13-安全策略命令
本章节下载: 13-安全策略命令 (337.10 KB)
目 录
1.1.1 accelerate enhanced enable
1.1.6 description (security-policy rule view)
1.1.7 description (security-policy view)
1.1.14 display security-policy
1.1.15 display security-policy statistics
1.1.18 reset security-policy statistics
1.1.21 security-policy disable
accelerate enhanced enable命令用来激活安全策略规则的加速功能。
【命令】
accelerate enhanced enable
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
安全策略加速功能生效后,使用激活规则的加速功能可以使后续新增或修改规则的加速功能生效。激活规则的加速功能包括如下方式:
· 手动激活:是指新增或修改规则后,手动执行accelerate enhanced enable命令使这些规则立即加速。
· 自动激活:是指设备按照固定时间间隔进行周期性判断是否需要安全策略加速,在一个时间间隔内若安全策略的过滤条件发生变化,则间隔时间到达后会进行安全策略加速,否则,不会进行加速。当每种类型安全策略规则小于等于100条时,此时间间隔为2秒;当每种类型安全策略规则大于100条时,此时间间隔为20秒。这种方式能够避免因忘记手工激活规则而导致新增或修改规则不生效的问题。
安全策略的加速功能默认开启,且不能手动关闭。但是激活安全策略规则加速功能时,内存资源不足会导致安全策略加速失效。
安全策略加速失效后,设备无法对报文进行快速匹配,但是仍然可以进行原始的慢速匹配。
为使新增或修改的规则可以对报文进行匹配,必须激活这些规则的加速功能。
若安全策略规则中指定的IP地址对象组中包含用户或用户组,则此条安全策略规则失效,将无法匹配任何报文。
安全策略规则中引用对象组的内容发生变化后,也需要重新激活该规则的加速功能。
【举例】
# 激活安全策略规则的加速功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] accelerate enhanced enable
action命令用来配置安全策略规则的动作。
【命令】
action { drop | pass }
【缺省情况】
安全策略规则动作是丢弃。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置动作为丢弃。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action drop
【相关命令】
· display security-policy
app-group命令用来配置作为安全策略规则过滤条件的应用组。
undo app-group命令用来删除作为安全策略规则过滤条件的应用组。
【命令】
app-group app-group-name
undo app-group [ app-group-name ]
【缺省情况】
不存在应用组过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用组作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] app-group app1
[Sysname-security-policy-ip-0-rule1] app-group app2
【相关命令】
· app-group(安全命令参考/APR)
· display security-policy
application命令用来配置作为安全策略规则过滤条件的应用。
undo application命令用来删除作为安全策略规则过滤条件的应用。
【命令】
application application-name
undo application [ application-name ]
【缺省情况】
不存在应用过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo命令时若不指定此参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。
为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。
在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的应用。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] application 139Mail
[Sysname-security-policy-ip-0-rule1] application 51job
【相关命令】
· display security-policy
· nbar application(安全命令参考/APR)
· port-mapping(安全命令参考/APR)
counting enable命令用来开启安全策略规则匹配统计功能。
undo counting enable命令用来关闭安全策略规则匹配统计功能。
【命令】
counting enable
undo counting enable
【缺省情况】
安全策略规则匹配统计功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
【举例】
# 为安全策略规则rule1开启规则匹配统计功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] counting enable
【相关命令】
· display security-policy
· display security-policy statistics
description命令用来配置安全策略规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略规则的描述信息。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 为IPv4安全策略规则0配置描述信息为This rule is used for source-ip ip1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1
【相关命令】
· display security-policy ip
· display security-policy ipv6
description命令用来配置安全策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略的描述信息。
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置安全策略的描述信息为“zone-pair security office to library”。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] description zone-pair security office to library
【相关命令】
· display security-policy
destination-ip命令用来配置作为安全策略规则过滤条件的目的IP地址。
undo destination-ip命令用来删除作为安全策略规则过滤条件的目的IP地址。
【命令】
destination-ip object-group-name
undo destination-ip [ object-group-name ]
【缺省情况】
不存在目的IP地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示目的地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有目的IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址对象组为client1和client2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip client1
