04-DPI深度安全配置指导

02-应用层检测引擎配置

本章节下载  (280.62 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_CG(V7)(R8524_R8522_R8504)-6W302/04/202012/1369260_30005_0.htm

02-应用层检测引擎配置


1 应用层检测引擎

1.1  应用层检测引擎简介

应用层检测引擎服务于DPI业务模块,用于对报文的应用层信息(应用层协议以及应用行为)进行统一识别。DPI业务模块使用应用层检测引擎提供的识别结果,对报文进行相应的业务处理。

1.1.1  应用层检测引擎的基本功能

应用层检测引擎提供以下基本功能:

·     协议解析:识别并分析报文应用层字段,区分应用层协议,并对部分字段进行正规化和解压缩。

·     关键字匹配:根据检测规则对报文载荷内容进行关键字匹配,是应用层检测引擎的核心。

·     选项匹配:关键字匹配成功后,对其所属检测规则中的选项做进一步匹配。该过程与关键字匹配相比,匹配速度比较缓慢。

1.1.2  检测规则

应用层检测引擎使用检测规则对报文进行匹配,检测规则由各DPI业务的规则或特征转换而成,包含关键字和选项两种匹配项。

·     关键字:标识报文特征的不少于3个字节的字符串。

·     选项:非关键字的辅助匹配项,例如报文的端口号、协议类型等。

检测规则中可以同时包含关键字和选项,或者仅包含选项。如果检测规则中同时包含关键字和选项,则两者都被匹配上才算是与该检测规则匹配成功;如果检测规则中仅包含选项,则只要匹配选项就算与该检测规则匹配成功。

1.1.3  应用层检测引擎工作机制

图1-1所示,应用层检测引擎的具体工作机制如下:

图1-1 应用层检测引擎工作机制示意图

 

应用层检测引擎的处理机制如下:

(1)     设备收到报文后,首先对报文进行规则(即安全策略规则)匹配:

¡     如果规则匹配成功,且规则中需要进行DPI业务处理,则此报文进入应用层检测引擎处理;如果规则中不需要进行DPI业务处理,则根据规则中的动作对此报文进行处理。

¡     如果规则匹配失败,则直接丢弃此报文。

有关安全策略规则的详细介绍请参见“安全配置指导”中的“安全策略”。

(2)     报文进入应用层检测引擎后,应用层检测引擎首先对报文进行协议解析,根据分析结果查找相应的检测规则。

(3)     应用层检测引擎判断检测规则中是否包含关键字,如果包含关键字,则首先进行关键字匹配,否则直接进行选项匹配。

(4)     如果报文匹配上关键字,则继续进行选项匹配(该选项是匹配上的关键字所属检测规则中的选项);如果报文未匹配上关键字,则直接允许报文通过。

(5)     如果报文与选项匹配成功,则表示此报文与该检测规则匹配成功。

(6)     应用层检测引擎通知相应的DPI业务模块对此报文做进一步的处理;如果报文与选项匹配失败,则直接允许报文通过。

1.2  应用层检测引擎配置任务简介

应用层检测引擎配置任务如下:

(7)     配置DPI应用Profile

(8)     激活DPI业务模块的策略和规则配置

(9)     配置应用层检测引擎动作参数

(10)     (可选)优化应用层检测引擎性能

(11)     (可选)配置应用层检测引擎CPU门限响应功能

(12)     (可选)配置应用层检测引擎检测固定长度数据流功能

(13)     (可选)配置应用层检测引擎可解压缩数据上限

(14)     (可选)配置应用层检测引擎对所有文件进行MD5哈希运算

(15)     (可选)开启基于源端口的应用识别功能

(16)     (可选)配置DPI业务特征库在线升级所使用的代理服务器

(17)     (可选)配置DPI业务云端服务器

(18)     (可选)关闭应用层检测引擎功能

1.3  配置DPI应用Profile

1. 功能简介

DPI应用profile是DPI业务的配置模板,用于关联各DPI业务的策略(例如IPS策略、防病毒策略)。DPI应用profile被安全策略规则引用后,各DPI业务策略才能生效。

