- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
08-代理策略命令
本章节下载: 08-代理策略命令 (376.44 KB)
目 录
1.1.2 app-proxy internal-server-certificate delete· 1-2
1.1.3 app-proxy internal-server-certificate import 1-2
1.1.4 app-proxy ssl whitelist activate· 1-3
1.1.5 app-proxy ssl whitelist predefined-hostname enable· 1-4
1.1.6 app-proxy ssl whitelist user-defined-hostname· 1-5
1.1.7 app-proxy ssl-decrypt-certificate delete· 1-6
1.1.8 app-proxy ssl-decrypt-certificate import 1-6
1.1.9 app-proxy ssl-decrypt-certificate modify· 1-7
1.1.12 default ssl-decrypt protect-mode· 1-10
1.1.13 destination-ip object-group· 1-11
1.1.16 display app-proxy imported internal-server-certificate· 1-13
1.1.17 display app-proxy server-certificate· 1-16
1.1.18 display app-proxy ssl whitelist hostname· 1-17
1.1.19 display app-proxy ssl whitelist { ipv4 | ipv6 } 1-18
1.1.20 display app-proxy ssl-decrypt-certificate· 1-19
1.1.21 display app-proxy-policy· 1-22
1.1.22 reset app-proxy server-certificate· 1-23
1.1.23 reset app-proxy ssl whitelist ip· 1-24
1.1.28 source-ip object-group· 1-27
action命令用来配置代理策略规则的动作。
undo action命令用来恢复缺省情况。
【命令】
action { no-proxy | ssl-decrypt | tcp-proxy }
undo action
【缺省情况】
代理策略规则动作为no-proxy。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
no-proxy:表示动作为不代理。
ssl-decrypt:表示动作为SSL解密。
tcp-proxy:表示动作为TCP代理。
【使用指导】
设备将根据代理策略规则的动作对命中规则的流量进行如下处理:
· 代理策略的动作配置为不代理时,设备将对命中策略的流量进行透传。
· 代理策略的动作配置为SSL解密时,设备将对命中策略的流量进行SSL代理,并基于此对SSL流量进行解密,并对解密后的流量进行深度安全检测和七层负载均衡。其中,SSL代理是基于TCP代理实现的。
· 代理策略的动作配置为TCP代理时,设备将对命中策略的流量进行TCP代理,为客户端和服务器端之间提供TCP层隔离,可有效地拦截恶意连接和攻击。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置代理策略规则rule1的动作为SSL解密。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] action ssl-decrypt
【相关命令】
· display app-proxy-policy
· rule
app-proxy internal-server-certificate delete命令用来删除SSL代理时使用的内网服务器证书。
【命令】
app-proxy internal-server-certificate delete md5 md5-value
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
md5 md5-value:表示SSL代理时使用的内网服务器证书的MD5值。
【使用指导】
当服务器证书过期或不需要保护该服务器时,可通过本命令删除导入的证书。
可通过display app-proxy imported internal-server-certificate命令查看内网服务器证书的MD5值。
【举例】
# 删除MD5值为c4f5f2c41ca1de4258d893c9887bf287的SSL代理时使用的内网服务器证书。
<Sysname> system-view
[Sysname] app-proxy internal-server-certificate delete md5 c4f5f2c41ca1de4258d893c9887bf287
【相关命令】
· display app-proxy imported internal-server-certificate
app-proxy internal-server-certificate import命令用来导入SSL代理时使用的内部服务器证书。
【命令】
app-proxy internal-server-certificate import { p12 | pem } filename filename
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
p12:表示导入的证书的格式为PKCS#12编码。
pem:表示导入的证书的格式为PEM编码。
filename filename:表示导入的证书文件的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在SSL代理保护内网服务器的场景下,需要用户导入受保护的内网服务器证书。导入证书后,设备将对证书进行解析,并生成一个CER格式的证书文件和一个密钥文件。CER证书用于校验服务器身份,密钥文件用于后续SSL代理过程中加解密报文。设备将计算CER证书文件的MD5值,并将MD5值作为证书的唯一标识。
在SSL代理过程中,设备收到服务器发来的证书后,会先计算证书的MD5值,并与已导入的内网服务器证书的MD5值进行匹配。如果MD5值相同,则认为该证书可信,并使用导入的内网服务器证书与客户端进行SSL协商;如果MD5值不同,则认为证书不可信,不进行SSL代理。
多次执行本命令,可导入多个内网服务器证书。若导入证书的MD5值已存在,则覆盖MD5值相同的已有证书。
【举例】
# 导入PKCS#12编码格式的SSL代理时使用的内网服务器证书。
<Sysname> system-view
[Sysname] app-proxy internal-server-certificate import p12 filename server.p12
Password:
【相关命令】
· display app-proxy imported internal-server-certificate
app-proxy ssl whitelist activate命令用来激活SSL代理白名单的配置。
【命令】
app-proxy ssl whitelist activate
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
需要激活SSL代理域名白名单配置的场景如下:
· 对自定义SSL代理域名白名单进行添加、修改和删除操作。
· 对预定义SSL代理域名白名单进行启用或禁用操作。
【举例】
# 配置example.com加入SSL代理域名白名单,并激活配置。
<Sysname> system-view
[Sysname] app-proxy ssl whitelist user-defined-hostname example.com
To activate the setting, execute app-proxy ssl whitelist activate.
