国家 / 地区

23-DPI深度安全命令参考

03-URL过滤命令

本章节下载  (276.20 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR_Winet/H3C_MSR_810_WiNet/Command/Command_Manual/H3C_MSR_WiNet_CR(V7)-R0605-6W200/23/201911/1245071_30005_0.htm

03-URL过滤命令


1 URL过滤

1.1  URL过滤配置命令

1.1.1  add

add命令用来向URL过滤策略中添加黑/白名单规则。

undo add命令用来删除URL过滤策略中指定的或所有黑/白名单规则。

【命令】

add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]

undo add { blacklist | whitelist } { id | all }

【缺省情况】

URL过滤策略中不存在黑/白名单规则。

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【参数】

blacklist:表示URL过滤策略的黑名单规则。

whitelist:表示URL过滤策略的白名单规则。

id:表示黑/白名单规则的编号,取值范围为1~65535。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限65535,则选择当前未使用的最小编号作为新的编号。

host:表示匹配URL中的主机名字段。

uri:表示匹配URL中的URI字段。

regex regex:表示使用正则表达式对主机名和URI字段进行模糊匹配。regex是正则表达式,主机名规则的取值范围为4~224个字符的字符串,不区分大小写,只能以字母、数字和下划线开头;URI规则的取值范围为4~253个字符的字符串,区分大小写,只能以字母、数字和下划线开头。

text string:表示使用文本对主机名和URI字段进行精确匹配。string是指定的主机名或URI规则字符串,主机名规则的取值范围为3~224个字符的字符串,不区分大小写,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”和点号“.”,但URI无此限制;URI规则的取值范围为3~255个字符的字符串,区分大小写。

all:表示所有的黑/白名单规则。

【使用指导】

URL过滤黑/白名单规则功能根据应层的信息进行URL过滤。如果用户HTTP报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。

【举例】

# 在URL过滤策略news中,添加一条黑名单规则,并使用字符串games.com对主机名字段进行精确匹配。

<Sysname> system-view

[Sysname] url-filter policy news

[System-url-filter-policy-news] add blacklist 1 host text games.com

# 添加一条白名单规则,并使用字符串sina.com对主机名字段进行精确匹配。

[System-url-filter-policy-news] add whitelist 1 host text sina.com

1.1.2  category action

category action命令用来配置URL过滤分类动作。

undo category action命令用来删除指定的URL过滤分类动作。

【命令】

category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]

undo category category-name

【缺省情况】

不存在URL过滤分类动作。

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【参数】

category-name:指定URL过滤分类名称,包括预定义和自定义的URL过滤分类名称,为1~63个字符的字符串,不区分大小写。

action:表示对匹配上此URL过滤分类中的任何一条规则的报文所采取的动作。

block-source:表示阻断报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名过滤单功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。

drop:表示丢弃报文。

permit:表示允许报文通过。

redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。

reset:表示通过发送TCP的reset报文从而使TCP连接断开。

logging:表示生成报文日志。

parameter-profile parameter-name:指定引用的动作参数。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定该参数或指定的参数不存在,则使用动作的缺省参数。这里引用的动作参数是应用层检测引擎中配置的动作参数,有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

【使用指导】

URL过滤功能对报文的处理过程如下:

·     如果报文匹配上该URL过滤分类中的任何一条规则,则设备将会根据该URL过滤分类绑定的动作对此报文进行处理。

·     如果报文没有匹配上该URL过滤分类中的任何规则,但是配置了default-action命令,则设备将根据URL过滤策略中配置的缺省动作来对此报文进行处理。

·     如果报文没有匹配上该URL过滤分类中的任何规则,且也没有配置default-action命令,则设备直接允许此报文通过。

【举例】

# 在URL过滤策略news中,配置URL过滤分类sina的动作为丢弃。

<Sysname> system-view

[Sysname] url-filter policy news

[System-url-filter-policy-news] category sina action drop

【相关命令】

·     inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     url-filter category

