03-安全命令参考

02-安全策略命令

本章节下载  (319.72 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/M9000_CR(V7)(R9141_R9712)-6W303/03/202012/1367081_30005_0.htm

02-安全策略命令


1 安全策略

1.1  安全策略配置命令

1.1.1  accelerate enhanced enable

accelerate enhanced enable命令用来激活安全策略规则的加速功能。

【命令】

accelerate enhanced enable

【视图】

IPv4安全策略视图

IPv6安全策略视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

安全策略加速功能生效后,使用激活规则的加速功能可以使后续新增或修改规则的加速功能生效。激活规则的加速功能包括如下方式:

·     手动激活:是指新增或修改规则后,手动执行accelerate enhanced enable命令使这些规则立即加速。

·     自动激活:是指设备按照固定时间间隔进行周期性判断是否需要安全策略加速,在一个时间间隔内若安全策略的过滤条件发生变化,则间隔时间到达后会进行安全策略加速,否则,不会进行加速。当每种类型安全策略规则小于等于100条时,此时间间隔为2秒;当每种类型安全策略规则大于100条时,此时间间隔为20秒。这种方式能够避免因忘记手工激活规则而导致新增或修改规则不生效的问题。

安全策略的加速功能默认开启,且不能手动关闭。但是激活安全策略规则加速功能时,内存资源不足会导致安全策略加速失效。

安全策略加速失效后,设备无法对报文进行快速匹配,但是仍然可以进行原始的慢速匹配。

为使新增或修改的规则可以对报文进行匹配,必须激活这些规则的加速功能。

若安全策略规则中指定的IP地址对象组中包含用户或用户组,则此条安全策略规则失效,将无法匹配任何报文。

安全策略规则中引用对象组的内容发生变化后,也需要重新激活该规则的加速功能。

【举例】

# 激活安全策略规则的加速功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] accelerate enhanced enable

1.1.2  action

action命令用来配置安全策略规则的动作。

【命令】

action { drop | pass }

【缺省情况】

安全策略规则动作是丢弃。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

drop:表示丢弃符合条件的报文。

pass:表示允许符合条件的报文通过。

【使用指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置动作为丢弃。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action drop

【相关命令】

·     display security-policy

1.1.3  app-group

app-group命令用来配置作为安全策略规则过滤条件的应用组。

undo app-group命令用来删除作为安全策略规则过滤条件的应用组。

【命令】

app-group app-group-name

undo app-group [ app-group-name ]

【缺省情况】

不存在应用组过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“安全配置指导”中的“APR”。

【使用指导】

多次执行本命令,可配置多个应用组作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] app-group app1

[Sysname-security-policy-ip-0-rule1] app-group app2

【相关命令】

·     app-group(安全命令参考/APR)

·     display security-policy

1.1.4  application

application命令用来配置作为安全策略规则过滤条件的应用。

undo application命令用来删除作为安全策略规则过滤条件的应用。

【命令】

application application-name

undo application [ application-name ]

【缺省情况】

不存在应用过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“安全配置指导”中的“APR”。

【使用指导】

多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。

为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。

在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的应用。

【举例】

# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] application 139Mail

[Sysname-security-policy-ip-0-rule1] application 51job

【相关命令】

·     display security-policy

·     nbar application(安全命令参考/APR)

·     port-mapping(安全命令参考/APR)

1.1.5  counting enable

counting enable命令用来开启安全策略规则匹配统计功能。

undo counting enable命令用来关闭安全策略规则匹配统计功能。

【命令】

counting enable

undo counting enable

【缺省情况】

安全策略规则匹配统计功能处于关闭状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。

【举例】

# 为安全策略规则rule1开启规则匹配统计功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] counting enable

【相关命令】

·     display security-policy

·     display security-policy statistics

1.1.6  description (security-policy rule view)

description命令用来配置安全策略规则的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在安全策略规则的描述信息。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。