[sysname] app-proxy ssl whitelist activate
【相关命令】
· app-proxy ssl whitelist predefined-hostname enable
· app-proxy ssl whitelist user-defined-hostname
app-proxy ssl whitelist predefined-hostname enable命令用来启用预定义SSL代理域名白名单。
undo app-proxy ssl whitelist predefined-hostname enable命令用来禁用预定义SSL代理域名白名单。
【命令】
app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable
undo app-proxy ssl whitelist predefined-hostname { chrome-hsts [ hostname ] | hostname } enable
【缺省情况】
预定义SSL代理域名白名单处于启用状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chrome-hsts [ host-name ]:表示Chrome浏览器强制使用HTTPS方式访问的域名。host-name,表示域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来”例如"user for test"。若不指定本参数,则表示所有Chrome-hsts类型的域名。
host-name:表示不被Chrome浏览器强制使用HTTPS方式访问的域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来”例如"user for test"。
【使用指导】
HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。当chrome-hsts白名单整体处于禁用状态时,单独启用或禁用指定的chrome-hsts域名不生效。
当chrome-hsts白名单整体处于开启状态时,可单独启用或禁用指定的chrome-hsts域名。
【举例】
# 整体禁用预定义SSL代理域名白名单中的chrome-hsts。
<Sysname> system-view
[sysname] undo app-proxy ssl whitelist predefined-hostname chrome-hsts enable
To activate the setting, execute app-proxy ssl whitelist activate.
# 禁用预定义SSL代理域名白名单中的12306.cn。
<Sysname> system-view
[sysname] undo app-proxy ssl whitelist predefined-hostname 12306.cn enable
To activate the setting, execute app-proxy ssl whitelist activate.
【相关命令】
· app-proxy ssl whitelist activate
· display app-proxy ssl whitelist
app-proxy ssl whitelist user-defined-hostname命令用来添加自定义SSL代理域名白名单。
undo app-proxy ssl whitelist user-defined-hostname命令用来删除自定义SSL代理域名白名单。
【命令】
app-proxy ssl whitelist user-defined-hostname host-name
undo app-proxy ssl whitelist user-defined-hostname { host-name | all }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
host-name:表示服务器域名,为1~63个字符的字符串,不区分大小写。当名称中包含空格时,需要使用双引号将名称括起来,例如"user for test"。
all:表示删除自定义SSL代理域名白名单中的所有域名。
【使用指导】
设备使用host-name与SSL请求报文中携带的服务器证书的“DNS Name”或“Common Name”字段进行匹配,只要含有host-name的域名均会匹配成功。若匹配成功,则透传该SSL连接。
配置本命令后需要执行app-proxy ssl whitelist activate命令,使配置生效。
【举例】
# 添加名为example.com的自定义SSL代理域名白名单,并提交配置。
<Sysname> system-view
[Sysname] app-proxy ssl whitelist user-defined-hostname example.com
To activate the setting, execute app-proxy ssl whitelist activate.
[sysname] app-proxy ssl whitelist activate
【相关命令】
· app-proxy ssl whitelist activate
· display app-proxy ssl whitelist
app-proxy ssl-decrypt-certificate delete命令用来删除SSL解密证书。
【命令】
app-proxy ssl-decrypt-certificate delete filename filename
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filename:表示SSL解密证书的文件名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
如果删除SSL解密证书,设备将不能签发SSL代理服务器证书发送到客户端,SSL代理连接失败,设备将直接透传报文。
当证书成功导入设备后,文件类型会被改为CER格式,删除证书时需要将指定的证书后缀名改为.cer。
【举例】
# 删除SSL解密证书。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate delete filename aaa.cer
【相关命令】
· display app-proxy ssl-decrypt-certificate
app-proxy ssl-decrypt-certificate import命令用来导入SSL解密证书。
【命令】
app-proxy ssl-decrypt-certificate import { trusted | untrusted } { pem | p12 } filename filename
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
trusted:表示SSL解密证书可以用于签发标识为可信的SSL代理服务器证书。用于传递真实服务器证书合法的信息给客户端。
untrusted:表示SSL解密证书可以用于签发标识为不可信的SSL代理服务器证书。客户端不信任的CA证书。用于传递真实服务器证书非法的信息给客户端,让用户感知到可能存在的安全风险。
pem:表示导入的证书的格式为PEM编码。
P12:表示导入的证书的格式为PKCS#12编码。
filename filename:表示导入的证书文件的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
导入SSL解密证书时需要为其标识可以签发的SSL代理服务器证书的可信度。
当设备接收到服务器证书后,将代替客户端对服务器的合法性进行验证,并使用具备签发不同标识功能的SSL解密证书签发不同标识的SSL代理服务器证书向客户端传递服务器的合法性信息:
· 当服务器合法时:设备将使用可签发可信标识的SSL解密证书签发一本可信SSL代理服务器证书,向客户端传递此服务器合法的信息。
· 当服务器不合法时:设备将使用可签发不可信标识的SSL解密证书签发一本不可信SSL代理服务器证书,向客户端传递此服务器不合法的信息。
设备上只能存在一份可信SSL解密证书和一份不可信SSL解密证书,多次执行本命令,后续导入的可信或者不可信证书会覆盖原有的证书。
同一本 SSL解密证书仅可导入一次,如果需要为同一本证书标识两种可信度,可执行app-proxy ssl-decrypt-certificate modify命令为证书添加可信度标识。
