03-安全命令参考

01-安全域命令

本章节下载  (208.52 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/M9000_CR(V7)(R9141_R9712)-6W303/03/202012/1367080_30005_0.htm

01-安全域命令


1 安全域

1.1  安全域配置命令

1.1.1  display security-zone

display security-zone命令用来显示安全域信息,包括缺省安全域和自定义的安全域信息。

【命令】

display security-zone [ name zone-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

name zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写。若不指定本参数,则显示所有安全域的信息。

【使用指导】

安全域的显示顺序是先显示缺省安全域信息,再按照安全域名称的字母排序显示自定义的安全域信息。

【举例】

# 显示安全域myZone的信息。

<Sysname> display security-zone name myZone

Name: myZone

Members:

  Service path 2 reversed

  GigabitEthernet1/0/1

  GigabitEthernet1/0/2 in VLAN 3

  192.168.1.0 255.255.255.0

  192.168.0.0 255.255.0.0 vpn-instance abc

  1001:1002::0 32

表1-1 display security-zone命令输出信息描述

字段

描述

Name

安全域名称

Members

安全域成员,包括以下几种取值:

·     三层接口名称

·     二层以太网接口名称和所属的VLAN编号

·     公网中的IP子网

·     公网中的IPv6子网

·     VPN中的IP子网

·     VPN中的IPv6子网

·     服务链编号

·     反向标记的服务链编号

·     None,该安全域中没有成员

 

1.1.2  display zone-pair security

display zone-pair security命令用来显示已创建的所有域间实例的信息。

【命令】

display zone-pair security

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示所有安全域间实例的信息。

<Sysname> display zone-pair security

Source zone   Destination zone

DMZ           Local

Trust         Local

表1-2 display zone-pair security命令输出信息描述

字段

描述

Source zone

源安全域名称

Destination zone

目的安全域名称

 

1.1.3  import interface

import interface命令用来向安全域中添加三层接口成员,包括三层以太网接口、三层以太网子接口和其它三层逻辑接口。

undo import interface命令用来从安全域中移除三层接口成员。

【命令】

import interface layer3-interface-type layer3-interface-number

undo import interface layer3-interface-type layer3-interface-number

【缺省情况】

安全域中不存在三层接口成员。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

layer3-interface-type layer3-interface-number:指定添加到安全域的三层接口的接口类型和接口编号。

【使用指导】

缺省的安全域Local中不允许添加任何接口,其它缺省的安全域中允许添加接口。

可以通过多次执行本命令向同一个安全域添加多个三层接口成员。

一个三层接口只允许加入一个安全域。若要修改接口所属安全域时,需要执行以下操作:

(1)     首先在相应安全域中使用undo import interface命令将相应接口从原安全域中删除。

(2)     再使用import interface命令将其加入其它安全域。

【举例】

# 向安全域Trust中添加三层以太网接口GigabitEthernet1/0/1。

<Sysname> system-view

[Sysname] security-zone name trust

[Sysname-security-zone-Trust] import interface gigabitethernet 1/0/1

1.1.4  import interface vlan

import interface vlan命令用来向安全域中添加二层接口和VLAN成员。

undo import interface vlan命令用来从安全域中移除二层接口和VLAN成员。

【命令】

import interface layer2-interface-type layer2-interface-number vlan vlan-list

undo import interface layer2-interface-type layer2-interface-number vlan vlan-list

【缺省情况】

安全域中不存在二层接口和VLAN成员。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

layer2-interface-type layer2-interface-number:指定添加到安全域的二层接口的接口类型和接口编号。

vlan vlan-list:指定接口所属的VLAN列表。VLAN列表表示多个VLAN,表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1vlan-id2为已创建的VLAN编号。&<1-10>表示前面的参数最多可以输入10次。vlan-id2必须大于vlan-id1。VLAN ID的取值范围为1~4094。

