04-IPv6策略命令
本章节下载: 04-IPv6策略命令 (176.46 KB)
policy6命令用来配置安全策略。
no policy6命令用来删除安全策略。
【命令】
policy6 in-interface out-interface source-address dest-address service-name user-name application-name schedule-name { permit| deny } [ id ]
no policy6 id
【视图】
系统视图
【参数】
in-interface:安全策略匹配的源接口,设备上可用的接口如ge0,也可为any。
out-interface:安全策略匹配的目的接口,设备上可用的接口如ge0,也可为any。
source-address:安全策略匹配的源IP地址,可以引用某地址对象或者地址组,any表示源地址为任意地址。
dest-address:安全策略匹配的目的地址,可以引用某个地址对象或者地址组,any表示源地址为任意地址。
service-name:安全策略匹配的服务对象,可以引用服务对象或者服务组。
user-name:指定安全策略匹配的用户对象名称。
application-name:指定安全策略匹配的应用对象名称。
schedule-name:指定安全策略生效的时间对象名称。
id:安全策略的唯一标识。范围是1~65535,其中50001~65535是集中网关创建的策略。
permit:允许匹配的流量通过。
deny:丢弃匹配的流量。
【使用指导】
出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外,需要配置具体的对象,才能被安全策略引用。
【举例】
# 创建一条服务是TCP,其余匹配条件为any,动作是允许的安全策略。
host# system-view
host(config)# policy6 any any any any TCP any any always permit
source-address命令用来增加策略的源地址。
no source-address命令用来删除策略的源地址。
【命令】
source-address addr-name
no source-address addr-name
【视图】
IPV6策略视图
【参数】
addr-name:地址对象的名称。
【使用指导】
策略上最多可以指定8个源地址对象。
【举例】
# IPv6策略1添加源地址对象abc。
host# system-view
host(config)#policy6 1
host(config-policy6)# source-address aaa
【相关命令】
· display running-config ipv6-policy
dest-address命令用来增加策略的目的地址。
no dest-address命令用来删除策略的目的地址。
【命令】
dest-address addr-name
no dest-address addr-name
【视图】
IPV6策略视图
【参数】
addr-name:地址对象或者地址对象组的名称。
【使用指导】
策略上最多可以指定8个目的地址对象。
【举例】
# IPv6策略1添加目的地址对象abc。
host# system-view
host(config)#policy6 1
host(config-policy6)# dest-address aaa
【相关命令】
· display running-config ipv6-policy
enable命令用来启用IPv6策略。
disable命令用来禁用IPv6策略。
【命令】
enable
disable
【缺省情况】
缺省情况下,IPv6策略是启用的。
【视图】
IPV6策略视图
【举例】
# 禁用IPv6策略1。
host# system-view
host(config)#policy6 1
host(config-policy6)# disable
【相关命令】
· display running-config ipv6-policy
in-interface命令用来修改策略的源接口。
【命令】
in-interface { interface-name | any }
【视图】
IPV6策略视图
【参数】
interface-name:入接口的名称。
any:任意入接口。
【举例】
# 修改IPv6策略1的入接口为ge0。
host# system-view
host(config)#policy6 1
host(config-policy6)# in-interface ge0
【相关命令】
· display running-config ipv6-policy
out- interface命令用来修改IPv6策略的出接口。
【命令】
out-interface { interface-name | any }
【视图】
IPV6策略视图
【参数】
interface-name:出接口的名称。
any:任意出接口。
【举例】
# 修改IPv6策略1的出接口为ge1。
host# system-view
host(config)#policy6 1
host(config-policy6)# out-interface ge1
【相关命令】
· display running-config ipv6-policy
policy6 default-action命令用来设置设备IPv6策略的默认动作。
【命令】
policy6 default-action { permit | deny }
【缺省情况】
缺省情况下,IPv6策略的默认动作为允许。
【视图】
系统视图
【参数】
permit:IPv6策略的默认行为为允许。
deny:IPv6策略的默认行为为拒绝。
【举例】
# 将IPv6策略的默认行为改为拒绝。
host# system-view
host(config)# policy6 default-action deny
【相关命令】
· display running-config ipv6-policy
policy6 insert命令用来在指定的策略ID之前插入一条策略。
【命令】