2. 配置步骤

(19)     进入系统视图。

system-view

(20)     创建DPI应用profile视图,并进入DPI应用profile视图。

app-profile profile-name

(21)     关联各DPI业务策略。

¡     在DPI应用profile中引用IPS策略。

ips apply policy policy-name mode { protect | alert }

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“IPS”。

¡     在DPI应用profile中引用URL过滤策略。

url-filter apply policy policy-name

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“URL过滤”。

¡     在DPI应用profile下引用数据过滤策略。

data-filter apply policy policyname

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“数据过滤”。

¡     在DPI应用profile下引用文件过滤策略。

file-filter apply policy policyname

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“文件过滤”。

¡     在DPI应用profile下引用防病毒策略。

anti-virus apply policy policyname mode { alert | protect }

关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“防病毒”。

缺省情况下,未关联DPI业务策略。

1.4  激活DPI业务模块的策略和规则配置

1. 功能简介

当DPI业务模块(比如IPS和防病毒等特性)的策略和规则被创建、修改和删除后,有以下方式可以使得这些策略和规则的配置生效:

·     保存配置后重启设备

·     执行inspect activate命令

2. 配置限制和指导

执行inspect activate命令会暂时中断DPI业务的处理,为了避免重复执行此命令对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一执行此命令。

3. 配置步骤

(22)     进入系统视图。

system-view

(23)     激活DPI业务模块的策略和规则配置。

inspect activate

缺省情况下,DPI业务模块的策略和规则被创建、修改和删除时不生效。

1.5  配置应用层检测引擎动作参数

1.5.1  配置源阻断动作参数

1. 功能简介

源阻断动作参数profile用来为DPI业务模块的源阻断动作提供动作参数,在此profile中可以配置报文被阻断的时长。

2. 配置限制和指导

本功能仅在开启黑名单过滤功能后生效。如果设备上开启了黑名单过滤功能,则在源阻断动作参数profile中配置的阻断时长内,来自该源IP地址的报文将被直接丢弃,不再进入应用层检测引擎中检测。

有关黑名单过滤功能的详细介绍,请参见“安全配置指导”中的“攻击检测与防范”。

3. 配置步骤

(24)     进入系统视图。

system-view

(25)     创建应用层检测引擎的源阻断动作参数profile,并进入该源阻断动作参数profile视图。

inspect block-source parameter-profile parameter-name

(26)     配置报文源IP地址被阻断的时长。

block-period period

缺省情况下,报文源IP地址被阻断的时长为1800秒。

1.5.2  配置捕获动作参数

1. 功能简介

捕获动作参数profile用来为DPI业务模块的捕获动作提供动作参数,在此profile中可以配置捕获报文的最大字节数、捕获报文的上传时间和URL地址参数。

捕获到的报文将被缓存到设备本地,并在以下任意条件满足的情况下被上传到指定的URL上:

·     缓存的报文字节数达到指定上限值时;

·     当天指定的上传时间到达时

上传到指定的URL之后,系统将清空本地缓存,然后重新开始捕获报文。

2. 配置步骤

(27)     进入系统视图。

system-view

(28)     创建应用层检测引擎的捕获动作参数profile视图,并进入该捕获动作参数profile视图。

inspect capture parameter-profile parameter-name

(29)     配置捕获报文的最大字节数。

capture-limit kilobytes

缺省情况下,捕获报文的最大字节数为512千字节。

(30)     配置每天定时上传捕获报文的时间。

export repeating-at time

缺省情况下,每天凌晨1点定时上传捕获报文。

(31)     配置上传捕获报文的URL地址。

export url url-string

缺省情况下,未配置上传捕获报文的URL地址。

1.5.3  配置日志动作参数

1. 功能简介

日志动作参数profile用来为DPI业务模块的日志动作提供动作参数,此profile中可以配置日志的输出方式和输出语言。

2. 配置限制和指导

配置记录IPS日志使用的语言为中文后,仅IPS日志的威胁名称字段使用中文描述,其它日志信息仍然为英文。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建应用层检测引擎的日志动作参数profile视图,并进入该日志动作参数profile视图。

inspect logging parameter-profile parameter-name

(3)     配置记录报文日志的方式。

log { email | syslog }

缺省情况下,报文日志被输出到信息中心。

(4)     配置记录IPS日志使用的语言为中文。

log language chinese

缺省情况下,记录IPS日志使用的语言为英文。

1.5.4  配置重定向动作参数

1. 功能简介

重定向动作参数profile用来为DPI业务模块的重定向动作提供动作参数,在此profile中可以配置重定向报文的URL。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建应用层检测引擎的重定向动作参数profile,并进入重定向动作参数profile视图。

