- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-控制策略命令
本章节下载: 01-控制策略命令 (386.77 KB)
1.2.1 tdma action { portal | deny }
1.2.3 tdma { jump-access-web | jump-redirect-web URL | jump-current-web }
1.2.4 tdma net-change policy-rematch
1.3.10 policy filter application
1.9.1 https reassemble { enable | disable }
1.10.2 app-policy control id { enable | disable }
1.11.2 website-policy { enable | disable }
1.12.1 app-policy mail { enable | disable }
1.12.2 app-policy mail { sender | receiver }
1.12.3 app-policy mail title-content
1.12.4 app-policy mail title-content keyword
1.12.5 app-policy mail mail-size
1.12.6 app-policy mail attach-file num
1.12.7 app-policy mail-receive
1.12.8 app-policy mail title-content
1.14.3 app-policy account qq action keyword
1.15.2 file-type-policy { enable | disable }
1.15.3 file-type-policy exclude
1.16.3 app-policy filter telnet
1.17.2 terminal-remind remind-type
1.17.3 terminal-remind announce-type
1.18.1 display running-config policy
policy命令用来创建控制策略。
policy id命令用来进入控制策略配置视图,编辑控制策略。
no policy命令用来删除控制策略。
【命令】
policy in-interface out-interface source-address dest-address service-name user-name application-name schedule-name terminal {permit | deny | tdma } [ id ]
policy id
no policy id
【视图】
系统视图
【参数】
in-interface:安全策略匹配的源接口,设备上可用的接口如ge0,也可为any。
out-interface:安全策略匹配的目的接口,设备上可用的接口如ge0,也可为any。
source-address:安全策略匹配的源IP地址,可以引用某地址对象或者地址组,any表示源地址为任意地址。
dest-address:安全策略匹配的目的地址,可以引用某个地址对象或者地址组,any表示源地址为任意地址。
service-name:安全策略匹配的服务对象,可以引用服务对象或者服务组。
user-name:指定安全策略匹配的用户对象名称。
application-name:指定安全策略匹配的应用对象名称。
schedule-name:指定安全策略生效的时间对象名称。
Terminal:指定安全策略匹配的终端类型,包括mobile、pc、multi,any为任何类型。
id:安全策略的唯一标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。
permit:允许匹配的流量通过。
deny:丢弃匹配的流量。
tdma:开启分时访问策略,配置分时策略的匹配条件。
【使用指导】
出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外,需要配置具体的对象,才能被安全策略引用。
【举例】
# 创建一条服务是TCP,其余匹配条件为any,动作是允许的安全策略。
host# system-view
host(config)# policy any any any any tcp any any always any permit
【命令】
tdma action portal 分时访问规则弹Portal。
tdma action deny 分时访问规则阻断。
【视图】
系统视图
【参数】
无
【使用指导】
用于配置网络切换弹portal 或则阻断。
【举例】
#配置网络切换弹portal 或则阻断。
Host# system-view
Host(config)# configure terminal
Host(config)# policy any any any 内网 any any any always any tdma
Host(config-policy)#tdma action portal
Host(config-policy)#tdma action deny
【相关命令】
无
【命令】
tdma attr-group UPATH 命令用户配置分时访问用户加入的属性组。
【视图】
控制策略配置视图
【参数】
UPATH:属性组路径
【使用指导】
配置分时规则用户加入的属性组路径,只能选择属性组的路径。选择已创建的属性组,将访问不同目的地址网络的用户分别加入所选的属性组。
【举例】
配置分时规则用户加入属性组。
Host# system-view
Host(config)# configure terminal
Host(config)# policy any any any 内网 any any any always any tdma
Host(config-policy)# tdma attr-group /本地属性结构/内网用户
【相关命令】
无
【命令】
tdma { jump-access-web | jump-redirect-web URL | jump-current-web } 命令用于设置分时访问页面跳转的方式。
【视图】
控制策略配置视图
【参数】
jump-access-web:页面跳转到弹Portal之前访问的页面。
jump-redirect-web:跳转到重定向的页面。
jump- current -web:当前访问页面,即Portal页面。
URL:设置跳转到重定向页面的URL地址。
【使用指导】
设置分时访问弹Portal进行网络切换后,页面跳转的方式。默认为跳转到之前访问的页面。
【举例】
#设置分时访问页面跳转到设置之前访问的页面。
Host# system-view
Host(config)# configure terminal
Host(config)# policy any any any 内网 any any any always any tdma
