目  录

1 IP信誉

1.1 IP信誉配置命令

1.1.1 attack-category

1.1.2 cloud-query enable

1.1.3 display ip-reputation

1.1.4 display ip-reputation attack-category

1.1.5 display ip-reputation exception

1.1.6 display ip-reputation signature library

1.1.7 display ip-reputation top-hit-statistics

1.1.8 exception

1.1.9 global enable

1.1.10 ip-reputation

1.1.11 ip-reputation signature auto-update

1.1.12 ip-reputation signature auto-update-now

1.1.13 ip-reputation signature rollback factory

1.1.14 ip-reputation signature update

1.1.15 top-hit-statistics enable

1.1.16 update schedule

 

1 IP信誉

1.1  IP信誉配置命令

1.1.1  attack-category

attack-category命令用来配置对指定攻击分类执行的操作。

undo attack-category命令用来恢复缺省情况。

【命令】

attack-category attack-id { action { deny | permit } | logging { disable | enable } }*

undo attack-category attack-id

【缺省情况】

未配置对指定攻击分类执行的操作，设备使用IP信誉特征库中的缺省配置对匹配该IP地址的报文执行相应的操作。

【视图】

IP信誉视图

【缺省用户角色】

network-admin

context-admin

【参数】

attack-id：攻击分类的编号。本参数的取值范围与IP信誉库特征文件有关，请以设备的实际情况为准。

action：表示攻击分类的匹配动作。

deny：表示动作为丢弃。

permit：表示动作为放行。

logging：表示IP信誉日志功能，即IP地址匹配到IP信誉攻击分类时，生成日志信息的功能。

disable：表示关闭日志功能。

enable：表示开启日志功能。

【使用指导】

本功能仅在开启IP信誉功能后生效。

IP信誉库中，一个IP地址可对应多种攻击分类，每种攻击分类都有对应执行的动作。

当IP地址只属于一种攻击分类时，设备将对匹配上该IP地址的报文执行攻击分类对应的动作；当IP地址属于多种攻击分类时，设备将对匹配上该IP地址的报文执行多种攻击分类中优先级最高的动作。其中，动作的优先级从高到底依次为：阻断>允许。

只要IP地址所属的任一攻击分类开启了日志功能，则对匹配上该IP地址的报文执行记录日志动作。

设备仅支持以快速日志输出的方式输出IP信誉日志，有关快速日志输出的详情介绍，请参见“网络管理和监控命令参考”中的“快速日志输出”。

【举例】

# 配置IP信誉库中编号为1的攻击分类对应的动作为deny，并开启日志功能。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] attack-category 1 action deny logging enable

【相关命令】

·     display ip-reputation attack-category

·     global enable

1.1.2  cloud-query enable

cloud-query enable命令用来开启IP信誉云端查询功能。

undo cloud-query enable命令用来关闭IP信誉云端查询功能。

【命令】

cloud-query enable

undo cloud-query enable

【缺省情况】

IP信誉云端查询功能处于关闭状态。

【视图】

IP信誉视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

应用场景

IP信誉云端查询功能用于提升设备对僵尸主机DDoS攻击、木马下载和端口扫描等风险的检测能力，当设备加载的IP信誉特征库不足以满足用户的需求或者设备未加载IP信誉特征库时，可通过开启IP信誉云端查询功能，提升设备的IP信誉业务检测能力。

工作机制

开启IP信誉云端查询功能后，设备会将与本地IP信誉特征库匹配失败的报文的源、目的IP地址封装到查询报文中，发往云端服务器进行查询，云端服务器完成查询后，会将查询结果返回给设备。查询结果中包含如下信息：

·     IP地址是否存在僵尸主机DDoS攻击、木马下载和端口扫描等攻击风险的标识。

·     检测到的风险所属的攻击分类。

【举例】

# 开启IP信誉云端查询功能。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] cloud-query enable

【相关命令】

·     inspect reputation cloud-server host

1.1.3  display ip-reputation

display ip-reputation命令用来显示IP信誉的IP地址信息。

【命令】

display ip-reputation ipv4 ipv4-address

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv4 ipv4-address：显示IP信誉中指定IPv4地址的信息。

【使用指导】

IP信誉中包含IP地址的攻击分类、匹配方向、匹配动作和命中IP信誉库次数等信息。

一个IP地址可对应多种攻击分类，每种攻击分类都有对应的匹配方式和匹配动作等信息。设备将根据攻击分类显示IP地址的相关信息。

【举例】

# 显示IP信誉中地址为195.2.78.230的信息。

<Sysname> display ip-reputation ipv4 195.2.78.230

  IP address        Hit count  Attack ID Attack name          Direction  Action    Type        Logging  Port

------------------------------------------------------------------------------------------------------------

