- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
19-WEB过滤命令
本章节下载: 19-WEB过滤命令 (174.33 KB)
1.1.1 display firewall http activex-blocking
1.1.2 display firewall http java-blocking
1.1.3 display firewall http url-filter host
1.1.4 display firewall http url-filter parameter
1.1.5 firewall http activex-blocking acl
1.1.6 firewall http activex-blocking enable
1.1.7 firewall http activex-blocking suffix
1.1.8 firewall http java-blocking acl
1.1.9 firewall http java-blocking enable
1.1.10 firewall http java-blocking suffix
1.1.11 firewall http url-filter host acl
1.1.12 firewall http url-filter host default
1.1.13 firewall http url-filter host enable
1.1.14 firewall http url-filter host ip-address
1.1.15 firewall http url-filter host url-address
1.1.16 firewall http url-filter parameter
1.1.17 firewall http url-filter parameter enable
Web过滤配置命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
1:监控级
all:显示所有阻断后缀关键字的相关信息。
item keywords:显示指定阻断后缀关键字的相关信息。其中,keywords表示阻断后缀关键字,为1~9个字符的字符串,不区分大小写。该字符串必须以“.”开头,且“.”之后的字符只能为数字或英文字母。
verbose:显示ActiveX阻断的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display firewall http activex-blocking命令用于显示ActiveX阻断信息。
如果不指定任何关键字,则显示ActiveX阻断的简要信息。
# 显示ActiveX阻断的简要信息。
<Sysname> display firewall http activex-blocking
ActiveX blocking is enabled.
以上显示信息表示ActiveX阻断功能已使能。
# 显示ActiveX阻断后缀关键字的相关信息。
<Sysname> display firewall http activex-blocking item .ocx
The HTTP request packet including ".ocx" had been matched for 5 times.
以上显示信息表示包含“.ocx”后缀的ActiveX请求报文已经匹配了5次。
# 显示所有ActiveX阻断后缀关键字的信息。
<Sysname> display firewall http activex-blocking all
SN Match-Times Keywords
----------------------------------------------
1 5 .OCX
2 0 .vbs
表1-1 display firewall http activex-blocking all命令显示信息描述表
|
ActiveX阻断后缀关键字 |
# 显示ActiveX阻断的详细信息。
<Sysname> display firewall http activex-blocking verbose
ActiveX blocking is enabled.
No ACL group has been configured.
There are 5 packet(s) being filtered.
There are 0 packet(s) being passed.
表1-2 display firewall http activex-blocking verbose命令显示信息描述表
|
ActiveX阻断功能已使能 |
|
|
未设置ACL规则 |
|
1:监控级
all:显示所有阻断后缀关键字的相关信息。
item keywords:显示指定阻断后缀关键字的相关信息。其中,keywords表示阻断后缀关键字,为1~9个字符的字符串,不区分大小写。该字符串必须以“.”开头,且“.”之后的字符只能为数字或英文字母。
verbose:显示Java Applet阻断的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display firewall http java-blocking命令用于显示Java Applet阻断信息。
如果不指定任何关键字,则显示Java Applet阻断的简要信息。
# 显示Java Applet阻断的简要信息。
<Sysname> display firewall http java-blocking
Java blocking is enabled.
以上显示信息表示Java Applet阻断功能已使能。
# 显示指定Java Applet阻断后缀关键字的信息。
<Sysname> display firewall http java-blocking item .class
The HTTP request packet including ".class" had been matched for 10 times.
以上显示信息表示包含“.class”后缀的Java Applet请求报文已经匹配了10次。
# 显示所有Java Applet阻断后缀关键字的信息。
<Sysname> display firewall http java-blocking all
SN Match-Times Keywords
----------------------------------------------
1 10 .CLASS
2 0 .JAR
3 0 .java
表1-3 display firewall http java-blocking all命令显示信息描述表
|
Java Applet阻断后缀关键字 |
# 显示Java Applet阻断的详细信息。
<Sysname> display firewall http java-blocking verbose
Java blocking is enabled.
No ACL group has been configured.
