检测在线代理网站

i目录1应用层检测引擎·1-11.
1应用层检测引擎简介·1-11.
1.
1应用层检测引擎产生背景·1-11.
1.
2应用层检测引擎简介·1-11.
1.
3检测规则·1-21.
1.
4应用层检测引擎工作机制·1-31.
2应用层检测引擎配置任务简介·1-41.
3配置DPI应用Profile1-41.
4激活DPI各业务模块的策略和规则配置1-51.
5配置应用层检测引擎动作参数·1-51.
5.
1配置源阻断动作参数·1-51.
5.
2配置捕获动作参数·1-61.
5.
3配置日志动作参数·1-61.
5.
4配置重定向动作参数·1-71.
5.
5配置邮件动作参数·1-71.
6优化应用层检测引擎性能·1-81.
7开启应用层检测引擎CPU门限响应功能1-81.
8配置应用层检测引擎检测固定长度数据流功能·1-91.
9配置DPI业务特征库在线升级所使用的代理服务器·1-91.
10关闭应用层检测引擎功能1-101.
11应用层检测引擎显示维护1-101-11应用层检测引擎MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/MSR810-W-LM-HK/810-LMS/810-LUS/2600-10-X1/2630/3610/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/3620/3620-DP/3640/3660/3600-28/3600-51/3600-28-SI/3600-51-SI路由器使用集中式命令行,MSR5620/5660/5680路由器使用分布式命令行.
设备各款型对于本节所描述的特性的支持情况有所不同,详细差异信息如下:型号特性描述MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/810-W-LM-HK/810-LMS/810-LUS应用层检测引擎仅MSR810-LMS/810-LUS不支持MSR2600-10-X1支持MSR2630支持MSR3600-28/3600-51支持MSR3600-28-SI/3600-51-SI不支持MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC支持MSR3610/3620/3620-DP/3640/3660支持MSR5620/5660/5680支持1.
1应用层检测引擎简介1.
1.
1应用层检测引擎产生背景在当前日益复杂和严峻的网络安全威胁中,需要将IPS(IntrusionPreventionSystem,入侵防御系统)和URL过滤等DPI(DeepPacketInspection,深度报文检测)业务集成在一台设备上,且这些业务都需要对报文的应用层信息进行识别,以最终识别出此应用层信息的应用或行为.
为了避免因DPI业务模块各自进行应用层信息识别,而导致设备性能大幅下降,需要一个公共的检测模块来实现对应用层信息的统一识别,设备会把识别结果反馈给各DPI业务模块,各模块再根据自己的策略完成对报文的后续业务处理,这样设备就能对报文实现一次检测,多次处理的效果.
应用层检测引擎就是实现这个公共检测功能的模块.
1.
1.
2应用层检测引擎简介应用层检测引擎是DPI业务的应用层信息检测模块,提供以下三个基本功能:1-2协议解析:识别并分析报文应用层字段,区分应用层协议,并对部分字段进行正规化和解压缩.
关键字匹配:根据检测规则对报文载荷内容进行关键字匹配,是应用层检测引擎的核心,且匹配速度快.
选项匹配:关键字匹配成功后,对其所属检测规则中的选项做进一步匹配.
该过程与关键字匹配相比,匹配速度比较缓慢.
1.
1.
3检测规则1.
检测规则应用层检测引擎使用检测规则对报文进行匹配,检测规则由各DPI业务的规则或特征转换而成,包含关键字和选项两种匹配项.
关键字:标识报文特征的不少于3个字节的字符串,也称作"AC关键字".
选项:检测规则中非关键字之外的匹配项,例如报文的端口号、协议类型等.

检测规则中可以包含关键字和选项,也可以不包含关键字.
如果检测规则中包含关键字和选项,则两者都被匹配上才算是与该检测规则匹配成功.
1-31.
1.
4应用层检测引擎工作机制图1-1应用层检测引擎工作机制示意图开始检测规则包含关键字是否丢弃否是允许通过DPI业务处理否协议解析匹配对象策略规则对象策略规则中的动作为inspect匹配关键字匹配选项是是是执行对象策略规则中的动作否否应用层检测引擎处理结束如图1-1所示,应用层检测引擎的具体工作机制如下:(1)设备收到报文后,首先对报文进行对象策略规则匹配,如果对象策略规则匹配成功,且对象策略规则的动作是inspect,则此报文进入应用层检测引擎处理;如果对象策略规则的动作不1-4是inspect,则根据对象策略规则中的动作对此报文进行处理.
