- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-安全策略命令
本章节下载: 17-安全策略命令 (399.28 KB)
目 录
1.1.1 accelerate enhanced enable
1.1.6 default rule counting enable
1.1.7 default rule logging enable
1.1.8 description (security-policy rule view)
1.1.9 description (security-policy view)
1.1.13 display security-policy
1.1.14 display security-policy match-criteria
1.1.15 display security-policy statistics
1.1.25 reset security-policy statistics
1.1.28 security-policy log real-time-sending enable
accelerate enhanced enable命令用来激活安全策略规则的加速功能。
【命令】
accelerate enhanced enable
【视图】
安全策略视图
【缺省用户角色】
network-admin
【使用指导】
加速功能用于提高报文对安全策略规则的匹配速度。激活安全策略规则加速功能是指对变化(新增、删除、修改或移动)的安全策略规则进行加速。
进入安全策略视图后,系统按照固定时间间隔判断是否需要激活安全策略规则的加速功能。在一个时间间隔内若安全策略规则发生变化,则间隔时间到达后会对当前所有的安全策略规则进行重新加速,否则,不会重新加速。当安全策略规则小于等于100条时,此时间间隔为2秒;当安全策略规则大于100条时,此时间间隔为20秒。
如安全策略规则发生变化后,也可以手动执行accelerate enhanced enable命令立即对发生变化的安全策略规则进行加速。
安全策略中的规则发生变化后必须对其加速成功,否则这些变化的规则无法进行报文匹配。
激活安全策略规则加速功能时,内存资源不足会导致安全策略规则加速失败。加速失败后,本间隔内发生变化的安全策略规则未进行加速,从而导致变化的安全策略规则不生效,之前已经加速成功的规则不受影响。在下一个时间间隔到达后,系统会再次尝试对安全策略规则进行加速。
【举例】
# 激活安全策略规则的加速功能。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] accelerate enhanced enable
action命令用来配置安全策略规则的动作。
【命令】
action { drop | pass }
【缺省情况】
未配置安全策略规则动作。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
若安全策略规则未配置动作,则该规则会处于失效状态,不会匹配和控制报文。
【举例】
# 为安全策略规则rule1配置动作为丢弃。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] action drop
【相关命令】
· display security-policy
application命令用来配置作为安全策略规则过滤条件的应用或应用组。
undo application命令用来删除作为安全策略规则过滤条件的应用或应用组。
【命令】
application { name application-name | group app-group-name }
undo application [ name [ application-name ] | [ group [ app-group-name ] ]
【缺省情况】
不存在应用过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
name application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定application-name参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“安全配置指导”中的“APR”。
group app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定app-group-name参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。
为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。
在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的应用。
使用undo命令时若不指定任何参数,则表示删除此规则中所有应用和应用组类型的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] application name 139Mail
[Sysname-security-policy-1-rule1] application name 51job
# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] application group app1
[Sysname-security-policy-1-rule1] application group app2
【相关命令】
· display security-policy
· nbar application(安全命令参考/APR)
· port-mapping(安全命令参考/APR)
counting enable命令用来开启安全策略规则匹配统计功能。
undo counting enable命令用来关闭安全策略规则匹配统计功能。
【命令】
counting enable
undo counting enable
【缺省情况】
安全策略规则匹配统计功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
【举例】
# 为安全策略规则rule1开启规则匹配统计功能。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] counting enable
【相关命令】
· display security-policy
· display security-policy statistics
default rule action命令用来配置安全策略缺省规则的动作。
【命令】
default rule action { drop | pass }
【缺省情况】
安全策略缺省规则的动作是丢弃。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略缺省规则配置动作为丢弃。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] default rule action drop
default rule counting enable命令用来开启安全策略缺省规则匹配统计功能。
undo default rule counting enable命令用来关闭安全策略缺省规则匹配统计功能。
【命令】
default rule counting enable
undo default rule counting enable
【缺省情况】
安全策略缺省规则匹配统计功能处于关闭状态。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【使用指导】
此功能用来对匹配安全策略缺省规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
【举例】
# 为安全策略缺省规则开启规则匹配统计功能。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] default rule counting enable
default rule logging enable命令用来开启安全策略缺省规则记录日志的功能。
undo default rule logging enable命令用来关闭安全策略缺省规则记录日志的功能。
【命令】
default rule logging enable
undo default rule logging enable
【缺省情况】
安全策略规则记录日志的功能处于关闭状态。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能后,设备对匹配缺省规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向,但安全策略日志不会输出到控制台和监视终端,可通过执行display logbuffer命令或在Web页面上的安全策略日志中查看。有关display logbuffer命令和信息中心的详细描述,请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 在安全策略缺省规则中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] default rule logging enable
