- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-DLP命令
本章节下载: 13-DLP命令 (191.71 KB)
目 录
1.1.2 display dlp flow-monitor local-address config
1.1.3 display dlp flow-monitor protocol config
1.1.5 dlp flow-monitor file-transfer
1.1.6 dlp flow-monitor local-address
1.1.7 dlp flow-monitor protocol
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
设备型号 |
业务板类型 |
说明 |
|
M9006 M9010 M9014 |
Blade IV防火墙业务板 |
支持 |
|
Blade V防火墙业务板 |
支持 |
|
|
NAT业务板 |
不支持 |
|
|
M9010-GM |
加密业务板 |
支持 |
|
M9016-V |
Blade V防火墙业务板 |
支持 |
|
M9008-S M9012-S |
Blade IV防火墙业务板 |
支持 |
|
入侵防御业务板 |
支持 |
|
|
视频网关业务板 |
支持 |
|
|
M9008-S-V |
Blade IV防火墙业务板 |
支持 |
|
M9000-AI-E4 M9000-AI-E8 M9000-AI-E16 |
Blade V防火墙业务板 |
支持 |
|
M9000-AK001 |
Blade V防火墙业务板 |
支持 |
|
M9000-X06 M9000-X06-B M9000-X06-B-G M9000-X06-G M9000-X10 |
Blade VI防火墙业务板 |
支持 |
|
M9000-AI-X06 M9000-AI-X10 |
Blade VI防火墙业务板 |
支持 |
disable protocol命令用来关闭DLP功能对指定协议报文的监控。
undo disable protocol命令用来开启DLP功能对指定协议报文的监控。
【命令】
disable protocol { all | type protocol-name }
undo disable protocol { all | type protocol-name }
【缺省情况】
DLP功能对所有支持的协议报文开启监控。
【视图】
DLP协议配置视图
【缺省用户角色】
network-admin
context-admin
【参数】
all :表示DLP功能支持监控的所有协议。
type protocol-name:指定协议的名称。
【使用指导】
关闭DLP功能对指定协议报文的监控后,设备不再针对这些协议的报文进行文件还原和敏感信息检测。目前DLP功能支持监控的协议包括FTP、SMTP、IMAP、POP3、SMB、NFS、HTTP和HTTPS协议。
【举例】
# 关闭DLP功能对FTP报文的监控。
<Sysname> system-view
[Sysname] dlp flow-monitor protocol
[Sysname-dlp-flow-monitor-protocol] disable protocol type ftp
【相关命令】
· dlp bypass
display dlp flow-monitor local-address config命令用来显示DLP功能监控的内网IP地址对象组。
【命令】
display dlp flow-monitor local-address { ip | ipv6 } config
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip :显示DLP功能监控的内网IPv4地址对象组。
ipv6 :显示DLP功能监控的内网IPv6地址对象组。
【举例】
# 显示DLP功能监控的内网IPv4地址对象组。
<Sysname> display dlp flow-monitor local-address ip config
Num Object-group-name
1 obj1
2 obj2
Total entries: 2
# 显示DLP功能监控的内网IPv6地址对象组。
<Sysname> display dlp flow-monitor local-address ipv6 config
Num Object-group-name
1 objipv61
2 objipv62
Total entries: 2
表1-1 display dlp flow-monitor local-address config命令显示信息描述表
|
字段 |
描述 |
|
Num |
IPv4/IPv6地址对象组编号 |
|
Object-group-name |
IPv4/IPv6地址对象组名称 |
|
Total entries |
IPv4/IPv6地址对象组个数 |
【相关命令】
· dlp bypass
· object-group
display dlp flow-monitor protocol config命令用来显示DLP功能支持协议的监控状态。
【命令】
display dlp flow-monitor protocol config
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示DLP功能支持协议的监控状态。
<Sysname> display dlp flow-monitor protocol config
DLP_FILTER_PROTOCOL:
ftp : Enabled
smtp : Enabled
imap : Enabled
pop3 : Enabled
smb : Enabled
nfs : Enabled
http : Enabled
https : Enabled
表1-2 display dlp flow-monitor protocol config命令显示信息描述表
|
字段 |
描述 |
|
DLP_FILTER_PROTOCOL |
DLP功能支持协议的监控状态,包括如下取值: · Enabled:开启监控 · Disabled:取消监控 |
【相关命令】
· disable protocol
· dlp bypass
