• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

17-DPI深度安全命令参考

02-URL过滤命令

本章节下载  (316.75 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Command/Command_Manual/H3C_MSG_AC1000_R5447P04-2955/17/202203/1578601_30005_0.htm

02-URL过滤命令


1 URL过滤

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

说明

MSG系列

MSG360-4

MSG360-4-PWR

MSG360-10

MSG360-10S

MSG360-10-PWR

MSG360-10-LTE

MSG360-20

MSG360-40

MSG360-22L-PWR

支持

WX2500H-WiNet系列

WX2510H-PWR-WiNet

WX2560H-WiNet

支持

WX3500H-WiNet系列

WX3508H-WiNet

支持

WAC系列

WAC380-30

WAC380-60

WAC380-90

WAC380-120

WAC381

·     WAC380-30:支持

·     WAC380-60:支持

·     WAC380-90:支持

·     WAC380-120:支持

·     WAC381:不支持

WX2500H-LI系列

WX2540H-LI

WX2560H-LI

支持

WX3500H-LI系列

WX3510H-LI

WX3520H-LI

支持

AC1000系列

AC1016

AC1108

支持

 

1.1  URL过滤配置命令

1.1.1  add

add命令用来向URL过滤策略中添加黑/白名单规则。

undo add命令用来删除URL过滤策略中指定的或所有黑/白名单规则。

【命令】

add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]

undo add { blacklist | whitelist } { id | all }

【缺省情况】

URL过滤策略中不存在黑/白名单规则。

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【参数】

blacklist:表示URL过滤策略的黑名单规则。

whitelist:表示URL过滤策略的白名单规则。

id:表示黑/白名单规则的编号,取值范围为1~65535。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限65535,则选择当前未使用的最小编号作为新的编号。

host:表示匹配URL中的主机名字段。

uri:表示匹配URL中的URI字段。

regex regex:表示使用正则表达式对主机名和URI字段进行模糊匹配。regex是正则表达式,区分大小写,只能以字母、数字和下划线开头,且必须包含连续的3个非通配符。其中,主机名规则的取值范围为3~224个字符的字符串,URI规则的取值范围为3~245个字符的字符串。

text string:表示使用文本对主机名和URI字段进行精确匹配。string是指定的主机名或URI规则字符串,主机名规则的取值范围为3~224个字符的字符串,不区分大小写,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”和点号“.”,但URI无此限制;URI规则的取值范围为3~245个字符的字符串,不区分大小写。

all:表示所有的黑/白名单规则。

【使用指导】

URL过滤黑/白名单规则功能根据应用层的信息进行URL过滤。如果用户HTTP报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。

正则表达式有如下限制:

·     正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。

·     正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。

·     正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。

·     正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。

【举例】

# 在URL过滤策略news中,添加一条黑名单规则,使用字符串games.com对主机名字段进行精确匹配。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] add blacklist 1 host text games.com

# 添加一条白名单规则,并使用字符串sina.com对主机名字段进行精确匹配。

[Sysname-url-filter-policy-news] add whitelist 1 host text sina.com

1.1.2  category action

category action命令用来配置URL过滤分类动作。

undo category action命令用来删除指定的URL过滤分类动作。

【命令】

category category-name action { drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]

undo category category-name

【缺省情况】

不存在URL过滤分类动作。

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【参数】

category-name:指定URL过滤分类名称,包括预定义和自定义的URL过滤分类名称,为1~63个字符的字符串,不区分大小写。

action:表示对匹配上此URL过滤分类中的任何一条规则的报文所采取的动作。

drop:表示丢弃报文。

permit:表示允许报文通过。

redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。

reset:表示通过发送TCP的reset报文从而使TCP连接断开。

logging:表示生成报文日志。

parameter-profile parameter-name:指定URL过滤动作引用的应用层检测引擎动作参数profile。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果URL过滤动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

【使用指导】

URL过滤功能对报文的处理过程如下:

·     如果报文匹配上该URL过滤分类中的任何一条规则,则设备将会根据该URL过滤分类绑定的动作对此报文进行处理。

·     如果报文没有匹配上该URL过滤分类中的任何规则,但是配置了default-action命令,则设备将根据URL过滤策略中配置的缺省动作来对此报文进行处理。