【举例】

# 为IPv4安全策略规则0配置描述信息为This rule is used for source-ip ip1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1

【相关命令】

·     display security-policy ip

·     display security-policy ipv6

1.1.7  description (security-policy view)

description命令用来配置安全策略的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

不存在安全策略的描述信息。

【视图】

IPv4安全策略视图

IPv6安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。

【举例】

# 配置安全策略的描述信息为“zone-pair security office to library”。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] description zone-pair security office to library

【相关命令】

·     display security-policy

1.1.8  destination-ip

destination-ip命令用来配置作为安全策略规则过滤条件的目的IP地址。

undo destination-ip命令用来删除作为安全策略规则过滤条件的目的IP地址。

【命令】

destination-ip object-group-name

undo destination-ip [ object-group-name ]

【缺省情况】

不存在目的IP地址过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示目的地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有目的IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。

配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址对象组为client1和client2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip client1

[Sysname-security-policy-ip-0-rule1] destination-ip client2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.9  destination-ip-host

destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv4主机地址。

undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv4主机地址。

【命令】

destination-ip-host ip-address

undo destination-ip-host [ ip-address ]

【缺省情况】

不存在目的IPv4主机地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定主机IPv4地址。

【使用指导】

destination-ip-host命令用来配置单个目的IPv4主机地址过滤条件。

多次执行本命令,可配置多个目的IPv4主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.1的IPv4主机地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-host 192.167.0.1

【相关命令】

·     display security-policy

1.1.10  destination-ip-range

destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv4范围地址。

undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv4范围地址。

【命令】

destination-ip-range ip-address1 ip-address2 }

undo destination-ip-range [ ip-address1 ip-address2 ]

【缺省情况】

不存在目的IPv4范围地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。

【使用指导】

destination-ip-range命令用来配置指定范围的目的IPv4地址过滤条件。

多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

在配置时,需要注意的是:

·     如果指定的ip-address1ip-address2相同,则该配置被视为主机地址对象配置。

·     如果指定的ip-address1ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。

·     如果指定的ip-address1ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.165.0.100到192.165.0.200的IPv4范围地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-range 192.165.0.100 192.165.0.200

【相关命令】

·     display security-policy

1.1.11  destination-ip-subnet

destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv4子网地址。

undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv4子网地址。

【命令】

destination-ip-subnet ip-address { mask-length | mask }

undo destination-ip-subnet [ ip-address { mask-length | mask } ]

【缺省情况】

不存在目的IPv4子网地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。

【使用指导】

destination-ip-subnet命令用来配置指定子网的目的IPv4地址过滤条件。

多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.0,掩码长度为24的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.167.0.0 24

# 配置作为安全策略规则rule1过滤条件的目的地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.166.0.0 255.255.0.0

【相关命令】

·     display security-policy

1.1.12  destination-zone

destination-zone命令用来配置作为安全策略规则过滤条件的目的安全域。

undo destination-zone命令用来删除作为安全策略规则过滤条件的目的安全域。

【命令】

destination-zone destination-zone-name

undo destination-zone [ destination-zone-name ]

【缺省情况】

不存在目的安全域过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。

【使用指导】

多次执行本命令,可配置多个目的安全域作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的目的安全域为Trust和server。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] destination-zone trust

[Sysname-security-policy-ip-0-rule1] destination-zone server

【相关命令】

·     display security-policy

·     security-zone(安全命令参考/安全域)

1.1.13  disable

disable命令用来禁用安全策略规则。

undo disable命令用来启用安全策略规则。

【命令】

disable

undo disable

【缺省情况】

安全策略规则处于启用状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 禁用安全策略规则rule1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] disable

