09-安全命令参考

13-安全策略命令

本章节下载  (344.01 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/[L100][L1000][L5000][ADE]-CR(V7)-6W401/09/202009/1343721_30005_0.htm

13-安全策略命令

  录

1 安全策略

1.1 安全策略配置命令

1.1.1 accelerate enhanced enable

1.1.2 action

1.1.3 app-group

1.1.4 application

1.1.5 counting enable

1.1.6 description (security-policy rule view)

1.1.7 description (security-policy view)

1.1.8 destination-ip

1.1.9 destination-ip-host (IPv4 security policy view)

1.1.10 destination-ip-host (IPv6 security policy view)

1.1.11 destination-ip-range (IPv4 security policy view)

1.1.12 destination-ip-range (IPv6 security policy view)

1.1.13 destination-ip-subnet (IPv4 security policy view)

1.1.14 destination-ip-subnet (IPv6 security policy view)

1.1.15 destination-zone

1.1.16 disable

1.1.17 display security-policy

1.1.18 display security-policy statistics

1.1.19 group move

1.1.20 group name

1.1.21 group rename

1.1.22 logging enable

1.1.23 move rule

1.1.24 parent-group

1.1.25 reset security-policy statistics

1.1.26 rule

1.1.27 security-policy

1.1.28 security-policy config-logging send-time

1.1.29 security-policy disable

1.1.30 service

1.1.31 service-port

1.1.32 session aging-time

1.1.33 session persistent aging-time

1.1.34 source-ip

1.1.35 source-ip-host (IPv4 security policy view)

1.1.36 source-ip-host (IPv6 security policy view)

1.1.37 source-ip-range (IPv4 security policy view)

1.1.38 source-ip-range (IPv6 security policy view)

1.1.39 source-ip-subnet (IPv4 security policy view)

1.1.40 source-ip-subnet (IPv6 security policy view)

1.1.41 source-mac

1.1.42 source-zone

1.1.43 time-range

1.1.44 track

1.1.45 user

1.1.46 user-group

1.1.47 vrf


1 安全策略

1.1  安全策略配置命令

1.1.1  accelerate enhanced enable

accelerate enhanced enable命令用来激活安全策略规则的加速功能。

【命令】

accelerate enhanced enable

【视图】

IPv4安全策略视图

IPv6安全策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

安全策略加速功能生效后,使用激活规则的加速功能可以使后续新增或修改规则的加速功能生效。激活规则的加速功能包括如下方式:

·     手动激活:是指新增或修改规则后,手动执行accelerate enhanced enable命令使这些规则立即加速。

·     自动激活:是指设备按照固定时间间隔进行周期性判断是否需要安全策略加速,在一个时间间隔内若安全策略的过滤条件发生变化,则间隔时间到达后会进行安全策略加速,否则,不会进行加速。当每种类型安全策略规则小于等于100条时,此时间间隔为2秒;当每种类型安全策略规则大于100条时,此时间间隔为20秒。这种方式能够避免因忘记手工激活规则而导致新增或修改规则不生效的问题。

安全策略的加速功能默认开启,且不能手动关闭。但是激活安全策略规则加速功能时,内存资源不足会导致安全策略加速失效。

安全策略加速失效后,设备无法对报文进行快速匹配,但是仍然可以进行原始的慢速匹配。

为使新增或修改的规则可以对报文进行匹配,必须激活这些规则的加速功能。

安全策略规则中引用对象组的内容发生变化后,也需要重新激活该规则的加速功能。

【举例】

# 激活安全策略规则的加速功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] accelerate enhanced enable

1.1.2  action

action命令用来配置安全策略规则的动作。

【命令】

action { drop | pass }

【缺省情况】

安全策略规则动作是丢弃。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃符合条件的报文。

pass:表示允许符合条件的报文通过。

【使用指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置动作为丢弃。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action drop

【相关命令】

·     display security-policy

1.1.3  app-group

app-group命令用来配置作为安全策略规则过滤条件的应用组。

undo app-group命令用来删除作为安全策略规则过滤条件的应用组。

【命令】

app-group app-group-name

undo app-group [ app-group-name ]

【缺省情况】

不存在应用组过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“安全配置指导”中的“APR”。

【使用指导】

多次执行本命令,可配置多个应用组作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] app-group app1

[Sysname-security-policy-ip-0-rule1] app-group app2

【相关命令】

·     app-group(安全命令参考/APR)

·     display security-policy

1.1.4  application

application命令用来配置作为安全策略规则过滤条件的应用。

undo application命令用来删除作为安全策略规则过滤条件的应用。

【命令】

application application-name

undo application [ application-name ]

