- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-URL过滤命令
本章节下载: 03-URL过滤命令 (426.54 KB)
目 录
1.1.7 display url-filter cache
1.1.8 display url-filter category
1.1.9 display url-filter signature library
1.1.10 display url-filter statistics
1.1.11 display url-reputation attack-category
1.1.12 display url-reputation signature library
1.1.13 hardware audit url enable
1.1.16 referer-whitelist enable
1.1.17 rename (URL filtering category view)
1.1.18 rename (URL filtering policy view)
1.1.19 reset url-filter statistics
1.1.23 url-filter apply policy
1.1.27 url-filter copy category
1.1.29 url-filter log directory root
1.1.31 url-filter log except pre-defined
1.1.32 url-filter log except user-defined
1.1.34 url-filter signature auto-update
1.1.35 url-filter signature auto-update-now
1.1.36 url-filter signature rollback
1.1.37 url-filter signature update
1.1.39 url-reputation signature auto-update
1.1.40 url-reputation signature auto-update-now
1.1.41 url-reputation signature rollback
1.1.42 url-reputation signature update
add命令用来向URL过滤策略中添加黑/白名单规则。
undo add命令用来删除URL过滤策略中指定的或所有黑/白名单规则。
【命令】
add { blacklist | whitelist } [ id ] host { regex host-regex | text host-name } [ uri { regex uri-regex | text uri-name } ]
undo add { blacklist | whitelist } { id | all }
【缺省情况】
URL过滤策略中不存在黑/白名单规则。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
blacklist:表示URL过滤策略的黑名单规则。
whitelist:表示URL过滤策略的白名单规则。
id:表示黑/白名单规则的编号,取值范围为1~65535。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限65535,则选择当前未使用的最小编号作为新的编号。
host:表示匹配URL中的主机名字段。
uri:表示匹配URL中的URI字段。
regex regex:表示使用正则表达式对主机名和URI字段进行匹配。regex是正则表达式,区分大小写,只能以字母、数字和下划线开头,且至少包含连续的3个非通配符。其中,主机名规则的取值范围为3~224个字符,URI规则的取值范围为3~245个字符。
text string:表示使用文本对主机名和URI字段进行匹配。string是指定的主机名或URI规则字符串。主机名规则的取值范围为3~224个字符,不区分大小写,且至少包含连续的3个非通配符,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”、点号“.”和星号“*”,但URI无此限制;URI规则的取值范围为3~245个字符,不区分大小写,且至少包含连续的3个非通配符。
all:表示所有的黑/白名单规则。
【使用指导】
URL过滤黑/白名单规则功能根据应用层的信息进行URL过滤。如果用户HTTP报文中的URL与URL过滤策略中的黑名单规则匹配成功,则丢弃此报文;如果与白名单规则匹配成功,则允许此报文通过。
使用文本方式对主机名和URI字段进行匹配时,对星号“*”有如下的限制:
· 匹配主机名字段时,“*”只能出现在开头或结尾,表示通配符,代表0到多个任意字符。
· 匹配URI字段时,当“*”出现在开头或结尾,表示通配符,代表0到多个任意字符;当“*”出现在其他位置时,则作为普通字符进行匹配。
正则表达式有如下限制:
· 正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【举例】
# 在URL过滤策略news中,添加一条黑名单规则,使用以games.com开头的字符串对主机名字段进行匹配。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] add blacklist 1 host text games.com*
attack-category action命令用来配置对指定URL信誉攻击分类执行的操作。
undo attack-category action命令用来恢复缺省情况。
【命令】
attack-category attack-id action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo attack-category attack-id
【缺省情况】
未配置对指定URL信誉攻击分类执行的操作,设备对匹配攻击分类的报文执行允许动作,并记录日志。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
attack-id:攻击分类的ID,取值范围为1~65535。可通过输入“?”查看攻击分类名称对应的攻击分类ID,也可以通过display url-reputaion attack-category命令查看。
action:表示对匹配攻击分类的报文执行的动作。
block-source:表示阻断报文,并将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,设备会丢弃该报文,并将报文的源IP地址加入IP黑名单。但是,此IP黑名单不生效,后续来自此IP地址的报文不会被直接丢弃,仍需要进行URL信誉功能处理。有关IP黑名过滤单功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文从而使TCP连接断开。
logging:表示生成日志。
parameter-profile parameter-name:指定动作引用的应用层检测引擎动作参数profile。parameter-name表示动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
本功能仅在开启URL信誉功能后生效。
URL信誉特征库中,一个URL可对应多种攻击分类。管理员可以根据实际需求,为每种攻击分类配置相应执行的动作。
当URL只属于一种攻击分类时,设备将对匹配上该URL的报文执行攻击分类对应的动作;当URL属于多种攻击分类时,设备将对匹配上该URL的报文执行多种攻击分类中优先级最高的动作。其中,动作的优先级从高到底依次为:阻断>允许。
只要URL所属的任一攻击分类开启了日志功能,则对匹配上该URL的报文执行记录日志动作。
【举例】
# 在URL过滤策略news中,配置URL信誉特征库中ID为1的攻击分类对应的动作为drop。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] attack-category 1 action drop
【相关命令】
· display url-reputation attack-category
· url-reputation enable
category action命令用来配置URL过滤分类动作。
undo category命令用来删除指定的URL过滤分类动作。
【命令】
category category-name action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo category category-name
【缺省情况】
不存在URL过滤分类动作。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
category-name:指定URL过滤分类名称,包括预定义和自定义的URL过滤分类名称,为1~63个字符的字符串,不区分大小写。
action:表示对匹配上此URL过滤分类中的任何一条规则的报文所采取的动作。
block-source:表示阻断报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名过滤单功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文从而使TCP连接断开。
logging:表示生成报文日志。
parameter-profile parameter-name:指定URL过滤动作引用的应用层检测引擎动作参数profile。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果URL过滤动作没有引用应用层检测引擎动作参数profile,或者引用的动作参数profile不存在,则使用系统中各动作参数的缺省值。有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
URL过滤功能对报文的处理过程如下:
· 如果报文匹配上该URL过滤分类中的任何一条规则,则设备将会根据该URL过滤分类绑定的动作对此报文进行处理。
· 如果报文没有匹配上该URL过滤分类中的任何规则,但是配置了default-action命令,则设备将根据URL过滤策略中配置的缺省动作来对此报文进行处理。
· 如果报文没有匹配上该URL过滤分类中的任何规则,且也没有配置default-action命令,则设备直接允许此报文通过。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在URL过滤策略news中,配置URL过滤分类sina的动作为丢弃。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] category sina action drop
【相关命令】
· inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· url-filter category
· url-filter policy
cloud-query enable命令用来开启URL过滤分类云端查询功能。
undo cloud-query enable命令用来关闭URL过滤分类云端查询功能。
