- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-物联网设备安全管理命令
本章节下载: 09-物联网设备安全管理命令 (368.70 KB)
目 录
1.2.1 action (format-check standard view)
1.2.2 enable (format-check standard view)
1.2.3 format-allowlist object-group
1.2.6 source-address object-group (format-check standard view)
1.2.7 standard (format-check view)
1.3.1 access-allowlist object-group
1.3.3 action (access-control view)
1.3.6 enable (access-control view)
1.3.9 source-address object-group (access-control view)
1.4.1 action (signal-control standard view)
1.4.2 display iot security-manage signal-control signal-detail
1.4.3 enable (signal-control standard view)
1.4.4 signal-allowlist object-group
1.4.7 source-address object-group (signal-control standard view)
1.4.8 standard (signal-control view)
1.5.2 display iot security-manage flow-control statistics policy name
1.5.12 reset iot security-manage flow-control statistics policy name
iot security-manage命令用来进入物联网设备安全管理视图。
undo iot security-manage命令用来删除物联网设备安全管理视图。
【命令】
iot security-manage
undo iot security-manage
【缺省情况】
不存在物联网设备安全管理视图。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在物联网设备安全管理视图下,可以配置物联网设备安全管理相关业务功能。删除视图表示删除物联网设备安全管理所有功能配置。
如果设备同时配置了标准格式检查、设备准入控制、敏感信令控制和标准流量管控中的多个功能,设备会按照上述优先级依次对报文进行处理,直到报文被丢弃。
【举例】
# 进入物联网设备安全管理视图。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec]
action命令用来配置格式检查失败的执行动作。
undo action命令用来恢复缺省情况。
【命令】
action { permit | drop } [ logging ]
undo action
【缺省情况】
格式检查失败时设备对报文的执行动作为允许,不输出日志。
【视图】
格式检查标准视图
【缺省用户角色】
network-admin
context-admin
【参数】
permit:表示允许报文通过的动作。
drop:表示丢弃报文的动作。
logging:表示格式检查失败时发送日志的动作。若未配置本参数,则格式检查失败时不发送日志。
【使用指导】
可以通过此命令配置格式检查失败时设备对报文的执行动作,以及是否输出日志。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置GB/T 28181标准格式检查失败时设备对报文的执行动作为允许,不输出日志。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] format-check
[Sysname-iot-sec-format-check] standard GBT28181
[Sysname-iot-sec-format-check-GBT28181] action permit
enable命令用来开启指定标准的格式检查功能。
undo enable命令用来关闭指定标准的格式检查功能。
【命令】
enable
undo enable
【缺省情况】
标准的格式检查功能处于关闭状态。
【视图】
格式检查标准视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
可以根据需要进入不同的格式检查标准视图开启指定标准的格式检查功能,不需要时可以将其关闭。可检查的标准类型包括GB/T 28181、GB 35114、GA/T 1400标准。
【举例】
# 开启GB/T 28181标准的格式检查功能。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] format-check
[Sysname-iot-sec-format-check] standard GBT28181
[Sysname-iot-sec-format-check-GBT28181] enable
format-allowlist object-group命令用来配置格式检查白名单。
undo format-allowlist object-group命令用来删除格式检查白名单。
【命令】
format-allowlist object-group { ipv4 | ipv6 | mac } object-group-name
undo format-allowlist object-group [ ipv4 | ipv6 | mac ]
【缺省情况】
未配置格式检查白名单。
【视图】
格式检查视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:IPv4地址对象组。
ipv6:IPv6地址对象组。
mac:MAC地址对象组。
object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
当管理员对物联网接入设备非常信任或发现格式检查存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报。指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
可以通过多次配置本命令,分别配置IPv4、IPv6、MAC地址对象组作为格式检查的白名单。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算成功匹配白名单。
对于相同类型的地址对象组,多次执行本命令,最后一次执行的命令生效。
本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全命令参考”中的“对象组”。
【举例】
# 配置IPv4地址对象组abc为格式检查的白名单。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] format-check
[Sysname-iot-sec-format-check] format-allowlist object-group ipv4 abc
【相关命令】
· object-group(安全命令参考/对象组)
format-check命令用来进入格式检查视图。
undo format-check命令用来删除格式检查视图。
【命令】
format-check
undo format-check
【缺省情况】
不存在格式检查视图。
【视图】