【缺省情况】

不存在应用过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“安全配置指导”中的“APR”。

【使用指导】

多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。

为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。

在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的应用。

【举例】

# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] application 139Mail

[Sysname-security-policy-ip-0-rule1] application 51job

【相关命令】

·     display security-policy

·     nbar application(安全命令参考/APR)

·     port-mapping(安全命令参考/APR)

1.1.5  counting enable

counting enable命令用来开启安全策略规则匹配统计功能。

undo counting enable命令用来关闭安全策略规则匹配统计功能。

【命令】

counting enable

undo counting enable

【缺省情况】

安全策略规则匹配统计功能处于关闭状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。

【举例】

# 为安全策略规则rule1开启规则匹配统计功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] counting enable

【相关命令】

·     display security-policy

·     display security-policy statistics

1.1.6  description (security-policy rule view)

description命令用来配置安全策略规则的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在安全策略规则的描述信息。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。

【举例】

# 为IPv4安全策略规则0配置描述信息为This rule is used for source-ip ip1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1

【相关命令】

·     display security-policy ip

·     display security-policy ipv6

1.1.7  description (security-policy view)

description命令用来配置安全策略的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在安全策略的描述信息。

【视图】

IPv4安全策略视图

IPv6安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。

【举例】

# 配置安全策略的描述信息为“zone-pair security office to library”。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] description zone-pair security office to library

【相关命令】

·     display security-policy

1.1.8  destination-ip

destination-ip命令用来配置作为安全策略规则过滤条件的目的IP地址。

undo destination-ip命令用来删除作为安全策略规则过滤条件的目的IP地址。

【命令】

destination-ip object-group-name

undo destination-ip [ object-group-name ]

【缺省情况】

不存在目的IP地址过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示目的地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有目的IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。

配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址对象组为client1和client2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip client1

[Sysname-security-policy-ip-0-rule1] destination-ip client2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.9  destination-ip-host (IPv4 security policy view)

destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv4主机地址。

undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv4主机地址。

【命令】

destination-ip-host ip-address

undo destination-ip-host [ ip-address ]

【缺省情况】

不存在目的IPv4主机地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定主机IPv4地址。

【使用指导】

destination-ip-host命令用来配置单个目的IPv4主机地址过滤条件。

多次执行本命令,可配置多个目的IPv4主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.1的IPv4主机地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-host 192.167.0.1

【相关命令】

·     display security-policy

1.1.10  destination-ip-host (IPv6 security policy view)

destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv6主机地址。

undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv6主机地址。

【命令】

destination-ip-host ipv6-address

undo destination-ip-host [ ipv6-address ]

【缺省情况】

不存在目的IPv6主机地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定主机IPv6地址。

【使用指导】

destination-ip-host命令用来配置单个目的IPv6主机地址过滤条件。

多次执行本命令,可配置多个目的IPv6主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192::167:1 的IPv6主机地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] destination-ip-host 192::167:1

【相关命令】

·     display security-policy

1.1.11  destination-ip-range (IPv4 security policy view)

destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv4范围地址。

undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv4范围地址。

【命令】

destination-ip-range ip-address1 ip-address2

undo destination-ip-range [ ip-address1 ip-address2 ]

【缺省情况】

不存在目的IPv4范围地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。

【使用指导】

destination-ip-range命令用来配置指定范围的目的IPv4地址过滤条件。

多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

在配置时,需要注意的是:

·     如果指定的ip-address1ip-address2相同,则该配置被视为主机地址对象配置。

·     如果指定的ip-address1ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。

·     如果指定的ip-address1ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.165.0.100到192.165.0.200的IPv4范围地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-range 192.165.0.100 192.165.0.200

【相关命令】

·     display security-policy

1.1.12  destination-ip-range (IPv6 security policy view)

destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv6范围地址。

undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv6范围地址。

【命令】

destination-ip-range ipv6-address1 ipv6-address2

undo destination-ip-range [ ipv6-address1 ipv6-address2 ]

【缺省情况】

不存在目的IPv6范围地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。

【使用指导】

destination-ip-range命令用来配置指定范围的目的IPv6地址过滤条件。

多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

在配置时,需要注意的是:

·     如果指定的ipv6-address1ipv6-address2相同,则该配置被视为主机地址对象配置。

·     如果指定的ipv6-address1ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。

·     如果指定的ipv6-address1ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192:165::100到192:165::200的IPv6范围地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] destination-ip-range 192:165::100 192:165::200

