目  录

1 域名信誉

1.1 域名信誉配置命令

1.1.1 attack-category

1.1.2 cloud-query enable

1.1.3 display domain-reputation attack-category

1.1.4 display domain-reputation domain

1.1.5 display domain-reputation signature library

1.1.6 display domain-reputation top-hit-statistics

1.1.7 domain-reputation

1.1.8 domain-reputation signature auto-update

1.1.9 domain-reputation signature auto-update-now

1.1.10 domain-reputation signature rollback factory

1.1.11 domain-reputation signature update

1.1.12 global enable

1.1.13 top-hit-statistics enable

1.1.14 update schedule

 

1 域名信誉

1.1  域名信誉配置命令

1.1.1  attack-category

attack-category命令用来配置对域名信誉库中指定攻击分类执行的操作。

undo attack-category命令用来恢复缺省情况。

【命令】

attack-category attack-id { action { deny | permit } | logging { disable | enable } }*

undo attack-category attack-id

【缺省情况】

未配置对域名信誉库中指定攻击分类执行的操作，设备执行特征库中的缺省动作。

【视图】

域名信誉视图

【缺省用户角色】

network-admin

context-admin

【参数】

attack-id：攻击分类的编号，取值范围为1～65535。可通过输入“？”查看攻击分类名称对应的攻击分类ID，也可以通过display domain-reputation attack-category命令查看。

action：表示攻击分类的匹配动作。

deny：表示动作为丢弃。

permit：表示动作为放行。

logging：表示域名信誉日志功能，即域名匹配到域名信誉攻击分类时，生成日志信息的功能。

disable：表示关闭日志功能。

enable：表示开启日志功能。

【使用指导】

本功能仅在开启全局域名信誉功能后生效。

域名信誉库中，一个域名可对应多种攻击分类。管理员可以根据实际需求，为每种攻击分类配置相应执行的动作。

当域名只属于一种攻击分类时，设备将对匹配上该域名的报文执行攻击分类对应的动作；当域名属于多种攻击分类时，设备将对匹配上该域名的报文执行多种攻击分类中优先级最高的动作。其中，动作的优先级从高到底依次为：阻断>允许。

只要域名所属的任一攻击分类开启了日志功能，则对匹配上该域名的报文执行记录日志动作。

【举例】

# 配置域名信誉库中编号为1的攻击分类对应的动作为deny，并开启日志功能。

<Sysname> system-view

[Sysname] domain-reputation

[Sysname-domain-reputation] attack-category 1 action deny logging enable

【相关命令】

·     display domain-reputation attack-category

·     global enable

1.1.2  cloud-query enable

cloud-query enable命令用来开启域名信誉云端查询功能。

undo cloud-query enable命令用来关闭域名信誉云端查询功能。

【命令】

cloud-query enable

undo cloud-query enable

【缺省情况】

域名信誉云端查询功能处于关闭状态。

【视图】

域名信誉视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

应用场景

域名信誉云端查询功能用于提升设备对僵尸主机DDoS攻击、木马下载和端口扫描等风险的检测能力，当设备加载的域名信誉特征库不足以满足用户的需求或者设备未加载域名信誉特征库时，可通过开启域名信誉云端查询功能，提升设备的域名信誉业务检测能力。

工作机制

开启域名信誉云端查询功能后，设备会将与本地域名信誉特征库匹配失败的DNS报文中的域名封装到查询报文中，发往云端服务器进行查询，云端服务器完成查询后，会将查询结果返回给设备。查询结果中包含如下信息：

