- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-安全策略命令
本章节下载: 02-安全策略命令 (280.76 KB)
1.1.1 accelerate enhanced enable
1.1.6 description (security-policy rule view)
1.1.7 description (security-policy view)
1.1.11 display security-policy
1.1.12 display security-policy statistics
1.1.13 display security-policy switch-result
1.1.17 reset security-policy statistics
1.1.20 security-policy disable
1.1.21 security-policy switch-from object-policy
accelerate enhanced enable命令用来激活安全策略规则的加速功能。
【命令】
accelerate enhanced enable
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
安全策略加速功能生效后,使用激活规则的加速功能可以使后续新增或修改规则的加速功能生效。激活规则的加速功能包括如下方式:
· 手动激活:是指新增或修改规则后,手动执行accelerate enhanced enable命令使这些规则的加速功能生效。
· 自动激活:是指在安全策略视图中停止配置规则的20秒后,系统会自动激活这些规则的加速功能,这种方式能够避免因忘记手工激活规则而导致新增或修改规则不生效的问题。
激活安全策略规则的加速功能时,需要注意的是:
· 设备上的安全策略加速功能默认开启,且不能手动关闭。但是如下几种情况会导致安全策略加速功能失效。
¡ 激活安全策略规则加速功能时,内存资源不足会导致安全策略加速失效。
¡ 若安全策略规则中指定的IP地址对象组中包含排除地址和通配符掩码,则会导致安全策略加速功能失效。
· 安全策略加速失效后,设备无法对报文进行快速匹配,但是仍然可以进行原始的慢速匹配。
· 为使新增或修改的规则可以对报文进行匹配,必须激活这些规则的加速功能。
· 激活安全策略规则的加速功能时比较消耗内存资源,不建议频繁激活加速功能。建议在所有安全策略规则配置和修改完成后,统一执行accelerate enhanced enable命令。
· 若安全策略规则中指定的IP地址对象组中包含用户或用户组,则此条安全策略规则失效,将无法匹配任何报文。
· 安全策略规则中引用对象组的内容发生变化后,也需要重新激活该规则的加速功能。
【举例】
# 激活安全策略规则的加速功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] accelerate enhanced enable
action命令用来配置安全策略规则的动作。
【命令】
action { drop | pass }
【缺省情况】
安全策略规则动作是丢弃。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置动作为丢弃。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action drop
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display security-policy
app-group命令用来配置作为安全策略规则过滤条件的应用组。
undo app-group命令用来删除作为安全策略规则过滤条件的应用组。
【命令】
app-group app-group-name
undo app-group [ app-group-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用组作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] app-group app1
[Sysname-security-policy-ip-0-rule1] app-group app2
【相关命令】
· app-group(安全命令参考/APR)
· display security-policy
application命令用来配置作为安全策略规则过滤条件的应用。
undo application命令用来删除作为安全策略规则过滤条件的应用。
【命令】
application application-name
undo application [ application-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] application 139Mail
[Sysname-security-policy-ip-0-rule1] application 51job
【相关命令】
· display security-policy
· nbar application(安全命令参考/APR)
· port-mapping(安全命令参考/APR)
counting enable命令用来开启安全策略规则匹配统计功能。
undo counting enable命令用来关闭安全策略规则匹配统计功能。
【命令】
counting enable
undo counting enable
【缺省情况】
安全策略规则匹配统计功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
【举例】
# 为安全策略规则rule1开启规则匹配统计功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] counting enable
【相关命令】
· display security-policy
· display security-policy statistics
description命令用来配置安全策略规则的描述信息。
undo description命令用来删除指定规则的描述信息。
【命令】
description text
undo description
【缺省情况】
未配置安全策略规则的描述信息。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 为IPv4安全策略规则0配置描述信息为This rule is used for source-ip ip1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1
【相关命令】
· display security-policy ip
· display security-policy ipv6
description命令用来配置安全策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置安全策略的描述信息。
