- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-域名信誉命令
本章节下载: 12-域名信誉命令 (248.69 KB)
目 录
1.1.2 display domain-reputation attack-category
1.1.3 display domain-reputation domain
1.1.4 display domain-reputation exception
1.1.5 display domain-reputation signature library
1.1.6 display domain-reputation top-hit-statistics
1.1.8 domain-reputation signature auto-update
1.1.9 domain-reputation signature auto-update-now
1.1.10 domain-reputation signature rollback
1.1.11 domain-reputation signature update
1.1.14 top-hit-statistics enable
attack-category命令用来配置对指定攻击分类执行的操作。
undo attack-category命令用来恢复缺省情况。
【命令】
attack-category attack-id { action { deny | permit } | logging { disable | enable } }*
undo attack-category attack-id
【缺省情况】
未配置对指定攻击分类执行的操作,设备执行允许和记录日志动作。
【视图】
域名信誉视图
【缺省用户角色】
network-admin
context-admin
【参数】
attack-id:攻击分类的编号,取值范围为1~65535。可通过输入“?”查看攻击分类名称对应的攻击分类ID,也可以通过display domain-reputation attack-category命令查看。
action:表示攻击分类的匹配动作。
deny:表示动作为丢弃。
permit:表示动作为放行。
logging:表示域名信誉日志功能,即域名匹配到域名信誉攻击分类时,生成日志信息的功能。
disable:表示关闭日志功能。
enable:表示开启日志功能。
【使用指导】
本功能仅在开启全局域名信誉功能后生效。
域名信誉库中,一个域名可对应多种攻击分类。管理员可以根据实际需求,为每种攻击分类配置相应执行的动作。
当域名只属于一种攻击分类时,设备将对匹配上该域名的报文执行攻击分类对应的动作;当域名属于多种攻击分类时,设备将对匹配上该域名的报文执行多种攻击分类中优先级最高的动作。其中,动作的优先级从高到底依次为:阻断>允许。
只要域名所属的任一攻击分类开启了日志功能,则对匹配上该域名的报文执行记录日志动作。
【举例】
# 配置域名信誉库中编号为1的攻击分类对应的动作为deny,并开启日志功能。
<Sysname> system-view
[Sysname] domain-reputation
[Sysname-domain-reputation] attack-category 1 action deny logging enable
【相关命令】
· display domain-reputation attack-category
· global enable
display domain-reputation attack-category命令用来显示域名信誉攻击分类信息。
【命令】
display domain-reputation attack-category
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
仅在全局域名信誉功能处于开启状态时,才能查看到域名信誉攻击分类信息。
如果未配置对指定攻击分类执行的动作,则显示为缺省的允许和记录日志。
【举例】
# 显示域名信誉攻击分类信息。
<Sysname> display domain-reputation attack-category
Attack id Attack name Action Logging
----------------------------------------------------------
1 C&C deny enable
2 Network_Worm permit enable
3 Risk_Software permit enable
4 Malware permit enable
5 Trojan deny enable
6 Infectious_Virus permit enable
7 Trojan_the_Thief permit enable
8 Ransomware permit enable
9 miner permit enable
10 Botnet permit enable
15 tor permit enable
16 Porn_Website permit enable
17 Gambling_Website permit enable
18 Phishing_Website permit enable
19 Fraud_Website permit enable
20 spam permit enable
21 Malicious_Email permit enable
22 DGA permit enable
23 APT permit enable
表1-1 display domain-reputation attack-category命令显示信息描述表
|
字段 |
描述 |
|
Attack id |
攻击分类ID |
|
Attack name |
攻击分类名称 |
|
Action |
对匹配上攻击分类的报文执行动作,取值包括: · permit:放行 · deny:丢弃 |
|
Logging |
表示日志功能启用状态,取值包括: · enable:开启状态 · disable:关闭状态 |
【相关命令】
· attack-category
· global enable
display domain-reputation domain命令用来显示域名的域名信誉信息。
【命令】
display domain-reputation domain domain-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