【使用指导】

缺省的安全域Local中不允许添加任何接口或者VLAN,其它缺省的安全域中允许添加接口和VLAN。

可以通过多次执行本命令,向安全域中添加多个二层接口和VLAN成员。

一个二层接口和所属的VLAN只允许加入一个安全域。若要修改接口或者VLAN所属安全域时,需要执行以下操作:

(1)     首先在相应安全域中使用undo import interface vlan命令将相应接口或者VLAN从原安全域中删除。

(2)     再使用import interface vlan命令将其加入其它安全域。

【举例】

# 向安全域Untrust中添加二层以太网接口GigabitEthernet1/0/1和对应的VLAN 10。

<Sysname> system-view

[Sysname] security-zone name untrust

[Sysname-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10

1.1.5  import ip

import ip命令用来向安全域中添加IPv4子网成员。

undo import ip命令用来从安全域中删除IPv4子网成员。

【命令】

import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]

undo import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]

【缺省情况】

安全域中不存在IPv4子网成员。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定子网IPv4地址或主机地址。

mask-length:表示子网的掩码长度,即掩码中连续“1”的个数,取值范围为0~32。

mask:表示IPv4子网相应的子网掩码,为点分十进制格式。

vpn-instance vpn-instance-name:指定子网所属的VPN实例。vpn-instance-name表示设备中存在的MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示子网位于公网中。

【使用指导】

缺省的安全域Local中不允许添加任何IPv4子网成员,其它缺省的安全域中允许添加IPv4子网成员。

可以通过多次执行本命令,向安全域中添加多个IPv4子网成员。

完全相同的子网不能添加到不同的安全域中,例如1.1.1.1/24与1.1.1.2/24相同,均对应IPv4子网1.1.1.0/24,不能分别添加到不同安全域。

如果两个子网的网段有包含关系,例如1.1.1.1/24与1.1.2.2/16,后者包含前者,但系统认为是两个不同子网,可以分别配置到同一安全域或者不同安全域。当配置到不同安全域时,报文最终将匹配掩码最长的子网所在的安全域。如IP地址为1.1.1.3的报文会匹配到1.1.1.1/24所在的安全域。

需要注意的是,在使用此种方式添加安全域成员时,为使动态路由协议建立成功,则必须将其使用的组播或广播地址加入安全域。

【举例】

# 添加地址为192.168.1.0、掩码长度为24的IPv4子网到安全域a。

<Sysname> system-view

[Sysname] security-zone name a

[Sysname-security-zone-a] import ip 192.168.1.0 24

# 添加地址为192.168.2.1、掩码为255.255.255.0的IPv4子网到安全域a。

<Sysname> system-view

[Sysname] security-zone name a

[Sysname-security-zone-a] import ip 192.168.2.1 255.255.255.0

# 添加地址为192.168.2.1、掩码为255.255.255.0、VPN实例名为abc的IPv4子网到安全域a。

<Sysname> system-view

[Sysname] security-zone name a

[Sysname-security-zone-a] import ip 192.168.2.1 255.255.255.0 vpn-instance abc

1.1.6  import ipv6

import ipv6命令用来向安全域中添加IPv6子网成员。

undo import ipv6命令用来从安全域中删除IPv6子网成员。

【命令】

import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]

undo import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]

【缺省情况】

安全域中不存在IPv6子网成员。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address:指定子网IPv6地址。

prefix-length:指定IPv6地址的前缀长度,取值范围为1~128。

vpn-instance vpn-instance-name:指定子网所属的VPN实例。vpn-instance-name表示设备中存在的MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示子网位于公网中。

【使用指导】

缺省的安全域Local中不允许添加任何IPv6子网成员,其它缺省的安全域中允许添加IPv6子网成员。

可以通过多次执行本命令,向安全域中添加多个IPv6子网成员。

完全相同的IPv6子网不能添加到不同的安全域中,例如1:1:1::1/32与1:1:1::2/32相同,均对应IPv6子网1:1::0/32,不能分别添加到不同安全域。