【相关命令】

·     display security-policy

1.1.14  display security-policy

display security-policy命令用来显示安全策略的配置信息。

【命令】

display security-policy { ip | ipv6 }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ip:表示显示IPv4安全策略的配置信息。

ipv6:表示显示IPv6安全策略的配置信息。

【举例】

# 显示IPv4安全策略的配置信息。

<Sysname> display security-policy ip

Security-policy ip

 

 rule 0 name der (Inactive)

  action pass

  profile er

  vrf re

  logging enable

  counting enable

  time-range dere

  track positive 23

  session aging-time 5000

  session persistent aging-time 2400

  source-zone trust

  destination-zone trust

  source-ip erer

  source-ip-host 1.1.1.4

  source-ip-subnet 1.1.1.0 255.255.255.0

  source-ip-range 2.2.1.1 3.3.3.3

  destination-ip client1

  destination-ip-host 5.5.1.2

  destination-ip-subnet 5.5.1.0 255.255.255.0

  destination-ip-range 2.2.1.1 3.3.3.3

  service ftp

  service-port tcp

  service-port tcp source lt 100 destination eq 104

  service-port tcp source eq 100 destination range 104 2000

  service-port udp

  service-port udp source gt 100 destination eq 104

  service-port udp destination eq 100

  service-port icmp 100 122

  service-port icmp

  app-group ere

  application 110Wang

  user der

  user-group ere

表1-1 display security-policy命令显示信息描述表

字段

描述

rule id name rule-name

表示规则的ID和名称

action pass

表示规则动作,其取值如下:

·     pass:表示允许报文通过

·     drop:表示丢弃报文

profile app-profile-name

表示引用的DPI应用profile

vrf vrf-name

表示MPLS L3VPN的VPN实例名称

logging enable

表示开启了对符合规则过滤条件的报文记录日志信息的功能

counting enable

表示开启了安全策略规则匹配统计的功能

time-range time-range-name

表示此规则生效的时间段

track negative 1 (Active)

表示安全策略规则生效状态与Track项的Negative状态关联,且此规则的状态为Active,规则的生效状态取值包括:

·     Active:表示生效状态

·     Inative:表示禁用状态

track positive 1 (Inactive)

表示安全策略规则生效状态与Track项的Positive或NotReady状态关联,且此规则的状态为Active,规则的生效状态取值包括:

·     Active:表示生效状态

·     Inative:表示禁用状态

session aging-time time-value

表示此规则中设置的会话老化时间,单位为秒

session persistent aging-time time-value

表示此规则中设置的长连接会话的老化时间,单位为小时

source-zone zone-name

表示规则配置了源安全域作为过滤条件

destination-zone zone-name

表示规则配置了目的安全域作为过滤条件

source-ip object-group-name

表示规则配置了源IP地址作为过滤条件

source-ip-host ip-address

表示规则配置了源IP主机地址作为过滤条件

source-ip-subnet ip-address

表示规则配置了源IP子网地址作为过滤条件

source-ip-range ip-address1 ip-address2

表示规则配置了源IP范围地址作为过滤条件

destination-ip object-group-name

表示规则配置了目的IP地址作为过滤条件

destination-ip-host ip-address

表示规则配置了目的IP主机地址作为过滤条件

destination-ip-subnet ip-address

表示规则配置了目的IP子网地址作为过滤条件

destination-ip-range ip-address1 ip-address2

表示规则配置了目的IP范围地址作为过滤条件

service object-group-name

表示规则配置了服务作为过滤条件

service-port protocol

表示规则配置了协议的端口号作为过滤条件

app-group app-group-name

表示规则配置了应用组作为过滤条件

application application-name

表示规则配置了应用作为过滤条件

user user-name

表示规则配置了用户作为过滤条件

user-group user-group-name

表示规则配置了用户组作为过滤条件

 

【相关命令】

·     security-policy ip

·     security-policy ipv6

1.1.15  display security-policy statistics

display security-policy statistics命令用来显示安全策略的统计信息。

【命令】

display security-policy statistics { ip | ipv6 } [ rule rule-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ip:表示显示IPv4安全策略的统计信息。

ipv6:表示显示IPv6安全策略的统计信息。

rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示指定IP类型的所有安全策略统计信息。

【举例】

# 显示IPv4安全策略下名称为abc的规则的统计信息。

<Sysname> display security-policy statistics ip rule abc

IPv4 security policy rule: abc

 Action: pass (5 packets, 1000 bytes)

