一、FPM 简介: FPM是一种下一代的访问控制匹配工具,这个技术提供了更多的详细的和自定义的包过滤功能。
FPM允许用户去创建属于自己的无状态的包的头部、负载等信息或者全部信息,并且可以为策略定义多种的行为(比如drop,log 或者发送ICMP不可达消息)来立刻过滤新病毒,蠕虫以及网络攻击。 可以用于分析协议而,用于替代传统的ACL,对特定恶意流量的基础架构的过滤
二、FPM的局限性: FPM不能缓解网络攻击,因为缓解攻击是需要有状态的数据包分类,FPM是无状态的。 所以它不能跟踪由协议控制的自协商的端口号,如果需要使用FPM技术,那么必须手工的定义端口号。
FPM不能执行IP包的分片或者TCP流的重组。
FPM检测只对IPv4的单播数据包有效。
FPM不能使用IP选项来对数据包进行分类。
FPM不支持组播数据包的检测。
FPM不支持隧道接口和MPLS接口。
FPM不能配置在FlexWAN接口卡上。 FPM的策略不支持对控制层面的映射。
三、过滤策略需要通过如下的步骤进行定义: 1.加载PHDF文件(用来使流量匹配预先定义的协议,如IP,TCP,UDP等) 2.定义类型图和协议栈(用来分类需要进行检查的流) 3.定义策略(用来针对流做出行为)
4.在接口上运用该策略。
四、FPM调用方式: 1.协议头被定义在一个单独的文件内。使用PHDF文件来对数据包的协议进行匹配,PHDF文件通过使用XML语言来定义整个协议的内容,用户也可以通过编写XML语言来定义自己的PHDF文件。
文件可以再网上找到
2.直接根据流量中头部长度或者偏移量进行调用 3.将以上两种方式结合使用