·     url-filter policy

1.1.3  cloud-query enable

cloud-query enable命令用来开启URL过滤分类云端查询功能。

undo cloud-query enable命令用来关闭URL过滤分类云端查询功能。

【命令】

cloud-query enable

undo cloud-query enable

【缺省情况】

URL过滤分类云端查询功能处于关闭状态。

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【使用指导】

在URL过滤策略中开启URL过滤分类云端查询功能后,如果流经设备HTTP报文中的URL与该URL过滤策略中的过滤规则匹配失败,则此URL将会被发向云端URL过滤分类服务器进行查询。云端URL过滤分类服务器响应该请求,并向设备发送查询结果,该结果中包含了URL过滤规则及其所属的分类名称,设备根据该结果执行相应的分类处理动作。如果云端返回的分类在设备上没有与其对应的分类动作或者云端URL查询失败,则设备将对此报文执行URL过滤策略中的缺省动作。

【举例】

# 在URL过滤策略中开启URL过滤分类云端查询功能。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] cloud-query enable

【相关命令】

·     url-filter policy

1.1.4  default-action

default-action命令用来配置URL过滤策略的缺省动作。

undo default-action命令用来恢复缺省情况。

【命令】

default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]

undo default-action

【缺省情况】

URL过滤策略中不存在缺省动作。

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【参数】

block-source:表示阻断报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名过滤单功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。

drop:表示丢弃报文。

permit:表示允许报文通过。

redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。

reset:表示通过发送TCP的reset报文从而使TCP连接断开。

logging:表示生成报文日志动作。

parameter-profile parameter-name:指定引用的动作参数。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定该参数或指定的参数不存在,则使用动作的缺省参数。这里引用的动作参数是应用层检测引擎中配置的动作参数,有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

【使用指导】

配置此命令后,当报文没有匹配上URL过滤策略中的规则时,设备将根据URL过滤策略的缺省动作对此报文进行处理。

【举例】

# 在URL过滤策略news中,配置缺省动作为丢弃。

<Sysname> system-view

[Sysname] url-filter policy cmcc

[Sysname-url-filter-policy-cmcc] default-action drop

【相关命令】

·     inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     url-filter policy

1.1.5  description

description命令用来配置URL过滤分类的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

自定义的URL过滤分类中不存在描述信息。

【视图】

URL过滤分类视图

【缺省用户角色】

network-admin

【参数】

text:URL过滤分类的描述信息,为1~255个字符的字符串,可以包含空格,不区分大小写。

【使用指导】

通过合理编写描述信息,便于管理员快速理解和识别URL过滤分类的作用,有利于后期维护。

【举例】

# 配置URL过滤分类news的描述信息为News information。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] description News information

1.1.6  display url-filter cache

display url-filter cache命令行用来查看URL过滤缓存中的信息。

【命令】

display url-filter cache [ existence { eq | lt | gt } existence-time | category category-name | hitcount { eq | lt | gt } hit-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

existence existence-time:指定缓存URL过滤规则的保存时间,取值范围为0~4294967295,单位为秒。

eq:表示等于指定的保存时间。

lt:表示小于指定的保存时间。

gt:表示大于指定的保存时间。

category category-name:指定URL过滤分类,category-name为URL过滤分类名称。

hitcount hitnumber:指定URL过滤规则命中次数,取值范围为0~4294967295,单位为次。

eq:表示等于指定的命中次数。

lt:表示小于指定的命中次数。

gt:表示大于指定的命中次数。

【举例】

# 查看URL过滤缓存中的信息。

<Sysname> display url-filter cache

          URL: sina.com

     Category: Unknown

     Hitcount: 20

    Existence: 7200 seconds (cached on 2014/11/12 at 15:00:00)

 

          URL: baidu.com

     Category: Search

     Hitcount: 20

    Existence: 3600 seconds (cached on 2014/11/12 at 16:00:00)

