- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-应用层检测引擎配置
本章节下载: 02-应用层检测引擎配置 (399.82 KB)
应用层检测引擎服务于DPI业务模块,用于对报文的应用层信息(应用层协议以及应用行为)进行统一识别。DPI业务模块使用应用层检测引擎提供的识别结果,对报文进行相应的业务处理。
应用层检测引擎提供以下基本功能:
· 协议解析:识别并分析报文应用层字段,区分应用层协议,并对部分字段进行正规化和解压缩。
· 关键字匹配:根据检测规则对报文载荷内容进行关键字匹配,是应用层检测引擎的核心。
· 选项匹配:关键字匹配成功后,对其所属检测规则中的选项做进一步匹配。该过程与关键字匹配相比,匹配速度比较缓慢。
应用层检测引擎使用检测规则对报文进行匹配,检测规则由各DPI业务的规则或特征转换而成,包含关键字和选项两种匹配项。
· 关键字:标识报文特征的不少于3个字节的字符串,也称作“AC关键字”。
· 选项:非关键字的辅助匹配项,例如报文的端口号、协议类型等。
检测规则中可以同时包含关键字和选项,或者仅包含选项。如果检测规则中同时包含关键字和选项,则两者都被匹配上才算是与该检测规则匹配成功;如果检测规则中仅包含选项,则只要匹配选项就算与该检测规则匹配成功。
如图1-1所示,应用层检测引擎的具体工作机制如下:
应用层检测引擎的处理机制如下:
(1) 报文进入应用层检测引擎后,应用层检测引擎首先对报文进行协议解析,根据分析结果查找相应的检测规则。
(2) 应用层检测引擎判断检测规则中是否包含关键字,如果包含关键字,则首先进行关键字匹配,否则直接进行选项匹配。
(3) 如果报文匹配上关键字,则继续进行选项匹配(该选项是匹配上的关键字所属检测规则中的选项);如果报文未匹配上关键字,则直接允许报文通过。
(4) 如果报文与选项匹配成功,则表示此报文与该检测规则匹配成功。
(5) 应用层检测引擎通知相应的DPI业务模块对此报文做进一步的处理;如果报文与选项匹配失败,则直接允许报文通过。
应用层检测引擎配置任务如下:
(1) 配置DPI应用Profile
(3) 配置应用层检测引擎动作参数
(4) (可选)优化应用层检测引擎性能
(5) (可选)配置应用层检测引擎CPU门限响应功能
(6) (可选)配置应用层检测引擎检测参数
(7) (可选)配置应用层检测引擎扩展功能
(8) (可选)关闭应用层检测引擎功能
DPI应用profile是DPI业务的配置模板,用于关联各DPI业务的策略(例如URL过滤业务)。DPI应用profile被安全策略规则引用后,各DPI业务策略才能生效。
(1) 进入系统视图。
system-view
(2) 创建DPI应用profile视图,并进入DPI应用profile视图。
app-profile profile-name
(3) 关联各DPI业务策略。
¡ 在DPI应用profile中引用IPS策略。
ips apply policy policy-name mode { protect | alert }
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“IPS”。
¡ 在DPI应用profile中引用URL过滤策略。
url-filter apply policy policy-name
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“URL过滤”。
¡ 在DPI应用profile下引用数据过滤策略。
data-filter apply policy policyname
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“数据过滤”。
¡ 在DPI应用profile下引用文件过滤策略。
file-filter apply policy policyname
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“文件过滤”。
¡ 在DPI应用profile下引用防病毒策略。
anti-virus apply policy policyname mode { alert | protect }
关于该命令的详细介绍请参见“DPI深度安全命令参考”中的“防病毒”。
缺省情况下,未关联DPI业务策略。
缺省情况下,当任意一个DPI业务模块(比如URL过滤业务)发生配置变更时(即策略或规则被创建、修改和删除),系统将会检测在20秒的间隔时间内是否再次发生了配置变更,并根据判断结果执行如下操作:
· 如果间隔时间内未发生任何配置变更,则系统将在下一个间隔时间结束时执行一次激活操作,使这些策略和规则的配置生效。
· 如果间隔时间内再次发生了配置变更,则系统将继续按照间隔时间周期性地检测是否发生配置变更。
如果用户希望对发生变化的业务的策略或规则立即进行激活,可执行inspect activate命令手工激活。
(1) 进入系统视图。
system-view
(2) 激活DPI业务模块的策略和规则配置。
inspect activate
缺省情况下,DPI业务模块的策略和规则被创建、修改和删除后系统会自动激活配置。
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
源阻断动作参数profile用来为DPI业务模块的源阻断动作提供动作参数,在此profile中可以配置报文被阻断的时长。
