您的位置:360文档中心› IPS系统接口定义说明手册-网关(v0.3.4)办理支付接口

IPS系统接口定义说明手册-网关(v0.3.4)办理支付接口

合集下载

IPS-1000系列VoIP综合接入系统用户手册V1.05

IPS-1000系列VoIP综合接入系统用户手册V1.05

IPS-1000系列VoIP综合接入系统用户手册版本:V1.05目录1.前言 (1)2.概述 (2)3.系统指标 (3)3.1功能、性能 (3)3.2工作条件 (3)3.3配置 (4)4.结构 (5)4.1VIP板面板图 (5)4.2面板 (5)4.3出线 (6)4.4系列结构标准 (6)5.安装和操作 (7)5.1IPS设置简介 (7)5.2产品安装和呼叫 (7)5.3呼叫 (7)5.4IPS系列编程 (7)6.VIP设置命令(Telnet 远程配置) (8)6.1操作系统登录命令Telnet (8)6.2帮助命令Help (8)6.3显示配置命令Show (9)6.4设置配置命令Set (10)6.5存盘命令Save (10)6.6恢复前次配置命令Load (10)6.7恢复初始配置命令LoadDefault (10)6.8系统重起动命令Reboot (10)6.9退出命令配置Quit (11)7.配置数据 (12)7.1NetWork部分 (12)7.1.1广域网IP (12)7.1.2广域网IP子网掩码 (12)7.1.3广域网MAC值 (12)7.1.4广域网口DHCP模式 (12)7.1.5局域网IP (13)7.1.6局域网IP子网掩码 (13)7.1.7局域网MAC值 (13)7.1.8DNS状态 (13)7.1.9DNS IP (13)7.1.10默认网关IP (14)7.1.11NAT功能 (14)7.1.12NAT端口映射表 (14)7.1.13PPPoE (14)7.1.14PPPoE 用户名 ......................................... 147.1.15PPPoE 用户密码. (15)7.2GateWay部分 (15)7.2.1网关别名 (15)7.2.2网关IP (15)7.2.3网关区号 (15)7.2.4呼入前缀匹配值 (15)7.2.5呼入前缀删除状态 (16)7.2.6设备最大允许话音通道数 (16)7.2.7启用快速呼叫功能 (16)7.2.8Q.931协议端口值 (16)7.2.9RTP起始端口值 (16)7.2.10TCP起始端口值 (17)7.2.11MCC通信定时器 (17)7.2.12网守定时器 (17)7.2.13TCP定时器 (17)7.2.14ALERTING定时器 (17)7.2.15CONNECING定时器 (17)7.2.16RAS重发次数 (18)7.2.17网守状态 (18)7.2.18网守IP (18)7.2.19TUNNEL状态 (18)7.2.20网关路由表 (18)7.3CDR IP部分 (19)7.3.1中央维护台的IP (19)7.3.2普通维护台IP (19)7.3.3设置SNMP 管理站IP (19)7.4GateKeeper部分 (19)7.4.1网守最大支持呼叫数基本属性 (19)7.4.2内部网守状态 (20)7.4.3IRR消息频率 (20)7.4.4RRQ消息频率 (20)7.4.5RRQ消息超时次数 (20)7.4.6IRR消息超时次数 (20)7.4.7GKID (20)7.4.8网守信息表 (21)7.4.9DSP状态 (21)7.4.10语音编码类型 (21)7.4.11传真模式 (21)7.4.12语音包允许延迟时长 (22)7.4.13回声抵消状态 (22)7.4.14静音检测状态 (22)7.5SYSTEM部分 (22)7.5.1系统软件版本 (22)7.5.2T35国家码 (22)7.5.3T35扩展码 (22)7.5.4终端类别 (23)7.5.5产品ID号 (23)7.5.6设备厂家号 (23)7.5.7H.323协议栈版本 (23)7.5.8H.225协议栈版本 (23)7.5.9H.245协议栈版本 (23)7.6Dialedlen部分 (23)7.7IP ECHO部分 (24)7.7.1IPECHO客户端 (24)7.7.2客户机定时发送消息时间 (24)7.7.3服务器所在地址 (24)7.7.4服务器所在端口 (25)7.7.5是否作为服务器 (25)8.关于配置文件的存取 (26)8.1下载VIP配置文件至PC (26)8.2上传PC的配置文件至VIP中: (26)8.3用TFTP升级VIP系统软件 (26)9.维护注意事项 (27)9.1VIP板RUN灯长亮 (27)9.2IPS电话无法呼出 (27)图图5-1面板指示图 (5)表表5-1面板LED定义 (5)1.前言●本手册详细地介绍了IPS-1000系列V oIP综合接入系统(IPS-1016/1160/1240)的结构、工程安装说明、软件设置等,您也可以根据目录及页眉的标题进行选择性地阅读此手册。