description命令用来配置安全策略规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略规则的描述信息。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 为安全策略规则1配置描述信息为This rule is used for source-ip ip1。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] description This rule is used for source-ip ip1
【相关命令】
· display security-policy
description命令用来配置安全策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略的描述信息。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置安全策略的描述信息为“zone-pair security office to library”。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] description zone-pair security office to library
【相关命令】
· display security-policy
destination-address命令用来配置作为安全策略规则过滤条件的目的地址。
undo destination-address命令用来删除作为安全策略规则过滤条件的目的地址。
【命令】
destination-address { host { ip-address | ipv6-address} | subnet { ip-address { mask-length | mask }| ipv6-address prefix-length | ipv6-address / prefix-length } | range { ip-address1 ip-address2 | ipv6-address1 ipv6-address2 } | object-group-ip address-object-group-name | object-group-ipv6 address-object-group-name }
undo destination-address [ host [ip-address | ipv6-address ] | subnet [ ip-address { mask-length | mask } | ipv6-address prefix-length | ipv6-address / prefix-length ] | range [ ip-address1 ip-address2 | ipv6-address1 ipv6-address2 ] | object-group-ip [ object-group-name ] | object-group-ipv6 [address-object-group-name ] ]
【缺省情况】
不存在目的地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ip-address:指定主机IPv4地址。
ipv6-address:指定主机IPv6地址
ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。
ipv6-address prefix-length:指定子网IPv6地址。prefix-length表示子网掩码长度,取值范围为1~128。如果指定prefix-length为128,则该配置被视为主机地址配置。
ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。
ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。
object-group-ip:指定对象组类型为IP地址对象组。
object-group-ipv6:指定对象组类型为IPv6地址对象组。
address-object-group-name:表示地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的地址对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
在配置时,需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。
· 如果指定的ip-address1比ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]。
· 如果指定的ipv6-address1和ipv6-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ipv6-address1和ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。
· 如果指定的ipv6-address1比ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]。
使用undo destination-address命令时若不指定任何参数,则表示删除此规则中所有目的IP地址类型的过滤条件,包括目的主机地址、目的子网地址、目的范围地址和目的地址对象组。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.1的IPv4主机地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] destination-address host 192.167.0.1
# 配置作为安全策略规则rule1过滤条件的目的地址为192::167:1的IPv6主机地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] destination-address host 192::167:1
# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.0,掩码长度为24的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] destination-address subnet 192.167.0.0 24
# 配置作为安全策略规则rule1过滤条件的目的地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] destination-address subnet 192.166.0.0 255.255.0.0
# 配置作为安全策略规则rule1过滤条件的目的地址为192::167:0,掩码长度为64的IPv6子网地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] destination-address subnet 192::167:0 64
# 配置作为安全策略规则rule1过滤条件的目的地址为192.165.0.100到192.165.0.200的IPv4范围地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] destination-address range 192.165.0.100 192.165.0.200
# 配置作为安全策略规则rule1过滤条件的目的地址对象组为address1和address2。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] destination-address object-group-ip address1
[Sysname-security-policy-1-rule1] destination-address object-group-ipv6 address2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
destination-zone命令用来配置作为安全策略规则过滤条件的目的安全域。
undo destination-zone命令用来删除作为安全策略规则过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情况】
不存在目的安全域过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
多次执行本命令,可配置多个目的安全域作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的安全域为Trust和server。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] destination-zone trust
[Sysname-security-policy-1-rule1] destination-zone server
【相关命令】
· display security-policy
· security-zone(安全命令参考/安全域)
disable命令用来禁用安全策略规则。
undo disable命令用来启用安全策略规则。
【命令】
disable
undo disable
【缺省情况】
安全策略规则处于启用状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【举例】
# 禁用安全策略规则rule1。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] disable
【相关命令】
· display security-policy
display security-policy命令用来显示安全策略的配置信息。