【命令】
cloud-query enable
undo cloud-query enable
【缺省情况】
URL过滤分类云端查询功能处于关闭状态。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在URL过滤策略中开启URL过滤分类云端查询功能后,如果流经设备HTTP报文中的URL与该URL过滤策略中的过滤规则匹配失败,则此URL将会被发往云端服务器进行查询。云端服务器响应该请求,并向设备发送查询结果,该结果中包含了URL过滤规则及其所属的分类名称,设备根据该结果执行相应的分类处理动作。如果云端返回的分类在设备上没有与其对应的分类动作或者云端URL查询失败,则设备将对此报文执行URL过滤策略中的缺省动作。
【举例】
# 在URL过滤策略中开启URL过滤分类云端查询功能。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] cloud-query enable
【相关命令】
· url-filter policy
default-action命令用来配置URL过滤策略的缺省动作。
undo default-action命令用来恢复缺省情况。
【命令】
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo default-action
【缺省情况】
未配置URL过滤策略的缺省动作。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-source:表示阻断报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名过滤单功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文从而使TCP连接断开。
logging:表示生成报文日志动作。
parameter-profile parameter-name:指定引用的动作参数。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定该参数或指定的参数不存在,则使用动作的缺省参数。这里引用的动作参数是应用层检测引擎中配置的动作参数,有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
配置此命令后,当报文没有匹配上URL过滤策略中的规则时,设备将根据URL过滤策略的缺省动作对此报文进行处理。
【举例】
# 在名为cmcc的URL过滤策略中,配置缺省动作为丢弃。
<Sysname> system-view
[Sysname] url-filter policy cmcc
[Sysname-url-filter-policy-cmcc] default-action drop
【相关命令】
· inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· url-filter policy
description命令用来配置URL过滤分类的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
自定义的URL过滤分类中未配置描述信息。
【视图】
URL过滤分类视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:URL过滤分类的描述信息,为1~255个字符的字符串,可以包含空格,不区分大小写。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别URL过滤分类的作用,有利于后期维护。
【举例】
# 配置URL过滤分类news的描述信息为News information。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] description News information
display url-filter cache命令行用来查看URL过滤缓存中的信息。
【命令】
display url-filter cache [ category category-name ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
category category-name:指定URL过滤分类,category-name表示URL过滤分类名称,为1~63个字符的字符串,不区分大小写。
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的URL过滤缓存中的信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示所有单板。
【使用指导】
可通过此命令查看缓存的URL信息以及云端查询功能相关信息。
【举例】
# 查看URL过滤缓存中的信息。
<Sysname> display url-filter cache
Slot 2 in chassis 1 :
Url-filter cache information:
Cloud-query status: Enabled
Total cached entries: 35
Min update interval: 906 seconds
Max update interval: 46760 seconds
Last query message sent: 906 seconds ago
Last query result received: 906 seconds ago
Slot 2 in chassis 1:Url-filter cache verbose:
Host: 192.168.56.99
URI: /wnm/get.j?sessionid=200001a5de59aebeb0877f982e5c31f58728
Hit count: 15
Time elapsed since last update: 906 seconds
Category ID: 152
Cache query state: Query ended
表1-1 display url-filter cache命令显示信息描述表
|
字段 |
描述 |
|
Url_filter cache information |
URL过滤缓存信息 |
|
Cloud-query status |
云端查询功能状态,取值包括: · Enabled:表示云端查询功能处于开启状态 · Disabled:表示云端查询功能处于关闭状态 |
|
Total cached entries |
缓存的URL的总数 |
|
Min update interval |
所有缓存表项中,距离上一次刷新时间最短的间隔时间,单位为秒 |
|
Max update interval |
所有缓存表项中,距离上一次刷新时间最长的间隔时间,单位为秒 |
|
Last query message sent |
最近一次发送查询消息的时间与当前时间的间隔,单位为秒 |
|
Last query result received |
最近一次接收到查询返回的结果的时间与当前时间的间隔,单位为秒 |
|
Url-filter cache verbose |
URL过滤缓存详细信息 |
|
Host |
缓存URL的Host字段 |
|
URI |
缓存URL的URI字段 |
|
Hit count |
该URL过滤规则被命中的次数 |
|
Time elapsed since last update |
距离上一次刷新时间的时间间隔,单位为秒 |
|
Category ID |
URL过滤分类的ID,若未查询到,则显示为空;如果属于多个分类,则显示所有分类ID并以空格相隔 |
|
Cache query state |
URL过滤缓存的查询状态,取值包括: · In the cloud query:表示正在进行云端查询 · Query end:表示完成云端查询 |
【相关命令】
· url-filter category
display url-filter category命令用来查看URL过滤父分类或子分类信息。
【命令】
display url-filter { category | parent-category } [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
category:显示URL过滤子分类的信息。
parent-category:显示URL过滤父分类的信息。仅支持预定义父分类,且父分类下仅包含预定义子分类。
verbose:显示URL过滤子分类或父分类的详细信息。如果不指定该参数,则显示URL过滤子分类或父分类的摘要信息。
【使用指导】
URL过滤支持两级分类,包含父分类和子分类。
【举例】
# 查看URL过滤子分类信息。
<Sysname> display url-filter category
URL category statistics:
Predefined categories: 53
Predefined rules: 2000
User-defined categories: 5
User-defined rules: 4
URL categories:
Name : 23
Name : 24
Name : 33
Name : Pre-AdvertisementsAndPop-Ups
Name : Pre-AlcoholAndTobacco
Name : Pre-Anonymizers
Name : Pre-Arts
Name : Pre-Business
Name : Pre-Chat
Name : Pre-ComputersAndTechnology
Name : Pre-CriminalActivity
Name : Pre-Cults
Name : Pre-DatingAndPersonals
Name : Pre-DownloadSites
Name : Pre-Education
Name : Pre-Entertainment
Name : Pre-FashionAndBeauty
---- More ----
# 查看URL过滤子分类的详细信息。
<Sysname> display url-filter category verbose
URL category statistics:
Predefined categories: 53
Predefined rules: 2000
User-defined categories: 5
User-defined rules: 4
URL category details:
Name: 23
Type: User defined
Severity: 1001
Rules: 1
Description:
Name: 24
Type: User defined
Severity: 1002
Rules: 1
Description:
Name: Pre-AdvertisementsAndPop-Ups
Type: Predefined
Severity: 300
Rules: 32
Description: Sites that provide advertising graphics or other ad content fi
les such as banners and pop-ups.
