国家 / 地区

04-DPI深度安全命令参考

04-数据过滤命令

本章节下载  (165.93 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/H3C_CR(V7)(E9628_E9536_E9345_E9342_R8534)-6W400/04/201911/1246963_30005_0.htm

04-数据过滤命令


1 数据过滤

1.1  数据过滤配置命令

1.1.1  action

action命令用来配置数据过滤规则的动作。

undo action命令用来恢复缺省情况。

【命令】

action { drop | permit } [ logging ]

undo action

【缺省情况】

数据过滤规则的动作为丢弃。

【视图】

数据过滤规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃报文。

permit:表示允许报文通过。

logging:表示生成日志信息。

【使用指导】

如果报文同时与多个规则匹配成功,则执行这些动作中优先级最高的动作,且动作优先级从高到低的顺序为:丢弃 > 允许,但是对于生成日志动作只要匹配成功的规则中存在就会执行。

【举例】

# 创建一个名称为def的数据过滤策略。

<Sysname> system-view

[Sysname] data-filter policy def

# 在名称为r1的数据过滤规则中配置其动作为允许报文通过。

[Sysname-data-filter-policy-def] rule r1

[Sysname-data-filter-policy-def-rule-r1] action permit

1.1.2  application

application命令用来配置数据过滤规则的应用层协议类型。

undo application命令用来删除指定的应用层协议类型。

【命令】

application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }

undo application { all | type { ftp | http | imap | nfs | pop3 | rtmp | smb | smtp } * }

【缺省情况】

数据过滤规则中不存在应用层协议类型。

【视图】

数据过滤规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

all:表示数据过滤支持的所有应用层协议。

type:表示规则生效的协议类型。

ftp:表示FTP协议。

http:表示HTTP协议。

imap:表示IMAP协议。

nfs:表示NFS协议。

pop3:表示POP3协议。

rtmp:表示RTMP协议。

smb:表示SMB协议。

smtp:表示SMTP协议。

【使用指导】

通过配置此命令,可以根据业务应用所属的应用层协议类型来灵活控制对那些协议类型的报文进行数据过滤。

NFS协议仅支持NFSv3版本;SMB协议支持SMBv1和SMBv2版本。

【举例】

# 创建一个名称为def的数据过滤策略。

<Sysname> system-view

[Sysname] data-filter policy def

# 在名称为r1的数据过滤规则中配置其应用层协议类型为HTTP。

[Sysname-data-filter-policy-def] rule r1

[Sysname-data-filter-policy-def-rule-r1] application type http

1.1.3  data-filter apply policy

data-filter apply policy命令用来在DPI应用profile中引用指定的数据过滤策略。

undo data-filter apply policy命令用来删除引用的数据过滤策略。

【命令】

data-filter apply policy policy-name

undo data-filter apply policy

【缺省情况】

DPI应用profile中未引用数据过滤策略。

【视图】

DPI应用profile视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:指定数据过滤策略的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

数据过滤规则仅在被DPI应用profile引用后生效。一个DPI应用profile下只能引用一个数据过滤策略。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为abc的DPI应用profile下引用数据过滤策略def。

<Sysname> system-view

[Sysname] app-profile abc

[Sysname-app-profile-abc] data-filter apply policy def

【相关命令】

·            app-profile(DPI深度安全命令参考/应用层检测引擎)

·            data-filter policy

1.1.4  data-filter keyword-group

data-filter keyword-group命令用来创建关键字组,并进入关键字组视图。如果指定的关键字组已经存在,则直接进入关键字组视图。

undo data-filter keyword-group命令用来删除指定的关键字组。

【命令】

data-filter keyword-group keywordgroup-name

undo data-filter keyword-group keywordgroup-name

【缺省情况】

不存在关键字组。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

keywordgroup-name:表示关键字组的名字,为1~31个字符的字符串,不区分大小写。

【使用指导】

关键字组用来统一组织和管理设备中配置的数据过滤特征,一个关键字组中可以配置多个数据过滤特征,且特征之间是或的关系。

【举例】

# 创建一个名称为kg1的关键字组,并进入关键字组视图。

<Sysname> system-view

[Sysname] data-filter keyword-group kg1

[Sysname-data-filter-keygroup-kg1]

