国家 / 地区

04-DPI深度安全命令参考

08-代理策略命令

本章节下载  (283.18 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/H3C_CR(V7)(E9628_E9536_E9345_E9342_R8534)-6W400/04/201911/1246967_30005_0.htm

08-代理策略命令


1 代理策略

1.1  代理策略配置命令

1.1.1  action

action命令用来配置代理策略规则的动作。

undo action命令用来恢复缺省情况。

【命令】

action { no-proxy | ssl-decrypt | tcp-proxy }

undo action

【缺省情况】

代理策略规则动作为no-proxy

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

no-proxy:表示动作为不代理。

ssl-decrypt:表示动作为SSL解密。

tcp-proxy:表示动作为TCP代理。

【使用指导】

设备将根据代理策略规则的动作对命中规则的流量进行如下处理:

·            代理策略的动作配置为不代理时,设备将对命中策略的流量进行透传。

·            代理策略的动作配置为SSL解密时,设备将对命中策略的流量进行SSL代理,并基于此对SSL流量进行解密,并对解密后的流量进行深度安全检测和七层负载均衡。其中,SSL代理是基于TCP代理实现的。

·            代理策略的动作配置为TCP代理时,设备将对命中策略的流量进行TCP代理,为客户端和服务器端之间提供TCP层隔离,可有效地拦截恶意连接和攻击。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置代理策略规则rule1的动作为SSL解密。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] action ssl-decrypt

【相关命令】

·            display app-proxy-policy

·            rule

1.1.2  app-proxy ssl-decrypt-certificate delete

app-proxy ssl-decrypt-certificate delete命令用来删除SSL解密证书。

【命令】

app-proxy ssl-decrypt-certificate delete filename filename

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

filename:表示SSL解密证书的文件名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

如果删除SSL解密证书,设备将不能签发SSL代理服务器证书发送到客户端,SSL代理连接失败,设备将直接透传报文。

当证书成功导入设备后,文件类型会被改为CER格式,删除证书时需要将指定的证书后缀名改为.cer。

【举例】

# 删除SSL解密证书。

<Sysname> system-view

[Sysname] app-proxy ssl-decrypt-certificate delete aaa.cer

【相关命令】

·            display app-proxy ssl-decrypt-certificate

1.1.3  app-proxy ssl-decrypt-certificate import

app-proxy ssl-decrypt-certificate import命令用来导入SSL解密证书。

【命令】

app-proxy ssl-decrypt-certificate import { trusted | untrusted } { pem | p12 } filename filename

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

trusted:表示SSL解密证书可以用于签发标识为可信的SSL代理服务器证书。用于传递真实服务器证书合法的信息给客户端。

untrusted:表示SSL解密证书可以用于签发标识为不可信的SSL代理服务器证书。客户端不信任的CA证书。用于传递真实服务器证书非法的信息给客户端,让用户感知到可能存在的安全风险。

pem:表示导入的证书的格式为PEM编码。

p12:表示导入的证书的格式为PKCS#12编码。

filename filename:表示导入的证书文件的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

导入SSL解密证书时需要为其标识可以签发的SSL代理服务器证书的可信度。

当设备接收到服务器证书后,将代替客户端对服务器的合法性进行验证,并使用具备签发不同标识功能的SSL解密证书签发不同标识的SSL代理服务器证书向客户端传递服务器的合法性信息:

·            当服务器合法时:设备将使用可签发可信标识的SSL解密证书签发一本可信SSL代理服务器证书,向客户端传递此服务器合法的信息。

·            当服务器不合法时:设备将使用可签发不可信标识的SSL解密证书签发一本不可信SSL代理服务器证书,向客户端传递此服务器不合法的信息。

设备上只能存在一份可信SSL解密证书和一份不可信SSL解密证书,多次执行本命令,后续导入的可信或者不可信证书会覆盖原有的证书。

同一本       SSL解密证书仅可导入一次,如果需要为同一本证书标识两种可信度,可执行app-proxy ssl-decrypt-certificate modify命令为证书添加可信度标识。

需要在客户端浏览器上安装并信任SSL解密证书。防止设备启用SSL解密功能后,客户端通过浏览器访问HTTPS类网站时,会弹出服务器证书不是由受信任机构颁发的告警信息,甚至有些应用程序不提示告警信息就直接中断了连接,影响用户的正常使用。