·     如果报文没有匹配上该URL过滤分类中的任何规则,且也没有配置default-action命令,则设备直接允许此报文通过。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在URL过滤策略news中,配置URL过滤分类sina的动作为丢弃。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] category sina action drop

【相关命令】

·     inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     url-filter category

·     url-filter policy

1.1.3  default-action

default-action命令用来配置URL过滤策略的缺省动作。

undo default-action命令用来恢复缺省情况。

【命令】

default-action { drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]

undo default-action

【缺省情况】

未配置URL过滤策略的缺省动作。

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【参数】

drop:表示丢弃报文。

permit:表示允许报文通过。

redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。

reset:表示通过发送TCP的reset报文从而使TCP连接断开。

logging:表示生成报文日志动作。

parameter-profile parameter-name:指定引用的动作参数。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定该参数或指定的参数不存在,则使用动作的缺省参数。这里引用的动作参数是应用层检测引擎中配置的动作参数,有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

【使用指导】

配置此命令后,当报文没有匹配上URL过滤策略中的规则时,设备将根据URL过滤策略的缺省动作对此报文进行处理。

【举例】

# 在名为cmcc的URL过滤策略中,配置缺省动作为丢弃。

<Sysname> system-view

[Sysname] url-filter policy cmcc

[Sysname-url-filter-policy-cmcc] default-action drop

【相关命令】

·     inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)

·     url-filter policy

1.1.4  description

description命令用来配置URL过滤分类的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

自定义的URL过滤分类中未配置描述信息。

【视图】

URL过滤分类视图

【缺省用户角色】

network-admin

【参数】

text:URL过滤分类的描述信息,为1~255个字符的字符串,可以包含空格,不区分大小写。

【使用指导】

通过合理编写描述信息,便于管理员快速理解和识别URL过滤分类的作用,有利于后期维护。

【举例】

# 配置URL过滤分类news的描述信息为News information。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] description News information

1.1.5  display url-filter category

display url-filter category命令用来查看URL过滤分类信息。

【命令】

display url-filter category [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

verbose:显示URL过滤分类的详细信息。如果不指定该参数,则显示URL过滤分类的摘要信息。

【举例】

# 查看URL过滤分类信息。

<Sysname> display url-filter category

URL category summary:

      Predefined categories: 108

           Predefined rules: 2000

    User-defined categories: 0

         User-defined rules: 0

 

URL category details:

           Name: Pre-3C

           Name: Pre-AdultPlace

           Name: Pre-Advertisement

           Name: Pre-Airplanes

           Name: Pre-Alcohol

           Name: Pre-Anime

           Name: Pre-Arts

           Name: Pre-Automobiles

           Name: Pre-Bank

           Name: Pre-BooksDownload

           Name: Pre-Business

           Name: Pre-CharityAndPublicInterest

           Name: Pre-Clothes

           Name: Pre-Community

           Name: Pre-Divining

           Name: Pre-DomainAndIDCServices

---- More ----

# 查看URL过滤分类的详细信息。

<Sysname> display url-filter category verbose

URL category summary:

      Predefined categories: 108

           Predefined rules: 2000

    User-defined categories: 0

         User-defined rules: 0

 

URL category details:

           Name: Pre-3C

           Type: Predefined

       Severity: 23

          Rules: 15

    Description: 3C

 

           Name: Pre-AdultPlace

           Type: Predefined

       Severity: 585

          Rules: 5

    Description: AdultPlace

 

           Name: Pre-Advertisement

           Type: Predefined

       Severity: 500

          Rules: 21

---- More ----

表1-1 display url-filter category命令显示信息描述表

字段

描述

URL category summary

设备中URL过滤分类总数,包括预定义的分类和自定义的分类

Predefined categories

预定义URL过滤分类数目

Predefined rules

预定义URL过滤规则数目

User-defined categories

自定义URL过滤分类数目

User-defined rules

自定义URL过滤规则数目

URL category details

URL过滤分类表项

Name

URL过滤分类名称

Type

URL过滤分类类型,包括如下取值:

·     Predefined:预定义分类

·     User defined:自定义分类

Severity

URL过滤严重级别

Rules

包含URL过滤规则数目

Description

URL过滤分类描述信息

 

1.1.6  display url-filter signature information

display url-filter signature information查看URL过滤特征库信息。

【命令】

display url-filter signature information

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 查看URL过滤特征库信息。

<Sysname> display url-filter signature information

URL filter signature library information:

Type      SigVersion         ReleaseTime               Size

Current   1.0.0              Wed Jan 21 06:43:53 2015  36096

(null)    -                  -                         -

Factory   1.0.0              Wed Jan 21 06:43:53 2015  36096

表1-2 display url-filter signature information命令显示信息描述表

字段

描述

Type

URL过滤特征库版本,包括如下取值:

·     Current:当前版本

·     Last:上一版本

·     Factory:出厂版本

SigVersion

URL过滤特征库版本号

ReleaseTime

URL过滤特征库发布时间

Size

URL过滤特征库文件大小,单位是Bytes

 

1.1.7  display url-filter statistics

display url-filter statistics命令用来查看URL过滤的统计信息。

【命令】

display url-filter statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示URL规则命中统计信息。

<Sysname> display url-filter statistics

Total HTTP requests                           : 0

Total HTTP do logging                         : 0

Total HTTP do logging rate (/s)               : 0

Total permitted HTTP requests                 : 0

Total denied HTTP requests                    : 0

Requests that matched the blacklist           : 0

Requests that matched the whitelist           : 0

Requests that matched a user-defined rule     : 0

Requests that matched a predefined rule       : 0

Requests that matched a cached rule           : 0

Requests that matched the default action      : 0

Predefined URL filtering rules                : 2000

--------------------------------------------------------------

表1-3 display url-filter statistics命令显示信息描述表

字段

描述

Total HTTP requests

HTTP报文总数

Total HTTP do logging

打印日志的HTTP报文总数

Total HTTP do logging rate (/s)

打印日志的HTTP报文的速率

Total permitted HTTP requests

HTTP报文放行个数

Total denied HTTP requests

HTTP报文拒绝个数

Requests that matched the blacklist

黑名单规则命中数

Requests that matched the whitelist

白名单规则命中数

Requests that matched a user-defined rule

自定义规则命中数

Requests that matched a predefined rule

预定义规则命中数

Requests that matched a cached rule

缓存规则命中数

Requests that matched the default action

默认动作命中数

Predefined URL filtering rules

预定义规则数量

 

1.1.8  include pre-defined

include pre-defined命令用来向自定义URL过滤分类中添加预定义URL过滤分类中的规则。

undo include pre-defined命令用来恢复缺省情况。

【命令】

include pre-defined category-name

undo include pre-defined

【缺省情况】

自定义URL过滤分类中不存在预定义URL过滤分类中的规则。

【视图】

URL过滤分类视图

【缺省用户角色】

network-admin

【参数】

category-name:表示预定义URL过滤分类的名称,为1~63个字符的字符串,区分大小写。指定的预定义URL过滤分类必须已存在。

【使用指导】

当新建的URL过滤分类中所需的规则与已存在的预定义URL过滤分类中的规则比较相似时,可通过此命令灵活、快速的创建URL过滤分类。

一个自定义URL过滤分类下只能添加一个预定义URL过滤分类。多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名称为news的URL过滤分类中加预定义URL过滤分类pre-Arts中的规则。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] include pre-defined pre-Arts

1.1.9  rename (URL filtering category view)

rename命令用来重命名URL过滤分类,并进入新的URL过滤分类视图。

【命令】

rename new-name

【视图】

URL过滤分类视图

【缺省用户角色】

network-admin

【参数】

new-name:表示新的URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。

【使用指导】

原有URL过滤分类的名称被修改后,URL过滤策略中引用的同名URL过滤分类的名称也会被同步修改。

【举例】

# 把名称为news的URL过滤分类重命名为hello,并进入新的URL过滤分类视图。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] rename hello

[Sysname-url-filter-category-hello]