There are 10 packet(s) being filtered.
There are 0 packet(s) being passed.
表1-4 display firewall http java-blocking verbose命令显示信息描述表
|
Java阻断功能已使能 |
|
|
未设置ACL规则 |
|
1:监控级
all:显示所有过滤关键字的相关信息。
item keywords:显示指定过滤关键字的相关信息。其中,keywords表示过滤关键字,为1~80个字符的字符串,不区分大小写,只能由数字、英文字母、通配符(“^”、“$”、“&”和“*”)以及它们的有限组合构成。
verbose:显示网站地址过滤的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display firewall http url-filter host命令用于显示网站地址过滤信息。
# 显示网站地址过滤的简要信息。
<Sysname> display firewall http url-filter host
URL-filter host is enabled.
Default method:permit.
以上显示信息表示网站地址过滤功能已使能,缺省的过滤行为允许Web请求通过。
# 显示指定网站地址过滤条目的信息。
<Sysname> display firewall http url-filter host item ^webfilter$
The HTTP request packet including "^webfilter$" had been matched for 10 times.
以上显示信息表示包含“^webfilter$”过滤关键字的HTTP请求报文已经匹配了10次。
# 显示所有网站地址过滤条目的信息。
<Sysname> display firewall http url-filter host all
SN Match-Times Keywords
----------------------------------------------
1 10 ^webfilter$
表1-5 display firewall http url-filter host all命令显示信息描述表
# 显示网站地址过滤的详细信息。
<Sysname> display firewall http url-filter host verbose
URL-filter host is enabled.
Default method: permit.
The support for IP address: deny.
No ACL group has been configured.
There are 10 packet(s) being filtered.
There are 0 packet(s) being passed.
表1-6 display firewall http url-filter host verbose命令显示信息描述表
|
缺省的过滤行为,取值包括permit和deny |
|
|
对网站IP地址的支持情况,取值包括permit和deny |
|
|
未设置ACL规则 |
|
1:监控级
all:显示所有过滤参数的相关信息。
item keywords:显示指定过滤参数的相关信息。其中,keywords表示过滤参数,为1~80个字符的字符串,不区大小写,只能由数字、英文字母、通配符(“^”、“$”、“&”和“*”)以及其它ASCII字符(31<ASCII值<127)构成。
verbose:显示URL参数过滤的详细信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display firewall http url-filter parameter命令用于显示URL参数过滤信息。
如果不指定任何关键字,则显示URL参数过滤的简要信息。
# 显示URL参数过滤的简要信息。
<Sysname> display firewall http url-filter parameter
URL-filter parameter is enabled.
以上显示信息表示URL参数过滤功能已使能。
# 显示指定URL过滤参数的信息。
<Sysname> display firewall http url-filter parameter item ^select$
The HTTP request packet including "^select$" had been matched for 10 times.
以上显示信息表示包含“^select$”过滤参数的HTTP请求报文已经匹配了10次。
# 显示所有URL过滤参数的信息。
<Sysname> display firewall http url-filter parameter all
SN Match-Times Keywords
----------------------------------------------
1 0 ^select$
2 0 ^insert$
3 0 ^update$
4 0 ^delete$
5 0 ^drop$
6 0 --
7 0 ‘
8 0 ^exec$
9 10 %27
10 0 qqqqq
表1-7 display firewall http url-filter parameter all命令显示信息描述表
|
URL过滤参数关键字 |
# 显示URL参数过滤的详细信息。
<Sysname> display firewall http url-filter parameter verbose
URL-filter parameter is enabled.
There are 10 packet(s) being filtered.
There are 0 packet(s) being passed.