【相关命令】

·     display security-policy

1.1.13  destination-ip-subnet (IPv4 security policy view)

destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv4子网地址。

undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv4子网地址。

【命令】

destination-ip-subnet ip-address { mask-length | mask }

undo destination-ip-subnet [ ip-address { mask-length | mask } ]

【缺省情况】

不存在目的IPv4子网地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。

【使用指导】

destination-ip-subnet命令用来配置指定子网的目的IPv4地址过滤条件。

多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.0,掩码长度为24的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.167.0.0 24

# 配置作为安全策略规则rule1过滤条件的目的地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.166.0.0 255.255.0.0

【相关命令】

·     display security-policy

1.1.14  destination-ip-subnet (IPv6 security policy view)

destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv6子网地址。

undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv6子网地址。

【命令】

destination-ip-subnet ipv6-address prefix-length

undo destination-ip-subnet [ ipv6-address prefix-length ]

【缺省情况】

不存在目的IPv6子网地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address prefix-length:指定子网IPv6地址。prefix-length表示子网前缀长度,取值范围为1~128。如果指定mask-length为128,则该配置被视为主机地址配置。

【使用指导】

destination-ip-subnet命令用来配置指定子网的目的IPv6地址过滤条件。

多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192::167:0,地址前缀长度为64的IPv6子网地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] destination-ip-subnet 192::167:0 64

【相关命令】

·     display security-policy

1.1.15  destination-zone

destination-zone命令用来配置作为安全策略规则过滤条件的目的安全域。

undo destination-zone命令用来删除作为安全策略规则过滤条件的目的安全域。

【命令】

destination-zone destination-zone-name

undo destination-zone [ destination-zone-name ]

【缺省情况】

不存在目的安全域过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。

【使用指导】

多次执行本命令,可配置多个目的安全域作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的安全域为Trust和server。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-zone trust

[Sysname-security-policy-ip-0-rule1] destination-zone server

【相关命令】

·     display security-policy

·     security-zone(安全命令参考/安全域)

1.1.16  disable

disable命令用来禁用安全策略规则。

undo disable命令用来启用安全策略规则。

【命令】

disable

undo disable

【缺省情况】

安全策略规则处于启用状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 禁用安全策略规则rule1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] disable

【相关命令】

·     display security-policy

1.1.17  display security-policy

display security-policy命令用来显示安全策略的配置信息。

【命令】

display security-policy { ip | ipv6 }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ip:表示显示IPv4安全策略的配置信息。

ipv6:表示显示IPv6安全策略的配置信息。

【举例】

# 显示IPv4安全策略的配置信息。

<Sysname> display security-policy ip

Security-policy ip

 

 rule 0 name der (Inactive)

  action pass

  profile er

  vrf re

  logging enable

  counting enable

  time-range dere

  track positive 23

  session aging-time 5000

  session persistent aging-time 2400

  source-zone trust

  destination-zone trust

  source-ip erer

  destination-ip client1

  service ftp

  app-group ere

  application 110Wang

  user der

  user-group ere

表1-1 display security-policy命令显示信息描述表

字段

描述

rule id name rule-name

表示规则的ID和名称

action pass

表示规则动作,其取值如下:

·     pass:表示允许报文通过

·     drop:表示丢弃报文

vrf vrf-name

表示MPLS L3VPN的VPN实例名称

logging enable

表示开启了对符合规则过滤条件的报文记录日志信息的功能

counting enable

表示开启了安全策略规则匹配统计的功能

time-range time-range-name

表示此规则生效的时间段

track negative 1 (Active)

表示安全策略规则生效状态与Track项的Negative状态关联,且此规则的状态为Active,规则的生效状态取值包括:

·     Active:表示生效状态

·     Inative:表示禁用状态

track positive 1 (Inactive)

表示安全策略规则生效状态与Track项的Positive或NotReady状态关联,且此规则的状态为Active,规则的生效状态取值包括:

·     Active:表示生效状态

·     Inative:表示禁用状态

session aging-time time-value

表示此规则中设置的会话老化时间,单位为秒

session persistent aging-time time-value

表示此规则中设置的长连接会话的老化时间,单位为小时

source-zone zone-name

表示规则配置了源安全域作为过滤条件

destination-zone zone-name

表示规则配置了目的安全域作为过滤条件

source-ip object-group-name

表示规则配置了源IP地址作为过滤条件

destination-ip object-group-name

表示规则配置了目的IP地址作为过滤条件

service object-group-name

表示规则配置了服务作为过滤条件

app-group app-group-name

表示规则配置了应用组作为过滤条件

application application-name

表示规则配置了应用作为过滤条件

user user-name

表示规则配置了用户作为过滤条件

user-group user-group-name

表示规则配置了用户组作为过滤条件

 