【命令】
display security-policy [ verbose | rule name rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
verbose:表示显示所有安全策略规则的配置信息。若不指定参数,则显示安全策略规则的概要信息。
rule:表示显示指定安全策略规则的配置信息。
name rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【举例】
# 显示所有安全策略规则的概要信息。
<Sysname> display security-policy
ID Name State Action Hits
------------------------------------------------------------------------------------
0 default active pass 11221440
1 test active drop 0
------------------------------------------------------------------------------------
# 显示安全策略的配置信息。
<Sysname> display security-policy verbose
Security-policy
rule 1 name der (Inactive: action not configured, track entry down)
profile er
logging enable
counting enable
counting enable TTL 1200
time-range dere
track positive 23
vrf name vpn1
session aging-time 5000
session persistent aging-time 2400
source-zone trust
destination-zone trust
source-address host 1::4
source-address subnet 1::/64
source-address subnet 1.1.1.0 255.255.255.0
source-address range 2.2.1.1 3.3.3.3
destination-address host 1.1.1.3
destination-address host 5::2
destination-address subnet 1.1.1.0 255.255.255.0
destination-address range 2.2.1.1 3.3.3.3
service object-group http
application name 139Mail
application group app1
user name usera domain test
user group groupa domain test
表1-1 display security-policy命令显示信息描述表
|
字段 |
描述 |
|
ID |
表示规则的ID |
|
Name |
表示规则的名称 |
|
State |
表示规则生效状态。此安全策略规则生效状态与Track项联动,规则的生效状态取值包括: · active:表示生效状态 · inactive:表示禁用状态 |
|
Action |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
Hits |
表示规则的命中次数 |
|
rule id name rule-name (Inactive: action not configured, track entry down) |
表示规则的ID、名称和生效状态,此规则的状态为Inactive, 规则的生效状态取值包括: · Inactive:表示禁用状态 禁用原因有以下几种: · action not configured:表示未配置动作 · rule disabled:表示当前规则被禁用 · rule group disabled:表示所属安全策略组被禁用 · time range inactive:表示不在生效时间段 · track entry down:表示Track项联动导致未生效 |
|
action pass |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
profile app-profile-name |
表示引用的DPI应用profile |
|
Ips-policy ips-polic-name |
表示引用的DPI业务策略 |
|
logging enable |
表示开启了对符合规则过滤条件的报文记录日志信息的功能 |
|
counting enable |
表示开启了安全策略规则匹配统计功能 |
|
time-range time-range-name |
表示此规则生效的时间段 |
|
track negative 1 |
表示安全策略规则生效状态与Track项的Negative状态关联 |
|
track positive 1 |
表示安全策略规则生效状态与Track项的Positive或NotReady状态关联 |
|
vrf name vpn-name |
表示规则配置了vrf作为过滤条件 |
|
session aging-time time-value |
表示此规则中设置的会话老化时间,单位为秒 |
|
session persistent aging-time time-value |
表示此规则中设置的长连接会话的老化时间,单位为小时 |
|
source-zone zone-name |
表示规则配置了源安全域作为过滤条件 |
|
destination-zone zone-name |
表示规则配置了目的安全域作为过滤条件 |
|
source-address object-group-ip address-object-group-name |
表示规则配置了源IPv4地址作为过滤条件 |
|
source-address object-group-ipv6 address-object-group-name |
表示规则配置了源IPv6地址作为过滤条件 |
|
source-address object-group-mac mac-object-group-name |
表示规则配置了源MAC地址作为过滤条件 |
|
source-address host ip-address |
表示规则配置了源IP主机地址作为过滤条件 |
|
source-address subnet ip-address |
表示规则配置了源IP子网地址作为过滤条件 |
|
source-address range ip-address1 ip-address2 |
表示规则配置了源IP范围地址作为过滤条件 |
|
destination-address object-group-ip address-object-group-name |
表示规则配置了目的IPv4地址作为过滤条件 |
|
destination-address object-group-ipv6 address-object-group-name |
表示规则配置了目的IPv6地址作为过滤条件 |
|
destination-address host ip-address |
表示规则配置了目的IP主机地址作为过滤条件 |
|
destination-address subnet ip-address |
表示规则配置了目的IP子网地址作为过滤条件 |
|
destination-address range ip-address1 ip-address2 |
表示规则配置了目的IP范围地址作为过滤条件 |
|
service object-group object-group-name |
表示规则配置了服务作为过滤条件 |
|
application group app-group-name |
表示规则配置了应用组作为过滤条件 |
|
application name application-name |
表示规则配置了应用作为过滤条件 |
|
user name user-name |
表示规则配置了用户作为过滤条件 |
|
user group user-group-name |
表示规则配置了用户组作为过滤条件 |
【相关命令】
· security-policy
display security-policy match-criteria命令用来显示指定五元组的安全策略的配置信息。
【命令】
display security-policy match-criteria { source-zone { name source-zone-name | any } | destination-zone { name destination-zone-name | any } | source-address { ip-address | ipv6-address | any } | destination-address { ip-address | ipv6-address | any } | protocol { protocol-number [ [ source-port source-port | destination-port destination-port ] * | icmp-type icmp-type-number icmp-code icmp-code-number | icmpv6-type icmpv6-type-number icmpv6-code icmpv6-code-number ] | any } } * [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
