高级配置
本帮助主要介绍以下内容:
特性简介
高级配置中的各功能作为全局设置,提供了一种统一的管理方式,在整个系统中确保功能的一致性和协调性。通过这种配置,用户可以在不同的模块和应用之间实现无缝集成,无需重复设置各项参数。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
开启Bypass功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其他基于DPI功能的业务出现中断。例如,服务器负载均衡业务无法基于应用进行负载分担等。
执行配置激活操作会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,服务器负载均衡业务无法基于应用进行负载分担等。
高级配置中配置代理服务器功能是全局设置,将对防病毒、URL过滤和特征库升级业务中的代理服务器功能生效。防病毒业务中修改了代理服务配置,将对URL过滤和特征库升级业务中的代理服务器功能生效。同理在URL过滤或特征库升级业务进行修改,将对防病毒业务的代理服务器功能生效。
配置指南
开启Bypass
开启本功能后,将关闭应用层检测引擎,系统将不会对接收到的报文进行DPI深度安全处理(例如入侵防御等业务)。应用层检测引擎功能缺省处于开启状态,如果出现系统CPU使用率过高等情况,可通过开启本功能来保证设备的正常运行。
选择“负载均衡 > 应用安全 > 高级配置”
在Bypass区域,单击“Bypass”后的划选按钮,开启Bypass功能。
图-1 Bypass
配置激活
当DPI各业务模块(例如入侵防御等业务)的配置文件和规则被创建、修改和删除后,需要单击各个配置文件页面中的<配置激活>按钮,来使其策略和规则配置生效。为了避免重复执行该操作对DPI业务造成影响,请完成部署DPI各业务后统一在高级配置页面单击<配置激活>按钮。
选择“负载均衡 > 应用安全 > 高级配置”
在配置激活区域,单击<配置激活>按钮,开启配置激活功能。
图-2 配置激活
DPI业务支持双机热备
在双机热备双主模式下,可能出现DPI业务报文在非对称路径中无法准确处理的问题。开启本功能后,则可以解决上述问题。开启本功能会消耗一定的系统资源,请仅在需要时开启。
选择“负载均衡 > 应用安全 > 高级配置”
在DPI业务支持双击热备区域,单击“DPI业务支持双击热备”后的划选按钮,开启DPI业务支持双击热备功能。
图-3 DPI业务支持双击热备
真实源IP地址检测功能
当客户端使用代理方式访问服务器时,源IP地址将会发生改变,设备无法获取客户端的真实IP地址。开启真实源IP检测功能后,设备将从客户端请求报文的相关字段获取真正的源IP地址,避免上述问题。
真实源IP地址复用功能
开启本功能后,当一个请求报文中提取不到真实源IP地址时,设备会将上一个请求报文中提取到的结果作为本次提取结果,直到这个会话的后续请求报文携带新的真实源IP地址时再重新进行提取。关闭此功能后,当设备在一个请求报文中提取不到真实源IP地址时,则将该次提取结果记为空。
真实源IP地址提取模式
本功能用于配置设备对真实源IP地址的提取模式。当管理员可以确定当前组网环境中仅需要针对报文中的一种字段提取真实源IP地址时,可将提取模式配置为仅提取该字段。否则,可将提取模式配置为“根据优先级提取真实源IP模式”。
X-Forwarded-For only模式:表示仅在X-Forwarded-For字段中提取真实源IP地址。
Cdn-Src-IP only模式:表示仅在Cdn-Src-IP字段中提取真实源IP地址。
X-Real-IP only模式:表示仅在X-Real-IP字段中提取真实源IP地址。
TCP options only模式:表示仅在TCP option字段中提取真实源IP地址。
根据优先级提取真实源IP模式:表示按照字段的优先级提取真实源IP地址,设备会从高优先字段中提取真实源IP地址,提取成功则记录提取结果。仅当高优先级字段中提取不到真实源IP地址时,才会在低优先级的字段中进行提取。缺省情况下,未配置各字段的优先级,设备按照各字段的显示顺序进行提取,如需修改提取顺序,可单击<编辑>按钮,修改各字段的优先级。数值越大,优先级越高。
X-Forwarded-For字段参数
X-Forwarded-For字段中携带多个地址,格式为X-Forwarded-For: address1, address2,…addressN。代理服务器每成功收到一个请求,就把请求来源IP地址依次添加到右边。在不同的代理场景下,各字段取值的含义有所不同,可根据实际情况选择提取的字段位置。
设备支持将如下位置提取到的真实源IP地址记录为最终提取结果:
首个地址:表示将提取到的最左边的地址记录为最终提取结果。
最后N个地址:表示提取X-Forwarded-For字段最后多个地址,提取顺序与字段中显示的顺序一致。
TCP Options字段参数
TCP Options字段中,真实源IP地址位于一个标识的后面,只有检测到标识,设备才会继续向后检测真实源IP地址。如果没有检测到标识,则表示TCP Option字段中不存在真实源IP地址,设备会停止对TCP Options字段的检测。管理员可以根据实际情况配置如下参数:
标识检测偏移量:用于定位标识的检测起始位置。配置偏移量后,设备将从TCP Options字段起始位置开始偏移指定的字节后检测标识内容。缺省情况下,设备从TCP Options字段的起始位置开始检测标识。
标识检测深度:用于限定标识的检测结束位置。配置检测深度后,设备将在指定的字节数内检测标识。缺省情况下,设备不对检测结束位置进行限制,会一直检测到TCP Options字段的结束位置。
标识内容:表示作为标识的十六进制字符内容。从TCP Options字段提取真实源IP地址时,必须配置标识内容。
IP地址检测偏移量:表示真实源IP地址与标识的偏移量。配置偏移量后,设备将从标识的结束位置开始,在指定的字节数后提取真实源IP地址。
配置步骤
真实源IP地址检测功能配置步骤如下:
选择“负载均衡 > 应用安全 > 高级配置”
在真实源IP地址检测功能区域,单击“真实源IP地址检测功能”后的划选按钮,开启真实源IP地址检测功能功能。
图-4 真实源IP地址检测功能
单击“真实源IP地址复用功能”后的划选按钮,开启真实源IP地址复用功能。
图-5 真实源IP地址复用功能
在“真实源IP地址提取模式”配置页面,配置提取模式、字段优先级等,具体配置内容如下:
图-6 真实源IP地址提取模式
表-1 真实源IP地址提取模式参数
参数
说明
X-Forwarded-For字段
设备支持将如下位置提取到的真实源IP地址记录为最终提取结果:
表示提取到的真实源IP地址记录结果,支持如下提取结果:
首个地址:表示将提取到的最左边的地址记录为最终提取结果。
最后N个地址:表示提取X-Forwarded-For字段最后多个地址,提取顺序与字段中显示的顺序一致。
标识检测偏移量
用于定位标识的检测起始位置。配置偏移量后,设备将从TCP Options字段起始位置开始偏移指定的字节后检测标识内容
标识检测深度
用于限定标识的检测结束位置。配置检测深度后,设备将在指定的字节数内检测标识
标识内容
表示作为标识的十六进制字符内容
IP地址检测偏移量
表示真实源IP地址与标识的偏移量。配置偏移量后,设备将从标识的结束位置开始,在指定的字节数后提取真实源IP地址
优先级
表示按照字段的优先级提取真实源IP地址,取值范围为1~100。数值越大,优先级越高
单击<应用>按钮,使配置生效。
设置解压缩参数
本功能可配置应用层检测引擎解压缩文件时的最大可解压数据大小以及最大可解压层数,可通过调整解压缩参数提升引擎的检测效率。
最大可解压数据大小:设备解压一个文件时可解压缩数据的最大值。到达上限后,该文件的剩余数据不再进行解压。
最大可解压层数:当需要检测的内容存在多层压缩的文件时,可配置本参数设置可解压缩文件的层数。当超过配置的可解压缩文件的层数时,设备将不对超出层数上限的文件进行解压缩,直接按照压缩文件格式进行特征匹配等处理。到达上限后,设备将不对超出层数的文件进行解压缩。
配置步骤
选择“负载均衡 > 应用安全 > 高级配置”
在设置解压缩参数功能区域,配置最大可解压数据大小和最大可解压层数参数。
图-7 设置解压缩参数
单击<应用>按钮,使配置生效。
显示报文详情
开启本功能后,设备将在威胁日志(威胁类型为入侵防御)和Web应用防护日志中展示报文的更多详情信息。例如,HTTP请求报文中支持展示请求头和请求体等,方便用户对报文进行分析。
选择“负载均衡 > 应用安全 > 高级配置”
在显示报文详情功能区域,单击“显示Web应用防护业务报文详情”后的划选按钮,开启显示Web应用防护业务报文详情功能。
图-8 显示Web应用防护业务报文详情
单击“显示入侵防御业务报文详情”后的划选按钮,开启显示入侵防御业务报文详情功能。
图-9 显示入侵防御业务报文详情
配置代理服务器
当设备不能直接访问特征库服务专区或云端服务器,可以配置代理服务器。当前该配置支持特征库在线升级、URL过滤业务以及防病毒业务使用HTTPS协议进行云端查询。
选择“负载均衡 > 应用安全 > 高级配置”
在配置代理服务器功能区域,配置代理服务器的地址、端口和登录代理服务器使用的用户名及密码。
图-10 配置代理服务器
单击<应用>按钮,使配置生效。