如果报文与对象策略规则匹配失败,则直接丢弃此报文.
有关对象策略规则的详细介绍请参见"安全配置指导"中的"对象策略".
(2)报文进入应用层检测引擎后,应用层检测引擎首先对报文进行协议解析,即识别报文的应用层协议和对此报文进行分析,根据分析结果查找相应的检测规则.
(3)应用层检测引擎判断检测规则中是否包含关键字,如果包含关键字,则进行关键字匹配,否则直接进行选项匹配.
(4)如果报文匹配上关键字,则继续进行选项匹配(该选项是匹配上的关键字所属检测规则中的选项),否则直接允许报文通过.
(5)如果报文与选项匹配成功,则表示此报文与该检测规则匹配成功.
之后,应用层检测引擎通知相应的DPI业务模块对此报文做进一步的处理;如果报文与选项匹配失败,则直接允许报文通过.
1.
2应用层检测引擎配置任务简介表1-1应用层检测引擎配置任务简介配置任务说明详细配置配置DPI应用Profile必选1.
3激活DPI各业务模块的策略和规则配置必选1.
4配置应用层检测引擎动作参数可选1.
5优化应用层检测引擎性能可选1.
6开启应用层检测引擎CPU门限响应功能可选1.
7配置应用层检测引擎检测固定长度数据流功能可选1.
8配置DPI业务特征库在线升级所使用的代理服务器可选1.
9关闭应用层检测引擎功能可选1.
101.
3配置DPI应用ProfileDPI应用profile是一个DPI业务的配置模板,用于关联各DPI业务的策略(例如IPS策略、URL过滤策略).
当DPI应用profile被应用于对象策略之后,应用层检测引擎和DPI业务将会对引用该对象策略的安全域间实例上的报文进行检测和控制.
表1-2配置DPI应用Profile操作命令说明进入系统视图system-view-创建DPI应用profile视图,并进入DPI应用profile视图app-profileprofile-name缺省情况下,不存在DPI应用profile1-5操作命令说明在DPI应用profile中引用IPS策略ipsapplypolicypolicy-namemode{protect|alert}关于该命令的详细介绍请参见"DPI深度安全命令参考"中的"IPS"在DPI应用profile中引用URL过滤策略url-filterapplypolicypolicy-name关于该命令的详细介绍请参见"DPI深度安全命令参考"中的"URL过滤"1.
4激活DPI各业务模块的策略和规则配置当DPI各业务模块(比如IPS和URL过滤等特性)的策略和规则被创建、修改和删除后,需要执行inspectactivate命令来使其策略和规则配置生效.
当DPI各业务模块的策略和规则被创建、修改和删除且保存配置的情况下,设备重启之后,其相关的所有策略和规则配置也会生效.
执行inspectactivate命令会暂时中断DPI业务的处理,为了避免重复执行此命令对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一执行此命令.
表1-3激活DPI各业务模块的策略和规则配置操作命令说明进入系统视图system-view-激活DPI各业务模块的策略和规则配置inspectactivate缺省情况下,DPI各业务模块的策略和规则被创建、修改和删除时不生效1.
5配置应用层检测引擎动作参数1.
5.
1配置源阻断动作参数源阻断动作参数profile用来为DPI业务模块的源阻断动作提供动作参数,在此profile中可以配置报文被阻断的时长.
如果设备上同时开启了黑名单功能,则报文的源IP地址被添加到IP黑名单后的老化时间为源阻断动作参数profile中配置的阻断时长.
报文的源IP地址被加入IP黑名单后,阻断时长之内,后续来自该源IP地址的报文将被丢弃.
如果设备上未开启黑名单功能,报文会被阻断,且报文的源IP地址会被添加到IP黑名单.
但IP黑名单功能并未生效,实现IP黑名单功能需要执行blacklistenable或blacklistglobalenable命令,有关此命令的详细介绍请参见"安全命令参考"中的"攻击检测与防范".
表1-4配置源阻断动作参数操作命令说明进入系统视图system-view-创建应用层检测引擎的源阻断动作参数profile,并进入该源阻断动作参数profile视图inspectblock-sourceparameter-profileparameter-name缺省情况下,不存在应用层检测引擎的源阻断动作参数profile1-6操作命令说明配置报文源IP地址被阻断的时长block-periodperiod缺省情况下,报文源IP地址被阻断的时长为1800秒1.