WY8S8003系列ISP用户手册说明书

WY8S8003系列ISP用户手册说明书

WY8S8003系列ISP用户手册Ver1.0.1上海维安半导体有限公司Wayon Semiconductor Co.,Ltd.目录1.概述 (1)1.1.软件简介 (1)1.2.MCU与下载盒连接示意图 (1)1.3.ISP升级流程 (2)1.3.1.一键下载 (2)1.3.2.普通下载 (7)2.通信协议 (11)2.1.命令列表 (11)2.2.串口协议格式 (11)2.2.1.下载命令请求协议定义 (11)2.2.2.下载命令回复协议定义 (12)2.3.指令说明 (12)2.3.1.CMD_SYNC (12)2.3.2.CMD_UPDATE_APROM (13)2.3.3.CMD_UPDATE_APROM_END (13)3.软件基本说明 (15)3.1.软件安装 (15)3.2.软件界面说明 (15)4.修订历史 (16)1. 概述ISP 是在系统编程的缩写,这个功能可以让用户在软件控制下,不需要将MCU 从产品上取下来进行应用程序升级。

针对8051 MCU 产品,我们通过串口提供ISP 升级方法,用户需要在LDROM 区域下载BOOT 程序。

将MCU 调试下载器或其他串口工具和MCU 相连接,并利用WayOn ISP Programer Tool 软件完成升级。

1.1.软件简介WayOn ISP Programer Tool 是维安半导体有限公司针对8051系列MCU 开发的ISP 下载工具,配合8051 MCU 调试器支持一键下载功能。

工具支持UART 通讯方式,默认采用38400的波特率,下载文件支持BIN/HEX 格式,BOOT 程序支持的串口管脚RXD 为引脚P04,TXD0为引脚P05,RST 引脚为P20。

维安8051 MCU 支持默认从APROM 启动,配合维安调试器的串口和GPIO 管脚连接目标MCU 串口和P20(P20配置为RST ),完成ISP 升级。

同时支持默认选择从LDROM 启动,利用普通串口连接目标MCU 串口,在上电启动周期(客户可配)之内完成升级启动完成ISP 升级。

DPtech LSW SI系列以太网交换机典型配置手册v

DPtech LSW SI系列以太网交换机典型配置手册v

DPtech LSW3600-SI系列以太网交换机典型配置手册手册版本:v1.4软件版本:LSW3600-S221S002D013DPtech LSW3600-SI系列以太网交换机典型配置手册v1.4.docx声明Copyright © 2008-2016杭州迪普科技有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

为杭州迪普科技有限公司的商标。

对于本手册中出现的其他所有商标或注册商标,由各自的所有人拥有。

由于产品版本升级或其他原因,本手册内容有可能变更。

杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保杭州迪普科技有限公司地址:杭州市滨江区通和路68号中财大厦6层邮编:310051网址:邮箱:support@7x24小时技术服务热线:400-6100-59约定图形界面格式约定各类标志约定表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢失、功能失效、设备损坏或不可预知的结果。