物联网设备安全管理视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在物联网设备安全管理视图内可以通过此命令进入格式检查视图,并在该视图内配置格式检查相关功能。删除视图表示删除格式检查的所有功能配置。
【举例】
# 进入格式检查视图。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] format-check
[Sysname-iot-sec-format-check]
inspect-attribute命令用来配置标准检测属性。
undo inspect-attribute命令用来删除配置的标准检测属性。
【命令】
inspect-attribute { administrative-area | device-id | device-type | interface-method } *
undo inspect-attribute [ administrative-area | device-id | device-type | interface-method ] *
【缺省情况】
未配置检测属性。
【视图】
格式检查标准视图
【缺省用户角色】
network-admin
context-admin
【参数】
administrative-area:表示检测的物联网设备行政区域属性,即检测物联网设备编码中行政区域位是否符合统一编码规则里面中心编码限定范围,即符合行政区划代码GB/T 2260要求。
device-id:表示检测的物联网设备编码属性,即检测报文中携带的物联网设备编码是否符合统一编码规则,是否为20个字符组成的字符串,字符串中仅包含数字。
device-type:表示检测的物联网设备类型属性,即检测物联网设备编码中类型编码位是否符合统一编码规则中类型编码限定范围。
interface-method:表示检测的接口方法属性,即检测报文中使用的请求消息字、请求方法URI等是否符合相关标准定义。
【使用指导】
可通过本命令选择设备进行标准格式检查时的检测属性。只有设备对所有选中的检测属性都检测通过时才认为格式检查成功。
不能通过重复执行本命令修改已配置的检测属性,前后配置的检测属性会进行合并。
【举例】
# 配置GB/T 28181标准的检测属性为设备编码。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] format-check
[Sysname-iot-sec-format-check] standard GBT28181
[Sysname-iot-sec-format-check-GBT28181] inspect-attribute device-id
source-address object-group命令用来配置作为格式检查过滤条件的源地址对象组。
undo source-address object-group命令用来删除作为格式检查过滤条件的源地址对象组。
【命令】
source-address object-group { ipv4 | ipv6 | mac } object-group-name
undo source-address object-group [ipv4 | ipv6 | mac]
【缺省情况】
未配置作为格式检查过滤条件的源地址对象组。
【视图】
格式检查标准视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:IPv4地址对象组。
ipv6:IPv6地址对象组。
mac:MAC地址对象组。
object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
可以通过多次配置本命令,分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件。对于不符合过滤条件的报文,设备会直接放行。指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
对于相同类型的地址对象组,多次执行本命令,最后一次执行的命令生效。
本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全命令参考”中的“对象组”。
【举例】
# 配置作为GB/T 28181标准格式检查过滤条件的源地址对象组为IPv4地址对象组abc。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] format-check
[Sysname-iot-sec-format-check] standard GBT28181
[Sysname-iot-sec-format-check-GBT28181] source-address object-group ipv4 abc
【相关命令】
· object-group(安全命令参考/对象组)
standard命令用来创建并进入格式检查标准视图。
undo standard命令用来删除格式检查标准视图。
【命令】
standard standard-type
undo standard standard-type
【缺省情况】
不存在格式检查标准视图。
【视图】
格式检查视图
【缺省用户角色】
network-admin
context-admin
【参数】
standard-type:表示物联网设备支持的标准类型,包括GB/T 28181、GB 35114、GA/T 1400标准,不区分大小写。
【使用指导】
在格式检查视图内可以通过此命令进入格式检查标准视图,并在该视图内配置标准检查相关功能。删除视图表示删除该标准检查的所有功能配置。在一个格式检查视图下可以配置多个格式检查标准视图。
【举例】
# 进入格式检查GB/T 28181标准视图。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] format-check
[Sysname-iot-sec-format-check] standard GBT28181
[Sysname-iot-sec-format-check-GBT28181]
access-allowlist object-group命令用来配置设备准入控制白名单。
undo access-allowlist object-group命令用来删除设备准入控制白名单。
【命令】
access-allowlist object-group { ipv4 | ipv6 | mac } object-group-name
undo access-allowlist object-group [ ipv4 | ipv6 | mac ]
【缺省情况】
未配置设备准入控制白名单。
【视图】
设备准入控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:IPv4地址对象组。
ipv6:IPv6地址对象组。
mac:MAC地址对象组。
object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
当管理员对物联网接入设备非常信任或发现设备准入控制存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报。指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
可以通过多次配置本命令,分别配置IPv4、IPv6、MAC地址对象组作为设备准入控制的白名单。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算成功匹配白名单。
对于相同类型的地址对象组,多次执行本命令,最后一次执行的命令生效。
本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全命令参考”中的“对象组”。
【举例】
