登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath 安全产品 用户FAQ(V7)-6W101

目录

02-APR FAQ

本章节下载 02-APR FAQ  (128.47 KB)

02-APR FAQ

1 应用识别FAQ

1.1  APR和DPI其他业务的异同?

·     不同点:APR分成PBAR(Port Based Application Recognition,基于端口的应用层协议识别)和NBAR(Network Based Application Recognition,基于内容特征的应用层协议识别)两部分。

·     相同点:NBAR与应用层检测引擎有关,需要由应用层检测引擎进行检测。

1.2  NBAR支持哪些协议?

NBAR支持HTTP,TCP,UDP协议的特征定义。

关于HTTP协议的NBAR特征定义:

[H3C]nbar application body protocol http

[H3C-nbar-application-body] signature 1 field ?

Uri uri

raw-uri raw-uri

raw-body raw-body

statusline  statusline

raw-header raw-header

raw-cookie raw-cookie

raw-content raw-content

stat-code stat-code

stat-msg stat-msg

关于UDP协议的NBAR特征定义

[H3C]nbar application uuu protocol udp

[H3C-nbar-application-uuu]si

[H3C-nbar-application-uuu]signature 1 ?

hex Add a signature pattern in hexadecimal

offset Add signature offset

regex Add signature pattern by regex

string Add signature pattern by string

关于TCP协议的NBAR特征定义,类似于UDP协议的特征定义。

1.3  PBAR是基于源端口还是目的端口的应用?

PBAR是基于目的端口的应用识别,配置某个目的端口的PBAR后,经过该目的端口的消息流都被识别为该PBAR应用。该部分功能已经在Web上有所展现。

相关命令行如下:

[H3C]port-mapping application {应用名} port 3000 ?

Acl     Specify acl filtering

Host    Specify a host range

Protocol  Specify a Layer 4 protocol

subnet    Specify a subnet

1.4  自定义的PBAR应用能设置最多可以配置多少端口

自定义的PBAR应用最多可以配置1024个端口。

1.5  NBAR的signature最多可以设置多少个?

NBAR的signature最多可以设置8个。

1.6  PBAR可以配置TCP、UDP、DCCP、SCTP、UDP-Lite五种协议,在其他模块引用时,这几种协议是否都能识别?

PBAR的这五种协议都是可以识别的,但是其它模块引用时,DCCP、SCTP、UDP-Lite都是不生效的(比如AVC限速、域间阻断等)。

1.7  域间阻断配置阻断ftp-data报文,为什么不能阻断?

多通道的应用层协议报文(如FTP、RTSP等),设备上开启ALG(Application Level Gateway,应用层网关)之后,会生成关联表,将控制通道和数据通道关联起来,当控制通道放行或阻断时,数据通道也一并放行或阻断。当配置了DPI之后,会默认开启多通道协议的ALG,由于控制通道放行,所以数据通道就直接放行了,因此配置只阻断数据通道是不生效的。

1.8  PBAR与NBAR之间的优先级?

优先级关系:预定义PBAR > 预定义NBAR > 自定义NBAR > 自定义PBAR。

当配置设备拉起DPI模块时,对于打的测试流量,只要没有创建符合报文目的端口号的自定义PBAR,应用识别功能通过NBAR实现;若配置了自定义NBAR,若流中既存在符合预定义NBAR的特征字段,又存在符合自定义NBAR的特征字段,则系统判定识别结果为自定义NBAR的应用。

1.9  除DPI业务外,其他什么模块可触发NBAR检测?

·     安全策略中配置应用及应用组。

·     应用审计与管理;

·     带宽策略配置应用及应用组。

1.10  自定义应用、自定义NBAR、自定义PBAR的区别?

不论在CLI控制台还是Web下,对于自定义应用都是通过自定义PBAR与自定义NBAR创建的,当为某一应用创建了port-mapping或者nbar application后,自定义应用既被创建,可通过display application user-defined查看;值得注意的是,若一个应用既配了port-mapping,又为其配了nbar的相关特征,仅删除其中一条PBAR或NBAR,该应用还是会存在,要将port-mapping与nbar application同时删除才可以彻底删除此应用。

1.11  PBAR一对多,多对一的关系

(1)     ‍对于同一个自定义应用,可以为其配置多条对应目的端口号

举例:设app的名字=shr,shr-123,shr-456,故目的端口号为123和456的流都会将应用识别为shr

(2)     但多个自定义应用不可同时匹配同一个目的端口号,若配置port-mapping application app1 port 123,则再配置port-mapping application app2 port 123的时候,前一条映射关系会被自动替换删除。

1.12  如何配置阻断某个特定应用,但放行其他所有应用?比如QQ应用

举例,如QQ应用进行阻断,其他应用放行。可以先配置一条安全策略绑定QQ应用动作为阻断,再配置一条安全策略动作为允许放行其他所有应用。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们