Name: Pre-AlcoholAndTobacco
Type: Predefined
Severity: 960
Rules: 7
Description: Sites that promote or sell alcohol- or tobacco-related product
s or services.
---- More ----
表1-2 display url-filter category命令显示信息描述表
|
字段 |
描述 |
|
URL category statistics |
设备中URL过滤子分类总数,包括预定义和自定义的分类 |
|
Predefined categories |
预定义URL过滤子分类数目 |
|
Predefined rules |
预定义URL过滤规则数目 |
|
User-defined categories |
自定义URL过滤子分类数目 |
|
User-defined rules |
自定义URL过滤规则数目 |
|
URL category details |
URL过滤子分类详细信息 |
|
Name |
URL过滤子分类名称 |
|
Type |
URL过滤子分类类型,包括如下取值: · Predefined:预定义分类 · User defined:自定义分类 |
|
Severity |
URL过滤严重级别 |
|
Rules |
指定URL分类下的规则数目 |
|
Description |
URL过滤子分类描述信息 |
# 查看URL过滤父分类信息。
<Sysname> display url-filter parent-category
URL parent category statistics:
Predefined parent categories: 40
Included predefined categories: 14
URL parent categories:
Parent category name: SearchEngineAndPortal
Parent category name: P2PAndDownload
Parent category name: OrdinaryDownload
Parent category name: House
Parent category name: EducationAndScientificResearch
Parent category name: Finance
Parent category name: StreamMediaAndVideo
Parent category name: Shopping
Parent category name: TransportationVehicle
Parent category name: Travel
---- More ----
# 查看URL过滤父分类的详细信息。
<Sysname> display url-filter parent-category verbose
URL parent category statistics:
Predefined parent categories: 46
Included predefined categories: 139
URL parent category details:
Parent category name: Pre-Adult
Type: Predefined
Description: Adult
Included categories: 7
Pre-Abortion
Pre-AdultSuppliers
Pre-Homosexual
Pre-Nudity
Pre-OtherAdult
Pre-SexualHealth
Pre-Vulgar
Parent category name: Pre-Arts
Type: Predefined
Description: Arts
Included categories: 1
Pre-Arts
---- More ----
表1-3 display url-filter parent-category命令显示信息描述表
|
字段 |
描述 |
|
URL parent category statistics |
设备中URL过滤父分类总数,仅支持预定义的父分类 |
|
Predefined parent categories |
URL过滤父分类数目 |
|
Included predefined categories |
URL过滤所有父分类下包含的预定义URL过滤子分类总数 |
|
URL parent category details |
URL过滤父分类详细信息 |
|
Parent category name |
URL过滤父分类名称 |
|
Type |
URL过滤父分类的类型,仅支持预定义类型 |
|
Description |
URL过滤父分类描述信息 |
|
Included categories |
指定URL过滤父分类下包含的分类数目 |
display url-filter signature library查看URL过滤特征库信息。
【命令】
display url-filter signature library
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 查看URL过滤特征库信息。
<Sysname> display url-filter signature library
URL filter signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.0 Wed Jan 21 06:43:53 2015 36096
(null) - - -
Factory 1.0.0 Wed Jan 21 06:43:53 2015 36096
表1-4 display url-filter signature library命令显示信息描述表
|
字段 |
描述 |
|
Type |
URL过滤特征库版本,包括如下取值: · Current:当前版本 · Last:上一版本 · Factory:出厂版本 |
|
SigVersion |
URL过滤特征库版本号 |
|
ReleaseTime |
URL过滤特征库发布时间 |
|
Size |
URL过滤特征库文件大小,单位是Bytes |
display url-filter statistics命令用来查看URL过滤的统计信息。
【命令】
display url-filter statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示URL规则命中统计信息。
<Sysname> display url-filter statistics
--------------------------------------------------------
Slot 2 in chassis 1 :
Total HTTP requests : 0
Total HTTPS handshakes : 0
Total logged requests : 0
Total logging rate : 0/s
Total permitted requests and handshakes : 0
Total denied requests : 0
Requests that matched the blacklist : 0
Requests that matched the whitelist : 0
Requests that matched the referer-whitelist : 0
Requests that matched a user-defined rule : 0
Requests that matched a predefined rule : 0
Requests that matched a cached rule : 0
Requests that matched the default action : 0
Requests that matched URLs in URL reputation library : 0
Predefined URL filtering rules : 2000
--------------------------------------------------------
表1-5 display url-filter statistics命令显示信息描述表
|
字段 |
描述 |
|
Total HTTP requests |
HTTP报文总数 |
|
Total HTTPS handshakes |
加密流量命中次数 |
|
Total logged HTTP requests |
打印日志的HTTP报文总数 |
|
Total HTTP logging rate |
打印日志的HTTP报文的速率 |
|
Total permitted HTTP requests |
HTTP报文放行个数 |
|
Total denied HTTP requests |
HTTP报文拒绝个数 |
|
Requests that matched the blacklist |
黑名单规则命中数 |
|
Requests that matched the whitelist |
白名单规则命中数 |
|
Requests that matched the referer-whitelist |
内嵌白名单命中次数 |
|
Requests that matched a user-defined rule |
自定义规则命中数 |
|
Requests that matched a predefined rule |
预定义规则命中数 |
|
Requests that matched a cached rule |
缓存规则命中数 |
|
Requests that matched the default action |
默认动作命中数 |
|
Requests that matched URLs in URL reputation library |
URL信誉特征库中URL的总库命中总次数 |
|
Predefined URL filtering rules |