5.
2配置捕获动作参数捕获动作参数profile用来为DPI业务模块的捕获动作提供动作参数,在此profile中可以配置捕获报文的最大字节数、捕获报文的上传时间和URL地址参数.
捕获到的报文将被缓存到设备本地,当缓存的报文字节数达到指定上限值时,系统会将缓存的报文上传到指定的URL上,并清空本地缓存,然后重新开始捕获报文.
每天指定的上传时间到达时,无论本地缓存是否达到最大值,系统都向指定的URL上传缓存的捕获报文.
表1-5配置捕获动作参数操作命令说明进入系统视图system-view-创建应用层检测引擎的捕获动作参数profile视图,并进入该捕获动作参数profile视图inspectcaptureparameter-profileparameter-name缺省情况下,不存在应用层检测引擎的捕获动作参数profile配置捕获报文的最大字节数capture-limitkilobytes缺省情况下,捕获报文的最大字节数为512千字节配置每天定时上传捕获报文的时间exportrepeating-attime缺省情况下,每天凌晨1点定时上传捕获报文配置上传捕获报文的URL地址exporturlurl-string缺省情况下,未配置上传捕获报文的URL地址1.
5.
3配置日志动作参数日志动作参数profile用来为DPI业务模块的日志动作提供动作参数,此profile中可以配置日志的输出方式.
表1-6配置日志动作参数操作命令说明进入系统视图system-view-创建应用层检测引擎的日志动作参数profile视图,并进入该日志动作参数profile视图inspectloggingparameter-profileparameter-name缺省情况下,不存在应用层检测引擎的日志动作参数profile配置记录报文日志的方式log{email|syslog}缺省情况下,报文日志被输出到信息中心1-71.
5.
4配置重定向动作参数重定向动作参数profile用来为DPI业务模块的重定向动作提供动作参数,在此profile中可以配置重定向报文的URL.
表1-7配置重定向动作参数操作命令说明进入系统视图system-view-创建应用层检测引擎的重定向动作参数profile,并进入重定向动作参数profile视图inspectredirectparameter-profileparameter-name缺省情况下,不存在应用层检测引擎的重定向动作参数profile配置重定向URLredirect-urlurl-string缺省情况下,不存在重定向URL1.
5.
5配置邮件动作参数邮件动作参数profile用来为DPI业务模块的邮件动作提供动作参数,在此profile中可以配置邮件服务器地址、收件人与发件人地址和登录邮件服务器的用户名和密码等.
目前此功能仅对IPS特性生效.
表1-8配置邮件动作参数操作命令说明进入系统视图system-view-创建应用层检测引擎的邮件动作参数profile视图,并进入邮件动作参数profile视图inspectemailparameter-profileparameter-name缺省情况下,不存在应用层检测引擎的邮件动作参数profile配置邮件服务器的地址email-serveraddr-string缺省情况下,不存在邮件服务器的地址配置域名解析服务器的地址dns-serverip-address缺省情况下,不存在域名解析服务器的地址配置发件人地址senderaddr-string缺省情况下,不存在发件人地址配置收件人地址receiveraddr-string缺省情况下,不存在收件人地址开启发送邮件的认证功能authenticationenable缺省情况下,发送邮件的认证功能处于开启状态.
开启安全传输登录邮件服务器密码功能secure-authenticationenable缺省情况下,安全传输登录邮件服务器密码功能处于关闭状态配置登录邮件服务器的用户名usernamename-string缺省情况下,不存在登录邮件服务器的用户名配置登录邮件服务器的密码password{cipher|simple}string缺省情况下,不存在登录邮件服务器的密码1-81.
6优化应用层检测引擎性能对经过压缩或编码等处理后的报文应用层信息进行识别时,需要应用层检测引擎先对此类报文进行解压缩或解码等相应处理后才能识别.
应用层检测引擎的性能优化功能都开启或参数调高后,其对报文应用层信息的识别能力和准确率都会有所提高,但是也会消耗一定的系统资源.
管理员可以根据具体的应用场景定制对报文最优的检测性能.
