. 功能简介

如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级APR特征库版本。

·              本地升级:使用本地保存的特征库文件升级系统上的APR特征库版本。

·              FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的APR特征库版本。

2. 配置步骤

(1)      进入系统视图。

system-view

(2)      手动离线升级APR特征库。

apr signature update [ override-current ] file-path

1.5.5  回滚APR特征库

1. 功能简介

APR特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前APR特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

2. 配置限制和使用指导

升级APR特征库时,如果没有备份当前特征库文件,则回滚APR特征库到上一版本会失败。

3. 配置步骤

(1)      进入系统视图。

system-view

(2)      回滚APR特征库。

apr signature rollback { factory | last }

1.6  APR显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后APR的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除APR的统计信息。

表1-1 APR显示和维护

操作

命令

显示当前APR特征库的版本信息

display apr signature information

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们