01-应用层检测引擎命令
本章节下载: 01-应用层检测引擎命令 (302.91 KB)
目 录
1.1.6 inspect cache-option maximum
1.1.8 inspect cpu-threshold disable
1.1.9 inspect dual-active enable
1.1.10 inspect file-fixed-length
1.1.11 inspect file-fixed-length enable
1.1.12 inspect md5-fixed-length
1.1.13 inspect md5-fixed-length enable
1.1.14 inspect optimization disable
1.1.16 inspect signature auto-update proxy
1.1.17 inspect source-port-identify enable
1.1.18 inspect stream-fixed-length
1.1.19 inspect stream-fixed-length disable
1.1.20 inspect tcp-reassemble enable
1.1.21 inspect tcp-reassemble max-segment
display inspect status命令用来显示应用层检测引擎的工作状态。
【命令】
display inspect status
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示应用层检测引擎的运行状态。
<Sysname> display inspect status
Chassis 0 Slot 1:
Running status: normal
表1-1 display inspect status命令显示信息描述表
|
字段 |
描述 |
|
Running status |
应用层检测引擎的运行状态,包括如下取值: · bypass by configure:因为配置原因引擎无法处理报文 · bypass by cpu busy:因为CPU使用率过高导致引擎无法处理报文 · normal:引擎工作正常 |
|
Usage threshold has already been reached for the following CPU cores: xxx |
CPU核XXX已超过利用率阈值门限,应用层检测引擎不再使用该CPU核处理业务 仅当出现CPU核超过利用率阈值门限的情况下才会显示此信息 |
inspect activate命令用来激活NBAR业务模块规则的配置。
【命令】
inspect activate
【缺省情况】
NBAR业务模块的规则被创建、修改和删除时不生效。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
执行此命令会暂时中断DPI业务的处理,可能导致其他基于DPI功能的业务同时出现中断。例如,安全策略无法对应用进行访问控制等。
当NBAR业务模块的规则被创建、修改和删除后,需要执行inspect activate命令来使其配置生效。
当NBAR业务模块的规则被创建、修改和删除且保存配置的情况下,设备重启之后,其相关的所有配置也会生效。
执行此命令会暂时中断基于NBAR业务的其他业务的处理,为了避免重复执行此命令对其他业务造成影响,请完成所有NBAR业务模块的配置后统一执行此命令。
【举例】
# 激活NBAR业务模块的配置。
<Sysname> system-view
[Sysname] inspect activate
inspect auto-bypass enable命令用来开启应用层检测引擎自动关闭对指定协议报文的检测功能。
undo inspect auto-bypass enable命令用来关闭应用层检测引擎自动关闭对指定协议报文的检测功能。
【命令】
inspect auto-bypass enable
undo inspect auto-bypass enable
【缺省情况】
应用层检测引擎自动关闭指定协议报文的检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,如果应用层检测引擎对某个协议报文的检测导致设备出现异常并重启的情况时,则当系统重启后,应用层检测引擎将自动关闭对该协议报文的检测功能,跳过对此协议报文的处理。
【举例】
# 开启应用层检测引擎自动关闭对指定协议报文的检测功能。
<Sysname> system-view
[Sysname] inspect auto-bypass enable
This feature might cause some functions of the DPI engine to be unavailable. Continue? [Y/N]:y
inspect bypass命令用来关闭应用层检测引擎功能。
undo inspect bypass命令用来开启应用层检测引擎功能。
【命令】
inspect bypass
undo inspect bypass
【缺省情况】
应用层检测引擎功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
关闭应用层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。可能导致其他基于DPI功能的业务出现中断。例如,安全策略无法对应用进行访问控制、七层负载均衡业务无法基于应用进行负载分担等。
应用层检测引擎对报文的检测是一个复杂且会占用一定的系统资源的过程。开启应用层检测功能后,如果出现CPU使用率过高等情况时,可以通过关闭此功能来保证设备的正常运行。
【举例】
