Network Based Application Recognition (NBAR) 网络应用程序识别

简介:
一.什么是NBAR?

基于网络的应用程序识别(NBAR)可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类.

 
NBAR 是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的、简单的网络应用协议TCP/UDP 的端口号。例如我们熟知的 WEB 应用使用的 TCP 80,也能做到控制一般 ACLs 不能做到动态的端口的那些协议,例如 VoIP 使用的 H.323, SIP 等。在使用NBAR的时候要先启用CEF特性。而且可以使用数据包描述语言模块(PDLM)从路由器的闪存里加载,用于在不使用新的Cisco IOS软件,或重启路由器的情况下对新的协议或应用程序进行识别.

二.NBAR的限制

NBAR不能在以下几种逻辑接口上使用:

1.快速以太网信道.

2.使用了隧道或加密技术的接口.

3.SVI.

4.拨号接口.

5.多链路PPP(MLP).

NBAR的一些限制:

1.不支持多于24个的并发URL,HOST或MINE的匹配类型.

2.不支持超过400字节的URL匹配.

3.不支持非IP流量.

4.不支持组播或其他非CEF的交换模式.

5.不支持被分片的数据包.

6.不支持源自或去往运行NBAR的路由器的IP流量.

三.如何配置NBAR?

配置NBAR的基本步骤:

1.启用CEF特性:

Aiko(config)#ip cef

2.把流量分类,定义class map:

Aiko(config)#class-map [match-all|match-any] {map-name}
Aiko(config-cmap)#match protocol {protocol}

3.设置policy map,选择调用的class-map,以及规则动作:

Aiko(config)#policy-map {policy-name}
Aiko(config-pmap)#class {class-map}
Aiko(config-pmap-c)#{action}

4.把策略应用在接口上:

Aiko(config-if)#service-policy {input|output} {policy-map}

四、检验NBAR配置

1、查看流量分类信息: nimokaka#show class-map [map-name]

2、查看policy map: nimokaka#show policy-map [policy-name]

3、查看接口的policy map 信息: nimokaka#show policy-map interface [interface]

4、显示NBAR所使用的PDLM: nimokaka#show ip nbar pdlm

5、显示NBAR使用的协议到端口号的映射信息:nimokaka#show ip nbar port-map
 
五、NBAR控制BT和eDonkey

1、 加载bittorrent.pdlm 到路由器闪存里

nimokaka(config)#ip nbar pdlm flash://bittorrent.pdlm

2、定义class map,识别BitTorrent程序流量,并将进站的BitTorrent程序流量丢弃

ip cef
!
class-map kaka
match protocol bittorrent
!
policy-map drop-bittorrent
class kaka
drop
!
interface Serial0
ip address 192.168.0.1 255.255.255.0
service-policy input drop-bittorrent

六、NBAR病毒防治

使用NBAR来防止红色代码(Code-Red)和尼姆达(Nimda)蠕虫病毒,配置如下
ip cef
!
class-map match-all DENY-ATTACK
match protocol http url "*.ida*"
match protocol http url "*cmd.exe*"
match protocol http url "*root.exe*"
match protocol http url "*readme.eml*"
!
policy-map nimokaka class DENY-ATTACK drop
interface Serial0
ip address 10.0.0.1 255.255.255.252
service-policy input nimokaka

 

本文转自zcm8483 51CTO博客,原文链接:http://blog.51cto.com/haolun/991824


相关文章
|
13天前
|
人工智能 运维 物联网
AI在蜂窝网络中的应用前景
AI在蜂窝网络中的应用前景
26 3
|
26天前
|
数据采集 存储 JSON
Python网络爬虫:Scrapy框架的实战应用与技巧分享
【10月更文挑战第27天】本文介绍了Python网络爬虫Scrapy框架的实战应用与技巧。首先讲解了如何创建Scrapy项目、定义爬虫、处理JSON响应、设置User-Agent和代理,以及存储爬取的数据。通过具体示例,帮助读者掌握Scrapy的核心功能和使用方法,提升数据采集效率。
74 6
|
20天前
|
监控 安全
公司上网监控:Mercury 在网络监控高级逻辑编程中的应用
在数字化办公环境中,公司对员工上网行为的监控至关重要。Mercury 作为一种强大的编程工具,展示了在公司上网监控领域的独特优势。本文介绍了使用 Mercury 实现网络连接监听、数据解析和日志记录的功能,帮助公司确保信息安全和工作效率。
88 51
|
9天前
|
机器学习/深度学习 人工智能 自然语言处理
深度学习中的卷积神经网络(CNN)及其在图像识别中的应用
本文旨在通过深入浅出的方式,为读者揭示卷积神经网络(CNN)的神秘面纱,并展示其在图像识别领域的实际应用。我们将从CNN的基本概念出发,逐步深入到网络结构、工作原理以及训练过程,最后通过一个实际的代码示例,带领读者体验CNN的强大功能。无论你是深度学习的初学者,还是希望进一步了解CNN的专业人士,这篇文章都将为你提供有价值的信息和启发。
|
16天前
|
SQL 安全 前端开发
PHP与现代Web开发:构建高效的网络应用
【10月更文挑战第37天】在数字化时代,PHP作为一门强大的服务器端脚本语言,持续影响着Web开发的面貌。本文将深入探讨PHP在现代Web开发中的角色,包括其核心优势、面临的挑战以及如何利用PHP构建高效、安全的网络应用。通过具体代码示例和最佳实践的分享,旨在为开发者提供实用指南,帮助他们在不断变化的技术环境中保持竞争力。
|
14天前
RS-485网络中的标准端接与交流电端接应用解析
RS-485,作为一种广泛应用的差分信号传输标准,因其传输距离远、抗干扰能力强、支持多点通讯等优点,在工业自动化、智能建筑、交通运输等领域得到了广泛应用。在构建RS-485网络时,端接技术扮演着至关重要的角色,它直接影响到网络的信号完整性、稳定性和通信质量。
|
17天前
|
机器学习/深度学习 人工智能 算法框架/工具
深度学习中的卷积神经网络(CNN)及其在图像识别中的应用
【10月更文挑战第36天】探索卷积神经网络(CNN)的神秘面纱,揭示其在图像识别领域的威力。本文将带你了解CNN的核心概念,并通过实际代码示例,展示如何构建和训练一个简单的CNN模型。无论你是深度学习的初学者还是希望深化理解,这篇文章都将为你提供有价值的见解。
|
17天前
|
网络协议 数据挖掘 5G
适用于金融和交易应用的低延迟网络:技术、架构与应用
适用于金融和交易应用的低延迟网络:技术、架构与应用
44 5
|
17天前
|
运维 物联网 网络虚拟化
网络功能虚拟化(NFV):定义、原理及应用前景
网络功能虚拟化(NFV):定义、原理及应用前景
35 3
|
17天前
|
数据可视化 算法 安全
员工上网行为管理软件:S - PLUS 在网络统计分析中的应用
在数字化办公环境中,S-PLUS 员工上网行为管理软件通过精准的数据收集、深入的流量分析和直观的可视化呈现,有效帮助企业管理员工上网行为,保障网络安全和提高运营效率。
24 1