默认情况下,火狐浏览器不共享系统中的证书库,如果已经在其他浏览器上导入SSL卸载证书,则可以通过修改火狐浏览器中的高级设置,使其共享系统中的证书库,不再单独导入证书,具体操作步骤如下:

在地址栏中输入:about:config,搜索框中输入:security.enterprise_roots.enabled,双击选中的条目,或者单击鼠标右键,选择切换,修改其值为true。

导入成功后,设备将修改证书文件类型为CER格式。

【举例】

# 导入PKCS#12编码格式的用于签发可信SSL代理服务器证书的SSL解密证书。

<Sysname> system-view

[Sysname] app-proxy ssl-decrypt-certificate import trusted p12 filename aaa.p12

Password:

【相关命令】

·            display app-proxy ssl-decrypt-certificate certificate

1.1.4  app-proxy ssl-decrypt-certificate modify

app-proxy ssl-decrypt-certificate modify命令用来添加SSL解密证书可签发SSL代理服务器证书的可信度。

undo app-proxy ssl-decrypt-certificate modify命令用来删除SSL解密证书可签发SSL代理服务器证书的可信度。

【命令】

app-proxy ssl-decrypt-certificate modify { trusted | untrusted } filename filename

undo app-proxy ssl-decrypt-certificate modify { trusted | untrusted }

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

trusted:表示SSL解密证书可以用于签发标识为可信的SSL代理服务器证书。用于传递真实服务器证书合法的信息给客户端。

untrusted:表示SSL解密证书可以用于签发标识为不可信的SSL代理服务器证书。客户端不信任的CA证书。用于传递真实服务器证书非法的信息给客户端,让用户感知到可能存在的安全风险。

filename:表示SSL解密证书文件的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

本命令可用于为同一本SSL解密证书添加可签发SSL代理服务器证书的可信度,即使用一本SSL解密证书同时签发可信和不可信的SSL代理服务器证书。

为SSL解密证书添加指定的可信度后,原指定可信度的证书将被删除。

删除SSL解密证书指定的可信度后,SSL解密证书不可签发指定可信度的SSL代理服务器证书,但SSL解密证书仍然保存在设备中,不会被删除,管理员可再次为SSL解密证书添加可信度。

当SSL解密证书成功导入设备后,文件类型会被改为CER格式,修改证书时需要将指定的证书后缀名改为.cer。

【举例】

# 修改用于签发SSL代理服务器证书的CA证书为可信证书。

<Sysname> system-view

[Sysname] app-proxy ssl-decrypt-certificate modify trusted filename aaa.cer

[Sysname] A trusted CA certificate already exists. Overwrite the existing trusted CA certificate with the specified certificate? [Y/N]:

【相关命令】

·            display app-proxy ssl-decrypt-certificate

1.1.5  app-proxy ssl whitelist activate

app-proxy ssl whitelist activate命令用来激活SSL代理白名单的配置。

【命令】

app-proxy ssl whitelist activate

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

需要激活SSL代理域名白名单配置的场景如下:

·            对自定义SSL代理域名白名单进行添加、修改和删除操作。

·            对预定义SSL代理域名白名单进行启用或禁用操作。

仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。

【举例】

# 配置example.com加入SSL代理域名白名单,并激活配置。

<Sysname> system-view

[Sysname] app-proxy ssl whitelist user-defined-hostname example.com

To activate the setting, execute app-proxy ssl whitelist activate.

[sysname] app-proxy ssl whitelist activate

【相关命令】

·            app-proxy ssl whitelist predefined-hostname enable

·            app-proxy ssl whitelist user-defined-hostname

1.1.6  app-proxy ssl whitelist predefined-hostname enable

app-proxy ssl whitelist predefined-hostname enable命令用来启用预定义SSL代理域名白名单。

undo app-proxy ssl whitelist predefined-hostname enable命令用来禁用预定义SSL代理域名白名单。

【命令】

app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable

undo app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable

【缺省情况】

预定义SSL代理域名白名单处于启用状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

chrome-hsts [ host-name ]:表示Chrome浏览器强制使用HTTPS方式访问的域名。host-name,表示域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来”例如"user for test"。若不指定本参数,则表示所有Chrome-hsts类型的域名。

host-name:表示不被Chrome浏览器强制使用HTTPS方式访问的域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来”例如"user for test"。