# 关闭应用层检测引擎功能。
<Sysname> system-view
[Sysname] inspect bypass
【相关命令】
· display inspect status
inspect bypass protocol命令用来手工关闭应用层检测引擎对指定协议报文的检测功能。
undo inspect bypass protocol命令用来手工开启应用层检测引擎对指定协议报文的检测功能。
【命令】
inspect bypass protocol { dns | ftp | ftp-data | http | https | imap | nfs | pop3 | rtmp | sip | smb | smtp | telnet | tftp } *
undo inspect bypass protocol [ dns | ftp | ftp-data | http | https | imap | nfs | pop3 | rtmp | sip | smb | smtp | telnet | tftp ] *
【缺省情况】
应用层检测引擎关闭了对RTMP、SIP、TFTP协议报文的检测。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dns:表示关闭应用层检测引擎对DNS协议报文的检测功能。
ftp:表示关闭应用层检测引擎对FTP协议报文的检测功能。
ftp-data:表示关闭应用层检测引擎对FTP-DATA协议报文的检测功能。
http:表示关闭应用层检测引擎对HTTP协议报文的检测功能。
https:表示关闭应用层检测引擎对HTTPS协议报文的检测功能。
imap:表示关闭应用层检测引擎对IMAP协议报文的检测功能。
nfs:表示关闭应用层检测引擎对NFS协议报文的检测功能。
pop3:表示关闭应用层检测引擎对POP3协议报文的检测功能。
rtmp:表示关闭应用层检测引擎对RTMP协议报文的检测功能。
sip:表示关闭应用层检测引擎对SIP协议报文的检测功能。
smb:表示关闭应用层检测引擎对SMB协议报文的检测功能。
smtp:表示关闭应用层检测引擎对SMTP协议报文的检测功能。
telnet:表示关闭应用层检测引擎对TELNET协议报文的检测功能。
tftp:表示关闭应用层检测引擎对TFTP协议报文的检测功能。
【使用指导】
执行undo inspect bypass protocol命令时,如果不指定任何参数,则表示开启应用层检测引擎对所有协议报文的检测功能。
建议在如下场景中配置本命令关闭应用层检测引擎对指定协议报文的检测功能:
· 当组网环境中不需要对某些协议的报文进行检测时,可以关闭应用层检测引擎对该协议报文的检测,以减少对设备资源的占用,提升设备性能。
· 当应用层检测引擎对某个协议报文的检测导致设备出现异常并重启的情况时,可单独关闭引擎对该协议报文的检测功能,规避由检测该协议报文带来的问题,同时又不影响引擎对其他协议报文的检测。
【举例】
# 手工关闭应用层检测引擎对HTTP协议报文的检测功能。
<Sysname> system-view
[Sysname] inspect bypass protocol http
This feature might cause the DPI engine to be unavailable for the specified protocol. Continue? [Y/N]:y
【相关命令】
· display inspect status
inspect cache-option maximum命令用来配置应用层检测引擎缓存待检测规则的选项的最大数目。
undo cache-option命令用来恢复缺省情况。
【命令】
inspect cache-option maximum max-number
undo inspect cache-option
【缺省情况】
应用层检测引擎缓存待检测规则的选项的最大数目为32。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-number:指定应用层检测引擎在检测报文时,对每条TCP/UDP流缓存待检测规则的选项的最大数目,取值范围为1~254。
【使用指导】
应用层检测引擎中的检测规则是由各个DPI业务模块中的规则或特征转换而成。一个检测规则可以对应多个关键字,每个关键字可对应多个选项。仅当关键字和选项全部匹配,该检测规则才能匹配成功。
当应用层检测引擎在检测一条TCP/UDP数据流时,首先匹配上了一个关键字,此时还不能确定检测规则是否匹配成功,还需要对该关键字所对应的所有选项进行匹配。若当前报文不能匹配到某个选项,则需要将该选项缓存,以便后续报文与之匹配;若选项成功匹配,则不进行缓存,继续匹配下一个选项。直到所有选项均成功匹配,数据流才能与该检测规则成功匹配。
通常,使用缺省配置即可满足用户需求。但是在某些场景中,为了提高应用层检测引擎对TCP/UDP数据流应用或行为的识别能力和准确率,需要将应用层检测引擎当前缓存待检测选项的最大数调高,调高后,每条数据流占用的内存可能会上升。同理某些场景下,设备内存使用率偏高,可以调低此参数,提高设备性能,以保证基础的数据转发正常进行。
【举例】
# 配置应用层检测引擎缓存待检测规则的选项的最大数目为4。
<Sysname> system-view
[Sysname] inspect cache-option maximum 4
inspect coverage命令用来配置应用层检测引擎检测率模式。
undo inspect coverage命令用来恢复缺省情况。
【命令】
inspect coverage { balanced | large-coverage | high-performance | user-defined }