需要在客户端浏览器上安装并信任SSL解密证书。防止设备启用SSL解密功能后,客户端通过浏览器访问HTTPS类网站时,会弹出服务器证书不是由受信任机构颁发的告警信息,甚至有些应用程序不提示告警信息就直接中断了连接,影响用户的正常使用。
默认情况下,火狐浏览器不共享系统中的证书库,如果已经在其他浏览器上导入SSL卸载证书,则可以通过修改火狐浏览器中的高级设置,使其共享系统中的证书库,不再单独导入证书,具体操作步骤如下:
在地址栏中输入:about:config,搜索框中输入:security.enterprise_roots.enabled,双击选中的条目,或者单击鼠标右键,选择切换,修改其值为true。
导入成功后,设备将修改证书文件类型为CER格式。
【举例】
# 导入PKCS#12编码格式的用于签发可信SSL代理服务器证书的SSL解密证书。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate import trusted p12 filename aaa.p12
Password:
【相关命令】
· display app-proxy ssl-decrypt-certificate certificate
app-proxy ssl-decrypt-certificate modify命令用来添加SSL解密证书可签发SSL代理服务器证书的可信度。
undo app-proxy ssl-decrypt-certificate modify命令用来删除SSL解密证书可签发SSL代理服务器证书的可信度。
【命令】
app-proxy ssl-decrypt-certificate modify { trusted | untrusted } filename filename
undo app-proxy ssl-decrypt-certificate modify { trusted | untrusted }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
trusted:表示SSL解密证书可以用于签发标识为可信的SSL代理服务器证书。用于传递真实服务器证书合法的信息给客户端。
untrusted:表示SSL解密证书可以用于签发标识为不可信的SSL代理服务器证书。客户端不信任的CA证书。用于传递真实服务器证书非法的信息给客户端,让用户感知到可能存在的安全风险。
filename:表示SSL解密证书文件的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
本命令可用于为同一本SSL解密证书添加可签发SSL代理服务器证书的可信度,即使用一本SSL解密证书同时签发可信和不可信的SSL代理服务器证书。
为SSL解密证书添加指定的可信度后,原指定可信度的证书将被删除。
删除SSL解密证书指定的可信度后,SSL解密证书不可签发指定可信度的SSL代理服务器证书,但SSL解密证书仍然保存在设备中,不会被删除,管理员可再次为SSL解密证书添加可信度。
当SSL解密证书成功导入设备后,文件类型会被改为CER格式,修改证书时需要将指定的证书后缀名改为.cer。
【举例】
# 修改用于签发SSL代理服务器证书的CA证书为可信证书。
<Sysname> system-view
[Sysname] app-proxy ssl-decrypt-certificate modify trusted filename aaa.cer
[Sysname] A trusted CA certificate already exists. Overwrite the existing trusted CA certificate with the specified certificate? [Y/N]:
【相关命令】
· display app-proxy ssl-decrypt-certificate
app-proxy-policy命令用来进入代理策略视图。
undo app-proxy-policy命令用来删除所有代理策略配置。
【命令】
app-proxy-policy
undo app-proxy-policy
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
目前仅支持IPv4代理策略。
【举例】
# 进入代理策略视图。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy]
【相关命令】
· display app-proxy-policy
default action命令用来配置代理策略的缺省动作。
undo default action命令用来恢复缺省情况。
【命令】
default action { no-proxy | ssl-decrypt | tcp-proxy }
undo default action
【缺省情况】
缺省动作为no-proxy。
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
no-proxy:表示动作为不代理。
ssl-decrypt:表示动作为SSL解密。
tcp-proxy:表示动作为TCP代理。
【使用指导】
配置此命令后,当报文没有匹配上代理策略中的规则时,设备将根据缺省动作对此报文进行处理。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置代理策略的缺省动作为SSL解密。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] default action ssl-decrypt
default ssl-decrypt protect-mode命令用来配置代理策略缺省动作为SSL解密时的SSL解密防护类型。
undo default ssl-decrypt protect-mode命令用来恢复缺省情况。
【命令】
default ssl-decrypt protect-mode { client | server }
undo default ssl-decrypt protect-mode
【缺省情况】
缺省SSL解密防护类型为client。
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
client:表示SSL解密防护类型为客户端。
server:表示SSL解密防护类型为服务器。
【使用指导】
SSL解密功能支持如下防护类型:
· 客户端:用于保护内网客户端的场景,可与DPI深度安全功能配合使用。设备解密报文后再对报文进行DPI深度安全业务的检测,防止内网客户端受到外部恶意网站的攻击。在此场景下,设备需要使用代理服务器证书与客户端进行SSL协商。
· 服务器:用于保护内网服务器的场景,可与DPI深度安全功能配合使用。设备解密报文后再对报文进行DPI深度安全业务的检测,防止外部恶意流量对内网服务器进行攻击。在此场景下,设备需要使用导入的内网服务器证书与客户端进行SSL协商。
有关DPI深度安全功能的详细介绍,请参见“DPI深度安全”中的“DPI深度安全概述”。
缺省情况下,当代理策略缺省动作为SSL解密时,SSL解密功能处于保护内网客户端的场景,用户可根据实际使用场景修改SSL解密防护类型。
请务必根据不同的使用场景正确配置SSL解密功能的防护类型,并配置相应类型的证书与客户端进行SSL协商。
本命令仅在代理策略缺省动作为SSL解密时生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置代理策略缺省动作为SSL解密时的SSL解密防护类型为server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] default ssl-decrypt protect-mode server
【相关命令】
· display app-proxy-policy
destination-ip object-group命令用来配置作为代理策略规则过滤条件的目的IP地址对象组。
undo destination-ip object-group命令用来删除作为代理策略规则过滤条件的目的IP地址对象组。
【命令】
destination-ip object-group object-group-name
undo destination-ip object-group [ object-group-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的目的IP地址对象组。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示目的地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个目的IP地址作为代理策略规则的过滤条件。只要一个目的IP地址匹配成功,则认为目的IP地址过滤条件匹配成功。