[Sysname-security-policy-ip-0-rule1] destination-ip client2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv4主机地址。
undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv4主机地址。
【命令】
destination-ip-host ip-address
undo destination-ip-host [ ip-address ]
【缺省情况】
不存在目的IPv4主机地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:指定主机IPv4地址。
【使用指导】
destination-ip-host命令用来配置单个目的IPv4主机地址过滤条件。
多次执行本命令,可配置多个目的IPv4主机地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.1的IPv4主机地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-host 192.167.0.1
【相关命令】
· display security-policy
destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv4范围地址。
undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv4范围地址。
【命令】
destination-ip-range ip-address1 ip-address2 }
undo destination-ip-range [ ip-address1 ip-address2 ]
【缺省情况】
不存在目的IPv4范围地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。
【使用指导】
destination-ip-range命令用来配置指定范围的目的IPv4地址过滤条件。
多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
在配置时,需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。
· 如果指定的ip-address1比ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.165.0.100到192.165.0.200的IPv4范围地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-range 192.165.0.100 192.165.0.200
【相关命令】
· display security-policy
destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv4子网地址。
undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv4子网地址。
【命令】
destination-ip-subnet ip-address { mask-length | mask }
undo destination-ip-subnet [ ip-address { mask-length | mask } ]
【缺省情况】
不存在目的IPv4子网地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。
【使用指导】
destination-ip-subnet命令用来配置指定子网的目的IPv4地址过滤条件。
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址、目的范围地址和目的对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.0,掩码长度为24的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.167.0.0 24
# 配置作为安全策略规则rule1过滤条件的目的地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.166.0.0 255.255.0.0
【相关命令】
· display security-policy
destination-zone命令用来配置作为安全策略规则过滤条件的目的安全域。
undo destination-zone命令用来删除作为安全策略规则过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情况】
不存在目的安全域过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
多次执行本命令,可配置多个目的安全域作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的安全域为Trust和server。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-zone trust
[Sysname-security-policy-ip-0-rule1] destination-zone server
【相关命令】
· display security-policy
· security-zone(安全命令参考/安全域)
disable命令用来禁用安全策略规则。
undo disable命令用来启用安全策略规则。
【命令】
disable
undo disable
【缺省情况】
安全策略规则处于启用状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 禁用安全策略规则rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] disable
【相关命令】
· display security-policy
display security-policy命令用来显示安全策略的配置信息。
【命令】
display security-policy { ip | ipv6 }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:表示显示IPv4安全策略的配置信息。
ipv6:表示显示IPv6安全策略的配置信息。
【举例】
# 显示IPv4安全策略的配置信息。
<Sysname> display security-policy ip
Security-policy ip
rule 0 name der (Inactive)
action pass
profile er
vrf re
logging enable
counting enable
time-range dere
track positive 23
session aging-time 5000
session persistent aging-time 2400
source-zone trust
destination-zone trust
source-ip erer
source-ip-host 1.1.1.4
source-ip-subnet 1.1.1.0 255.255.255.0
source-ip-range 2.2.1.1 3.3.3.3
destination-ip client1
destination-ip-host 5.5.1.2
destination-ip-subnet 5.5.1.0 255.255.255.0
destination-ip-range 2.2.1.1 3.3.3.3
service ftp
service-port tcp
service-port tcp source lt 100 destination eq 104
service-port tcp source eq 100 destination range 104 2000
service-port udp
service-port udp source gt 100 destination eq 104
service-port udp destination eq 100