·     域名是否存在僵尸主机DDoS攻击、木马下载和端口扫描等攻击风险的标识。

·     检测到的风险所属的攻击分类。

【举例】

# 开启域名信誉云端查询功能。

<Sysname> system-view

[Sysname] domain-reputation

[Sysname-domain-reputation] cloud-query enable

【相关命令】

·     inspect reputation cloud-server host

1.1.3  display domain-reputation attack-category

display domain-reputation attack-category命令用来显示域名信誉攻击分类信息。

【命令】

display domain-reputation attack-category

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【使用指导】

仅在全局域名信誉功能处于开启状态时，才能查看到域名信誉攻击分类信息。

如果未配置对指定攻击分类执行的动作，则显示特征库中的缺省配置。

【举例】

# 显示域名信誉攻击分类信息。

<Sysname> display domain-reputation attack-category

Attack id        Attack name            Action      Logging

  ----------------------------------------------------------

  1              C&C                    deny        enable

  2              Network_Worm           permit      enable

  3              Risk_Software          permit      enable

  4              Malware                permit      enable

  5              Trojan                 deny        enable

  6              Infectious_Virus       permit      enable

  7              Trojan_the_Thief       permit      enable

  8              Ransomware             permit      enable

  9              miner                  permit      enable

  10             Botnet                 permit      enable

  15             tor                    permit      enable

  16             Porn_Website           permit      enable

  17             Gambling_Website       permit      enable

  18             Phishing_Website       permit      enable

  19             Fraud_Website          permit      enable

  20             spam                   permit      enable

  21             Malicious_Email        permit      enable

  22             DGA                    permit      enable

  23             APT                    permit      enable

表1-1 display domain-reputation attack-category命令显示信息描述表

字段	描述
Attack id	攻击分类ID
Attack name	攻击分类名称
Action	对匹配上攻击分类的报文执行动作，取值包括： ·     permit：放行 ·     deny：丢弃
Logging	表示日志功能启用状态，取值包括： ·     enable：开启状态 ·     disable：关闭状态

 

【相关命令】

·     attack-category

·     global enable

1.1.4  display domain-reputation domain

display domain-reputation domain命令用来显示域名的域名信誉信息。

【命令】

display domain-reputation domain domain-name

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

domain-name：显示指定域名的域名信誉信息。其中，domain-name表示域名，为3～255个字符的字符串，不区分大小写，只能包含字母、数字、连接符“-”和点号“.”。管理员可通过display domain-reputation top-hit-statistics命令获取域名。

【使用指导】

仅在全局域名信誉功能处于开启状态时，才能查看到域名信誉信息。

域名信誉信息中包含域名所属的攻击分类、执行动作和命中信誉特征库的次数等。

一个域名可同时属于多种攻击分类，每种攻击分类都有对应的执行动作等信息。设备将显示域名所属的所有攻击分类的相关信息。

【举例】

# 显示域名为cat.sqlnetcat.com的域名信誉信息。

<Sysname> display domain-reputation domain cat.sqlnetcat.com

  Domain name           Attack ID      Attack name            Action     Logging      Hit count     Type

-------------------------------------------------------------------------------------------------------

  cat.sqlnetcat.com     9              Miner                  permit      enable       0           sigpack

表1-2 display domain-reputation命令显示信息描述表

字段	描述
Domain name	表示查询的域名
Attack ID	表示该域名对应的攻击分类ID
Attack name	表示该域名对应的攻击分类名称
Action	表示对匹配上该域名的报文执行动作，取值包括： ·     permit：表示放行 ·     deny：表示丢弃
Logging	表示日志功能的启用状态，取值包括： ·     enable：表示开启日志功能 ·     disable：表示关闭日志功能
Hit count	表示该域名命中域名信誉库的次数
Type	表示域名信誉的类型，取值包括： ·     csap：表示该域名为安全威胁发现与运营管理平台下发的域名信誉规则 ·     sigpack：表示该域名为域名信誉特征库中的域名信誉规则 ·     sigpack & csap：表示该域名既属于安全威胁发现与运营管理平台下发的域名信誉规则也属于域名信誉特征库中的域名信誉规则 ·     cloud-wait：表示该域名为云端查询功能待查询的域名 ·     cloud-black：表示该域名为云端查询功能查询到的存在威胁的域名 ·     cloud-white：表示该域名属于云端查询功能查询到的安全的域名

 