domain-name:显示指定域名的域名信誉信息。其中,domain-name表示域名,为3~255个字符的字符串,不区分大小写,只能包含字母、数字、连接符“-”和点号“.”。管理员可通过display domain-reputation top-hit-statistics命令获取域名。
【使用指导】
仅在全局域名信誉功能处于开启状态时,才能查看到域名信誉信息。
域名信誉信息中包含域名所属的攻击分类、执行动作和命中信誉特征库的次数等。
一个域名可同时属于多种攻击分类,每种攻击分类都有对应的执行动作等信息。设备将显示域名所属的所有攻击分类的相关信息。
【举例】
# 显示域名为movimet.com的域名信誉信息。
<Sysname> display domain-reputation domain movimet.com
Domain name Attack id Attack name Action Logging Hit count
--------------------------------------------------------------------------------------
movimet.com 18 Phishing_Website deny enable 48
表1-2 display domain-reputation命令显示信息描述表
|
字段 |
描述 |
|
Domain name |
表示查询的域名 |
|
Attack id |
表示该域名对应的攻击分类ID |
|
Attack name |
表示该域名对应的攻击分类名称 |
|
Action |
表示对匹配上该域名的报文执行动作,取值包括: · Permit:表示放行 · Deny:表示丢弃 |
|
Logging |
表示日志功能的启用状态,取值包括: · enable:表示开启日志功能 · disable:表示关闭日志功能 |
|
Hit count |
表示该域名命中域名信誉库的次数 |
【相关命令】
· display domain-reputation top-hit-statistics
· global enable
display domain-reputation exception命令用来显示例外域名。
【命令】
display domain-reputation exception
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
仅在全局域名信誉功能处于开启状态时,才能查看到例外域名。
【举例】
# 显示例外域名。
<Sysname> display domain-reputation exception
domain names
movimet.com
www.abcsd.com
【相关命令】
· exception
· global enable
display domain-reputation signature library命令用来显示域名信誉特征库信息。
【命令】
display domain-reputation signature library
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示域名信誉特征库信息。
<Sysname> display domain-reputation signature library
domain-reputation signature library information:
Type SigVersion ReleaseTime Size
Current 1.0.6 Tue Jul 28 12:35:15 2020 560208
Last 1.0.7 Tue Aug 11 08:06:31 2020 399104
Factory - - -
表1-3 display domain-reputation signature library命令显示信息描述表
|
字段 |
描述 |
|
Type |
域名信誉特征库版本,包括如下取值: · Current:表示当前版本 · Last:表示上一版本 · Factory:表示出厂版本(暂不支持) |
|
SigVersion |
域名信誉特征库版本号 |
|
ReleaseTime |
域名信誉特征库发布时间 |
|
Size |
域名信誉特征库文件大小,单位是Bytes |
display domain-reputation top-hit-statistics命令用来显示命中域名信誉库的域名Top排名统计信息。
【命令】
display domain-reputation top-hit-statistics [ top-number] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
top-number:显示命中域名信誉库次数排名前top-number名的域名统计信息。top-number的取值范围为10~100,缺省值为10。
chassis chassis-number slot slot-number:显示指定成员设备指定单板上命中域名信誉库次数排名前top-number的域名统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,显示所有单板上命中域名信誉库次数排名前top-number的域名统计信息。
【使用指导】
仅在命中域名信誉库的域名Top排名统计功能处于开启状态时,才能查看到排名统计信息。
本命令仅显示命中次数非零的域名排名统计信息,实际显示条目数可能小于top-number。
【举例】
# 显示指定slot上的命中域名信誉库次数排名前10的域名排名统计信息。
<Sysname> display domain-reputation top-hit-statistics 10 chassis 1 slot 2
Slot 2 in chassis 1:
Domain name Hit count
--------------------------------
www.sina.com.cn 1000
movimet.com 999
www.h3c.com 996
www.yahoo.com.cn 995
www.hao123.com 992
表1-4 display domain-reputation top-hit-statistics命令显示信息描述表
|
字段 |
描述 |
|
Domain name |
命中域名信誉库的域名 |
|
Hit count |
命中域名信誉库的次数 |
【相关命令】
· global enable
· top-hit-statistics enable
domain-reputation命令用来进入域名信誉视图。