service-port icmp 100 122
service-port icmp
app-group ere
application 110Wang
user der
user-group ere
表1-1 display security-policy命令显示信息描述表
rule id name rule-name |
表示规则的ID和名称 |
action pass |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
vrf vrf-name |
表示MPLS L3VPN的VPN实例名称 |
logging enable |
表示开启了对符合规则过滤条件的报文记录日志信息的功能 |
counting enable |
表示开启了安全策略规则匹配统计的功能 |
time-range time-range-name |
表示此规则生效的时间段 |
track negative 1 (Active) |
表示安全策略规则生效状态与Track项的Negative状态关联,且此规则的状态为Active,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
track positive 1 (Inactive) |
表示安全策略规则生效状态与Track项的Positive或NotReady状态关联,且此规则的状态为Active,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
session aging-time time-value |
表示此规则中设置的会话老化时间,单位为秒 |
session persistent aging-time time-value |
表示此规则中设置的长连接会话的老化时间,单位为小时 |
source-zone zone-name |
表示规则配置了源安全域作为过滤条件 |
destination-zone zone-name |
表示规则配置了目的安全域作为过滤条件 |
source-ip object-group-name |
表示规则配置了源IP地址作为过滤条件 |
source-ip-host ip-address |
表示规则配置了源IP主机地址作为过滤条件 |
source-ip-subnet ip-address |
表示规则配置了源IP子网地址作为过滤条件 |
source-ip-range ip-address1 ip-address2 |
表示规则配置了源IP范围地址作为过滤条件 |
destination-ip object-group-name |
表示规则配置了目的IP地址作为过滤条件 |
destination-ip-host ip-address |
表示规则配置了目的IP主机地址作为过滤条件 |
destination-ip-subnet ip-address |
表示规则配置了目的IP子网地址作为过滤条件 |
destination-ip-range ip-address1 ip-address2 |
表示规则配置了目的IP范围地址作为过滤条件 |
service object-group-name |
表示规则配置了服务作为过滤条件 |
service-port protocol |
表示规则配置了协议的端口号作为过滤条件 |
app-group app-group-name |
表示规则配置了应用组作为过滤条件 |
application application-name |
表示规则配置了应用作为过滤条件 |
user user-name |
表示规则配置了用户作为过滤条件 |
user-group user-group-name |
表示规则配置了用户组作为过滤条件 |
【相关命令】
· security-policy ip
· security-policy ipv6
display security-policy statistics命令用来显示安全策略的统计信息。
【命令】
display security-policy statistics { ip | ipv6 } [ rule rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip:表示显示IPv4安全策略的统计信息。
ipv6:表示显示IPv6安全策略的统计信息。
rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示指定IP类型的所有安全策略统计信息。
【举例】
# 显示IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> display security-policy statistics ip rule abc
IPv4 security policy rule: abc
Action: pass (5 packets, 1000 bytes)
表1-2 display security-policy statistics命令显示信息描述表
字段 |
描述 |
IPv4 security policy rule name |
IPv4安全策略规则,名称为name |
Action |
表示安全策略规则动作,其取值包括如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
x packets, y bytes |
该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enable或logging enable命令时显示,当未匹配任何报文时不显示本字段) |
【相关命令】
· reset security-policy statistics
logging enable命令用来开启安全策略规则记录日志的功能。
undo logging enable命令用来关闭安全策略规则记录日志的功能。
【命令】
logging enable
undo logging enable
【缺省情况】
安全策略规则记录日志的功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。
安全策略日志不会输出到控制台和监视终端。当信息中心配置的规则将安全策略日志输出到控制台和监视终端时,若仍需要查看安全策略日志,可通过执行display logbuffer命令或在Web页面中查看。有关信息中心和display logbuffer命令的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 在安全策略规则rule1中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] logging enable
【相关命令】
· display security-policy
move rule命令用来移动安全策略规则。
【命令】
move rule rule-id before insert-rule-id
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:指定待移动安全策略规则的编号,取值范围为0~65534。
insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~65535,其中指定编号为65535时表示移动到所有规则之后。
【使用指导】
如果insert-rule-id与rule-id相同或其指定的规则不存在,则不执行任何移动操作。
【举例】
# 在IPv4安全策略上,将安全策略规则5移动到规则2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule 5 before 2
【相关命令】
· rule
· security-policy ip
· security-policy ipv6
reset security-policy statistics命令用来清除安全策略的统计信息。
【命令】
reset security-policy statistics [ ip | ipv6 ] [ rule rule-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip:表示清除IPv4安全策略的统计信息。
ipv6:表示清除IPv6安全策略的统计信息。
rule rule-name:表示清除安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