【使用指导】

HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。当chrome-hsts白名单整体处于禁用状态时,单独启用或禁用指定的chrome-hsts域名不生效。

当chrome-hsts白名单整体处于开启状态时,可单独启用或禁用指定的chrome-hsts域名。

仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。

【举例】

# 整体禁用预定义SSL代理域名白名单中的chrome-hsts。

<Sysname> system-view

[sysname] undo app-proxy ssl whitelist predefined-hostname chrome-hsts enable

To activate the setting, execute app-proxy ssl whitelist activate.

# 禁用预定义SSL代理域名白名单中的12306.cn。

<Sysname> system-view

[sysname] undo app-proxy ssl whitelist predefined-hostname 12306.cn enable

To activate the setting, execute app-proxy ssl whitelist activate.

【相关命令】

·            app-proxy ssl whitelist activate

·            display app-proxy ssl whitelist

1.1.7  app-proxy ssl whitelist user-defined-hostname

app-proxy ssl whitelist user-defined-hostname命令用来添加自定义SSL代理域名白名单。

undo app-proxy ssl whitelist user-defined-hostname命令用来删除自定义SSL代理域名白名单。

【命令】

app-proxy ssl whitelist user-defined-hostname host-name

undo app-proxy ssl whitelist user-defined-hostname { host-name | all }

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

host-name:表示服务器域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来,例如"user for test"。

all:表示删除自定义SSL代理域名白名单中的所有域名。

【使用指导】

设备使用host-name与SSL请求报文中携带的服务器证书的“DNS Name”或“Common Name”字段进行匹配,只要含有host-name的域名均会匹配成功。若匹配成功,则透传该SSL连接。

配置本命令后需要执行app-proxy ssl whitelist activate命令,使配置生效。

仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。

【举例】

# 添加名为example.com的自定义SSL代理域名白名单,并提交配置。

<Sysname> system-view

[Sysname] app-proxy ssl whitelist user-defined-hostname example.com

To activate the setting, execute app-proxy ssl whitelist activate.

[sysname] app-proxy ssl whitelist activate

【相关命令】

·            app-proxy ssl whitelist activate

·            display app-proxy ssl whitelist

1.1.8  app-proxy-policy

app-proxy-policy命令用来进入代理策略视图。

undo app-proxy-policy命令用来删除所有代理策略配置。

【命令】

app-proxy-policy

undo app-proxy-policy

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

目前仅支持IPv4代理策略。

【举例】

# 进入代理策略视图。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy]

【相关命令】

·            display app-proxy-policy

1.1.9  default action

default action命令用来配置代理策略的缺省动作。

undo default action命令用来恢复缺省情况。

【命令】

default action { no-proxy | ssl-decrypt | tcp-proxy }

undo default action

【缺省情况】

缺省动作为no-proxy

【视图】

代理策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

no-proxy:表示动作为不代理。

ssl-decrypt:表示动作为SSL解密。

tcp-proxy:表示动作为TCP代理。

【使用指导】

配置此命令后,当报文没有匹配上代理策略中的规则时,设备将根据缺省动作对此报文进行处理。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置代理策略的缺省动作为SSL解密。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] default action ssl-decrypt

1.1.10  destination-ip object-group

destination-ip object-group命令用来配置作为代理策略规则过滤条件的目的IP地址对象组。

undo destination-ip object-group命令用来删除作为代理策略规则过滤条件的目的IP地址对象组。

【命令】

destination-ip object-group object-group-name

undo destination-ip object-group [ object-group-name ]

【缺省情况】

未配置作为代理策略规则过滤条件的目的IP地址对象组。

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示目的地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。

【使用指导】

多次执行本命令,可配置多个目的IP地址作为代理策略规则的过滤条件。只要一个目的IP地址匹配成功,则认为目的IP地址过滤条件匹配成功。

指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。

使用undo命令时若不指定本参数,则表示删除所有目的IP地址对象组过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【举例】