本功能仅在开启黑名单过滤功能后生效。如果设备上开启了黑名单过滤功能,则在源阻断动作参数profile中配置的阻断时长内,来自该源IP地址的报文将被直接丢弃,不再进入应用层检测引擎中检测。
有关黑名单过滤功能的详细介绍,请参见“安全配置指导”中的“攻击检测与防范”。
(1) 进入系统视图。
system-view
(2) 创建应用层检测引擎的源阻断动作参数profile,并进入该源阻断动作参数profile视图。
inspect block-source parameter-profile parameter-name
(3) 配置报文源IP地址被阻断的时长。
block-period period
缺省情况下,报文源IP地址被阻断的时长为1800秒。
捕获动作参数profile用来为DPI业务模块的捕获动作提供动作参数,在此profile中可以配置捕获报文的最大字节数、捕获报文的上传时间和URL地址(例如tftp://192.168.100.100/upload)等参数。
(1) 进入系统视图。
system-view
(2) 创建应用层检测引擎的捕获动作参数profile视图,并进入该捕获动作参数profile视图。
inspect capture parameter-profile parameter-name
(3) (可选)配置应用层检测引擎捕获动作参数profile的描述信息。
description text
缺省情况下,未配置应用层检测引擎捕获动作参数profile的描述信息。
(4) 配置捕获报文上传阈值的最大字节数。
capture-limit kilobytes
缺省情况下,捕获报文上传阈值的最大字节数为512千字节。
(5) 配置每天定时上传捕获报文的时间。
export repeating-at time
缺省情况下,每天凌晨1点定时上传捕获报文。
(6) 配置上传捕获报文的URL地址。
export url url-string [ user username [ password { cipher cipher-string | simple simple-string } ] ]
缺省情况下,未配置上传捕获报文的URL地址。
上传捕获报文的URL地址仅支持FTP、TFTP和HTTPS协议。
仅在配置基于FTP协议的URL时,支持使用FTP服务器的用户名和密码。
仅IPS业务支持配置基于HTTPS协议的上传捕获报文的URL。
(7) 配置将捕获报文以ZIP格式打包上传。
capture-upload zip
缺省情况下,捕获报文以PCAP格式单包上传。
本功能用于将所有捕获报文以ZIP压缩包的格式统一打包上传,相对于默认的单报文上传方式,以ZIP格式打包上传可以大大提升文件上传效率,同时方便管理员对整个安全事件进行回溯分析。
本功能仅对IPS业务生效。
capture-storage { max-cache-percentage percent-number | max-session-size session-size } *
缺省情况下,最大缓存空间占设备总内存空间的5%、每会话捕获报文的最大字节数为64KB。本功能仅对IPS业务生效。
日志动作参数profile用来为DPI业务模块的日志动作提供动作参数,此profile中可以配置日志的输出方式和输出语言。
配置记录IPS日志使用的语言为中文后,仅IPS日志的威胁名称字段使用中文描述,其它日志信息仍然为英文。
(1) 进入系统视图。
system-view
(2) 创建应用层检测引擎的日志动作参数profile视图,并进入该日志动作参数profile视图。
inspect logging parameter-profile parameter-name
(3) 配置记录报文日志的方式。
log syslog
缺省情况下,报文日志被输出到信息中心。
(4) 配置记录IPS日志使用的语言为中文。
log language chinese
缺省情况下,记录IPS日志使用的语言为英文。
重定向动作参数profile用来为DPI业务模块的重定向动作提供动作参数,在此profile中可以配置重定向报文的URL。
重定向报文的URL必须以http://或https://开头,例如https://www.example.com。
(1) 进入系统视图。
system-view
(2) 创建应用层检测引擎的重定向动作参数profile,并进入重定向动作参数profile视图。
inspect redirect parameter-profile parameter-name
(3) 配置重定向URL。
redirect-url url-string
缺省情况下,未配置重定向URL。
告警动作参数profile用来为防病毒模块的告警动作提供动作参数,在此profile中可以导入告警文件,告警文件中可配置设备向客户端发送的具体告警信息。
(1) 进入系统视图。
system-view
(2) 创建应用层检测引擎的防病毒告警动作参数profile,并进入告警动作参数profile视图。
inspect warning parameter-profile profile-name
(3) 导入告警文件。
import block warning-file file-path
缺省情况下,设备使用缺省文件里的告警信息:The site you are accessing has a security risk and thereby is blocked.