1.1.10  rename (URL filtering policy view)

rename命令用来重命名URL过滤策略,并进入新的URL过滤策略视图。

【命令】

rename new-name

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

【参数】

new-name:表示新的URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

原有URL过滤策略的名称被修改后,DPI应用profile中引用的同名URL过滤策略的名称也会被同步修改。

【举例】

# 把名称为news的URL过滤策略重命名为hello,并进入新的URL过滤策略视图。

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news] rename hello

[Sysname-url-filter-policy-hello]

1.1.11  reset url-filter statistics

reset url-filter statistics命令用来清除URL过滤的统计信息。

【命令】

reset url-filter statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除URL过滤的统计信息。

<Sysname> reset url-filter statistics

【相关命令】

·     display url-filter statistics

1.1.12  rule

rule命令用来在自定义URL过滤分类中创建URL过滤规则。

undo rule命令用来在自定义URL过滤分类中删除指定的URL过滤规则。

【命令】

rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]

undo rule rule-id

【缺省情况】

自定义URL过滤分类中不存在URL过滤规则。

【视图】

URL过滤分类视图

【缺省用户角色】

network-admin

【参数】

rule-id:指定URL过滤规则编号,取值范围为1~65535。

host:表示URL过滤规则匹配URL中的主机名字段。

uri:表示URL过滤规则匹配URL中的URI字段。

regex regex:表示URL过滤规则使用正则表达式对主机名和URI字段进行模糊匹配。regex表示正则表达式,区分大小写,只能以字母、数字和下划线开头,且必须包含连续的3个非通配符。其中,主机名正则表达式的取值范围为3~224个字符的字符串;URI正则表达式的取值范围为3~253个字符的字符串。

text string:表示URL过滤规则使用文本对主机名和URI字段进行精确匹配。string表示主机名或URI规则字符串,主机名规则的取值范围为3~224个字符的字符串,不区分大小写,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”和点号“.”,但URI无此限制;URI规则的取值范围为3~255个字符的字符串,不区分大小写。

【使用指导】

URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,URL过滤规则支持两种匹配方式:

·     文本匹配:使用指定的字符串对主机名和URI字段进行精确匹配。

¡     匹配主机名字段时,URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功。例如,规则中配置主机名字符串为abc.com.cn,则主机名为abc.com.cn的URL会匹配成功,而主机名为dfabc.com.cn的URL将与该规则匹配失败。

¡     匹配URI字段时,从URL中URI字段的首字符开始,只要URI字段中连续若干个字符与规则中指定的URI字符串完全一致,就算匹配成功。例如,规则中配置URI字符串为/sina/news,则URI为/sina/news、/sina/news/sports或/sina/news_sports的URL会匹配成功,而URI为/sina的URL将与该规则匹配失败。

·     正则表达式匹配:使用正则表达式对主机名和URI字段进行模糊匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。

正则表达式有如下限制:

·     正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。

·     正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。

·     正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。

·     正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。

【举例】

# 在URL过滤分类news中添加一条URL过滤规则,并使用字符串sina.com对主机名字段进行精确匹配。

<Sysname> system-view

[Sysname] url-filter category news

[Sysname-url-filter-category-news] rule 10 host text sina.com

【相关命令】

·     url-filter category

1.1.13  update schedule

update schedule命令用来配置定期自动在线升级URL过滤特征库的时间。

undo update schedule命令用来恢复缺省情况。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情况】

设备在每天01:00:00至03:00:00之间自动在线升级URL过滤特征库。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

【参数】

daily:表示自动升级周期为每天。

weekly:表示以一周为周期,在指定的一天进行自动升级。

fri:表示星期五。

mon:表示星期一。

sat:表示星期六。

sun:表示星期日。

thu:表示星期四。

tue:表示星期二。

wed:表示星期三。

start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00~23:59:59。

tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。

【举例】

# 配置URL过滤特征库的定期自动在线升级时间为每周日20:30:00,抖动时间为10分钟。

<Sysname> system-view

[Sysname] url-filter signature auto-update

[Sysname-url-filter-autoupdate] update schedule weekly sun start-time 20:30:00 tingle 10