若未指定任何参数,则清除所有安全策略的统计信息。
【举例】
# 清除IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> reset security-policy statistics ip rule abc
【相关命令】
· display security-policy statistics
rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。
undo rule命令用来删除指定的安全策略规则。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name } *
【缺省情况】
不存在安全策略规则。
【视图】
IPv4安全策略视图
IPv6安全策略视图
【缺省用户角色】
context-admin
【参数】
rule-id:指定安全策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。
【举例】
# 为IPv4安全策略创建规则0,并为该规则配置规则名称为rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1]
【相关命令】
· display security-policy ipv6
security-policy命令用来进入安全策略视图。
undo security-policy命令用来删除安全策略视图下面的所有配置。
【命令】
security-policy { ip | ipv6 }
undo security-policy { ip | ipv6 }
【缺省情况】
安全策略视图下不存在配置。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip:表示IPv4安全策略视图。
ipv6:表示IPv6安全策略视图。
【使用指导】
· undo security-policy { ip | ipv6 }命令会直接删除所有安全策略配置,可能导致网络中断。
· 安全策略功能与对象策略功能在设备上不能同时使用,当对象策略处于生效状态时,进入安全策略视图,对象策略功能会立即失效,可能导致网络中断。
【举例】
# 进入IPv4安全策略视图。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip]
【相关命令】
· display security-policy
security-policy disable命令用来关闭安全策略功能。
undo security-policy disable命令用来开启安全策略功能。
【命令】
security-policy disable
undo security-policy disable
【缺省情况】
安全策略功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
security-policy disable命令会直接关闭所有安全策略,可能导致网络中断。
只有开启安全策略功能后,配置的安全策略才能生效。
【举例】
# 关闭安全策略功能
<Sysname> system-view
[Sysname] security-policy disable
service命令用来配置作为安全策略规则过滤条件的服务。
undo service命令用来删除作为安全策略规则过滤条件的服务。
【命令】
service { object-group-name | any }
undo service [ object-group-name | any ]
【缺省情况】
不存在服务过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。
any:表示将设备中的所有服务作为安全策略规则的过滤条件。
【使用指导】
多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。
配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。
使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service http
[Sysname-security-policy-ip-0-rule1] service ftp
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
service-port命令用来配置作为安全策略规则过滤条件的服务端口。
undo service-port命令用来删除作为安全策略规则过滤条件的服务端口。
【命令】
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code ]
undo service-port [ protocol [ { destination { { eq | lt | gt } port | range port1 port2 } | source { { eq | lt | gt } port | range port1 port2 } } * | icmp-type icmp-code ] ]
【缺省情况】
不存在服务端口过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
protocol:协议类型,可选取tcp(6)、udp(17)或icmp(1)。
source:指定源端口。只在protocol为tcp或udp时有效。
destination:指定目的端口。只在protocol为tcp或udp时有效。
eq:表示等于。
lt:表示小于。
gt:表示大于。
port:指定端口号,取值范围为0~65535。
range port1 port2:指定端口号范围。port1表示端口号1,取值范围为0~65535。port2表示端口号2,取值范围为0~65535。
icmp-type:ICMP消息类型,取值范围为0~255,只在protocol为icmp时有效。
icmp-code:ICMP消息码,取值范围为0~255。
【使用指导】
本命令与service命令的区别在于本命令仅可匹配服务端口号,而service命令仅可匹配服务对象组。
新创建的服务端口号不能与已有的服务端口号完全相同,否则该命令执行失败。
一条规则下匹配的服务和服务对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
在配置lt参数时,需要注意的是:
· 不能指定port为0。
· 如果指定port为1,则该配置被视为eq 0。
· 如果指定port为2~65535,则实际生效的端口号为[0,port-1]。
在配置gt参数时,需要注意的是:
· 不能指定port为65535。
· 如果指定port为65534,该配置被视为eq 65535。
· 如果指定port为0~65533,则实际生效的端口号为[port+1,65535]。
在配置range参数时,需要注意的是:
· 如果指定的port1和port2相同,则该配置被视为等于指定的端口号。
· 如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000。
· 如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。
· 如果指定的port1比port2大,会自动调整范围为[port2,port1]。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务为tcp协议的源端口和目的端口的报文。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port tcp destination range 100 200 source eq 100
# 配置作为安全策略规则rule1过滤条件的服务为icmp协议的源端口和目的端口的报文。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port icmp 100 150
【相关命令】
· display security-policy
session aging-time命令用来为安全策略规则配置会话的老化时间。
undo session aging-time命令用来恢复缺省情况。
【命令】