source-zone { name source-zone-name | any }:表示显示包含指定源安全域安全策略规则的信息。source-zone-name表示源安全域的名称,为1~31个字符的字符串,不区分大小写,any表示显示未配置源安全域的规则的信息。
destination-zone { name destination-zone-name | any }:表示显示包含指定目的安全域安全策略规则的信息。destination-zone-name表示目的安全域的名称,为1~31个字符的字符串,不区分大小写,any表示显示未配置目的安全域的规则的信息。
source-address:表示显示包含指定源地址安全策略规则的信息。
destination-address:表示显示包含指定目的地址安全策略规则的信息。
{ipv4-address | any }:ipv4-address表示IPv4地址,any表示显示未配置源地址、源MAC地址的规则的信息。
{ipv6-address | any }:ipv6-address表示目的IPv6地址,any表示显示未配置IPv6地址的规则的信息。
protocol-number:协议类型。
可输入的形式如下:
· 数字:取值范围为0~255;
· 名称:可选取tcp(6)、udp(17)、sctp(132)、icmp(1)或icmpv6(58)。
source-port source-port:表示源端口号,取值范围为0~65535。只在protocol为tcp、udp或sctp时有效。
destination-port destination-port:表示目的端口号,取值范围为0~65535。只在protocol为tcp、udp或sctp时有效。
any:表示显示未配置服务或端口的规则的信息。
icmp-type icmp-type-number:表示ICMP消息类型,取值范围为0~255,只在protocol为icmp时有效。
icmp-code icmp-code-number:表示ICMP消息码,取值范围为0~255。
icmpv6-type icmpv6-type-number:表示ICMPv6消息类型,取值范围为0~255,只在protocol为icmpv6时有效。
icmpv6-code icmpv6-code-number:表示ICMPv6消息码,取值范围为0~255。
verbose:表示显示指定五元组的安全策略规则的详细信息。若不指定该参数,则表示显示指定五元组的安全策略规则的概要信息。
【使用指导】
当指定的某项显示条件不存在时,则显示未配置该项匹配条件规则的信息。
【举例】
# 显示源地址包含1.2.3.4的安全策略规则的概要信息。
<Sysname> display security-policy match-criteria source-address 1.2.3.4
ID Name State Action Hits
------------------------------------------------------------------------------------
1 test active drop 0
------------------------------------------------------------------------------------
# 显示源IP地址包含1.2.3.4的安全策略规则的详细配置信息。
<Sysname> display security-policy match-criteria source-address 1.2.3.4 verbose
rule 1 name test(Inactive: action not configured, track entry down)
vrf name vpn1
source-zone aa
destination-zone bb
source-address host 1.2.3.4
destination-address host 2.3.4.5
service udp-s1110-d80
service icmp-3-3
表1-2 display security-policy match-criteria命令显示信息描述表
|
字段 |
描述 |
|
ID |
表示规则的ID |
|
Name |
表示规则的名称 |
|
State |
表示规则生效状态。此安全策略规则生效状态与Track项联动,规则的生效状态取值包括: · active:表示生效状态 · inactive:表示禁用状态 |
|
Action |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
Hits |
表示规则的命中次数 |
|
rule id name rule-name (Inactive: action not configured, track entry down) |
表示规则的ID、名称和生效状态,此规则的状态为Inactive, 规则的生效状态取值包括: · Inactive:表示禁用状态 禁用原因有以下几种: · action not configured:表示未配置动作 · rule disabled:表示当前规则被禁用 · rule group disabled:表示所属安全策略组被禁用 · time range inactive:表示不在生效时间段 · track entry down:表示Track项联动导致未生效 |
|
action pass |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
profile app-profile-name |
表示引用的DPI应用profile |
|
Ips-policy ips-polic-name |
表示引用的DPI业务策略 |
|
logging enable |
表示开启了对符合规则过滤条件的报文记录日志信息的功能 |
|
counting enable |
表示开启了安全策略规则匹配统计功能 |
|
time-range time-range-name |
表示此规则生效的时间段 |
|
track negative 1 |
表示安全策略规则生效状态与Track项的Negative状态关联 |
|
track positive 1 |
表示安全策略规则生效状态与Track项的Positive或NotReady状态关联 |
|
vrf name vpn-name |
表示规则配置了vrf作为过滤条件 |
|
session aging-time time-value |
表示此规则中设置的会话老化时间,单位为秒 |
|
session persistent aging-time time-value |
表示此规则中设置的长连接会话的老化时间,单位为小时 |
|
source-zone zone-name |
表示规则配置了源安全域作为过滤条件 |
|
destination-zone zone-name |
表示规则配置了目的安全域作为过滤条件 |
|
source-address object-group-ip address-object-group-name |
表示规则配置了源IPv4地址作为过滤条件 |
|
source-address object-group-ipv6 address-object-group-name |
表示规则配置了源IPv6地址作为过滤条件 |
|
source-address object-group-mac mac-object-group-name |
表示规则配置了源MAC地址作为过滤条件 |
|
source-address host ip-address |
表示规则配置了源IP主机地址作为过滤条件 |
|
source-address subnet ip-address |
表示规则配置了源IP子网地址作为过滤条件 |
|
source-address range ip-address1 ip-address2 |
表示规则配置了源IP范围地址作为过滤条件 |
|
destination-address object-group-ip address-object-group-name |
表示规则配置了目的IPv4地址作为过滤条件 |
|
destination-address object-group-ipv6 address-object-group-name |
表示规则配置了目的IPv6地址作为过滤条件 |
|
destination-address host ip-address |
表示规则配置了目的IP主机地址作为过滤条件 |
|
destination- address subnet ip-address |
表示规则配置了目的IP子网地址作为过滤条件 |
|
destination- address range ip-address1 ip-address2 |
表示规则配置了目的IP范围地址作为过滤条件 |
|
service object-group object-group-name |
表示规则配置了服务作为过滤条件 |
|
Service protocol protocol |
表示规则配置了协议的端口号作为过滤条件 |
|
Application group app-group-name |
表示规则配置了应用组作为过滤条件 |
|
application name application-name |
表示规则配置了应用作为过滤条件 |
|
user name user-name |
表示规则配置了用户作为过滤条件 |
|
user group user-group-name |
表示规则配置了用户组作为过滤条件 |