Host(config-policy)# tdma jump-access-web
【相关命令】
无
tdma net-change policy-rematch命令用来设置网络切换时是否清除会话策略标记进行策略重新匹配。
【命令】
tdma net-change policy-rematch { enable | disable }
【视图】
系统视图
【参数】
enable:清除会话策略标记,策略重匹配。
disable:不清除会话策略标记,已进行策略标记的会话继续走快转。
【使用指导】
会话匹配分时策略后,不会进行快转,如果需要进行策略重匹配,需要打开此命令,默认为关闭。
【举例】
开启策略重匹配
host# system-view
Host(config)# configure terminal
Host(config)# tdma net-change policy-rematch enable
【相关命令】
无
【命令】
display tdma user-net 命令用于显示用户所属IP地址所在的分时网络。
【视图】
系统视图
【参数】
无
【使用指导】
显示用户所属IP当前所在网络,即当前所在的属性组。
【举例】
#显示用户所属IP当前所在网络
Host# system-view
Host# display tdma user-net 1.1.1.1
current tdma network: 互联网用户
【相关命令】
无
source-address命令用来增加策略的源地址。
no source-address命令用来删除策略的源地址。
【命令】
source-address addr-name
no source-address addr-name
【视图】
控制策略配置视图
【参数】
addr-name:地址对象的名称。
【使用指导】
策略上最多可以指定8个源地址对象。
【举例】
# 控制策略1添加源地址对象abc。
host# system-view
host(config)# address abc
host(config-address)# ip address 192.168.1.1
host(config)# policy 1
host(config-policy)# source-address abc
dest-address命令用来增加策略的目的地址。
no dest-address 命令用来删除策略的目的地址。
【命令】
dest-address address-name
no dest-address address-name
【视图】
控制策略配置视图
【参数】
address-name:目的地址对象或地址对象组名称。
【使用指导】
策略上最多可以指定8个目的地址对象。
【举例】
# IPv4策略1添加目的地址对象abc。
host# system-view
host(config)# address abc
host(config-address)# ip address 192.168.1.1
host(config)# policy 1
host(config-policy)# dest-address abc
enable命令用来启用IPv4策略。
disable命令用来禁用IPv4策略。
【命令】
enable
disable
【缺省情况】
缺省情况下,IPv4策略是启用的。
【视图】
控制策略配置视图
【举例】
# 禁用IPv4策略1。
host# system-view
host(config)#policy 1
host(config-policy)# disable
in-interface命令用来修改策略匹配的入接口。
【命令】
in-interface { interface-name | any }
【缺省情况】
无
【视图】
控制策略视图
【参数】
interface-name:安全策略匹配的入接口。
any:标识任意接口。
【举例】
# 修改控制策略1的入接口为ge2。
host# system-view
host(config)# policy 1
host(config-policy)# in-interface ge2
out-interface命令用来修改策略匹配的出接口。
【命令】
out-interface { interface-name | any }
【视图】
控制策略配置视图
【参数】
interface-name:出接口的名称。
any:任意出接口。
【举例】
#修改IPv4策略1的出接口为ge1。
host# system-view
host(config)#policy 1
host(config-policy)# out-interface ge1
schedule命令用来修改安全策略的生效时间。
【命令】
schedule schedule-name
【视图】
控制策略配置视图
【参数】
schedule-name:时间对象或对象组名称。
【使用指导】
只有在时间对象处于active状态,IPv4策略才会生效
【举例】
# 修改IPv4策略1的生效时间,使其仅仅在9:00-18:00生效。
host# system-view
host(config)# schedule-day worktime
host(config-schedule-day)# periodic start 9:00 end 18:00
host(config-schedule-day)# exit
host(config)# policy 1
host(config-policyt)# schedule worktime
service命令用来添加安全策略匹配的服务类型对象。
no service 命令用来删除安全策略匹配的服务类型对象。
【命令】
service service-name
no service service-name
【视图】
控制策略配置视图
【参数】
service-name:服务类型对象或对象组名称。
【举例】
# IPv4策略1添加目的服务对象icmp。
host# system-view
host(config)#policy 1
host(config-policy)# service icmp
user命令用来添加安全策略匹配的用户对象。
no user命令用来删除安全策略匹配的用户对象。
【命令】
user user-name
no user user-name
【视图】
控制策略配置视图
【参数】
user-name:用户对象或对象组名称。
【举例】
# 给安全策略1添加abc用户对象。
host# system-view
host(config)# policy 1
host(config-policy)# user abc
terminal命令用来添加安全策略匹配的终端类型。
no terminal命令用来删除安全策略匹配的终端类型。
【命令】
terminal type
【视图】
策略配置节点视图
【参数】
type:终端类型,包括移动终端或PC或多终端类型,也可以选择所有终端类型。
【举例】
# 给安全策略1添加基于移动终端的安全策略。
host# system-view
host(config)# policy 1