预定义规则数量 |
display url-reputation attack-category命令用来显示指定URL过滤策略下的URL信誉攻击分类信息。
【命令】
display url-reputation attack-category
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
仅在URL信誉功能处于开启状态时,才能查看到URL信誉攻击分类信息。
如果未配置对指定攻击分类执行的动作,则所有攻击分类的动作均显示为允许,且日志功能处于启用状态。
【举例】
# 显示名称为abc的URL过滤策略下的URL信誉攻击分类信息。
<Sysname> system-view
[Sysname] url-filter policy abc
[Sysname-url-filter-policy-abc] display url-reputation attack-category
Attack id Attack name Action Logging
-------------------------------------------------------
1 C&C permit enable
2 Network_Worm permit enable
3 Risk_Software permit enable
4 Malware permit enable
5 Trojan permit enable
6 Infectious_Virus permit enable
7 Trojan_the_Thief permit enable
8 Ransomware permit enable
9 miner permit enable
10 Botnet permit enable
15 tor permit enable
16 Porn_Website permit enable
17 Gambling_Website permit enable
18 Phishing_Website permit enable
19 Fraud_Website permit enable
20 spam permit enable
21 Malicious_Email permit enable
22 DGA permit enable
23 APT permit enable
表1-6 display url-reputation attack-category命令显示信息描述表
|
字段 |
描述 |
|
Attack id |
攻击分类ID |
|
Attack name |
攻击分类名称 |
|
Action |
对匹配上攻击分类的报文执行动作,取值包括: · block-source:表示阻断报文,并将该报文的源IP地址加入IP黑名单 · drop:表示丢弃报文 · permit:表示允许报文通过 · reset:表示发送TCP的reset报文或UDP的ICMP端口不可达报文使TCP或UDP连接断开 · redirect:表示重定向报文 |
|
Logging |
表示日志功能启用状态,取值包括: · enable:开启状态 · disable:关闭状态 |
【相关命令】
· attack-category
display url-reputation signature library命令用来显示URL信誉特征库信息。
【命令】
display url-reputation signature library
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示URL信誉特征库信息。
<Sysname> display url-reputation signature library
URL reputation signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.6 Tue Jul 28 12:32:55 2020 10492240
Last - - -
Factory - - -
表1-7 display url-reputation signature library命令显示信息描述表
|
字段 |
描述 |
|
Type |
URL信誉特征库版本,包括如下取值: · Current:表示当前版本 · Last:表示上一版本 · Factory:表示出厂版本(暂不支持) |
|
SigVersion |
URL信誉特征库版本号 |
|
ReleaseTime |
URL信誉特征库发布时间 |
|
Size |
URL信誉特征库文件大小,单位是Bytes |
hardware audit url enable命令用来开启URL加速审计功能。
undo hardware audit url enable命令用来关闭URL加速审计功能。
【命令】
hardware audit url enable
undo hardware audit url enable
【缺省情况】
URL加速审计功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,设备在软件快速转发流程中通过URL过滤功能对报文进行URL审计,这种处理方式不仅可以对报文进行URL审计,还可以对报文进行阻断或重定向等操作。但是,软件快速转发和URL过滤功能均需要CPU进行处理,当CPU负担较重时,直接影响报文的转发速度。
开启URL加速审计功能后,报文直接通过硬件快速转发流程进行转发处理,同时把HTTP类型的报文镜像到CPU进行URL过滤处理。这种处理方式下,当CPU负担较重时,可以保障报文的快速转发,但DPI相关功能将会失效,仅能对报文进行URL审计,即对匹配了动作是logging的URL过滤规则的报文进行记录日志。因此,此功能适用于对设备转发性能要求比较高,又需要进行URL审计但对安全性要求不高的应用场景。
此功能不能与需要进行四层以上业务处理的功能(如七层负载均衡、ALG等功能)同时使用,否则此功能将会失效。
必须先配置完URL过滤功能和开启硬件快速转发功能后,此功能才会生效。有关快速转发的详细介绍,请参见“三层技术-IP业务”中的“快速转发”。
此命令仅缺省Context支持,非缺省Context不支持。在缺省Context中开启此功能后,将对所有Context生效。
【举例】
# 开启URL加速审计功能。
<Sysname> system-view
[Sysname] hardware audit url enable
【相关命令】
· hardware fast-forwarding enable(三层技术-IP业务命令参考/快速转发)
· url-filter policy
https-filter enable命令用来开启HTTPS流量过滤功能。
undo https-filter enable命令用来关闭HTTPS流量过滤功能。
【命令】
https-filter enable
undo https-filter enable
【缺省情况】
HTTPS流量过滤功能处于关闭状态。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可以选择如下方式:
· 使用SSL解密功能:先对HTTPS流量进行解密,然后再进行URL过滤。有关SSL解密功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
· 开启HTTPS流量过滤:不对HTTPS流量进行解密,直接对客户端发送的HTTPS的Client HELLO报文中的SNI(Sever Name Indication extension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名与URL过滤策略进行匹配。
由于SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能。
如果同时配置SSL解密功能,则本功能失效。有关SSL解密功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
本功能仅能基于URL过滤规则中的HOST字段过滤,对于URI字段的信息无法匹配。
本功能仅在访问的服务器地址字段为域名的情况下生效,如果服务器地址字段为IP地址,本功能不生效。
如果客户端浏览器启用TLS 1.3降级强化机制功能选项,报文中的SNI字段将会被加密,本功能将失效。
如果HTTPS报文不支持SNI字段,本功能将失效。
【举例】
# 在名为news的URL过滤策略中,开启HTTPS流量过滤功能。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] https-filter enable
【相关命令】
· action ssl-decrypt(DPI深度安全/代理策略)
include pre-defined命令用来向自定义URL过滤分类中添加预定义URL过滤分类中的规则。
undo include pre-defined命令用来恢复缺省情况。
【命令】
include pre-defined category-name
undo include pre-defined
【缺省情况】
自定义URL过滤分类中不存在预定义URL过滤分类中的规则。
【视图】
URL过滤分类视图
【缺省用户角色】
network-admin
context-admin
【参数】
category-name:表示预定义URL过滤分类的名称,为1~63个字符的字符串,区分大小写。指定的预定义URL过滤分类必须已存在。
【使用指导】
当新建的URL过滤分类中所需的规则与已存在的预定义URL过滤分类中的规则比较相似时,可通过此命令灵活、快速的创建URL过滤分类。
一个自定义URL过滤分类下只能添加一个预定义URL过滤分类。多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为news的URL过滤分类中加预定义URL过滤分类Pre-Arts中的规则。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] include pre-defined Pre-Arts
referer-whitelist enable命令用来开启内嵌白名单功能。