display security-policy statistics命令用来显示安全策略的统计信息。
【命令】
display security-policy statistics [ rule rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示指定IP类型的所有安全策略统计信息。
【举例】
# 显示安全策略下名称为abc的规则的统计信息。
<Sysname> display security-policy statistics rule abc
rule 1 name abc
action: pass (5 packets, 1000 bytes)
表1-3 display security-policy statistics命令显示信息描述表
|
字段 |
描述 |
|
rule id name rule-name |
表示规则的ID和名称 |
|
action |
表示安全策略规则动作,其取值包括如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
x packets, y bytes |
该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enable或logging enable命令时显示,当未匹配任何报文时不显示本字段) |
【相关命令】
· reset security-policy statistics
group move group-name1 { after | before } { group group-name2 | rule rule-name }命令用来移动安全策略组。
【命令】
group move group-name1 { after | before } { group group-name2 | rule rule-name }
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
group-name1:表示需要被移动的安全策略组的名称,为1~63个字符的字符串,不区分大小写。
after:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之后。
before:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之前。
group group-name2:表示目标安全策略组的名称,为1~63个字符的字符串,不区分大小写。
rule rule-name:表示目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
通过移动安全策略组可以批量改变安全策略规则的优先级。
如果目标安全策略规则已经属于其他安全策略组,按照其在安全策略组中的位置,受如下原则的约束。
· 如果规则位于策略组中间位置,则不能移动。
· 如果规则位于策略组开始位置,只可以移动到目标规则之前。
· 如果规则位于策略组结束位置,只可以移动到目标规则之后。
【举例】
# 将安全策略组group1移动到安全策略组group2之前。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] group move group1 before group group2
group name命令用来创建安全策略组,并将指定的安全策略规则加入此安全策略组。如果指定的安全策略组已经存在,则将指定的安全策略规则加入此安全策略组。
undo group name命令用来删除安全策略组。
【命令】
group name group-name [ from rule-name1 to rule-name2 ] [ disable | enable ] [ description description-text ]
undo group name group-name [ description | include-member ]
【缺省情况】
不存在安全策略组。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
group-name:表示安全策略组的名称,为1~63个字符的字符串,不区分大小写。
from rule-name1:表示加入安全策略组规则的起始规则,rule-name1是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定本参数,则表示创建空的安全策略组。
to rule-name2:表示加入安全策略组规则的结束规则,rule-name2是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
disable:表示禁用安全策略组。
enable:表示启用安全策略组,安全策略组缺省处于启用状态。
description description-text:表示安全策略组的描述信息,为1~127个字符的字符串,区分大小写。缺省情况下,安全策略组不存在描述信息。
include-member:执行undo命令行时,若指定本参数,则表示删除安全策略组及其策略组中的所有安全策略规则。
【使用指导】
安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。
将安全策略规则加入安全策略组时,会将指定范围内若干连续的安全策略规则加入同一个安全策略组。
只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。
将安全策略规则加入安全策略组时,起始规则要在结束规则前面,并且起始规则和结束规则之间的规则不能属于其他安全策略组。
执行undo命令行时的具体功能如下:
· undo group name group-name命令用来仅删除安全策略组,但不删除策略组中的规则。
· undo group name group-name description命令用来仅删除安全策略组的描述信息。
· undo group name group-name include-member命令用来删除安全策略组及其策略组中的所有规则。
【举例】
# 创建一个名称为group1的安全策略组,并将安全策略规则rule-name1到rule-name10之间的所有安全策略规则加入此安全策略组,其描述信息为marketing。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] group name group1 from rule-name1 to rule-name10 enable description marketing
group rename命令用来重命名安全策略组。
【命令】
group rename old-name new-name
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
old-name:表示安全策略组的原有名称,为1~63个字符的字符串,不区分大小写。
new-name:表示安全策略组的新名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 把安全策略组group1重命名为group2。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] group rename group1 group2
ips-policy命令用来配置在安全策略规则中引用的IPS策略。
undo ips-policy删除在安全策略规则中引用的IPS策略。
【命令】
ips-policy policy-name
undo ips-policy
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示IPS策略名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
通过在安全策略规则中引用IPS策略可实现对符合安全策略过滤条件的报文进行IPS业务处理。有关IPS的详细介绍,请参见“DPI深度安全配置指导”中的“IPS”。
此命令仅在安全策略规则动作为允许的情况下才生效。
同一规则下,IPS策略和DPI应用profile不能同时引用,仅可引用其中一个。
【举例】
# 在安全策略规则rule1中引用名称为p1的IPS策略。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] action pass
[Sysname-security-policy-1-rule1] ips-policy p1
【相关命令】
· rule
· security-policy
logging enable命令用来开启安全策略规则记录日志的功能。
undo logging enable命令用来关闭安全策略规则记录日志的功能。
【命令】
logging enable
undo logging enable
【缺省情况】
安全策略规则记录日志的功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。
安全策略日志不会输出到控制台和监视终端。当信息中心配置的规则将安全策略日志输出到控制台和监视终端时,若仍需要查看安全策略日志,可通过执行display logbuffer命令或在Web页面中查看。有关信息中心和display logbuffer命令的详细描述,请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 在安全策略规则rule1中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] logging enable
【相关命令】
· display security-policy