host(config-policy)# terminal mobile
policy filter application disable命令用来关闭控制策略中的应用过滤匹配。
policy filter application enable 命令用来开启控制策略中的应用过滤匹配。
【命令】
policy filter application { enable|disable }
【视图】
配置视图
【参数】
disable:关闭命令功能
enable:开启命令功能
【使用指导】
命令行开启了应用过滤功能,则必须同时配置控制策略和应用过滤。没有配置应用过滤策略,则认为没有匹配到控制策略。
开启该功能时,策略应用控制在未匹配到应用情况下能够继续匹配后续策略。
【举例】
将控制策略中的应用过滤匹配功能关闭再开启(默认开启)
Host:WD-D# system-view
Host:WD-D(config)# policy filter application disable
Host:WD-D(config)# policy filter application enable
【相关命令】
无
policy white-list enable命令用来开启控制策略白名单功能,默认此功能开启。
policy white-list disable命令用来关闭控制策略白名单功能。
policy white-list permit count <1-30>命令用来配置控制策略白名单放通用于进行应用识别的报文个数,默认数量是20。
【命令】
policy white-list enable
policy white-list disable
policy white-list permit count <1-30>
【视图】
系统视图
【参数】
无。
【举例】
# 关闭控制策略白名单功能。
host# system-view
host(config)# policy white-list disable
host(config)#
policy move命令用来将策略移到某条策略之后或者之前。
【命令】
policy move id { before | after } ref-id
【视图】
系统视图
【参数】
id:被移动的安全策略的唯一标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。
before:将策略移到参考策略之前。
after:将策略移到参考策略之前。
ref-id:参考策略标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。
【举例】
# 将安全策略1移到安全策略2之后。
host# system-view
host(config)# policy move 1 after 2
policy insert命令用来在某条策略之前插入一条新的策略。
【命令】
policy insert in-interface out-interface source-address dest-address service-name user-name application-name schedule-name terminal { permit | deny } [ id ] before ref-id
【视图】
系统视图
【参数】
in-interface:安全策略匹配的源接口,设备上可用的接口如ge0,也可为any。
out-interface:安全策略的匹配的目的接口,设备上可用的接口如ge0,也可为any。
source-address:安全策略匹配的源IP地址,可以引用某地址对象或者地址组,any表示源地址为任意地址。
dest-address:安全策略匹配的目的地址,可以引用某个地址对象或者地址组,any表示源地址为任意地址。
service-name:安全策略匹配的服务对象,可以引用服务对象或者服务组。
user-name:指定安全策略匹配的用户对象名称。
application-name:指定安全策略匹配的应用对象名称。
schedule-name:指定安全策略生效的时间对象名称。
Terminal:指定安全策略匹配的终端类型。
permit:允许匹配的流量通过。
deny:丢弃匹配的流量。
id:安全策略的唯一标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。
ref-id:参考策略标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。
【使用指导】
出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外,需要配置具体的对象,才能被安全策略引用。
【举例】
# 在安全策略1之前插入一条新的ID为3的安全策略。
host# system-view
host(config)# policy insert any any any any any any any always any deny 3 before 1
policy default-action命令用来修改控制策略的默认规则配置。
【命令】
policy default-action { permit | deny }
【缺省情况】
缺省情况下,默认规则的行为是允许。
【视图】
系统视图
【参数】
permit:允许匹配的流量通过。
deny:丢弃匹配的流量。
【举例】
# 修改默认策略的值为permit。
host# system-view
host(config)# policy default-action permit
policy clean-mode命令用来设置控制策略清除会话策略的开关。
【命令】
policy clean-mode { clean-all | not-clean }
【缺省情况】
policy clean-mode clean-all
【视图】
系统视图
【参数】
clean-all:清除策略会话模式。当控制策略引用地址对象包含域名对应IP变化,或者新建、删除、修改、移动控制策略时,控制策略会清除已存在会话与策略的关系。
not-clean:不清除策略会话模式。当控制策略引用地址对象包含域名对应IP变化,或者新建、删除、修改、移动控制策略时,不清除已存在会话和策略的关系。
【使用指导】
控制策略引用包含域名的地址对象时,当域名对应IP变更(新学习或老化)时。通过该命令控制是否清除已存在会话和策略的关系,使会话重新匹配策略。
【举例】
# 设置控制策略清除会话策略的模式为:不清除策略会话。
host# system-view
host(config)# policy clean-mode not-clean
https reassemble { enable | disable } 命令用来开启/关闭https报文乱序重组功能。
【命令】
https reassemble { enable | disable }
【缺省情况】
默认关闭
【视图】
系统视图
【参数】
enable:开启https报文乱序重组功能。
disable:关闭https报文乱序重组功能。
【使用指导】