# 配置IPv4地址对象组abc为设备准入控制的白名单。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control] access-allowlist object-group ipv4 abc
【相关命令】
· object-group(安全命令参考/对象组)
access-control命令用来进入设备准入控制视图。
undo access-control命令用来删除设备准入控制视图。
【命令】
access-control
undo access-control
【缺省情况】
不存在设备准入控制视图。
【视图】
物联网设备安全管理视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在物联网设备安全管理视图内可以通过此命令进入设备准入控制视图,并在该视图内配置设备准入控制相关功能。删除视图将会删除设备准入控制的所有功能配置。
由于设备准入控制功能会处理不属于GB/T 28181、GB 35114、GA/T 1400标准的报文,影响其他业务报文传输,因此建议用户在不需要时关闭该功能。
【举例】
# 进入设备准入控制视图。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control]
action命令用来配置认证失败时设备准入控制所执行的动作。
undo action命令用来恢复缺省情况。
【命令】
action { permit | drop } [ logging ]
undo access-action
【缺省情况】
认证失败时设备准入控制所执行的动作为允许,不输出日志。
【视图】
设备准入控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
permit:表示允许报文通过。
drop:表示丢弃报文。
logging:表示物联网设备认证失败时发送日志。若未配置本参数,则物联网设备认证失败时不发送日志。
【使用指导】
可以通过此命令配置认证失败时设备对报文的执行动作,以及是否输出日志。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置认证失败时设备准入控制所执行的动作为允许,不输出日志。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control] action permit
detect-duration命令用来配置当物联网设备信息不完整时的设备检测时间。
undo detect-duration命令用来恢复缺省情况。
【命令】
detect-duration time
undo detect-duration
【缺省情况】
检测时间为60秒。
【视图】
设备准入控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
time:时间以秒为单位,可配置范围为0~600秒。
【使用指导】
如果报文中采集到的物联网设备信息不完整,设备将无法对接入的设备完成认证操作。此时需要配置合适的设备检测时间。
在检测时间范围内,如果设备采集到所需的完整物联网设备认证信息,设备会进行认证操作。针对暂时无法采集完整物联网设备信息的报文,设备将会持续采集每个报文中的物联网设备信息进行认证。如果在超过检测时间后仍然无法采集到所需的完整信息,则直接标记为认证失败。设备会将获取到完整所需信息之前的流量,按照管理员指定的认证失败动作进行处理。
【举例】
# 配置当物联网设备信息不完整时的设备检测时间为50秒。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control] detect-duration 50
【相关命令】
· device-info
device-info命令用来配置物联网设备的认证信息。
undo device-info命令用来删除配置的物联网设备的认证信息。
【命令】
device-info { { ipv4 ipv4-address | ipv6 ipv6-address } | mac mac-address } * [ device-id id { standard standard-type } &<1-n> ]
undo device-info { all | ipv4 ipv4-address | ipv6 ipv6-address | mac mac-address } * [ device-id id {standard standard-type } &<1-n> ]
【缺省情况】
未配置物联网设备的认证信息。
【视图】
设备准入控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4 ipv4-address:表示配置用于认证的物联网设备的IPv4地址,该地址不能为全0地址、组播地址、环回地址。
ipv6 ipv6-address:表示配置用于认证的物联网设备的IPv6地址,该地址不能为全0地址、组播地址、环回地址。
mac mac-address:表示配置用于认证的物联网设备的MAC地址,该地址不能为全0地址、全F地址以及组播MAC地址。
device-id id:表示配置用于认证的物联网设备的设备编码,为20个字符组成的字符串,字符串中仅包含数字。
{standard standard-type } &<1-n>:standard standard-type表示配置用于认证的物联网设备的标准类型,当配置设备编码参数时,本参数至少配置一项。可以配置的标准类型包括GB/T 28181、GB 35114、GA/T 1400标准,不区分大小写。&<1-n>表示前面的参数最多可以输入n次。
【使用指导】
可以分别配置上述的参数作为认证物联网设备的依据,各参数之间是与的关系,只有一条认证信息中所有配置的参数都匹配成功才认为设备认证通过。单条认证信息必须指定IP地址或MAC地址。设备编码和标准类型必须同时配置,也可以都不配。除标准类型外所有的物联网设备信息参数不得出现重复。
可以多次执行本命令配置不同设备的信息。
【举例】
# 配置一条IP地址为1.1.1.1,设备编码为12345678901234567890,标准类型为GB/T 28181、GB 35114、GA/T 1400的物联网设备认证信息。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control] device-info ipv4 1.1.1.1 device-id 12345678901234567890 standard GBT28181 GB35114 GAT1400
【相关命令】
· detect-duration
enable命令用来开启设备准入控制功能。
undo enable命令用来关闭设备准入控制功能。
【命令】
enable
undo enable
【缺省情况】
设备准入控制功能处于关闭状态。
【视图】
设备准入控制视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
可以根据需要开启设备准入控制功能。由于设备准入控制功能会将不符合过滤条件的报文直接丢弃,因此建议不需要时将其关闭。
【举例】
# 开启设备准入控制功能。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control] enable
import-device-info命令用来批量导入物联网设备认证信息。
【命令】
import-device-info file-path
【视图】
设备准入控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
file-path:包含符合设备信息导入格式的文件URL,为1~255个字符的字符串。
【使用指导】
当需要的物联网设备认证信息在设备当前已配置的认证信息中不存在时,可通过编辑.csv格式的设备认证信息模板文件,并将其导入设备中来批量生成所需的设备认证信息。管理员可在Web页面获取.csv格式的模板文件。执行本命令后,设备将在原有物联网设备认证信息的基础上新增导入文件中的物联网设备认证信息。导入的物联网设备认证信息中如果存在有部分物联网设备认证信息重复的条目,该条目将不会被添加。