【相关命令】

·     security-policy ip

·     security-policy ipv6

1.1.18  display security-policy statistics

display security-policy statistics命令用来显示安全策略的统计信息。

【命令】

display security-policy statistics { ip | ipv6 } [ rule rule-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ip:表示显示IPv4安全策略的统计信息。

ipv6:表示显示IPv6安全策略的统计信息。

rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示指定IP类型的所有安全策略统计信息。

【举例】

# 显示IPv4安全策略下名称为abc的规则的统计信息。

<Sysname> display security-policy statistics ip rule abc

rule 0 name abc

 action: pass (5 packets, 1000 bytes)

表1-2 display security-policy statistics命令显示信息描述表

字段

描述

rule id name rule-name

表示规则的ID和名称

action

表示安全策略规则动作,其取值包括如下:

·     pass:表示允许报文通过

·     drop:表示丢弃报文

x packets, y bytes

该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enablelogging enable命令时显示,当未匹配任何报文时不显示本字段)

 

【相关命令】

·     reset security-policy statistics

1.1.19  group move

group move group-name1 { after | before } { group group-name2 | rule rule-name }命令用来移动安全策略组。

【命令】

group move group-name1 { after | before } { group group-name2 | rule rule-name }

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name1:表示需要被移动的安全策略组的名称,为1~63个字符的字符串,不区分大小写。

after:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之后。

before:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之前。

group group-name2:表示目标安全策略组的名称,为1~63个字符的字符串,不区分大小写。

rule rule-name:表示目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

【使用指导】

通过移动安全策略组可以批量改变安全策略规则的优先级。

如果目标安全策略规则已经属于其他安全策略组,按照其在安全策略组中的位置,受如下原则的约束。

·     如果规则位于策略组中间位置,则不能移动。

·     如果规则位于策略组开始位置,只可以移动到目标规则之前。

·     如果规则位于策略组结束位置,只可以移动到目标规则之后。

【举例】

# 将安全策略组group1移动到安全策略组group2之前。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] group move group1 before group group2

1.1.20  group name

group name命令用来创建安全策略组,并将指定的安全策略规则加入此安全策略组。如果指定的安全策略组已经存在,则将指定的安全策略规则加入此安全策略组。

undo group name命令用来删除安全策略组。

【命令】

group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]

undo group name group-name [ description | include-member ]

【缺省情况】

不存在安全策略组。

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:表示安全策略组的名称,为1~63个字符的字符串,不区分大小写。

from rule-name1:表示加入安全策略组规则的起始规则,rule-name1是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定本参数,则表示创建空的安全策略组。

to rule-name2:表示加入安全策略组规则的结束规则,rule-name2是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

description description-text:表示安全策略组的描述信息,为1~127个字符的字符串,区分大小写。缺省情况下,安全策略组不存在描述信息。

disable:表示禁用安全策略组。

enable:表示启用安全策略组,安全策略组缺省处于启用状态。

include-member:执行undo命令行时,若指定本参数,则表示删除安全策略组及其策略组中的所有安全策略规则。

【使用指导】

安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。

将安全策略规则加入安全策略组时,会将指定范围内若干连续的安全策略规则加入同一个安全策略组。

只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。

将安全策略规则加入安全策略组时,起始规则要在结束规则前面,并且起始规则和结束规则之间的规则不能属于其他安全策略组。

执行undo命令行时的具体功能如下:

·     undo group name group-name命令用来仅删除安全策略组,但不删除策略组中的规则。

·     undo group name group-name description命令用来仅删除安全策略组的描述信息。

·     undo group name group-name include-member命令用来删除安全策略组及其策略组中的所有规则。

【举例】

# 创建一个名称为group1的安全策略组,并将安全策略规则rule-name1到rule-name10之间的所有安全策略规则加入此安全策略组,其描述信息为marketing。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] group name group1 from rule-name1 to rule-name10 enable description marketing

1.1.21  group rename

group rename命令用来重命名安全策略组。

【命令】

group rename old-name new-name

【视图】

安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

old-name:表示安全策略组的原有名称,为1~63个字符的字符串,不区分大小写。

new-name:表示安全策略组的新名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 把安全策略组group1重命名为group2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] group rename group1 group2

