- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
15-高级配置
本章节下载: 15-高级配置 (262.98 KB)
开启本功能后,将关闭应用层检测引擎,系统将不会对接收到的报文进行DPI深度安全处理(例如入侵防御等业务)。应用层检测引擎功能缺省处于开启状态,如果出现系统CPU使用率过高等情况,可通过开启本功能来保证设备的正常运行。
当DPI各业务模块(例如入侵防御等业务)的配置文件和规则被创建、修改和删除后,需要单击各个配置文件页面中的<配置激活>按钮,来使其策略和规则配置生效。为了避免重复执行该操作对DPI业务造成影响,请完成部署DPI各业务后统一在高级配置页面单击<配置激活>按钮。
在双机热备的双主模式下,可能出现DPI业务报文在非对称路径中无法准确处理的问题。开启本功能后,则可以解决上述问题。开启本功能会消耗一定的系统资源,请仅在需要时开启。
当客户端使用代理方式访问服务器时,源IP地址将会发生改变,设备无法获取客户端的真实IP地址。开启真实源IP检测功能后,设备将从客户端请求报文的相关字段获取真正的源IP地址,避免上述问题。
开启本功能后,当一个请求报文中提取不到真实源IP地址时,设备会将上一个请求报文中提取到的结果作为本次提取结果,直到这个会话的后续请求报文携带新的真实源IP地址时再重新进行提取。关闭此功能后,当设备在一个请求报文中提取不到真实源IP地址时,则将该次提取结果记为空。
本功能用于配置设备对真实源IP地址的提取模式。当管理员可以确定当前组网环境中仅需要针对报文中的一种字段提取真实源IP地址时,可将提取模式配置为仅提取该字段。否则,可将提取模式配置为“根据优先级提取真实源IP模式”。
· X-Forwarded-For only模式:表示仅在X-Forwarded-For字段中提取真实源IP地址。
· Cdn-Src-IP only模式:表示仅在Cdn-Src-IP字段中提取真实源IP地址。
· X-Real-IP only模式:表示仅在X-Real-IP字段中提取真实源IP地址。
· TCP options only模式:表示仅在TCP option字段中提取真实源IP地址。
· 根据优先级提取真实源IP模式:表示按照字段的优先级提取真实源IP地址,设备会从高优先字段中提取真实源IP地址,提取成功则记录提取结果。仅当高优先级字段中提取不到真实源IP地址时,才会在低优先级的字段中进行提取。缺省情况下,未配置各字段的优先级,设备按照各字段的显示顺序进行提取,如需修改提取顺序,可单击<编辑>按钮,修改各字段的优先级。数值越大,优先级越高。
X-Forwarded-For字段中携带多个地址,格式为X-Forwarded-For: address1, address2,…addressN。代理服务器每成功收到一个请求,就把请求来源IP地址依次添加到右边。在不同的代理场景下,各字段取值的含义有所不同,可根据实际情况选择提取的字段位置。
设备支持将如下位置提取到的真实源IP地址记录为最终提取结果:
· 首个地址:表示将提取到的最左边的地址记录为最终提取结果。
· 最后N个地址:表示提取X-Forwarded-For字段最后多个地址,提取顺序与字段中显示的顺序一致。
TCP Options字段中,真实源IP地址位于一个标识的后面,只有检测到标识,设备才会继续向后检测真实源IP地址。如果没有检测到标识,则表示TCP Option字段中不存在真实源IP地址,设备会停止对TCP Options字段的检测。管理员可以根据实际情况配置如下参数:
· 标识检测偏移量:用于定位标识的检测起始位置。配置偏移量后,设备将从TCP Options字段起始位置开始偏移指定的字节后检测标识内容。缺省情况下,设备从TCP Options字段的起始位置开始检测标识。
· 标识检测深度:用于限定标识的检测结束位置。配置检测深度后,设备将在指定的字节数内检测标识。缺省情况下,设备不对检测结束位置进行限制,会一直检测到TCP Options字段的结束位置。
· 标识内容:表示作为标识的十六进制字符内容。
· IP地址检测偏移量:表示真实源IP地址与标识的偏移量。配置偏移量后,设备将从标识的结束位置开始,在指定的字节数后提取真实源IP地址。
本功能可配置应用层检测引擎解压缩文件时的最大可解压数据大小以及最大可解压层数,可通过调整解压缩参数提升引擎的检测效率。
· 最大可解压数据大小:设备解压一个文件时可解压缩数据的最大值。到达上限后,该文件的剩余数据不再进行解压。
· 最大可解压层数:当需要检测的内容存在多层压缩的文件时,可配置本参数设置可解压缩文件的层数。当超过配置的可解压缩文件的层数时,设备将不对超出层数上限的文件进行解压缩,直接按照压缩文件格式进行特征匹配等处理。到达上限后,设备将不对超出层数的文件进行解压缩。
开启本功能后,设备将在Web应用防护日志中展示HTTP报文的更多详情信息,包括应答报文中的响应状态码、请求报文中的请求头和请求体,方便用户对报文进行分析。
· 开启Bypass功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其他基于DPI功能的业务出现中断。例如,安全策略无法对应用进行访问控制等。
· 执行配置激活操作会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