参数file-path的取值范围请参见表1-1。
表1-1 采用本地方式时参数file-path取值说明表
|
导入方式 |
参数file-path取值 |
说明 |
|
物联网设备认证信息文件的存储位置与当前工作路径一致 |
filename |
可以执行pwd命令查看当前工作路径 有关pwd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
物联网设备认证信息文件的存储位置与当前工作路径不一致,且在相同存储介质上 |
filename |
需要先执行cd命令将工作路径切换至物联网设备认证信息文件所在目录下 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
|
物联网设备认证信息文件的存储位置与当前工作路径不在相同存储介质上 |
path/ filename |
需要先执行cd命令将工作路径切换至物联网设备认证信息文件所在存储介质的根目录下,再指定物联网设备认证信息文件的相对路径 有关cd命令的详细介绍请参见“基础配置命令参考”中的“文件系统管理” |
【举例】
# 通过file.csv批量导入物联网设备信息,物联网设备认证信息文件的本地路径为cfa0:/file.csv,且当前工作路径为cfa0:。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control] import-device-info file.csv
re-authenticate命令用来对配置的物联网设备进行重认证操作。
【命令】
re-authenticate { all | { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ] | mac mac-address }
【视图】
设备准入控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:表示需要对所有已经检测到的物联网设备执行重认证操作。
ipv4 ipv4-address:表示需要执行重认证操作的IPv4地址,该地址不能为全0地址、组播地址、环回地址。
ipv6 ipv6-address:表示需要执行重认证操作的IPv6地址,该地址不能为全0地址、组播地址、环回地址。
mac mac-address:表示需要执行重认证操作的MAC地址,该地址不能为全0地址、全F地址以及组播MAC地址。
【使用指导】
当管理员通过物联网相关的管理平台修改物联网设备本身的设备编码、使用的标准类型等信息时,由于该物联网设备之前已经认证成功,因此可能会出现认证不准确的情况。此时设备可以根据物联网设备的IP、MAC、IP+MAC对已经配置的物联网设备进行重认证操作。
执行本命令后,设备会清除业务流量中的认证状态。已有的业务流量会重新认证,按照新的认证结果对报文进行处理。
【举例】
# 对所有物联网设备执行重认证操作。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control] re-authenticate all
【相关命令】
· action(access-control view)
source-address object-group命令用来配置作为设备准入控制过滤条件的源地址对象组。
undo source-address object-group命令用来删除作为设备准入控制过滤条件的源地址对象组。
【命令】
source-address object-group { ipv4 | ipv6 | mac } object-group-name
undo source-address object-group [ ipv4 | ipv6 | mac ]
【缺省情况】
未配置作为设备准入控制过滤条件的源地址对象组。
【视图】
设备准入控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:IPv4地址对象组。
ipv6:IPv6地址对象组。
mac:MAC地址对象组。
object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
可以通过多次配置本命令,分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件,并根据匹配结果对报文进行设备准入控制检测。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件。对于不符合过滤条件的报文,设备会直接丢弃。指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
对于相同类型的地址对象组,多次执行本命令,最后一次执行的命令生效。
本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全命令参考”中的“对象组”。
【举例】
# 配置作为设备准入控制过滤条件的源地址为IPv4地址对象组abc。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] access-control
[Sysname-iot-sec-access-control] source-address object-group ipv4 abc
【相关命令】
· object-group(安全命令参考/对象组)
action命令用来配置敏感信令报文执行动作。
undo action命令用来恢复缺省情况。
【命令】
action { permit | drop } [ logging ]
undo action
【缺省情况】
敏感信令报文执行动作为允许,不输出日志。
【视图】
敏感信令标准视图
【缺省用户角色】
network-admin
context-admin
【参数】
permit:表示允许报文通过的动作。
drop:表示丢弃报文的动作。
logging:表示检测到敏感信令时发送日志的动作。若未配置本参数,则检测到敏感信令时不发送日志。
【使用指导】
可以通过此命令配置设备对敏感信令报文的执行动作,以及是否输出日志
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置GB/T 28181标准敏感信令报文执行动作为允许,不输出日志。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] signal-control
[Sysname-iot-sec-signal-control] standard GBT28181
[Sysname-iot-sec-signal-control-standard GBT28181] action permit
display iot security-manage signal-control signal-detail命令用来显示特征库中支持的所有物联网设备敏感信令详情。
【命令】
display iot security-manage signal-control signal-detail
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
该命令将显示特征库中支持的所有物联网设备敏感信令详情,包括信令ID、信令名称、信令分类ID、信令分类名称、信令标准等信息。
【举例】
# 显示特征库中支持的所有物联网设备敏感信令详情。
<Sysname> display iot security-manage signal-control signal-detail
Standard type: GBT28181
----------------------------------------------------------------------------------------