1.1.22  logging enable

logging enable命令用来开启安全策略规则记录日志的功能。

undo logging enable命令用来关闭安全策略规则记录日志的功能。

【命令】

logging enable

undo logging enable

【缺省情况】

安全策略规则记录日志的功能处于关闭状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。

安全策略日志不会输出到控制台和监视终端。当信息中心配置的规则将安全策略日志输出到控制台和监视终端时,若仍需要查看安全策略日志,可通过执行display logbuffer命令或在Web页面中查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 在安全策略规则rule1中开启安全策略规则记录日志的功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] logging enable

【相关命令】

·     display security-policy

1.1.23  move rule

move rule命令用来移动安全策略规则。

【命令】

move rule rule-id before insert-rule-id

【视图】

IPv4安全策略视图

IPv6安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:指定待移动安全策略规则的编号,取值范围为0~65534。

insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~65535,其中指定编号为65535时表示移动到所有规则之后。

【使用指导】

如果insert-rule-idrule-id相同或其指定的规则不存在,则不执行任何移动操作。

【举例】

# 在IPv4安全策略上,将安全策略规则5移动到规则2之前。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] move rule 5 before 2

【相关命令】

·     rule

·     security-policy ip

·     security-policy ipv6

1.1.24  parent-group

parent-group group-name命令用来配置安全策略规则所属的安全策略组。

undo parent-group命令用来恢复缺省情况。

【命令】

parent-group group-name

undo parent-group

【缺省情况】

安全策略规则不属于安全策略组。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-name:表示安全策略规则需要加入的安全策略组的名称,为1~63个字符的字符串,不区分大小写。

【举例】

# 配置安全策略规则rule1属于安全策略组group1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 1 name rule1

[Sysname-security-policy-ip-1-rule1] parent-group group1

1.1.25  reset security-policy statistics

reset security-policy statistics命令用来清除安全策略的统计信息。

【命令】

reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip:表示清除IPv4安全策略的统计信息。

ipv6:表示清除IPv6安全策略的统计信息。

rule rule-name:表示清除安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

【使用指导】

若未指定任何参数,则清除所有安全策略的统计信息。

【举例】

# 清除IPv4安全策略下名称为abc的规则的统计信息。

<Sysname> reset security-policy statistics ip rule abc

【相关命令】

·     display security-policy statistics

1.1.26  rule

rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。

undo rule命令用来删除指定的安全策略规则。

【命令】

rule { rule-id | [ rule-id ] name rule-name }

undo rule { rule-id | name rule-name } *

【缺省情况】

不存在安全策略规则。

【视图】

IPv4安全策略视图

IPv6安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:指定安全策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。

rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。

【举例】

# 为IPv4安全策略创建规则0,并为该规则配置规则名称为rule1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1]

【相关命令】

·     display security-policy ip

·     display security-policy ipv6

1.1.27  security-policy

security-policy命令用来进入安全策略视图。

undo security-policy命令用来删除安全策略视图下面的所有配置。

【命令】

security-policy { ip | ipv6 }

undo security-policy { ip | ipv6 }

【缺省情况】

安全策略视图下不存在配置。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip:表示IPv4安全策略视图。

ipv6:表示IPv6安全策略视图。

【举例】

# 进入IPv4安全策略视图。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip]

【相关命令】

·     display security-policy

1.1.28  security-policy config-logging send-time

security-policy config-logging send-time命令用来配置每天发送安全策略内容日志的时间。

undo security-policy config-logging send-time命令用来恢复缺省情况。

【命令】

security-policy config-logging send-time time

undo security-policy config-logging send-time

【缺省情况】

发送安全策略内容日志的时间为每天的零点。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

time:配置每天发送安全策略内容日志的时间,time的格式为hh:mm,取值范围为00:00~23:59。

【使用指导】

在快速日志输出模块中开启生成安全策略国家电网日志功能后(即执行customlog format security-policy sgcc命令),设备会在每天指定的时间以国家电网日志的格式发送此时所有处于生效状态安全策略规则的配置信息。有关快速日志输出的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。

【举例】

# 配置每天发送安全策略内容日志的时间为13点15分。

<Sysname>system-view

[Sysname] security-policy config-loggging send-time 13:15

【相关命令】

·     customlog format security-policy sgcc(网络管理和监控命令参考/快速日志输出)

·     customlog host export security-policy(网络管理和监控命令参考/快速日志输出)

1.1.29  security-policy disable

security-policy disable命令用来关闭安全策略功能。

undo security-policy disable命令用来开启安全策略功能。

【命令】

security-policy disable

undo security-policy disable

【缺省情况】

安全策略功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

只有开启安全策略功能后,配置的安全策略才能生效。

【举例】

# 关闭安全策略功能

<Sysname> system-view

[Sysname] security-policy disable

1.1.30  service

service命令用来配置作为安全策略规则过滤条件的服务。

undo service命令用来删除作为安全策略规则过滤条件的服务。

【命令】

service { object-group-name | any }

undo service [ object-group-name | any ]