该命令用于控制https流量是否支持保序,默认不保序。
【举例】
#开启https报文乱序重组功能。
host# system-view
host(config)# https reassemble enable
app-policy control命令用来新建一条应用控制策略。
no app-policy control 命令用来删除一条应用控制策略。
【命令】
app-policy control id action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore } [.DESCRIPTION]
【视图】
系统视图
【参数】
id:应用控制策略ID,最小为1,最大为64。
permit:控制动作为放行。
deny:控制动作为阻断。
emerg:日志级别为紧急。
alert:日志级别为告警。
crit:日志级别为严重。
err:日志级别为错误。
warning:日志级别为警告
notice:日志级别为通知。
info:日志级别为信息。
ignore:不记录日志。
description:描述内容。
【使用指导】
配置应用控制策略的IPV4安全策略的动作必须是允许。
【举例】
# 给id为1应用控制策略,定义其动作为允许以及日志级别为信息。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy control 1 action permit log-level info
app-policy control id { enable | disable }命令启用或禁用已定义的应用控制策略。
【命令】
app-policy control id { enable | disable }
【缺省情况】
缺省情况下,默认策略的状态是启用。
【视图】
IPv4视图
【举例】
# 禁用应用控制策略1。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy control 1 disable
website-policy命令用来新建一条网站策略。
no website-policy命令用来删除一条网站策略。
【命令】
website-policy id { url-category | any } { accept | deny } { emerg | alert | crit | err | notice | info | ignore } display
【视图】
控制策略配置视图
【参数】
id:网站策略ID,最小为1,最大为64。
url-category:进行网站策略控制的分类,any表示所有分类。
permit:控制动作为放行。
deny:控制动作为阻断。
emerg:日志级别为紧急。
alert:日志级别为警告。
crit:日志级别为严重。
err:日志级别为错误。
notice:日志级别为通知。
info:日志级别为信息。
ignore:不记录日志。
display:策略描述。
【使用指导】
· 参数url-category可输入至多8个分类,用逗号进行分隔。
· 配置应用控制策略的安全策略的动作必须是审计。
【举例】
# 给id为1的ipv4策略增加网站策略,不允许赌博、色情类网站,日志级别严重。
host# system-view
host(config)# policy 1
host(config-policy)# website-policy 1 gambling,porn deny crit FilterUrl 赌博,色情
website-policy { enable | disable }命令启用或禁用已定义的网站策略象。
【命令】
website-policy { enable | disable } id
【视图】
控制策略配置视图
【举例】
# 启用id为1 的ipv4策略的网站策略1。
host# system-view
host(config)# policy 1
host(config-policy)# website-policy enable 1
website-policy malware enable命令启用恶意URL过滤。
website-policy malware disable命令停用恶意URL过滤。
【命令】
website-policy malware { enable | disable }
【缺省情况】
缺省情况下,恶意URL过滤是禁用的。
【视图】
控制策略配置视图
【举例】
# 启用id为1 的ipv4策略的恶意URL过滤。
host# system-view
host(config)# policy 1
host(config-policy)# website-policy malware enable
app-policy { enable | disable }命令启用或禁用已定义的邮件策略。
【命令】
app-policy mail { enable | disable } id
【视图】
控制策略配置视图
【举例】
# 给启用id为1 的ipv4策略的邮件策略1。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy mail enable
app-policy mail { sender | receiver }命令用于定义邮件控制策略发件人、收件人黑白名单关键字配置。
【命令】
app-policy mail { sender | receiver } action { permit | deny } keyword { KEYWORD | NULL}
【视图】
控制策略配置视图
【参数】
sender:发件人
receiver:收件人。
permit:设置关键字白名单。
deny:设置关键字黑名单
KEYWORD|NULL:关键字
【举例】
# 启用邮件控制策略,定义发件人过滤白名单关键字为邮件关键字。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy mail sender action permit keyword 邮件关键字
app-policy mail title-content 命令用于开启邮件控制策略标题内容关键字匹配功能。
【命令】
app-policy mail title-content { enable | disable }
【视图】
控制策略配置视图
【举例】
# 启用邮件控制策略标题内容关键字匹配。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy mail title-content enable
app-policy mail title-content keyword命令用于定义邮件控制策略标题内容关键字定义。
【命令】
app-policy mail title-content keyword { KEYWORD | NULL }
【视图】
控制策略配置视图
【举例】