表1-1 display url-filter cache命令显示信息描述表

字段

描述

URL

URL过滤规则

Category

URL过滤分类名称,这里是从服务器学习到名称,若还没有查询到,则显示为Unknown

Hitcount

该URL过滤规则被命中的次数

Existence

该URL过滤规则在缓存中的时间,同时显示首次进入缓存的UTC时间

 

【相关命令】

·     url-filter category

1.1.7  display url-filter category

display url-filter category命令用来查看URL过滤分类信息。

【命令】

display url-filter category [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

verbose:显示URL过滤分类的详细信息。如果不指定该参数,则显示URL过滤分类的摘要信息。

【举例】

# 查看URL过滤分类信息。

<Sysname> display url-filter category

Url-filter categories total

      Predefine category count : 53

          Predefine rule count : 2000

    User define category count : 5

        User define rule count : 4

Url-filter categories

           Name : 23

           Name : 24

           Name : 33

           Name : Pre-AdvertisementsAndPop-Ups

           Name : Pre-AlcoholAndTobacco

           Name : Pre-Anonymizers

           Name : Pre-Arts

           Name : Pre-Business

           Name : Pre-Chat

           Name : Pre-ComputersAndTechnology

           Name : Pre-CriminalActivity

           Name : Pre-Cults

           Name : Pre-DatingAndPersonals

           Name : Pre-DownloadSites

           Name : Pre-Education

           Name : Pre-Entertainment

           Name : Pre-FashionAndBeauty

---- More ----

# 查看URL过滤分类的详细信息。

<Sysname> display url-filter category verbose

Url-filter categories total

      Predefine category count : 53

          Predefine rule count : 2000

    User define category count : 5

        User define rule count : 4

Url-filter categories

           Name : 23

           Type : User defined

       Critical : 1001

     Rule count : 1

    Description :

           Name : 24

           Type : User defined

       Critical : 1002

     Rule count : 1

    Description :

           Name : Pre-AdvertisementsAndPop-Ups

           Type : Predefined

       Critical : 300

     Rule count : 32

    Description : Sites that provide advertising graphics or other ad content fi

                  les such as banners and pop-ups.

           Name : Pre-AlcoholAndTobacco

           Type : Predefined

       Critical : 960

     Rule count : 7

    Description : Sites that promote or sell alcohol- or tobacco-related product

                  s or services.

---- More ----

表1-2 display url-filter category命令显示信息描述表

字段

描述

URL-filter categories total

设备中URL过滤分类总数,包括预定义的分类和自定义的分类

Predefine category count

预定义URL过滤分类数目

Predefine rule count

预定义URL过滤规则数目

User define category count

自定义URL过滤分类数目

User define rule count

自定义URL过滤规则数目

URL-filter categories

URL过滤分类表项

Name

URL过滤分类名称

Type

URL过滤分类类型,包括如下取值:

·     Predefined:预定义分类

·     User defined:自定义分类

Critical

URL过滤严重级别

Description

URL过滤分类描述信息

 

1.1.8  display url-filter signature information

display url-filter signature information查看URL过滤特征库信息。

【命令】

display url-filter signature information

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 查看URL过滤特征库信息。

<Sysname> display url-filter signature information

URL filter signature library information:

Type      SigVersion         ReleaseTime               Size

Current   1.0.0              Wed Jan 21 06:43:53 2015  36096

(null)    -                  -                         -

Factory   1.0.0              Wed Jan 21 06:43:53 2015  36096

表1-3 display url-filter signature information命令显示信息描述表

字段

描述

Type

URL过滤特征库版本,包括如下取值:

·     Current:当前版本

·     Last:上一版本

·     Factory:出厂版本

SigVersion

URL过滤特征库版本号

ReleaseTime

URL过滤特征库发布时间

Size

URL过滤特征库文件大小,单位是Bytes

 