Category ID Category Name Signal ID Signal Name
----------------------------------------------------------------------------------------
1 AccessClass 2 Register
1 AccessClass 3 Keepalive
表1-2 display iot security-manage signal-control signal-detail命令显示信息描述表
|
字段 |
描述 |
|
Standard type |
信令所属的标准类型,包括如下取值: · GBT28181:表示GB/T 28181-2016标准 · GB35114:表示GB 35114-2017标准 · GAT1400:表示GA/T 1400-2017标准 |
|
Category ID |
信令分类编号 |
|
Category Name |
信令分类名称 |
|
Signal ID |
信令编号 |
|
Signal Name |
信令名称 |
enable命令用来开启指定标准的敏感信令控制功能。
undo enable命令用来关闭指定标准的敏感信令控制功能。
【命令】
enable
undo enable
【缺省情况】
敏感信令控制功能处于关闭状态。
【视图】
敏感信令标准视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
可以根据需要进入不同的敏感信令标准视图开启指定标准的敏感信令控制功能,不需要时可以将其关闭。可指定的标准类型包括GB/T 28181、GB 35114、GA/T 1400标准。
【举例】
# 开启GB/T 28181标准的敏感信令控制功能。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] signal-control
[Sysname-iot-sec-signal-control] standard GBT28181
[Sysname-iot-sec-signal-control-GBT28181] enable
signal-allowlist object-group命令用来配置敏感信令白名单。
undo signal-allowlist object-group命令用来删除敏感信令白名单。
【命令】
signal-allowlist object-group { ipv4 | ipv6 | mac } object-group-name
undo signal-allowlist object-group [ ipv4 | ipv6 | mac ]
【缺省情况】
未配置敏感信令白名单。
【视图】
敏感信令控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:IPv4地址对象组。
ipv6:IPv6地址对象组。
mac:MAC地址对象组。
object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
当管理员对物联网接入设备非常信任或发现敏感信令控制存在误报的情况时,可以将选中的地址对象组加入到白名单以提高设备处理效率或减少误报。指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
可以通过多次配置本命令,分别配置IPv4、IPv6、MAC地址对象组作为敏感信令控制的白名单。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组匹配就算成功匹配白名单。
对于相同类型的地址对象组,多次执行本命令,最后一次执行的命令生效。
本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全命令参考”中的“对象组”。
【举例】
# 配置IPv4地址对象组abc为敏感信令控制的白名单。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] signal-control
[Sysname-iot-sec-signal-control] signal-allowlist object-group ipv4 abc
【相关命令】
· object-group(安全命令参考/对象组)
signal-control命令用来进入敏感信令控制视图。
undo signal-control命令用来删除敏感信令控制视图。
【命令】
signal-control
undo signal-control
【缺省情况】
不存在敏感信令控制视图。
【视图】
物联网设备安全管理视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在物联网设备安全管理视图内可以通过此命令进入敏感信令控制视图,并在该视图内配置敏感信令控制相关功能。删除视图表示删除敏感信令控制的所有功能配置。
【举例】
# 进入敏感信令控制视图。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] signal-control
[Sysname-iot-sec-signal-control]
signal-select命令用来选择指定标准的敏感信令。
undo signal-select命令用来删除指定标准已经选择的敏感信令。
【命令】
signal-select category category-name [ signal signal-name ]
undo signal-select { all | category category-name [ signal signal-name ] }
【缺省情况】
未选择任何标准的敏感信令。
【视图】
敏感信令标准视图
【缺省用户角色】
network-admin
context-admin
【参数】
category category-name:表示敏感信令分类名称,为1~63个字符的字符串,不区分大小写。
signal signal-name:表示敏感信令名称,为1~63个字符的字符串,不区分大小写。
all:表示包含所有敏感信令分类下的所有敏感信令。
【使用指导】
可以对不同标准分别选择敏感信令。标准类型包括GB/T 28181、GB 35114、GA/T 1400标准。多次执行本命令用来选择多个敏感信令。通过配置信令分类达到选择该分类下所有信令的目的。可以通过命令删除指定标准的所有、某一类、某一个敏感信令。
可以通过display iot security-manage signal-control signal-detail命令查看特征库中支持的所有物联网设备敏感信令详情。
【举例】
# 选择信令分类QueryClass作为GB/T 28181标准的敏感信令。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] signal-control
[Sysname-iot-sec-signal-control] standard GBT28181
[Sysname-iot-sec-signal-control-GBT28181] signal-select category queryclass
【相关命令】
· display iot security-manage signal-control signal-detail
source-address object-group命令用来配置作为敏感信令控制过滤条件的源地址对象组。
undo source-address object-group命令用来删除作为敏感信令控制过滤条件的源地址对象组。
【命令】
source-address object-group { ipv4 | ipv6 | mac } object-group-name