# 定义邮件控制策略标题内容关键字为邮件关键字。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy mail title-content keyword 邮件关键字
app-policy mail mail-size命令用于定义邮件控制策略邮件大小数值。
【命令】
app-policy mail mail-size size
【视图】
控制策略配置视图
【参数】
size:邮件大小的值,范围为0-100M。
【举例】
#定义邮件控制策略邮件大小为10M。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy mail mail-size enable
host(config-policy)# app-policy mail mail-size 10
app-policy mail attach-file num命令用于开启或关闭邮件控制策略邮件附件个数控制。
【命令】
app-policy mail attach-file num
【视图】
控制策略配置视图
【举例】
# 开启邮件控制策略邮件附件个数控制为10个。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy mail attach-file num enable
host(config-policy)# app-policy mail attach-file num 10
app-policy mail-receive disable命令用来关闭接收邮件。
app-policy mail-receive enable 命令用来开启接收邮件。
【命令】
app-policy mail-receive { enable | disable }
【视图】
控制策略配置视图
【参数】
disable:关闭命令功能
enable:开启命令功能
【使用指导】
该命令默认关闭,开启后将过滤接收邮件。
【举例】
# 将接收邮件过滤功能开启再关闭(默认关闭)
Host# system-view
Host(config)# policy 1
Host(config-policy)# app-policy mail-receive enable
Host(config-policy)# app-policy mail-receive disable
【相关命令】
display running-config policy
app-policy mail { enable | disable }
1.12.8 app-policy mail title-content
app-policy mail title-content 命令用于开启或关闭邮件控制策略标题关键字。
【命令】
app-policy mail title-content { enable | disable | keyword KEYWORD }
【视图】
控制策略配置视图
【参数】
enable:开启
disable:关闭
KEYWORD:关键字对象名称。
【举例】
# 开启邮件控制策略标题关键字。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy mail title-content enable
host(config-policy)# app-policy mail title-content keyword test
app-policy search keyword action log-level命令用于创建一条web关键字搜索引擎策略。
【命令】
app-policy search ID keyword KEYWORD action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore } [.DESCRIPTION]
【视图】
控制策略配置视图
【参数】
ID:搜索引擎ID。
KEYWORD:关键字对象。
permit:处理动作为允许。
deny:处理动作为拒绝。
emerg:日志级别为紧急。
alert:日志级别为告警。
crit:日志级别为严重。
err:日志级别为错误。
warning:日志级别为警告
notice:日志级别为通知。
info:日志级别为信息。
ignore:不记录日志。
DESCRIPTION:描述信息。
【举例】
# 创建一条描述为1的搜索引擎策略,关键字对象为搜索关键字,处理动作允许,日志级别为信息。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy search 1 keyword 搜索关键字 action permit log-level info 1
host(config-policy)# app-policy search 1 enable
app-policy http post keyword action log-level命令用于创建一条web关键字http上传策略。
【命令】
app-policy http post ID keyword KEYWORD action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore } [.DESCRIPTION]
【视图】
控制策略配置视图
【参数】
ID:http上传策略ID。
KEYWORD:关键字对象。
permit:处理动作为允许。
deny:处理动作为拒绝。
emerg:日志级别为紧急。
alert:日志级别为告警。
crit:日志级别为严重。
err:日志级别为错误。
warning:日志级别为警告
notice:日志级别为通知。
info:日志级别为信息。
ignore:不记录日志。
DESCRIPTION:描述信息。
【举例】
# 创建一条描述为1的http上传策略,关键字对象为http上传,处理动作允许,日志级别为信息。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy http post 1 keyword http上传 action permit log-level info 1
host(config-policy)# app-policy http post 1 enable
app-policy web-content keyword action log-level命令用于创建一条web关键字网页内容策略。
【命令】
app-policy web-content ID keyword KEYWORD action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore } [.DESCRIPTION]
【视图】
控制策略配置视图
【参数】
ID:http上传策略ID。
KEYWORD:关键字对象。
permit:处理动作为允许。
deny:处理动作为拒绝。
emerg:日志级别为紧急。
alert:日志级别为告警。
crit:日志级别为严重。
err:日志级别为错误。
warning:日志级别为警告
notice:日志级别为通知。
info:日志级别为信息。
ignore:不记录日志。
DESCRIPTION:描述信息。
【举例】