  195.2.78.230      0          10         Botnet               dst        permit    sigpack     enable   any

图1-1 display ip-reputation命令显示信息描述表

字段	描述
IP address	表示查询的IP信誉库中的IP地址
Hit count	表示该IP地址命中IP信誉的次数
Attack ID	表示该IP地址对应的攻击分类ID
Attack name	表示该IP地址对应的攻击分类名称
Direction	表示该IP地址被标识为特定攻击时的匹配方向，取值包括： ·     src：作为源地址匹配 ·     dst：作为目的地址匹配 ·     src/dst：即可源地址也可作为目的地址匹配
Action	表示对匹配上该IP地址的报文执行动作，取值包括： ·     permit：表示放行 ·     deny：表示丢弃
Type	表示IP信誉的类型，取值包括： ·     csap：表示该IP地址为安全威胁发现与运营管理平台下发的IP信誉规则 ·     sigpack：表示该IP地址为IP信誉特征库中的IP信誉规则 ·     sigpack & csap：表示该IP地址既属于安全威胁发现与运营管理平台下发的IP信誉规则也属于IP信誉特征库中的IP信誉规则 ·     cloud-wait：表示该IP地址为云端查询功能待查询的IP地址 ·     cloud-black：表示该IP地址为云端查询功能查询到的存在威胁的IP地址 ·     cloud-white：表示该IP地址属于云端查询功能查询到的安全的IP地址
Logging	表示日志功能的启用状态，取值包括： ·     enabled：表示开启日志功能 ·     disabled：表示关闭日志功能
Port	表示IP信誉中该IP地址的端口信息，取值包括： ·     any：表示任意端口 ·     数值：表示指定端口，例如5020 ·     数值-数值：表示指定端口范围区间，例如5000-5020

 

1.1.4  display ip-reputation attack-category

display ip-reputation attack-category命令用来显示IP信誉特征库中的攻击分类信息。

【命令】

display ip-reputation attack-category

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【使用指导】

仅在IP信誉功能处于开启状态时，才能查看到IP信誉库中的攻击分类信息。

如果未配置对指定攻击分类执行的动作，则显示特征库中的缺省配置。

【举例】

# 显示IP信誉特征库中的攻击分类信息。

<Sysname> display ip-reputation attack-category

ID      Attack name      Action      Logging

1       ddos              permit      enabled

2       web               deny         disabled

图1-2 display ip-reputation attack-category命令显示信息描述表

字段	描述
ID	攻击分类ID
Attack name	攻击分类名称
Action	对匹配上攻击分类的报文执行动作，取值包括： ·     permit：放行 ·     deny：丢弃
Logging	表示日志功能启用状态，取值包括： ·     enabled：开启状态 ·     disabled：关闭状态

 

【相关命令】

·     attack-category

1.1.5  display ip-reputation exception

display ip-reputation exception命令用来显示IP信誉例外IP地址。

【命令】

display ip-reputation exception

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【使用指导】

仅在IP信誉功能处于开启状态时，才能查看到IP信誉例外IP地址。

【举例】

# 显示IP信誉例外IP地址。

<Sysname> display ip-reputation exception

IP address

10.1.1.1

10.10.1.1

图1-3 display ip-reputation exception命令显示信息描述表

字段	描述
IP address	表示IP信誉例外IP地址

 

1.1.6  display ip-reputation signature library

display ip-reputation signature library命令用来显示IP信誉特征库信息。

【命令】

display ip-reputation signature library

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示IP信誉特征库信息。

<Sysname> display ip-reputation signature library

iP-reputation signature library information:

Type     SigVersion        ReleaseTime Size

Current  1.02               Fri Sep 13 09:05:35 2014    71594

Factory  -                   -                                -

表1-1 display ip-reputation signature library命令显示信息描述表

字段	描述
Type	IP信誉特征库版本，包括如下取值： ·     Current：表示当前版本 ·     Factory：表示出厂版本（暂不支持）
SigVersion	IP信誉特征库版本号
ReleaseTime	IP信誉特征库发布时间
Size(bytes)	IP信誉特征库文件大小，单位是Bytes

 

1.1.7  display ip-reputation top-hit-statistics

display ip-reputation top-hit-statistics命令用来显示命中IP信誉库的IP地址Top排名统计信息。

【命令】

display ip-reputation top-hit-statistics [ top-number ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

top-number：显示命中IP信誉库次数排名前top-number名的IP地址统计信息。top-number的取值范围为10～100，缺省值为10。

slot slot-number：显示指定成员设备上命中IP信誉库次数排名前top-number的IP地址统计信息，slot-number表示设备在IRF中的成员编号。不指定该参数时，显示所有成员设备上命中IP信誉库次数排名前top-number的IP地址统计信息。‌‌

