解决USG2100限制企业和个人QQ登录功能问题

发布时间:  2014-09-12 浏览次数:  535 下载次数:  0
问题描述
      某客户配置USG2100防火墙DPI功能,想实现区别对待个人QQ和企业QQ,实现区别功能实现:个人QQ不允许上网,企业QQ可以。根据配置自定义DPI策略功能后,测试发现没有生效。

告警信息
配置如下:



user-define-rule test

 

  protocol tcp

  source-port range 1 65535

  destination-port range 1 65535

  key 0 direction load_begin offset 2 type hex content 0234
  key 1 direction load_end offset 0 type hex content 03
  rule enable
user-define-rule test1
  protocol udp
  source-port range 1 65535
  destination-port range 1 65535
  key 0 direction load_begin offset 0 type hex content 0234
  key 1 direction load_end offset 0 type hex content 03
  rule enable





处理过程
经确认,了解到限制策略是对tcp协议offset偏移量设置为2,客户修改后的配置如下:

dpi

whole-packet-search enable all

relation-detection enable

auto save configuration

update rule-base server domain sec.huawei.com

update rule-base remote period 7

#

user-define-rule test

  protocol tcp

  source-port range 1 65535

  destination-port range 1 65535

  key 0 direction load_begin offset 2 type hex content 0234

  rule enable

user-define-rule test1

  protocol udp

  source-port range 1 65535

  destination-port range 1 65535

  key 0 direction load_begin offset 2 type hex content 0234

  rule enable

#

app-set test2

  category userdefine application test

  category userdefine application test1

#

dpi-policy test3

policy default action permit

rule 0

  rule enable

  action deny

  rule app-set test2



修改后,问题依旧,不能成功限制。



联系USG防火墙相关专家,确认参数中UDP偏移量是从0开始,TCP前面两个字节是代表长度。另外使用客户端登陆QQ时会优先使用UDP协议传输,如果UDP不通的话,再转为使用TCP协议。



当前配置还需要添加参数:key 1 direction load_end offset 0 type hex content 03防止误报。





因此正确的配置如下:

user-define-rule test

  protocol tcp

  source-port range 1 65535

  destination-port range 1 65535

  key 0 direction load_begin offset 2 type hex content 0234

  key 1 direction load_end offset 0 type hex content 03

  rule enable

user-define-rule test1

  protocol udp

  source-port range 1 65535

  destination-port range 1 65535

  key 0 direction load_begin offset 0 type hex content 0234

  key 1 direction load_end offset 0 type hex content 03

  rule enable



修改后问题解决。可以实现限制。

根因
查看客户配置,初步判断是策略设置不周密,部分参数字段意义不明确,需要确认后修改部分字段参数才可以解决问题。
建议与总结
无。

END