【相关命令】

·     url-filter signatures auto-update

1.1.14  url-filter apply policy

url-filter apply policy命令用来在DPI应用profile中引用指定的URL过滤策略。

undo url-filter apply policy命令用来删除引用的URL过滤策略。

【命令】

url-filter apply policy policy-name

undo url-filter apply policy

【缺省情况】

DPI应用profile中未引用URL过滤策略。

【视图】

DPI应用profile视图

【缺省用户角色】

network-admin

【参数】

policy-name:URL过滤策略名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

URL过滤策略仅在被DPI应用profile引用后生效。一个DPI应用profile下只能引用一个URL过滤策略。多次执行本命令,最后一次执行的命令生效。

【举例】

# 在名为abc的DPI应用profile下引用URL过滤策略news。

<Sysname> system-view

[Sysname] app-profile abc

[Sysname-app-profile-abc]url-filter apply policy news

【相关命令】

·     app-profile(DPI深度安全命令参考/应用层检测引擎)

·     display app-profile

·     display url-filter policy

1.1.15  url-filter category

url-filter category命令用来创建URL过滤分类,并进入URL过滤分类视图。如果指定的URL过滤分类已经存在,则直接进入该URL过滤分类视图。

undo url-filter category命令用来删除指定的URL过滤分类。

【命令】

url-filter category category-name [ severity severity-level ]

undo url-filter category category-name

【缺省情况】

只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

category-name:表示URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。不能以字符”Pre-“开头,因为Pre-是预定义的URL过滤分类名称。

severity severity-value:表示URL过滤分类的严重级别属性。severity-value为严重级别,取值范围为1000~65535,创建URL过滤分类时必须配置此参数,数值越大表示严重级别越高,且不同的URL过滤分类的严重级别不能相同。

【使用指导】

为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。

URL过滤分类包括两种类型:

·     预定义分类:根据设备中的URL过滤特征库自动生成,其内容和严重级别不可被修改。

·     自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。

当报文匹配成功的URL过滤规则同属于多个URL过滤分类时,设备将根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。

【举例】

# 创建一个名为news的URL过滤分类,指定其严重级别为2000。

<Sysname> system-view

[Sysname] url-filter category news severity 2000

[Sysname-url-filter-category-news]

【相关命令】

·     display url-filter category

1.1.16  url-filter copy category

url-filter copy category命令用来复制URL过滤分类。

【命令】

url-filter copy category old-name new-name severity severity-level

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

old-name:原有分类名称。必须为已创建的自定义分类。

new-name:新分类名称,为1~63个字符的字符串,不区分大小写。不能以字符“Pre-”开头,因为Pre-是预定义的URL过滤分类名称。

severity severity-level:表示URL过滤分类的严重级别。severity-level为严重级别,取值范围为1000~65535。数值越大表示严重级别越高,且不同的分类严重级别不能相同,如果相同,则复制失败。

【使用指导】

本命令用来复制已存在的URL过滤分类,可以方便用户快速创建新的URL过滤分类。

目前,仅支持复制自定义URL过滤分类。

【举例】

# 通过复制名称为news的URL过滤分类来创建一个名为test的URL过滤分类。

<Sysname> system-view

[Sysname] url-filter copy category news test severity 1001

[Sysname-url-filter-category-test]