undo inspect coverage
【缺省情况】
应用层检测引擎检测率模式为平衡模式。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
balanced:表示平衡模式。该模式下,设备会在性能和检测率之间进行调整,以达到平衡状态。
large-coverage:表示高检测率模式。该模式下,设备会适当的牺牲性能,以达到最佳的引擎检测率。
high-performance:表示最佳性能模式。该模式下,设备会适当降低引擎检测率,以保证最佳性能。
user-defined:表示自定义模式。该模式下,用户可以根据需求调整应用层检测引擎的检测长度。
【使用指导】
为了适应不同场景下对设备性能和检测率的不同需求,应用层检测引擎支持如下几种选项供选择:
· balanced:适用于大多数场景,设备在性能和检测率之间可以达到平衡状态。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议数据流的最大检测长度均为64千字节;MD5最大检测长度为2048千字节。
· large-coverage:适用于对检测率要求较高的场景,设备将提升检测率,但同时会对性能产生一定影响。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议数据流的最大检测长度均为128千字节;MD5最大检测长度为5120千字节。
· high-performance:适用于对设备性能要求较高的场景,设备可在保证一定检测率的前提下,提升性能。此模式下,应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议数据流的最大检测长度均为32千字节;MD5最大检测长度为32千字节。
· user-defined:适用于对检测率和性能有精确要求的场景。此模式下,可以自定义应用层检测引擎对各协议数据流的最大检测长度(通过inspect stream-fixed-length命令配置)和MD5最大检测长度(通过inspect md5-fixed-length命令配置)。
【举例】
# 配置应用层检测引擎检测率模式为自定义模式。
<Sysname> system-view
[Sysname] inspect coverage user-defined
【相关命令】
· inspect stream-fixed-length enable
· inspect file-fixed-length enable
inspect cpu-threshold disable命令用来关闭CPU门限响应功能。
undo inspect cpu-threshold disable命令用来开启CPU门限响应功能。
【命令】
inspect cpu-threshold disable
undo inspect cpu-threshold disable
【缺省情况】
CPU门限响应功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
应用层检测引擎对报文的检测是一个比较复杂且会占用一定系统资源的过程。当设备的CPU利用率较高时,应用层检测引擎CPU门限响应功能会启动如下机制来缓解系统资源紧张的问题。
· 当CPU利用率达到设备上配置的CPU利用率阈值时,系统会自动关闭应用层检测引擎的检测功能来保证设备的正常运行。
· 当设备的CPU利用率恢复到或低于设备上配置的CPU利用率恢复阈值时,系统会恢复应用层检测引擎的检测功能。
在系统CPU占用率较高的情况下,不建议用户配置此命令。
【举例】
# 关闭CPU门限响应功能。
<Sysname> system-view
[Sysname] inspect cpu-threshold disable
【相关命令】
· display inspect status
· inspect bypass
· inspect stream-fixed-length disable
inspect dual-active enable命令用来开启DPI业务支持HA双主模式功能。
undo inspect dual-active enable命令用来关闭DPI业务支持HA双主模式功能。
【命令】
inspect dual-active enable
undo inspect dual-active enable
【缺省情况】
DPI业务支持HA双主模式功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在双主模式下,开启本功能可以保证在报文来回路径不一致的网络环境中正常处理DPI业务。
本功能仅在设备处于HA双主模式下生效。
有关HA双主模式的详细介绍,请参见“高可靠性配置指导”中的“高可靠性”。
【举例】
# 开启DPI业务支持HA双主模式功能。
<Sysname> system-view
[Sysname] inspect dual-active enable
【相关命令】
· backup-mode dual-active(高可靠性命令参考/高可靠性)
inspect file-fixed-length命令用来配置应用层检测引擎检测文件的固定长度。
undo inspect file-fixed-length命令用来恢复缺省情况。
【命令】
inspect file-fixed-length { email | ftp | http | nfs | smb } * length-value
undo inspect file-fixed-length
【缺省情况】
应用层检测引擎对基于FTP协议、HTTP协议、NSF协议、SMB协议和与E-mail相关协议传输的文件固定检测长度均为64千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