undo source-address object-group [ ipv4 | ipv6 | mac ]
【缺省情况】
未配置作为敏感信令控制过滤条件的源地址对象组。
【视图】
敏感信令标准视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:IPv4地址对象组。
ipv6:IPv6地址对象组。
mac:MAC地址对象组。
object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
可以通过多次配置本命令,分别配置IPv4、IPv6、MAC源地址对象组作为匹配报文源地址的过滤条件,并根据匹配结果对报文进行敏感信令控制检测。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件。对于不符合过滤条件的报文,设备会直接放行。指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
对于相同类型的地址对象组,多次执行本命令,最后一次执行的命令生效。
本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全命令参考”中的“对象组”。
【举例】
# 配置作为敏感信令控制过滤条件的源地址为IPv4地址对象组abc。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] signal-control
[Sysname-iot-sec-signal-control] standard GBT28181
[Sysname-iot-sec-signal-control-GBT28181] source-address object-group ipv4 abc
【相关命令】
· object-group(安全命令参考/对象组)
standard命令用来创建并进入敏感信令标准视图。
undo standard命令用来删除敏感信令标准视图。
【命令】
standard standard-type
undo standard standard-type
【缺省情况】
不存在敏感信令标准视图。
【视图】
敏感信令控制视图
【缺省用户角色】
network-admin
context-admin
【参数】
standard-type:表示物联网设备支持的标准类型,包括GB/T 28181、GB 35114、GA/T 1400标准,不区分大小写。
【使用指导】
在敏感信令控制视图内可以通过此命令进入敏感信令标准视图,并在该视图内配置敏感信令相关功能。删除视图表示删除该标准敏感信令控制的所有功能配置。在一个敏感信令控制视图下可以配置多个敏感信令标准视图。
【举例】
# 进入敏感信令GB/T 28181标准视图。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] signal-control
[Sysname-iot-sec-signal-control] standard GBT28181
[Sysname-iot-sec-signal-control-GBT28181]
disable命令用来禁用标准流量管控策略。
undo disable命令用来启用标准流量管控策略。
【命令】
disable
undo disable
【缺省情况】
标准流量管控策略处于开启状态。
【视图】
标准流量管控策略视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果部分标准流量管控策略暂时不会被用到,而且又不想将其从设备上删除时,可以通过此命令来禁用这些策略。
【举例】
# 禁用标准流量管控策略p1。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] policy name p1
[Sysname-iot-sec-flow-control-policy-p1] disable
display iot security-manage flow-control statistics policy name命令用来显示标准流量管控功能中策略统计信息。
【命令】
display iot security-manage flow-control statistics policy name policy-name [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name policy-name:标准流量管控策略名称,为1~63个字符的字符串,不区分大小写。
slot slot-number:显示指定成员设备上标准流量管控功能中策略统计信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上标准流量管控功能中策略统计信息。
【使用指导】
该命令显示信息包括请求方设备编码、地址、标准类型,实际发生的请求次数和请求频率,以及所属策略ID、策略名称,控制行为和其他关键信息。
【举例】
#显示标准流量管控策略p1的统计信息。
<Sysname> display iot security-manage flow-control statistics policy name p1
----------------------------------------------------------------------------------------
Policy ID Policy name Device ID IP MAC Standard Count Rate(/min) Action
----------------------------------------------------------------------------------------
1 p1 12345678901234567891 1.1.1.1 000c-afe3-5dc1 GBT28181 100 50 Permit
1 p1 12345678901234567892 2.2.2.2 000c-afe3-5dc2 GBT28181 200 80 Drop
表1-3 display iot security-manage flow-control statistics policy命令显示信息描述表
|
字段 |
描述 |
|
Policy ID |
流量管控策略的ID编码 |
|
Policy name |
流量管控策略的名称 |
|
Device ID |
请求方设备编码 |
|
IP |
请求方IP地址 |
|
MAC |
请求方MAC地址 |
|
Standard |
请求使用标准,包括如下取值: · GBT28181:表示GB/T 28181-2016标准 · GB35114:表示GB 35114-2017标准 · GAT1400:表示GA/T 1400-2017标准 |
|
Count |
请求发生的次数 |
|
Rate(/min) |
请求发生的频率,以每分钟请求发生的次数计算。 |
|
Action |
报文执行动作,包括如下取值: · Permit:表示允许报文通过。 · Drop:表示丢弃报文。 |
【相关命令】
· judge-condition
· reset iot security-manage flow-control statistics policy name
flow-action命令用来配置标准流量管控策略的执行动作。
undo flow-action命令用来恢复缺省情况。
【命令】
flow-action { permit | drop } [ logging ]
undo flow-action
【缺省情况】
标准流量管控策略的执行动作为允许,不输出日志。
【视图】
标准流量管控策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
permit:表示允许报文通过的动作。
drop:表示丢弃报文的动作。