1.1.5  data-filter policy

data-filter policy命令用来创建数据过滤策略,并进入数据过滤策略视图。如果指定的数据过滤策略已经存在,则直接进入该数据过滤策略视图。

undo data-filter policy命令用来删除指定的数据过滤策略。

【命令】

data-filter policy policy-name

undo data-filter policy policy-name

【缺省情况】

不存在数据过滤策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

policy-name:表示数据过滤策略的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

一个数据过滤策略中最多可创建32个数据过滤规则。

【举例】

# 创建一个名称为def的数据过滤策略,并进入该数据过滤策略视图。

<Sysname> system-view

[Sysname] data-filter policy def

[Sysname-data-filter-policy-def]

【相关命令】

·            data-filter apply policy

1.1.6  description (data-filter policy view)

description命令用来配置数据过滤策略的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description string

undo description

【缺省情况】

未配置数据过滤策略的描述信息。

【视图】

数据过滤策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

string:表示数据过滤策略的描述信息,为1~255个字符的字符串,区分大小写。

【使用指导】

通过合理编写描述信息,便于管理员快速理解和识别本数据过滤策略的作用。

【举例】

# 配置数据过滤策略def的描述信息为The data filter。

<Sysname> system-view

[Sysname] data-filter policy def

[Sysname-data-filter-policy-def] description The data filter

1.1.7  description (keyword-group view)

description 命令用来配置关键字组的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description string

