- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-应用审计与管理命令
本章节下载: 02-应用审计与管理命令 (209.60 KB)
本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途。
application命令用来配置作为应用审计与管理策略过滤条件的应用和应用组。
undo application命令用来删除作为应用审计与管理策略过滤条件的应用和应用组。
【命令】
application { app application-name | app-group application-group-name }
undo application { app application-name | app-group application-group-name }
【缺省情况】
应用审计与管理策略下不存在过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
app application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写。
app-group application-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
仅在免审计和阻断类型的策略中可配置此命令。
多次执行本命令,可配置多个应用和应用组作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理阻断策略mypolicy2过滤条件的应用为app1和app2,应用组为group1和group2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy2 deny
[Sysname-uapp-control-policy-mypolicy2] application app app1
[Sysname-uapp-control-policy-mypolicy2] application app app2
[Sysname-uapp-control-policy-mypolicy2] application app-group group1
[Sysname-uapp-control-policy-mypolicy2] application app-group group2
【相关命令】
· app-group(安全命令参考/APR)
· nbar application(安全命令参考/APR)
· port-mapping(安全命令参考/APR)
description命令用来配置关键字组的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在关键字组的描述信息。
【视图】
关键字组视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示关键字组的描述信息,为1~255个字符的字符串,区分大小写。
【举例】
# 配置关键字组的描述信息为account limit。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup] description account limit
destination-address命令用来配置作为应用审计与管理策略过滤条件的目的IP地址。
undo destination-address命令用来删除作为应用审计与管理策略过滤条件的目的IP地址。
【命令】
destination-address { ipv4 | ipv6 } object-group-name
undo destination-address { ipv4 | ipv6 } object-group-name
【缺省情况】
应用审计与管理策略下不存在过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:表示指定IPv4地址对象组。
ipv6:表示指定IPv6地址对象组。
object-group-name:表示地址对象组的名称,为1~31个字符的字符串,不区分大小写,且必须已存在。
【使用指导】
多次执行本命令,可配置多个目的IPv4/IPv6地址对象组作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的目的IPv4地址。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] destination-address ipv4 obgroup3
[Sysname-uapp-control-policy-mypolicy1] destination-address ipv4 obgroup4
【相关命令】
· object-group(安全命令参考/对象组)
destination-zone命令用来配置作为应用审计与管理策略过滤条件的目的安全域。
undo destination-zone命令用来删除作为应用审计与管理策略过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone destination-zone-name
【缺省情况】
应用审计与管理策略下不存在过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
destination-zone-name:表示安全域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
多次执行本命令,可配置多个目的安全域作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的目的安全域为zone3和zone4。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] destination-zone zone3
[Sysname-uapp-control-policy-mypolicy1] destination-zone zone4
【相关命令】
· security-zone name(安全命令参考/安全域)
disable命令用来关闭应用审计与管理策略。
undo disable命令用来开启应用审计与管理策略。
【命令】
disable
undo disable
【缺省情况】
应用审计与管理策略处于开启状态。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果在某些组网环境中某条应用审计与管理策略暂时不会被用到,则可以使用此命令来关闭此条应用审计与管理策略。关闭应用审计与管理策略后,此策略将不能对流量进行匹配,但依然可以对其进行复制、重命名和移动的操作。
【举例】
# 关闭应用审计与管理策略mypolicy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1
[Sysname-uapp-control-policy-mypolicy1] disable
keyword命令用来配置关键字。
undo keyword命令用来删除指定的关键字。
【命令】
keyword keyword-value
undo keyword keyword-value
【缺省情况】
不存在关键字。
【视图】
关键字组视图
【缺省用户角色】
network-admin
context-admin
【参数】
keyword-value:表示关键字,为1~63个字符的字符串,区分大小写。
【举例】