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置安全策略的描述信息为“zone-pair security office to library”。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] description zone-pair security office to library
【相关命令】
· display security-policy
destination-ip命令用来配置作为安全策略规则过滤条件的目的IP地址。
undo destination-ip命令用来删除作为安全策略规则过滤条件的目的IP地址。
【命令】
destination-ip object-group-name
undo destination-ip [ object-group-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示目的地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有目的IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址对象组为client1和client2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip client1
[Sysname-security-policy-ip-0-rule1] destination-ip client2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
destination-zone命令用来配置作为安全策略规则过滤条件的目的安全域。
undo destination-zone命令用来删除作为安全策略规则过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
多次执行本命令,可配置多个目的安全域作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的安全域为Trust和server。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-zone trust
[Sysname-security-policy-ip-0-rule1] destination-zone server
【相关命令】
· display security-policy
· security-zone(安全命令参考/安全域)
disable命令用来禁用安全策略规则。
undo disable命令用来启用安全策略规则。
【命令】
disable
undo disable
【缺省情况】
安全策略规则处于启用状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 禁用安全策略规则rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] disable
【相关命令】
· display security-policy
display security-policy命令用来显示安全策略的配置信息。
【命令】
display security-policy { ip | ipv6 }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:表示显示IPv4安全策略的配置信息。
ipv6:表示显示IPv6安全策略的配置信息。
【举例】
# 显示IPv4安全策略的配置信息。
<Sysname> display security-policy ip
Security-policy ip
rule 0 name der (Inactive)
action pass
profile er
vrf re
logging enable
counting enable
time-range dere
track positive 23
session aging-time 5000
session persistent aging-time 2400
source-zone trust
destination-zone trust
source-ip erer
destination-ip client1
service ftp
app-group ere
application 110Wang
user der
user-group ere
表1-1 display security-policy命令显示信息描述表
|
表示规则的ID和名称 |
|
|
action pass |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
profile app-profile-name |
表示引用的DPI应用profile |
|
vrf vrf-name |
表示VPN多实例的名称 |
|
logging enable |
表示开启了对符合规则过滤条件的报文记录日志信息的功能 |
|
counting enable |
表示开启了安全策略规则匹配统计的功能 |
|
time-range time-range-name |
表示此规则生效的时间段 |
|
track negative 1 (Active) |
表示安全策略规则生效状态与Track项的Negative状态关联,且此规则的状态为Active,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
|
track positive 1 (Inactive) |
表示安全策略规则生效状态与Track项的Positive或NotReady状态关联,且此规则的状态为Active,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
|
session aging-time time-value |
表示此规则中设置的会话老化时间,单位为秒 |
|
session persistent aging-time time-value |
表示此规则中设置的长连接会话的老化时间,单位为小时 |
|
source-zone zone-name |
表示规则配置了源安全域作为过滤条件 |
|
destination-zone zone-name |
表示规则配置了目的安全域作为过滤条件 |
|
source-ip object-group-name |
表示规则配置了源IP地址作为过滤条件 |
|
destination-ip object-group-name |
表示规则配置了目的IP地址作为过滤条件 |
|
service object-group-name |
表示规则配置了服务作为过滤条件 |
|
app-group app-group-name |
表示规则配置了应用组作为过滤条件 |
|
application application-name |
表示规则配置了应用作为过滤条件 |
|
user user-name |
表示规则配置了用户作为过滤条件 |
|
user-group user-group-name |