move rule命令用来移动安全策略规则。
【命令】
move rule rule-id before insert-rule-id
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
rule-id:指定待移动安全策略规则的编号,取值范围为0~65534。
insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~65535,其中指定编号为65535时表示移动到所有规则之后。
【使用指导】
如果insert-rule-id与rule-id相同或其指定的规则不存在,则不执行任何移动操作。
【举例】
# 在安全策略上,将安全策略规则5移动到规则2之前。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] move rule 5 before 2
【相关命令】
· rule
· security-policy
move rule name命令用来通过安全策略规则名称移动规则。
【命令】
move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
rule-name1:待移动的安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
after:表示移动到指定名称的目标安全策略规则之后。
before:表示移动到指定名称的目标安全策略规则之前。
name rule-name2:指定目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
bottom:表示移动到所有安全策略规则之后。
down:表示移动到下一条安全策略规则之后。
top:表示移动到所有安全策略规则之前。
up:表示移动到上一条安全策略规则之前。
【使用指导】
通过移动安全策略规则可以改变报文匹配安全策略规则的优先级。
【举例】
# 在安全策略上,将安全策略规则rule1移动到安全策略规则rule2之前。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] move rule name rule1 before name rule2
【相关命令】
· rule
· security-policy
parent-group group-name命令用来配置安全策略规则所属的安全策略组。
undo parent-group命令用来恢复缺省情况。
【命令】
parent-group group-name
undo parent-group
【缺省情况】
安全策略规则不属于安全策略组。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
group-name:表示安全策略规则需要加入的安全策略组的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 配置安全策略规则rule1属于安全策略组group1。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] parent-group group1
profile命令用来在安全策略规则中引用DPI应用profile。
undo profile命令用来删除在安全策略规则中引用的DPI应用profile。
【命令】
profile app-profile-name
undo profile
【缺省情况】
安全策略规则中未引用DPI应用profile。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
app-profile-name:表示DPI应用profile的名称,为1~63个字符的字符串,不区分大小写。有关DPI应用profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行相关DPI业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关模块。
此命令仅在安全策略规则动作为允许的情况下才生效。
同一规则下,IPS策略和DPI应用profile不能同时引用,仅可引用其中一个
【举例】
# 在安全策略规则rule1中引用名称为p1的DPI应用profile。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] action pass
[Sysname-security-policy-1-rule1] profile p1
【相关命令】
· action pass
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display security-policy
reset security-policy statistics命令用来清除安全策略的统计信息。
【命令】
reset security-policy statistics [ rule rule-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
rule rule-name:表示清除安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
若未指定任何参数,则清除所有安全策略的统计信息。
【举例】
# 清除安全策略下名称为abc的规则的统计信息。
<Sysname> reset security-policy statistics rule abc
【相关命令】
· display security-policy statistics
rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。
undo rule命令用来删除指定的安全策略规则。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name } *
【缺省情况】
不存在安全策略规则。
【视图】
【缺省用户角色】
【参数】
rule-id:指定安全策略规则的编号,取值范围为1~4294967290。0为缺省安全策略规则保留,缺省规则名称为default。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(4294967290),则选择当前未使用的最小编号作为新的编号。
name rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。
【使用指导】
通过本命令创建安全策略规则后,规则不会立即生效,必须通过action命令配置安全策略规则的动作后才能生效。
【举例】
# 为安全策略创建规则1,并为该规则配置规则名称为rule1。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1]
【相关命令】
security-policy命令用来进入安全策略视图。
undo security-policy命令用来删除安全策略视图下面的所有配置。
【命令】
security-policy
undo security-policy
【缺省情况】
安全策略视图下不存在配置。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
undo security-policy命令会删除所有安全策略配置,可能导致网络中断,请谨慎操作。
【举例】
# 进入安全策略视图。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy]
【相关命令】
· display security-policy
security-policy log real-time-sending enable命令用来开启安全策略日志的实时发送功能。
undo security-policy log real-time-sending enable命令用来关闭日志的实时发送功能。
【命令】
security-policy log real-time-sending enable
undo security-policy log real-time-sending enable
【缺省情况】
日志的实时发送功能处于关闭状态,使用缓存方式发送。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
日志的发送方式支持如下两种:
· 缓存发送方式:同一数据流的首报文匹配安全策略生成并发送日志后,设备缓存此日志,同时启动发送日志的时间间隔定时器,只有时间间隔到达后,才会判断是否继续发送此日志。在此时间间隔内若有流量匹配此日志,则发送日志,若没有则删除缓存的此日志。日志缓存数目达到上限后,后续新增数据流匹配安全策略时不能生成日志。日志发送时间间隔缺省为5分钟,且不能修改。
· 实时发送方式:同一数据流的首报文匹配安全策略生成并发送日志后,设备不缓存此日志,因此这种方式无日志数目的限制。对于一条不间断的流量,若匹配的策略允许报文通过,则设备仅发送一次日志,若匹配的策略拒绝报文通过,则设备将对此条数据流的每个报文均发送一次日志。
【举例】
# 开启安全策略日志的实时发送功能。
<Sysname> system-view
[Sysname] security-policy log real-time-sending enable
【相关命令】
· logging enable
service命令用来配置作为安全策略规则过滤条件的服务。
undo service命令用来删除作为安全策略规则过滤条件的服务。
【命令】
service object-group object-group-name