表1-8 display firewall http url-filter parameter verbose命令显示信息描述表
|
URL参数过滤功能已使能 |
|
firewall http activex-blocking acl acl-number
undo firewall http activex-blocking acl
2:系统级
acl-number:ACL的编号,取值范围为2000~3999。
firewall http activex-blocking acl命令用来设置ActiveX阻断的ACL规则。undo firewall http activex-blocking acl命令用来删除设置的ActiveX阻断ACL规则。
缺省情况下,未设置ActiveX阻断的ACL规则。
· 该命令生效后,所有URL中带有ActiveX阻断关键字列表中列出的后缀关键字的Web请求将按照ACL规则规定的方式进行处理。
· 可多次设置ACL,但仅最后一次合法的配置生效。
· 若设置的ACL不存在,该配置可以成功,但是根据ACL过滤ActiveX的功能暂时不生效,直到该ACL配置后才能生效。
相关配置可参考命令display firewall http activex-blocking。
# 指定ActiveX阻断的ACL为ACL 2003。
[Sysname] firewall http activex-blocking acl 2003
firewall http activex-blocking enable
undo firewall http activex-blocking enable
2:系统级
firewall http activex-blocking enable命令用来使能ActiveX阻断功能,并将缺省阻断关键字“.ocx”添加到ActiveX阻断关键字列表中。undo firewall http activex-blocking enable命令用来关闭ActiveX阻断功能。
缺省情况下,ActiveX阻断功能处于关闭状态。
相关配置可参考命令display firewall http activex-blocking。
# 使能ActiveX阻断功能。
[Sysname] firewall http activex-blocking enable
firewall http activex-blocking suffix keywords
undo firewall http activex-blocking suffix keywords
2:系统级
keywords:表示需要阻断的后缀关键字,为1~9个字符的字符串,不区分大小写。该字符串必须以“.”开头,且“.”之后的字符只能为数字或英文字母。
firewall http activex-blocking suffix命令用来添加ActiveX阻断后缀关键字。undo firewall http activex-blocking suffix命令用来将指定的ActiveX阻断后缀关键字从ActiveX阻断关键字列表中删除。
· 最多允许添加5个ActiveX阻断后缀关键字。
· 不能使用该命令添加缺省的阻断后缀关键字“.ocx”,同样,也不能使用undo命令来删除“.ocx”。
相关配置可参考命令display firewall http activex-blocking。
# 将.vbs添加到ActiveX阻断关键字列表中。
[Sysname] firewall http activex-blocking suffix .vbs
firewall http java-blocking acl acl-number
undo firewall http java-blocking acl
2:系统级
acl-number:ACL的编号,取值范围为2000~3999。
firewall http java-blocking acl命令用来设置Java Applet阻断的ACL规则。undo firewall http java-blocking acl命令用来删除设置的Java Applet阻断ACL规则。
缺省情况下,未设置Java Applet阻断的ACL规则。
· 该命令生效后,所有URL中带有Java Applet阻断关键字列表中列出的后缀关键字的Web请求将按照ACL规则规定的方式进行处理。
· 可多次设置ACL,但仅最后一次合法的配置生效。
· 若设置的ACL不存在,该配置可以成功,但是根据ACL过滤Java Applet的功能暂时不生效,直到该ACL规则配置后才能生效。
相关配置可参考命令display firewall http java-blocking。
# 指定Java Applet阻断的ACL为ACL 2002。
[Sysname] firewall http java-blocking acl 2002
firewall http java-blocking enable
undo firewall http java-blocking enable
2:系统级
firewall http java-blocking enable命令用来使能Java Applet阻断功能,并将缺省阻断后缀关键字“.class”和“.jar”添加到Java阻断关键字列表中。undo firewall http java-blocking enable命令用来关闭Java Applet阻断功能。
缺省情况下,Java Applet阻断功能处于关闭状态。
相关配置可参考命令display firewall http java-blocking。
# 使能Java Applet阻断功能。
[Sysname] firewall http java-blocking enable
firewall http java-blocking suffix keywords
undo firewall http java-blocking suffix keywords