email:表示配置基于E-mail相关协议传输的文件的固定检测长度,支持的E-mail协议包括SMTP、POP3和IMAP。
ftp:表示配置基于FTP协议传输的文件的固定检测长度。
http:表示配置基于HTTP协议传输的文件的固定检测长度。
nfs:表示配置基于NFS协议传输的文件的固定检测长度。
smb:表示配置基于SMB协议传输的文件的固定检测长度。
length-value:文件的固定检测长度,取值范围为1~2048,单位为KB。
【使用指导】
本命令仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
由于病毒特征一般都位于文件的前半部分,可配置文件的固定检测长度,对超过长度的文件内容不再进行检测,从而提高设备的检测效率。
如果一条数据流中包含多个文件,则每个文件均仅检测配置的固定长度内的内容。
由于文件在数据流中传输,所以配置的文件固定检测长度必须小于等于数据流固定检测长度(通过inspect stream-fixed-length命令配置)。
【举例】
# 配置应用层检测引擎检测基于HTTP协议传输的文件的固定检测长度为128KB。
<Sysname> system-view
[Sysname] inspect file-fixed-length http 128
【相关命令】
· inspect coverage user-defined
· inspect file-fixed-length enable
· inspect stream-fixed-length
inspect file-fixed-length enable命令用来开启应用层检测引擎检测固定长度文件功能。
undo inspect file-fixed-length enable命令用来关闭应用层检测引擎检测固定长度文件功能。
【命令】
inspect file-fixed-length enable
undo inspect file-fixed-length enable
【缺省情况】
应用层检测引擎检测固定长度文件功能处于关闭状态,不对文件检测长度进行限制。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于限制应用层检测引擎只检测每条数据流中固定长度内的文件内容,超出固定长度后的文件内容不再检测。
开启本功能后,会导致超过出固定长度的文件内容无法识别,可能会对数据过滤等业务产生影响。
【举例】
# 开启应用层检测引擎检测固定长度文件功能。
<Sysname> system-view
[Sysname] inspect file-fixed-length enable
【相关命令】
· inspect coverage user-defined
· inspect file-fixed-length
inspect md5-fixed-length命令用来配置应用层检测引擎MD5固定检测长度。
undo inspect md5-fixed-length命令用来恢复缺省情况。
【命令】
inspect md5-fixed-length { email | ftp | http | nfs | smb } * length
undo inspect md5-fixed-length
【缺省情况】
应用层检测引擎对FTP协议、HTTP协议、SMB协议、NFS协议和与E-mail相关协议数据流中文件的MD5固定检测长度均为2048千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
email:表示E-mail相关协议,支持的E-mail协议包括SMTP、POP3和IMAP。
ftp:表示FTP协议。
http:表示HTTP协议。
nfs:表示NFS协议。
smb:表示SMB协议。
length:表示指定协议类型的数据流中文件MD5最大检测长度。取值范围为1~5120,单位为千字节。MD5固定检测长度必须大于数据流的固定检测长度。
【使用指导】
本命令仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
对于一些DPI业务(例如防病毒),应用层检测引擎对报文的特征检测和MD5检测是同时进行的,当引擎检测的报文长度达到固定数据流检测长度后,将不再进行特征检测,但MD5检测仍然会进行,直到达到MD5固定检测长度时才会停止。
调高此参数后,设备性能会略微下降,但是MD5检测的成功率会提高;调低此参数后,设备性能会提升,但是MD5检测的成功率会降低。
【举例】
# 配置应用层检测引擎对FTP协议的MD5固定检测长度为1024千字节、HTTP协议为512千字节。
<Sysname> system-view
[Sysname] inspect md5-fixed-length ftp 1024 http 512
【相关命令】
· inspect coverage user-defined
· inspect md5-fixed-length enable
inspect md5-fixed-length enable命令用来开启应用层检测引擎MD5固定检测长度功能。
undo inspect md5-fixed-length enable命令用来关闭应用层检测引擎MD5固定检测长度功能。
【命令】
inspect md5-fixed-length enable
undo inspect md5-fixed-length enable
【缺省情况】
应用层检测引擎MD5固定检测长度功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本命令仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