(4) (可选)重置告警文件内容。
reset block warning-file
配置本命令后,设备会将告警文件中的告警信息重置为缺省文件中的告警信息。
URL过滤告警动作参数profile用来为URL过滤模块的告警动作提供具体的执行参数,在此profile中可以导入告警信息文件,告警信息文件中可配置设备向客户端发送的具体告警信息。
当设备检测到基于QUIC协议的URL时,不会向客户端发送具体的告警信息。
(1) 进入系统视图。
system-view
(2) 创建应用层检测引擎的URL过滤告警动作参数profile,并进入URL过滤告警动作参数profile视图。
inspect url-filter warning parameter-profile profile-name
(3) 导入URL过滤告警信息文件。
import warning-file file-path
缺省情况下,存在一个名称为uflt-xxx.html的告警信息文件,其中xxx表示URL过滤告警动作参数profile的名称。文件中包含缺省的告警信息,具体内容请参见“DPI深度安全命令参考”中的“应用层检测引擎”手册中对本命令行缺省情况的详细介绍。
(4) (可选)重置URL过滤告警信息文件内容。
reset warning-file
配置本命令后,设备会将URL过滤告警信息文件中的内容恢复为缺省告警信息。
大量的TCP乱序数据段极有可能会造成应用层检测引擎对此TCP数据流检测失败。例如应用层检测引擎需要检测TCP载荷中是否包含关键字“this is a secret”。由于数据段乱序,可能含有“a secret”的数据段先到达设备,含有“this is”的数据段后到达设备,这样就会造成应用层检测引擎对此TCP数据流检测失败。
为了提高应用层检测引擎对TCP数据流检测的准确率,可以在设备上开启TCP数据段重组功能。当接收到乱序的TCP数据段时,设备会将此数据段和来自于同一条数据流的后续数据段暂时保存至缓冲区,进行TCP数据段重组,完成数据段重组后再送往后续流程处理。
若缓冲区中已缓存的数据段数目达到最大值(可以通过inspect tcp-reassemble max-segment命令来配置)时仍无法成功重组,则设备直接将已缓存的乱序数据段和此条数据流的所有后续TCP数据段送往后续流程处理,不再进行TCP重组。这样可以降低对设备转发性能的影响。
对于缓存区可缓存的TCP数据段最大数目,调高此参数可提高应用层检测引擎对TCP数据段检测的准确率,但设备转发性能可能会下降;调低此参数可避免因长时间缓存TCP数据段而造成设备转发性能下降,但应用层检测引擎对TCP数据段检测的准确率会降低。请根据实际情况调整此参数。
如果设备的吞吐量较差,不能满足基本的通信需求,可关闭TCP数据段重组功能以提高设备的性能。
(1) 进入系统视图。
system-view
(2) 开启TCP数据段重组功能。
inspect tcp-reassemble enable
缺省情况下,TCP数据段重组功能处于关闭状态。
(3) 配置TCP数据段重组缓存区可缓存的TCP数据段最大数目。
inspect tcp-reassemble max-segment max-number
缺省情况下,TCP数据段重组缓冲区可缓存的TCP数据段最大数目为10。
大量的SMB协议的乱序报文极有可能会造成应用层检测引擎对此协议报文检测失败。为了提高应用层检测引擎对SMB协议报文检测的准确率,可以在设备上开启SMB协议报文重组功能。
当设备接收到乱序的SMB报文时,会将此报文和来自于同一条数据流的后续报文暂时保存至缓冲区,进行报文重组,完成重组后再送往后续流程处理。
如果设备的吞吐量较差,不能满足基本的通信需求,可关闭SMB协议报文重组功能以提高设备的性能。
(1) 进入系统视图。
system-view
(2) 开启SMB协议报文重组功能。
inspect smb-reassemble enable
缺省情况下,SMB协议报文重组功能处于关闭状态。
对经过压缩或编码等处理后的报文应用层信息进行识别时,需要应用层检测引擎先对此类报文进行解压缩或解码等相应处理后才能识别。通过开启应用层检测引擎性能优化功能或调高各项性能参数,可以提高应用层信息的识别能力和准确率,但同时也会消耗一定的系统资源。
如果设备的吞吐量较差,不能满足基本的通信需求,可关闭相关优化调试功能提高设备的性能。
(1) 进入系统视图。
system-view
(2) 关闭指定的应用层检测引擎的优化调试功能。
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
缺省情况下,应用层检测引擎的所有优化调试功能处于开启状态。
如果设备的吞吐量较差,不能满足基本的通信需求,可关闭相关优化调试功能提高设备的性能。
Cookie解码功能用于将设备获取到的Cookie中编码后的字符串转换回原始的字符串形式,以便正确读取和处理存储在其中的数据,更好地识别出其中的攻击特征或病毒特征等。
Cookie解码功能会占用大量的内存和CPU资源,当设备资源不足时,可选择关闭Cookie解码功能以减少对资源的影响。
(1) 进入系统视图。
system-view
(2) 关闭Cookie解码功能
inspect cookie-decode disable
缺省情况下,Cookie解码功能处于开启状态。