2:系统级
keywords:表示需要阻断的后缀关键字,为1~9个字符的字符串,不区分大小写。该字符串必须以“.”开头,且“.”之后的字符只能为数字或英文字母。
firewall http java-blocking suffix命令用来添加Java Applet阻断后缀关键字。undo firewall http java-blocking suffix命令用来将指定的Java Applet阻断后缀关键字从Java Applet阻断关键字列表中删除。
· 最多允许添加5个Java Applet阻断后缀关键字。
· 不能使用undo命令删除缺省的阻断后缀关键字“.class”和“.jar”。
相关配置可参考命令display firewall http java-blocking。
# 将.js添加到Java Applet阻断后缀关键字列表中。
[Sysname] firewall http java-blocking suffix .js
firewall http url-filter host acl acl-number
undo firewall http url-filter host acl
2:系统级
acl-number:ACL的编号,取值范围为2000~3999。
firewall http url-filter host acl命令用来设置网站地址过滤的ACL规则。undo firewall http url-filter host acl命令用来删除设置的网站地址过滤ACL规则。
· 该命令配置后,将按照设置的ACL规则对所有以网站IP地址直接访问网站的Web请求进行过滤。
· 可多次设置ACL,但仅最后一次合法的配置生效。
· 若设置的ACL不存在,该配置可以成功,但是根据ACL过滤网站的功能暂时不生效,直到该ACL规则配置后才能生效。
相关配置可参考命令display firewall http url-filter host。
# 指定网站地址过滤的ACL规则,仅允许网站IP地址符合ACL 2000的Web请求通过。
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule 0 permit source 3.3.3.3 0.0.0.0
[Sysname-acl-basic-2000] quit
[Sysname] firewall http url-filter host acl 2000
firewall http url-filter host default { deny | permit }
2:系统级
deny:表示拒绝Web请求通过。
permit:表示允许Web请求通过。
firewall http url-filter host default命令用来配置网站地址过滤的缺省过滤行为,即当Web请求中的URL与网站过滤地址列表中的条目不匹配时,允许或拒绝该请求通过。
相关配置可参考命令display firewall http url-filter host。
# 设置网站地址过滤的缺省过滤行为为允许。
[Sysname] firewall http url-filter host default permit
firewall http url-filter host enable
undo firewall http url-filter host enable
2:系统级
firewall http url-filter host enable命令用来使能网站地址过滤功能。undo firewall http url-filter host enable命令用来关闭网站地址过滤功能。
相关配置可参考命令display firewall http url-filter host。
# 使能网站地址过滤功能。
[Sysname] firewall http url-filter host enable
firewall http url-filter host ip-address { deny | permit }
2:系统级
deny:拒绝目标URL为IP地址的Web请求通过。
permit:允许目标URL为IP地址的Web请求通过。
firewall http url-filter host ip-address命令用来配置网站地址过滤对网站IP地址的支持,即允许或拒绝以网站IP地址直接访问网站的Web请求。
缺省情况下,网站地址过滤不支持网站IP地址,即拒绝以网站IP地址直接访问网站的Web请求通过。
相关配置可参考命令firewall http url-filter host enable和display firewall http url-filter host。
# 配置允许以网站IP地址直接访问网站的Web请求通过。
[Sysname] firewall http url-filter host ip-address permit
firewall http url-filter host url-address { deny | permit } url-address
undo firewall http url-filter host url-address [ url-address ]
2:系统级
deny:表示过滤行为为拒绝。
permit:表示过滤行为为允许。
url-address:表示网站过滤地址条目(URL地址),为1~80个字符的字符串,不区分大小写,只能由数字、英文字母、“.”、“-”、“_”、通配符(“^”、“$”、“&”和“*”)以及它们的有限组合构成。通配符具体含义如表1-9所示:
· 如果过滤关键字的开头有“^”或结尾有“$”,表示精确匹配。例如,“^webfilter”表示以“webfilter”开头的网址(如webfilter.com.cn)或“.”后字符以“webfilter”开头的网址(如cmm.webfilter-any.com)将被过滤掉。关键字“^webfilter$”表示过滤包含独立词语“webfilter”的网址,比如www.webfilter.com,但是类似于www.webfilter-china.com的网址将不会被过滤;