表1-2 display security-policy statistics命令显示信息描述表

字段

描述

IPv4 security policy rule name

IPv4安全策略规则,名称为name

Action

表示安全策略规则动作,其取值包括如下:

·     pass:表示允许报文通过

·     drop:表示丢弃报文

x packets, y bytes

该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enablelogging enable命令时显示,当未匹配任何报文时不显示本字段)

 

【相关命令】

·     reset security-policy statistics

1.1.16  display security-policy switch-result

display security-policy switch-result命令用来显示对象策略转换为安全策略的转换结果。

【命令】

display security-policy switch-result

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【使用指导】

若系统中未执行过security-policy switch-from object-policy命令,则执行此命令时不显示任何信息。执行security-policy switch-from object-policy命令后,无论配置是否转换成功,执行此命令均可以查看到转换结果。

【举例】

# 显示对象策略转换成为安全策略成功的转换结果。

<Sysname> display security-policy switch-result

Time: 2017-03-13 18-11-17

Result: Successful

Object policy file: flash:/chenlu_concon.cfg

Security policy file: flash:/chenlu_concon_secp.cfg

# 显示对象策略转换成为安全策略失败的转换结果。

<Sysname> display security-policy switch-result

Time: 2017-03-13 18-11-15

Result: Failed

Object policy file: flash:/chenlu_convert.cfg

Security policy file: flash:/chenlu_convert_secp.cfg

Failure reason: The switching operation fails because the source or destination security zone is set to any for the zone pair and the action of an object policy rule is set to drop.

表1-3 display security-policy switch result命令显示信息描述表

字段

描述

Time

配置转换的时间,应格式为:年-月-日 时-分-秒

Result

配置转换的结果,取值包括如下:

·     Successful:表示配置转换成功

·     Failed:表示配置转换失败

Object policy file

转换前配置文件的名称

Security policy file

转换后生成的配置文件的名称

Failure reason

转换失败的原因,若配置转换成功,则不显示此项

 

【相关命令】

·     security-policy switch-from object-policy

1.1.17  logging enable

logging enable命令用来开启安全策略规则记录日志的功能。

undo logging enable命令用来关闭安全策略规则记录日志的功能。

【命令】

logging enable

undo logging enable

【缺省情况】

安全策略规则记录日志的功能处于关闭状态。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。

安全策略日志不会输出到控制台和监视终端。当信息中心配置的规则将安全策略日志输出到控制台和监视终端时,若仍需要查看安全策略日志,可通过执行display logbuffer命令或在Web页面中查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 在安全策略规则rule1中开启安全策略规则记录日志的功能。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] logging enable

【相关命令】

·     display security-policy

1.1.18  move rule

move rule命令用来移动安全策略规则。

【命令】

move rule rule-id before insert-rule-id

【视图】

IPv4安全策略视图

IPv6安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:指定待移动安全策略规则的编号,取值范围为0~65534。

insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~65535,其中指定编号为65535时表示移动到所有规则之后。

【使用指导】

如果insert-rule-idrule-id相同或其指定的规则不存在,则不执行任何移动操作。

【举例】

# 在IPv4安全策略上,将安全策略规则5移动到规则2之前。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] move rule 5 before 2

【相关命令】

·     rule

·     security-policy ip

·     security-policy ipv6

1.1.19  profile

profile命令用来在安全策略规则中引用DPI应用profile。

undo profile命令用来删除在安全策略规则中引用的DPI应用profile。

【命令】

profile app-profile-name

undo profile

【缺省情况】

安全策略规则中未引用DPI应用profile。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

app-profile-name:表示DPI应用profile的名称,为1~63个字符的字符串,不区分大小写。有关DPI应用profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