policy6 insert in-ineterface out-interface source-address destination-address service any any schedule { permit | deny | ipsec } id before reference-policy-id
【视图】
系统视图
【参数】
in-interface:入接口。
out-interface:出接口。
source-address:源地址对象。
destination-address:目的地址对象。
service:服务对象
schedule:时间表。
permit:行为是允许。
deny:行为是拒绝。
ipsec:行为是ipsec。
id:IPv6策略的id,取值范围为1到65535。
id reference-policy-id:被参照的IPv6策略id。
【举例】
# 创建ID是2服务是TCP,其余匹配条件为any,动作是允许的IPv6策略,位置在IPv6策略1的前面。
host# system-view
host(config)# policy6 insert any any any any tcp any any always permit 2 before 1
【相关命令】
· display running-config ipv6-policy
policy6 move命令用来移动IPv6策略的位置。
【命令】
policy6 move policy-id { before | after } reference-policy-id
【视图】
系统视图
【参数】
policy-id:被移动的策略id。
before:把策略移动到参照的策略的前面。
after:把策略移动到参照的策略的后面。
reference-policy-id:被参照的策略id。
【举例】
# 将IPv6策略1移到IPv6策略2之后。
host# system-view
host(config)# policy6 move 1 after 2
【相关命令】
· display running-config ipv6-policy
schedule命令用来设置IPv6策略生效的时间表。
【命令】
schedule schedule-name
【视图】
IPV6策略视图
【参数】
schedule-name:时间对象的名称。
【使用指导】
只有在时间对象处于active状态,IPv6策略才会生效。
【举例】
# 配置IPv6策略1,仅仅在9:00-18:00生效。
host# system-view
host(config)# schedule-day worktime
host(config-schedule-day)# periodic start 9:00 end 18:00
host(config-schedule-day)# exit
host(config)#policy6 1
host(config-policy6)# schedule worktime
【相关命令】
· display running-config ipv6-policy
service命令用来增加策略的服务。
no service命令用来删除策略的服务。
【命令】
service service-name
no service service-name
【视图】
IPV6策略视图
【参数】
service-name:服务对象的名称。
【使用指导】
策略上最多可以指定8个服务对象。
【举例】
# IPv6策略1添加目的服务对象icmp。
host# system-view
host(config)#policy6 1
host(config-policy6)# service icmp
【相关命令】
· display running-config ipv6-policy
user命令用来添加安全策略匹配的用户对象。
no user命令用来删除安全策略匹配的用户对象。
【命令】
user user-name
no user user-name
【视图】
策略配置节点视图
【参数】
user -name:用户对象或对象组名称。
【举例】
# 给安全策略1添加abc用户对象。
host# system-view
host(config)# policy6 1
host(config-policy6)# user abc
Policy6 move命令用来将策略移到某条策略之后或者之前。
【命令】
Policy6 move id { before | after } ref-id
【视图】
系统视图
【参数】
id:被移动的安全策略的唯一标识。范围是1~65535,其中50001~65535是集中网关创建的策略。
before:将策略移到参考策略之前。
after:将策略移到参考策略之前。
ref-id:参考策略标识。范围是1~65535,其中50001~65535是集中网关创建的策略。
【举例】
# 将安全策略1移到安全策略2之后。
host# system-view
host(config)# policy6 move 1 after 2
Policy6 insert命令用来在某条策略之前插入一条新的策略。
【命令】
Policy6 insert in-interface out-interface source-address dest-address service-name user-name application-name schedule-name {permit | deny } id before ref-id
【视图】
系统视图
【参数】
in-interface:安全策略匹配的源接口,设备上可用的接口如ge0,也可为any。
out-interface:安全策略的匹配的目的接口,设备上可用的接口如ge0,也可为any。
source-address:安全策略匹配的源IP地址,可以引用某地址对象或者地址组,any表示源地址为任意地址。
dest-address:安全策略匹配的目的地址,可以引用某个地址对象或者地址组,any表示源地址为任意地址。
service-name:安全策略匹配的服务对象,可以引用服务对象或者服务组。
user-name:指定安全策略匹配的用户对象名称。
application-name:指定安全策略匹配的应用对象名称。
schedule-name:指定安全策略生效的时间对象名称。
permit:允许匹配的流量通过。
deny:丢弃匹配的流量。