# 创建一条描述为1的网页内容策略,关键字对象为网页内容,处理动作允许,日志级别为信息。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy web-content 1 keyword 网页内容action permit log-level info 1
host(config-policy)# app-policy web-content 1 enable
app-policy account qq命令用于开启/关闭qq控制策略。
【命令】
app-policy account qq { enable | disable }
【视图】
控制策略配置视图
【参数】
enable:开启qq控制策略。
disable:关闭qq控制策略。
【举例】
# 开启qq控制策略。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy account qq enable
app-policy account qq命令用于qq控制策略关键字黑白名单使能。
【命令】
app-policy account qq { white_list | black_list }
【参数】
white_list:使能qq控制策略白名单。
black_list:使能qq控制策略黑名单。
【视图】
控制策略配置视图
【举例】
# 使能qq控制策略黑名单。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy account qq black_list
app-policy account qq action keyword命令用于qq控制策略黑白名单设置。
【命令】
app-policy account qq action { permit | deny } keyword { KEYWORD | NULL }
【视图】
控制策略配置视图
【举例】
# 创建一条QQ账号过滤策略,黑名单关键字为QQ控制。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy account qq black_list
host (config-policy)# app-policy account qq action deny keyword QQ控制
file-type-policy命令用来配置文件类型过滤策略。
no file-type-policy <1-64> 命令用来删除文件类型过滤策略。
【命令】
file-type-policy <1-64> file-type { FILE-TYPE | any }trans-direction { upload | download | all }action { permit | deny }log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore } [ DESCRIPTION ]
no file-type-policy <1-64>
【视图】
控制策略视图
【参数】
<1-64>:策略ID。
FILE-TYPE:文件类型对象。
upload:上传。
download:下载
all:上传和下载。
permit:动作为允许。
deny:动作为阻断。
emerg:日志级别为紧急。
alert:日志级别为告警。
crit:日志级别为严重。
err:日志级别为错误。
warning:日志级别为警告
notice:日志级别为通知。
info:日志级别为信息。
debug:日志级别为调试。
ignore:不记录日志。
DESCRIPTION:策略描述信息。
【举例】
# 新建自定义文件类型过滤策略。
host# system-view
host(config)# policy 1
host(config-policy)# file-type-policy 1 file-type Video trans-direction all action deny log-level emerg file_filter
file-type-policy { enable | disable } 命令用来开启/关闭文件类型策略。
【命令】
file-type-policy enable <1-64> 命令用来开启文件类型策略。
file-type-policy disable <1-64> 命令用来关闭文件类型策略。
【视图】
控制策略视图
【举例】
# 开启、关闭策略1的文件类型策略。
host# system-view
host(config)# policy 1
host(config-policy)# file-type-policy disable 1
host(config-policy)# file-type-policy enable 1
file-type-policy exclude 命令用来在文件类型策略中排除指定的URL。
【命令】
file-type-policy exclude URL_CATEGORY
【视图】
控制策略视图
【参数】
URL_CATEGORY:URL站点的分类。
【举例】
# 在文件类型策略中排除广告类站点。
host# system-view
host(config)# policy 1
host(config-policy)# file-type-policy exclude-url ad 1
app-policy filter dns 命令用于配置DNS协议过滤规则。
【命令】
app-policy filter dns { enable | disable} 命令用于启用/禁用DNS协议过滤。
app-policy filter dns action { deny | permit } 命令用于配置DNS协议过滤处理动作阻断/放行。
app-policy filter dns log-level { alert | crit | debug | emerg | err | ignore | info | notice | warning } 命令用于配置DNS协议过滤日志级别。
app-policy filter dns domain keyword { KEYWORD | NULL } 命令用于配置DNS协议过滤域名关键字。
【视图】
控制策略视图
【参数】
enable:开启DNS协议过滤规则。
disable:关闭DNS协议过滤规则。
deny:动作为阻断。
permit:动作为放行。
alert:日志级别为告警。
crit:日志级别为严重。
debug:日志级别为调试。
emerg:日志级别为紧急。
err:日志级别为错误。
ignore:不记录日志。
info:日志级别为信息。
notice:日志级别为通知。
warning :日志级别为告警。
KEYWORD:关键字对象。
【举例】
# 配置DNS过滤启用,域名处理动作阻断。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy filter dns enable
host(config-policy)# app-policy filter dns action deny