表1-9优化应用层检测引擎性能操作命令说明进入系统视图system-view-配置应用层检测引擎可检测有载荷内容的报文的最大数目inspectpacketmaximummax-number缺省情况下,应用层检测引擎可检测有载荷内容的报文的最大数目为32配置应用层检测引擎缓存待检测选项的最大数目inspectcache-optionmaximummax-number缺省情况下,应用层检测引擎缓存待检测选项的最大数目为32开启TCP数据段重组功能inspecttcp-reassembleenable缺省情况下,TCP数据段重组功能处于关闭状态配置TCP数据段重组缓存区可缓存的TCP数据段最大数目inspecttcp-reassemblemax-segmentmax-number缺省情况下,TCP数据段重组缓冲区可缓存的TCP数据段最大数目为10关闭指定的应用层检测引擎的优化调试功能inspectoptimization[chunk|no-acsignature|raw|uncompress|url-normalization]disable缺省情况下,应用层检测引擎的所有优化调试功能均处于开启状态1.
7开启应用层检测引擎CPU门限响应功能应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程.
当设备的CPU利用率低于配置的CPU利用率阈值或恢复到CPU利用率恢复阈值时,系统对整条数据流的内容进行检测.
当CPU利用率达到设备上配置的CPU利用率阈值时,系统触发CPU门限响应功能,系统会根据如下情况对数据流做出不同的处理:若固定长度数据流检测功能处于关闭状态,则系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行.
若固定长度数据流检测功能处于开启状态,则应用层检测引擎只对一条数据流首包后固定长度内的数据进行检测,超出固定长度后的的数据不再进行检测.
若应用层检测引擎CPU门限响应功能处于关闭状态,则系统仍然对整条数据流的内容进行检测.
在系统CPU占用率较高的情况下,不建议用户关闭此功能.
表1-10开启应用层检测引擎CPU门限响应功能操作命令说明进入系统视图system-view-1-9操作命令说明开启应用层检测引擎CPU门限响应功能undoinspectcpu-thresholddisable缺省情况下,应用层检测引擎CPU门限响应功能处于开启状态1.
8配置应用层检测引擎检测固定长度数据流功能应用层检测引擎检测固定长度数据流功能,是指当设备的CPU利用率达到设备上配置的CPU利用率阈值时,应用层检测引擎只检测每条数据流首包后固定长度内的数据,不再检测超出固定长度后的数据.
当设备的CPU利用率恢复到设备上配置的CPU利用率恢复阈值时,系统会对整条数据流的内容进行检测.
有关CPU利用率的详细配置请参见"基础配置指导"中的"设备管理".
开启应用层检测引擎CPU门限响应功能,此功能才会生效.
当设备的CPU利用率较高的情况下,建议关闭此功能,此时应用层检测引擎CPU门限响应功能开启的情况下,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行.

表1-11配置应用层检测引擎检测固定长度数据流功能操作命令说明进入系统视图system-view-开启应用层检测引擎检测固定长度数据流功能undoinspectstream-fixed-lengthdisable缺省情况下,应用层检测引擎检测固定长度数据流功能处于开启状态配置应用层检测引擎检测数据流的固定长度inspectstream-fixed-length{emailIftp|http}*length缺省情况下,应用层检测引擎对FTP协议、HTTP协议和与E-mail相关协议数据流的固定检测长度均为32千字节调高此参数后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理调低参数后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低.
1.
9配置DPI业务特征库在线升级所使用的代理服务器当DPI业务模块(例如IPS和URL过滤)的特征库进行在线升级时,若设备不能连接到H3C官方网站,则可配置一个代理服务器使设备连接到H3C官方网站上的特征库服务专区,进行特性库在线升级.
有关特征库在线升级功能的详细介绍,请参见各DPI业务配置指导手册中的"特征库升级与回滚".
代理服务器可以通过IP地址或者域名的方式进行访问.
如果使用域名方式,请确保设备能通过静态或动态域名解析方式获得代理服务器的IP地址,并与之路由可达.
有关域名解析功能的配置请参见"三层技术-IP业务配置指导"中的"域名解析".
表1-12配置DPI业务特征库在线升级所使用的代理服务器操作命令说明进入系统视图system-view-1-10操作命令说明配置DPI业务特征库在线升级所使用的代理服务器inspectsignatureauto-updateproxy{domaindomain-name|ipip-address}[portport-number][useruser-namepassword{cipher|simple}string]缺省情况下,未配置DPI业务特征库在线升级所使用的代理服务器1.
10关闭应用层检测引擎功能应用层检测引擎对报文的检测是一个复杂且会占用一定系统资源的过程.
开启应用层检测引擎功能后,如果出现系统CPU使用率过高等情况时,可通过关闭此功能来降低对设备转发性能的影响.