undo domain-reputation命令用来删除域名信誉视图下的所有配置。
【命令】
domain-reputation
undo domain-reputation
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 进入域名信誉视图。
<Sysname> system-view
[Sysname] domain-reputation
[Sysname-domain-reputation]
domain-reputation signature auto-update命令用来开启定期自动在线升级域名信誉特征库功能,并进入自动升级配置视图。
undo domain-reputation signature auto-update命令用来关闭定期自动在线升级域名信誉特征库功能。
【命令】
domain-reputation signature auto-update
undo domain-reputation signature auto-update
【缺省情况】
定期自动在线升级域名信誉特征库功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果设备可以访问官方网站上的特征库服务专区,可以采用定期自动在线升级方式来对设备上的域名信誉特征库进行升级。
【举例】
# 开启定期自动在线升级域名信誉特征库功能,并进入自动升级配置视图。
<Sysname> system-view
[Sysname] domain-reputation signature auto-update
[Sysname-domain-reputation-autoupdate]
【相关命令】
· update schedule
domain-reputation signature auto-update-now命令用来立即自动在线升级域名信誉特征库。
【命令】
domain-reputation signature auto-update-now
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行此命令后,将立即自动升级设备上的域名信誉特征库,且会备份当前的域名信誉特征库文件。此命令的生效与否,与是否开启了定期自动升级域名信誉特征库功能无关。
当管理员发现官方网站上的特征库服务专区中的域名信誉特征库有更新时,可以选择立即自动在线升级方式来及时升级域名信誉特征库版本。
【举例】
# 立即自动在线升级域名信誉特征库版本。
<Sysname> system-view
[Sysname] domain-reputation signature auto-update-now
domain-reputation signature rollback命令用来回滚域名信誉特征库。
【命令】
domain-reputation signature rollback last
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
last:表示域名信誉特征库的上一版本。
【使用指导】
域名信誉特征库回滚是指将当前的域名信誉特征库版本回滚到上一次的版本。如果管理员发现设备当前域名信誉特征库版本在检测和防御网络攻击时,误报率较高或出现异常情况,则可以对当前域名信誉特征库版本进行回滚。
域名信誉特征库版本每次回滚前,设备都会备份当前版本。多次回滚上一版本的操作将会在当前版本和上一版本之间反复切换。例如当前域名信誉特征库是V2,上一版本是V1,第一次执行回滚到上一版本的操作后,特征库替换成V1版本,再执行回滚上一版本的操作则特征库重新变为V2版本。
【举例】
# 配置域名信誉特征库回滚到上一版本。
<Sysname> system-view
[Sysname] domain-reputation signature rollback last
【相关命令】
· display domain-reputation signature library
domain-reputation signature update命令用来手动离线升级域名信誉特征库。
【命令】
domain-reputation signature update file-path
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-path:指定特征库文件的源路径,为1~255个字符的字符串。
【使用指导】
如果设备不能访问官方网站上的特征库服务专区,管理员可以采用如下几种方式手动离线升级域名信誉特征库版本:
· 本地升级:使用设备本地保存的特征库文件升级系统中的域名信誉特征库版本,使用此方式前,请先从官方网站获取特征库文件并导入到设备中。
· FTP/TFTP升级:通过FTP或TFTP方式下载远程服务器上保存的特征库文件,并升级系统中的域名信誉特征库版本。
使用本地升级方式离线升级特征库版本时,特征库文件只能存储在当前全局主用主控板上,否则设备升级特征库会失败。
参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-5;FTP/TFTP升级时参数file-path取值请参见表1-6。
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
特征库文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下,再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
表1-6 FTP/TFTP升级时参数file-path取值说明表
|
升级场景 |
参数file-path取值 |
说明 |
|
特征库文件存储在开启FTP服务的远程服务器上 |
ftp://username:password@server/filename |
username为登录FTP服务器的用户名,password为登录FTP服务器的密码,server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时,需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f” |
|
特征库文件存储在开启TFTP服务的远程服务器上 |
tftp://server/filename |
server为TFTP服务器的IP地址或主机名 |
当采用FTP/TFTP方式升级特征库时,如果指定的是服务器的主机名,则需要确保设备能通过静态或动态域名解析方式获得FTP/TFTP服务器的IP地址,并与之路由可达。否则,设备升级特征库会失败。有关域名解析功能的详细配置请参见“三层技术-IP业务配置指导”中的“域名解析”。