# 配置作为代理策略规则rule1过滤条件的目的地址对象组为client1和client2。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] destination-ip object-group client1

[Sysname-app-proxy-policy-0-rule1] destination-ip object-group client2

【相关命令】

·            display app-proxy-policy

·            object-group(安全命令参考/对象组)

1.1.11  destination-zone

destination-zone命令用来配置作为代理策略规则过滤条件的目的安全域。

undo destination-zone命令用来删除作为代理策略规则过滤条件的目的安全域。

【命令】

destination-zone destination-zone-name

undo destination-zone [ destination-zone-name ]

【缺省情况】

未配置作为代理策略规则过滤条件的目的安全域。

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。

【使用指导】

多次执行本命令,可配置多个目的安全域作为代理策略规则的过滤条件。只要一个目的安全域匹配成功,则认为目的安全域过滤条件匹配成功。

如果指定的安全域不存在,配置可以成功下发,但不生效。

使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“基础配置指导”中的“安全域”。

【举例】

# 配置作为代理策略规则rule1过滤条件的目的安全域为trust和server。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] destination-zone trust

[Sysname-app-proxy-policy-0-rule1] destination-zone server

【相关命令】

·            display app-proxy-policy

·            security-zone(安全命令参考/安全域)

1.1.12  disable

disable命令用来禁用代理策略规则。

undo disable命令用来启用代理策略规则。

【命令】

disable

undo disable

【缺省情况】

代理策略规则处于启用状态。

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

禁用代理策略规则后,流量不会与代理策略规则进行匹配。

多条规则处于启用状态时,流量会按序匹配这些规则,一旦匹配成功就按照当前规则所配置动作处理。

【举例】

# 在代理策略规则视图下,禁用代理策略规则rule1。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] disable

【相关命令】

·            rule

1.1.13  display app-proxy server-certificate

display app-proxy server-certificate命令用来显示客户端访问的服务器的证书。

【命令】

display app-proxy server-certificate [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

slot slot-number:显示指定成员设备上客户端访问的服务器的证书,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上客户端访问的服务器的证书。

【使用指导】

可通过本命令查看设备作为SSL代理客户端时接收到的客户端访问的服务器证书。

【举例】

# 显示指定slot上的客户端访问的服务器的证书。

<Sysname> display app-proxy server-certificate slot 1

Slot1:

Total server certificates: --

Certificate info: /cn=h3c-https-self-signed-certificate-13a73249669cc70a

     Proxy count: 198

     Most recent proxy time: 2017/10/25 10:7:7

     First proxy at: 2017/10/23 15:52:59

图1-1 display app-proxy ssl certificate命令显示信息描述表

字段

描述

Total server certificates

客户端访问的服务器证书总数

Certificate info

证书的一些关键信息,取值包括:

·         Certificate Info: example.com:表示证书中有“DNS Name”字段,example.com是证书的“DNS Name”。

·         Certificate Info: /cn=example.com:表示证书中无“DNS Name”字段,example.com是证书的“Common Name”。

Proxy count

进行SSL代理的次数

Most recent proxy time

最近一次进行SSL代理的时间

First proxy at

第一次进行SSL代理的时间

 

【相关命令】

·            reset app-proxy server-certificate

1.1.14  display app-proxy ssl-decrypt-certificate

display app-proxy ssl-decrypt-certificate命令用来显示SSL解密证书。

【命令】

display app-proxy ssl-decrypt-certificate

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示SSL解密证书。

<Sysname> display app-proxy ssl-decrypt-certificate

Trusted:

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            aa:31:f8:3d:06:b0:9b:   Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca

        Validity

            Not Before: Sep  7 12:00:43 2017 GMT

            Not After : Aug 28 12:00:43 2057 GMT

        Subject: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (2048 bit)

                Modulus:

                    00:ec:d7:73:af:03:07:07:86:e6:31:4d:e5:32:09:

                    20:7f:93:19:20:b2:25:c4:cc:32:8e:e4:29:fd:e0:

                    30:48:4c:8d:0a:83:66:28:af:6a:e0:69:81:08:58:

                    ca:cf:e4:3d:5a:e8:69:92:67:71:e3:c0:66:87:8e:

                    16:cc:6a:89:1d:d4:22:5f:93:14:47:bd:39:60:44:

