目  錄

1 APR配置

1.1 APR簡介

1.1.1 PBAR

1.1.2 NBAR

1.1.3 應用組

1.1.4 APR特征庫升級與回滾

1.2 APR的License要求

1.3 APR配置任務簡介

1.4 配置PBAR

1.5 配置自定義NBAR規則

1.6 配置自定義應用風險類型

1.7 配置應用組

1.8 配置接口的應用統計功能

1.9 配置協議報文被識別為other類應用的閾值

1.10 配置APR特征庫升級和回滾

1.10.1 使用限製和指導

1.10.2 配置定期自動在線升級APR特征庫

1.10.3 立即自動在線升級APR特征庫

1.10.4 手動離線升級APR特征庫

1.10.5 回滾APR特征庫

1.11 APR顯示和維護

 

1 APR配置

1.1  APR簡介

APR（Application Recognition）即應用層協議識別。一些基於應用的業務（例如QoS，ASPF，帶寬管理等）在進行報文處理時需要知道報文所屬的應用層協議，APR可以為這樣的業務提供應用識別服務，並能夠對接口上接收或者發送的某個應用層協議的報文進行數目和速率統計。APR支持以下應用識別方式：PBAR（Port Based Application Recognition，基於端口的應用層協議識別）和NBAR（Network Based Application Recognition，基於內容特征的應用層協議識別）。

1.1.1  PBAR

PBAR根據端口與應用的映射關係識別出報文所屬的應用層協議，並支持以下類型的映射關係：

·     預定義的端口與應用的映射關係：由係統預先定義，管理員可以根據實際需求進行修改。

·     自定義的端口與應用的映射關係：由管理員進行創建。

根據與應用層協議進行映射的對象範圍的不同，PBAR提供以下映射機製來維護和使用自定義的端口與應用映射關係：

·     通用端口映射：對於所有報文，建立自定義端口號和應用層協議建立映射關係。例如：將2121端口映射為FTP協議，這樣所有目的端口是2121的報文將被識別為FTP報文。

·     主機端口映射：對去往某些特定範圍內主機的報文建立自定義端口號和應用層協議的映射。例如：將目的地址為10.110.0.0/16網段的、使用2121端口的報文映射為FTP報文。主機範圍可以通過配置ACL或者指定主機地址、網段來確定。

主機端口映射還可以細分為如下類型：

¡     基於ACL的主機端口映射：對於匹配指定ACL的報文，建立端口號與應用層協議的映射關係；

¡     基於網段的主機端口映射：對於目的地址為指定網段的報文，建立端口號與應用層協議的映射關係；

¡     基於IP地址的主機端口映射：對於目的地址為指定IP地址的報文，建立端口號與應用層協議的映射關係。

以上端口映射配置對於同一個報文的生效優先級從高到低依次為：基於IP地址、基於網段、基於ACL、通用。而對於其中的每一類，指定傳輸層協議名稱的配置優先級高於不指定傳輸層協議名稱的配置。

1.1.2  NBAR

NBAR提取應用報文的特征，通過將報文的內容與特征庫中的規則進行匹配來識別報文所屬的應用層協議。

NBAR支持兩種類型的應用：

·     預定義應用：由設備上的APR特征庫中的NBAR規則定義。

·     自定義應用：由管理員手工配置的NBAR規則定義。

1.1.3  應用組

可以將具有相似特征的應用添加到一個應用組中。一個應用組，就是若幹個應用的集合。如果報文被識別為屬於某個應用，而該應用又屬於某個應用組，則報文相當於被識別為屬於某個應用組。基於應用的業務（例如ASPF和帶寬管理等）可以對屬於同一個應用組的報文做統一處理。

一個自定義應用組中可以包含多個預定義應用和自定義應用。

1.1.4  APR特征庫升級與回滾

1. APR特征庫

APR特征庫是用來對經過設備的應用層流量進行字符串特征識別的資源庫，包含PBAR和NBAR特征。隨著互聯網業務的不斷變化和發展，網絡上的應用也在迅速的增加和變化，需要及時升級設備中的APR特征庫，同時設備也支持APR特征庫回滾功能。