【举例】
# 配置手动离线升级域名信誉特征库,且采用TFTP方式,域名信誉特征库文件的远程路径为tftp://192.168.0.10/domain-1.0.2-en.dat。
<Sysname> system-view
[Sysname] domain-reputation signature update tftp://192.168.0.10/domain-1.0.2-en.dat
# 配置手动离线升级域名信誉特征库,且采用本地方式,域名信誉特征库文件的本地路径为cfb0:/dpi/domain-1.0.23-en.dat,当前工作路径为cfa0:。
<Sysname> cd cfb0:/
<Sysname> system-view
[Sysname] domain-reputation signature update dpi/domain-1.0.23-en.dat
exception命令用来配置例外域名。
undo exception命令用来删除例外域名。
【命令】
exception domain domain-name
undo exception domain domain-name
【缺省情况】
未配置例外域名。
【视图】
域名信誉视图
【缺省用户角色】
network-admin
context-admin
【参数】
domain domain-name:表示例外域名,为3~255个字符的字符串,不区分大小写,只能包含字母、数字、连接符“-”和点号“.”。管理员可通过display domain-reputation top-hit-statistics命令获取域名。
【使用指导】
本功能仅在开启域名信誉功能后生效。
若DNS报文中检测到的域名匹配例外域名,则直接放行报文。
多次执行本命令,可配置多个例外域名。
【举例】
# 配置例外域名为movimet.com。
<Sysname> system-view
[Sysname] domain-reputation
[Sysname-domain-reputation] exception domain movimet.com
【相关命令】
· display domain-reputation exception
· display domain-reputation top-hit-statistics
· global enable
global enable命令用来开启全局域名信誉功能。
undo global enable命令用来关闭全局域名信誉功能。
【命令】
global enable
undo global enable
【缺省情况】
全局域名信誉功能处于关闭状态。
【视图】
域名信誉视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启本功能后,当DNS报文中的域名匹配到域名信誉特征库中域名后,设备将对报文执行相应的操作。
【举例】
# 开启全局域名信誉功能。
<Sysname> system-view
[Sysname] domain-reputation
[Sysname-domain-reputation] global enable
top-hit-statistics enable命令用来开启命中域名信誉库的域名Top排名统计功能。
undo top-hit-statistics enable命令用来关闭命中域名信誉库的域名Top排名统计功能。
【命令】
top-hit-statistics enable
undo top-hit-statistics enable
【缺省情况】
命中域名信誉库的域名Top排名统计功能处于关闭状态。
【视图】
域名信誉视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本功能仅在开启域名信誉功能后生效。
开启本功能后,设备将对命中域名信誉库的域名进行统计排名。关闭本功能后,统计信息将自动清空。
【举例】
# 开启命中域名信誉库的域名Top排名统计功能。
<Sysname> system-view
[Sysname] domain-reputation
[Sysname-domain-reputation] top-hit-statistics enable
【相关命令】
· display domain-reputation top-hit-statistics
update schedule命令用来配置定期自动在线升级域名信誉特征库的时间。
undo update schedule命令用来恢复缺省情况。
【命令】
update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes
undo update schedule
【缺省情况】
设备在每天01:00:00至03:00:00之间开始自动在线升级域名信誉特征库。
【视图】
自动升级配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
daily:表示自动升级周期为每天。
weekly:表示以一周为周期,在指定的一天进行自动升级。
fri:表示星期五。
mon:表示星期一。
sat:表示星期六。
sun:表示星期日。
thu:表示星期四。
tue:表示星期二。
wed:表示星期三。
start-time time:指定自动升级开始时间,time的格式为hh:mm:ss,取值范围为00:00:00~23:59:59。
tingle minutes:指定抖动时间,即实际自动升级开始时间的偏差范围,取值范围为0~120,单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围,例如,指定自动升级的开始时间为01:00:00,抖动时间为60分钟,则开始自动升级的时间范围为00:30:00至01:30:00。
【举例】
# 配置域名信誉特征库的定期自动在线升级时间为每周一20:30:00,抖动时间为10分钟。
<Sysname> system-view
[Sysname] domain-reputation signature auto-update
[Sysname-domain-reputation-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10
【相关命令】
· domain-reputation signature auto-update
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