HTTP流量的首个事务,通常是指一个HTTP会话中的第一个“请求-响应”过程,在这个过程中,客户端发起一个HTTP请求到服务器,然后服务器返回一个HTTP响应。首个事务是建立客户端和服务器之间通信的起点,后续的事务可以在首个事务的基础上进行。首次事务往往包含了打开网页或开始一个新的HTTP会话所必需的关键信息。许多网络威胁和入侵行为,如恶意软件分发、钓鱼攻击或命令和控制(C&C)通信,常在HTTP会话的开始阶段进行。因此,首次事务的检测通常可以识别出潜在的安全威胁。
在大流量场景下,对整个HTTP会话的所有事务都进行检测会大大降低设备的吞吐性能,在对设备吞吐性能要求较高的场景下,可通过开启本功能,使应用层检测引擎仅专注于分析和审查每个HTTP会话中的第一次交互,从而有助于提高设备的吞吐性能,可实现对大规模HTTP流量的安全监控。
(1) 进入系统视图。
system-view
(2) 开启应用层检测引擎仅检测HTTP流量首次事务功能。
inspect http-initial-transaction enable
缺省情况下,应用层检测引擎仅检测HTTP流量首次事务功能处于关闭状态。
应用层检测引擎默认会对所有类型的文件都进行检测,以提升IPS和防病毒等业务的检测成功率,但是当网络中传输的文件数量过多、文件过大时,会消耗大量的系统资源,降低设备处理性能。此时,管理员可通过关闭全类型文件检测功能,仅对部分类型的文件进行检测,以降低对设备处理性能的影响。
关闭全类型文件检测功能后,设备不会对音视频文件、图片文件和CODE类文件进行DPI业务检测,同时,对于HTML类文件,最多支持检测20KB的数据。
对于C文件,关闭全类型文件检测功能后,设备会检查是否存在引用数据过滤策略的安全策略规则。若存在,则对C文件进行检测;不存在,则不对C文件进行检测。
开启或关闭全类型文件检测功能对于裸包的检测没有影响,裸包检测由inspect raw-packet max-length length-value命令控制,不受全类型文件检测功能影响。
(1) 进入系统视图。
system-view
(2) 关闭全类型文件检测功能。
inspect detect all-file-type disable
缺省情况下,全类型文件检测功能处于开启状态。
应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程。当设备的CPU利用率较高时,应用层检测引擎CPU门限响应功能会启动如下机制来缓解系统资源紧张的问题。
· 当CPU利用率达到设备上配置的CPU利用率阈值时,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。
· 当设备的CPU利用率恢复到或低于设备上配置的CPU利用率恢复阈值时,系统会恢复应用层检测引擎的检测功能。
有关CPU利用率的详细配置请参见“设备管理配置指导”中的“设备管理”。
在系统CPU占用率较高的情况下,建议保持应用层检测引擎CPU门限响应功能处于开启状态;在系统CPU占用率较低的情况下,可以考虑关闭本功能。
(1) 进入系统视图。
system-view
(2) 开启应用层检测引擎CPU门限响应功能。
undo inspect cpu-threshold disable
缺省情况下,应用层检测引擎CPU门限响应功能处于开启状态。
为适应不同场景对设备性能和检测率的不同需求,应用层检测引擎支持如下几种模式供选择:
· balanced:适用于大多数场景,设备在性能和检测率之间可以达到平衡状态。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议报文的最大检测长度均为64千字节,对其他协议报文以及音频和视频类应用报文未作限制;MD5最大检测长度为2048千字节。
· large-coverage:适用于对检测率要求较高的场景,设备将提升检测率,但同时会对性能产生一定影响。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议报文的最大检测长度均为128千字节,对其他协议报文以及音频和视频类应用报文未作限制;MD5最大检测长度为5120千字节。
· high-performance:适用于对设备性能要求较高的场景,设备可在保证一定检测率的前提下,提升性能。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议报文的最大检测长度均为32千字节,对其他协议报文以及音频和视频类应用报文未作限制;MD5最大检测长度为32千字节。
· user-defined:适用于对检测率和性能有精确要求的场景。此模式下,可以自定义应用层检测引擎对报文的最大检测长度(通过inspect stream-fixed-length命令配置)。
当检测率模式发生切换时,报文的最大检测长度和MD5最大检测长度将发生如下变化,用户可以此作为参考,调整各检测长度:
· 当检测率模式由其他模式切换为自定义模式时,报文的最大检测长度和MD5最大检测长度将保持切换前模式下的取值。
· 当检测率模式由自定义模式切换到其他模式时,MD5最大检测长度将恢复到其他模式下的缺省值,报文的最大检测长度的取值与报文的类型有关,详见如下说明。
¡ 对于FTP协议、HTTP协议、SMB协议、NFS协议、QUIC协议和与E-mail相关协议报文,报文的最大检测长度将恢复到其他模式下的缺省值。
¡ 对于其他协议以及音频和视频类应用报文,如果检测率模式从自定义模式切换到balanced模式,自定义模式下配置的报文的最大检测长度的取值将被清空,即不对报文的最大检测长度进行限制;如果检测率模式从自定义模式切换到large-coverage和high-performance模式,报文的最大检测长度将保持自定义模式下的取值。