undo description

【缺省情况】

未配置关键字组的描述信息。

【视图】

关键字组视图

【缺省用户角色】

network-admin

context-admin

【参数】

string:关键字组的描述信息,为1~255个字符的字符串,区分大小写。

【使用指导】

通过合理编写描述信息,便于管理员快速理解和识别本关键字组的作用。

【举例】

# 配置关键字组kg1的描述信息为The data filter keyword group。

<Sysname> system-view

[Sysname] data-filter keyword-group kg1

[Sysname-data-filter-kgroup-kg1] description The data filter keyword group

1.1.8  direction

direction命令用来配置数据过滤规则的匹配方向。

undo direction命令用来恢复缺省情况。

【命令】

direction { both | download | upload }

undo direction

【缺省情况】

数据过滤规则的匹配方向为会话的上传方向。

【视图】

数据过滤规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

both:在会话的上传方向和下载方向都进行匹配。

download:在会话的下载方向进行匹配。

upload:在会话的上传方向进行匹配。

【使用指导】

通过配置此命令,可以根据报文传输的方向来灵活控制对哪个方向的报文进行数据过滤。

【举例】

# 创建一个名称为def的数据过滤策略。

<Sysname> system-view

[Sysname] data-filter policy def

# 在名称为r1的数据过滤规则中配置其匹配方向为会话的下载方向。

[Sysname-data-filter-policy-def] rule r1

[Sysname-data-filter-policy-def-rule-r1] direction download

1.1.9  keyword-group

keyword-group命令用来在数据过滤规则中引用关键字组。

undo keyword-group命令用来恢复缺省情况。

【命令】

keyword-group keygroup-name

undo keyword-group

【缺省情况】

数据过滤规则中未引用关键字组。

【视图】

数据过滤规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

keygroup-name:表示关键字组的名称,为1~31个字符的字符串,不区分大小写。引用的关键字组必须存在。

【使用指导】

在数据过滤规则中通过引用关键字组来对报文的应用层信息进行关键字匹配。

在同一个数据过滤规则视图下,多次执行本命令,最后一次执行的命令生效。

【举例】

# 创建一个名称为def的数据过滤策略。

<Sysname> system-view

[Sysname] data-filter policy def

# 在名称为r1的数据过滤规则中引用关键字组kg1。

[Sysname-data-filter-policy-def] rule r1

[Sysname-data-filter-policy-def-rule-r1] keyword-group kg1

【相关命令】

·            data-filter keyword-group

1.1.10  pattern

pattern命令用来配置数据过滤特征。

undo pattern命令用来删除指定的数据过滤特征。

【命令】

pattern pattern-name { regex | text } pattern-string

undo pattern pattern-name

【缺省情况】

关键字组中不存在数据过滤特征。

【视图】

关键字组视图

【缺省用户角色】

network-admin

context-admin

【参数】

pattern-name:表示数据过滤特征的名称,为1~31个字符的字符串,不区分大小写。

regex pattern-string:表示对应用层信息进行模糊匹配的正则表达式,为3~245个字符的字符串,区分大小写,支持所有可输入字符,且必须包含连续的3个非通配符。

text pattern-string:表示对应用层信息进行精确匹配的文本,为3~245个字符的字符串,支持所有可输入字符,区分大小写。

【使用指导】

一个数据过滤特征只能定义为一个正则表达式字符串或一个文本字符串。

一个关键字组中可以配置32个数据过滤特征,且特征之间是或的关系。

正则表达式有如下限制:

·            正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。

·            正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。

·            正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。

·            正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。

【举例】

# 在关键字组kg1中配置一条正则表达式,内容为(?i)^.*abc.*

<Sysname> system-view

[Sysname] data-filter keyword-group kg1

[Sysname-data-filter-kgroup-kg1] pattern 1 regex (?i)^.*abc.*

1.1.11  pre-defined-pattern

pre-defined-pattern命令用来启用指定类型的预定义数据过滤特征。

undo pre-defined-pattern命令用来禁用指定类型的预定义数据过滤特征。

【命令】

pre-defined-pattern name { bank-card-number | credit-card-number | id-card-number | phone-number }

undo pre-defined-pattern name { bank-card-number | credit-card-number | id-card-number | phone-number }

【缺省情况】

关键字组中未启用预定义特征。

【视图】

关键字组视图

【缺省用户角色】

network-admin

context-admin

【参数】

name:表示预定义数据过滤特征的名字。

bank-card-number:表示银行卡号类型的预定义数据过滤特征。

credit-card-number:表示信用卡号类型的预定义数据过滤特征。

id-card-number:表示身份证号类型的预定义数据过滤特征。

phone-number:表示手机号类型的预定义数据过滤特征。

【使用指导】

启用指定类型的预定义数据过滤特征后,设备将对包含该特征信息的文件和内容进行识别和过滤。

可多次执行本命令,启用多种类型的预定义数据过滤特征。

【举例】

# 在关键字组kg1中启用手机号码类型的预定义数据过滤特征。

<Sysname> system-view

[Sysname] data-filter keyword-group kg1

[Sysname-data-filter-kgroup-kg1] pre-defined-pattern name phone-number

1.1.12  rule

rule命令用来创建数据过滤规则,并进入数据过滤规则视图。如果指定的数据过滤规则已经存在,则直接进入数据过滤规则视图。

undo rule命令用来删除指定的数据过滤规则。

【命令】

rule rule-name

undo rule rule-name

【缺省情况】

不存在数据过滤规则。

【视图】

数据过滤策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-name:表示数据过滤规则的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

在数据过滤规则中可以配置匹配报文的一系列匹配项,比如规则匹配的方向、规则生效的协议类型、规则引用的关键字组和规则的动作。

【举例】

# 在名称为def的数据过滤策略下创建一个名称为r1的数据过滤规则,并进入数据过滤规则视图。

<Sysname> system-view

[Sysname] data-filter policy def

[Sysname-data-filter-policy-def] rule r1

[Sysname-data-filter-policy-def-rule-r1]

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!