【使用指导】

通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行相关DPI业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关模块。

此命令仅在安全策略规则动作为允许的情况下才生效。

【举例】

# 在IPv4安全策略规则rule1中引用名称为p1的DPI应用profile。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action pass

[Sysname-security-policy-ip-0-rule1] profile p1

【相关命令】

·     action pass

·     app-profile(DPI深度安全命令参考/应用层检测引擎)

·     display security-policy ip

1.1.20  reset security-policy statistics

reset security-policy statistics命令用来清除安全策略的统计信息。

【命令】

reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip:表示清除IPv4安全策略的统计信息。

ipv6:表示清除IPv6安全策略的统计信息。

rule rule-name:表示清除安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。

【使用指导】

若未指定任何参数,则清除所有安全策略的统计信息。

【举例】

# 清除IPv4安全策略下名称为abc的规则的统计信息。

<Sysname> reset security-policy statistics ip rule abc

【相关命令】

·     display security-policy statistics

1.1.21  rule

rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。

undo rule命令用来删除指定的安全策略规则。

【命令】

rule { rule-id | [ rule-id ] name rule-name }

undo rule { rule-id | name rule-name } *

【缺省情况】

不存在安全策略规则。

【视图】

IPv4安全策略视图

IPv6安全策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-id:指定安全策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。

rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。

【举例】

# 为IPv4安全策略创建规则0,并为该规则配置规则名称为rule1。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1]

【相关命令】

·     display security-policy ip

·     display security-policy ipv6

1.1.22  security-policy

security-policy命令用来进入安全策略视图。

undo security-policy命令用来删除安全策略视图下面的所有配置。

【命令】

security-policy { ip | ipv6 }

undo security-policy { ip | ipv6 }

【缺省情况】

安全策略视图下不存在配置。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip:表示IPv4安全策略视图。

ipv6:表示IPv6安全策略视图。

【举例】

# 进入IPv4安全策略视图。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip]

【相关命令】

·     display security-policy

1.1.23  security-policy disable

security-policy disable命令用来关闭安全策略功能。

undo security-policy disable命令用来开启安全策略功能。

【命令】

security-policy disable

undo security-policy disable

【缺省情况】

安全策略功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

只有开启安全策略功能后,配置的安全策略才能生效。

设备启动时,如果配置文件中仅存在对象策略,则设备会自动执行security-policy disable命令关闭安全策略功能;如果配置文件中对象策略和安全策略均不存在或存在安全策略,则设备自动开启安全策略功能。

安全策略功能与对象策略功能在设备上不能同时使用,当安全策略功能处于开启状态时,首次进入安全策略视图后,对象策略功能立即失效。因此在管理员手工逐条将对象策略切换为安全策略时,为避免切换过程中造成业务长期中断,建议管理员在对象策略切换完成后再开启安全策略功能。

配置回滚后,如果需要对象策略生效,配置回滚完成后,则建议用户手工执行security-policy disable命令将安全策略功能关闭。

【举例】

# 关闭安全策略功能

<Sysname> system-view

[Sysname] security-policy disable

1.1.24  security-policy switch-from object-policy

security-policy switch-from object-policy命令用来将对象策略配置转换为安全策略配置。

【命令】

security-policy switch-from object-policy object-filename security-filename

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-filename:表示待转换对象策略配置内容所在配置文件的名称,为1~255个字符的字符串,区分大小写,以.cfg结尾,不能包含“/”字符。此配置文件必须在设备存储介质的根目录下已存在。

security-filename:表示新生成的配置文件的名称,为1~255个字符的字符串,区分大小写,以.cfg结尾,不能包含“/”字符。新生成的配置文件保存在存储设备根目录下。

【使用指导】

此功能可以将指定配置文件中的所有对象策略规则批量转换为对应的安全策略规则,从而实现将对象策略快速切换到为安全策略的目的,为使转换后的安全策略规则生效必须重启设备。

【举例】

# 将配置文件startup.cfg中的对象策略配置转换为安全策略配置。

<Sysname> system-view

[Sysname] security-policy switch-from object-policy startup.cfg startup_secp.cfg

Configuration switching begins...