【使用指导】

仅在命中IP信誉库的IP地址Top排名统计功能处于开启状态时，才能查看到排名统计信息。

本命令仅显示命中次数非零的IP地址排名统计信息，实际显示条目数可能小于top-number。

【举例】

# 显示指定slot上的命中IP信誉库次数排名前10的IP地址排名统计信息。‌‌

<Sysname> display ip-reputation top-hit-statistics 10 slot 1

Slot 1:

IP address      Hit count

10.1.1.1        1000

10.1.1.2        999

10.1.1.3        996

10.1.1.4        994

10.1.1.5        994

10.1.1.6        994

图1-4 display ip-reputation top-hit-statistics命令显示信息描述表

字段	描述
IP address	命中IP信誉库的IP地址
Hit count	命中IP信誉库的次数

 

1.1.8  exception

exception命令用来配置IP信誉例外IP地址。

undo exception命令用来删除IP信誉例外IP地址。

【命令】

exception ipv4 ipv4-address

undo exception ipv4 ipv4-address

【缺省情况】

未配置IP信誉例外IP地址。

【视图】

IP信誉视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4 ipv4-address：表示例外IPv4地址。

【使用指导】

本功能仅在开启IP信誉功能后生效。

若报文的源/目的IP地址匹配IP信誉例外IP地址，则直接放行该报文。

多次执行本命令，可配置多个例外IP地址。

【举例】

# 配置IPv4地址192.168.1.1为IP信誉例外IP地址。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] exception ipv4 192.168.1.1

【相关命令】

·     display ip-reputation exception

·     global enable

1.1.9  global enable

global enable命令用来开启全局IP信誉功能。

undo global enable命令用来关闭全局IP信誉功能。

【命令】

global enable

undo global enable

【缺省情况】

全局IP信誉功能处于关闭状态。

【视图】

IP信誉视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 开启全局IP信誉功能。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] global enable

1.1.10  ip-reputation

ip-reputation命令用来进入IP信誉视图。

undo ip-reputation命令用来删除IP信誉视图下的所有配置。

【命令】

ip-reputation

undo ip-reputation

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 进入IP信誉视图。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation]

1.1.11  ip-reputation signature auto-update

ip-reputation signature auto-update命令用来开启定期自动在线升级IP信誉特征库功能，并进入自动升级配置视图。

undo ip-reputation signature auto-update命令用来关闭定期自动在线升级IP信誉特征库功能。

【命令】

ip-reputation signature auto-update

undo ip-reputation signature auto-update

【缺省情况】

定期自动在线升级IP信誉特征库功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

如果设备可以访问官方网站上的特征库服务专区，可以通过开启本功能定期自动在线升级方式来对设备上的IP信誉特征库进行升级。

【举例】

# 开启定期自动在线升级IP信誉特征库功能，并进入自动升级配置视图。

<Sysname> system-view

[Sysname] ip-reputation signature auto-update

[Sysname-ip-reputation-autoupdate]

【相关命令】

·     update schedule

1.1.12  ip-reputation signature auto-update-now

ip-reputation signature auto-update-now命令用来立即自动在线升级IP信誉特征库。

【命令】

ip-reputation signature auto-update-now

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

当管理员发现官方网站上的特征库服务专区中的IP信誉特征库有更新时，可以选择立即自动在线升级方式来及时升级IP信誉特征库版本。

执行此命令后，设备将立即自动升级IP信誉特征库，且会备份当前的IP信誉特征库文件到设备存储介质下名为“ipreputation_sigpack_curr.dat”的文件中。此命令的生效与否，与是否开启了定期自动升级IP信誉特征库功能无关。

【举例】

# 立即自动在线升级IP信誉特征库版本。

<Sysname> system-view

[Sysname] ip-reputation signature auto-update-now

1.1.13  ip-reputation signature rollback factory

ip-reputation signature rollback factory命令用来删除IP信誉特征库。

【命令】

ip-reputation signature rollback factory

【视图】

系统视图

【缺省用户角色】

context-admin

【使用指导】

应用场景

如果管理员发现设备当前内存不足或不需要当前IP信誉特征库时，可以执行本命令对当前IP信誉特征库版本进行删除，以释放内存空间。

注意事项

非缺省vSystem不支持本命令。

【举例】

# 删除IP信誉特征库。

<Sysname> system-view

[Sysname] ip-reputation signature rollback factory

1.1.14  ip-reputation signature update

ip-reputation signature update命令用来手动离线升级IP信誉特征库。

【命令】

ip-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

file-path：指定特征库文件的源路径，为1～255个字符的字符串。

vpn-instance vpn-instance-name：表示TFTP、FTP服务器所属的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定该参数，则表示TFTP、FTP服务器位于公网中。

source：指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址。如果不指定该参数，则表示使用系统根据路由表项查找到的出接口的地址。

ip ip-address：指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv4地址。

ipv6 ip-address：指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv6地址。

interface interface-type interface-number：指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。