【相关命令】

·     url-filter category

1.1.17  url-filter copy policy

url-filter copy policy命令用来复制URL过滤策略。

【命令】

url-filter copy policy old-name new-name

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

old-name:原有策略名称。为1~31个字符的字符串,不区分大小写。

new-name:新策略名称。为1~31个字符的字符串,不区分大小写。

【使用指导】

本命令用来复制已存在的URL过滤策略,可以方便用户快速创建新的URL过滤策略。

【举例】

# 通过复制名称为news的URL过滤策略来创建2个新的URL过滤策略。

<Sysname> system-view

[Sysname] url-filter copy policy news news1

[Sysname-url-filter-policy-news_1] quit

[Sysname] url-filter copy policy news new2

[Sysname-url-filter-policy-news_2] quit

【相关命令】

·     url-filter policy

1.1.18  url-filter log directory root

url-filter log directory root命令用来配置URL过滤仅对网站根目录下资源的访问进行日志记录。

undo url-filter log directory root命令用来恢复缺省情况。

【命令】

url-filter log directory root

undo url-filter log directory root

【缺省情况】

URL过滤对网站所有路径下资源的访问均进行日志记录。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

配置此命令后,url-filter log except pre-definedurl-filter log except user-defined命令将失效。

【举例】

# 配置URL过滤仅对网站根目录下资源的访问进行日志记录。

<Sysname> system-view

[Sysname] url-filter log directory root

【相关命令】

·     category action logging

·     default-action logging

·     url-filter log except pre-defined

·     url-filter log except user-defined

1.1.19  url-filter log enable

url-filter log enable命令用来开启应用层检测引擎日志信息功能。

undo url-filter log enable命令用来关闭应用层检测引擎日志信息功能。

【命令】

url-filter log enable

undo url-filter log enable

【缺省情况】

应用层检测引擎日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。

【举例】

# 开启应用层检测引擎日志信息功能。

<Sysname> system-view

[Sysname] url-filter log enable

1.1.20  url-filter log except pre-defined

url-filter log except pre-defined命令用来配置URL过滤对预定义类型网页资源的访问不进行日志记录。

undo url-filter log except pre-defined命令用来配置URL过滤对预定义类型网页资源的访问进行日志记录。

【命令】

url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }

undo url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }

【缺省情况】

URL过滤对所有预定义类型网页资源的访问不进行日志记录。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

css:表示网页资源类型为css。

gif:表示网页资源类型为gif。

ico:表示网页资源类型为ico。

jpg:表示网页资源类型为jpg。

js:表示网页资源类型为js。

png:表示网页资源类型为png。

swf:表示网页资源类型为swf。

xml:表示网页资源类型为xml。

【使用指导】

此命令生效的优先级低于url-filter log directory root命令,如果已经配置url-filter log directory root命令,则本配置不能生效。因此,如果要本配置生效,则需要执行undo url-filter log directory root命令。

可多次执行此命令,指定多种不记录访问日志的预定义网页资源类型。

【举例】

# 配置URL过滤对预定义css类型网页资源的访问不进行日志记录。

<Sysname> system-view

[Sysname] url-filter log except pre-defined css

【相关命令】

·     category action logging

·     default-action logging

·     url-filter log directory root

·     url-filter log except user-defined

1.1.21  url-filter log except user-defined

url-filter log except user-defined命令用来配置URL过滤对自定义类型网页资源的访问不进行日志记录。

undo url-filter log except user-defined命令用来配置URL过滤对自定义类型网页资源的访问进行日志记录。

【命令】

url-filter log except user-defined text

undo url-filter log except user-defined [ text ]

【缺省情况】

未配置自定义类型网页资源,URL过滤对除预定义类型之外的所有网页资源的访问均进行日志记录。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

text:表示自定义网页资源类型,取值范围为1~63个字符的字符串,不区分大小写。

【使用指导】

此命令生效的优先级低于url-filter log directory root命令,如果已经配置url-filter log directory root命令,则本配置不能生效。因此,如果要本配置生效,则需要执行undo url-filter log directory root命令。

可多次执行此命令,指定多种不记录访问日志的自定义网页资源类型。

执行undo url-filter log except user-defined命令时,若未指定任何参数,则表示URL过滤对所有自定义类型网页资源的访问均进行日志记录。

【举例】

# 配置URL过滤对自定义html类型网页资源的访问不进行日志记录。

<Sysname> system-view

[Sysname] url-filter log except user-defined html

【相关命令】

·     category action logging

·     default-action logging

·     url-filter log directory root

·     url-filter log except pre-defined

1.1.22  url-filter policy

url-filter policy命令用来创建URL过滤策略,并进入URL过滤策略视图。如果指定的URL过滤策略已经存在,则直接进入URL过滤策略视图。

undo url-filter policy命令用来删除指定的URL过滤策略。

【命令】

url-filter policy policy-name

undo url-filter policy policy-name

【缺省情况】

不存在URL过滤策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name:表示URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

一个URL过滤策略中可以为每个URL过滤分类配置动作,也可以在URL过滤策略中定义URL过滤策略的缺省动作。

URL过滤策略仅在被DPI应用profile中引用后生效。有关DPI应用profile的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。

