如何配置SIG针对http数据包某个字段的过滤

发布时间:  2013-04-07 浏览次数:  254 下载次数:  0
问题描述
客户要求SIG对HTTP协议中的特定字段进行阻断,字段如下:

POST /neo/mo/service?appid=YahooMailNeo&mocrumb=sqkRvyKIFEe&rand=1364203552232 HTTP/1.1
Host: us-mg5.mail.yahoo.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://us-mg5.mail.yahoo.com/neo/mo/launch?.inNeo=true&rand=334970741&start_time=1364203461769&.rand=akgb39cqdrhmh&isFresh=1&bucketId=0&themeName=img-bamboo&bn=12&s=0
Content-Length: 47
Cookie: YM.NEO_2720285230=; B=c1b2h618l05mg&b=4&d=MylRw8dpYFIjgGiQTtZqjCkLhCU-&s=7q&i=ikKirafmTryZVpPO0c6t; MSC=t=1364203246X; CH=AgBRUBYQAC71EAA60BAAAZkQAALOEAAiDhAABYEQABkaEAAXvhAAG6gQAAbf; HP=0; AO=o=0; F=a=ZIpWp1UMvSkW4_DfwlshPjGDtrlxAs2Yk7xIuKfu5fQtZl4WN71qEv0uDtnfbigPP2.cXWY-&b=fDcJ; Y=v=1&n=2jh9fi1883rnq&l=f4a830dk/o&p=m2nvvet012000000&iz=251&r=i1&lg=en-US&intl=us&np=1; PH=fn=QpJU.8YEffdsVpmLArOT&l=en-US&i=us; T=z=zdBURBzxoYRBsw8kHyvxXT2NjU2NwY1MDU3NU8yNTQ3&a=QAE&sk=DAAGGMa/o/qnl5&ks=EAA9c.YZ.8.drqHV23_D2wfuA--~E&d=c2wBTVRJeE1BRXlOekl3TWpnMU1qTXcBYQFRQUUBZwFLNjJXUUtGQkdZUFNIU1M1RVBQWElFUFdHQQF0aXABVmZEWU9BAXp6AXpkQlVSQkE3RQ--
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

{"method":"SetUdbData","params":{"secure":"1"}}HTTP/1.1 200 OK
Age: 2
Cache-Control: no-cache, private
Connection: Keep-Alive
Content-Encoding: gzip
Content-Type: text/html; charset=utf-8
Date: Mon, 25 Mar 2013 09:25:52 GMT
告警信息
处理过程
1、配置自定义协议,起名为yahoohttps_contrel,红色部分为添加的字段:




2、配置协议,将自定义的类型添加其中;




3、配置策略包,并添加自定义协议类型;




4、实施QoS限制,对上下行流量都设置为0;



5、将策略包和链路绑定起来;
根因
针对协议中的某个字段进行配置,只能通过自定义协议类型,并进行流量控制运用协议,而直接的阻断策略是没有的,通过QoS,将流量设置为0,间接进行阻断。
建议与总结
这是一个组合的配置,从自定义协议类型、流量控制、QoS应用到链路绑定,《产品指导书》中没有连贯的讲解,对缺乏经验的一线工程师来说存在一定的困难,建议指导书中有更多的场景说明。

END