1.1.9  display url-filter statistics

display url-filter statistics命令用来查看URL过滤的统计信息。

【命令】

display url-filter statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示URL规则命中统计信息。

<Sysname> display url-filter statistics

Total HTTP requests                           : 0

Total permitted HTTP requests                 : 0

Total denied HTTP requests                    : 0

Requests that matched the blacklist           : 0

Requests that matched the whitelist           : 0

Requests that matched a user-defined rule     : 0

Requests that matched a predefined rule       : 0

Requests that matched a cached rule           : 0

Requests that matched the default action      : 0

Predefined URL filtering rules                : 2000

--------------------------------------------------------------

表1-4 display url-filter statistics命令显示信息描述表

字段

描述

Total HTTP requests

HTTP报文总数

Total permitted HTTP requests

HTTP报文放行个数

Total denied HTTP requests

HTTP报文拒绝个数

Requests that matched the blacklist

黑名单规则命中数

Requests that matched the whitelist

白名单规则命中数

Requests that matched a user-defined rule

自定义规则命中数

Requests that matched a predefined rule

预定义规则命中数

Requests that matched a cached rule

缓存规则命中数

Requests that matched the default action

默认动作命中数

Predefined URL filtering rules

预定义规则数量

1.1.10  include pre-defined

include pre-defined命令用来添加预定义URL过滤分类中的规则。

undo include pre-defined命令用来恢复缺省情况。

【命令】      

include pre-defined category-name

undo include pre-defined

【缺省情况】

URL过滤分类中未添加预定义URL过滤分类中的规则。

【视图】

URL过滤分类视图

【缺省用户角色】

network-admin

【参数】

category-name:表示预定义URL过滤分类的名称,为1~63个字符的字符串,区分大小写。指定的预定义URL过滤分类必须已存在。

【使用指导】

当新建的URL过滤分类中所需的规则与已存在的预定义URL过滤分类中的规则比较相似时,可通过此命令灵活、快速的创建URL过滤分类。

一个URL过滤分类下只能添加一个预定义URL过滤分类。多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为news的URL过滤分类中加预定义URL过滤分类pre-Arts中的规则。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] include pre-defined pre-Arts

1.1.11  rename (URL filtering category view)

rename命令用来重命名URL过滤分类,并进入新的URL过滤分类视图。

【命令】

rename new-name

【视图】

URL过滤分类视图

【缺省用户角色】

network-admin

【参数】

new-name:表示新的URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

原有URL过滤分类的名称被修改后,URL过滤策略中引用的同名URL过滤分类的名称也会被同步修改。

【举例】

# 把名称为news的URL过滤分类重命名为hello,并进入新的URL过滤分类视图。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] rename hello

[Sysname-url-filter-category-hello]

1.1.12  rename (URL filtering policy view)

rename命令用来重命名URL过滤策略,并进入新的URL过滤策略视图。

【命令】

rename new-name

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【参数】

new-name:表示新的URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

原有URL过滤策略的名称被修改后,DPI应用profile中引用的同名URL过滤策略的名称也会被同步修改。

【举例】

# 把名称为news的URL过滤策略重命名为hello,并进入新的URL过滤策略视图。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] rename hello

[Sysname-url-filter-policy-hello]

1.1.13  reset url-filter statistics

reset url-filter statistics命令用来清除URL过滤的统计信息。

【命令】

reset url-filter statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除URL过滤的统计信息。