在开启DRS功能后,即配置wlan drs enable命令的情况下,URL过滤策略的名称不能为drs,否则设备重启后会出现配置变更等问题。有关DRS功能的详细介绍请参见“WLAN命令参考”中的“WLAN DRS”。

【举例】

# 创建一个名为news的URL过滤策略

<Sysname> system-view

[Sysname] url-filter policy news

[Sysname-url-filter-policy-news]

1.1.23  url-filter signature auto-update

url-filter signature auto-update命令用来开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。

undo url-filter signature auto-update命令用来关闭定期自动在线升级URL过滤特征库功能。

【命令】

url-filter signature auto-update

undo url-filter signature auto-update

【缺省情况】

定期自动在线升级URL过滤特征库功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。

【举例】

# 开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。

<Sysname> system-view

[Sysname] url-filter signature auto-update

[Sysname-url-filter-autoupdate]

【相关命令】

·     update schedule

1.1.24  url-filter signature auto-update-now

url-filter signature auto-update-now命令用来立即自动在线升级URL过滤特征库。

【命令】

url-filter signature auto-update-now

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

当管理员发现官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。

【举例】

# 立即自动在线升级URL过滤特征库版本。

<Sysname> system-view

[Sysname] url-filter signature auto-update-now

1.1.25  url-filter signature rollback

url-filter signature rollback命令用来回滚URL过滤特征库版本。

【命令】

url-filter signature rollback { factory | last }

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

factory:表示URL过滤特征库的出厂版本。

last:表示URL过滤特征库的上一版本。

【使用指导】

URL过滤特征库回滚是指将当前的URL过滤特征库版本回滚到指定的URL过滤特征库版本。如果管理员发现设备对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以对当前URL过滤特征库版本进行回滚。目前支持将设备中的URL过滤特征库版本回滚到出厂版本和上一版本。

URL过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL过滤特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。

【举例】

# 配置URL过滤特征库回滚到上一版本。

<Sysname> system-view

[Sysname] url-filter signature rollback last

1.1.26  url-filter signature update

url-filter signature update命令用来手动离线升级URL过滤特征库。

【命令】

url-filter signature update file-path

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

file-path:指定特征库文件的路径,为1~255个字符的字符串。

【使用指导】

如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL过滤特征库版本。

·     本地升级:使用本地保存的特征库文件升级系统上的URL过滤特征库版本。

·     FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的URL过滤特征库版本。

使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前主用设备上,否则设备升级特征库会失败。(IRF模式)

参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-4;FTP/TFTP升级时参数file-path取值请参见表1-5

表1-4 本地升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件的存储位置与当前工作路径一致

filename

可以执行pwd命令查看当前工作路径

有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上

filename

需要先执行cd命令将工作路径切换至特征库文件所在目录下

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

特征库文件的存储位置与当前工作路径不在相同存储介质上

path/ filename

需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径

有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

 

表1-5 FTP/TFTP升级时参数file-path取值说明表

升级场景

参数file-path取值

说明

特征库文件存储在开启FTP服务的远程服务器上

ftp://username:password@server/filename

username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名

当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”

特征库文件存储在开启TFTP服务的远程服务器上

tftp://server/filename

server为TFTP服务器的IP地址或主机名

 

说明

当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。

 

【举例】

# 配置手动离线升级URL过滤特征库,且采用TFTP方式,URL过滤特征库文件的远程路径为tftp://192.168.0.10/url-filter-1.0.2-en.dat。

<Sysname> system-view

[Sysname] url-filter signature update tftp://192.168.0.10/url-filter-1.0.2-en.dat

# 配置手动离线升级URL过滤特征库,且采用FTP方式,URL过滤特征库文件的远程路径为ftp://192.168.0.10/url-filter-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。

<Sysname> system-view

[Sysname] url-filter signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/url-filter-1.0.2-en.dat

# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> system-view

[Sysname] url-filter signature update url-filter-1.0.23-en.dat

# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/dpi/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。

<Sysname> cd dpi

<Sysname> system-view

[Sysname] url-filter signature update url-filter-1.0.23-en.dat

# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfb0:/dpi/url-filter-1.0.23-en.dat,当前工作路径为cfa0:。

<Sysname> cd cfb0:/

<Sysname> system-view

[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们