· 如果过滤关键字的开头和结尾都没有通配符,表示模糊匹配。对于模糊匹配,只要网址中包含了该关键字就会被过滤;
· 当“*”位于过滤关键字的开头时,必须以“*.其它关键字”的形式出现,例如“*.com”或者“*.webfilter.com”;
· 不支持纯数字的过滤地址。如果需要过滤类似www.123.com的网站,使用“123”作为过滤地址是不合法的,但可以使用“^123$”、“www.123.com”和“123.com”等作为过滤地址。因此,对于以数字作为网站地址的网站,建议采用精确匹配方式进行过滤。
firewall http url-filter host url-address命令用来添加网站地址过滤条目,并设置过滤行为。undo firewall http url-filter host url-address命令用来删除网站地址过滤条目。
· 如果不指定url-address,则undo命令将删除所有网站地址过滤条目。
· 系统最多允许添加256个过滤条目。
· 可以直接对已存在的过滤条目的过滤行为进行修改,例如,某过滤条目的行为为deny,可以直接将其修改为permit。
相关配置可参考命令display firewall http url-filter host。
# 将过滤条目^china&添加到过滤地址列表中,并设置过滤行为为允许。
[Sysname] firewall http url-filter host url-address permit ^china&
firewall http url-filter parameter { default | keywords keywords }
undo firewall http url-filter parameter [ default | keywords keywords ]
2:系统级
default:表示使用缺省过滤参数进行过滤。系统预定义的缺省过滤参数包括:^select$、^insert$、^update$、^delete$、^drop$、--、'、^exec$和%27。
keywords keywords:表示使用自定义过滤参数进行过滤。其中,keywords表示需要过滤的URL参数关键字,为1~80个字符的字符串,不区分大小写,只能由数字、英文字母、通配符(“^”、“$”、“&”和“*”)以及其它ASCII字符(31<ASCII值<127)构成。配置的过滤参数支持带空格形式的参数,但该参数必须用""括起来,如"select all"。一个空格可以匹配参数名中连续的多个空格。通配符具体含义如表1-10所示:
|
可出现任意多个,也可连续出现,可位于过滤关键字的任意位置,但不能与“*”相邻,如果出现在开始和结尾的位置,则一定要和“^”或“$”相邻 |
||
|
代替不超过4个任意字符,可代替空格 |
· 如果关键字的开头有“^”或结尾有“$”,表示精确匹配。例如,关键字“^webfilter$”表示网址中的URL参数包含独立词语“webfilter”的请求将被过滤掉,比如www.abc.com/webfilter any,但是类似于www.abc.com/webfilterany的网址将不会被过滤。
· 如果关键字的开头和结尾都没有通配符,表示模糊匹配。对于模糊匹配,只要网址中的URL参数包含了该关键字就会被过滤。
firewall http url-filter parameter命令用来添加URL过滤参数,即将指定的过滤参数添加到URL过滤参数列表中。undo firewall http url-filter parameter命令用来删除URL过滤参数。
· 如果不指定任何参数,则undo命令将删除所有URL过滤参数。
· 包括缺省过滤参数在内,用户最多可添加256个过滤参数。
· firewall http url-filter parameter keywords命令和undo firewall http url-filter parameter keywords命令中指定的URL过滤参数不能与缺省过滤参数相同。
相关配置可参考命令display firewall http url-filter parameter。
# 将select添加到URL过滤参数列表中。
[Sysname] firewall http url-filter parameter keywords select
firewall http url-filter parameter enable
undo firewall http url-filter parameter enable
2:系统级
firewall http url-filter parameter enable命令用来使能URL参数过滤功能。undo firewall http url-filter parameter enable命令用来关闭URL参数过滤功能。
缺省情况下,URL参数过滤功能处于关闭状态。
相关配置可参考命令display firewall http url-filter parameter。
# 使能URL参数过滤功能。
[Sysname] firewall http url-filter parameter enable
1:监控级
activex-blocking:清除ActiveX阻断的过滤统计信息。
java-blocking:清除Java Applet阻断的过滤统计信息。
url-filter host:清除网站地址过滤统计信息。
url-filter parameter:清除URL参数过滤统计信息。
counter:表示清除统计信息。
reset firewall http命令用来清除Web过滤统计信息。
# 清除网站地址过滤的统计信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