session aging-time time-value
undo session aging-time
【缺省情况】
未配置安全策略规则的会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间进行老化。
若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time application和session aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。
【举例】
# 为IPv4安全策略的规则rule1配置会话老化时间为5000秒。
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session aging-time 5000
【相关命令】
· session aging-time application(安全命令参考/会话管理)
· session aging-time state(安全命令参考/会话管理)
· session persistent acl(安全命令参考/会话管理)
session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。
undo session persistent aging-time命令用来恢复缺省情况。
【命令】
session persistent aging-time time-value
undo session persistent aging-time
【缺省情况】
未配置安全策略规则的长连接会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。且此命令的配置仅影响后续生成的会话,对于已经生效的会话不产生作用。
此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。
【举例】
# 为IPv4安全策略中规则rule1配置长连接会话老化时间为1小时。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1
【相关命令】
· display security-policy ip
· session persistent acl(安全命令参考/会话管理)
source-ip命令用来配置作为安全策略规则过滤条件的源IP地址。
undo source-ip命令用来删除作为安全策略规则过滤条件的源IP地址。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情况】
不存在源IP地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示源地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源IP地址作为安全策略规则的过滤条件。
配置源IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址对象组为server1和server2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip server1
[Sysname-security-policy-ip-0-rule1] source-ip server2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv4主机地址。
undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv4主机地址。
【命令】
source-ip-host ip-address
undo source-ip-host [ ip-address ]
【缺省情况】
不存在源IPv4主机地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:指定主机IPv4地址。
【使用指导】
source-ip-host命令用来配置单个源IPv4主机地址过滤条件。
多次执行本命令,可配置多个源IPv4主机地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.1的IPv4主机地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-host 192.167.0.1
【相关命令】
· display security-policy
source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv4范围地址。
undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv4范围地址。
【命令】
source-ip-range ip-address1 ip-address2
undo source-ip-range [ ip-address1 ip-address2 ]
【缺省情况】
不存在源IPv4范围地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。
【使用指导】
source-ip-range命令用来配置指定范围的源IPv4地址过滤条件。
多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
配置需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ip-address1比ip-address2大,会自动调整范围为[ ip-address2, ip-address1 ]。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.165.0.100到192.165.0.200的IPv4范围地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-range 192.165.0.100 192.165.0.200
【相关命令】
· display security-policy
source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv4子网地址。
undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv4子网地址。
【命令】
source-ip-subnet ip-address { mask-length | mask }
undo source-ip-subnet [ ip-address { mask-length | mask } ]
【缺省情况】
不存在源IPv4子网地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。
【使用指导】
source-ip-subnet命令用来配置指定子网的源IPv4地址过滤条件。
多次执行本命令,可配置多个源IP子网地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.0,掩码长度为24的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.167.0.0 24
# 配置作为安全策略规则rule1过滤条件的源地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.166.0.0 255.255.0.0
【相关命令】
· display security-policy
source-mac命令用来配置作为安全策略规则过滤条件的源MAC地址。
undo source-mac命令用来删除作为安全策略规则过滤条件的源MAC地址。
【命令】
source-mac object-group-name
undo source-mac [ object-group-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:表示源MAC地址对象组的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。使用undo命令时若不指定此参数,则表示删除此规则中所有源MAC地址类型的过滤条件。有关MAC地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源MAC地址作为安全策略规则的过滤条件。