<Sysname> reset url-filter statistics

【相关命令】

·     display url-filter statistics

1.1.14  rule

rule命令用来在自定义URL过滤分类中创建URL过滤规则。

undo rule命令用来在自定义URL过滤分类中删除指定的URL过滤规则。

【命令】

rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]

undo rule rule-id

【缺省情况】

自定义URL过滤分类中不存在URL过滤规则。

【视图】

URL过滤分类视图

【缺省用户角色】

network-admin

【参数】

rule-id:指定URL过滤规则编号,取值范围为1~65535。

host:表示URL过滤规则匹配URL中的主机名字段。

uri:表示URL过滤规则匹配URL中的URI字段。

regex regex:表示URL过滤规则使用正则表达式对主机名和URI字段进行模糊匹配。regex表示正则表达式,主机名正则表达式的取值范围为4~224个字符的字符串,不区分大小写,只能以字母、数字和下划线开头;URI正则表达式的取值范围为4~253个字符的字符串,区分大小写,只能以字母、数字和下划线开头。

text string:表示URL过滤规则使用文本对主机名和URI字段进行精确匹配。string表示主机名或URI规则字符串,主机名规则的取值范围为3~224个字符的字符串,不区分大小写,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”和点号“.”,但URI无此限制;URI规则的取值范围为3~255个字符的字符串,区分大小写。

【使用指导】

URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,URL过滤规则支持两种匹配方式:

·     文本匹配:使用指定的字符串对主机名和URI字段进行精确匹配。

¡     匹配主机名字段时,URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功。例如,规则中配置主机名字符串为abc.com.cn,则主机名为abc.com.cn的URL会匹配成功,而主机名为dfabc.com.cn的URL将与该规则匹配失败。

¡     匹配URI字段时,从URL中URI字段的首字符开始,只要URI字段中连续若干个字符与规则中指定的URI字符串完全一致,就算匹配成功。例如,规则中配置URI字符串为/sina/news,则URI为/sina/news、/sina/news/sports或/sina/news_sports的URL会匹配成功,而URI为/sina的URL将与该规则匹配失败。

·     正则表达式匹配:使用正则表达式对主机名和URI字段进行模糊匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。

【举例】

# 在URL过滤分类news中添加一条URL过滤规则,并使用字符串sina.com对主机名字段进行精确匹配。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] rule 10 host text sina.com

【相关命令】

·     url-filter category

1.1.15  update schedule

update schedule命令用来配置定期自动在线升级URL过滤特征库的时间。

undo update schedule命令用来恢复缺省情况。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情况】

设备在每天01:00:00至03:00:00之间自动在线升级URL过滤特征库。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

【参数】

daily:表示自动升级周期为每天。

weekly:表示以一周为周期,在指定的一天进行自动升级。

fri:表示星期五。

mon:表示星期一。

sat:表示星期六。

sun:表示星期日。

thu:表示星期四。

tue:表示星期二。

wed:表示星期三。

start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00~23:59:59。

tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。

【举例】

# 配置URL过滤特征库的定期自动在线升级时间为每周日20:30:00,抖动时间为10分钟。

<Sysname> system-view

[Sysname] url-filter signature auto-update

[Sysname-url-filter-autoupdate] update schedule weekly sun start-time 20:30:00 tingle 10

【相关命令】

·     url-filter signatures auto-update

1.1.16  url-filter apply policy

url-filter apply policy命令用来在DPI应用profile中引用指定的URL过滤策略。

undo url-filter apply policy命令用来删除引用的URL过滤策略。

【命令】

url-filter apply policy policy-name

undo url-filter apply policy

【缺省情况】

DPI应用profile中未引用URL过滤策略。

【视图】

DPI应用profile视图

【缺省用户角色】

network-admin

【参数】

policy-name:URL过滤策略名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

一个DPI应用profile下只能引用一个URL过滤策略。多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名为abc的DPI应用profile下引用URL过滤策略news。

<Sysname> system-view

[Sysname] app-profile abc

[Sysname-app-profile-abc]url-filter apply policy news

【相关命令】

·     app-profile(DPI深度安全命令参考/应用层检测引擎)

