登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

08-DPI深度安全配置指导

目录

01-应用层检测引擎配置

本章节下载 01-应用层检测引擎配置  (230.26 KB)

01-应用层检测引擎配置

  录

1 应用层检测引擎

1.1 应用层检测引擎简介

1.1.1 应用层检测引擎的基本功能

1.1.2 检测规则

1.1.3 应用层检测引擎工作机制

1.2 vSystem相关说明

1.3 配置应用层检测引擎CPU门限响应功能

1.4 配置应用层检测引擎检测参数

1.4.1 配置TCP数据段重组功能

1.4.2 配置应用层检测引擎检测固定长度数据流功能

1.5 关闭应用层检测引擎功能

1.6 应用层检测引擎显示和维护

1.6.1 显示应用层检测引擎状态

 

1 应用层检测引擎

1.1  应用层检测引擎简介

应用层检测引擎服务于DPI业务模块,用于对报文的应用层信息(应用层协议以及应用行为)进行统一识别。DPI业务模块使用应用层检测引擎提供的识别结果,对报文进行相应的业务处理。

1.1.1  应用层检测引擎的基本功能

应用层检测引擎提供以下基本功能:

·     协议解析:识别并分析报文应用层字段,区分应用层协议,并对部分字段进行正规化和解压缩。

·     关键字匹配:根据检测规则对报文载荷内容进行关键字匹配,是应用层检测引擎的核心。

·     选项匹配:关键字匹配成功后,对其所属检测规则中的选项做进一步匹配。该过程与关键字匹配相比,匹配速度比较缓慢。

1.1.2  检测规则

应用层检测引擎使用检测规则对报文进行匹配,检测规则由各DPI业务的规则或特征转换而成,包含关键字和选项两种匹配项。

·     关键字:标识报文特征的不少于3个字节的字符串,也称作“AC关键字”。

·     选项:非关键字的辅助匹配项,例如报文的端口号、协议类型等。

检测规则中可以同时包含关键字和选项,或者仅包含选项。如果检测规则中同时包含关键字和选项,则两者都被匹配上才算是与该检测规则匹配成功;如果检测规则中仅包含选项,则只要匹配选项就算与该检测规则匹配成功。

1.1.3  应用层检测引擎工作机制

图1-1所示,应用层检测引擎的具体工作机制如下:

图1-1 应用层检测引擎工作机制示意图

 

应用层检测引擎的处理机制如下:

(1)     报文进入应用层检测引擎后,应用层检测引擎首先对报文进行协议解析,根据分析结果查找相应的检测规则。

(2)     应用层检测引擎判断检测规则中是否包含关键字,如果包含关键字,则首先进行关键字匹配,否则直接进行选项匹配。

(3)     如果报文匹配上关键字,则继续进行选项匹配(该选项是匹配上的关键字所属检测规则中的选项);如果报文未匹配上关键字,则直接允许报文通过。

(4)     如果报文与选项匹配成功,则表示此报文与该检测规则匹配成功。

(5)     应用层检测引擎通知相应的DPI业务模块对此报文做进一步的处理;如果报文与选项匹配失败,则直接允许报文通过。

1.2  vSystem相关说明

非缺省vSystem不支持本特性部分功能,具体包括:

·     配置应用层检测引擎CPU门限响应功能

·     配置应用层检测引擎检测参数

·     关闭应用层检测引擎功能

说明

非缺省vSystem对具体命令的支持情况,请见本特性的命令参考。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。

 

1.3  配置应用层检测引擎CPU门限响应功能

1. 功能简介

应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程。当设备的CPU利用率较高时,应用层检测引擎CPU门限响应功能会启动如下机制来缓解系统资源紧张的问题。

·     当CPU利用率达到设备上配置的CPU利用率阈值时,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。

·     当设备的CPU利用率恢复到或低于设备上配置的CPU利用率恢复阈值时,系统会恢复应用层检测引擎的检测功能。

有关CPU利用率的详细配置请参见“基础配置指导”中的“设备管理”。

2. 配置限制和指导

在系统CPU占用率较高的情况下,建议保持应用层检测引擎CPU门限响应功能处于开启状态;在系统CPU占用率较低的情况下,可以考虑关闭本功能。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启应用层检测引擎CPU门限响应功能。

undo inspect cpu-threshold disable

缺省情况下,应用层检测引擎CPU门限响应功能处于开启状态。

1.4  配置应用层检测引擎检测参数

1.4.1  配置TCP数据段重组功能

(1)     开启TCP数据段重组功能。

inspect tcp-reassemble enable

缺省情况下,TCP数据段重组功能处于关闭状态。

(2)     配置TCP数据段重组缓存区可缓存的TCP数据段最大数目。

inspect tcp-reassemble max-segment max-number

缺省情况下,TCP数据段重组缓冲区可缓存的TCP数据段最大数目为10。

1.4.2  配置应用层检测引擎检测固定长度数据流功能

1. 功能简介

应用层检测引擎检测固定长度数据流功能,是指应用层检测引擎只检测每条数据流首包后固定长度内的数据,不再检测超出固定长度后的数据。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启应用层检测引擎检测固定长度数据流功能。

undo inspect stream-fixed-length disable

缺省情况下,应用层检测引擎检测固定长度数据流功能处于开启状态。

(3)     配置应用层检测引擎检测数据流的固定长度。

inspect stream-fixed-length { email I ftp } * length

缺省情况下,应用层检测引擎对FTP协议和与E-mail相关协议数据流的固定检测长度均为32千字节。

调高此参数后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理调低参数后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低。

1.5  关闭应用层检测引擎功能

1. 功能简介

应用层检测引擎对报文的检测是一个复杂且会占用一定系统资源的过程。开启应用层检测引擎功能后,如果出现系统CPU使用率过高等情况时,可通过关闭此功能来降低对设备转发性能的影响。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     关闭应用层检测引擎功能。

inspect bypass

缺省情况下,应用层检测引擎功能处于开启状态。

注意

关闭应用层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其他基于DPI功能的业务出现中断。例如,七层服务器负载均衡无法基于应用对报文进行负载均衡等。

 

1.6  应用层检测引擎显示和维护

1.6.1  显示应用层检测引擎状态

可在任意视图下执行以下命令,显示应用层检测引擎的运行状态。

display inspect status

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们