系统配置>>自定义协议>>新增(编辑)自定义协议

1、新增自定义协议

新增自定义协议,系统将会根据新增的协议对该协议类型的网络活动做相应的监控。

输入“协议名称”、“协议描述”,在“协议类型”下拉框中选择需要增加的协议类型。在“是否在封堵中显示”下拉框中选择“是”则该协议将会在封堵策略级别的相应类型列表中显示。“否”则不显示。

单个协议可包含多个pattern。配置Pattern的匹配信息,输入相应的名称、描述,在“类型”下拉框中选择该pattern的类型,系统列出常见的7种类型供选择。输入pattern的偏移量,为10进制整数,输入“0”则表示从第一位开始匹配。

在“开始字节内容”中输入16进制的开始字节内容。若为空,则不匹配开始字节。

在“格式”中输入该pattern的内容类型,系统支持“正则表达式”和“目标端口”两种类型。输入“0”表示该pattern内容类型为正则表达式类型,输入“1”则表示该pattern内容类型为目标端口类型。

若pattern内容类型为正则表达式,则在“pattern内容”中输入该pattern的正则表达式字符串,若为目标端口,则输入相应的目标端口值。

2、编辑自定义协议

对已经存在的自定义协议进行编辑。可以修改协议的基本信息以及相关配置。

示例

以下分别对http和ftp两种协议举例说明:
  1. http协议


    图 1

    开始字节内容为空表示不匹配开始字节。pattern内容正则表达式为“^(GET|POST|CONNECT)\S”

    点击“删除”则删除该pattern。配置完成后点击“保存配置”。点击“新增pattern”可以增加该协议的pattern类型。

  2. ftp协议


    图 2

    3. 该ftp协议pattern内容格式类型选择为“目标端口”,所以在“pattern内容”输入目标端口“21”。




注意事项


1. 匹配时的顺序是先特征,再端口。