表示对操作内容的描述进行强调和补充。

目录1典型配置案例支持的设备型号 (1)2常用维护命令行介绍 (1)2.1登陆设备 (1)2.1.1 SSH方式登陆 (1)2.1.2 Telnet方式登陆 (1)2.2查看设备信息 (2)2.3软件版本升级 (2)2.3.1 Conboot模式下操作 (2)2.3.2命令行下操作 (9)2.4清除配置 (9)3基本二三层转发配置案例 (9)3.1二层转发简介 (9)3.1.1配置需求 (10)3.1.2网络拓扑 (10)3.1.3配置流程 (10)3.1.4配置步骤 (10)3.2三层转发简介 (11)3.2.1配置需求 (11)3.2.2网络拓扑 (11)3.2.3配置流程 (11)3.2.4配置步骤 (12)4端口聚合典型配置案例 (13)4.1端口聚合简介 (13)4.1.1基本概念 (13)4.1.2聚合模式 (14)4.1.3负载分担类型 (14)4.2端口聚合配置案例 (14)4.2.1配置需求 (14)4.2.2网络拓扑 (15)4.2.3配置流程 (15)4.2.4配置步骤 (15)5端口镜像典型配置案例 (17)5.1端口镜像简介 (17)5.1.1端口镜像基本概念 (17)5.1.2端口镜像分类 (18)5.2本地端口镜像配置案例 (18)5.2.1配置需求 (18)5.2.2网络拓扑 (19)5.2.3配置流程 (19)5.2.4配置步骤 (19)5.3远程端口镜像配置案例 (21)5.3.1配置需求 (21)5.3.2网络拓扑 (21)5.3.3配置流程 (21)5.3.4配置步骤 (22)6端口限速典型配置案例 (23)6.1端口限速简介 (23)6.2配置案例 (23)6.2.1配置需求 (23)6.2.2网络拓扑 (24)6.2.3配置流程 (24)6.2.4配置步骤 (24)7端口隔离典型配置案例 (25)7.1端口隔离简介 (25)7.2配置案例 (25)7.2.1配置需求 (25)7.2.2网络拓扑 (26)7.2.3配置流程 (26)7.2.4配置步骤 (26)8 ARP防护典型配置案例 (27)8.1 ARP防护简介 (27)8.1.1 ARP报文有效性检查 (27)8.1.2 ARP用户合法性检查 (27)8.1.3 ARP网关保护 (28)8.2 ARP报文一致性检测配置案例 (28)8.2.1配置需求 (28)8.2.2网络拓扑 (29)8.2.3配置流程 (29)8.2.4配置步骤 (29)8.3 ARP用户合法性配置案例 (30)8.3.1配置需求 (30)8.3.2网络拓扑 (30)8.3.3配置流程 (30)8.3.4配置步骤 (31)8.4 ARP网关保护配置案例 (32)8.4.1配置需求 (32)8.4.2网络拓扑 (32)8.4.3配置流程 (32)8.4.4配置步骤 (33)9路由协议典型配置案例 (34)9.1路由协议简介 (34)9.1.1静态路由协议简介 (34)9.1.2 RIP路由协议简介 (34)9.1.3 OSPF路由协议简介 (34)9.2静态路由配置案例 (35)9.2.1配置需求 (35)9.2.2网络拓扑 (35)9.2.3配置流程 (35)9.2.4配置步骤 (35)9.3 RIP路由配置案例 (37)9.3.1配置需求 (37)9.3.2网络拓扑 (38)9.3.3配置流程 (38)9.3.4配置步骤 (38)9.4 OSPF典型配置案例 (41)9.4.1配置需求 (41)9.4.2网络拓扑 (42)9.4.3配置流程 (42)9.4.4配置步骤 (42)10 DHCP典型配置案例 (45)10.1 DHCP简介 (45)10.2 DHCP Server配置案例 (46)10.2.1配置需求 (46)10.2.2网络拓扑 (47)10.2.3配置流程 (47)10.2.4配置步骤 (47)10.3 DHCP Snooping配置案例 (48)10.3.1配置需求 (48)10.3.2网络拓扑 (49)10.3.3配置流程 (49)10.3.4配置步骤 (50)10.4 DHCP 中继配置案例 (51)10.4.1配置需求 (51)10.4.2网络拓扑 (51)10.4.3配置流程 (52)10.4.4配置步骤 (52)11 QoS典型配置案例 (53)11.1 QoS简介 (53)11.2配置案例 (54)11.2.1配置需求 (54)11.2.2网络拓扑 (55)11.2.3配置流程 (55)11.2.4配置步骤 (55)12 802.1x典型配置案例 (56)12.1 802.1x简介 (56)12.1.1基本概念 (56)12.1.2认证方式 (56)12.1.3端口接入控制模式 (57)12.1.4 Radius认证分类 (57)12.2 802.1x本地认证配置案例 (57)12.2.1配置需求 (57)12.2.2网络拓扑 (58)12.2.3配置流程 (58)12.2.4配置步骤 (58)12.3 802.1x Radius认证配置案例 (59)12.3.1配置需求 (59)12.3.2网络拓扑 (59)12.3.3配置流程 (59)12.3.4配置步骤 (59)13生成树典型配置案例 (60)13.1生成树简介 (60)13.2 STP配置案例 (62)13.2.1配置需求 (62)13.2.2网络拓扑 (63)13.2.3配置流程 (63)13.2.4配置步骤 (63)13.3 RSTP配置案例 (65)13.3.1配置需求 (65)13.3.2网络拓扑 (66)13.3.3配置流程 (66)13.3.4配置步骤 (66)13.4 MSTP配置案例 (67)13.4.1配置需求 (67)13.4.2网络拓扑 (68)13.4.3配置流程 (68)13.4.4配置步骤 (69)14 SNMP典型配置 (72)14.1 SNMP简介 (72)14.2 SNMP配置案例 (73)14.2.1配置需求 (73)14.2.2网络拓扑 (73)14.2.3配置流程 (73)14.2.4配置步骤 (74)15 NTP配置案例 (74)15.1 NTP简介 (74)15.2 NTP配置案例 (75)15.2.1配置需求 (75)15.2.2网络拓扑 (75)15.2.3配置流程 (75)15.2.4配置步骤 (75)16日志收集配置案例 (76)16.1日志简介 (76)16.2日志收集案例 (76)16.2.1配置需求 (76)16.2.2网络拓扑 (76)16.2.3配置流程 (77)16.2.4配置步骤 (77)1典型配置案例支持的设备型号LSW3600-SI系列2常用维护命令行介绍2.1登陆设备2.1.1SSH方式登陆在交换机上开启SSH后,就可以在串口终端上输入设备的管理地址、用户名(初始用户名admin)和密码(初始密码admin_default)登录设备。

什么是IPS

什么是IPS

网络攻击的发展趋势是逐渐转向高层应用。

应用层攻击有可能会造成非常严重的后果,比如用户帐号丢失和公司机密泄漏等。

因此,对具体应用的有效保护就显得越发重要。

而IPS作为应用层的重要安全防护工具能够对网络起到较好的实时防护作用。

本专题就将为您展现IPS的另一面防护技术。

什么是IPS随着网络入侵事件的不断增加和黑客攻击水平的不断提高,一方面企业网络感染病毒、遭受攻击的速度日益加快,另一方面企业网络受到攻击作出响应的时间却越来越滞后。

要解决这一矛盾,传统的防火墙或入侵检测技术(IDS)显得力不从心,这时一种新的技术出现了,它就是IPS(IntrusionPreventionSystem,入侵防护系统)。

原理IPS原理防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。

入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。

传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。

绝大多数IDS系统都是被动的,而不是主动的。

也就是说,在攻击实际发生之前,它们往往无法预先发出警报。

而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。

IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。

这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。

当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。

IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。

如果有攻击者利用Layer2(介质访问控制)至Layer7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。