·     display app-profile

·     display url-filter policy

1.1.17  url-filter cache deploy-interval

url-filter cache deploy-interval命令用来配置向应用层检测引擎下发缓存中规则的时间间隔。

undo url-filter cache deploy-interval命令用来恢复缺省情况。

【命令】

url-filter cache deploy-interval interval

undo url-filter cache deploy-interval

【缺省情况】

向应用层检测引擎下发缓存中规则的时间间隔为12小时。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval:指定向应用层检测引擎下发缓存中规则的时间间隔,取值范围为1~65535,单位为小时,缺省值为12。

【使用指导】

设备会根据配置的下发时间间隔将URL过滤缓存中的URL过滤规则定期下发到应用层检测引擎。

配置的下发时间间隔不能太短,因为频繁下发URL过滤缓存规则可能会导致应用层检测引擎停止工作,从而会影响设备对其他DPI业务的处理。

【举例】

# 配置向应用层检测引擎下发缓存中规则的时间间隔为24小时。

<Sysname> system-view

[Sysname] url-filter cache deploy-interval 24

1.1.18  url-filter cache size

url-filter cache size命令用来配置URL过滤缓存区可缓存记录的上限。

undo url-filter cache size命令用来恢复缺省情况。

【命令】

url-filter cache size cache-size

undo url-filter cache size

【缺省情况】

URL过滤缓存区可缓存记录的上限根据设备内存的实际大小由系统计算得出。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

cache-size:指定URL过滤缓存区可缓存记录的上限,取值范围为1~65535。

【使用指导】

设备会把云端URL过滤分类服务器返回的查询结果缓存在URL过滤缓存中。后续符合此URL过滤规则的报文在流经设备时就会在本地匹配成功,而无需再进行云端查询。

配置的URL过滤缓存区可缓存记录的上限不能太大,因为大量URL过滤缓存规则的下发可能会导致应用层检测引擎停止工作,从而会影响设备对其他DPI业务的处理。

【举例】

# 配置URL过滤缓存区可缓存记录的上限为20000。

<Sysname> system-view

[Sysname] url-filter cache size 20000

1.1.19  url-filter cache-time

url-filter cache-time命令用来配置URL过滤缓存规则的最短保留时间。

undo url-filter cache-time命令用来恢复缺省情况。

【命令】

url-filter cache-time value

undo url-filter cache-time

【缺省情况】

URL过滤缓存规则的最短保留时间为43200秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

value:指定URL过滤缓存规则的最短保留时间,取值范围为1~4294967295,单位为秒。

【使用指导】

当从云端学习到的URL过滤规则在缓存中的保存时间达到指定的最短保留时间时,并不会被立刻删除,而是在如下情况下会被删除:

URL过滤缓存已满后,如果从云端URL过滤分类服务器继续学习到了新的URL过滤规则,设备则从缓存中将保存时间超过最大缓存时间的最老URL过滤规则删除,然后将此新URL过滤规则添加到缓存中。

【举例】

# 配置URL过滤缓存规则的最短保留时间为36000秒。

<Sysname> system-view

[Sysname] url-filter cache-time 36000

1.1.20  url-filter category

url-filter category命令用来创建URL过滤分类,并进入URL过滤分类视图。如果指定的URL过滤分类已经存在,则直接进入该URL过滤分类视图。

undo url-filter category命令用来删除指定的URL过滤分类。

【命令】

url-filter category category-name [ severity severity-level ]

undo url-filter category category-name

【缺省情况】

只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

category-name:表示URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。不能以字符”Pre-“开头,因为Pre-是预定义的URL过滤分类名称。

severity severity-value:表示URL过滤分类的严重级别属性。severity-value为严重级别,取值范围为1000~65535,创建URL过滤分类时必须配置此参数,数值越大表示严重级别越高,且不同的URL过滤分类的严重级别不能相同。

【使用指导】

为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。

URL过滤分类包括两种类型:

·     预定义分类:根据设备中的URL过滤特征库自动生成,其内容和严重级别不可被修改。

·     自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。

当报文匹配成功的URL过滤规则同属于多个URL过滤分类时,设备将根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。