本功能用于限制应用层检测引擎对数据流中每个文件MD5的最大检测长度。当引擎检测的文件长度达到配置的值时,将停止计算该文件的MD5值。
【举例】
# 关闭应用层检测引擎MD5固定检测长度功能。
<Sysname> system-view
[Sysname] undo inspect md5-fixed-length enable
【相关命令】
· inspect coverage user-defined
· inspect md5-fixed-length
inspect optimization disable命令用来关闭指定的应用层检测引擎的优化调试功能。
undo inspect optimization disable命令用来开启指定的应用层检测引擎的优化调试功能。
【命令】
inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
undo inspect optimization [ chunk | no-acsignature | raw | uncompress | url-normalization ] disable
【缺省情况】
应用层检测引擎的所有优化调试功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chunk:表示应用层检测引擎对Chunk格式报文进行解码的优化调试功能。
no-acsignature:表示应用层检测引擎对没有关键字检测规则进行检测的优化调试功能。
raw:表示应用层检测引擎对未经解码TCP/UDP的应用层载荷字段进行检测的优化调试功能。
uncompress:表示应用层检测引擎对HTTP Body字段进行解压缩的优化调试功能。
url-normalization:表示应用层检测引擎对HTTP URL字段进行正规化校准的优化调试功能。
【使用指导】
如果不指定任何参数,则表示关闭或开启应用层检测引擎的所有优化调试功能。
有关应用层检测引擎的各种优化调试功能的详细介绍如下:
· 应用层检测引擎对Chunk格式报文进行解码的优化调试功能:Chunk是HTTP协议载荷(Body)的一种传输方式,对于以Chunk方式传输的HTTP协议的载荷,需要先对其进行解码以获取真正的载荷内容。但是在某些应用场景下,设备的处理性能不能满足用户基本的通信需求,这时,关闭应用层检测引擎解码Chunk格式报文的功能,可以提高设备的吞吐量。但是配置关闭应用层检测引擎解码Chunk格式报文的功能后,应用层检测引擎对某些针对安全漏洞的攻击行为不能被识别。
· 应用层检测引擎对没有关键字检测规则进行检测的优化调试功能:没有关键字的检测规则是指此规则不是基于字符串匹配进行检测,而是基于报文的端口号、错误码等字段进行检测。缺省情况下应用层检测引擎对没有关键字的检测规则进行检测,但是在某些场景下,如果设备的吞吐量较差,不能满足客户基本的通信需求,此时可以配置应用层检测引擎对没有关键字的检测规则不进行检测,以提高设备的性能,保证用户最基础的网络通信。
· 应用层检测引擎对未经解码TCP/UDP的应用层载荷字段进行检测的优化调试功能:有些TCP/UDP数据流的应用层协议(例如HTTP、SMTP、POP3、IMAP4)涉及编码和解码处理,而对该类数据流的应用层内容的检测需要在对报文载荷进行解码之后进行。如果当前设备的处理性能不能满足用户基本的通信需求,可以通过关闭对未解码的应用层载荷字段的检测,以提高设备的吞吐量。但是关闭检测后,应用层检测引擎对报文载荷内容的应用或行为的识别能力会受到影响。例如钉钉、向日葵等需要解码的应用可能会无法识别,且基于这些应用的审计功能等也无法生效。
· 应用层检测引擎对HTTP Body字段进行解压缩的优化调试功能:如果报文的HTTP Body字段是压缩编码,应用层检测引擎需要先对HTTP Body字段进行解压缩后,才能对此字段的内容进行检测。但是在某些应用场景下,设备的处理性能不能满足用户基本的通信需求,这时,可以通过关闭对HTTP Body字段的压缩编码进行解压缩处理,以提高设备的吞吐量。但是关闭处理后,应用层检测引擎对某些针对安全漏洞的攻击行为不能被识别。
· 应用层检测引擎对HTTP URL字段进行正规化校准的优化调试功能:对HTTP URL字段进行正规化校准功能是指把URL中绝对路径字调整为常规路径格式,对特殊的路径字段进行调整和正确性检查。例如报文URL中绝对路径部分输入的是test/dpi/../index.html,正规化处理后是test/index.html。但是在某些应用场景下,设备的处理性能不能满足用户基本的通信需求,这时,可以通过关闭对HTTP URL字段进行正规化校准处理,以提高设备的吞吐量。但是关闭处理后,应用层检测引擎对某些针对安全漏洞的攻击行为不能被识别。
【举例】
# 关闭应用层检测引擎的所有优化调试功能。
<Sysname> system-view
[Sysname] inspect optimization disable
inspect packet maximum命令用来配置应用层检测引擎可检测有载荷内容的报文的最大数目。
undo inspect packet命令用来恢复缺省情况。
【命令】
inspect packet maximum max-number
undo inspect packet
【缺省情况】
应用层检测引擎可检测有载荷内容的报文的最大数目为32。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-number:指定应用层检测引擎检测有载荷内容的报文的最大数目,取值范围为1~254。
【使用指导】