undo service [ object-group [ object-group-name ] ]
【缺省情况】
不存在服务过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group object-group-name:表示服务对象组的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。
配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。
使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] service object-group http
[Sysname-security-policy-1-rule1] service object-group ftp
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
session aging-time命令用来为安全策略规则配置会话的老化时间。
undo session aging-time命令用来恢复缺省情况。
【命令】
session aging-time time-value
undo session aging-time
【缺省情况】
未配置安全策略规则的会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间(1小时)进行老化。
若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time application和session aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。
【举例】
# 为安全策略的规则rule1配置会话老化时间为5000秒。
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] action pass
[Sysname-security-policy-1-rule1] session aging-time 5000
【相关命令】
· session aging-time application(安全命令参考/会话管理)
· session aging-time state(安全命令参考/会话管理)
· session persistent acl(安全命令参考/会话管理)
session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。
undo session persistent aging-time命令用来恢复缺省情况。
【命令】
session persistent aging-time time-value
undo session persistent aging-time
【缺省情况】
未配置安全策略规则的长连接会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。
【举例】
# 为安全策略中规则rule1配置长连接会话老化时间为1小时。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] action pass
[Sysname-security-policy-1-rule1] session persistent aging-time 1
【相关命令】
· display security-policy
· session persistent acl(安全命令参考/会话管理)
source-address命令用来配置作为安全策略规则过滤条件的源地址。
undo source-address命令用来删除作为安全策略规则过滤条件的源地址。
【命令】
source-address { host { ip-address | ipv6-address } | subnet { ip-address { mask-length | mask } | ipv6-address prefix-length | ipv6-address / prefix-length } | range { ip-address1 ip-address2 | ipv6-address1 ipv6-address2 } | object-group-ip address-object-group-name | object-group-ipv6 address-object-group-name | object-group-mac mac-object-group-name }
undo source-address [ host [ ip-address | ipv6-address ] | subnet [ ip-address { mask-length | mask } | ipv6-address prefix-length | ipv6-address / prefix-length ] | range [ ip-address1 ip-address2 | ipv6-address1 ipv6-address2 ] | object-group-ip [address-object-group-name ] |
object-group-ipv6 [ address-object-group-name ] | object-group-mac [ mac-object-group-name ] ]
【缺省情况】
不存在源地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ip-address:指定主机IPv4地址。
ipv6-address:指定主机IPv6地址。
ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。
ipv6-address prefix-length:指定子网IPv6地址。prefix-length表示子网前缀长度,取值范围为1~128。如果指定prefix-length为128,则该配置被视为主机地址配置。
ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。
ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。
object-group-ip:指定对象组类型为IP地址对象组。
object-group-ipv6:指定对象组类型为IPv6地址对象组。
address-object-group-name:表示地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。
mac-object-group-name:表示MAC地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
source-address host命令用来配置单个源主机地址过滤条件。
source-address subnet命令用来配置指定子网的源IPv4/ IPv6地址过滤条件。
source-address range命令用来配置指定范围的源IPv4地址过滤条件。
source-address object-group-mac命令用来配置作为安全策略规则过滤条件的源MAC地址。
source-address object-group-ip命令用来配置源IP对象组过滤条件。
source-address object-group-ipv6命令用来配置源IPv6对象组过滤条件。
多次执行本命令,可配置多个源地址作为安全策略规则的过滤条件。
配置源IP对象组作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
一条规则下配置的源主机地址、源子网地址、源范围地址、源MAC地址和源地址对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
配置需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ip-address1比ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]。
· 如果指定的ipv6-address1和ipv6-address2相同,则该配置被视为主机地址配置。
· 如果指定的ipv6-address1和ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ipv6-address1比ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]。
使用undo source-address命令时若不指定任何参数,则表示删除此规则中所有源IP地址类型的过滤条件,包括源主机地址、源子网地址、源范围地址、源MAC地址和源地址对象组。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.1的IPv4主机地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address host 192.167.0.1
# 配置作为安全策略规则rule1过滤条件的源地址为192::167:1的IPv6主机地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address host 192::167:1
# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.0,掩码长度为24的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address subnet 192.167.0.0 24