dlp bypass命令用来关闭DLP功能。
undo dlp bypass命令用来开启DLP功能。
【命令】
dlp bypass
undo dlp bypass
【缺省情况】
DLP功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
数据安全检测引擎对报文的检测是一个复杂且会占用一定的系统资源的过程。开启DLP功能后,如果出现CPU使用率过高等情况时,可以通过关闭此功能来保证设备的正常运行。
关闭DLP功能后,系统将不会对接收到的报文进行敏感信息检测。
【举例】
# 关闭DLP功能。
<Sysname> system-view
[Sysname] dlp bypass
dlp flow-monitor file-transfer命令用来配置DLP功能的流量监控方向。
undo dlp flow-monitor file-transfer命令用来取消DLP功能对指定方向的流量监控。
【命令】
dlp flow-monitor file-transfer { all | incoming | outgoing }
undo dlp flow-monitor file-transfer { all | incoming | outgoing }
【缺省情况】
DLP功能不对任何方向的流量进行监控。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:DLP功能同时监控从内网往外网和从外网往内网发送的流量。
incoming:DLP功能仅监控从外网往内网发送的流量。
outgoing:DLP功能仅监控从内网往外网发送的流量。
【使用指导】
对于在DLP内网IP地址视图下执行object-group命令所配置的IP地址对象组,其成员IP地址被视为内网地址,其余所有IP地址被视为外网地址。
DLP功能仅对所配置监控方向的流量进行敏感信息检测,不对另一方向的流量进行处理。
多次执行本命令,可以配置DLP功能对多个方向的流量进行监控。
【举例】
# 配置DLP功能同时监控从内网往外网和从外网往内网发送的流量。
<Sysname> system-view
[Sysname] dlp flow-monitor file-transfer all
【相关命令】
· dlp bypass
dlp flow-monitor local-address命令用来进入DLP内网IP地址视图。
undo dlp flow-monitor local-addrss命令用来删除DLP功能监控的所有内网IP地址。
【命令】
dlp flow-monitor local-address { ip | ipv6 }
undo dlp flow-monitor local-address { ip | ipv6 }
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip :进入DLP内网IPv4地址视图。
ipv6 :进入DLP内网IPv6地址视图。
【使用指导】
进入DLP内网IP地址视图后,可执行object-group命令指定需要进行流量监控的IP地址对象组。DLP功能将对源或目的IP地址为IP地址对象组内地址的报文进行监控。
执行undo dlp flow-monitor local-addrss命令后,DLP功能监控的所有内网IPv4地址或IPv6地址将被删除,请谨慎使用。
【举例】
# 进入DLP内网IPv4地址视图。
<Sysname> system-view
[Sysname] dlp flow-monitor local-address ip
[Sysname-dlp-flow-monitor-local-addr-ip]
【相关命令】
· disable protocol
· dlp bypass
dlp flow-monitor protocol命令用来进入DLP协议配置视图。
undo dlp flow-monitor protocol命令用来恢复DLP功能对所有支持协议报文的监控。
【命令】
dlp flow-monitor protocol
undo dlp flow-monitor protocol
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
进入DLP协议配置视图后,可执行disable protocol命令关闭无需进行敏感信息检测的报文协议。
执行undo dlp flow-monitor protocol命令后,设备将删除DLP协议配置视图下的所有disable protocol配置,即恢复DLP功能对所有支持协议报文的监控。
【举例】
# 进入DLP协议配置视图。
<Sysname> system-view
[Sysname] dlp flow-monitor protocol
[Sysname-dlp-flow-monitor-protocol]
【相关命令】
· disable protocol
· dlp bypass
object-group命令用来指定DLP功能监控的IP地址对象组。
undo object-group命令用来删除DLP功能监控的IP地址对象组。
【命令】
object-group object-group-name
undo object-group object-group-name
【缺省情况】
未配置DLP功能监控的IP地址对象组。
【视图】
DLP内网IPv4地址视图
DLP内网IPv6地址视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:IP地址对象组的名称。
【使用指导】
DLP功能最多可监控32个IPv4和IPv6地址对象组,object-group-name所引用的IP地址对象组可采用主机名、子网或地址范围三种方式进行配置。
【举例】
# DLP功能监控名为objv4的IP地址对象组。
<Sysname> system-view
[Sysname] dlp flow-monitor local-address ip
[Sysname-dlp-flow-monitor-local-address-ip] object-group objv4
【相关命令】
· dlp bypass
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