如果两个子网的网段有包含关系,例如1:1:1::0/48与1:1:1::0/32,后者包含前者,但系统会认为是两个不同子网,可以分别配置到同一安全域或者不同安全域。当配置到不同安全域时,报文最终将匹配前缀最长的子网所在的安全域。如IP地址为1:1:1::2的报文会匹配到1:1:1::0/48所在的安全域。

【举例】

# 将IPv6子网1001:1002::0/32添加到安全域a。

<Sysname> system-view

[Sysname] security-zone name a

[Sysname-security-zone-a] import ipv6 1001:1002::1 32

# 将VPN实例abc中的IPv6子网1001:1002::0/32添加到安全域a。

<Sysname> system-view

[Sysname] security-zone name a

[Sysname-security-zone-a] import ipv6 1001:1002::1 32 vpn-instance abc

1.1.7  import service-chain path

import service-chain path命令用来向安全域中添加服务链成员。

undo import service-chain path命令用来从安全域中删除服务链成员。

【命令】

import service-chain path path-id [ reversed ]

undo Import service-chain path path-id [ reversed ]

【缺省情况】

安全域中不存在服务链成员。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

path-id:服务链成员的编号,取值范围为1~8388606。

reversed:表示匹配服务链的反向流量。不指定该参数时,表示只匹配服务链的正向流量。

【使用指导】

缺省的安全域Local中不允许添加任何服务链成员,其它缺省的安全域中允许添加服务链成员。

可以通过多次执行本命令向同一个安全域中添加多个不同服务链成员,但同一个服务链成员仅允许加入一个安全域。

配置服务链正向成员后,该服务链的正向报文将由安全域下配置的域间策略来处理。配置服务链反向成员后,该服务链的反向报文将由安全域下配置的域间策略来处理。关于服务链的详细介绍请参见“服务链命令参考”中的“服务链”。

【举例】

# 创建安全域zonetest,并将服务链成员100添加到该安全域。

<Sysname> system

[Sysname] security-zone name zonetest

[Sysname-security-zone-zonetest] import service-chain path 100

【相关命令】

·     service-chain path(服务链命令参考/服务链)

·     display service-chain path(服务链命令参考/服务链)

1.1.8  security-zone

security-zone命令用来创建安全域,并进入安全域视图。如果指定的安全域已经存在,则直接进入安全域视图。

undo security-zone命令用来删除安全域。

【命令】

security-zone name zone-name

undo security-zone name zone-name

【缺省情况】

存在安全域Local、Trust、DMZ、Management和Untrust。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

name zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能是字符串“any”,使用字符“\”和“"”时需要使用转义字符\。

【使用指导】

当首次执行创建安全域或者创建域间策略有关的命令时,系统会自动创建以下缺省安全域:Local、Trust、DMZ、Management和Untrust。

可通过多次执行本命令,创建多个安全域。

删除一个安全域时,以此安全域为源域或目的域的域间实例也会被删除,而且在该域间实例上已经应用的域间策略会被自动解除应用。缺省安全域不能被删除。

【举例】

# 创建安全域zonetest,并进入该安全域视图。

<Sysname> system-view

[Sysname] security-zone name zonetest

[Sysname-security-zone-zonetest]