联想 iSpirit 3024M 交换机用户手册说明书

联想 iSpirit 3024M 交换机用户手册说明书

声明欢迎您使用联想产品。

在第一次安装和使用本产品之前,请您务必仔细阅读随机配送的所有资料,这会有助于您更好地使用本产品。

如果您未按本手册的说明及要求操作本产品,或因错误理解等原因误操作本产品,联想网络(深圳)有限公司将不对由此而导致的任何损失承担责任,但联想专业维修人员错误安装或操作过程中引起的损失除外。

联想网络(深圳)有限公司已经对本手册进行了严格仔细的校勘和核对,但我们不能保证本手册完全没有任何错误和疏漏。

联想网络(深圳)有限公司致力于不断改进产品功能、提高服务质量,因此保留对本手册中所描述的任何产品和软件程序以及本手册的内容进行更改而不预先另行通知的权利。

本手册的用途在于帮助您正确地使用联想产品,并不代表对本产品的软硬件配置的任何说明。

有关产品配置情况,请查阅与本产品相关合约(若有)、产品装箱单或咨询向您出售产品的销售商。

本手册中的图片仅供参考,如果有个别图片与产品的实际显示不符,请以产品实际显示为准。

©2004联想网络(深圳)有限公司。

本手册内容受著作权法律法规保护,未经联想网络(深圳)有限公司事先书面授权,您不得以任何方式复制、抄录本手册,或将本手册以任何形式在任何有线或无线网络中进行传输,或将本手册翻译成任何文字。

“联想”、“l e n o v o”和“天工”是联想网络(深圳)有限公司的注册商标或商标。

本手册内所述及的其他名称与产品可能是联想或其他公司的注册商标或商标。

如果您在使用过程中发现本产品的实际情况与本手册有不一致之处,或您想得到最新的信息,或您有任何问题或想法,请垂询或登陆:服务热线:*************服务网站:服务邮箱:*********************1第1章 产品综述本章主要描述联想天工iSpirit 3024M 交换机的前面板与后面板的组成、功能特性、所支持的标准及安装实例。

本章包括以下内容:1、产品概述2、产品特性3、交换机前面板说明4、交换机后面板说明21.1 产品概述iSpirit 3024M 交换机是10/100自适应以太网交换机,可为大中型以太网/快速以太网提供完美的解决方案。

SGIP1.2

SGIP1.2

中国联合通信公司短消息网关系统接口协议(SGIP)版本1.2中国联合通信公司二零零一年十月目录1概述 (1)1.1协议说明 (1)1.2适用范围 (1)1.3参考资料 (1)1.4术语表 (1)2系统体系结构 (3)2.1消息从本地SMSC到本地SP (4)2.2消息从本地SP到本地SMSC (4)2.3消息从本地SMSC到异地SP (4)2.4消息从本地SP到异地SMSC (4)2.5路由选择 (4)3通信流程 (6)3.1专用SGIP方式 (6)3.2通用HTTP方式 (6)3.3通信节点编号规则 (7)3.4序列号的定义 (7)3.5通信的安全性 (8)3.6用户鉴权 (8)3.6.1被叫方付费 (8)3.6.2SP付费 (8)3.6.3第三方付费 (8)3.7SP与SMG的通信 (9)3.7.1通用HTTP方式 (9)3.7.1.1从SP到SMG的命令 (10)3.7.1.2从SMG到SP的命令 (10)3.7.2专用SGIP方式 (10)3.7.2.1通信初始化 (10)3.7.2.2通信过程 (11)3.7.2.3通信结束 (12)3.7.2.4故障处理 (12)3.7.2.5从SP到SMG的消息 (13)3.7.2.6从SMG到SP的消息 (13)3.8SMG与SMG之间的通信 (14)3.8.1通信初始化 (14)3.8.2通信过程 (14)3.8.3通信结束 (15)3.8.4故障处理 (15)3.8.5两个SMG之间的消息 (15)3.9SMG与GNS之间的通信 (15)3.9.1通信初始化 (15)3.9.2通信过程 (16)3.9.3通信结束 (16)3.9.4故障处理 (16)3.9.5从SMG到GNS的消息 (16)3.9.6从GNS到SMG的消息 (17)4消息定义 (18)4.1基于通用HTTP的消息定义 (18)4.1.1Submit操作 (18)4.1.1.1Submit命令的请求内容 (18)4.1.1.2Submit命令的应答内容 (19)4.1.2Deliver操作 (20)4.1.2.1Deliver命令的请求内容 (20)4.1.2.2Deliver命令的应答内容 (20)4.1.3Report操作 (21)4.1.3.1Report命令的请求内容 (21)4.1.3.2Report命令的应答内容 (21)4.1.4UserRpt操作 (22)4.1.4.1UserRpt命令的请求内容 (22)4.1.4.2UserRpt命令的应答内容 (22)4.1.5Trace操作 (22)4.1.5.1Trace命令的请求内容 (22)4.1.5.2Trace命令的应答内容 (23)4.2基于专用SGIP的消息定义 (23)4.2.1数据类型 (23)4.2.2消息头的格式 (24)4.2.3消息体的格式 (24)4.2.3.1Bind操作 (24)4.2.3.2Unbind操作 (25)4.2.3.3Submit操作 (25)4.2.3.4Deliver操作 (28)4.2.3.5Report操作 (29)4.2.3.6AddSP操作 (30)4.2.3.7ModifySP操作 (30)4.2.3.8DeleteSP操作 (31)4.2.3.9QueryRoute操作 (31)4.2.3.10AddTeleSeg操作 (33)4.2.3.11ModifyTeleSeg操作 (33)4.2.3.12DeleteTeleSeg操作 (34)4.2.3.13AddSMG操作 (34)4.2.3.14ModifySMG操作 (35)4.2.3.15DeleteSMG操作 (35)4.3鉴权消息定义 (36)4.3.1CheckUser命令的语法 (36)4.3.2CheckUser_Resp应答的语法 (36)4.3.3UserRpt命令的语法 (36)4.3.4UserRpt_Resp应答的语法 (37)4.4测试消息定义 (37)4.4.1Trace命令的语法 (37)4.4.2Trace_Resp应答的语法 (37)5常量定义 (39)5.1消息ID定义 (39)5.2错误码定义 (39)5.3计费类别定义 (40)5.4R EPORT 状态与短消息状态的映射 (40)附录1: 全网路由表的格式示范 (41)附录2: 本地路由表的格式示范 (42)附录3: HTTP承载方式示范 (43)1概述1.1协议说明本协议是SMG和SP之间、SMG和GNS之间、以及SMG和SMG之间的接口协议,简称SGIP。