undo referer-white enable命令用来关闭内嵌白名单功能。
【命令】
referer-whitelist enable
undo referer-whitelist enable
【缺省情况】
内嵌白名单功能处于开启状态。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本功能用于实现允许访问白名单网页下内嵌的其他网页链接。例如,用户访问的网页中内嵌了一个其他网站的视频链接,如果仅将该网页加入白名单,则用户无法访问内嵌的视频,还需要将该视频的链接网站加入白名单才可正常访问。
开启本功能后,设备将获取HTTP请求报文中的referer字段(用于标识从哪个网页发起的请求)与白名单进行匹配。如果匹配成功,则允许访问请求的网站;如果匹配失败,则禁止访问请求的网站。这样,只需将用户请求的网页加入白名单,该网页下的其他网站链接也会被允许访问,简化了配置。
当不希望用户可以访问网页中内嵌的其他网站链接时,可关闭本功能。
【举例】
# 在名为news的URL过滤策略中,开启内嵌白名单功能。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] referer-whitelist enable
【相关命令】
· add whitelist
rename命令用来重命名URL过滤分类,并进入新的URL过滤分类视图。
【命令】
rename new-name
【视图】
URL过滤分类视图
【缺省用户角色】
network-admin
context-admin
【参数】
new-name:表示新的URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
原有URL过滤分类的名称被修改后,URL过滤策略中引用的同名URL过滤分类的名称也会被同步修改。
【举例】
# 把名称为news的URL过滤分类重命名为hello,并进入新的URL过滤分类视图。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] rename hello
[Sysname-url-filter-category-hello]
rename命令用来重命名URL过滤策略,并进入新的URL过滤策略视图。
【命令】
rename new-name
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
new-name:表示新的URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
原有URL过滤策略的名称被修改后,DPI应用profile中引用的同名URL过滤策略的名称也会被同步修改。
【举例】
# 把名称为news的URL过滤策略重命名为hello,并进入新的URL过滤策略视图。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] rename hello
[Sysname-url-filter-policy-hello]
reset url-filter statistics命令用来清除URL过滤的统计信息。
【命令】
reset url-filter statistics
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 清除URL过滤的统计信息。
<Sysname> reset url-filter statistics
【相关命令】
· display url-filter statistics
rule命令用来在自定义URL过滤分类中创建URL过滤规则。
undo rule命令用来在自定义URL过滤分类中删除指定的URL过滤规则。
【命令】
rule rule-id host { regex regex | text string } [ uri { regex regex | text string } ]
undo rule rule-id
【缺省情况】
自定义URL过滤分类中不存在URL过滤规则。
【视图】
URL过滤分类视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-id:指定URL过滤规则编号,取值范围为1~65535。
host:表示URL过滤规则匹配URL中的主机名字段。
uri:表示URL过滤规则匹配URL中的URI字段。
regex regex:表示URL过滤规则使用正则表达式对主机名和URI字段进行匹配。regex表示正则表达式,区分大小写,只能以字母、数字和下划线开头,且至少包含连续的3个非通配符。其中,主机名正则表达式的取值范围为3~224个字符;URI正则表达式的取值范围为3~253个字符。
text string:表示URL过滤规则使用文本对主机名和URI字段进行匹配。string表示主机名或URI规则字符串,主机名规则的取值范围为3~224个字符,不区分大小写,且至少包含连续的3个非通配符,主机名只能是字母、数字、下划线“_”、连接符“-”、冒号“:”、左方括号“[”、右方括号“]”、点号“.”和星号“*”,但URI无此限制;URI规则的取值范围为3~255个字符,不区分大小写,且至少包含连续的3个非通配符。
【使用指导】
URL过滤规则是指对用户HTTP报文中的URL进行匹配的原则,URL过滤规则支持两种匹配方式:
· 文本匹配:使用指定的字符串对主机名和URI字段进行匹配。
¡ 匹配主机名字段时,首先判断主机名开头或结尾位置是否含有通配符“*”,若均未出现,则URL中的主机名字段与规则中指定的主机名字符串必须完全一致,才能匹配成功;若“*”出现在开头位置,则该字符串或以该字符串结尾的URL会匹配成功;若“*”出现在结尾位置,则该字符串或以该字符串开头的URL会匹配成功。若“*”同时出现在开头或结尾位置,则该字符串或含有该字符串的URL均会匹配成功。
¡ 匹配URI字段时,和主机名字段匹配规则一致。
· 正则表达式匹配:使用正则表达式对主机名和URI字段进行匹配。例如,规则中配置主机名的正则表达式为sina.*cn,则主机名为news.sina.com.cn的URL会匹配成功。
使用文本方式对主机名和URI字段进行匹配时,对星号“*”有如下的限制:
· 匹配主机名字段时,“*”只能出现在开头或结尾,表示通配符,代表0到多个任意字符。
· 匹配URI字段时,当“*”出现在开头或结尾,表示通配符,代表0到多个任意字符;当“*”出现在其他位置时,则作为普通字符进行匹配。
正则表达式有如下限制:
· 正则表达式中,总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 正则表达式中,括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 正则表达式中,分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 正则表达式中,零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【举例】
# 在URL过滤分类news中添加一条URL过滤规则,并使用以sina.com开头的字符串对主机名字段进行匹配。
<Sysname> system-view
[Sysname] url-filter category news
[Sysname-url-filter-category-news] rule 10 host text sina.com*
【相关命令】
· url-filter category
update schedule命令用来配置定期自动在线升级URL过滤特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天01:00:00至03:00:00之间自动在线升级URL过滤特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置URL过滤特征库的定期自动在线升级时间为每周日20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] url-filter signature auto-update
[Sysname-url-filter-autoupdate] update schedule weekly sun start-time 20:30:00 tingle 10
【相关命令】
· url-filter signatures auto-update
update schedule命令用来配置定期自动在线升级URL信誉特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天01:00:00至03:00:00之间开始自动在线升级URL信誉特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则开始自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置URL信誉特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] url-reputation signature auto-update
[Sysname-url-reputation-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相关命令】
· url-reputation signature auto-update
url-filter apply policy命令用来在DPI应用profile中引用指定的URL过滤策略。
undo url-filter apply policy命令用来删除引用的URL过滤策略。
【命令】
url-filter apply policy policy-name
undo url-filter apply policy
【缺省情况】
DPI应用profile中未引用URL过滤策略。
【视图】