【举例】

# 创建一个名为news的URL过滤分类,指定其严重级别为2000。

<Sysname> system-view

[Sysname] url-filter category news severity 2000

[Sysname-url-filter-category-news]

【相关命令】

·     display url-filter category

1.1.21  url-filter category-server

url-filter category-server命令用来配置云端URL过滤分类服务器的主机名。

undo url-filter category-server命令用来删除指定的云端URL过滤分类服务器。

【命令】

url-filter category-server host-name

undo url-filter category-server host-name

【缺省情况】

不存在云端URL过滤分类服务器的主机名。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

host-name:表示云端URL过滤分类服务器主机名的名称,为1~255个字符的字符串,只能是字母、数字、下划线“_”、连接符“-”和点号“.”,不区分大小写。

【使用指导】

配置URL过滤分类云端查询功能时,需要确保设备能通过静态或动态域名解析方式获得云端URL过滤分类服务器的IP地址,并与之路由可达,否则设备进行URL过滤分类云端查询会失败。有关域名解析功能的配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

【举例】

# 指定URL过滤分类服务器的主机名为urlservice.h3c.com。

<Sysname> system-view

[Sysname] url-filter category-server urlservice.h3c.com

1.1.22  url-filter copy category

url-filter copy category命令用来复制URL过滤分类。

【命令】

url-filter copy category old-name [ new-name ] severity severity-level

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

old-name:原有分类名称。

new-name:新分类名称。如果不输入new-name,则新创建URL过滤分类的名称默认为“old-name_n”,其中n为分类的复制次数,取值为整数形式,从1开始增加。

severity severity-level:表示URL过滤分类的严重级别。severity-level为严重级别,取值范围为1000~65535。数值越大表示严重级别越高,且不同的分类严重级别不能相同,如果相同,则复制失败。

【使用指导】

命令用来复制已存在的URL过滤分类,可以方便用户快速创建新的URL过滤分类。

【举例】

# 通过复制名称为news的URL过滤分类来创建2个新的URL过滤分类。

<Sysname> system-view

[Sysname] url-filter copy category news severity 1001

[Sysname-url-filter- category-news_1] quit

[Sysname] url-filter copy category news severity 1002

[Sysname-url-filter- category-news_2] quit

【相关命令】

·     url-filter category

1.1.23  url-filter copy policy

url-filter copy policy命令用来复制URL过滤策略。

【命令】

url-filter copy policy old-name new-name

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

old-name:原有策略名称。为1~31个字符的字符串,不区分大小写。

new-name:新策略名称。为1~31个字符的字符串,不区分大小写。

【使用指导】

命令用来复制已存在的URL过滤策略,可以方便用户快速创建新的URL过滤策略。

【举例】

# 通过复制名称为news的URL过滤策略来创建2个新的URL过滤策略。

<Sysname> system-view

[Sysname] url-filter copy policy news news1

[Sysname-url-filter-policy-news1] quit

[Sysname] url-filter copy policy news news2

[Sysname-url-filter-policy-news2] quit

【相关命令】

·     url-filter policy

1.1.24  url-filter log enable

url-filter log enable命令用来开启应用层检测引擎日志信息功能。

undo url-filter log enable命令用来关闭应用层检测引擎日志信息功能。

【命令】

url-filter log enable

undo url-filter log enable

【缺省情况】

应用层检测引擎日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启应用层检测引擎日志信息功能。

<Sysname> system-view

[Sysname] url-filter log enable

1.1.25  url-filter policy

url-filter policy命令用来创建URL过滤策略,并进入URL过滤策略视图。如果指定的URL过滤策略已经存在,则直接进入URL过滤策略视图。

undo url-filter policy命令用来删除指定的URL过滤策略。

【命令】

url-filter policy policy-name

undo url-filter policy policy-name

【缺省情况】

不存在URL过滤策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name:表示URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