# 配置作为安全策略规则rule1过滤条件的源地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address subnet 192.166.0.0 255.255.0.0
# 配置作为安全策略规则rule1过滤条件的源地址为192: 167::0,掩码长度为64的IPv6子网地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address subnet 192:167::0 64
# 配置作为安全策略规则rule1过滤条件的源地址为192.165.0.100到192.165.0.200的IPv4范围地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address range 192.165.0.100 192.165.0.200
# 配置作为安全策略规则rule1过滤条件的源地址为192::165:100到192::165:200的IPv6范围地址。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address range 192::165:100 192::165:200
# 配置作为安全策略规则rule1过滤条件的源地址对象组为address1和address2。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address object-group-ip address1
[Sysname-security-policy-1-rule1] source-address object-group-ipv6 address2
# 配置作为安全策略规则rule1过滤条件的源MAC地址对象组为mac1和mac2。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy]rule 1 name rule1
[Sysname-security-policy-1-rule1] source-address object-group-mac mac1
[Sysname-security-policy-1-rule1] source-address object-group-mac mac2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为安全策略规则过滤条件的源安全域。
undo source-zone命令用来删除作为安全策略规则过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情况】
不存在源安全域过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
多次执行本命令,可配置多个源安全域作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的源安全域为Trust和DMZ。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] source-zone trust
[Sysname-security-policy-1-rule1] source-zone dmz
【相关命令】
· display security-policy
· security-zone(安全命令参考/安全域)
time-range命令用来配置安全策略规则生效的时间段。
undo time-range命令用来恢复缺省情况。
【命令】
time-range time-range-name
undo time-range
【缺省情况】
不限制安全策略规则生效的时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-range-name:表示时间段的名称,为1~63个字符的字符串,不区分大小写。有关时间段的详细介绍,请参见“ACL和QoS配置指导”中的“时间段”。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置生效时间段为work。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] time-range work
【相关命令】
· display security-policy
· time-range(ACL和QoS命令参考/时间段)
track命令用来配置安全策略规则与Track项联动。
undo track命令用来取消安全策略规则与Track项联动。
【命令】
track { negative | positive } track-entry-number
undo track
【缺省情况】
安全策略规则未与Track项联动。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
negative:指定安全策略规则与Track项的Negative状态联动。
positive:指定安全策略规则与Track项的Positive状态联动。
track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
【使用指导】
配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置规则与Track项的Positive状态联动。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] track positive 10
【相关命令】
· display security-policy
· track bfd(可靠性命令参考/Track)
· track interface(可靠性命令参考/Track)
· track ip route reachability(可靠性命令参考/Track)
· track nqa(可靠性命令参考/Track)
user命令用来配置作为安全策略规则过滤条件的用户或用户组。
undo user命令用来删除作为安全策略规则过滤条件的用户或用户组。
【命令】
user { name username | group user-group-name } [ domain domain-name ]
undo user [ name [ username [ domain domain-name ] ] | group [ user-group-name [ domain domain-name ] ]
【缺省情况】
不存在用户过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
name username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含“@”。使用undo命令时若不指定username参数,则表示删除此规则中所有用户类型的过滤条件。
group user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。使用undo命令时若不指定user-group-name参数,则表示删除此规则中所有用户组类型的过滤条件。
domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。
【使用指导】
多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。
使用undo命令时若不指定用户,则表示删除此规则中所有用户和用户组类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户或用户组。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] user usera domain test
[Sysname-security-policy-1-rule1] user userb domain test
【相关命令】
· display security-policy
vrf命令用来配置安全策略规则对入接口公网或指定VPN实例中的报文生效。
undo vrf命令用来恢复缺省情况。
【命令】
vrf { name vrf-name | public }
undo vrf [ name vrf-name | public ]
【缺省情况】
安全策略规则对公网和所有VPN实例的报文生效。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
vrf-name:表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
public:表示安全策略规则对公网的报文生效。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
若配置的VRF名称为无效值,配置时命令会执行成功并提示VPN实例不存在。
【举例】
# 配置安全策略规则rule1对入接口的VPN实例vpn1中的报文生效。
<Sysname> system-view
[Sysname] security-policy
[Sysname-security-policy] rule 1 name rule1
[Sysname-security-policy-1-rule1] vrf name vpn1
【相关命令】
· display security-policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