 

 

Object policies in the specified configuration file have been switched to securi

ty policies.

This command will reboot the device. Continus? [Y/N]:

1.1.25  service

service命令用来配置作为安全策略规则过滤条件的服务。

undo service命令用来删除作为安全策略规则过滤条件的服务。

【命令】

service { object-group-name | any }

undo service [ object-group-name | any ]

【缺省情况】

不存在服务过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。

any:表示将设备中的所有服务作为安全策略规则的过滤条件。

【使用指导】

多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。

配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。

使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service http

[Sysname-security-policy-ip-0-rule1] service ftp

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.26  service-port

service-port命令用来配置作为安全策略规则过滤条件的服务端口。

undo service-port命令用来删除作为安全策略规则过滤条件的服务端口。

【命令】

service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code ]

undo service-port [ protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code ] ]

【缺省情况】

不存在服务端口过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

protocol:协议类型,可选取tcp(6)、udp(17)或icmp(1)。

source:指定源端口。只在protocoltcpudp时有效。

destination:指定目的端口。只在protocoltcpudp时有效。

eq:表示等于。

lt表示小于。

gt表示大于。

port:指定端口号,取值范围为0~65535。

range port1 port2:指定端口号范围。port1表示端口号1,取值范围为0~65535。port2表示端口号2,取值范围为0~65535。

icmp-type:ICMP消息类型,取值范围为0~255,只在protocolicmp时有效。

icmp-code:ICMP消息码,取值范围为0~255。

【使用指导】

本命令与service命令的区别在于本命令仅可匹配服务端口号,而service命令仅可匹配服务对象组。

新创建的服务端口号不能与已有的服务端口号完全相同,否则该命令执行失败。

一条规则下匹配的服务和服务对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

在配置lt参数时,需要注意的是:

·     不能指定port为0。

·     如果指定port为1,则该配置被视为eq 0。

·     如果指定port为2~65535,则实际生效的端口号为[0,port-1]

在配置gt参数时,需要注意的是:

·     不能指定port为65535。

·     如果指定port为65534,该配置被视为eq 65535。

·     如果指定port为0~65533,则实际生效的端口号为[port+1,65535]

在配置range参数时,需要注意的是:

·     如果指定的port1port2相同,则该配置被视为等于指定的端口号。

·     如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000。

·     如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。

·     如果指定的port1port2大,会自动调整范围为[port2,port1]

【举例】

# 配置作为安全策略规则rule1过滤条件的服务为tcp协议的源端口和目的端口的报文。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service-port tcp destination range 100 200 source eq 100

# 配置作为安全策略规则rule1过滤条件的服务为icmp协议的源端口和目的端口的报文。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] service-port icmp 100 150

【相关命令】

·     display security-policy

1.1.27  session aging-time

session aging-time命令用来为安全策略规则配置会话的老化时间。

undo session aging-time命令用来恢复缺省情况。

【命令】

session aging-time time-value

undo session aging-time

【缺省情况】

未配置安全策略规则的会话老化时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。

【使用指导】

此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。

若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间(1小时)进行老化。

若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time applicationsession aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。

【举例】

# 为IPv4安全策略的规则rule1配置会话老化时间为5000秒。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action pass

[Sysname-security-policy-ip-0-rule1] session aging-time 5000

【相关命令】

·     display security-policy

·     session aging-time application(安全命令参考/会话管理)

·     session aging-time state(安全命令参考/会话管理)

·     session persistent acl(安全命令参考/会话管理)

1.1.28  session persistent aging-time

session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。

undo session persistent aging-time命令用来恢复缺省情况。

【命令】

session persistent aging-time time-value

undo session persistent aging-time

【缺省情况】

未配置安全策略规则的长连接会话老化时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。

【使用指导】

此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。

此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。

长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。

【举例】

# 为IPv4安全策略中规则rule1配置长连接会话老化时间为1小时。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] action pass

[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1

【相关命令】

·     display security-policy ip

·     session persistent acl(安全命令参考/会话管理)