一个URL过滤策略中可以配置多个URL过滤分类动作,也可以在URL过滤策略中定义URL过滤策略的缺省动作。

只有在DPI应用profile中引用URL过滤策略后,设备的URL过滤功能才会生效。有关DPI应用profile的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

【举例】

# 创建一个名为news的URL过滤策略

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news]

1.1.26  url-filter signature auto-update

url-filter signature auto-update命令用来开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。

undo url-filter signature auto-update命令用来关闭定期自动在线升级URL过滤特征库功能。

【命令】

url-filter signature auto-update

undo url-filter signature auto-update

【缺省情况】

定期自动在线升级URL过滤特征库功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

如果设备可以访问H3C官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。

【举例】

# 开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。

<Sysname> system-view

[Sysname] url-filter signature auto-update

[Sysname-url-filter-autoupdate]

【相关命令】

·     update schedule

1.1.27  url-filter signature auto-update-now

url-filter signature auto-update-now命令用来立即自动在线升级URL过滤特征库。

【命令】

url-filter signature auto-update-now

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

当管理员发现H3C官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。

【举例】

# 立即自动在线升级URL过滤特征库版本。

<Sysname> system-view

[Sysname] url-filter signature auto-update-now

1.1.28  url-filter signature rollback

url-filter signature rollback命令用来回滚URL过滤特征库版本。

【命令】

url-filter signature rollback { factory | last }

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

factory:表示URL过滤特征库的出厂版本。

last:表示URL过滤特征库的上一版本。

【使用指导】

URL过滤特征库回滚是指将当前的URL过滤特征库版本回滚到指定的URL过滤特征库版本。如果管理员发现设备对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以对当前URL过滤特征库版本进行回滚。目前支持将设备中的URL过滤特征库版本回滚到出厂版本和上一版本。

URL过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL过滤特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

【举例】

# 配置URL过滤特征库回滚到上一版本。

<Sysname> system-view

[Sysname] url-filter signature rollback last

1.1.29  url-filter signature update

url-filter signature update命令用来手动离线升级URL过滤特征库。

【命令】

url-filter signature update file-path

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

file-path:指定特征库文件的路径,为1~256个字符的字符串。

【使用指导】

如果设备不能访问H3C官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL过滤特征库版本。

·     本地升级:使用本地保存的特征库文件升级系统上的URL过滤特征库版本。

·     FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的URL过滤特征库版本。

特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。(集中式设备-IRF模式)

参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-5;FTP/TFTP升级时参数file-path取值请参见表1-6

表1-5 本地升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件的存储位置与当前工作路径一致

filename

可以执行pwd命令查看当前工作路径

有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上

path/ filename

-

特征库文件的存储位置与当前工作路径不在相同存储介质上

path/ filename

需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

 

表1-6 FTP/TFTP升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件存储在开启FTP服务的远程服务器上

ftp://username:password@server/filename

username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名

当FTP用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”

特征库文件存储在开启TFTP服务的远程服务器上

tftp://server/filename

server为TFTP服务器的IP地址或主机名

 

【举例】

# 配置手动离线升级URL过滤特征库,且采用TFTP方式,URL过滤特征库文件的远程路径为tftp://192.168.0.10/url-filter-1.0.2-en.dat。

<Sysname> system-view

[Sysname] url-filter signature update tftp://192.168.0.10/url-filter-1.0.2-en.dat

# 配置手动离线升级URL过滤特征库,且采用FTP方式,URL过滤特征库文件的远程路径为ftp://192.168.0.10/url-filter-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。

<Sysname> system-view

[Sysname] url-filter signature update

ftp:// user%3A123:user%40abc%2F123@192.168.0.10/url-filter-1.0.2-en.dat

# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> system

[Sysname] url-filter signature update url-filter-1.0.23-en.dat

# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/dpi/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> system

[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat

# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfb0:/dpi/url-filter-1.0.23-en.dat,当前工作路径为cfa0:。

<Sysname> cd cfb0:/

<Sysname> system

[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部