# 配置应用审计与管理的关键字为keywordname。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup] keyword keywordname
keyword-group name命令用来创建关键字组,并进入关键字组视图。如果指定的关键字组已经存在,则直接进入关键字组视图。
undo keyword-group name命令用来删除指定的关键字组。
【命令】
keyword-group name keyword-group-name
undo keyword-group name keyword-group-name
【缺省情况】
不存在关键字组。
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
context-admin
【参数】
keyword-group-name:表示关键字组的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建名称为mykeywordgroup的关键字组,并进入关键字组视图。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] keyword-group name mykeywordgroup
[Sysname-uapp-control-keyword-group-mykeywordgroup]
policy copy命令用来复制应用审计与管理策略。
【命令】
policy copy policy-name new-policy-name
【缺省情况】
不存在应用审计与管理策略。
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示被复制应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。
new-policy-name:表示新建应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
当需要新建的应用审计与管理策略和已存在的策略比较相似时,可通过复制已经存在的策略来快速的创建新的应用审计与管理策略。
【举例】
# 复制应用审计与管理策略policy1,复制后的策略名称为policy2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy copy policy1 policy2
policy default-action命令用来配置应用审计与管理策略的缺省动作。
【命令】
policy default-action { deny | permit }
【缺省情况】
应用审计与管理策略的缺省动作是允许。
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
context-admin
【参数】
deny:表示阻断报文。
permit:表示允许报文通过。
【使用指导】
若报文未与任何一个应用审计与管理策略匹配成功,则设备将根据应用审计与管理策略的缺省动作对报文进行处理。
【举例】
# 配置应用审计与管理策略的缺省动作为丢弃。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy default-action deny
policy move命令用来移动应用审计与管理策略的位置。
【命令】
policy move policy-name1 { after | before } policy-name2
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name1:表示需要被移动的应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。
after:表示把应用审计与管理策略policy-name1移动到应用审计与管理策略policy-name2的后面。
before:表示把应用审计与管理策略policy-name1移动到应用审计与管理策略policy-name2的前面。
policy-name2:表示移动目标的应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建应用审计与管理策略,名称为policy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name policy1 audit
[Sysname-uapp-control-policy-policy1] quit
# 创建应用审计与管理策略,名称为policy2。
[Sysname-uapp-control] policy name policy2 audit
[Sysname-uapp-control-policy-policy2] quit
# 移动应用审计与管理策略policy1到policy2之后
[Sysname-uapp-control] policy move policy1 after policy2
policy name命令用来创建应用审计与管理策略,并进入应用审计与管理策略视图。如果指定的应用审计与管理策略已经存在,则直接进入应用审计与管理策略视图。
undo policy name命令用来删除指定的应用审计与管理策略。
【命令】
policy name policy-name [ audit | deny | noaudit ]
undo policy name policy-name
【缺省情况】
不存在应用审计与管理策略。
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示应用审计与管理策略的名称,为1~63个字符的字符串,不区分大小写,且名称必须全局唯一。
audit:表示审计类型的策略。
deny:表示阻断类型的策略。
noaudit:表示免审计类型的策略。
【使用指导】
本命令用来创建应用审计与管理策略,创建策略时必须指定策略类型,应用审计与管理策略分为如下三类:
· 审计策略:对匹配策略中所有过滤条件的报文,根据审计规则对此报文进行审计。
· 免审计策略:对匹配策略中所有过滤条件的报文进行免审计。
· 阻断策略:对匹配策略中所有过滤条件的报文进行阻断。
每类策略中具体可配置的内容不同,其中application命令只能在免审计和阻断类型的策略下配置,rule、rule default-action和rule match-method命令只能在审计类型的策略下配置。
【举例】
# 创建一个名称为mypolicy1的应用审计与管理策略,并对用户的应用行为进行审计,并进入应用审计与管理策略视图。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1]
policy rename命令用来重命名应用审计与管理策略。
【命令】
policy rename old-policy-name new-policy-name
【视图】
应用审计与管理视图
【缺省用户角色】
network-admin
context-admin
【参数】
old-policy-name:表示应用审计与管理策略的原有名称,为1~63个字符的字符串,不区分大小写。
new-policy-name:表示应用审计与管理策略的新名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 创建应用审计与管理策略,名称为policy1。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name policy1 audit
[Sysname-uapp-control-policy-policy1] quit