                    3c:ee:0a:d1:8d:d4:16:84:65:e9:b7:b1:0f:6d:af:

                    6e:ef:21:b5:5a:02:4f:63:46:6e:8b:73:b5:95:70:

                    8a:ed:5d:23:8b:d8:0e:45:2d:8b:52:ab:34:6d:3b:

                    d5:85:ae:1c:d4:26:6e:fb:2c:1e:18:db:55:22:96:

                    d8:1f:1a:33:e9:ff:1f:8c:be:28:9d:de:77:d8:9b:

                    a7:27:0f:7e:e2:52:3e:bd:02:ee:c3:06:93:d0:16:

                    b0:c7:96:bb:c8:b1:96:8d:ee:ca:6e:76:63:1e:b1:

                    b6:fb:31:bf:d0:13:66:ad:f6:97:cf:0b:37:f7:6c:

                    f8:46:b6:76:f1:70:6f:24:6c:92:a6:dd:c2:3b:cf:

                    3c:35:c7:74:60:dd:db:a3:bf:70:b4:55:05:4b:d7:

                    cd:dd:c1:1b:59:0d:41:e7:95:5a:79:44:9d:b0:8b:

                    a7:f2:f4:67:0e:0c:4a:b6:35:97:1e:e6:99:88:fc:

                    c8:e9

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Subject Alternative Name:

                IP Address:1.1.1.1, DNS:trustca, email:1@3.com

            X509v3 Basic Constraints: critical

                CA:TRUE

            X509v3 Key Usage: critical

                Certificate Sign, CRL Sign

            X509v3 Subject Key Identifier:

                D4:35:A8:66:63:03:04:2B:CA:4E:91:06:11:F5:72:1C:26:E0:BE:33

            Netscape Cert Type:

                SSL CA

            Netscape Comment:

                example comment extension

    Signature Algorithm: sha1WithRSAEncryption

         b9:d2:eb:98:bd:f9:8d:7e:03:a8:0e:b4:29:cf:3a:a1:fd:f4:

         2a:fa:56:1c:cf:40:a4:9e:7f:5a:15:6b:88:8a:dd:86:d2:03:

         c3:38:49:7a:11:09:78:81:8c:8f:0a:3b:fb:d6:60:59:c4:0b:

         12:0e:38:b0:92:f3:2e:b5:96:ab:d3:a4:2d:cb:ef:fd:a0:97:

         d0:63:43:8e:91:1f:f1:fc:39:c8:cf:e5:ee:4b:e7:8c:8b:f8:

         3b:ff:5e:dc:00:df:5b:2f:98:53:f2:c7:da:fa:b8:2e:92:dd:

         33:6a:80:df:0e:22:62:62:5d:2f:6c:eb:4c:80:c4:56:c9:00:

         01:a6:82:60:e4:32:69:f7:7b:8f:6c:93:e5:c3:64:65:fe:aa:

         e1:0b:10:92:bd:ea:2f:2f:e5:b6:fd:b5:5b:df:34:c8:5d:5a:

         91:9a:0d:89:10:76:b8:ed:28:ef:6a:c4:7b:48:d7:88:57:7c:

         cf:4e:c8:38:84:ad:54:6d:3f:40:a0:38:d7:36:61:23:7a:82:

         62:34:41:3d:cc:b2:ee:4a:23:f1:7d:12:e2:23:26:10:df:c8:

         a1:6f:00:00:b7:c2:1f:ce:1b:63:60:e0:63:33:e0:59:31:78:

         bc:27:99:b6:27:40:95:da:1b:37:07:75:2f:99:97:56:33:f5:

         4f:ad:14:31

图1-2 display app-proxy pki certificate命令显示信息描述表

字段

描述

Trusted

证书的可信度,取值包括:

·         Trusted:客户端信任的证书

·         Untrusted:客户端不信任的证书

Certificate

证书的信息

Data

证书的数据

Version

证书的版本

Serial Number

证书的序列号

Signature Algorithm

证书的签名算法

Issuer

证书的颁发者

Validity

证书的有效期

Subject

证书的主题

Subject Public Key Info

证书的主题公钥信息

Public Key Algorithm

公钥算法

Public-Key

公钥信息

Modulus

密钥模数

Exponent

密钥指数

X509v3 extensions

X.509v3证书扩展项

X509v3 Subject Alternative Name

主题的备用名称

IP Address

实体的IP地址

DNS

实体的DNS名

email

实体的电子邮箱地址

X509v3 Basic Constraints

基本约束,指出一个证书是否是CA证书

X509v3 Key Usage

密钥用法,指出有效用途

X509v3 Subject Key Identifier

主题密钥标识符

Netscape Cert Type

Netscape证书类型,可以用于指定网景软件的密钥用途

Netscape Comment

Netscape注释,在某些浏览器中可以用于展示注释信息

 

1.1.15  display app-proxy ssl whitelist hostname

display app-proxy ssl whitelist hostname命令用来显示SSL代理域名白名单。

【命令】

display app-proxy ssl whitelist hostname { predefined | user-defined }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

user-defined:表示显示自定义SSL代理域名白名单。

predefined:表示显示预定义SSL代理域名白名单。

【使用指导】

仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。

【举例】

# 显示自定义SSL代理域名白名单。

<Sysname> display app-proxy ssl whitelist hostname user-defined

Hostname

example1.com

example2.com

# 显示预定义SSL代理域名白名单。

<Sysname> display app-proxy ssl whitelist hostname predefined

Chrome HSTS-defined hostnames:

  status      Hostname

  enabled     2mdn.net

  enabled     accounts.firefox.com

  enabled     aclu.org

  enabled     activiti.alfresco.com

  enabled     adamkostecki.de

  enabled     addvocate.com

  enabled     adsfund.org

  enabled     aie.de

  enabled     airbnb.com

  enabled     aladdinschools.appspot.com

  enabled     alexsexton.com

  enabled     alpha.irccloud.com

  enabled     android.com

  enabled     ansdell.net

  enabled     anycoin.me

  enabled     apadvantage.com

  enabled     api.intercom.io

  enabled     api.lookout.com

  enabled     api.mega.co.nz

  enabled     api.recurly.com

  enabled     api.simple.com

---- More ----

图1-3 display app-proxy ssl whitelist命令显示信息描述表

字段

描述

Chrome HSTS-defined hostnames

表示Chrome浏览器强制使用HTTPS方式访问的域名

Hostname

表示域名

Status

表示域名白名单的生效状态,取值包括:

·         Enabled:表示启用

·         Disabled:表示禁用

 

【相关命令】

·            app-proxy ssl whitelist predefined-hostname enable

·            app-proxy ssl whitelist user-defined-hostname

1.1.16  display app-proxy ssl whitelist ip

display app-proxy ssl whitelist ip命令用来显示SSL代理IP地址白名单。

【命令】

display app-proxy ssl whitelist ip { all [ slot slot-number ] | ip-address }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

all:显示SSL代理IP地址白名单的所有IP地址。

ip-address:显示SSL代理IP地址白名单中指定的IP地址。

slot slot-number:显示指定成员设备上SSL代理IP地址白名单,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上SSL代理IP地址白名单。

【举例】

# 显示指定slot上的所有SSL代理IP地址白名单。

<Sysname> display app-proxy ssl whitelist ip all slot 1

Slot 1:

IP address              Port

10.1.1.1                443

10.10.1.1               443

图1-4 display app-proxy ssl whitelist ip命令显示信息描述表

字段

描述

IP address

SSL代理白名单的IP地址

Port

SSL代理白名单的IP地址对应的端口号

 

1.1.17  display app-proxy-policy

display app-proxy-policy命令用来显示代理策略的配置信息。

【命令】

display app-proxy-policy [ rule rule-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

rule rule-name:表示代理策略规则的名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则显示所有代理策略规则的配置。

【举例】

# 显示代理策略的配置信息。

<Sysname> display app-proxy-policy

Default action: ssl-decrypt

Rule with ID 0 and name rule0:

  Action: ssl-decrypt

  Status:Enabled

  Match criteria:

   Source security zones: trust

   Destination security zones: trust

   Source IP address object groups: srcobj

   Destination IP address object groups: destobj

   Service object groups: serviceobj

   Users: user1

   User groups: usergroup1

 

  Rule with ID 2 and name rule2:

  Action: ssl-decrypt

  Status:Enabled

  Match criteria:

  source-zone: trust

  destination-zone: Untrust

图1-5 display app-proxy-policy命令显示信息描述表

字段

描述

Default action

表示代理策略的缺省动作,取值包括:

·         no-proxy:表示不代理

·         ssl-decrypt:表示SSL解密

·         tcp-proxy:表示TCP代理

Rule with ID rule-id and name rule-name

表示代理策略规则,ID为rule-id,名称为rule-name

Action

对匹配上代理策略规则的报文执行动作,取值包括:

·         no-proxy:表示不代理

·         ssl-decrypt:表示SSL解密

·         tcp-proxy:表示TCP代理

Source security zones

表示规则过滤条件中的源安全域名称

Destination security zones

表示规则过滤条件中的目的安全域名称

Source IP address object groups

表示规则过滤条件中的源IP地址对象组名称

Destination IP address object groups

表示规则过滤条件中的目的IP地址对象组名称

Service object groups

表示规则过滤条件中的服务对象组名称

Users

表示规则过滤条件中的用户名称

User groups

表示规则过滤条件中的用户组名称

 

1.1.18  rule

rule命令用来创建代理策略规则,并进入代理策略规则视图。如果指定的代理策略规则已经存在,则直接进入代理策略规则视图。

undo rule命令用来删除指定的代理策略规则。

【命令】

rule { rule-id | [ rule-id ] name rule-name }

undo rule { rule-id | name rule-name }

【视图】

代理策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:表示代理策略规则的编号,取值范围为1~65535。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。如果现有最大编号已经达到规格上限,则选择当前未使用的最小编号作为新的编号。

name rule-name:表示代理策略规则的名称,为1~63个字符的字符串,不区分大小写,创建规则时必须配置名称,规则名称不能为default。

【举例】

# 创建名为rule1的代理策略规则。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-1-rule1]

【相关命令】

·            display app-proxy-policy

1.1.19  rule move

rule move命令用来移动代理策略规则。

【命令】

rule move rule-id before insert-rule-id

【视图】

代理策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:表示待移动代理策略规则编号,取值范围为1~65535。

insert-rule-id:表示移动到指定编号的规则之前,取值范围为1~65536。配置最大编号时,表示待移动代理策略规则移动到所有规则之后。

【使用指导】

如果待移动规则与参考规则相同或不存在,则不执行任何移动操作。

【举例】

# 移动代理策略规则5到规则2之前。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule move 5 before 2

【相关命令】

·            rule

1.1.20  reset app-proxy server-certificate

reset app-proxy server-certificate命令用来清除客户端访问的服务器的证书。

【命令】

reset app-proxy server-certificate

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 清除客户端访问的服务器的证书。

<Sysname> reset app-proxy server-certificate

【相关命令】

·            display app-proxy server-certificate

1.1.21  reset app-proxy ssl whitelist ip

reset app-proxy ssl whitelist ip命令用来清除SSL代理IP地址白名单。

【命令】

reset app-proxy ssl whitelist

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 清除SSL代理IP地址白名单。

<Sysname> reset app-proxy ssl whitelist ip

【相关命令】

·            display app-proxy ssl whitelist ip

1.1.22  service

service object-group命令用来配置作为代理策略规则过滤条件的服务对象组。

undo service object-group命令用来删除作为代理策略规则过滤条件的服务对象组。

【命令】

service object-group{ object-group-name }
undo service object-group [ object-group-name ]

【缺省情况】

未配置作为代理策略规则过滤条件的服务对象组。

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:服务对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为any。

【使用指导】

多次执行本命令,可配置多个服务对象组作为代理策略规则的过滤条件。只要一个服务对象组匹配成功,则认为服务对象组过滤条件匹配成功。

只支持服务对象组中配置四层及其以下的协议类型,若引用的服务组配置了其他协议类型,该服务组不生效。

指定的服务对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。

使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。

【举例】

# 配置作为代理策略规则rule1过滤条件的服务对象组为tcp和ftp。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] service object-group tcp

[Sysname-app-proxy-policy-0-rule1] service object-group ftp

【相关命令】

·            display app-proxy-policy

·            object-group(安全命令参考/对象组)