1.1.29  source-ip

source-ip命令用来配置作为安全策略规则过滤条件的源IP地址。

undo source-ip命令用来删除作为安全策略规则过滤条件的源IP地址。

【命令】

source-ip object-group-name

undo source-ip [ object-group-name ]

【缺省情况】

不存在源IP地址过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示源地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个源IP地址作为安全策略规则的过滤条件。

配置源IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址对象组为server1和server2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip server1

[Sysname-security-policy-ip-0-rule1] source-ip server2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.30  source-ip-host

source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv4主机地址。

undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv4主机地址。

【命令】

source-ip-host ip-address

undo source-ip-host [ ip-address ]

【缺省情况】

不存在源IPv4主机地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address:指定主机IPv4地址。

【使用指导】

source-ip-host命令用来配置单个源IPv4主机地址过滤条件。

多次执行本命令,可配置多个源IPv4主机地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.1的IPv4主机地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-host 192.167.0.1

【相关命令】

·     display security-policy

1.1.31  source-ip-range

source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv4范围地址。

undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv4范围地址。

【命令】

source-ip-range ip-address1 ip-address2

undo source-ip-range [ ip-address1 ip-address2 ]

【缺省情况】

不存在源IPv4范围地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。

【使用指导】

source-ip-range命令用来配置指定范围的源IPv4地址过滤条件。

多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

配置需要注意的是:

·     如果指定的ip-address1ip-address2相同,则该配置被视为主机地址配置。

·     如果指定的ip-address1ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。

·     如果指定的ip-address1ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.165.0.100到192.165.0.200的IPv4范围地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-range 192.165.0.100 192.165.0.200

【相关命令】

·     display security-policy

1.1.32  source-ip-subnet

source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv4子网地址。

undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv4子网地址。

【命令】

source-ip-subnet ip-address { mask-length | mask }

undo source-ip-subnet [ ip-address { mask-length | mask } ]

【缺省情况】

不存在源IPv4子网地址过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。

【使用指导】

source-ip-subnet命令用来配置指定子网的源IPv4地址过滤条件。

多次执行本命令,可配置多个源IP子网地址作为安全策略规则的过滤条件。

新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。

一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。

【举例】

# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.0,掩码长度为24的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.167.0.0 24

# 配置作为安全策略规则rule1过滤条件的源地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.166.0.0 255.255.0.0

【相关命令】

·     display security-policy

1.1.33  source-mac

source-mac命令用来配置作为安全策略规则过滤条件的源MAC地址。

undo source-mac命令用来删除作为安全策略规则过滤条件的源MAC地址。

【命令】

source-mac object-group-name

undo source-mac [ object-group-name ]

【缺省情况】

安全策略规则中不存在过滤条件。

【视图】

IPv4安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name:表示源MAC地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源MAC地址类型的过滤条件。有关MAC地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。

【使用指导】

多次执行本命令,可配置多个源MAC地址作为安全策略规则的过滤条件。

配置源MAC地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。

【举例】

# 配置作为安全策略规则rule1过滤条件的源MAC地址对象组为mac1和mac2。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-mac mac1

[Sysname-security-policy-ip-0-rule1] source-mac mac2

【相关命令】

·     display security-policy

·     object-group(安全命令参考/对象组)

1.1.34  source-zone

source-zone命令用来配置作为安全策略规则过滤条件的源安全域。

undo source-zone命令用来删除作为安全策略规则过滤条件的源安全域。

【命令】

source-zone source-zone-name

undo source-zone [ source-zone-name ]