应用层检测引擎不支持对HTTP 2.0版本流量进行检测。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎检测率模式。
inspect coverage { balanced | large-coverage | high-performance | user-defined }
缺省情况下,应用层检测引擎检测率模式为平衡模式。
本功能用于限制应用层检测引擎对协议报文和音视频应用报文的最大检测长度,当引擎已检测的报文长度达到限制值时,引擎将不对后续报文进行检测。调高最大检测长度后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理,调低最大检测长度后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低。请用户根据实际情况进行配置。
本功能仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎对报文的最大检测长度。
inspect stream-fixed-length { audio-video | dns | email | ftp | http | https | imaps | nfs | pop3s | quic | rtmp | sip | smb | smtps | telnet | tftp } * length
缺省情况下,应用层检测引擎对FTP协议、HTTP协议、NFS协议、SMB协议、QUIC协议和与E-mail相关协议(包括SMTP、POP3和IMAP协议)报文最大检测长度与应用层检测引擎的检测率模式有关(通过inspect coverage命令配置),请以当前检测率模式的最大检测长度为准;,对音频和视频类应用报文以及DNS协议、HTTPS协议、IMAPS协议、POP3S协议、RTMP协议、SIP协议、SMTPS协议、Telnet协议和TFTP协议报文的检测长度不进行限制。
(3) (可选)关闭应用层检测引擎对报文的最大检测长度限制功能。
inspect stream-fixed-length disable
缺省情况下,应用层检测引擎对报文的最大检测长度限制功能处于开启状态。
当组网环境中对应用层信息识别的成功率要求较高时,可通过关闭应用层检测引擎对报文的最大检测长度限制功能,提升应用层信息识别的成功率。
本功能用于配置应用层检测引擎对每条数据流中传输文件的固定检测长度,超过长度的文件内容将不再进行检测。由于病毒特征一般都位于文件的前半部分,可配置文件的固定检测长度,对超过长度的文件内容不进行检测,从而提高设备的检测效率。
由于文件在数据流中传输,所以配置的文件固定检测长度必须小于等于数据流固定检测长度。
本功能仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
(1) 进入系统视图。
system-view
(2) 开启应用层检测引擎检测固定长度文件功能。
inspect file-fixed-length enable
缺省情况下,应用层检测引擎检测固定长度文件功能处于关闭状态。
(3) 配置应用层检测引擎检测文件的固定长度。
inspect file-fixed-length { email | ftp | http | nfs | smb } * length-value
缺省情况下,应用层检测引擎对基于FTP协议、HTTP协议、NFS协议、SMB协议和与E-mail相关协议传输的文件固定检测长度均为64千字节。
如果一条数据流中包含多个文件,则每个文件均仅检测配置的固定长度内的内容。
当设备收到压缩文件时,应用层检测引擎会对文件进行解压缩,并对解压缩后的数据进行特征匹配等处理。管理员可根据实际需求,对引擎可解压缩的文件层数和单个文件中可解压缩的数据大小进行配置。
· 可解压缩数据上限:设备解压一个文件时可解压缩数据的最大值。到达上限后,该文件的剩余数据不再进行解压,直接按照压缩文件格式进行特征匹配等处理。
· 可解压缩文件层数上限:设备最多可解压缩的文件的层数。当超过配置的层数时,设备将不对超出层数上限的文件进行解压,直接按照压缩文件格式进行特征匹配等处理。
仅支持解压缩ZIP和GZIP格式的文件。
如果配置的解压缩参数过大,当设备频繁收到过大或压缩层数较多的压缩文件时,将一直解压缩一个文件,会影响后续文件的解压缩,并消耗大量的设备内存,影响设备的转发性能,但是对文件内容的识别率会有所提升;如果配置的解压缩参数过小,可能导致压缩文件中的原始文件内容无法正确识别,从而对DPI业务(例如防病毒和数据过滤业务)的检测结果产生影响,但是会降低对设备转发性能的影响。请管理员合理配置此参数。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎可解压缩数据上限。
inspect file-uncompr-len max-size
缺省情况下,可解压缩数据上限为100MB。
(3) 配置应用层检测引擎可解压缩文件层数上限。
inspect file-uncompr-layer max-layer
缺省情况下,可解压缩文件层数上限为3。当此参数配置为0时,表示不对文件进行解压缩。
应用层检测引擎每进行一次解压缩操作都会消耗一定的设备内存。当解压缩的次数较多时,可能会消耗大量的设备内存,导致设备整机的并发性能下降。此时,可通过配置解压缩次数的上限值来控制对内存的占用。