host(config-policy)# app-policy filter dns domain keyword sohu
app-policy filter ftp 命令用于配置ftp协议过滤规则。
【命令】
app-policy filter ftp { enable | disable} 命令用于启用/禁用FTP协议过滤。
app-policy filter ftp action { deny | permit} 命令用于配置FTP协议过滤处理动作阻断/放行。
app-policy filter ftp log-level { alert | crit | debug | emerg | err | ignore | info | notice | warning } 命令用于配置FTP协议过滤日志级别。
app-policy filter ftp filename { enable | disable} 命令用于启用/禁用FTP协议过滤文件名。
app-policy filter ftp filename keyword { KEYWORD | NULL } 命令用于配置FTP协议过滤文件名关键字。
app-policy filter ftp cmd { enable| disable} 命令用于启用/禁用FTP协议命令。
app-policy filter ftp cmd keyword { KEYWORD | NULL } 命令用于配置FTP协议过滤命令关键字。
【视图】
控制策略视图
【参数】
enable:开启ftp协议过滤规则。
disable:关闭ftp协议过滤规则。
deny:动作为阻断。
permit:动作为放行。
alert:日志级别为告警。
crit:日志级别为严重。
debug:日志级别为调试。
emerg:日志级别为紧急。
err:日志级别为错误。
ignore:不记录日志。
info:日志级别为信息。
notice:日志级别为通知。
warning :日志级别为告警。
KEYWORD:关键字对象。
【举例】
# 配置ftp过滤启用,针对文件名阻断。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy filter ftp enable
host(config-policy)# app-policy filter ftp action deny
host(config-policy)# app-policy filter ftp filename enable
host(config-policy)# app-policy filter ftp filename keyword ftp关键字
app-policy filter telnet 命令用于配置telnet 协议过滤规则
【命令】
app-policy filter telnet { enable| disable} 命令用于启用/禁用telnet 协议过滤。
app-policy filter telnet action { deny | permit} 命令用于配置telnet 协议过滤处理动作阻断/放行。
app-policy filter telnet log-level { alert | crit | debug | emerg | err | ignore | info | notice | warning } 命令用于配置telnet 协议过滤日志级别。
app-policy filter telnet cmd keyword { KEYWORD | NULL} 命令用于配置telnet 协议过滤命令关键字。
【视图】
控制策略视图
【参数】
enable:开启telnet协议过滤规则。
disable:关闭telnet协议过滤规则。
deny:动作为阻断。
permit:动作为放行。
alert:日志级别为告警。
crit:日志级别为严重。
debug:日志级别为调试。
emerg:日志级别为紧急。
err:日志级别为错误。
ignore:不记录日志。
info:日志级别为信息。
notice:日志级别为通知。
warning :日志级别为告警。
KEYWORD:关键字对象。
【举例】
# 配置telnet过滤启用,针对命令阻断。
host# system-view
host(config)# policy 1
host(config-policy)# app-policy filter telnet enable
host(config-policy)# app-policy filter telnet action deny
host(config-policy)# app-policy filter telnet cmd keyword show
terminal-remind enable 命令用来打开公告推送页面功能。
terminal-remind disable 命令用来关闭公告推送页面功能。
【命令】
terminal-remind { enable | disable }
【缺省情况】
缺省情况下,没有启用终端公告推送页面功能。
【视图】
policy视图
【参数】
enable:打开公告推送页面功能。
disable:关闭公告推送页面功能。
【使用指导】
开启该功能后,允许设备向连接设备的终端在设定时间中推送公告页面。
【举例】
# 策略1下启用公告推送页面功能。
HOST# configure terminal
HOST(config)# policy 1
HOST(config-policy)# terminal-remind enable
terminal-remind remind-type interval 命令用来设定公告推送频率为周期提醒。
terminal-remind remind-type fix 命令用来设定公告推送频率为固定时间提醒。
【命令】
terminal-remind remind-type interval interval_time
terminal-remind remind-type fix hour hour minute minute
【缺省情况】
缺省情况下,启用终端公告推送页面功能后,设备以默认公告向规定终端推送页面,默认推送时间间隔为1440分钟。
【视图】
控制策略配置视图
【参数】
interval_time:周期间隔,单位为分钟,范围是10-1440 分钟。
hour:固定时间小时,范围是0-23。
minute:固定时间分钟,范围是 0-59。
【使用指导】
该命令可以设置公告推送频率类型,可以设置为固定时间,最小单位为分钟;也可以设置为周期间隔推送,单位也为分钟。
【举例】
# 策略1下设置公告推送为固定时间10:00。
HOST# configure terminal
HOST(config)# policy 1
HOST(config-policy)# terminal-remind remind-type fix hour 10 minute 00
# 策略1下设置公告推送时间间隔为每10分钟推送一次
HOST# configure terminal
HOST(config)# policy 1