logging:表示满足流量策略控制行为时发送日志的动作。若未配置本参数,则满足流量策略控制行为时不发送日志。
【使用指导】
可以通过此命令配置标准流量管控策略的执行动作,以及是否输出日志。
以下情况设备会发送日志:
· 首次达到标准流量管控策略的判定条件。
· 达到策略的判定条件且距上一次该接入设备命中相同的策略时发送日志的时间超过告警周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置标准流量管控策略p1下设备流量执行动作为允许,不输出日志。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] policy name p1
[Sysname-iot-sec-flow-control-policy-p1] flow-action permit
flow-control命令用来进入标准流量管控视图。
undo flow-control命令用来删除标准流量管控视图。
【命令】
flow-control
undo flow-control
【缺省情况】
不存在标准流量管控视图。
【视图】
物联网设备安全管理视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在物联网设备安全管理视图内可以通过此命令进入标准流量管控视图,并在该视图内配置标准流量管控相关功能。删除视图表示删除标准流量管控的所有功能配置。
【举例】
# 进入标准流量管控视图。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control]
judge-condition命令用来配置标准流量管控策略执行的判定条件。
undo judge-condition命令用来删除标准流量管控策略执行的判定条件。
【命令】
judge-condition { requests-per-id number | request-rate-per-id rate } *
undo judge-condition [ requests-per-id | request-rate-per-id ]
【缺省情况】
未配置标准流量管控策略执行的判定条件。
【视图】
标准流量管控策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
requests-per-id number:表示单个物联网设备发出请求的总次数。
request-rate-per-id rate:表示单个物联网设备发出请求的频率,即每分钟发出请求的次数。
【使用指导】
单个标准流量管控策略下只能各自配置一个请求次数和请求频率。请求次数和请求频率是针对该策略过滤条件中一个请求方设备编码生效,即每个设备编码单独计算请求次数和频率。
【举例】
# 配置标准流量管控策略p1的判定条件每设备编码请求次数为12次。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] policy name p1
[Sysname-iot-sec-flow-control-policy-p1] judge-condition requests-per-id 12
【相关命令】
· judge-logic
· display iot security-manage flow-control statistics policy name
· reset iot security-manage flow-control statistics policy name
judge-logic命令用来配置策略执行的判定条件关系。
undo judge-logic命令用来恢复缺省情况。
【命令】
judge-logic { and | or }
undo judge-logic
【缺省情况】
判定条件关系为或的关系。
【视图】
标准流量管控策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
and:表示策略判定条件中请求发生总次数和请求发生频率的判定逻辑为“且”关系。
or:表示策略判定条件中请求发生总次数和请求发生频率的判定逻辑为“或”关系。
【使用指导】
当判定条件关系为且时,表示请求次数和请求频率必须同时达到判定条件,标准流量管控策略才能执行动作;当判定条件关系为或时,表示请求次数或者请求频率任意一项达到判断条件,标准流量管控策略即可执行动作。
【举例】
# 配置标准流量管控策略p1执行的判定条件为且关系。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] policy name p1
[Sysname-iot-sec-flow-control-policy-p1] judge-logic and
【相关命令】
· judge-condition
match-address-object命令用来配置作为标准流量管控策略过滤条件的源地址对象组。
undo match-address-object命令用来删除作为标准流量管控策略过滤条件的源地址对象组。
【命令】
match-address-object { ipv4 | ipv6 } object-group-name
undo match-address-object { ipv4 | ipv6 }
【缺省情况】
未配置作为标准流量管控策略过滤条件的源地址对象组。
【视图】
标准流量管控策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:IPv4地址对象组。
ipv6:IPv6地址对象组。
object-group-name:地址对象组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
可以通过多次配置本命令,分别配置IPv4、IPv6源地址对象组作为匹配报文源地址的过滤条件,并根据匹配结果对报文进行标准流量管控。不同类型的地址对象组之间是“或”的关系,即只要有一个对象组成功匹配就算符合过滤条件。对于不符合过滤条件的报文,设备会直接放行。指定的对象组必须已存在,若指定一个不存在的对象组,配置将下发失败。
对于相同类型的地址对象组,多次执行本命令,最后一次执行的命令生效。
本命令需要和地址对象组功能配合使用,有关地址对象组功能的详细介绍,请参见“安全命令参考”中的“对象组”。
【举例】
# 配置作为标准流量管控策略过滤条件的源地址为IPv4地址对象组abc。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[[Sysname-iot-sec-flow-control] policy name p1
[Sysname-iot-sec-flow-control-policy-p1] match-address-object ipv4 abc
【相关命令】
· object-group(安全命令参考/对象组)
match-device-info命令用来配置作为标准流量管控策略过滤条件的物联网设备信息。
undo match-device-info命令用来删除作为标准流量管控策略过滤条件的物联网设备信息。
【命令】
match-device-info device-id device-id [ ipv4 ipv4-address | ipv6 ipv6-address ] [ mac mac-address ]
undo match-device-info device-id device-id
【缺省情况】
未配置作为标准流量管控策略过滤条件的物联网设备信息。
【视图】
标准流量管控策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
device-id device-id:表示物联网设备的设备编码,为20个字符组成的字符串,字符串中仅包含数字。
ipv4 ipv4-address:表示物联网设备的源IPv4地址,该地址不能为全0地址、组播地址、环回地址。
