- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
29-可信访问控制命令
本章节下载: 29-可信访问控制命令 (159.38 KB)
peer-service url命令用来配置提供可信访问控制服务的对端服务URL。
undo peer-service url命令用来恢复缺省情况。
【命令】
peer-service url service-url
undo peer-service url
【缺省情况】
未配置提供可信访问控制服务的对端服务URL。
【视图】
CSAP类型的可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
service-url:提供可信访问控制服务的URL地址,为1~255个字符的字符串,不区分大小写,支持输入正则元字符?。
【使用指导】
对端服务URL用来指定设备与可信访问控制器联动的URL。与CSAP可信访问控制器联动时,设备通过访问CSAP可信访问控制的URL,获取用户风险状况和资产风险状况的评估信息。
提供可信访问控制服务的对端服务URL须满足的格式要求为:“协议类型://服务器IP地址:端口号/资源路径”。
· 协议类型包括HTTP和HTTPS,如果未指定协议类型,缺省为HTTP类型。
· 目前服务器地址仅支持IPv4地址。
如果URL中包含IPv6地址,需要为该IPv6地址增加一个中括号,例如http://[1234::5678]:8080。
多次执行本命令,最后一次执行的生效。
【举例】
# 在CSAP可信访问控制器中,配置对端服务URL为http://10.153.10.121:80。
<Sysname> system-view
[Sysname] trusted-access controller csap
[Sysname-tac-csap] peer-service url https://10.153.10.120:443
rule命令用来配置可信访问规则。
undo rule命令用来恢复缺省情况。
【命令】
rule user-risk-level { fallen | high-risk | low-risk | trust } asset-risk-level { fallen | high-risk | low-risk | trust } action { allow | deny }
undo rule user-risk-level { fallen | high-risk | low-risk | trust } asset-risk-level { fallen | high-risk | low-risk | trust }
【缺省情况】
用户访问资产的缺省可信访问规则请参见配置指导的相关描述。
【视图】
CSAP可信访问策略视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
user-risk-level:表示用户风险等级。
asset-risk-level:表示资产风险等级。
fallen:风险等级为已沦陷。
high-risk:风险等级为高危。
low-risk:风险等级为低危。
trust:风险等级为可信任。
action:访问动作。
allow:允许访问资产信息。
deny:禁止访问资产信息。
【使用指导】
可信访问规则用来指定不同风险等级的用户对不同风险等级资产的访问动作。
设备预定义了16条可信访问规则,仅支持对规则进行修改,不支持创建和删除规则。
【举例】
# 在CSAP可信访问策略视图下,配置可信访问规则:当风险等级为高危的用户访问风险等级为高危的资产时,执行的访问动作为拒绝访问。
<Sysname> system-view
[Sysname] trusted-access policy csap
[Sysname-tap-csap] rule user-risk-level high-risk asset-risk-level high-risk action deny
service enable命令用来启用CSAP可信访问策略。
undo service enable命令禁用CSAP可信访问策略。
【命令】
service enable
undo service enable
【缺省情况】
CSAP可信访问策略处于禁用状态。
【视图】
CSAP可信访问策略视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【举例】
# 启用CSAP可信访问策略。
<Sysname> system-view
[Sysname] trusted-access policy csap
[Sysname-tap-csap]service enable
ssl-client-policy命令用来指定设备与可信访问控制器之间建立SSL连接时所使用的SSL客户端策略。
undo ssl-client-policy命令用来恢复缺省情况。
【命令】
ssl-client-policy policy-name
undo ssl-client-policy
【缺省情况】
未指定设备与可信访问控制器之间建立SSL连接时所使用的SSL客户端策略。
【视图】
可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
policy-name:SSL客户端策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
若配置对端服务URL协议类型为HTTPS,则必需配置本命令。通过本命令引用SSL客户端策略后,设备作为SSL客户端与可信访问控制器之间传输的流量进行加密传输。
如需修改已被引用的SSL客户端策略,在策略修改完成后,需在可信访问控制器视图下,删除引用的SSL客户端策略,重新配置引用SSL客户端策略,新的策略才能生效。有关SSL客户端策略的详细介绍请参见“安全配置指导”中的“SSL”。
CSAP类型的可信访问控制器不支持引用加密套件为exp_rsa_des_cbc_sha、exp_rsa_rc2_md5、exp_rsa_rc4_md5、rsa_des_cbc_sha的SSL客户端策略。
【举例】
# 在CSAP可信访问控制器上,引用SSL客户端策略scp。
<Sysname> system-view
[Sysname] trusted-access controller csap
[Sysname-tac-csap] ssl-client-policy scp
【相关命令】
· peer-service url
trusted-access controller csap命令用来进入CSAP可信访问控制器视图。
undo trusted-access controller csap命令用来删除CSAP可信访问控制器视图,并删除视图下的所有配置。
【命令】
trusted-access controller csap
undo trusted-access controller csap
【缺省情况】
不存在CSAP可信访问控制器视图。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
本命令可以指定CSAP可信访问控制器。设备通过与CSAP可信访问控制器(即安全威胁发现与运营管理平台)联动,获取CSAP可信访问控制器对用户风险状况和资产风险状况的评估信息,设备依据获取的信息动态调整用户对资产的访问权限。
【举例】
# 进入CSAP可信访问控制器视图。
<Sysname> system-view
[Sysname] trusted-access controller csap
[Sysname-tac-csap]
trusted-access policy csap命令用来进入CSAP可信访问策略视图。
undo trusted-access policy csap命令用来删除CSAP可信访问策略视图,并删除视图下的所有配置。
【命令】
trusted-access policy csap
undo trusted-access policy csap
【缺省情况】
不存在CSAP可信访问策略视图。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
CSAP可信访问策略用来跟据用户和用户访问资产的风险状况,定义用户对资产的访问权限。
设备根据CSAP可信访问控制器对用户风险状况和资产风险状况的评估信息,在业务流量的处理过程中,执行CSAP可信访问策略实现对资产的访问控制。
【举例】
# 进入CSAP可信访问策略视图。
<Sysname> system-view
[Sysname] trusted-access policy csap
[Sysname-tap-csap]
vpn-instance用来配置可信访问控制器所属的VPN实例。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
可信访问控制器属于公网。
【视图】
CSAP类型的可信访问控制器视图
【缺省用户角色】
vsys-admin
network-admin
context-admin
【参数】
vpn-instance-name:可信访问控制器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。
【举例】
# 在CSAP类型的可信访问控制器tac中,配置所属的VPN实例为vpn1。
<Sysname> system-view
[Sysname] trusted-access controller csap
[Sysname-tac-csap] vpn-instance vpn1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