指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
使用undo命令时若不指定本参数,则表示删除所有目的IP地址对象组过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【举例】
# 配置作为代理策略规则rule1过滤条件的目的地址对象组为client1和client2。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] destination-ip object-group client1
[Sysname-app-proxy-policy-0-rule1] destination-ip object-group client2
【相关命令】
· display app-proxy-policy
· object-group(安全命令参考/对象组)
destination-zone命令用来配置作为代理策略规则过滤条件的目的安全域。
undo destination-zone命令用来删除作为代理策略规则过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的目的安全域。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个目的安全域作为代理策略规则的过滤条件。只要一个目的安全域匹配成功,则认为目的安全域过滤条件匹配成功。
如果指定的安全域不存在,配置可以成功下发,但不生效。
使用undo命令时若不指定此参数,则表示删除此规则中所有目的安全域类型的过滤条件。有关安全域的详细介绍,请参见“基础配置指导”中的“安全域”。
【举例】
# 配置作为代理策略规则rule1过滤条件的目的安全域为trust和server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] destination-zone trust
[Sysname-app-proxy-policy-0-rule1] destination-zone server
【相关命令】
· display app-proxy-policy
· security-zone(安全命令参考/安全域)
disable命令用来禁用代理策略规则。
undo disable命令用来启用代理策略规则。
【命令】
disable
undo disable
【缺省情况】
代理策略规则处于启用状态。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【使用指导】
禁用代理策略规则后,流量不会与代理策略规则进行匹配。
多条规则处于启用状态时,流量会按序匹配这些规则,一旦匹配成功就按照当前规则所配置动作处理。
【举例】
# 在代理策略规则视图下,禁用代理策略规则rule1。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] disable
【相关命令】
· rule
display app-proxy imported internal-server-certificate命令用来显示导入的SSL代理时使用的内网服务器证书。
【命令】
display app-proxy imported internal-server-certificate
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
可通过本命令查看导入的内网服务器证书信息,包括证书的MD5值、数据和签名算法等。
【举例】
# 显示导入的SSL代理时使用的内网服务器证书。
<Sysname> display app-proxy imported internal-server-certificate
Certificate Md5: c4f5f2c41ca1de4258d893c9887bf287
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
aa:31:f8:3d:06:b0:9b: Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Validity
Not Before: Sep 7 12:00:43 2017 GMT
Not After : Aug 28 12:00:43 2057 GMT
Subject: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ec:d7:73:af:03:07:07:86:e6:31:4d:e5:32:09:
20:7f:93:19:20:b2:25:c4:cc:32:8e:e4:29:fd:e0:
30:48:4c:8d:0a:83:66:28:af:6a:e0:69:81:08:58:
ca:cf:e4:3d:5a:e8:69:92:67:71:e3:c0:66:87:8e:
16:cc:6a:89:1d:d4:22:5f:93:14:47:bd:39:60:44:
3c:ee:0a:d1:8d:d4:16:84:65:e9:b7:b1:0f:6d:af:
6e:ef:21:b5:5a:02:4f:63:46:6e:8b:73:b5:95:70:
8a:ed:5d:23:8b:d8:0e:45:2d:8b:52:ab:34:6d:3b:
d5:85:ae:1c:d4:26:6e:fb:2c:1e:18:db:55:22:96:
d8:1f:1a:33:e9:ff:1f:8c:be:28:9d:de:77:d8:9b:
a7:27:0f:7e:e2:52:3e:bd:02:ee:c3:06:93:d0:16:
b0:c7:96:bb:c8:b1:96:8d:ee:ca:6e:76:63:1e:b1:
b6:fb:31:bf:d0:13:66:ad:f6:97:cf:0b:37:f7:6c:
f8:46:b6:76:f1:70:6f:24:6c:92:a6:dd:c2:3b:cf:
3c:35:c7:74:60:dd:db:a3:bf:70:b4:55:05:4b:d7:
cd:dd:c1:1b:59:0d:41:e7:95:5a:79:44:9d:b0:8b:
a7:f2:f4:67:0e:0c:4a:b6:35:97:1e:e6:99:88:fc:
c8:e9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
IP Address:1.1.1.1, DNS:trustca, email:[email protected]
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
D4:35:A8:66:63:03:04:2B:CA:4E:91:06:11:F5:72:1C:26:E0:BE:33
Netscape Cert Type:
SSL CA
Netscape Comment:
example comment extension
Signature Algorithm: sha1WithRSAEncryption
b9:d2:eb:98:bd:f9:8d:7e:03:a8:0e:b4:29:cf:3a:a1:fd:f4:
2a:fa:56:1c:cf:40:a4:9e:7f:5a:15:6b:88:8a:dd:86:d2:03:
c3:38:49:7a:11:09:78:81:8c:8f:0a:3b:fb:d6:60:59:c4:0b:
12:0e:38:b0:92:f3:2e:b5:96:ab:d3:a4:2d:cb:ef:fd:a0:97:
d0:63:43:8e:91:1f:f1:fc:39:c8:cf:e5:ee:4b:e7:8c:8b:f8:
3b:ff:5e:dc:00:df:5b:2f:98:53:f2:c7:da:fa:b8:2e:92:dd:
33:6a:80:df:0e:22:62:62:5d:2f:6c:eb:4c:80:c4:56:c9:00:
01:a6:82:60:e4:32:69:f7:7b:8f:6c:93:e5:c3:64:65:fe:aa:
e1:0b:10:92:bd:ea:2f:2f:e5:b6:fd:b5:5b:df:34:c8:5d:5a:
91:9a:0d:89:10:76:b8:ed:28:ef:6a:c4:7b:48:d7:88:57:7c:
cf:4e:c8:38:84:ad:54:6d:3f:40:a0:38:d7:36:61:23:7a:82:
62:34:41:3d:cc:b2:ee:4a:23:f1:7d:12:e2:23:26:10:df:c8:
a1:6f:00:00:b7:c2:1f:ce:1b:63:60:e0:63:33:e0:59:31:78:
bc:27:99:b6:27:40:95:da:1b:37:07:75:2f:99:97:56:33:f5:
4f:ad:14:31
图1-1 display app-proxy imported internal-server-certificate命令显示信息描述表
字段 | 描述 |
Certificate Md5 | 证书的MD5值 |
Certificate | 证书的信息 |
Data | 证书的数据 |
Version | 证书的版本 |
Serial Number | 证书的序列号 |
Signature Algorithm | 证书的签名算法 |
Issuer | 证书的颁发者 |
Validity | 证书的有效期 |
Subject | 证书的主题 |
Subject Public Key Info | 证书的主题公钥信息 |
Public Key Algorithm | 公钥算法 |
Public-Key | 公钥信息 |
Modulus | 密钥模数 |
Exponent | 密钥指数 |
X509v3 extensions | X.509v3证书扩展项 |
X509v3 Subject Alternative Name | 主题的备用名称 |
IP Address | 实体的IP地址 |
DNS | 实体的DNS名 |
实体的电子邮箱地址 | |
X509v3 Basic Constraints | 基本约束,指出一个证书是否是CA证书 |
X509v3 Key Usage | 密钥用法,指出有效用途 |
X509v3 Subject Key Identifier | 主题密钥标识符 |
Netscape Cert Type | Netscape证书类型,可以用于指定网景软件的密钥用途 |
Netscape Comment | Netscape注释,在某些浏览器中可以用于展示注释信息 |
【相关命令】
· app-proxy server-certificate import
· app-proxy server-certificate delete
display app-proxy server-certificate命令用来显示客户端访问的服务器的证书。
【命令】
display app-proxy server-certificate [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定成员设备上客户端访问的服务器的证书,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上客户端访问的服务器的证书。
【使用指导】
可通过本命令查看设备作为SSL代理客户端时接收到的客户端访问的服务器证书。
【举例】
# 显示指定slot上的客户端访问的服务器的证书。
<Sysname> display app-proxy server-certificate slot 1
Slot1:
Total server certificates: --
Certificate info: /cn=h3c-https-self-signed-certificate-13a73249669cc70a
Proxy count: 198
Most recent proxy time: 2017/10/25 10:7:7
First proxy at: 2017/10/23 15:52:59
图1-2 display app-proxy ssl certificate命令显示信息描述表
字段 | 描述 |
Total server certificates | 客户端访问的服务器证书总数 |
Certificate info | 证书的一些关键信息,取值包括: · Certificate Info: example.com:表示证书中有“DNS Name”字段,example.com是证书的“DNS Name”。 · Certificate Info: /cn=example.com:表示证书中无“DNS Name”字段,example.com是证书的“Common Name”。 |
Proxy count | 进行SSL代理的次数 |
Most recent proxy time | 最近一次进行SSL代理的时间 |
First proxy at | 第一次进行SSL代理的时间 |
【相关命令】
· reset app-proxy server-certificate
display app-proxy ssl whitelist hostname命令用来显示SSL代理域名白名单。
【命令】
display app-proxy ssl whitelist hostname { predefined | user-defined }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
user-defined:表示显示自定义SSL代理域名白名单。
predefined:表示显示预定义SSL代理域名白名单。
【举例】
# 显示自定义SSL代理域名白名单。
<Sysname> display app-proxy ssl whitelist hostname user-defined
Hostname
# 显示预定义SSL代理域名白名单。
<Sysname> display app-proxy ssl whitelist hostname predefined
Chrome HSTS-defined hostnames:
status Hostname
图1-3 display app-proxy ssl whitelist命令显示信息描述表
字段 | 描述 |
Chrome HSTS-defined hostnames | 表示Chrome浏览器强制使用HTTPS方式访问的域名 |
Hostname | 表示域名 |
Status | 表示域名白名单的生效状态,取值包括: · Enabled:表示启用 · Disabled:表示禁用 |
【相关命令】
· app-proxy ssl whitelist predefined-hostname enable
· app-proxy ssl whitelist user-defined-hostname
display app-proxy ssl whitelist { ipv4 | ipv6 }命令用来显示SSL代理IP地址白名单。
【命令】
display app-proxy ssl whitelist { ipv4 | ipv6 } { all [ slot slot-number ] | ip-address }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4:表示IPv4地址。
ipv6:表示IPv6地址。
all:显示SSL代理IP地址白名单的所有IP地址。
ip-address:显示SSL代理IP地址白名单中指定的IP地址。
slot slot-number:显示指定成员设备上SSL代理IP地址白名单,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上SSL代理IP地址白名单。
【举例】
# 显示指定slot上的所有SSL代理IPv4地址白名单。
<Sysname> display app-proxy ssl whitelist ipv4 all slot 1
Slot 1:IPv4 address Port
10.1.1.1 443
10.10.1.1 443
图1-4 display app-proxy ssl whitelist ip命令显示信息描述表
字段 | 描述 |
IPv4 address | SSL代理白名单的IPv4地址 |
IPv6 address | SSL代理白名单的IPv6地址 |
Port | SSL代理白名单的IP地址对应的端口号 |
display app-proxy ssl-decrypt-certificate命令用来显示SSL解密证书。
【命令】
display app-proxy ssl-decrypt-certificate
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示SSL解密证书。
<Sysname> display app-proxy ssl-decrypt-certificate