2. APR特征庫升級

APR特征庫升級包括如下幾種方式：

·     定期自動在線升級：設備根據管理員設置的時間定期自動更新本地的APR特征庫。

·     立即自動在線升級：管理員手工觸發設備立即更新本地的APR特征庫。

·     手動離線升級：當設備無法自動獲取APR特征庫服務時，需要管理員先手動獲取最新的APR特征庫，再更新設備本地的APR特征庫。

3. APR特征庫回滾

設備使用當前APR特征庫版本進行識別應用時，如果管理員發現設備識別應用的誤報率較高或出現異常情況，則可以將其回滾到上一版本或出廠版本。

1.2  APR的License要求

APR特征庫的升級需要購買並正確安裝License後才能使用。License過期後，APR功能可以采用設備中已有的APR特征庫正常工作，但無法升級特征庫。關於License的詳細介紹請參見“基礎配置指導”中的“License管理”。

1.3  APR配置任務簡介

APR配置任務如下：

(1)     配置PBAR

(2)     配置自定義NBAR規則

(3)     配置自定義應用風險類型

(4)     配置應用組

(5)     配置應用組配置接口的應用統計功能

(6)     配置協議報文被識別為other類應用的閾值

(7)     配置APR特征庫升級和回滾

1.4  配置PBAR

(1)     進入係統視圖。

system-view

(2)     配置端口映射。請至少選擇其中一項進行配置。

¡     配置通用端口映射。

port-mapping application application-name port port-number [ protocol protocol-name ]

¡     配置基於ACL的主機端口映射。

port-mapping application application-name port port-number [ protocol protocol-name ] acl [ ipv6 ] acl-number

¡     配置基於網段的主機端口映射。

port-mapping application application-name port port-number [ protocol protocol-name ] subnet { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]

¡     配置基於IP地址的主機端口映射。

port-mapping application application-name port port-number [ protocol protocol-name ] host { ip | ipv6 } start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ]

缺省情況下，各應用層協議與其對應的知名端口號映射。

配置映射關係時，如果指定的應用不存在就會創建這個應用。

1.5  配置自定義NBAR規則

1. 功能簡介

當APR特征庫中預定義的應用規則不能滿足用戶需求時，可以使用本功能配置自定義NBAR規則，並配置NBAR規則的屬性和特征。其中，不能對預定義的NBAR規則進行刪除和修改。

自定義NBAR規則下可配置的匹配項包括如下內容：

·     匹配的特征

·     匹配的目的IP地址網段

·     匹配的源IP地址網段

·     匹配的方向

·     匹配的端口號

一條自定義NBAR規則中可以同時配置多個匹配項，僅當所有已配置的匹配項都被匹配成功後，報文與該NBAR規則才能匹配成功。其中，特征可以同時配置多個，且至少匹配上一個特征才表示成功匹配到該匹配項。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建自定義NBAR規則，並進入自定義NBAR規則視圖。

nbar application application-name protocol { http | tcp | udp }

(3)     （可選）配置自定義NBAR規則的描述信息。

description text

缺省情況下，自定義NBAR規則的描述信息為User defined application。

(4)     配置自定義NBAR規則的特征，並進入NBAR規則特征視圖。

signature [ signature-id ] [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }

缺省情況下，未配置自定義NBAR規則的特征。

(5)     （可選）配置自定義NBAR規則特征的檢查項。

detection detection-id field field-name match-type { exclude | include } { hex hex-vector | regex regex-pattern | text text-string } [ offset offset-value [ depth depth-value ] | relative-offset relative-offset-value [ relative-depth relative-depth-value ] ]

缺省情況下，未配置自定義NBAR規則特征的檢查項。

(6)     退回NBAR規則視圖。

quit

(7)     （可選）配置自定義NBAR規則匹配的目的IP地址網段。

destination ip ipv4-address [ mask-length ]

缺省情況下，NBAR規則匹配所有目的IP地址網段。

(8)     （可選）配置自定義NBAR規則匹配的源IP地址網段。

source ip ipv4-address [ mask-length ]