调低上限值,可降低对内存的消耗,但应用层检测引擎的检测成功率可能会降低;调高上限值,可能会提升应用层检测引擎的检测成功率,但同时会降低设备的并发性能。请管理员根据实际需求配置此功能。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎可解压缩数据上限。
inspect uncompress maximum max-number
缺省情况下,应用层检测引擎解压缩文件的总次数上限值由设备实际内存计算得出。
应用层检测引擎在对文件进行检测时,会使用特定的存储结构记录文件名,用于展示在日志中,方便用户获取文件信息。该记录过程会占用一定的内存,且检测的文件数量越多,对内存占用就越大,可能会降低设备的并发性能。当实际组网环境中大量使用NFS协议传输文件时,管理员可通过配置本功能,限制应用层检测引擎记录的基于NFS协议传输的文件的文件名数量。
在对设备并发性能要求较高的场景下,可减少记录的文件名数量,降低对内存的消耗;在对设备并发性能要求较低的场景下,可调高此参数,增加记录的文件名数量,方便用户获取更多的文件信息。请管理员根据实际需求配置此功能。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎记录NFS协议文件名数量的上限值。
inspect record-filename nfs maximum max-number
缺省情况下,应用层检测引擎记录NFS协议文件名数量的上限值由设备实际内存计算得出。
应用层检测引擎对裸包(即未经解码的TCP/UDP的应用层载荷字段)的检测会消耗大量的设备资源、降低设备处理性能,如需在开启裸包检测功能的同时降低对设备性能影响,可通过配置本命令限制应用层检测引擎对裸包的检测长度。
配置本功能后,设备将仅对阈值范围内的裸包内容进行检测,而忽略超出该长度的部分,可提高设备的处理速度和吞吐量,但是同时也可能使得部分潜在的安全威胁无法被成功识别。请根据实际情况配置本功能。
本功能仅在开启了裸包检测功能后生效,即执行undo inspect optimization raw disable命令。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎对裸包的最大检测长度。
inspect raw-packet max-length length-value
缺省情况下,应用层检测引擎对裸包的最大检测长度为32KB。
本功能用于限制应用层检测引擎对每条HTTP流量的最大检测长度,配置本功能后,设备仅检测阈值范围内的数据内容,对超过长度的内容不再进行DPI业务检测,从而提升DPI业务处理性能。
(1) 进入系统视图。
system-view
(2) 配置每条HTTP流量的最大检测长度。
inspect http-stream max-length length-value
缺省情况下,未对每条HTTP流量的最大检测长度进行限制,整条流全检测。
应用层检测引擎在对一个数据流的第一个有载荷内容的报文进行检测时,如果没有匹配上任何检测规则,则需要继续检测此数据流的第二个有载荷内容的报文,以此类推。如果直到设备设置的最大报文检测个数还未匹配上任何检测规则,则表示对此数据流匹配失败,并直接允许此数据流通过。
通常,使用缺省配置即可满足应用需求。但是在某些对应用识别成功率要求较高的场景中,应用层检测引擎在检测有载荷内容的报文的个数达到指定的上限后,仍然不能识别当前报文应用层信息的应用或行为,此时需要调高此参数以提升应用识别的成功率。调高此参数后,设备的吞吐量性能会下降,但是应用识别的成功率会增加。
在某些对应用识别成功率要求较低且设备吞吐量较差的场景中,可调低此参数以提升设备的吞吐量,但是应用层检测引擎的应用识别成功率会降低。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎可检测有载荷内容的报文的最大数目。
inspect packet maximum max-number
缺省情况下,应用层检测引擎可检测有载荷内容的报文的最大数目为32。
应用层检测引擎中的检测规则是由各个DPI业务模块中的规则或特征转换而成。一个检测规则可以对应多个关键字,每个关键字可对应多个选项。仅当关键字和选项全部匹配,该检测规则才能匹配成功。
当应用层检测引擎在检测一条TCP/UDP数据流时,首先匹配上了一个关键字,此时还不能确定检测规则是否匹配成功,还需要对该关键字所对应的所有选项进行匹配。若当前报文不能匹配到某个选项,则需要将该选项缓存,以便后续报文与之匹配;若选项成功匹配,则不进行缓存,继续匹配下一个选项。直到所有选项均成功匹配,数据流才能与该检测规则成功匹配。
通常,使用缺省配置即可满足用户需求。但是在某些场景中,为了提高应用层检测引擎对TCP/UDP数据流应用或行为的识别能力和准确率,可将应用层检测引擎当前缓存待检测选项的最大数调高。但是调高后,每条数据流占用的内存可能会上升。同理,在设备内存使用率偏高的场景下,可以调低此参数,提高设备性能,以保证基础的数据转发正常进行。
(1) 进入系统视图。
system-view
(2) 配置应用层检测引擎缓存待检测选项的最大数目。
inspect cache-option maximum max-number
缺省情况下,应用层检测引擎缓存待检测选项的最大数目为32。
域名白名单功能依托APR特征库中内置的高可信度知名域名列表优化设备处理能力。通过跳过对这些域名下载文件的MD5规则匹配,减少不必要的计算和分析,从而节约设备资源并提升设备性能。
开启域名白名单功能后,应用层检测引擎不会对匹配域名白名单的HTTP流量和解密后的HTTPS流量进行MD5规则匹配,而特征匹配和其他DPI业务检测仍正常进行。