DPI应用profile视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:URL过滤策略名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
URL过滤策略仅在被DPI应用profile引用后生效。一个DPI应用profile下只能引用一个URL过滤策略。多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名为abc的DPI应用profile下引用URL过滤策略news。
<Sysname> system-view
[Sysname] app-profile abc
[Sysname-app-profile-abc]url-filter apply policy news
【相关命令】
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display app-profile
· display url-filter policy
url-filter cache size命令用来配置URL过滤缓存区可缓存记录的上限。
undo url-filter cache size命令用来恢复缺省情况。
【命令】
url-filter cache size cache-size
undo url-filter cache size
【缺省情况】
URL过滤缓存区可缓存记录的上限为16384。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
cache-size:指定URL过滤缓存区可缓存记录的上限,取值范围为8192~65535。
【使用指导】
设备会把云端服务器返回的查询结果缓存在URL过滤缓存中。后续符合此URL过滤规则的报文在流经设备时就会在本地匹配成功,而无需再进行云端查询。
仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
【举例】
# 配置URL过滤缓存区可缓存记录的上限为20000。
<Sysname> system-view
[Sysname] url-filter cache size 20000
url-filter cache-time命令用来配置URL过滤缓存规则的最短保留时间。
undo url-filter cache-time命令用来恢复缺省情况。
【命令】
url-filter cache-time value
undo url-filter cache-time
【缺省情况】
URL过滤缓存规则的最短保留时间为10分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
value:指定URL过滤缓存规则的最短保留时间,取值范围为10~720,单位为分钟。
【使用指导】
当从云端学习到的URL过滤规则在缓存中的保存时间达到指定的最短保留时间时,并不会被立刻删除,而是在如下情况下会被删除:
URL过滤缓存已满后,如果从云端服务器继续学习到了新的URL过滤规则,设备则从缓存中将保存时间超过最大缓存时间的最老URL过滤规则删除,然后将此新URL过滤规则添加到缓存中。
仅支持在缺省Context下配置本命令。有关Context的详细介绍,请参见“虚拟化技术配置指导”中的“Context”。
【举例】
# 配置URL过滤缓存规则的最短保留时间为36分钟。
<Sysname> system-view
[Sysname] url-filter cache-time 36
url-filter category命令用来创建URL过滤分类,并进入URL过滤分类视图。如果指定的URL过滤分类已经存在,则直接进入该URL过滤分类视图。
undo url-filter category命令用来删除指定的URL过滤分类。
【命令】
url-filter category category-name [ severity severity-level ]
undo url-filter category category-name
【缺省情况】
只存在预定义的URL过滤分类,且分类名称以字符串Pre-开头。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
category-name:表示URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。不能以字符”Pre-“开头,因为Pre-是预定义的URL过滤分类名称。
severity severity-value:表示URL过滤分类的严重级别属性。severity-value为严重级别,取值范围为1000~65535,创建URL过滤分类时必须配置此参数,数值越大表示严重级别越高,且不同的URL过滤分类的严重级别不能相同。
【使用指导】
为便于管理员对数目众多的URL过滤规则进行统一部署,URL过滤模块提供了URL过滤分类功能,以便对具有相似特征的URL过滤规则进行归纳以及为匹配这些规则的URL统一指定处理动作。每个URL过滤分类具有一个严重级别属性,该属性值表示对属于此过滤分类URL的处理优先级。
URL过滤分类包括两种类型:
· 预定义分类:根据设备中的URL过滤特征库自动生成,其内容和严重级别不可被修改。
· 自定义分类:由管理员手动配置,可修改其严重级别,可添加URL过滤规则。
当报文匹配成功的URL过滤规则同属于多个URL过滤分类时,设备将根据严重级别最高的URL过滤分类中指定的动作对此报文进行处理。
【举例】
# 创建一个名为news的URL过滤分类,指定其严重级别为2000。
<Sysname> system-view
[Sysname] url-filter category news severity 2000
[Sysname-url-filter-category-news]
【相关命令】
· display url-filter category
url-filter copy category命令用来复制URL过滤分类。
【命令】
url-filter copy category old-name new-name severity severity-level
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
old-name:原有分类名称。必须为已创建的自定义分类。
new-name:新分类名称,为1~63个字符的字符串,不区分大小写。不能以字符“Pre-”开头,因为Pre-是预定义的URL过滤分类名称。
severity severity-level:表示URL过滤分类的严重级别。severity-level为严重级别,取值范围为1000~65535。数值越大表示严重级别越高,且不同的分类严重级别不能相同,如果相同,则复制失败。
【使用指导】
本命令用来复制已存在的URL过滤分类,可以方便用户快速创建新的URL过滤分类。
目前,仅支持复制自定义URL过滤分类。
【举例】
# 通过复制名称为news的URL过滤分类来创建一个名为test的URL过滤分类。
<Sysname> system-view
[Sysname] url-filter copy category news test severity 1001
[Sysname-url-filter-category-test]
【相关命令】
· url-filter category
url-filter copy policy命令用来复制URL过滤策略。
【命令】
url-filter copy policy old-name new-name
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
old-name:原有策略名称。为1~31个字符的字符串,不区分大小写。
new-name:新策略名称。为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令用来复制已存在的URL过滤策略,可以方便用户快速创建新的URL过滤策略。
【举例】
# 通过复制名称为news的URL过滤策略来创建2个新的URL过滤策略。
<Sysname> system-view
[Sysname] url-filter copy policy news news1
[Sysname-url-filter-policy-news_1] quit
[Sysname] url-filter copy policy news new2
[Sysname-url-filter-policy-news_2] quit
【相关命令】
· url-filter policy
url-filter log directory root命令用来配置URL过滤仅对网站根目录下资源的访问进行日志记录。
undo url-filter log directory root命令用来恢复缺省情况。
【命令】
url-filter log directory root
undo url-filter log directory root
【缺省情况】
URL过滤对网站所有路径下资源的访问均进行日志记录。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
配置此命令后,url-filter log except pre-defined和url-filter log except user-defined命令将失效。
【举例】
# 配置URL过滤仅对网站根目录下资源的访问进行日志记录。
<Sysname> system-view
[Sysname] url-filter log directory root
【相关命令】
· category action logging
· default-action logging
· url-filter log except pre-defined
· url-filter log except user-defined
url-filter log enable命令用来开启应用层检测引擎日志信息功能。
undo url-filter log enable命令用来关闭应用层检测引擎日志信息功能。
【命令】
url-filter log enable
undo url-filter log enable