应用层检测引擎在对一个数据流的第一个有载荷内容的报文进行检测时,如果没有匹配上任何检测规则,则需要继续检测此数据流的第二个有载荷内容的报文,以此类推。如果直到设备设置的最大报文检测个数还未匹配上任何检测规则,则表示对此数据流匹配失败,并直接允许此数据流通过。
通常,使用缺省配置即可满足应用需求。但是在某些应用场景中,应用层检测引擎在检测有载荷内容的报文的个数达到指定的个数之后,仍然不能识别当前报文应用层信息的应用或行为,此时需要调高这个参数。调高此参数后,设备的吞吐量性能会下降,但是应用识别的成功率会增加。同理在设备吞吐量较差,不能满足客户需求的应用场景中,此时需要调低这个参数,调低参数后,吞吐量会增加,但是应用识别成功率会降低。
【举例】
# 配置应用层检测引擎可检测有载荷内容的报文的最大数目为16。
<Sysname> system-view
[Sysname] inspect packet maximum 16
inspect signature auto-update proxy命令用来配置DPI业务特征库在线升级所使用的代理服务器。
undo inspect signature auto-update proxy命令用来恢复缺省情况。
【命令】
inspect signature auto-update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name password { cipher | simple } string ]
undo inspect signature auto-update proxy
【缺省情况】
未配置DPI业务特征库在线升级所使用的代理服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:指定代理服务器的域名。domain-name表示代理服务器的域名,为3~63个字符的字符串,不区分大小写。
ip ip-address:指定代理服务器的IP地址,仅支持IPv4类型地址。
port port-number:指定代理服务器的端口号,取值范围为1~65535,缺省值为80。
user user-name:指定登录代理服务器的用户名。user-name表示用户名,为1~31个字符的字符串,不区分大小写。
password:指定登录代理服务器的用户密码。
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~31个字符的字符串,密文密码为1~73个字符的字符串。
【使用指导】
当DPI业务模块(例如应用识别业务)的特征库进行在线升级时,若设备不能连接到官方网站,则可配置一个代理服务器使设备连接到官方网站上的特征库服务专区,进行特性库在线升级。有关特征库在线升级功能的详细介绍,请参见各DPI业务配置指导手册中的“特征库升级与回滚”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置DPI业务特征库在线升级所使用的代理服务器域名为www.abc.com,端口号为8888,登录代理服务器的用户名和密码均为admin。
<Sysname> system-view
[Sysname] inspect signature auto-update proxy domain www.abc.com port 8888 user admin password simple admin
inspect source-port-identify enable命令用来开启基于源端口的应用识别功能。
undo inspect source-port-identify enable命令用来关闭基于源端口的应用识别功能。
【命令】
inspect source-port-identify enable
undo inspect source-port-identify enable
【缺省情况】
基于源端口的应用识别功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
如果网络中的流量种类单一、源端口固定,但无法通过目的端口对其进行基于端口的应用识别或无法基于流量特征进行内容识别时,可以开启本功能,对流量进行源端口识别,将源端口为固定端口的流量识别为访问特定类型应用的流量。
开启本功能后,可能会造成应用识别结果的误报,请管理员根据组网环境的实际情况配置。
【举例】
# 开启基于源端口的应用识别功能。
<sysname> system-view
[sysname] inspect source-port-identify enable
inspect stream-fixed-length命令用来配置应用层检测引擎检测数据流的固定长度。
undo inspect stream-fixed-length命令用来恢复缺省情况。
【命令】
inspect stream-fixed-length { email | ftp | http | nfs | smb } * length
undo inspect stream-fixed-length
【缺省情况】
应用层检测引擎对FTP协议、HTTP协议、NFS协议、SMB协议和与E-mail相关协议数据流的固定检测长度均为64千字节。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
email:表示设置检测与E-mail协议相关类型数据流的固定长度,支持的E-mail协议包括SMTP、POP3和IMAP。
ftp:表示设置检测FTP协议类型数据流的固定长度。
http:表示设置检测HTTP协议类型数据流的固定长度。
nfs:表示设置检测NFS协议类型数据流的固定长度。
smb:表示设置检测SMB协议类型数据流的固定长度。
length:表示设置检测指定协议类型数据流的固定长度,取值范围为1~2048,单位为千字节。