id:安全策略的唯一标识。范围是1~65535,其中50001~65535是集中网关创建的策略。
ref-id:参考策略标识。范围是1~65535,其中50001~65535是集中网关创建的策略。
【使用指导】
出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外,需要配置具体的对象,才能被安全策略引用。
【举例】
# 在安全策略1之前插入一条新的ID为3的安全策略。
host# system-view
host(config)# policy6 insert any any any any any any any alwalys deny 3 before 1
app-policy control命令用来新建一条应用控制策略。
no app-policy control 命令用来删除一条应用控制策略。
【命令】
app-policy control id action {permit | deny} log-level {emerg | alert | crit | err | warning | notice | info | debug | ignore } [description]
【视图】
IPV6策略视图
【参数】
id:应用控制策略ID,最小为1,最大为64。
accept:控制动作为放行。
deny:控制动作为阻断。
emerg:日志级别为紧急。
alert:日志级别为告警。
crit:日志级别为严重。
err:日志级别为错误。
warning:日志级别为警告
notice:日志级别为通知。
info:日志级别为信息。
ignore:不记录日志。
description:描述内容。
【使用指导】
配置应用控制策略的IPV6安全策略的动作必须是允许。
【举例】
# 给id为1应用控制策略,定义其动作为允许以及日志级别为信息。
host# system-view
host(config)# policy6 1
host(config-policy6)# app-policy control 1 action permit log-level info
app-policy control id {enable | disable }命令启用或禁用已定义的应用控制策略。
【命令】
app-policy control id {enable | disable }
【缺省情况】
缺省情况下,应用策略是启用的。
【视图】
IPV6策略视图
【参数】
id:需要定义的应用策略的id,取值范围为1~64。
【举例】
# 禁用应用控制策略1。
host# system-view
host(config)# policy6 1
host(config-policy6)# app-policy control 1 disable
website-policy命令用来新建一条网站策略。
no website-policy命令用来删除一条网站策略。
【命令】
website-policy id { url-category | any } { accept | deny } { emerg | alert | crit | err | notice | info | ignore } display
【视图】
IPV6策略视图
【参数】
id:网站策略ID,最小为1,最大为64。
url-category:进行网站策略控制的分类,any表示所有分类。
accept:控制动作为放行。
deny:控制动作为阻断。
emerg:日志级别为紧急。
alert:日志级别为警告。
crit:日志级别为严重。
err:日志级别为错误。
notice:日志级别为通知。
info:日志级别为信息。
ignore:不记录日志。
display:策略描述。
【使用指导】
· 参数url-category可输入至多8个分类,用逗号进行分隔。
· 配置应用控制策略的安全策略的动作必须是审计。
【举例】
# 给id为1的ipv6策略增加网站策略,不允许访问博彩类、色情类网站。
host# system-view
host(config)# policy6 1
host(config-policy6)# website-policy 1 lottery,porn, deny alert
website-policy enable 命令启用已定义的网站策略。
website-policy disable命令禁用已定义的网站策略。
【命令】
website-policy { enable | disable} id
【视图】
IPV6策略视图
【参数】
id:网站策略ID。
【举例】
# 启用id为1 的ipv6策略的网站策略1。
host# system-view
host(config)# policy6 1
host(config-policy6)# website-policy enable 1
website-policy malware enable命令启用恶意URL过滤。
website-policy malware disable命令停用恶意URL过滤。
【命令】
website-policy malware { enable | disable }
【缺省情况】
缺省情况下,恶意URL过滤是禁用的。
【视图】
IPV6策略视图。
【举例】
# 启用启用id为1 的ipv6策略的恶意URL过滤。
host# system-view
host(config)# policy6 1
host(config-policy6)# website-policy malware enable
display running-config ipv6命令用来显示配置的IPv6策略。
【命令】
display running-config ipv6
【视图】
任意视图
【举例】
# 显示IPv6策略的配置。
host# display running-config ipv6-policy
policy6 any any any any any any any always permit 1
policy6 default-action deny
!
【相关命令】
· display running-config ipv6-policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!