缺省情況下，NBAR規則匹配所有源IP地址網段。

(9)     （可選）配置NBAR規則的匹配方向。

direction { to-client | to-server }

缺省情況下，NBAR規則的匹配方向是雙向的。

(10)     （可選）配置自定義NBAR規則匹配的端口號。

service-port { port-num | range start-port end-port }

缺省情況下，NBAR規則匹配所有端口號。

(11)     （可選）配置NBAR規則的最大檢測字節數。

apr set detectlen bytes

缺省情況下，未配置NBAR規則的最大檢測字節數。

(12)     （可選）禁用該自定義NBAR規則。

disable

缺省情況下，自定義的NBAR規則處於生效狀態。

(13)     退回係統視圖。

quit

(14)     激活自定義NBAR規則。

inspect activate

有關inspect activate命令的詳細介紹請參見“DPI深度安全命令參考”中的“應用層檢測引擎”。

1.6  配置自定義應用風險類型

1. 功能簡介

設備為應用定義了所屬的風險類型，一個應用可同時具有多種風險類型也可以沒有任何風險類型，所屬的風險類型越多，表示該應用的風險級別越高。管理員可根據應用的風險級別配置相應的防護策略（例如安全策略），保護內網安全。

預定義應用的風險類型由特征庫自動生成，自定義應用的風險類型由管理員手工配置。

2. 使用限製和指導

·     配置本功能前，需要先將APR特征庫升級到最新版本。

·     配置的自定義應用必須已存在。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入自定義應用視圖。

user-defined-application application-name

(3)     配置自定義應用的風險類型。

risk type risk-type

缺省情況下，未配置自定義應用的風險類型。

1.7  配置應用組

(1)     進入係統視圖。

system-view

(2)     創建應用組，並進入應用組視圖。

app-group group-name

(3)     （可選）為自定義的應用組設置描述信息。

description text

缺省情況下，自定義應用組的描述信息為“User-defined application group”。

(4)     向應用組中添加應用。請至少選擇其中一項進行配置。

¡     在應用組中複製另一個應用組中的所有應用。

copy app-group group-name

可以通過多次執行本命令複製多個應用組裏的應用。

¡     在應用組中添加應用。

include application application-name

缺省情況下，應用組中不包含應用。

1.8  配置接口的應用統計功能

1. 功能簡介

在接口上開啟應用統計功能之後，設備能夠對接口上收到或者發送的報文的數目、速率按照應用層協議分別進行統計，生成的統計信息可以通過display application statistics命令查看。

2. 使用限製和指導

接口的應用統計功能會消耗大量係統內存。當係統出現內存告警時，請關閉接口的應用統計功能。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入三層接口視圖。

interface interface-type interface-number

(3)     開啟接口的應用統計功能。

application statistics enable [ inbound | outbound ]

缺省情況下，接口的應用統計功能處於關閉狀態。

如果不指定任何參數，則表示同時開啟接口出方向和入方向上的應用統計功能。

1.9  配置協議報文被識別為other類應用的閾值

1. 功能簡介

當設備檢測指定協議報文的總數及載荷長度均達到指定的閾值後，仍然無法識別出該協議報文對應的上層應用，則將其歸類為該協議的other類應用。

2. 使用限製和指導

針對同一個協議，可以同時配置協議報文個數閾值和協議報文載荷長度閾值。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置協議報文被識別為other類應用的閾值。

apr protocol protocol-name detect-threshold { packet-count count | payload-length length } application-other

缺省情況，設備使用特征庫中預定義的相關閾值將報文識別為other類應用。

1.10  配置APR特征庫升級和回滾

1.10.1  使用限製和指導

請勿刪除設備存儲介質根目錄下的/dpi/文件夾，否則設備升級或回滾特征庫會失敗。

當係統內存使用狀態處於告警門限狀態時，請勿進行特征庫升級或回滾，否則易造成設備特征庫升級或回滾失敗，進而影響NBAR業務的正常運行。有關內存告警門限狀態的詳細介紹請參見“基礎配置指導”中的“設備管理”。