【相关命令】

·     display domain-reputation top-hit-statistics

·     global enable

1.1.5  display domain-reputation signature library

display domain-reputation signature library命令用来显示域名信誉特征库信息。

【命令】

display domain-reputation signature library

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示域名信誉特征库信息。

<Sysname> display domain-reputation signature library

domain-reputation signature library information:

Type      SigVersion         ReleaseTime               Size

Current   1.0.6              Tue Jul 28 12:35:15 2020  560208

Factory   -                  -                         -

表1-3 display domain-reputation signature library命令显示信息描述表

字段	描述
Type	域名信誉特征库版本，包括如下取值： ·     Current：表示当前版本 ·     Factory：表示出厂版本（暂不支持）
SigVersion	域名信誉特征库版本号
ReleaseTime	域名信誉特征库发布时间
Size	域名信誉特征库文件大小，单位是Bytes

 

1.1.6  display domain-reputation top-hit-statistics

display domain-reputation top-hit-statistics命令用来显示命中域名信誉库的域名Top排名统计信息。

【命令】

display domain-reputation top-hit-statistics [ top-number ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

top-number：显示命中域名信誉库次数排名前top-number名的域名统计信息。top-number的取值范围为10～100，缺省值为10。

slot slot-number：显示指定成员设备上命中域名信誉库次数排名前top-number的域名统计信息，slot-number表示设备在IRF中的成员编号。不指定该参数时，显示所有成员设备上命中域名信誉库次数排名前top-number的域名统计信息。‌

【使用指导】

仅在命中域名信誉库的域名Top排名统计功能处于开启状态时，才能查看到排名统计信息。

本命令仅显示命中次数非零的域名排名统计信息，实际显示条目数可能小于top-number。

【举例】

# 显示指定slot上的命中域名信誉库次数排名前10的域名排名统计信息。‌‌

<Sysname> display domain-reputation top-hit-statistics 10 slot 1

Slot 1:

Domain name            Hit count

--------------------------------

www.sina.com.cn        1000

movimet.com            999

www.h3c.com            996

www.yahoo.com.cn       995

www.hao123.com         992

表1-4 display domain-reputation top-hit-statistics命令显示信息描述表

字段	描述
Domain name	命中域名信誉库的域名
Hit count	命中域名信誉库的次数

 

【相关命令】

·     global enable

·     top-hit-statistics enable

1.1.7  domain-reputation

domain-reputation命令用来进入域名信誉视图。

undo domain-reputation命令用来删除域名信誉视图下的所有配置。

【命令】

domain-reputation

undo domain-reputation

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【举例】

# 进入域名信誉视图。

<Sysname> system-view

[Sysname] domain-reputation

[Sysname-domain-reputation]

1.1.8  domain-reputation signature auto-update

domain-reputation signature auto-update命令用来开启定期自动在线升级域名信誉特征库功能，并进入自动升级配置视图。

undo domain-reputation signature auto-update命令用来关闭定期自动在线升级域名信誉特征库功能。

【命令】

domain-reputation signature auto-update

undo domain-reputation signature auto-update

【缺省情况】

定期自动在线升级域名信誉特征库功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

如果设备可以访问官方网站上的特征库服务专区，可以采用定期自动在线升级方式来对设备上的域名信誉特征库进行升级。

【举例】

# 开启定期自动在线升级域名信誉特征库功能，并进入自动升级配置视图。

<Sysname> system-view

[Sysname] domain-reputation signature auto-update

[Sysname-domain-reputation-autoupdate]