IPS 签名语法指南说明书

IPS 签名语法指南说明书

IPS Signature Syntax GuideIPS Signature Syntax GuideMay 22, 201400-108-229429-20140522Copyright© 2014 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. Fortinet disclaims in full any covenants, representations,and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.Fortinet Document Library Fortinet Video Library Fortinet Knowledge Base Customer Service & Support Training Services FortiGuard Document Feedback*********************Table of ContentsTable of Figures (5)List of Tables (6)Change Log (7)Quick Reference (8)Introduction (17)Overview (17)Introduction (17)Protocol Related Options (18)name (18)protocol (18)IP header options (19)TCP header options (23)UDP header options (26)ICMP header options (27)Payload Related Options (29)pattern (29)pcre (30)context (31)no_case (32)distance, distance_abs, within, within_abs (33)byte_jump, byte_test (34)Special Options (37)service (37)flow (37)tag (38)parsed_type (39)dhcp_type (41)data_size (42)rate and track (43)log (44)data_at (44)rpc_num (44)file_type (45)crc32 (46)Deprecated Options (47)Appendix A: Engine and Option Details (48)Service option types (48)IPS engine service logic (49)Signature options (50)How IPS triggers an alert (51)Appendix B: Option Diagrams (52)Pattern context (52)HTTP/SIP context (52)POP3 context (53)SMTP context (53)IMAP context (54)SSH context (54)SSL context (55)Distance within diagram (57)Byte_jump diagram (58)PSET/LASTTAG diagram (58)Appendix C: Signature Definitions (59)Context protocol notes (59)Range modifier notes (60)Typical signature definition errors (60)Signature definition conventions (61)Table of FiguresFigure 1: IPv4 packet format (19)Figure 2: IPv6 header format (19)Figure 3: TCP packet format (23)Figure 4: UDP packet format (26)Figure 5: ICMPv4 packet format (27)Figure 6: ICMPv6 packet format (27)Figure 7: Legend (52)Figure 8: HTTP/SIP context (52)Figure 9: POP3 context (53)Figure 10: SMTP context (53)Figure 11: IMAP context (54)Figure 12: SSH context (54)Figure 13: SSL context (55)Figure 14: SSL context (56)Figure 15: Distance within (57)Figure 16: Byte_jump (58)Figure 17: PSET/LASTTAG (58)List of TablesTable 1: IPS signature quick reference (8)Table 2: IP header property tests (19)Table 3: Check TCP header properties (23)Table 4: Check UDP header options (26)Table 5: ICMP header tests (27)Table 6: Types defined in RFC (41)Table 7: Supported service types (48)Table 8: Basic options (50)Table 9: Pattern signature options (50)Table 10: Removed PCRE modifiers (59)Change LogQuick ReferenceIntroductionOverviewThe purpose of this document is to provide details about the format and syntax of signatures forIPS Engine 4.0. Signatures are one of the most critical parts of IPS. All signatures written shouldcomply strictly with the format defined in this document.IntroductionFortinet’s IPS Signatures, or rules, falls into two categories: official and custom. This guide onlydiscusses custom rules. Official rules are made by Fortinet analysts and are distributed in theofficial release packages. Custom user rules are made by our customers for their own use. Itshould be noted that the maximum allowed length of a custom user signature is 1024 bytes,while the maximum length of an official release signature is 4096 bytes.The Fortinet IPS Engine uses a simple, lightweight signature definition language. An IPSsignature is made up of a type header and a series of option/value pairs, as shown in the formatbelow:TYPE( <option1 value1>; <option2 value2>; ... )•The TYPE for normal signatures is "F-SBID".•An option starts with "--", followed by the option name, a space and the option value, and ends with a semicolon ";".•Option names and keywords are case insensitive.•Some options do not need a value.The options are divided into four categories based on their purpose:•Basic options: used to identify and control a signature, but not related to packetinspection. These options are not addressed in this guide.•Protocol related options: used to detect IP/ICMP/UDP/TCP protocol headers.•Payload related options: used to detect the packet payload.