表示规则配置了用户组作为过滤条件 |
【相关命令】
· security-policy ip
· security-policy ipv6
display security-policy statistics命令用来显示安全策略的统计信息。
【命令】
display security-policy statistics { ip | ipv6 } [ rule rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:表示显示IPv4安全策略的统计信息。
ipv6:表示显示IPv6安全策略的统计信息。
rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示所有IPv4或IPv6类型的安全策略统计信息。
【举例】
# 显示IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> display security-policy statistics ip rule abc
IPv4 security policy rule: abc
Action: pass (5 packets, 1000 bytes)
表1-2 display security-policy statistics命令显示信息描述表
|
字段 |
描述 |
|
IPv4 security policy rule name |
IPv4安全策略规则,名称为name |
|
Action |
表示安全策略规则动作,其取值包括如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
x packets, y bytes |
该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enable或logging enable命令时显示,当未匹配任何报文时不显示本字段) |
【相关命令】
· reset security-policy statistics
display security-policy switch-result命令用来显示对象策略转换为安全策略的转换结果。
【命令】
display security-policy switch-result
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
若系统中未执行过security-policy switch-from object-policy命令,则执行此命令时不显示任何信息。执行security-policy switch-from object-policy命令后,无论配置是否转换成功,执行此命令均可以看到转换结果。
【举例】
# 显示对象策略转换成为安全策略成功的转换结果。
<Sysname> display security-policy switch-result
Time: 2017-03-13 18-11-17
Result: Successful
Object policy file: flash:/chenlu_concon.cfg
Security policy file: flash:/chenlu_concon_secp.cfg
# 显示对象策略转换成为安全策略失败的转换结果。
<Sysname> display security-policy switch-result
Time: 2017-03-13 18-11-15
Result: Failed
Object policy file: flash:/chenlu_convert.cfg
Security policy file: flash:/chenlu_convert_secp.cfg
Failure reason: The switching operation fails because the source or destination security zone is set to any for the zone pair and the action of an object policy rule is set to drop.
表1-3 display security-policy switch result命令显示信息描述表
|
字段 |
描述 |
|
Time |
配置转换的时间,应格式为:年-月-日 时-分-秒 |
|
Result |
配置转换的结果,取值包括如下: · Successful:表示配置转换成功 · Failed:表示配置转换失败 |
|
Object policy file |
转换前配置文件的名称 |
|
Security policy file |
转换后生成的配置文件的名称 |
|
Failure reason |
转换失败的原因,若配置转换成功,则不显示此项 |
【相关命令】
· security-policy switch-from object-policy
logging enable命令用来开启安全策略规则记录日志的功能。
undo logging enable命令用来关闭安全策略规则记录日志的功能。
【命令】
logging enable
undo logging enable
【缺省情况】
安全策略规则记录日志的功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有于信息中心的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 在安全策略规则rule1中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] logging enable
【相关命令】
· display security-policy
move rule命令用来移动安全策略规则。
【命令】
move rule rule-id before insert-rule-id
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:指定待移动安全策略规则的编号,取值范围为0~65534。
insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~65535,其中指定编号为65535时表示移动到所有规则之后。
【使用指导】
如果insert-rule-id与rule-id相同或其指定的规则不存在,则不执行任何移动操作。
【举例】
# 在IPv4安全策略上,将安全策略规则5移动到规则2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule 5 before 2
【相关命令】
· rule
· security-policy ip
· security-policy ipv6
profile命令用来在安全策略规则中引用DPI应用profile。
undo profile命令用来删除在安全策略规则中引用的DPI应用profile。
【命令】
profile app-profile-name
undo profile
【缺省情况】