【相关命令】

·     update schedule

1.1.9  domain-reputation signature auto-update-now

domain-reputation signature auto-update-now命令用来立即自动在线升级域名信誉特征库。

【命令】

domain-reputation signature auto-update-now

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

执行此命令后，将立即自动升级设备上的域名信誉特征库，且会备份当前的域名信誉特征库文件。此命令的生效与否，与是否开启了定期自动升级域名信誉特征库功能无关。

当管理员发现官方网站上的特征库服务专区中的域名信誉特征库有更新时，可以选择立即自动在线升级方式来及时升级域名信誉特征库版本。

【举例】

# 立即自动在线升级域名信誉特征库版本。

<Sysname> system-view

[Sysname] domain-reputation signature auto-update-now

1.1.10  domain-reputation signature rollback factory

domain-reputation signature rollback factory命令用来删除域名信誉特征库。

【命令】

domain-reputation signature rollback factory

【视图】

系统视图

【缺省用户角色】

context-admin

【使用指导】

应用场景

如果管理员发现设备当前内存不足或不需要当前域名信誉特征库时，可以执行本命令对当前域名信誉特征库版本进行删除，以释放内存空间。

注意事项

非缺省vSystem不支持本命令。

【举例】

# 删除域名信誉特征库。

<Sysname> system-view

[Sysname] domain-reputation signature rollback factory

 

1.1.11  domain-reputation signature update

domain-reputation signature update命令用来手动离线升级域名信誉特征库。

【命令】

domain-reputation signature update file-path [ vpn-instance vpn-instance-name ] [ source { ip | ipv6 } { ip-address | interface interface-type interface-number } ]

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

file-path：指定特征库文件的源路径，为1～255个字符的字符串。

vpn-instance vpn-instance-name：表示TFTP、FTP服务器所属的VPN实例。vpn-instance-name为MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定该参数，则表示TFTP、FTP服务器位于公网中。

source：指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址。如果不指定该参数，则表示使用系统根据路由表项查找到的出接口的地址。

ip ip-address：指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv4地址。

ipv6 ip-address：指定手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IPv6地址。

interface interface-type interface-number：指定该接口的主IPv4地址或接口上最小的IPv6地址为源IP地址。

【使用指导】

如果设备不能访问官方网站上的特征库服务专区，管理员可以采用如下几种方式手动离线升级域名信誉特征库版本：

·     本地升级：使用设备本地保存的特征库文件升级系统中的域名信誉特征库版本，使用此方式前，请先从官方网站获取特征库文件并导入到设备中。

·     FTP/TFTP升级：通过FTP或TFTP方式下载远程服务器上保存的特征库文件，并升级系统中的域名信誉特征库版本。

使用本地升级方式离线升级特征库版本时，特征库文件只能存储在当前主用主控板上，否则设备升级特征库会失败。‌

参数file-path的取值与手动离线升级的操作方式有关。本地升级时参数file-path取值请参见表1-5；FTP/TFTP升级时参数file-path取值请参见表1-6。

表1-5 本地升级时参数file-path取值说明表

升级场景	参数file-path取值	说明
特征库文件的存储位置与当前工作路径一致	filename	可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”
特征库文件的存储位置与当前工作路径不一致，且在相同存储介质上	filename	需要先执行cd命令将工作路径切换至特征库文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”
特征库文件的存储位置与当前工作路径不在相同存储介质上	path/ filename	需要先执行cd命令将工作路径切换至特征库文件所在存储介质的根目录下，再指定特征库文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理”

 

表1-6 FTP/TFTP升级时参数file-path取值说明表

升级场景	参数file-path取值	说明
特征库文件存储在开启FTP服务的远程服务器上	ftp://username:password@server/filename	username为登录FTP服务器的用户名，password为登录FTP服务器的密码，server为FTP服务器的IP地址或主机名 当FTP的用户名和密码中使用了“:”、“@”和“/”三种特殊字符时，需要将这三种特殊字符替换为其对应的转义字符。“:”、“@”和“/”三种特殊字符对应的转义字符分别为“%3A或%3a”、“%40”和“%2F或%2f”
特征库文件存储在开启TFTP服务的远程服务器上	tftp://server/filename	server为TFTP服务器的IP地址或主机名

 

 

如果管理员希望手动离线升级特征库时发送给TFTP、FTP服务器的请求报文的源IP地址是一个特定的地址时，可配置source参数。例如，当组网环境中设备发出的报文需要经过NAT地址转换后才能访问TFTP、FTP服务器时，则需要管理员通过source参数指定一个符合NAT地址转换规则的源IP地址（其中，如果设备需要经过一台独立的NAT设备进行地址转换时，本命令指定的IP地址必须可以与NAT设备三层路由可达），使设备发出的报文可以进行NAT地址转换等处理，正常访问TFTP、FTP服务器。

