M9K+七层应用防护

如图

调用IPS和AV策略只是“开启防护”的必要条件，但不是充分条件。要让它们真正生效，取决于DPI（深度报文检测）引擎是否处于正常的“Running”状态。根据你提供的截图，DPI引擎的状态是 Normal（正常运行），这表明引擎是开启的，因此四层和七层的防护已经生效。

 IPS/AV与DPI引擎的关系

• IPS（四到七层）：IPS主要工作在四到七层，通过对报文内容进行深度分析来识别和阻断入侵行为。

• AV（七层）：AV则专注于七层，通过特征匹配来检测和清除病毒。

• DPI引擎：IPS和AV等深度安全业务都依赖同一个公共模块——DPI引擎，进行统一的报文解析和特征匹配。

简单来说，DPI引擎是执行具体检测的“工人”，而你调用的策略是告诉它“应该检测哪些内容”的“任务书”。只要“任务书”在“工人”手里，并确保“工人”在岗，检测工作就会开始。

查看DPI引擎状态最直接的方法是使用 display inspect status 命令。这条命令是所有命令的基石，通过它你可以快速判断DPI引擎是否正常工作。以下是关键输出解读：

• Running status: Normal：DPI引擎处于正常工作状态，你的IPS和AV策略应该能正常执行。

• DPI administratively disabled：DPI引擎被管理员手动关闭。你需要执行 undo inspect bypass 来重新开启。

• DPI disabled due to high CPU usage：因CPU使用率过高，系统为了保护自身而自动禁用了DPI引擎。

• DPI auto-bypass for protocol xxx：系统针对特定协议自动绕过了检测，这通常意味着处理该协议报文时可能曾出现过异常。

当对IPS或AV策略进行配置变更后，需要执行 inspect activate 命令来激活这些变更。这条命令会通知DPI引擎加载最新的策略，确保新的配置立即生效。

先直接给你结论：只在安全策略里引用默认 IPS+AV 模板，并不算完整开启七层防护；必须同时确保 DPI 引擎正常运行、特征库生效，才是真正开启 4~7 层全防护。
下面用最简单、最实用的方式帮你判断 + 核对你 M9K 的状态。
一、你现在的状态：策略里勾了 IPS/AV = 只 “配置了”，没 “真正生效”
H3C M9000 系列（M9K）的逻辑是：
安全策略引用 IPS/AV
→ 只是告诉设备：“我要对这条流量做检测”
DPI 引擎必须 UP + 特征库加载成功
→ 设备才有能力真正识别攻击、病毒、应用
缺一不可。只做第 1 步，DPI 没启 / 挂了 → 流量直接放行，不做任何七层检测。
二、怎么看你的 M9K 七层引擎是否真的开启（你对照自己截图）
登录设备执行下面命令，只要出现这些内容就正常：
1. 查看 DPI 引擎状态（最关键）
bash
运行
display dpi status
正常应该显示：
DPI global status: Enabled
各业务引擎：IPS running、AV running、APP running
如果显示：
Disabled
或某个引擎 stopped / initializing 很久
→ 七层没生效
2. 查看特征库是否加载成功
bash
运行
display ips signature version
display av signature version
display app-signature version
正常：
有版本号、时间
Status: loaded
3. 查看刀片 / NP 引擎状态（M9K 专用）
bash
运行
display device
display fp resource
业务板（SEC/IPS/AV 刀片）必须：
Status: Running
无 Offline、Fault、Auto-recover
三、你必须补的一条关键配置（很多人漏）
即使引擎正常，M9K 老版本必须全局开启 DPI：
bash
运行
system-view
dpi enable
这条不开 → 策略里勾满 IPS/AV 也白搭。
四、最终判断标准（你直接对照）
满足下面 全部 4 条，才算 4 层 + 7 层完整防护已开启：
安全策略中 已引用 IPS 策略 + AV 策略
display dpi status → DPI global status: Enabled
IPS/AV/ 应用特征库 已加载、有版本号
业务板状态 Running，无异常
→ 这样才是真正开启：
4 层：ACL、安全域、会话防火墙
7 层：IPS 入侵防御、AV 病毒防护、应用识别、应用控制