# 修改应用审计与管理策略policy1的名称为policy2
[Sysname-uapp-control] policy rename policy1 policy2
rule命令用来配置应用审计与管理策略的审计规则。
undo rule id命令用来删除指定的审计规则。
【命令】
rule rule-id { app app-name | app-category app-category-name | any } behavior { behavior-name | any } bhcontent { bhcontent-name | any } { keyword { equal | exclude | include | unequal } { keyword-group-name | any } | integer { equal | greater | less | unequal } { number } } action { deny | permit } [ audit-logging ]
undo rule rule-id
【缺省情况】
应用审计与管理策略中不存在审计规则。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:表示审计规则ID,取值范围为1~64。
app app-name:表示对指定的应用进行审计。
app-category app-category-name:表示对指定的应用分类进行审计。
any:表示对所有应用和应用分类进行审计。
behavior behavior-name:表示对指定应用或应用分类的某一具体行为进行审计。behavior-name是行为名称,any表示所有行为。
bhcontent bhcontent-name:表示对该行为中的某一具体内容进行审计。bhcontent-name是行为内容,any表示所有行为内容。
keyword:表示行为内容的匹配方式为字符串形式的关键字。
· equal:表示审计规则对行为内容的匹配方式为与关键字完全相等。
· exclude:表示审计规则对行为内容的匹配方式为不包含关键字。
· include:表示审计规则对行为内容的匹配方式为包含关键字。
· unequal:表示审计规则对行为内容的匹配方式为与关键字不相等。
keyword-group-name:表示审计规则引用的关键字组,any表示对指定应用或应用分类行为的所有内容进行审计。
integer:表示行为内容的匹配方式为数字。
· equal:表示对等于指定数字的行为内容进行审计。
· greater:表示对大于指定数字的行为内容进行审计。
· less:表示对小于指定数字的行为内容进行审计。
· unequal:表示对不等于指定数字的行为内容进行审计。
number:表示审计规则使用的数字,取值范围为1~4294967295。
action:表示审计规则的动作,即对与审计规则匹配成功的报文执行的动作。
· deny:表示审计规则动作为阻断报文。
· permit:表示审计规则动作为允许报文通过。
· audit-logging:表示审计规则动作为生成审计日志。若未配置本参数,则与此审计规则匹配成功的报文不会生成审计日志。
【使用指导】
审计规则用来对用户的具体应用行为进行更加精细化控制。
当报文与策略中配置的所有过滤条件均匹配成功后,会根据审计规则对此报文进行更加精细化的审计。
仅在审计类型的策略中可配置此命令。
【举例】
# 创建一个名称为mypolicy1的应用审计与管理审计策略。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
# 创建第一条审计规则:对QQ应用行为是登录,行为内容为账号且包含关键字1234的用户报文进行放行审计,并生成审计日志。
[Sysname-uapp-control-policy-mypolicy1] rule 1 app qq behavior login bhcontent account keyword include mykeywd1 action permit audit-logging
# 创建第二条审计规则:对QQ应用行为是登录,行为内容为账号但不等于数字785的用户报文进行放行审计,但不生成审计日志。
[Sysname-uapp-control-policy-mypolicy1] rule 2 app qq behavior login bhcontent account integer unequal 785 action permit
# 创建第三条审计规则:对IM应用组行为是登录,行为内容为账号且包含关键字0的用户报文进行阻断,并生成审计日志。
[Sysname-uapp-control-policy-mypolicy1] rule 3 app-category IM behavior login bhcontent account keyword include mykeywd2 action deny audit-logging
【相关命令】
· keyword-group name
· keyword
rule default-action命令用来配置审计规则的缺省动作。
【命令】
rule default-action { deny | permit }
【缺省情况】
审计规则的缺省动作为允许。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
deny:表示阻断匹配审计规则的报文。
permit:表示允许匹配审计规则的报文通过。
【使用指导】
若报文所属的应用或应用组不在所有规则所需审计的应用或应用组范围内,则设备将根据该策略中审计规则的缺省动作对报文进行处理。
【举例】
# 配置审计规则的缺省动作为阻断。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] rule default-action deny
rule match-method命令用来配置审计规则的匹配模式。
【命令】
rule match-method { all | in-order }
【缺省情况】
审计规则的匹配模式为顺序匹配。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:表示审计规则匹配模式为全匹配。
in-order:表示审计规则匹配模式为顺序匹配。
【使用指导】
顺序匹配表示审计规则按照规则ID从小到大的顺序进行逐一匹配,一旦报文与某条审计规则匹配成功就结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理。
全匹配表示审计规则按照审计规则ID从小到大的顺序进行匹配,若报文与其条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条规则;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配。设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行相应处理。
【举例】
# 配置审计规则的匹配模式为全匹配。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] rule match-method all
service命令用来配置作为应用审计与管理策略过滤条件的服务。
undo service命令用来删除作为应用审计与管理策略过滤条件的服务。
【命令】
service service-name
undo service service-name
【缺省情况】
应用审计与管理策略下不存在过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
service-name:是服务对象组的名称,为1~31个字符的字符串,不区分大小写,且必须已存在。