•Special options: options used for all other purposes.In the following sections, we will discuss each of these option categories in detail. The tables in“Signature options” on page 50 contain links to more information on all of the options.Protocol Related OptionsPayload Related OptionsIPS signatures use pattern matching for inspecting of a packet payload. A pattern definitionstarts with a --pattern or a --pcre option name, and is followed by a series of modifiers.The general format of a pattern definition is:--pattern <string>; [--context c;] [--no_case;][--distance n[,<refer>]]; [--within n[,<refer>]];Or, for PCRE patterns:--pcre <string>; [--context c;] [--distance n[,<refer>]];[--within n[,<refer>]];patternThe pattern keyword is used to specify which content to match. The pattern can containmixed text and binary data. The binary data is generally enclosed within the pipe "|" characters,and is represented as hexadecimal numbers. It can match content in all packets for allprotocols.If there is no no_case keyword following the pattern keyword, the content matching is casesensitive.If there is no distance or within keyword following the pattern keyword, the content issearched for from the beginning of the packet to the end.If --context packet_origin does not follow the pattern keyword, for decoded traffic likeTelnet and BO2K, the content is searched for in the decoded buffer. So in order to search theoriginal buffer, --context packet_origin should be used as a modifier for the patternkeyword.The pattern to be matched must be enclosed in double quotation marks and followed by asemicolon. The special characters (";\|) must be written as (|22|, |3B| or |3b|, |5C| or|5c|, |7C| or |7c|). Although a backslash ( \ ) can be used to escape any character except";", this is not recommended.Format--pattern [!]"<text>"; //[!] indicates the content is matched if it does not appear in the packet.Examples--pattern "/level/";--pattern "|E8 D9FF FFFF|/bin/sh";--pattern !"|20|RTSP/";As IPS Engine handles PCRE a lot slower compared to normal pattern matching. PCRE should be used very carefully, especially for signatures that detect traffic from HTTP servers or traffic that does not specify a port.Special OptionsExamplesThe following are two versions of the same HTTP signature, the second one is faster and more accurate.1.F-SBID( --name "FrontPage.Fp30reg.Chunked.Overflow"; --protocol tcp;--service HTTP; --flow from_client; --pattern "POST";--context uri; --distance 0,context; --within 5,context;--pattern "/_vti_bin/_vti_aut/fp30reg.dll"; --context uri;--no_case; --distance 0; --pattern "TransferEncoding";--context header; --no_case; --pattern "chunked";--context header; no_case; --distance 1; )2.F-SBID( --name "FrontPage.Fp30reg.Chunked.Overflow"; --protocol tcp;--service HTTP; --flow from_client; --parsed_type HTTP_POST;--pattern "/_vti_bin/_vti_aut/fp30reg.dll"; --context uri;--no_case; --parsed_type HTTP_CHUNKED; )These are two SSL signatures that detect the same vulnerability. The second one is better than the first one.1.F-SBID( -name "SSL.PCT.Overflow"; --protocol tcp; --dst_port 443;--flow from_client; --tag test,!Tag.SSLv3.Web.443;--tag test,!Tag.SSLv2.Web.443; --tag test,!Tag.TLSv1.Web.443;--pattern "|01|"; --within 1,packet; --distance 2,packet;--byte_test 2,>,1,3; --byte_test 2,<,0x301,3; --byte_test2,>,0,5; --byte_test 2,!,0,7; --byte_test 2,<,16,7; --byte_test2,>,16,9; --byte_test 2,<,33,9; --pattern "|8F|";--within 1,packet; --distance 11,packet;--byte_test 2,>,32768,0,relative; --data_size >300; )2.F-SBID( --name "SSL.PCT.Overflow"; --protocol tcp;--flow from_client; --service SSL;--parsed_type SSL_PCT;--pattern "|01|"; --within 1,packet; --distance 2,packet;--byte_test 2,>,1,3; --byte_test 2,<,0x301,3; --byte_test2,>,0,5; --byte_test 2,!,0,7; --byte_test 2,<,16,7; --byte_test2,>,16,9; --byte_test 2,<,33,9; --pattern "|8F|";--within 1,packet; --distance 11,packet;--byte_test 2,>,32768,0,relative; --data_size >300; )Deprecated OptionsThese keywords are still supported in order to maintain backward compatibility: uriheaderbodycontentrawoffsetdepthAppendix A: Engine and Option Details。

ips方案

ips方案

IPS方案1. 引言入侵防御系统(Intrusion Prevention System,IPS)是一种网络安全措施,用于监视和阻止网络中的恶意行为和攻击。

IPS系统能够识别和防止安全事件,帮助组织保护其关键信息和网络资源。

本文将介绍IPS方案的基本原理、功能及其部署方式。

2. IPS的基本原理IPS系统的基本原理是通过检测网络流量中的异常和恶意行为,并主动阻止这些行为。

IPS系统基于先进的威胁情报、行为分析和规则引擎,对网络流量进行实时监控和分析。

IPS系统通常使用以下几种方法来检测和阻止恶意行为:•签名检测:基于已知的攻击特征(即攻击签名),对网络流量进行匹配和识别。

一旦发现攻击,IPS系统会立即采取措施阻止攻击流量。

•行为分析:通过监控网络流量的行为模式和统计数据,IPS系统能够识别出异常的行为。

例如,大量重复的连接尝试或异常高的流量访问等。

•漏洞扫描:IPS系统可以扫描系统中的漏洞,并及时修复或阻止攻击者利用这些漏洞发起攻击。

•流量过滤:IPS系统可以根据定义的规则,过滤或阻止特定类型的流量。

例如,可以阻止特定来源或目标IP的流量。

3. IPS的功能IPS系统具有以下主要功能:3.1 攻击检测和阻止IPS系统能够识别和阻止各种网络攻击,包括但不限于:•网络扫描和扫描工具的检测•拒绝服务(DoS)攻击的阻止•恶意软件和病毒的检测和清除•网络入侵的防御3.2 漏洞管理和修复IPS系统可以扫描系统中的漏洞,并及时通知管理员进行修复。