配置源MAC地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的源MAC地址对象组为mac1和mac2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-mac mac1
[Sysname-security-policy-ip-0-rule1] source-mac mac2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为安全策略规则过滤条件的源安全域。
undo source-zone命令用来删除作为安全策略规则过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情况】
不存在源安全域过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
多次执行本命令,可配置多个源安全域作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的源安全域为Trust和DMZ。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-zone trust
[Sysname-security-policy-ip-0-rule1] source-zone dmz
【相关命令】
· display security-policy
· security-zone(安全命令参考/安全域)
time-range命令用来配置安全策略规则生效的时间段。
undo time-range命令用来恢复缺省情况。
【命令】
time-range time-range-name
undo time-range
【缺省情况】
不限制安全策略规则生效的时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-range-name:表示时间段的名称,为1~32个字符的字符串,不区分大小写。有关时间段的详细介绍,请参见“ACL和QoS配置指导”中的“时间段”。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置生效时间段为work。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] time-range work
【相关命令】
· display security-policy
· time-range(ACL和QoS命令参考/时间段)
track命令用来配置安全策略规则与Track项联动。
undo track命令用来取消安全策略规则与Track项联动。
【命令】
track { negative | positive } track-entry-number
undo track
【缺省情况】
安全策略规则未与Track项联动。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
negative:指定安全策略规则与Track项的Negative状态联动。
positive:指定安全策略规则与Track项的Positive状态联动。
track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
【使用指导】
配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置规则与Track项的Positive状态联动。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] track positive 10
【相关命令】
· display security-policy
· track bfd(可靠性命令参考/Track)
· track interface(可靠性命令参考/Track)
· track ip route reachability(可靠性命令参考/Track)
· track nqa(可靠性命令参考/Track)
user命令用来配置作为安全策略规则过滤条件的用户。
undo user命令用来删除作为安全策略规则过滤条件的用户。
【命令】
user username [ domain domain-name ]
undo user [ username [ domain domain-name ] ]
【缺省情况】
不存在用户过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。使用undo命令时若不指定此参数,则表示删除此规则中所有用户类型的过滤条件。有关用户的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。
【使用指导】
多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。
使用undo命令时若不指定用户,则表示删除此规则中所有用户类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户。
有关身份识别用户和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user usera domain test
[Sysname-security-policy-ip-0-rule1] user userb domain test
【相关命令】
· display security-policy
· user-identity enable(安全命令参考/用户身份识别与管理)
· user-identity static-user(安全命令参考/用户身份识别与管理)
user-group命令用来配置作为安全策略规则过滤条件的用户组。
undo user-group命令用来删除作为安全策略规则过滤条件的用户组。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group [ user-group-name [ domain domain-name ] ]
【缺省情况】
不存在用户组过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-group-name:表示用户组的名称,为1~32个字符的字符串,不区分大小写。使用undo命令时若不指定此参数,则表示删除此规则中所有用户组类型的过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。
【使用指导】
多次执行本命令,可配置多个用户组作为安全策略规则的过滤条件。
使用undo命令时若不指定用户组,则表示删除此规则中所有用户组类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户组。
有关身份识别用户组和身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user-group groupa domain test
[Sysname-security-policy-ip-0-rule1] user-group groupb domain test
【相关命令】
· display security-policy
· user-group(安全命令参考/AAA)
vrf命令用来配置安全策略规则对入接口指定VPN多实例中的报文有效。
undo vrf命令用来恢复缺省情况。
【命令】
vrf vrf-name
undo vrf
【缺省情况】
安全策略规则对公网的报文有效。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
vrf-name:表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置安全策略规则rule1对入接口的VPN多实例vpn1中的报文生效。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] vrf vpn1
【相关命令】
· display security-policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!