Trusted:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
aa:31:f8:3d:06:b0:9b: Signature Algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Validity
Not Before: Sep 7 12:00:43 2017 GMT
Not After : Aug 28 12:00:43 2057 GMT
Subject: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:ec:d7:73:af:03:07:07:86:e6:31:4d:e5:32:09:
20:7f:93:19:20:b2:25:c4:cc:32:8e:e4:29:fd:e0:
30:48:4c:8d:0a:83:66:28:af:6a:e0:69:81:08:58:
ca:cf:e4:3d:5a:e8:69:92:67:71:e3:c0:66:87:8e:
16:cc:6a:89:1d:d4:22:5f:93:14:47:bd:39:60:44:
3c:ee:0a:d1:8d:d4:16:84:65:e9:b7:b1:0f:6d:af:
6e:ef:21:b5:5a:02:4f:63:46:6e:8b:73:b5:95:70:
8a:ed:5d:23:8b:d8:0e:45:2d:8b:52:ab:34:6d:3b:
d5:85:ae:1c:d4:26:6e:fb:2c:1e:18:db:55:22:96:
d8:1f:1a:33:e9:ff:1f:8c:be:28:9d:de:77:d8:9b:
a7:27:0f:7e:e2:52:3e:bd:02:ee:c3:06:93:d0:16:
b0:c7:96:bb:c8:b1:96:8d:ee:ca:6e:76:63:1e:b1:
b6:fb:31:bf:d0:13:66:ad:f6:97:cf:0b:37:f7:6c:
f8:46:b6:76:f1:70:6f:24:6c:92:a6:dd:c2:3b:cf:
3c:35:c7:74:60:dd:db:a3:bf:70:b4:55:05:4b:d7:
cd:dd:c1:1b:59:0d:41:e7:95:5a:79:44:9d:b0:8b:
a7:f2:f4:67:0e:0c:4a:b6:35:97:1e:e6:99:88:fc:
c8:e9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Alternative Name:
IP Address:1.1.1.1, DNS:trustca, email:[email protected]
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
D4:35:A8:66:63:03:04:2B:CA:4E:91:06:11:F5:72:1C:26:E0:BE:33
Netscape Cert Type:
SSL CA
Netscape Comment:
example comment extension
Signature Algorithm: sha1WithRSAEncryption
b9:d2:eb:98:bd:f9:8d:7e:03:a8:0e:b4:29:cf:3a:a1:fd:f4:
2a:fa:56:1c:cf:40:a4:9e:7f:5a:15:6b:88:8a:dd:86:d2:03:
c3:38:49:7a:11:09:78:81:8c:8f:0a:3b:fb:d6:60:59:c4:0b:
12:0e:38:b0:92:f3:2e:b5:96:ab:d3:a4:2d:cb:ef:fd:a0:97:
d0:63:43:8e:91:1f:f1:fc:39:c8:cf:e5:ee:4b:e7:8c:8b:f8:
3b:ff:5e:dc:00:df:5b:2f:98:53:f2:c7:da:fa:b8:2e:92:dd:
33:6a:80:df:0e:22:62:62:5d:2f:6c:eb:4c:80:c4:56:c9:00:
01:a6:82:60:e4:32:69:f7:7b:8f:6c:93:e5:c3:64:65:fe:aa:
e1:0b:10:92:bd:ea:2f:2f:e5:b6:fd:b5:5b:df:34:c8:5d:5a:
91:9a:0d:89:10:76:b8:ed:28:ef:6a:c4:7b:48:d7:88:57:7c:
cf:4e:c8:38:84:ad:54:6d:3f:40:a0:38:d7:36:61:23:7a:82:
62:34:41:3d:cc:b2:ee:4a:23:f1:7d:12:e2:23:26:10:df:c8:
a1:6f:00:00:b7:c2:1f:ce:1b:63:60:e0:63:33:e0:59:31:78:
bc:27:99:b6:27:40:95:da:1b:37:07:75:2f:99:97:56:33:f5:
4f:ad:14:31
图1-5 display app-proxy pki certificate命令显示信息描述表
字段 | 描述 |
Trusted | 证书的可信度,取值包括: · Trusted:客户端信任的证书 · Untrusted:客户端不信任的证书 |
Certificate | 证书的信息 |
Data | 证书的数据 |
Version | 证书的版本 |
Serial Number | 证书的序列号 |
Signature Algorithm | 证书的签名算法 |
Issuer | 证书的颁发者 |
Validity | 证书的有效期 |
Subject | 证书的主题 |
Subject Public Key Info | 证书的主题公钥信息 |
Public Key Algorithm | 公钥算法 |
Public-Key | 公钥信息 |
Modulus | 密钥模数 |
Exponent | 密钥指数 |
X509v3 extensions | X.509v3证书扩展项 |
X509v3 Subject Alternative Name | 主题的备用名称 |
IP Address | 实体的IP地址 |
DNS | 实体的DNS名 |
实体的电子邮箱地址 | |
X509v3 Basic Constraints | 基本约束,指出一个证书是否是CA证书 |
X509v3 Key Usage | 密钥用法,指出有效用途 |
X509v3 Subject Key Identifier | 主题密钥标识符 |
Netscape Cert Type | Netscape证书类型,可以用于指定网景软件的密钥用途 |
Netscape Comment | Netscape注释,在某些浏览器中可以用于展示注释信息 |
display app-proxy-policy命令用来显示代理策略的配置信息。
【命令】
display app-proxy-policy [ rule rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
rule rule-name:表示代理策略规则的名称,为1~63个字符的字符串,不区分大小写。若不指定本参数,则显示所有代理策略规则的配置。
【举例】
# 显示代理策略的配置信息。
<Sysname> display app-proxy-policy
Default action: ssl-decrypt(Protect mode:server)
Rule with ID 0 and name rule0:
Action: ssl-decrypt
Status:Enabled
Protect mode: server
Match criteria:
Source security zones: trust
Destination security zones: trust
Source IP address object groups: srcobj
Destination IP address object groups: destobj
Service object groups: serviceobj
Users: user1
User groups: usergroup1
Rule with ID 2 and name rule2:
Action: ssl-decrypt
Status:Enabled
Match criteria:
source-zone: trust
destination-zone: Untrust
Protection mode: Client
图1-6 display app-proxy-policy命令显示信息描述表
字段 | 描述 |