1.1.23  source-ip object-group

source-ip object-group命令用来配置作为代理策略规则过滤条件的源IP地址对象组。

undo source-ip object-group命令用来删除作为代理策略规则过滤条件的源IP地址对象组。

【命令】

source-ip object-group object-group-name

undo source-ip object-group [ object-group-name ]

【缺省情况】

未配置作为代理策略规则过滤条件的源IP地址对象组。

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示源地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。

【使用指导】

多次执行本命令,可配置多个源IP地址作为代理策略规则的过滤条件。只要一个源IP地址匹配成功,则认为源IP地址过滤条件匹配成功。

指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。

使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【举例】

# 配置作为代理策略规则rule1过滤条件的源地址对象组为server1和server2。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] source-ip object-group server1

[Sysname-app-proxy-policy-0-rule1] source-ip object-group server2

【相关命令】

·            display app-proxy-policy

·            object-group(安全命令参考/对象组)

1.1.24  source-zone

source-zone命令用来配置作为代理策略规则过滤条件的源安全域。

undo source-zone命令用来删除作为代理策略规则过滤条件的源安全域。

【命令】

source-zone source-zone-name

undo source-zone [ source-zone-name ]

【缺省情况】

未配置作为代理策略规则过滤条件的源安全域。

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。

【使用指导】

多次执行本命令,可配置多个源安全域作为代理策略规则的过滤条件,只要一个源安全域匹配成功,则认为源安全域过滤条件匹配成功。

如果指定的安全域不存在,配置可以成功下发,但不生效。

使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。

【举例】

# 配置作为代理策略规则rule1过滤条件的源安全域为trust和server。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] source-zone trust

[Sysname-app-proxy-policy-0-rule1] source-zone server

【相关命令】

·            display app-proxy-policy

·            security-zone(安全命令参考/安全域)

1.1.25  user

user命令用来配置作为代理策略规则过滤条件的用户。

undo user命令用来删除作为代理策略规则过滤条件的用户。

【命令】

user user-name [ domain domain-name ]

undo user [ username [ domain domain-name ] ]

【缺省情况】

未配置作为代理策略规则过滤条件的用户。

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。

domain domain-name:表示身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。

【使用指导】

多次执行配置命令,可配置多个用户作为规则的过滤条件,只要一个用户匹配成功,则认为用户过滤条件匹配成功。

若指定的用户或身份识别域不存在或者用户和身份识别域不匹配,配置可以成功下发,但不生效。

使用undo命令时若不指定username,则表示删除此规则中所有用户过滤条件。

使用undo命令时若不指定domain-name,则表示删除此规则中所有身份识别域之外的用户过滤条件。

【举例】

# 配置作为代理策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] user usera domain test

[Sysname-app-proxy-policy-0-rule1] user userb domain test

【相关命令】

·            display app-proxy-policy

·            user-identity enable(安全命令参考/用户身份识别与管理)

·            user-identity static-user(安全命令参考/用户身份识别与管理)

1.1.26  user-group

user-group命令用来配置作为代理策略规则过滤条件的用户组。

undo user-group命令用来删除作为代理策略规则过滤条件的用户组。

【命令】

user-group user-group-name [ domain domain-name ]

undo user-group [ user-group-name [ domain domain-name ] ]

【缺省情况】

未配置作为代理策略规则过滤条件的用户组。

【视图】

代理策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。

domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

多次执行配置命令,可配置多个用户组作为规则的过滤条件,只要一个用户组匹配成功,则认为用户组过滤条件匹配成功。

若指定的用户组不存在,配置可以成功下发,但不生效。

使用undo命令时若不指定user-group-name,则表示删除此规则中所有用户组过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

使用undo命令时若不指定domain-name,则表示删除此规则中所有身份识别域之外的用户组过滤条件。

【举例】

# 配置作为代理策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。

<Sysname> system-view

[Sysname] app-proxy-policy

[Sysname-app-proxy-policy] rule 1 name rule1

[Sysname-app-proxy-policy-0-rule1] user-group groupa domain test

[Sysname-app-proxy-policy-0-rule1] user-group groupb domain test

【相关命令】

·            display app-proxy-policy

·            user-group(安全命令参考/AAA)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!