【缺省情况】
应用层检测引擎日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
应用层检测引擎日志是为了满足管理员审计需求。设备生成应用层检测引擎日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启应用层检测引擎日志信息功能。
<Sysname> system-view
[Sysname] url-filter log enable
url-filter log except pre-defined命令用来配置URL过滤对预定义类型网页资源的访问不进行日志记录。
undo url-filter log except pre-defined命令用来配置URL过滤对预定义类型网页资源的访问进行日志记录。
【命令】
url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
undo url-filter log except pre-defined { css | gif | ico | jpg | js | png | swf | xml }
【缺省情况】
URL过滤对所有预定义类型网页资源的访问不进行日志记录。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
css:表示网页资源类型为css。
gif:表示网页资源类型为gif。
ico:表示网页资源类型为ico。
jpg:表示网页资源类型为jpg。
js:表示网页资源类型为js。
png:表示网页资源类型为png。
swf:表示网页资源类型为swf。
xml:表示网页资源类型为xml。
【使用指导】
此命令生效的优先级低于url-filter log directory root命令,如果已经配置url-filter log directory root命令,则本配置不能生效。因此,如果要本配置生效,则需要执行undo url-filter log directory root命令。
可多次执行此命令,指定多种不记录访问日志的预定义网页资源类型。
【举例】
# 配置URL过滤对预定义css类型网页资源的访问不进行日志记录。
<Sysname> system-view
[Sysname] url-filter log except pre-defined css
【相关命令】
· category action logging
· default-action logging
· url-filter log directory root
· url-filter log except user-defined
url-filter log except user-defined命令用来配置URL过滤对自定义类型网页资源的访问不进行日志记录。
undo url-filter log except user-defined命令用来配置URL过滤对自定义类型网页资源的访问进行日志记录。
【命令】
url-filter log except user-defined text
undo url-filter log except user-defined [ text ]
【缺省情况】
未配置自定义类型网页资源,URL过滤对除预定义类型之外的所有网页资源的访问均进行日志记录。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示自定义网页资源类型,取值范围为1~63个字符的字符串,不区分大小写。
【使用指导】
此命令生效的优先级低于url-filter log directory root命令,如果已经配置url-filter log directory root命令,则本配置不能生效。因此,如果要本配置生效,则需要执行undo url-filter log directory root命令。
可多次执行此命令,指定多种不记录访问日志的自定义网页资源类型。
执行undo url-filter log except user-defined命令时,若未指定任何参数,则表示URL过滤对所有自定义类型网页资源的访问均进行日志记录。
【举例】
# 配置URL过滤对自定义html类型网页资源的访问不进行日志记录。
<Sysname> system-view
[Sysname] url-filter log except user-defined html
【相关命令】
· category action logging
· default-action logging
· url-filter log directory root
· url-filter log except pre-defined
url-filter policy命令用来创建URL过滤策略,并进入URL过滤策略视图。如果指定的URL过滤策略已经存在,则直接进入URL过滤策略视图。
undo url-filter policy命令用来删除指定的URL过滤策略。
【命令】
url-filter policy policy-name
undo url-filter policy policy-name
【缺省情况】
不存在URL过滤策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:表示URL过滤策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
一个URL过滤策略中可以为每个URL过滤分类配置动作,也可以在URL过滤策略中定义URL过滤策略的缺省动作。
URL过滤策略仅在被DPI应用profile中引用后生效。有关DPI应用profile的详细介绍请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
【举例】
# 创建一个名为news的URL过滤策略
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news]
url-filter signature auto-update命令用来开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。
undo url-filter signature auto-update命令用来关闭定期自动在线升级URL过滤特征库功能。
【命令】
url-filter signature auto-update
undo url-filter signature auto-update
【缺省情况】
定期自动在线升级URL过滤特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL过滤特征库进行升级。
【举例】
# 开启定期自动在线升级URL过滤特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] url-filter signature auto-update
[Sysname-url-filter-autoupdate]
【相关命令】
· update schedule
url-filter signature auto-update-now命令用来立即自动在线升级URL过滤特征库。
【命令】
url-filter signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
当管理员发现官方网站上的特征库服务专区中的URL过滤特征库有更新时,可以选择立即自动在线升级方式来及时升级URL过滤特征库版本。
【举例】
# 立即自动在线升级URL过滤特征库版本。
<Sysname> system-view
[Sysname] url-filter signature auto-update-now
url-filter signature rollback命令用来回滚URL过滤特征库版本。
【命令】
url-filter signature rollback { factory | last }
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
factory:表示URL过滤特征库的出厂版本。
last:表示URL过滤特征库的上一版本。
【使用指导】
URL过滤特征库回滚是指将当前的URL过滤特征库版本回滚到指定的URL过滤特征库版本。如果管理员发现设备对用户访问Web的URL过滤的误报率较高或出现异常情况,则可以对当前URL过滤特征库版本进行回滚。目前支持将设备中的URL过滤特征库版本回滚到出厂版本和上一版本。
URL过滤特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL过滤特征库版本是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置URL过滤特征库回滚到上一版本。
<Sysname> system-view
[Sysname] url-filter signature rollback last
url-filter signature update命令用来手动离线升级URL过滤特征库。
【命令】
url-filter signature update file-path
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-path:指定特征库文件的路径,为1~255个字符的字符串。
【使用指导】
H3C官方网站上的特征库服务专区根据设备的内存大小以及软件版本为用户提供了不同的特征库。管理员需要根据设备实际情况获取相应的特征库,如果为小内存设备(8GB以下)升级了适用于大内存设备(8GB以上)的特征库,可能会导致设备异常,请谨慎操作。
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL过滤特征库版本。
· 本地升级:使用本地保存的特征库文件升级系统上的URL过滤特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统上的URL过滤特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-8;FTP/TFTP升级时参数file-path取值请参见表1-9。