【缺省情况】

不存在服务过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。

any:表示将设备中的所有服务作为安全策略规则的过滤条件。

【使用指导】

多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。

配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。

使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service http

[Sysname-security-policy-ip-0-rule1] service ftp

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.31  service-port

service-port命令用来配置作为安全策略规则过滤条件的服务端口。

undo service-port命令用来删除作为安全策略规则过滤条件的服务端口。

【命令】

service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ]

undo service-port [ protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code | icmpv6-type icmpv6-code ] ]

【缺省情况】

不存在服务端口过滤条件。

【视图】

IPv4安全策略规则视图

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

protocol:协议类型,可选取tcp(6)、udp(17)或icmp(1)。

可输入的形式如下:

·     数字:取值范围为0~255;

·     名称:可选取tcp(6)、udp(17)、icmp(1)或icmpv6(58)。

source:指定源端口。只在protocoltcpudp时有效。

destination:指定目的端口。只在protocoltcpudp时有效。

eq:表示等于。

lt表示小于。

gt表示大于。

port:指定端口号,取值范围为0~65535。

range port1 port2:指定端口号范围。port1表示端口号1,取值范围为0~65535。port2表示端口号2,取值范围为0~65535。

icmp-type:ICMP消息类型,取值范围为0~255,只在protocolicmp时有效。

icmp-code:ICMP消息码,取值范围为0~255。

icmpv6-type:ICMPv6消息类型,取值范围为0~255,只在protocolicmpv6时有效。

icmpv6-code:ICMPv6消息码,取值范围为0~255。

【使用指导】

本命令与service命令的区别在于本命令仅可匹配服务端口号,而service命令仅可匹配服务对象组。

新创建的服务端口号不能与已有的服务端口号完全相同,否则该命令执行失败。

一条规则下匹配的服务和服务对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

在配置lt参数时,需要注意的是:

·     不能指定port为0。

·     如果指定port为1,则该配置被视为eq 0。

·     如果指定port为2~65535,则实际生效的端口号为[0,port-1]

在配置gt参数时,需要注意的是:

·     不能指定port为65535。

·     如果指定port为65534,该配置被视为eq 65535。

·     如果指定port为0~65533,则实际生效的端口号为[port+1,65535]

在配置range参数时,需要注意的是:

·     如果指定的port1port2相同,则该配置被视为等于指定的端口号。

·     如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000。

·     如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。

·     如果指定的port1port2大,会自动调整范围为[port2,port1]

【举例】

# 配置作为安全策略规则rule1过滤条件的服务为tcp协议的源端口和目的端口的报文。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service-port tcp destination range 100 200 source eq 100

# 配置作为安全策略规则rule1过滤条件的服务为icmp协议的源端口和目的端口的报文。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service-port icmp 100 150

【相关命令】

·     display security-policy

1.1.32  session aging-time

session aging-time命令用来为安全策略规则配置会话的老化时间。

undo session aging-time命令用来恢复缺省情况。

【命令】

session aging-time time-value

undo session aging-time

【缺省情况】

未配置安全策略规则的会话老化时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。

【使用指导】

此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。

若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间(1小时)进行老化。

若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time applicationsession aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。

【举例】

# 为IPv4安全策略的规则rule1配置会话老化时间为5000秒。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action pass

[Sysname-security-policy-ip-0-rule1] session aging-time 5000

【相关命令】

·     display security-policy

·     session aging-time application(安全命令参考/会话管理)

·     session aging-time state(安全命令参考/会话管理)

·     session persistent acl(安全命令参考/会话管理)

1.1.33  session persistent aging-time

session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。

undo session persistent aging-time命令用来恢复缺省情况。

【命令】

session persistent aging-time time-value

undo session persistent aging-time

【缺省情况】

未配置安全策略规则的长连接会话老化时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。

【使用指导】

此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。

此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。

长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。

【举例】

# 为IPv4安全策略中规则rule1配置长连接会话老化时间为1小时。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action pass

[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1

【相关命令】

·     display security-policy ip

·     session persistent acl(安全命令参考/会话管理)

1.1.34  source-ip

source-ip命令用来配置作为安全策略规则过滤条件的源IP地址。

undo source-ip命令用来删除作为安全策略规则过滤条件的源IP地址。

【命令】

source-ip object-group-name

undo source-ip [ object-group-name ]