【使用指导】
本命令仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
调高此参数后,设备的吞吐量性能会下降,但是应用层信息识别的成功率会提高;同理调低参数后,设备的吞吐量会增加,但是应用层信息识别的成功率会降低。
【举例】
# 配置应用层检测引擎检测FTP协议类型数据流的固定长度为35千字节,检测HTTP协议类型数据流的固定长度为40千字节。
<Sysname> system-view
[Sysname] inspect stream-fixed-length ftp 35 http 40
【相关命令】
· inspect coverage user-defined
· inspect cpu-threshold disable
· inspect stream-fixed-length disable
inspect stream-fixed-length disable命令用来关闭应用层检测引擎检测固定长度数据流功能。
undo inspect stream-fixed-length disable命令用来开启应用层检测引擎检测固定长度数据流功能。
【命令】
inspect stream-fixed-length disable
undo inspect stream-fixed-length disable
【缺省情况】
应用层检测引擎检测固定长度数据流功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本功能仅在应用层检测引擎检测率模式为自定义模式时(通过inspect coverage user-defined命令配置)支持配置。
应用层检测引擎检测固定长度数据流功能,是指应用层检测引擎只检测每条数据流首包后固定长度内的数据,不再检测超出固定长度后的数据。
【举例】
# 关闭应用层检测引擎检测固定长度数据流功能。
<Sysname> system-view
[Sysname] inspect stream-fixed-length disable
【相关命令】
· inspect coverage user-defined
· inspect cpu-threshold disable
· inspect stream-fixed-length
inspect tcp-reassemble enable命令用来开启TCP数据段重组功能。
undo inspect tcp-reassemble enable命令用来关闭TCP数据段重组功能。
【命令】
inspect tcp-reassemble enable
undo inspect tcp-reassemble enable
【缺省情况】
TCP数据段重组功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
大量的TCP乱序数据段极有可能会造成应用层检测引擎对此TCP数据流检测失败。例如应用层检测引擎需要检测TCP载荷中是否包含关键字“this is a secret”,由于数据段乱序,可能含有“a secret”的数据段先到达设备,含有“this is”的数据段后到达设备,这样就会造成应用层检测引擎对此TCP数据流检测失败。
为了提高应用层检测引擎对TCP数据流检测的准确率,可以在设备上开启TCP数据段重组功能。当接收到乱序的TCP数据段时,设备会将此数据段和来自于同一条数据流的后续数据段暂时保存至缓冲区,进行TCP数据段重组,完成数据段重组再送往后续流程处理。
若缓冲区中已缓存的数据段数目达到最大值(可以通过inspect tcp-reassemble max-segment命令来配置)时仍无法成功重组,则设备直接将已缓存的乱序数据段和此条数据流的所有后续TCP数据段送往后续流程处理,不再进行TCP重组。这样可以降低对设备转发性能的影响。
【举例】
# 开启TCP数据段重组功能。
<Sysname> system-view
[Sysname] inspect tcp-reassemble enable
【相关命令】
· inspect tcp-reassemble max-segment
inspect tcp-reassemble max-segment命令用来配置TCP重组缓冲区可缓存的TCP数据段最大数目。
undo inspect tcp-reassemble max-segment命令用来恢复缺省情况。
【命令】
inspect tcp-reassemble max-segment max-number
undo inspect tcp-reassemble max-segment
【缺省情况】
TCP重组缓冲区可缓存的TCP数据段最大数目为10。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
max-number:表示TCP重组缓冲区可缓存的TCP数据段最大数目,取值范围为10~50。
【使用指导】
在存在大量TCP乱序数据段的网络环境中,调高此参数,则可提高应用层检测引擎对TCP数据段检测的准确率,但是设备转发性能可能会下降。若调低此参数可避免因长时间缓存TCP数据段而造成设备转发性能下降,但是应用层检测引擎对TCP数据段检测的准确率会降低。请根据实际情况调整此参数。
本命令仅在开启TCP数据段重组功能后生效。
【举例】
# 配置TCP重组缓冲区中可缓存的TCP数据段最大数目为20。
<Sysname> system-view
[Sysname] inspect tcp-reassemble max-segment 20
【相关命令】
· inspect tcp-reassemble enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