【相关命令】

·     display security-zone

1.1.9  security-zone intra-zone default permit

security-zone intra-zone default permit命令用来配置同一安全域内接口间报文处理的缺省动作为允许。

undo security-zone intra-zone default permit命令用来恢复缺省情况。

【命令】

security-zone intra-zone default permit

undo security-zone intra-zone default permit

【缺省情况】

同一安全域内报文过滤的缺省动作为拒绝。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

对于同一安全域内接口间的报文,若设备上不存在当前域到当前域的域间策略,设备缺省会将其拒绝,可以通过配置安全域内接口间报文处理的缺省动作为允许来允许其通过。

【举例】

# 配置同一安全域内接口间报文处理的缺省动作为允许。

<Sysname> system-view

[Sysname] security-zone intra-zone default permit

1.1.10  security-zone no-zone default

security-zone no-zone default命令用来配置非安全域接口间报文处理的缺省动作。

undo security-zone no-zone default命令用来恢复缺省情况。

【命令】

security-zone no-zone default { deny | permit }

undo security-zone no-zone default

【缺省情况】

非安全域接口间报文处理的缺省动作与设备的型号有关,请以设备的实际情况为准。

型号

说明

M9000+FW业务板Blade III

拒绝

M9000+FW业务板Blade IV

拒绝

M9000+NAT业务板

拒绝

M9000+ADE业务板

允许

M9000-S+FW业务板

拒绝

 

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

deny:配置非安全域接口间报文处理的缺省动作为拒绝。

permit:配置非安全域接口间报文处理的缺省动作为允许。

【举例】

# 配置非安全域接口间报文处理的缺省动作为允许。

<Sysname> system-view

[Sysname] security-zone no-zone default permit

1.1.11  zone-pair security

zone-pair security命令用来创建安全域间实例,并进入安全域间实例视图。如果指定的安全域实例已经存在,则直接进入安全域实例视图。

undo zone-pair security命令用来删除指定的安全域间实例。

【命令】

zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }

undo zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }

【缺省情况】

不存在安全域间实例。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

source source-zone-name:源安全域的名称,为1~31个字符的字符串,不区分大小写。指定的安全域必须已存在。

destination destination-zone-name:目的安全域的名称,为1~31个字符的字符串,不区分大小写。指定的安全域必须已存在。

any:表示任意安全域。

【使用指导】

安全域间实例用于指定域间策略(如ASPF策略、对象策略等)需要检测的业务流的源安全域和目的安全域,它们分别描述了经过网络设备的业务流的首包要进入的安全域和要离开的安全域。在安全域间实例上应用域间策略可实现对指定业务流进行域间策略检查。

有具体安全域的安全域间实例的匹配优先级高于anyany的安全域间实例。

Management和Local安全域间之间的报文只能匹配Management与Local之间的安全域间实例。

删除安全域间实例后,在域间实例上已经应用的域间策略将不生效,对应的引用关系同时被取消。

【举例】

# 创建源安全域Trust到目的安全域Untrust的安全域间实例。

<Sysname> system-view

[Sysname] zone-pair security source trust destination untrust

[Sysname-zone-pair-security-Trust-Untrust]

【相关命令】

·     display zone-pair security

1.1.12  zone-pair vsip-filter enable

zone-pair vsip-filter enable命令用来在安全域间实例上开启SLB虚服务IP过滤功能。

undo zone-pair vsip-filter enable命令在安全域间实例上关闭SLB虚服务IP过滤功能。

【命令】

zone-pair vsip-filter enable

undo zone-pair vsip-filter enable

【缺省情况】

安全域间LB虚服务IP过滤功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

该功能一般应用在SLB业务的安全域间实例处理流程中。对于通过虚服务IP从外部网络访问内部网络的流量,当该功能处于关闭状态时,设备使用实服务器IP匹配包过滤规则中的目的IP;当该功能处于开启状态时,设备使用虚服务IP匹配包过滤规则中的目的IP。

【举例】

# 应用IPv4高级ACL 3000对源安全域Untrust到目的安全域DMZ的报文进行过滤,允许目的IP为SLB虚服务地址10.10.10.10的报文通过,并开启域间SLB虚服务地址过滤功能。

<Sysname> system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule permit ip source any destination 10.10.10.10 0

[Sysname-acl-ipv4-adv-3000] quit

[Sysname] zone-pair security source untrust destination dmz

[Sysname-zone-pair-security-Untrust-DMZ] packet-filter 3000

[Sysname-zone-pair-security-Untrust-DMZ] quit

[Sysname] zone-pair vsip-filter enable

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们