【使用指导】
多次执行本命令,可配置多个服务作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的服务为dns-tcp和dns-udp。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] service dns-tcp
[Sysname-uapp-control-policy-mypolicy1] service dns-udp
【相关命令】
· object-group(安全命令参考/对象组)
source-address命令用来配置作为应用审计与管理策略过滤条件的源IP地址。
undo source-address命令用来删除作为应用审计与管理策略过滤条件的源IP地址。
【命令】
source-address { ipv4 | ipv6 } object-group-name
undo source-address { ipv4 | ipv6 } object-group-name
【缺省情况】
应用审计与管理策略下不存在过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:表示指定IPv4地址对象组。
ipv6:表示指定IPv6地址对象组。
object-group-name:表示地址对象组的名称,为1~31个字符的字符串,不区分大小写,且必须已存在。
【使用指导】
多次执行本命令,可配置多个源IP/IPv6地址对象组作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的源IP地址。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy audit
[Sysname-uapp-control-policy-mypolicy] source-address ipv4 obgroup1
[Sysname-uapp-control-policy-mypolicy] source-address ipv4 obgroup2
【相关命令】
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为应用审计与管理策略过滤条件的源安全域。
undo source-zone命令用来删除作为应用审计与管理策略过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone source-zone-name
【缺省情况】
应用审计与管理策略下不存在过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
source-zone-name:表示安全域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
多次执行本命令,可配置多个源安全域作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的源安全域为zone1和zone2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] source-zone zone1
[Sysname-uapp-control-policy-mypolicy1] source-zone zone2
【相关命令】
· security-zone name(安全命令参考/安全域)
time-range命令用来配置应用审计与管理策略的生效时间。
undo time-range命令用来恢复缺省情况。
【命令】
time-range time-range-name
undo time-range
【缺省情况】
应用审计与管理策略在任何时间下都生效。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 配置应用审计与管理审计策略mypolicy1的生效时间段为work-time。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] time-range work-time
【相关命令】
· time-range(ACL和QoS命令参考/时间段)
uapp-control命令用来进入应用审计与管理视图。
【命令】
uapp-control
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在应用审计与管理视图下可完成应用审计与管理策略的创建、复制、移动和重命名以及关键字组的创建。应用审计与管理策略分为三种类型:审计(audit),免审计(noaudit)和阻断(deny),其中免审计和阻断类型的策略用来做粗粒度的应用审计与管理,审计类型的策略用来做精细化的应用审计与管理。
【举例】
# 进入应用审计与管理视图。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control]
user命令用来配置作为应用审计与管理策略过滤条件的用户。
undo user命令用来删除作为应用审计与管理策略过滤条件的用户。
【命令】
user user-name
undo user user-name
【缺省情况】
应用审计与管理策略下不存在过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name:表示用户的名称,为1~55个字符的字符串,区分大小写。
【使用指导】
多次执行本命令,可配置多个用户作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的用户为managers1和managers2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user managers1
[Sysname-uapp-control-policy-mypolicy1] user managers2
【相关命令】
· user-identity enable(安全命令参考/用户身份识别与管理)
user-group命令用来配置作为应用审计与管理策略过滤条件的用户组。
undo user-group命令用来删除作为应用审计与管理策略过滤条件的用户组。
【命令】
user-group user-group-name
undo user-group user-group-name
【缺省情况】
应用审计与管理策略下不存在过滤条件。
【视图】
应用审计与管理策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-group-name:表示用户组的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
多次执行本命令,可配置多个用户组作为应用审计与管理策略的过滤条件。
【举例】
# 配置应用审计与管理审计策略mypolicy1过滤条件的用户组为group1和group2。
<Sysname> system-view
[Sysname] uapp-control
[Sysname-uapp-control] policy name mypolicy1 audit
[Sysname-uapp-control-policy-mypolicy1] user-group group1
[Sysname-uapp-control-policy-mypolicy1] user-group group2
【相关命令】
· user-identity enable(安全命令参考/用户身份识别与管理)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