【缺省情况】

不存在源安全域过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。

【使用指导】

多次执行本命令,可配置多个源安全域作为安全策略规则的过滤条件。

【举例】

# 配置作为安全策略规则rule1过滤条件的源安全域为Trust和DMZ。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] source-zone trust

[Sysname-security-policy-ip-0-rule1] source-zone dmz

【相关命令】

·     display security-policy

·     security-zone(安全命令参考/安全域)

1.1.35  time-range

time-range命令用来配置安全策略规则生效的时间段。

undo time-range命令用来恢复缺省情况。

【命令】

time-range time-range-name

undo time-range

【缺省情况】

不限制安全策略规则生效的时间。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。有关时间段的详细介绍,请参见“ACL和QoS配置指导”中的“时间段”。

【配置指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置生效时间段为work。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] time-range work

【相关命令】

·     display security-policy

·     time-range(ACL和QoS命令参考/时间段)

1.1.36  track

track命令用来配置安全策略规则与Track项联动。

undo track命令用来取消安全策略规则与Track项联动。

【命令】

track { negative | positive } track-entry-number

undo track

【缺省情况】

安全策略规则未与Track项联动。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

negative:指定安全策略规则与Track项的Negative状态联动。

positive:指定安全策略规则与Track项的Positive状态联动。

track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍,请参见“可靠性配置指导”中的“Track”。

【使用指导】

配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。

配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 为安全策略规则rule1配置规则与Track项的Positive状态联动。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] track positive 10

【相关命令】

·     display security-policy

·     track bfd(可靠性命令参考/Track)

·     track interface(可靠性命令参考/Track)

·     track ip route reachability(可靠性命令参考/Track)

·     track nqa(可靠性命令参考/Track)

1.1.37  user

user命令用来配置作为安全策略规则过滤条件的用户。

undo user命令用来删除作为安全策略规则过滤条件的用户。

【命令】

user username [ domain domain-name ]

undo user [ username [ domain domain-name ] ]

【缺省情况】

不存在用户过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。使用undo命令时若不指定此参数,则表示删除此规则中所有用户类型的过滤条件。有关用户的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。

【使用指导】

多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。

使用undo命令时若不指定用户,则表示删除此规则中所有用户类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户。

有关身份识别用户和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【举例】

# 配置作为安全策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] user usera domain test

[Sysname-security-policy-ip-0-rule1] user userb domain test

【相关命令】

·     display security-policy

·     user-identity enable(安全命令参考/用户身份识别与管理)

·     user-identity static-user(安全命令参考/用户身份识别与管理)

1.1.38  user-group

user-group命令用来配置作为安全策略规则过滤条件的用户组。

undo user-group命令用来删除作为安全策略规则过滤条件的用户组。

【命令】

user-group user-group-name [ domain domain-name ]

undo user-group [ user-group-name [ domain domain-name ] ]

【缺省情况】

不存在用户组过滤条件。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

user-group-name:表示用户组的名称,为1~32个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有用户组类型的过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。

【使用指导】

多次执行本命令,可配置多个用户组作为安全策略规则的过滤条件。

使用undo命令时若不指定用户组,则表示删除此规则中所有用户组类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户组。

有关身份识别用户组和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。

【举例】

# 配置作为安全策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] user-group groupa domain test

[Sysname-security-policy-ip-0-rule1] user-group groupb domain test

【相关命令】

·     display security-policy

·     user-group(安全命令参考/AAA)

1.1.39  vrf

vrf命令用来配置安全策略规则对入接口指定VPN多实例中的报文有效。

undo vrf命令用来恢复缺省情况。

【命令】

vrf vrf-name

undo vrf

【缺省情况】

安全策略规则对公网的报文有效。

【视图】

安全策略规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

vrf-name:表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

【配置指导】

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置安全策略规则rule1对入接口的VPN多实例vpn1中的报文生效。

<Sysname> system-view

[Sysname] security-policy ip

[Sysname-security-policy-ip] rule 0 name rule1

[Sysname-security-policy-ip-0-rule1] vrf vpn1

【相关命令】

·     display security-policy

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们