通过阻止攻击者利用系统漏洞,IPS可以提高系统的安全性。

3.3 日志和报告IPS系统记录和存储安全事件的日志,并生成详细的报告。

这些报告可以用于分析网络威胁、检测安全漏洞、验证合规性要求等。

3.4 实时监控和响应IPS系统实时监控网络流量,并对恶意行为进行即时响应。

系统管理员可以接收实时告警,并采取必要的措施来应对安全事件。

4. IPS的部署方式IPS系统可以根据部署位置的不同,分为以下几种方式:4.1 网络边界IPS网络边界IPS部署在网络边界,用于监控和防御外部网络对内部网络的攻击和入侵行为。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

环迅支付(IPS)系统接口定义说明手册文档修订记录目录1.简介 (1)1.1.背景简介 (1)1.2.IPS支付流程 (1)1.2.1.银行卡支付基本流程图 (1)2.安全控制 (2)2.1.防火墙 (2)2.2.SSL128位传输加密标准 (3)2.3.订单支付接口的MD5摘要认证 (3)2.4.交易返回接口的数字签名认证 (3)3.系统环境要求 (4)3.1.硬件环境 (4)3.2.软件环境 (4)3.3.网络环境 (4)3.4阅读对象 (4)4.接口开发 (5)4.1.开发前准备工作 (5)4.1.1消息请求头定义 (5)4.1.2消息响应头定义 (6)4.1.3消息数字签名 (6)4.2.订单支付 (7)4.2.1表单提交(POST方式) (7)4.2.2.订单提交URL (8)4.2.3.订单支付接口表单参数 (9)4.3.订单支付返回 (10)4.3.1.表单返回 (10)4.3.2.交易返回接口表单参数 (11)4.3.3.交易返回接口验证事项 (12)4.4.订单查询(W EB S ERVICE) (13)4.4.1按商户订单号查询 (13)4.4.2按银行订单号查询 (15)4.4.3按商户订单时间查询 (18)4.5.交易查询(W EB S ERVICE) (21)4.5.1按IPS交易流水号查询 (21)4.5.2按IPS交易时间查询 (23)4.6.交易退款(W EB S ERVICE) (25)4.6.1 服务地址 (25)4.6.2 请求 (25)4.6.3 响应 (26)附录 (27)交易返回方式 (27)交易类型表 (28)币种列表 (29)错误返回码 (29)银行列表 (1)1. 简介1.1. 背景简介IPS(Internet Payment System)是一个功能强大基于网络的在线支付平台,由IPS投入大量资金和科研力量开发而成,以其自身个性化的设计为客户提供了多渠道、多语言、更安全的在线支付服务。

目前该产品已广泛应用于网络商家的B2C、B2B业务之中,以其快捷、安全的交易模式普遍被商家所接受,国内绝大部分知名电子商务网站已使用了这套系统。

1.2. IPS支付流程1.2.1. 银行卡支付基本流程图1 :()步骤说明:1)持卡人访问商户网站选择商品,开始交易过程;2)持卡人选择通过网上支付方式,商户直接将浏览器重定向到IPS支付网关人民币卡支付页面;3)在IPS支付页面,持卡人选择对应银行,然后进行付款确认;4)IPS支付网关重定向到选定的银行支付页面;5)在网银页面,持卡人录入支付信息;6)银行弹出支付结果页面提示持卡人支付结果;7)银行将支付结果返回给IPS支付网关;8)IPS支付网关返回支付结果至商户网站;9)商户根据支付结果为持卡人提供服务。

2. 安全控制2.1.防火墙防火墙是由软件或硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。

换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。

它是保护和连接一个网络到另一个网络的设备,保护网络服务器不被外部非法授权者使用,按照既定规则控制数据包的进出,是内外网络之间的屏障。

IPS支付平台使用著名网络安全公司NetScreen提供的防火墙。

它以硬件为基础,将防火墙虚拟专用网VPN 和流量管理系统等几类功能集成到一个产品上,确保IPS支付网关免于被病毒和黑客攻击,减少由于网络产生的新漏洞所受到的威胁,为商户交易的机密数据提供了保护措施,保证平台安全稳定。

2.2.SSL 128位传输加密标准安全套接层协议SSL(Secure Socket Layer)是基于传输层的安全协议,即“通道安全”,用来保证安全传输文件。

它是一种被广泛使用的Internet传输加密标准。

该协议向基于TCP/IP的客户/服务器应用程序提供了客户端和服务端的鉴别、数据完整性及信息机密性等安全措施,通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。