当同时配置了source和vpn-instance参数时，需要保证source中指定的源IP地址或接口所属VPN实例与vpn-instance中配置的VPN实例相同。

【举例】

# 配置手动离线升级域名信誉特征库，且采用TFTP方式，域名信誉特征库文件的远程路径为tftp://192.168.0.10/domain-1.0.2-en.dat。

<Sysname> system-view

[Sysname] domain-reputation signature update tftp://192.168.0.10/domain-1.0.2-en.dat

# 配置手动离线升级域名信誉特征库，且采用本地方式，域名信誉特征库文件的本地路径为cfb0:/dpi/domain-1.0.23-en.dat，当前工作路径为cfa0:。

<Sysname> cd cfb0:/

<Sysname> system-view

[Sysname] domain-reputation signature update dpi/domain-1.0.23-en.dat

1.1.12  global enable

global enable命令用来开启全局域名信誉功能。

undo global enable命令用来关闭全局域名信誉功能。

【命令】

global enable

undo global enable

【缺省情况】

全局域名信誉功能处于关闭状态。

【视图】

域名信誉视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启本功能后，当DNS报文中的域名匹配到域名信誉特征库中域名后，设备将对报文执行相应的操作。

【举例】

# 开启全局域名信誉功能。

<Sysname> system-view

[Sysname] domain-reputation

[Sysname-domain-reputation] global enable

1.1.13  top-hit-statistics enable

top-hit-statistics enable命令用来开启命中域名信誉库的域名Top排名统计功能。

undo top-hit-statistics enable命令用来关闭命中域名信誉库的域名Top排名统计功能。

【命令】

top-hit-statistics enable

undo top-hit-statistics enable

【缺省情况】

命中域名信誉库的域名Top排名统计功能处于关闭状态。

【视图】

域名信誉视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

本功能仅在开启域名信誉功能后生效。

开启本功能后，设备将对命中域名信誉库的域名进行统计排名。关闭本功能后，统计信息将自动清空。

【举例】

# 开启命中域名信誉库的域名Top排名统计功能。

<Sysname> system-view

[Sysname] domain-reputation

[Sysname-domain-reputation] top-hit-statistics enable

【相关命令】

·     display domain-reputation top-hit-statistics

1.1.14  update schedule

update schedule命令用来配置定期自动在线升级域名信誉特征库的时间。

undo update schedule命令用来恢复缺省情况。

【命令】

update schedule { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } start-time time tingle minutes

undo update schedule

【缺省情况】

设备在每天01:00:00至03:00:00之间开始自动在线升级域名信誉特征库。

【视图】

自动升级配置视图

【缺省用户角色】

network-admin

context-admin

【参数】

daily：表示自动升级周期为每天。

weekly：表示以一周为周期，在指定的一天进行自动升级。

fri：表示星期五。

mon：表示星期一。

sat：表示星期六。

sun：表示星期日。

thu：表示星期四。

tue：表示星期二。

wed：表示星期三。

start-time time：指定自动升级开始时间，time的格式为hh:mm:ss，取值范围为00:00:00～23:59:59。

tingle minutes：指定抖动时间，即实际自动升级开始时间的偏差范围，取值范围为0～120，单位为分钟。在start-time指定时间的前后各偏移抖动时间的一半作为自动升级的时间范围，例如，指定自动升级的开始时间为01:00:00，抖动时间为60分钟，则开始自动升级的时间范围为00:30:00至01:30:00。

【举例】

# 配置域名信誉特征库的定期自动在线升级时间为每周一20:30:00，抖动时间为10分钟。

<Sysname> system-view

[Sysname] domain-reputation signature auto-update

[Sysname-domain-reputation-autoupdate] update schedule weekly mon start-time 20:30:00 tingle 10

【相关命令】

·     domain-reputation signature auto-update