Default action | 表示代理策略的缺省动作,取值包括: · no-proxy:表示不代理 · ssl-decrypt:表示SSL解密 · tcp-proxy:表示TCP代理 |
(Protect mode:XXX) | 表示代理策略缺省动作为SSL解密时的SSL解密防护类型,取值包括: · client:表示SSL解密防护类型为客户端 · server:表示SSL解密防护类型为服务器 该字段仅在代理策略的缺省动作为SSL解密时显示 |
Rule with ID rule-id and name rule-name | 表示代理策略规则,ID为rule-id,名称为rule-name |
Action | 对匹配上代理策略规则的报文执行动作,取值包括: · no-proxy:表示不代理 · ssl-decrypt:表示SSL解密 · tcp-proxy:表示TCP代理 |
Protect mode | 表示SSL解密防护类型,取值包括: · client:表示SSL解密防护类型为客户端 · server:表示SSL解密防护类型为服务器 |
Source security zones | 表示规则过滤条件中的源安全域名称 |
Destination security zones | 表示规则过滤条件中的目的安全域名称 |
Source IP address object groups | 表示规则过滤条件中的源IP地址对象组名称 |
Destination IP address object groups | 表示规则过滤条件中的目的IP地址对象组名称 |
Service object groups | 表示规则过滤条件中的服务对象组名称 |
Users | 表示规则过滤条件中的用户名称 |
User groups | 表示规则过滤条件中的用户组名称 |
reset app-proxy server-certificate命令用来清除客户端访问的服务器的证书。
【命令】
reset app-proxy server-certificate
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除客户端访问的服务器的证书。
<Sysname> reset app-proxy server-certificate
【相关命令】
· display app-proxy server-certificate
reset app-proxy ssl whitelist ip命令用来清除SSL代理IP地址白名单。
【命令】
reset app-proxy ssl whitelist
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除SSL代理IP地址白名单。
<Sysname> reset app-proxy ssl whitelist ip
【相关命令】
· display app-proxy ssl whitelist ip
rule命令用来创建代理策略规则,并进入代理策略规则视图。如果指定的代理策略规则已经存在,则直接进入代理策略规则视图。
undo rule命令用来删除指定的代理策略规则。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name }
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
rule-id:表示代理策略规则的编号,取值范围为1~65535。若未指定本参数,系统将从1开始,自动分配一个大于现有最大编号的最小编号,步长为1。如果现有最大编号已经达到规格上限,则选择当前未使用的最小编号作为新的编号。
name rule-name:表示代理策略规则的名称,为1~63个字符的字符串,不区分大小写,创建规则时必须配置名称,规则名称不能为default。
【举例】
# 创建名为rule1的代理策略规则。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-1-rule1]
【相关命令】
· display app-proxy-policy
rule move id命令用来移动代理策略规则。
【命令】
rule move id rule-id before insert-rule-id
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
rule-id:表示待移动代理策略规则编号,取值范围为1~65535。
before:表示将rule-id移动到insert-rule-id之前。
insert-rule-id:表示移动到指定编号的规则之前,取值范围为1~65536。配置最大编号时,表示待移动代理策略规则移动到所有规则之后。
【使用指导】
如果待移动规则与参考规则相同或不存在,则不执行任何移动操作。
【举例】
# 移动代理策略规则5到规则2之前。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule move id 5 before 2
【相关命令】
· rule
rule move name命令用来使用规则名称移动代理策略规则的位置。
【命令】
rule move name rule-name1 { before [ rule-name2 ] | after rule-name2 }
【视图】
代理策略视图
【缺省用户角色】
network-admin
【参数】
rule-name1:表示待移动代理策略规则名称。
before:表示将rule-name1移动到rule-name2之前。如果未指定rule-name2,则表示将rule-name1移动到所有规则之前。
after:表示rule-name1移动到rule-name2之后。
rule-name2:表示目的代理策略规则名称。
【使用指导】
如果待移动规则与目的规则相同或不存在,则不执行任何移动操作。
【举例】
# 移动代理策略规则a到规则b之前。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule move name a before b
service object-group命令用来配置作为代理策略规则过滤条件的服务对象组。
undo service object-group命令用来删除作为代理策略规则过滤条件的服务对象组。
【命令】
service object-group{ object-group-name }
undo service object-group [ object-group-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的服务对象组。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:服务对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为any。
【使用指导】
多次执行本命令,可配置多个服务对象组作为代理策略规则的过滤条件。只要一个服务对象组匹配成功,则认为服务对象组过滤条件匹配成功。
指定的服务对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
使用undo命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。
【举例】
# 配置作为代理策略规则rule1过滤条件的服务对象组为tcp和ftp。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] service object-group tcp
[Sysname-app-proxy-policy-0-rule1] service object-group ftp
【相关命令】
· display app-proxy-policy
· object-group(安全命令参考/对象组)
source-ip object-group命令用来配置作为代理策略规则过滤条件的源IP地址对象组。
undo source-ip object-group命令用来删除作为代理策略规则过滤条件的源IP地址对象组。
【命令】
source-ip object-group object-group-name
undo source-ip object-group [ object-group-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的源IP地址对象组。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示源地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个源IP地址作为代理策略规则的过滤条件。只要一个源IP地址匹配成功,则认为源IP地址过滤条件匹配成功。