inspect redirect parameter-profile parameter-name

(3)     配置重定向URL。

redirect-url url-string

缺省情况下,未配置重定向URL。

1.5.5  配置邮件动作参数

1. 功能简介

邮件动作参数profile用来为DPI业务模块的邮件动作提供动作参数,在此profile中可以配置邮件服务器地址、收件人与发件人地址和登录邮件服务器的用户名和密码等。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建应用层检测引擎的邮件动作参数profile视图,并进入邮件动作参数profile视图。

inspect email parameter-profile parameter-name

(3)     配置邮件服务器的地址。

email-server addr-string

缺省情况下,未配置邮件服务器的地址。

(4)     配置域名解析服务器的地址。

dns-server ip-address

缺省情况下,未配置域名解析服务器的地址。

(5)     配置发件人地址。

sender addr-string

缺省情况下,未配置发件人地址。

(6)     配置收件人地址。

receiver addr-string

缺省情况下,未配置收件人地址。

(7)     (可选)配置客户端身份验证功能。

a.     开启发送邮件的认证功能。

authentication enable

缺省情况下,发送邮件的认证功能处于开启状态。

b.     配置登录邮件服务器的用户名。

username name-string

缺省情况下,未配置登录邮件服务器的用户名。

c.     配置登录邮件服务器的密码。

password { cipher | simple } string

缺省情况下,未配置登录邮件服务器的密码。

d.     (可选)开启安全传输登录邮件服务器密码功能。

secure-authentication enable

缺省情况下,安全传输登录邮件服务器密码功能处于关闭状态。

1.6  优化应用层检测引擎性能

1. 功能简介

对经过压缩或编码等处理后的报文应用层信息进行识别时,需要应用层检测引擎先对此类报文进行解压缩或解码等相应处理后才能识别。通过开启应用层检测引擎性能优化功能或调高各项性能参数,可以提高应用层信息的识别能力和准确率,但同时也会消耗一定的系统资源。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置应用层检测引擎可检测有载荷内容的报文的最大数目。

inspect packet maximum max-number

缺省情况下,应用层检测引擎可检测有载荷内容的报文的最大数目为32。

(3)     配置应用层检测引擎缓存待检测选项的最大数目。

inspect cache-option maximum max-number

缺省情况下,应用层检测引擎缓存待检测选项的最大数目为32。

(4)     配置TCP数据段重组功能

a.     开启TCP数据段重组功能。

inspect tcp-reassemble enable

缺省情况下,TCP数据段重组功能处于关闭状态。

b.     配置TCP数据段重组缓存区可缓存的TCP数据段最大数目。

inspect tcp-reassemble max-segment max-number

缺省情况下,TCP数据段重组缓冲区可缓存的TCP数据段最大数目为10。

(5)     (可选)关闭指定的应用层检测引擎的优化调试功能。

inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable

缺省情况下,应用层检测引擎的所有优化调试功能处于开启状态。

如果设备的吞吐量较差,不能满足基本的通信需求,可关闭相关优化调试功能提高设备的性能。

1.7  配置应用层检测引擎CPU门限响应功能

1. 功能简介

应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程。当设备的CPU利用率较高时,应用层检测引擎CPU门限响应功能会启动如下机制来缓解系统资源紧张的问题。

·     当CPU利用率达到设备上配置的CPU利用率阈值时,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。

·     当设备的CPU利用率恢复到或低于设备上配置的CPU利用率恢复阈值时,系统会恢复应用层检测引擎的检测功能。

有关CPU利用率的详细配置请参见“基础配置指导”中的“设备管理”。

2. 配置限制和指导

在系统CPU占用率较高的情况下,建议保持应用层检测引擎CPU门限响应功能处于开启状态;在系统CPU占用率较低的情况下,可以考虑关闭本功能。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启应用层检测引擎CPU门限响应功能。

undo inspect cpu-threshold disable

缺省情况下,应用层检测引擎CPU门限响应功能处于开启状态。

1.8  配置应用层检测引擎检测固定长度数据流功能

1. 功能简介

应用层检测引擎检测固定长度数据流功能,是指应用层检测引擎只检测每条数据流首包后固定长度内的数据,不再检测超出固定长度后的数据。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启应用层检测引擎检测固定长度数据流功能。

undo inspect stream-fixed-length disable

缺省情况下,应用层检测引擎检测固定长度数据流功能处于开启状态。

(3)     配置应用层检测引擎检测数据流的固定长度。

inspect stream-fixed-length { email I ftp | http } * length

缺省情况下,应用层检测引擎对FTP协议、HTTP协议和与E-mail相关协议数据流的固定检测长度均为32千字节。

调高此参数后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理调低参数后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低。