安全策略规则中未引用DPI应用profile。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
app-profile-name:表示DPI应用profile的名称,为1~63个字符的字符串,不区分大小写。有关DPI应用profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行相关DPI业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关模块。
此命令仅在安全策略规则动作为允许的情况下才生效。
【举例】
# 在IPv4安全策略规则rule1中引用名称为p1的DPI应用profile。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] profile p1
【相关命令】
· action pass
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display security-policy ip
reset security-policy statistics命令用来清除安全策略的统计信息。
【命令】
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip:表示清除IPv4安全策略的统计信息。
ipv6:表示清除IPv6安全策略的统计信息。
rule rule-name:表示清除指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
若未指定参数rule,则清除所有指定类型安全策略的统计信息;若未指定参数ip或ipv6,则清除所有类型安全策略的统计信息。
【举例】
# 清除IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> reset security-policy statistics ip rule abc
【相关命令】
· display security-policy statistics
rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。
undo rule命令用来删除指定的安全策略规则。
【命令】
rule { rule-id | name name } *
undo rule { rule-id | name name } *
【缺省情况】
不存在安全策略规则。
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
context-admin
【参数】
rule-id:指定IPv4/IPv6安全策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
name:表示IPv4/IPv6安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。
【举例】
# 为IPv4安全策略创建规则0,并为该规则配置规则名称为rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1]
【相关命令】
· display security-policy ipv6
security-policy命令用来进入安全策略视图。
undo security-policy命令用来删除安全策略视图下的所有配置。
【命令】
security-policy { ip | ipv6 }
undo security-policy { ip | ipv6 }
缺省情况】
安全策略视图下不存在配置。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip:表示IPv4安全策略视图。
ipv6:表示IPv6安全策略视图。
【举例】
# 进入IPv4安全策略视图。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip]
security-policy disable命令用来关闭安全策略功能。
undo security-policy disable命令用来开启安全策略功能。
【命令】
security-policy disable
undo security-policy disable
【缺省情况】
安全策略功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
只有开启安全策略功能后,配置的安全策略才能生效。
设备启动时,如果配置文件中仅存在对象策略,则设备会自动执行security-policy disable命令关闭安全策略功能;如果配置文件中对象策略和安全策略均不存在或存在安全策略,则设备自动开启安全策略功能。
安全策略功能与对象策略功能在设备上不能同时使用,当安全策略功能处于开启状态时,首次进入安全策略视图后,对象策略功能立即失效。因此在管理员手工逐条将对象策略切换为安全策略时,为避免切换过程中造成业务长期中断,建议管理员在对象策略切换完成后再开启安全策略功能。
配置回滚后,如果需要对象策略生效,配置回滚完成后,则建议用户手工执行security-policy disable命令将安全策略功能关闭。
【举例】
# 关闭安全策略功能
<Sysname> system-view
[Sysname] security-policy disable
【相关命令】
· display security-policy
security-policy switch-from object-policy命令用来将对象策略配置一键转换为安全策略配置。
【命令】
security-policy switch-from object-policy object-filename security-filename
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-filename:表示待转换对象策略配置内容所在配置文件的名称,为1~255个字符的字符串,区分大小写,以.cfg结尾,不能包含“/”字符。此配置文件必须在设备存储介质的根目录下已存在。
security-filename:表示新生成的配置文件的名称,为1~255个字符的字符串,区分大小写,以.cfg结尾,不能包含“/”字符。新生成的配置文件保存在存储设备根目录下。
【使用指导】
此功能可以将指定配置文件中的所有对象策略规则批量转换为对应的安全策略规则,从而实现将对象策略快速切换到为安全策略的目的,为使转换后的安全策略规则生效必须重启设备。
【举例】
# 将配置文件startup.cfg中的对象策略配置转换为安全策略配置。
<Sysname> system-view
[Sysname] security-policy switch-from object-policy startup.cfg startup_secp.cfg
Configuration switching begins...
Object policies in the specified configuration file have been switched to securi
ty policies.