在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。

该协议已成为事实上的工业标准。

IPS支付平台使用全球著名认证中心VeriSign提供的SSL证书(128位)。

客户端的浏览器发送CGI请求时使用https协议,所有客户端发送的https请求以及Web Server返回的结果都会自动使用SSL加密。

客户通过网络向服务商传送的信息会自动加密, 等到另外一端收到信息后, 再将编码后的信息还原。

即使盗窃者在网络上取得编码后的信息, 如果没有原先编制的密码算法, 也不能获得可读的有用信息。

所以IPS能最大程度的保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份及可操作性。

2.3.订单支付接口的md5摘要认证为了保证商户传送到IPS的订单不被恶意篡改,IPS为商户订单支付接口提供了基于Md5(或者MD5WithRsa)的数字签名,将生成的摘要组织在报文头上,连同订单支付信息一起发送到IPS,IPS通过Md5摘要认证来判别该订单信息是否被篡改,从而保障了商户的利益。

2.4.交易返回接口的数字签名认证数字签名认证的目的是用来保证信息传输过程中信息的完整性、真实性以及保证信息发送者身份的确认。

数字签名使得接收者能够核实发送者对报文的签名,发送者事后不能抵赖对报文的签名,且接收者不能伪造对报文的签名。

如果商户对IPS系统返回数据的真实性有较高的要求,可以结合我们颁发给商户的公钥和组件来验证签名,以防止别人模拟IPS返回订单,保证系统的安全运行,从而最大限度的保障了商户以及持卡人的利益。

3. 系统环境要求3.1.硬件环境1)Intel Pentium 2GHz CPU;2)2G以上内存。

3.2.软件环境1)Microsoft NT platform;2)Unix/Linux platform;3)运行环境能够调用DLL或Java组件。

3.3.网络环境1)开通http协议使用的端口;2)建议客户端使用IE6以上版本浏览器;3)至少拥有一个具有公共域名或IP的Web Server。

3.4 阅读对象本文适合有一定计算机与web开发基础的接口对接技术人员及其他相关人员阅读。

4. 接口开发4.1.开发前准备工作IPS 会给申请开通的商户分配唯一的商户号,并通过邮件方式发送其初始密码。

商户在收到初始密码的邮件后,通过IPS 的官方首页(),登录商户后台及时修改密码,以保证商户后台系统安全。

IPS 面向商户提供的服务接口统一以xml 格式交换数据,xml 文件统一以UTF-8编码,xml 文件头统一格式<?xml version=”1.0” encoding=”UTF-8”?>,整个xml 节点之间没有回车换行符,通常请求包含消息头和消息体两部分,以下Web 服务接口中如没有特殊说明,均采用以下的请求和响应消息头定义格式。

4.1.1消息请求头定义4.1.2消息响应头定义4.1.3消息数字签名为了能向客户提供更方便安全的服务,IPS 系统为商户增加了数字签名功能。

如果商户对IPS 系统数据的真实性有较高要求,商户需要对所提交的报文体进行签名。

在具体的使用中,商户可以使用2种不同的数字签名验证(<body>节点的xml 文本值+商户号+商户数字证书)(1) RetEncodeType=16(Md5WithRSA 数字签名方式)(2) RetEncodeType=17(MD5摘要数字签名方式)。

当RetEncodeType=17时,IPS 返回的数字签名摘要信息已全转成小写字符,在验证的时需将生成的Md5摘要先转成小写后再做比较。

注意:1) 商户内部证书指商户在IPS 存储的一个128位的字符串,请商户在每次更新这个证书的同时,同步更新您的程序。

2)由于IPS对商户做了域名限制,所以用正式商户号进行交易测试时,请从开户时提供的网站域名下提交交易。

4.2.订单支付4.2.1表单提交(POST方式)持卡人在商户网站选购完商品后,商户生成订单,订单页面中应含有订单支付表单,用来向IPS提供该笔订单的详细信息和商户自己的详细信息。

订单支付信息通过Form表单以Post方式递交给IPS,表单提交方式采用Post隐含域方式,表单格式如下:其中pGateWayReq是以XML形式组织的支付请求,每一个支付请求由包含head和body的、标准的XML报文描述,其中,报文头是描述报文的产生方、接收方等与业务无关的信息,给出了报文的类型和对报文体进行加密后的签名,接收方能够通过对报文验签确定请求方的身份,然后解密,并根据报文的类型选用对应的解析方法,从body中获取与业务相关的信息和数据;而报文体则是具体业务数据的主体,报文的具体内容和格式定义如下表所示。

<MsgId>[String]</MsgId><ReqDate>[String]</ReqDate><Signature>[String]</Signature></head><body><MerBillNo>[string]</MerBillNo><Amount>[string]</Amount><Date>[string]</Date><CurrencyType>[string]</CurrencyType ><GatewayType>[string]</GatewayType><Lang>[string]</Lang><Merchanturl><![CDATA[]]></Merchanturl><FailUrl><![CDATA[]]></FailUrl><Attach><![CDATA[]]></Attach><OrderEncodeType>5</OrderEncodeType><RetEncodeType>[string]</RetEncodeType><RetType>[string]</RetType><ServerUrl><![CDATA[]]></ServerUrl><BillEXP>[String]</BillEXP><GoodsName>[string]</GoodsName><IsCredit>[string]</IsCredit><BankCode>[string]</BankCode><ProductType>[string]</ProductType></body></GateWayReq></Ips>说明:此格式只为方便阅读,实际调用时为一长串,不要添加回车换行,以下一致。

相关文档
最新文档