使用域名白名单功能前,建议先将APR特征库升级到最新版本。
对于未经解密的HTTPS流量,如果匹配域名白名单,则跳过所有DPI业务检测,从而提升处理速度和系统性能。
(1) 进入系统视图。
system-view
(2) 开启域名白名单功能。
inspect domain-whitelist enable
缺省情况下,域名白名单功能处于关闭状态。
如果网络中的流量种类单一、源端口固定,但无法通过目的端口对其进行基于端口的应用识别或无法基于流量特征进行内容识别时,可以开启本功能,对流量进行源端口识别,将源端口为固定端口的流量识别为访问特定类型应用的流量。
开启本功能后,可能会造成应用识别结果的误报,请管理员根据组网环境的实际情况配置。
(1) 进入系统视图。
system-view
(2) 开启基于源端口的应用识别功能。
inspect source-port-identify enable
缺省情况下,基于源端口的应用识别功能处于关闭状态。
当DPI业务模块(例如URL过滤)需要配合云端服务器使用,但设备无法直接连接到云端服务器,可配置一个代理服务器使设备连接到云端服务器,进行相应业务,比如防病毒云端查询、特征库在线升级等。
代理服务器可以通过IP地址或者域名的方式进行访问。如果使用域名方式,请确保设备能通过静态或动态域名解析方式获得代理服务器的IP地址,并与之路由可达。有关域名解析功能的配置请参见“网络互通配置指导”中的“域名解析”。
(1) 进入系统视图。
system-view
(2) 配置DPI业务代理服务器所使用的参数。
inspect proxy-server { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
缺省情况下,未配置DPI代理服务器所使用的参数。
如果管理员希望特征库在线升级时发送给特征库服务器的请求报文的源IP地址是一个特定的地址时,则需要配置此功能。例如,当组网环境中设备发出的报文需要经过NAT地址转换后才能访问特征库服务器时,则需要管理员通过本命令指定一个符合NAT地址转换规则的IP地址(其中,如果设备需要经过一台独立的NAT设备进行地址转换时,本命令指定的IP地址必须可以与NAT设备三层路由可达),使设备发出的报文经由NAT地址转换后访问特征库服务器。
(1) 进入系统视图。
system-view
(2) 配置特征库在线升级时发送给服务器的请求报文的源IP地址。
inspect signature auto-update source { ip | ipv6 } { ip-address | interface interface-type interface-number }
缺省情况下,特征库在线升级时发送给服务器的请求报文的源IP地址为系统根据路由表项查找到的出接口的地址。
当用户关心IPS业务所检测报文的详细信息时,可开启IPS日志记录报文详情功能。开启该功能后,设备将缓存报文的详情信息,并记录在IPS日志中,方便用户了解报文详情。例如,开启该功能后,对于HTTP报文,当响应报文中检测到攻击特征时,IPS日志中将记录其请求报文的HOST字段,以及响应报文的响应行信息,包括状态码、状态信息等。
开启IPS日志记录报文详情功能后,设备会使用内存来缓存报文中的各详情字段,可能会消耗大量的设备内存,导致设备整机的并发性能下降。此时,可通过调整内存中可缓存的IPS日志报文详情字段的存储空间上限值,来控制对内存的占用。调低上限值,可降低对内存的消耗,但日志中可能无法正常显示报文详情字段;调高上限值,可能会提升日志中显示报文详情字段的成功率,但同时会降低设备的并发性能。请管理员根据实际需求进行调整。
开启IPS日志记录报文详情功能后,会占用系统的缓存资源,建议仅在关心报文的详细信息的情况下开启。
(1) 进入系统视图。
system-view
(2) 开启IPS日志记录报文详情功能。
inspect ips log-details enable
缺省情况下,IPS日志记录报文详情功能处于关闭状态。
(3) 配置内存中可缓存的IPS日志报文详情字段的存储空间上限值。
inspect log-details max-size max-size-value
缺省情况下,内存中可缓存的IPS日志报文详情字段的存储空间上限值由设备实际内存计算得出。
当用户关心IPS业务所检测攻击特征的详细信息时,可开启IPS日志记录攻击特征详情功能。开启该功能后,设备将缓存命中的攻击特征的详情信息,并记录在IPS日志中,方便用户了解特征详情。
攻击特征详情仅在KAFKA日志中体现,关于KAFKA日志配置的详细介绍请参见“快速日志输出配置指导”中的“配置快速日志输出到Kafka服务器”。
开启IPS日志记录攻击特征详情功能后,会占用系统的内存资源,建议仅在关心攻击特征详细信息的情况下开启此功能。
(1) 进入系统视图。
system-view
(2) 开启IPS日志记录攻击特征详情功能。
inspect ips log-details signature-content enable
缺省情况下,IPS日志记录攻击特征详情功能处于关闭状态。
当组网环境中存在非对称流量时,即同一条流量的报文来回路径不一致,可能导致流量的正反向报文被送到不同的设备,这将会导致DPI业务无法正常处理,例如防病毒业务无法识别出病毒文件等。为了解决上述问题,应用层检测引擎默认会在设备间透传DPI业务流量,使同一条流量的正反向报文最终会被送到同一台设备。