This command will reboot the device. Continus? [Y/N]:
service命令用来配置作为安全策略规则过滤条件的服务。
undo service命令用来删除作为安全策略规则过滤条件的服务。
【命令】
service { object-group-name | any }
undo service [ object-group-name | any ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。
any:表示将设备中的所有服务作为安全策略规则的过滤条件。
【使用指导】
多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。
配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。
使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service http
[Sysname-security-policy-ip-0-rule1] service ftp
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
session aging-time命令用来为安全策略规则配置会话的老化时间。
undo session aging-time命令用来恢复缺省情况。
【命令】
session aging-time time-value
undo session aging-time
【缺省情况】
未配置安全策略规则的会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间(1小时)进行老化。
若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time application和session aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。
【举例】
# 为IPv4安全策略的规则rule1配置会话老化时间为5000秒。
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session aging-time 5000
【相关命令】
· session aging-time application(安全命令参考/会话管理)
· session aging-time state(安全命令参考/会话管理)
· session persistent acl(安全命令参考/会话管理)
session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。
undo session persistent aging-time命令用来恢复缺省情况。
【命令】
session persistent aging-time time-value
undo session persistent aging-time
【缺省情况】
未配置安全策略规则的长连接会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。
【举例】
# 为IPv4安全策略中规则rule1配置长连接会话老化时间为1小时。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1
【相关命令】
· display security-policy ip
· session persistent acl(安全命令参考/会话管理)
source-ip命令用来配置作为安全策略规则过滤条件的源IP地址。
undo source-ip命令用来删除作为安全策略规则过滤条件的源IP地址。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示源地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源IP地址作为安全策略规则的过滤条件。
配置源IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址对象组为server1和server2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip server1
[Sysname-security-policy-ip-0-rule1] source-ip server2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为安全策略规则过滤条件的源安全域。
undo source-zone命令用来删除作为安全策略规则过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
多次执行本命令,可配置多个源安全域作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的源安全域为Trust和DMZ。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-zone trust
[Sysname-security-policy-ip-0-rule1] source-zone dmz
【相关命令】
· display security-policy
· security-zone(安全命令参考/安全域)
time-range命令用来配置安全策略规则生效的时间段。
undo time-range命令用来恢复缺省情况。
【命令】
time-range time-range-name
undo time-range
【缺省情况】
不限制安全策略规则生效的时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。有关时间段的详细介绍,请参见“ACL和QoS配置指导”中的“时间段”。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置生效时间段为work。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] time-range work
【相关命令】
· display security-policy
· time-range(ACL和QoS命令参考/时间段)
track命令用来配置安全策略规则与Track项联动。
undo track命令用来取消安全策略规则与Track项联动。
【命令】
track { negative | positive } track-entry-number
undo track
【缺省情况】
安全策略规则未与Track项联动。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
negative:指定安全策略规则与Track项的Negative状态联动。
positive:指定安全策略规则与Track项的Positive状态联动。
track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
【使用指导】
配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置规则与Track项的Positive状态联动。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] track positive 10
【相关命令】
· display security-policy
· track bfd(可靠性命令参考/Track)
· track cfd(可靠性命令参考/Track)
· track interface(可靠性命令参考/Track)
· track ip route reachability(可靠性命令参考/Track)
· track nqa(可靠性命令参考/Track)
user命令用来配置作为安全策略规则过滤条件的用户。
undo user命令用来删除作为安全策略规则过滤条件的用户。
【命令】
user username
undo user [ username ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。使用undo命令时若不指定此参数,则表示删除此规则中所有用户类型的过滤条件。有关用户的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
【使用指导】
多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户为usera和userb。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user usera
[Sysname-security-policy-ip-0-rule1] user userb
【相关命令】
· display security-policy
· user-identity enable(安全命令参考/用户身份识别与管理)
· user-identity static-user(安全命令参考/用户身份识别与管理)
user-group命令用来配置作为安全策略规则过滤条件的用户组。
undo user-group命令用来删除作为安全策略规则过滤条件的用户组。
【命令】
user-group user-group-name
undo user-group [ user-group-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-group-name:表示用户组的名称,为1~32个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有用户组类型的过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
【使用指导】
多次执行本命令,可配置多个用户组作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户组为groupa和groupb。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user-group groupa
[Sysname-security-policy-ip-0-rule1] user-group groupb
【相关命令】
· display security-policy
· user-group(安全命令参考/AAA)
vrf命令用来配置安全策略规则对指定VPN多实例中的报文有效。
undo vrf命令用来恢复缺省情况。
【命令】
vrf vrf-name
undo vrf
【缺省情况】
安全策略规则对公网的报文有效。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
vrf-name:表示VPN多实例的名称,为1~31个字符的字符串,区分大小写。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置安全策略规则rule1对VPN多实例vpn1中的报文生效。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] vrf vpn1
【相关命令】
· display security-policy
· ip vpn-instance
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