同一時刻隻能對一個特征庫進行升級，如果當前已有其他特征庫正在升級，請稍後再試。

1.10.2  配置定期自動在線升級APR特征庫

1. 功能簡介

如果設備可以訪問官方網站上的特征庫服務專區，可以采用定期自動在線升級方式來對設備上的APR特征庫進行升級。

2. 使用限製和指導

該方式下，需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址，並與之路由可達，否則設備升級APR特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     開啟定期自動在線升級APR特征庫功能，並進入自動在線升級配置視圖。

apr signature auto-update

缺省情況下，定期自動在線升級APR特征庫功能處於關閉狀態。

(3)     配置定期自動在線升級APR特征庫的時間。

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

缺省情況下，設備在每天02:01:00至04:01:00之間自動升級APR特征庫。

(4)     （可選）配置定期自動在線升級APR特征庫時覆蓋當前的特征文件。

override-current

缺省情況下，定期自動在線升級APR特征庫時不會覆蓋當前的特征庫文件，而是同時備份當前的特征庫文件。

1.10.3  立即自動在線升級APR特征庫

1. 功能簡介

當管理員發現官方網站的特征庫服務專區中的APR特征有更新時，可以選擇立即自動在線升級方式來及時升級APR特征庫版本。

2. 使用限製和指導

該方式下，需要確保設備能通過靜態或動態域名解析方式獲得官方網站的IP地址，並與之路由可達，否則設備升級APR特征庫會失敗。有關域名解析功能的配置請參見“三層技術-IP業務配置指導”中的“域名解析”。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     立即自動在線升級APR特征庫。

apr signature auto-update-now

1.10.4  手動離線升級APR特征庫

1. 功能簡介

如果設備不能訪問官方網站上的特征庫服務專區，管理員可以采用如下幾種方式手動離線升級APR特征庫版本。

·     本地升級：使用本地保存的特征庫文件升級係統上的APR特征庫版本。

·     FTP/TFTP升級：通過FTP或TFTP方式下載遠程服務器上保存的特征庫文件，並升級係統上的APR特征庫版本。

使用本地升級方式離線升級APR特征庫版本時，特征庫文件隻能存儲在當前主用設備上，否則設備升級特征庫會失敗。

如果管理員希望手動離線升級特征庫時發送給TFTP、FTP服務器的請求報文的源IP地址是一個特定的地址時，可配置source參數。例如，當組網環境中設備發出的報文需要經過NAT地址轉換後才能訪問TFTP、FTP服務器時，則需要管理員通過source參數指定一個符合NAT地址轉換規則的源IP地址（其中，如果設備需要經過一台獨立的NAT設備進行地址轉換時，本命令指定的IP地址必須可以與NAT設備三層路由可達），使設備發出的報文可以進行NAT地址轉換等處理，正常訪問TFTP、FTP服務器。

2. 配置限製和指導

當同時配置了source和vpn-instance參數時，需要保證source中指定的源IP地址或接口所屬VPN實例與vpn-instance中配置的VPN實例相同。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     手動離線升級APR特征庫。

apr signature update [ override-current ] file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]

1.10.5  回滾APR特征庫

1. 功能簡介

APR特征庫版本每次回滾前，設備都會備份當前版本。多次回滾上一版本的操作將會在當前版本和上一版本之間反複切換。例如當前APR特征庫版本是V2，上一版本是V1，第一次執行回滾到上一版本的操作後，特征庫替換成V1版本，再執行回滾上一版本的操作則特征庫重新變為V2版本。

2. 配置限製和使用指導

升級APR特征庫時，如果沒有備份當前特征庫文件，則回滾APR特征庫到上一版本會失敗。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     回滾APR特征庫。

apr signature rollback { factory | last }

1.11  APR顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後APR的運行情況，通過查看顯示信息驗證配置的效果。

在用戶視圖下執行reset命令可以清除APR的統計信息。

表1-1 APR顯示和維護

操作	命令
顯示應用組信息	display app-group [ name group-name ]
顯示應用信息	display application [ name application-name | pre-defined | user-defined ]
顯示接口上的應用統計信息	display application statistics [ direction { inbound | outbound } | interface interface-type interface-number [ slot slot-number ] | name application-name ] *
按指定類型的統計排名顯示接口應用統計信息	display application statistics top number { bps | bytes | packets | pps } interface interface-type interface-number [ slot slot-number ]
顯示被識別為other類應用的報文檢測閾值	display apr protocol [ protocol-name ] detection-threshold-other
顯示當前APR特征庫的版本信息	display apr signature library
顯示預定義的端口映射信息	display port-mapping pre-defined
顯示自定義的端口映射信息	display port-mapping user-defined [ application application-name | port port-number ]
清除指定接口或所有接口的應用統計信息	reset application statistics [ interface interface-type interface-number ]