【使用指导】

如果设备不能访问官方网站上的特征库服务专区，管理员可以采用如下方式手动离线升级IP信誉特征库版本：

·     本地升级：使用设备本地保存的特征库文件升级系统中的IP信誉特征库版本，使用此方式前，请先从官方网站获取特征库文件并保存到设备中。

·     FTP/TFTP升级：通过FTP或TFTP方式下载远程服务器上保存的特征库文件，并升级系统中的IP信誉特征库版本。

使用本地升级方式离线升级特征库版本时，特征库文件只能存储在当前主用设备上，否则设备升级特征库会失败。‌

参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-2；FTP/TFTP升级时参数file-path取值请参见表1-3。

表1-2 本地升级时参数file-path取值说明表

升级场景	参数file-path取值	说明
特征库文件的存储位置与当前工作路径一致	filename	可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”
特征库文件的存储位置与当前工作路径不一致，且在相同存储介质上	filename	需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”
特征库文件的存储位置与当前工作路径不在相同存储介质上	path/ filename	需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下，再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

 

表1-3 FTP/TFTP升级时参数file-path取值说明表

升级场景	参数file-path取值	说明
特征库文件存储在开启FTP服务的远程服务器上	ftp://username:password@server/filename	username为登录FTP服务器的用户名，password为登录FTP服务器的密码，server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时，需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”
特征库文件存储在开启TFTP服务的远程服务器上	tftp://server/filename	server为TFTP服务器的IP地址或主机名

 

 

如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时，可配置source参数。例如，当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时，则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址（其中，如果设备需要经过一台独立的NAT设备进行地址转换时，本命令指定的IP地址必须可以与NAT设备三层路由可达），使设备发出的报文可以进行NAT地址转换等处理，正常访问TFTP、FTP服务器。

当同时配置了source和vpn-instance参数时，需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。

【举例】

# 配置手动离线升级IP信誉特征库，且采用TFTP方式，IP信誉特征库文件的远程路径为tftp://192.168.0.10/ip-1.0.2-en.dat。

<Sysname> system-view

[Sysname] ip-reputation signature update tftp://192.168.0.10/ip-1.0.2-en.dat

# 配置手动离线升级IP信誉特征库，且采用本地方式，IP信誉特征库文件的本地路径为cfb0:/dpi/ip-1.0.23-en.dat，当前工作路径为cfa0:。

<Sysname> cd cfb0:/

<Sysname> system-view

[Sysname] ip-reputation signature update dpi/ip-1.0.23-en.dat

1.1.15  top-hit-statistics enable

top-hit-statistics enable命令用来开启命中IP信誉库的IP地址Top排名统计功能。

undo top-hit-statistics enable命令用来关闭命中IP信誉库的IP地址Top排名统计功能。

【命令】

top-hit-statistics enable

undo top-hit-statistics enable

【缺省情况】

命中IP信誉库的IP地址Top排名统计功能处于关闭状态。

【视图】

IP信誉视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

本功能仅在开启IP信誉功能后生效。

开启本功能后，设备将对命中IP信誉库的IP地址进行统计排名。关闭本功能后，统计信息将自动清空。

【举例】

# 开启命中IP信誉库的IP地址Top排名统计功能。

<Sysname> system-view

[Sysname] ip-reputation

[Sysname-ip-reputation] top-hit-statistics enable

【相关命令】

·     display ip-reputation top-hit-statistics

1.1.16  update schedule

update schedule命令用来配置定期自动在线升级IP信誉特征库的时间。

undo update schedule命令用来恢复缺省情况。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情况】

设备在每天01:00:00至03:00:00之间自动在线升级IP信誉特征库。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

【参数】

daily：表示自动升级周期为每天。

weekly：表示以一周为周期，在指定的一天进行自动升级。

fri：表示星期五。

mon：表示星期一。

sat：表示星期六。

sun：表示星期日。

thu：表示星期四。

tue：表示星期二。

wed：表示星期三。

start-time time：指定自动升级开始时间，time的格式为hh:mm:ss，取值范围为00:00:00～23:59:59。

tingle minutes：指定抖动时间，即实际自动升级开始时间的偏差范围，取值范围为0～120，单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围，例如，指定自动升级的开始时间为01:00:00，抖动时间为60分钟，则自动升级的开始时间在00:30:00至01:30:00之间。

【举例】

# 配置IP信誉特征库的定期自动在线升级时间为每周一20:30:00，抖动时间为10分钟。

<Sysname> system-view

[Sysname] ip-reputation signature auto-update

[Sysname-ip-reputation-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10

【相关命令】

·     ip-reputation signature auto-update