指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
使用undo命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【举例】
# 配置作为代理策略规则rule1过滤条件的源地址对象组为server1和server2。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] source-ip object-group server1
[Sysname-app-proxy-policy-0-rule1] source-ip object-group server2
【相关命令】
· display app-proxy-policy
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为代理策略规则过滤条件的源安全域。
undo source-zone命令用来删除作为代理策略规则过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情况】
未配置作为代理策略规则过滤条件的源安全域。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。
【使用指导】
多次执行本命令,可配置多个源安全域作为代理策略规则的过滤条件,只要一个源安全域匹配成功,则认为源安全域过滤条件匹配成功。
如果指定的安全域不存在,配置可以成功下发,但不生效。
使用undo命令时若不指定此参数,则表示删除此规则中所有源安全域类型的过滤条件。有关安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【举例】
# 配置作为代理策略规则rule1过滤条件的源安全域为trust和server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] source-zone trust
[Sysname-app-proxy-policy-0-rule1] source-zone server
【相关命令】
· display app-proxy-policy
· security-zone(安全命令参考/安全域)
ssl-decrypt protect-mode命令用来配置SSL解密防护类型。
undo ssl-decrypt protect-mode命令用来恢复缺省情况。
【命令】
ssl-decrypt protect-mode { client | server }
undo ssl-decrypt protect-mode
【缺省情况】
SSL解密防护类型为client。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
client:表示SSL解密防护类型为客户端。
server:表示SSL解密防护类型为服务器。
【使用指导】
SSL解密功能支持如下防护类型:
· 客户端:用于保护内网客户端的场景,可与DPI深度安全功能配合使用。设备解密报文后再对报文进行DPI深度安全业务的检测,防止内网客户端受到外部恶意网站的攻击。在此场景下,设备需要使用代理服务器证书与客户端进行SSL协商。
· 服务器:用于保护内网服务器的场景,可与DPI深度安全功能配合使用。设备解密报文后再对报文进行DPI深度安全业务的检测,防止外部恶意流量对内网服务器进行攻击。在此场景下,设备需要使用导入的内网服务器证书与客户端进行SSL协商。
有关DPI深度安全功能的详细介绍,请参见“DPI深度安全”中的“DPI深度安全概述”。
请务必根据不同的使用场景正确配置SSL解密功能的防护类型,并配置相应类型的证书与客户端进行SSL协商。
本命令仅在代理策略规则中动作为SSL解密时生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在名称为rule1的代理策略规则中,配置SSL解密防护类型为server。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] ssl-decrypt protect-mode server
【相关命令】
user命令用来配置作为代理策略规则过滤条件的用户。
undo user命令用来删除作为代理策略规则过滤条件的用户。
【命令】
user user-name [ domain domain-name ]
undo user [ username [ domain domain-name ] ]
【缺省情况】
未配置作为代理策略规则过滤条件的用户。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含特殊字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”、和“@”。
domain domain-name:表示身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。
【使用指导】
多次执行配置命令,可配置多个用户作为规则的过滤条件,只要一个用户匹配成功,则认为用户过滤条件匹配成功。
若指定的用户或身份识别域不存在或者用户和身份识别域不匹配,配置可以成功下发,但不生效。
使用undo命令时若不指定username,则表示删除此规则中所有用户过滤条件。
使用undo命令时若不指定domain-name,则表示删除此规则中所有身份识别域之外的用户过滤条件。
【举例】
# 配置作为代理策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] user usera domain test
[Sysname-app-proxy-policy-0-rule1] user userb domain test
【相关命令】
· display app-proxy-policy
· user-identity enable(安全命令参考/用户身份识别与管理)
· user-identity static-user(安全命令参考/用户身份识别与管理)
user-group命令用来配置作为代理策略规则过滤条件的用户组。
undo user-group命令用来删除作为代理策略规则过滤条件的用户组。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group [ user-group-name [ domain domain-name ] ]
【缺省情况】
未配置作为代理策略规则过滤条件的用户组。
【视图】
代理策略规则视图
【缺省用户角色】
network-admin
【参数】
user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。
domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
多次执行配置命令,可配置多个用户组作为规则的过滤条件,只要一个用户组匹配成功,则认为用户组过滤条件匹配成功。
若指定的用户组不存在,配置可以成功下发,但不生效。
使用undo命令时若不指定user-group-name,则表示删除此规则中所有用户组过滤条件。有关用户组的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
使用undo命令时若不指定domain-name,则表示删除此规则中所有身份识别域之外的用户组过滤条件。
【举例】
# 配置作为代理策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。
<Sysname> system-view
[Sysname] app-proxy-policy
[Sysname-app-proxy-policy] rule 1 name rule1
[Sysname-app-proxy-policy-0-rule1] user-group groupa domain test
[Sysname-app-proxy-policy-0-rule1] user-group groupb domain test
【相关命令】
· display app-proxy-policy
· user-group(安全命令参考/AAA)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