1.9  配置应用层检测引擎可解压缩数据上限

1. 功能简介

可解压缩数据上限是指设备解压一个文件时可解压缩数据的最大值。到达上限后,该文件的剩余数据不再进行解压。如果配置的可解压缩数据过大,当设备频繁收到过大的压缩文件时,设备将一直解压缩一个文件,会影响后续文件的解压缩,并影响设备的转发性能。如果配置的可解压缩数据过小,设备将不能识别压缩文件中的部分内容,从而对DPI业务(例如防病毒和数据过滤业务)的检测结果产生影响。请管理员合理配置此参数。

2. 配置限制和指导

仅支持解压缩ZIP格式的文件。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置应用层检测引擎可解压缩数据上限。

inspect file-uncompr-len max-size

缺省情况下,可解压缩数据上限为100MB。

1.10  配置应用层检测引擎对所有文件进行MD5哈希运算

1. 功能简介

本功能用于防病毒检测,设备首先对待检测文件进行MD5哈希运算,再将计算出的MD5值与特征库中的MD5规则进行匹配,如果匹配成功,则表示该文件携带病毒。

开启此功能后将对设备业务处理性能产生影响,请管理员根据设备实际情况进行配置。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置应用层检测引擎对所有文件进行MD5哈希运算。

inspect md5-verify all-files

缺省情况下,只对可执行文件、office文件和压缩文件等文件进行MD5哈希运算。

1.11  开启基于源端口的应用识别功能

1. 功能简介

如果网络中的流量种类单一、源端口固定,但无法通过目的端口对其进行基于端口的应用识别或无法基于流量特征进行内容识别时,可以开启本功能,对流量进行源端口识别,将源端口为固定端口的流量识别为访问特定类型应用的流量。

开启本功能后,可能会造成应用识别结果的误报,请管理员根据组网环境的实际情况配置。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启基于源端口的应用识别功能。

inspect source-port-identify enable

1.12  配置DPI业务特征库在线升级所使用的代理服务器

1. 功能简介

当DPI业务模块(例如IPS和防病毒)的特征库进行在线升级时,若设备不能连接到官方网站,则可配置一个代理服务器使设备连接到官方网站上的特征库服务专区,进行特性库在线升级。有关特征库在线升级功能的详细介绍,请参见各DPI业务配置指导手册中的“特征库升级与回滚”。

2. 配置限制和指导

代理服务器可以通过IP地址或者域名的方式进行访问。如果使用域名方式,请确保设备能通过静态或动态域名解析方式获得代理服务器的IP地址,并与之路由可达。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置DPI业务特征库在线升级所使用的代理服务器。

inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]

缺省情况下,未配置DPI业务特征库在线升级所使用的代理服务器。

1.13  配置DPI业务云端服务器

1. 功能简介

DPI云端服务器为各DPI业务提供云端查询功能,目前支持URL过滤分类查询。

2. 配置限制和指导

配置DPI云端查询功能时,需要确保设备能通过静态或动态域名解析方式获得DPI云端服务器的IP地址,并与之路由可达,否则进行云端查询会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置DPI业务云端服务器。

inspect cloud-server host-name

缺省情况下,DPI云端服务器主机名为sec.h3c.com。

1.14  关闭应用层检测引擎功能

1. 功能简介

应用层检测引擎对报文的检测是一个复杂且会占用一定系统资源的过程。开启应用层检测引擎功能后,如果出现系统CPU使用率过高等情况时,可通过关闭此功能来降低对设备转发性能的影响。

关闭应层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     关闭应用层检测引擎功能。

inspect bypass

缺省情况下,应用层检测引擎功能处于开启状态。

1.15  应用层检测引擎显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后应用层检测引擎的运行情况。

表1-1 应用层检测引擎显示和维护

操作

命令

显示应用层检测引擎的运行状态

display inspect status

显示MD5哈希运算配置

display inspect md5-verify configuration

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们