表1-8 本地升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-9 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级URL过滤特征库,且采用TFTP方式,URL过滤特征库文件的远程路径为tftp://192.168.0.10/url-filter-1.0.2-en.dat。
<Sysname> system-view
[Sysname] url-filter signature update tftp://192.168.0.10/url-filter-1.0.2-en.dat
# 配置手动离线升级URL过滤特征库,且采用FTP方式,URL过滤特征库文件的远程路径为ftp://192.168.0.10/url-filter-1.0.2-en.dat,用户名为user:123,密码为user@abc/123。
<Sysname> system-view
[Sysname] url-filter signature update ftp://user%3A123:user%40abc%2F123@192.168.0.10/url-filter-1.0.2-en.dat
# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] url-filter signature update url-filter-1.0.23-en.dat
# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfa0:/dpi/url-filter-1.0.23-en.dat,且当前工作路径为cfa0:。
<Sysname> cd dpi
<Sysname> system-view
[Sysname] url-filter signature update url-filter-1.0.23-en.dat
# 配置手动离线升级URL过滤特征库,且采用本地方式,URL过滤特征库文件的本地路径为cfb0:/dpi/url-filter-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] url-filter signature update dpi/url-filter-1.0.23-en.dat
url-reputation enable命令用来开启URL信誉功能。
undo url-reputation enable命令用来关闭URL信誉功能。
【命令】
url-reputation enable
undo url-reputation enable
【缺省情况】
URL信誉功能处于关闭状态。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
URL信誉功能用于对恶意的URL进行过滤。开启URL信誉功能后,设备会将流量与URL信誉特征库中的URL进行匹配,如果匹配成功,则对报文执行相应的动作(通过attack-category action命令配置);如果匹配失败,则放行报文。
【举例】
# 在名称为abc的URL过滤策略中,开启URL信誉功能。
<Sysname> system-view
[Sysname] url-filter policy abc
[Sysname-url-filter-policy-abc] url-reputation enable
url-reputation signature auto-update命令用来开启定期自动在线升级URL信誉特征库功能,并进入自动升级配置视图。
undo url-reputation signature auto-update命令用来关闭定期自动在线升级URL信誉特征库功能。
【命令】
url-reputation signature auto-update
undo url-reputation signature auto-update
【缺省情况】
定期自动在线升级URL信誉特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的URL信誉特征库进行升级。
【举例】
# 开启定期自动在线升级URL信誉特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] url-reputation signature auto-update
[Sysname-url-reputation-autoupdate]
【相关命令】
· update schedule
url-reputation signature auto-update-now命令用来立即自动在线升级URL信誉特征库。
【命令】
url-reputation signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行此命令后,将立即自动升级设备上的URL信誉特征库,且会备份当前的URL信誉特征库文件。此命令的生效与否,与是否开启了定期自动升级URL信誉特征库功能无关。
当管理员发现官方网站上的特征库服务专区中的URL信誉特征库有更新时,可以选择立即自动在线升级方式来及时升级URL信誉特征库版本。
【举例】
# 立即自动在线升级URL信誉特征库版本。
<Sysname> system-view
[Sysname] url-reputation signature auto-update-now
url-reputation signature rollback命令用来回滚URL信誉特征库。
【命令】
url-reputation signature rollback last
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
last:表示URL信誉特征库的上一版本。
【使用指导】
URL信誉特征库回滚是指将当前的URL信誉特征库版本回滚到上一次的版本。如果管理员发现设备当前URL信誉特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前URL信誉特征库版本进行回滚。
URL信誉特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前URL信誉特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置URL信誉特征库回滚到上一版本。
<Sysname> system-view
[Sysname] url-reputation signature rollback last
url-reputation signature update命令用来手动离线升级URL信誉特征库。
【命令】
url-reputation signature update file-path
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-path:指定特征库文件的路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级URL信誉特征库版本。
· 本地升级:使用设备本地保存的特征库文件升级系统中的URL信誉特征库版本。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统中的URL信誉特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-10;FTP/TFTP升级时参数file-path取值请参见表1-11。
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
Filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-11 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则,设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级URL信誉特征库,且采用TFTP方式,URL信誉特征库文件的远程路径为tftp://192.168.0.10/url-1.0.2-en.dat。
<Sysname> system-view
[Sysname] url-reputation signature update tftp://192.168.0.10/url-1.0.2-en.dat
# 配置手动离线升级URL信誉特征库,且采用本地方式,URL信誉特征库文件的本地路径为cfb0:/dpi/url-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] url-reputation signature update dpi/url-1.0.23-en.dat
whitelist-only enable命令用来开启仅支持URL过滤白名单功能。
undo whitelist-only enable命令用来关闭仅支持URL过滤白名单功能。
【命令】
whitelist-only enable
undo whitelist-only enable
【缺省情况】
仅支持URL过滤白名单功能处于关闭状态。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
当管理员只希望通过配置白名单指定内部用户可以访问的网站,不想进行其他复杂配置时(例如配置URL过滤分类和URL过滤分类的动作),可以开启本功能。
开启本功能后,设备仅允许用户访问白名单中的网站,其他网站均不允许访问。
【举例】
# 在名为news的URL过滤策略中,开启仅支持白名单功能。
<Sysname> system-view
[Sysname] url-filter policy news
[Sysname-url-filter-policy-news] whitelist-only enable
【相关命令】
· add
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