【缺省情况】

不存在源IP地址过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示源地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个源IP地址作为安全策略规则的过滤条件。

配置源IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址对象组为server1和server2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip server1

[Sysname-security-policy-ip-0-rule1] source-ip server2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.35  source-ip-host (IPv4 security policy view)

source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv4主机地址。

undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv4主机地址。

【命令】

source-ip-host ip-address

undo source-ip-host [ ip-address ]

【缺省情况】

不存在源IPv4主机地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定主机IPv4地址。

【使用指导】

source-ip-host命令用来配置单个源IPv4主机地址过滤条件。

多次执行本命令,可配置多个源IPv4主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.1的IPv4主机地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-host 192.167.0.1

【相关命令】

·     display security-policy

1.1.36  source-ip-host (IPv6 security policy view)

source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv6主机地址。

undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv6主机地址。

【命令】

source-ip-host ipv6-address

undo source-ip-host [ ipv6-address ]

【缺省情况】

不存在源IPv6主机地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address:指定主机IPv6地址。

【使用指导】

source-ip-host命令用来配置单个源IPv6主机地址过滤条件。

多次执行本命令,可配置多个源IPv6主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192::167:1的IPv6主机地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] source-ip-host 192::167:1

【相关命令】

·     display security-policy

1.1.37  source-ip-range (IPv4 security policy view)

source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv4范围地址。

undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv4范围地址。

【命令】

source-ip-range ip-address1 ip-address2

undo source-ip-range [ ip-address1 ip-address2 ]

【缺省情况】

不存在源IPv4范围地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。

【使用指导】

source-ip-range命令用来配置指定范围的源IPv4地址过滤条件。

多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

配置需要注意的是:

·     如果指定的ip-address1ip-address2相同,则该配置被视为主机地址配置。

·     如果指定的ip-address1ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。

·     如果指定的ip-address1ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.165.0.100到192.165.0.200的IPv4范围地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-range 192.165.0.100 192.165.0.200

【相关命令】

·     display security-policy

1.1.38  source-ip-range (IPv6 security policy view)

source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv6范围地址。

undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv6范围地址。

【命令】

source-ip-range ipv6-address1 ipv6-address2

undo source-ip-range [ ipv6-address1 ipv6-address2 ]

【缺省情况】

不存在源IPv6范围地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address1 ipv6-address2:指定范围IPv6地址。ipv6-address1表示范围起始IPv6地址,ipv6-address2表示范围结束IPv6地址。

【使用指导】

source-ip-range命令用来配置指定范围的源IPv6地址过滤条件。

多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

配置需要注意的是:

·     如果指定的ipv6-address1ipv6-address2相同,则该配置被视为主机地址配置。

·     如果指定的ipv6-address1ipv6-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。

·     如果指定的ipv6-address1ipv6-address2大,会自动调整范围为[ ipv6-address2, ipv6-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192::165:100到192::165:200的IPv6范围地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] source-ip-range 192::165:100 192::165:200

【相关命令】

·     display security-policy

1.1.39  source-ip-subnet (IPv4 security policy view)

source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv4子网地址。

undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv4子网地址。

【命令】

source-ip-subnet ip-address { mask-length | mask }

undo source-ip-subnet [ ip-address { mask-length | mask } ]

【缺省情况】

不存在源IPv4子网地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。

【使用指导】

source-ip-subnet命令用来配置指定子网的源IPv4地址过滤条件。

多次执行本命令,可配置多个源IP子网地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.0,掩码长度为24的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.167.0.0 24

# 配置作为安全策略规则rule1过滤条件的源地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.166.0.0 255.255.0.0

【相关命令】

·     display security-policy

1.1.40  source-ip-subnet (IPv6 security policy view)

source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv6子网地址。

undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv6子网地址。

【命令】

source-ip-subnet ipv6-address prefix-length

undo source-ip-subnet [ ipv6-address prefix-length ]

【缺省情况】

不存在源IPv6子网地址过滤条件。

【视图】

IPv6安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address prefix-length:指定子网IPv6地址。prefix-length表示子网前缀长度,取值范围为1~128。如果指定prefix-length为128,则该配置被视为主机地址配置。

【使用指导】

source-ip-subnet命令用来配置指定子网的源IPv6地址过滤条件。

多次执行本命令,可配置多个源IPv6子网地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192: 167::0,地址前缀长度为64的IPv6子网地址。