但是,透传流量的过程会消耗设备资源,降低设备性能。当组网环境中对设备性能要求较高且可以接受损失一部分DPI业务检测准确性的风险时,可通过关闭应用层检测引擎透传DPI业务流量功能,降低对设备性能的影响。
(1) 进入系统视图。
system-view
(2) 关闭应用层检测引擎透传DPI业务流量功能。
undo inspect transparent enable
缺省情况下,应用层检测引擎透传DPI业务流量功能处于开启状态。
为增强网络环境中HTTPS报文的安全检测能力,特别是在涉及多域名或IP地址的复杂应用场景下,建议启用SSL SAN(Subject Alternative Name)检测功能。该功能可实现对SSL证书的全面验证,有效识别异常证书,从而防范中间人攻击等安全风险。
SSL SAN检测功能需要配合HTTPS流量过滤功能(https-filter enable)使用。启用后,设备将通过解析SSL加密报文中的SAN扩展字段,将其与用户实际请求的域名或IP地址进行比对验证,并与预设的URL过滤规则进行匹配,最终实现对加密流量的精准URL过滤控制。
SSL SAN检测功能仅在开启了HTTPS流量过滤功能后生效,即执行https-filter enable命令。有关HTTPS流量过滤功能的详细介绍,请参见“DPI深度安全配置指导”中的“URL过滤”
(1) 进入系统视图。
system-view
(2) 开启SSL SAN检测功能。
inspect ssl san-detect enable
缺省情况下,SSL SAN检测功能处于关闭状态。
应用层检测引擎对报文的检测是一个复杂且会占用一定系统资源的过程。开启应用层检测引擎功能后,如果出现系统CPU使用率过高等情况时,可通过关闭此功能来降低对设备转发性能的影响。
(1) 进入系统视图。
system-view
(2) 关闭应用层检测引擎功能。
inspect bypass
缺省情况下,应用层检测引擎功能处于开启状态。
关闭应用层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其他基于DPI功能的业务出现中断。例如,安全策略无法对应用进行访问控制等。
在如下场景中管理员可能需要关闭应用层检测引擎对指定协议报文的检测功能。
· 场景一:当组网环境中不需要对某些协议的报文进行检测时,可以关闭应用层检测引擎对该协议报文的检测,以减少对设备资源的占用,提升设备性能。
· 场景二:当应用层检测引擎对某个协议报文的检测导致设备出现异常并重启的情况时,可单独关闭引擎对该协议报文的检测功能,避免由于再次检测该协议报文导致设备反复重启的问题,同时又不影响引擎对其他协议报文的检测。
设备支持如下两种方式关闭应用层检测引擎对指定协议报文的检测功能:
· 手动关闭:此方式要求管理员已知需要关闭哪些协议报文的检测功能,适用于场景一和场景二。
· 自动关闭:此方式由设备自动判断需要关闭哪些协议报文的检测功能,适用于场景二。使用此方式后,如果应用层检测引擎对某个协议报文的检测导致设备出现异常并重启的情况时,则当系统重启后,应用层检测引擎将自动关闭对该协议报文的检测功能,跳过对此协议报文的处理。
(1) 进入系统视图。
system-view
(2) 关闭应用层检测引擎对指定协议报文的检测功能。
¡ 手工关闭应用层检测引擎对指定协议报文的检测功能。
inspect bypass protocol { dns | ftp | ftp-data | http | https | ibm-db2 | imap | mongodb-protocol | ms-sql-s | mysql-protocol | nfs | pop3 | postgresql-protocol | quic | rtmp | sip | smb | smtp | sqlnet | telnet | tftp } *
缺省情况下,应用层检测引擎对所有支持的协议都进行检测。
¡ 手工关闭应用层检测引擎对指定工控协议报文的检测功能
inspect bypass ot-protocol { all | ethernet-ip | modbus | opcua | s7 }
缺省情况下,应用层检测引擎对所有支持的工控协议都进行检测。
¡ 自动关闭应用层检测引擎对指定协议报文的检测功能。
inspect auto-bypass enable
缺省情况下,应用层检测引擎自动关闭指定协议报文的检测功能处于关闭状态。
当组网环境中不需要对某些应用进行检测时,可以关闭应用层检测引擎对该应用的检测,以减少对设备资源的占用,提升设备性能。
(1) 进入系统视图。
system-view
(2) 关闭应用层检测引擎对指定应用流量的检测功能。
inspect bypass application app-name
缺省情况下,应用层检测引擎对所有应用流量都进行检测。
在完成上述配置后,在任意视图下执行display命令可以显示配置后应用层检测引擎的运行情况。在用户视图下执行reset命令可以清除应用层检测引擎的统计信息。
表1-1 应用层检测引擎显示和维护
|
操作 |
命令 |
|
显示SMB协议断点续传表的信息 |
display inspect smb-breakpoint-resume table { ipv4 | ipv6 } |
|
显示应用层检测引擎的运行状态 |
display inspect status |
|
清除SMB协议断点续传表的信息 |
reset inspect smb-breakpoint-resume table { ipv4 | ipv6 } |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