ipv6 ipv6-address:表示物联网设备的源IPv6地址,该地址不能为全0地址、组播地址、环回地址。
mac mac-address:表示物联网设备的MAC地址,该地址不能为全0地址、全F地址以及组播MAC地址。
【使用指导】
单个标准流量管控策略下可以配置多条物联网设备信息。请求方设备编码与地址信息为唯一绑定关系,不能为同一个请求方设备编码指定不同的地址信息。当多次执行本命令时,如果设备编码相同,后面的配置会覆盖之前的配置。请求方设备编码与地址信息同时配置时,业务匹配逻辑为且的关系。
【举例】
# 为标准流量管控策略p1配置一条请求方设备编码为12345678901234567890,IP地址为1.1.1.1的物联网设备信息。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] policy name p1
[Sysname-iot-sec-flow-control-policy-p1] match-device-info device-id 12345678901234567890 ipv4 1.1.1.1
match-standard命令用来配置作为标准流量管控策略过滤条件的标准类型。
undo match-standard命令用来删除作为标准流量管控策略过滤条件的标准类型。
【命令】
match-standard standard-type
undo match-standard standard-type
【缺省情况】
未配置标准流量管控策略匹配的标准类型。
【视图】
标准流量管控策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
standard-type:表示设备支持的标准类型,包括GB/T 28181、GB 35114、GA/T 1400标准,不区分大小写。
【使用指导】
单个标准流量管控策略下只能配置一种匹配的标准类型。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置标准流量管控策略p1匹配的标准类型为GB/T 28181。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] policy name p1
[Sysname-iot-sec-flow-control-policy-p1] match-standard GBT28181
policy move命令用来移动标准流量管控策略的位置。
【命令】
policy move policy-name1 { after | before } [ policy-name2 ]
【视图】
标准流量管控视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name1:待移动的策略名称,为1~63个字符,不区分大小写。
after:表示移动到指定名称的目标策略之后。
before:表示移动到指定名称的目标策略之前。
policy-name2:指定目标策略名称,为1~63个字符,不区分大小写。如果不指定本参数,那么:
标准流量管控策略的移动方式为after时,policy-name1将被排到最靠后的位置。
标准流量管控策略的移动方式为before时,policy-name1将被排到最靠前的位置。
【使用指导】
设备根据标准流量管控策略在设备上显示的顺序从上到下对流量进行匹配,一旦匹配上某个标准流量管控策略便结束此匹配过程,并根据该策略中指定的动作对此流量进行处理;如果流量没有匹配上任何规则,则允许该流量通过。
为了使设备上部署的标准流量管控功能达到更好、更严谨的效果,因此配置标准流量管控策略时要遵循“先精细后宽泛”的原则。如果发现设备中已配置的标准流量管控策略之间的顺序不符合这个原则,则可以使用policy move命令来调整标准流量管控策略之间的顺序。
【举例】
# 将标准流量管控策略p2移动到p1之前。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] policy move p2 before p1
policy name命令用来创建标准流量管控策略并进入标准流量管控策略视图。
undo policy name命令用来删除标准流量管控策略。
【命令】
policy name policy-name
undo policy name policy-name
【缺省情况】
不存在标准流量管控策略视图。
【视图】
标准流量管控视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:标准流量管控策略名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
可以多次执行本命令创建多个标准流量管控策略。标准流量管控策略的匹配顺序为策略的显示顺序,报文与某条标准流量管控策略匹配成功后便结束此匹配过程,不再匹配后续策略。
【举例】
# 创建标准流量管控策略p1并进入标准流量管控策略视图。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] policy name p1
[Sysname-iot-sec-flow-control-policy-p1]
reset iot security-manage flow-control statistics policy name命令用来清除标准流量管控策略内所有请求方设备编码的统计信息。
【命令】
reset iot security-manage flow-control statistics policy name policy-name
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:标准流量管控策略名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
该命令可以清除标准流量管控策略下统计的所有请求方设备编码的请求次数和请求频率。可以通过display iot security-manage flow-control statistics policy name命令查看所有请求方设备编码的请求次数和请求频率。
【举例】
#清除标准流量管控策略p1内所有请求方设备编码的统计信息。
<Sysname> reset iot security-manage flow-control statistics policy name p1
【相关命令】
· judge-condition
· display iot security-manage flow-control statistics policy name
warning-period命令用来配置告警周期。
undo warning-period命令用来恢复缺省情况。
【命令】
warning-period time
undo warning-period
【缺省情况】
告警周期为5分钟。
【视图】
标准流量管控视图
【缺省用户角色】
network-admin
context-admin
【参数】
time:时间以分钟为单位,可配置范围为1~60分钟。
【使用指导】
为了避免设备持续发送大量标准流量管控日志而对设备性能造成影响,可以通过本命令来设置标准流量管控日志发送的周期。当有物联网接入设备命中策略需要发送标准流量管控日志时,设备会判断距上一次该接入设备命中相同的策略时发送日志的时间是否超过告警周期,超过则发送日志,不超过则不发送日志。
此配置对所有标准流量管控策略生效。
【举例】
# 配置告警周期为6分钟。
<Sysname> system-view
[Sysname] iot security-manage
[Sysname-iot-sec] flow-control
[Sysname-iot-sec-flow-control] warning-period 6
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