<Sysname> system-view

[Sysname] security-policy ipv6

[Sysname-security-policy-ipv6] rule 0 name rule1

[Sysname-security-policy-ipv6-0-rule1] source-ip-subnet 192:167::0 64

【相关命令】

·     display security-policy

1.1.41  source-mac

source-mac命令用来配置作为安全策略规则过滤条件的源MAC地址。

undo source-mac命令用来删除作为安全策略规则过滤条件的源MAC地址。

【命令】

source-mac object-group-name

undo source-mac [ object-group-name ]

【缺省情况】

安全策略规则中不存在过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示源MAC地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源MAC地址类型的过滤条件。有关MAC地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个源MAC地址作为安全策略规则的过滤条件。

配置源MAC地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的源MAC地址对象组为mac1和mac2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-mac mac1

[Sysname-security-policy-ip-0-rule1] source-mac mac2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.42  source-zone

source-zone命令用来配置作为安全策略规则过滤条件的源安全域。

undo source-zone命令用来删除作为安全策略规则过滤条件的源安全域。

【命令】

source-zone source-zone-name

undo source-zone [ source-zone-name ]

【缺省情况】

不存在源安全域过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。

【使用指导】

多次执行本命令,可配置多个源安全域作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的源安全域为Trust和DMZ。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-zone trust

[Sysname-security-policy-ip-0-rule1] source-zone dmz

【相关命令】

·     display security-policy

·     security-zone(安全命令参考/安全域)

1.1.43  time-range

time-range命令用来配置安全策略规则生效的时间段。

undo time-range命令用来恢复缺省情况。

【命令】

time-range time-range-name

undo time-range

【缺省情况】

不限制安全策略规则生效的时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。有关时间段的详细介绍,请参见“ACL和QoS配置指导”中的“时间段”。

【配置指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置生效时间段为work。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] time-range work

【相关命令】

·     display security-policy

·     time-range(ACL和QoS命令参考/时间段)

1.1.44  track

track命令用来配置安全策略规则与Track项联动。

undo track命令用来取消安全策略规则与Track项联动。

【命令】

track { negative | positive } track-entry-number

undo track

【缺省情况】

安全策略规则未与Track项联动。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

negative:指定安全策略规则与Track项的Negative状态联动。

positive:指定安全策略规则与Track项的Positive状态联动。

track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍,请参见“可靠性配置指导”中的“Track”。

【使用指导】

配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。

配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置规则与Track项的Positive状态联动。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] track positive 10

【相关命令】

·     display security-policy

·     track bfd(可靠性命令参考/Track)

·     track interface(可靠性命令参考/Track)

·     track ip route reachability(可靠性命令参考/Track)

·     track nqa(可靠性命令参考/Track)

1.1.45  user

user命令用来配置作为安全策略规则过滤条件的用户。

undo user命令用来删除作为安全策略规则过滤条件的用户。

【命令】

user username [ domain domain-name ]

undo user [ username [ domain domain-name ] ]

【缺省情况】

不存在用户过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。使用undo命令时若不指定此参数,则表示删除此规则中所有用户类型的过滤条件。有关用户的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。

【使用指导】

多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。

使用undo命令时若不指定用户,则表示删除此规则中所有用户类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户。

有关身份识别用户和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【举例】

# 配置作为安全策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] user usera domain test

[Sysname-security-policy-ip-0-rule1] user userb domain test

【相关命令】

·     display security-policy

·     user-identity enable(安全命令参考/用户身份识别与管理)

·     user-identity static-user(安全命令参考/用户身份识别与管理)

1.1.46  user-group

user-group命令用来配置作为安全策略规则过滤条件的用户组。

undo user-group命令用来删除作为安全策略规则过滤条件的用户组。

【命令】

user-group user-group-name [ domain domain-name ]

undo user-group [ user-group-name [ domain domain-name ] ]

【缺省情况】

不存在用户组过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有用户组类型的过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。

【使用指导】

多次执行本命令,可配置多个用户组作为安全策略规则的过滤条件。

使用undo命令时若不指定用户组,则表示删除此规则中所有用户组类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户组。

有关身份识别用户组和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【举例】

# 配置作为安全策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] user-group groupa domain test

[Sysname-security-policy-ip-0-rule1] user-group groupb domain test

【相关命令】

·     display security-policy

·     user-group(安全命令参考/AAA)

1.1.47  vrf

vrf命令用来配置安全策略规则对入接口指定VPN多实例中的报文有效。

undo vrf命令用来恢复缺省情况。

【命令】

vrf vrf-name

undo vrf

【缺省情况】

安全策略规则对公网的报文有效。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

vrf-name:表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

【配置指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置安全策略规则rule1对入接口的VPN多实例vpn1中的报文生效。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] vrf vpn1

【相关命令】

·     display security-policy

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们