HOST(config-policy)# terminal-remind remind-type interval 10
terminal-remind announce-type命令用于配置终端公告页面推送项。
【命令】
terminal-remind announce-type { internal ID | external URL }
【缺省情况】
缺省情况下,启用终端公告推送页面功能后,缺省以设备内置的默认公告页面为返回页面。
【视图】
控制策略配置视图
【参数】
Internal:设定公告推送页面使用内置公告页面。
External:设定公告推送页面使用外部公告页面。
ID:内置公告引用的自定义公告ID,可以通过display announce命令查看。
URL:外部公告对应的URL。
【使用指导】
该命令可以设置公告推送页面类型,可以设置为设备内置的公告页面,且可以预览;也可以设置为外部对应的URL公告页面。
【举例】
# 策略1下设置公告推送页面为设备内置的ID为1自定义页面。
HOST# configure terminal
HOST(config)# policy 1
HOST(config-policy)# terminal-remind announce-type internal 1
# 策略1下设置公告推送页面为url:http://www.192.168.1.1.com/的页面
HOST# configure terminal
HOST(config)# policy 1
HOST(config-policy)# terminal-remind announce-type external http://www.192.168.1.1.com
display running-config policy命令用来查看当前已配置的控制策略。
【命令】
display running-config policy
【视图】
全局视图
【参数】
无。
【使用指导】
查看当前控制策略的配置信息。
【举例】
# 查看当前控制策略配置。
host#
host# display running-config policy
policy any any any any any any any always any permit 1
app-policy mail enable
policy default-action permit
policy white-list disable
!
!policy-decrypt
!
sslproxy-optimize disable
policy decrypt any any any https https 1
policy listen block disable
policy analyze daily
policy analyze disable
!
display policy config [ id ]命令用来查看安全策略的相关配置信息。
【命令】
display policy config [ id ]
【视图】
系统视图
【参数】
id:策略ID值,参数可选。
【举例】
#查看ID为1的安全策略配置信息。
Host# display policy config 1
policy-group 命令用来创建策略分组。
no policy-group name [ policy ] 命令用来删除策略分组。
【命令】
policy-group name
no policy-group name [ policy ]
【视图】
配置视图
【参数】
name:策略组名称,字符限制1-31字符。
policy:删除策略分组里的策略。
【举例】
#创建名称为“policy-group1”的策略分组。
Host# configure terminal
Host(config)# policy-group test1
Host(config)#
policy analyze enable 命令用来开启策略分析开关。
policy analyze disable命令用来关闭策略分析开关。
【命令】
policy analyze { enable | disable }
【视图】
配置视图
【参数】
enable:开启策略分析。
disable:关闭策略分析。
【举例】
#开启策略分析。
Host# configure terminal
Host(config)# policy analyze enable
Host(config)#
policy analyze cpu_threshold mem_threshold 命令用来配置策略分析cpu和内存阈值。
【命令】
policy analyze cpu_threshold <50-99> mem_threshold <50-99>
【视图】
配置视图
【参数】
cpu_threshold:配置CPU阈值,CPU使用率超过配置则不执行分析。
mem_threshold:配置内存阈值,内存使用率超过配置则不执行分析。
<50-99>:CPU或内存的使用率阈值,范围50-99。
policy analyze daily 命令用来配置策略分析的周期为每天。
【命令】
policy analyze daily
【视图】
配置视图
【举例】
#配置策略分析周期为每天。
Host# configure terminal
Host(config)# policy analyze daily
Host(config)#
policy analyze weekly命令用来配置策略分析周期为每周。
【命令】
policy analyze weekly { sun | null } { mon | null } { tue | null } { wed | null } { thu | null } { fri | null } {sat | null }
【视图】
配置视图
【参数】
sun:每周日自动分析。
mon:每周一自动分析。
tue:每周二自动分析。
wed:每周三自动分析。
thu:每周四自动分析。
fri:每周五自动分析。
sat:每周六自动分析。
null:表示当前日期不分析。
【举例】
#修改策略分析模式为每周日、周一、周五自动进行分析。
Host# configure terminal
host(config)# policy analyze weekly sun mon null null null fri null
Host(config)#
policy analyze monthly 命令用来配置策略分析按月分析。
【命令】
policy analyze monthly { word }
【视图】
配置视图
【参数】
word:每月具体日期,范围为1-31,例如1,12,26。
【举例】
#配置策略每月1号自动分析。
Host# configure terminal
Host(config)# policy analyze monthly 1
Host(config)#
policy analyze time 命令用来配置策略分析时间。
【命令】
policy analyze time hour <0-23> minute <0-59>
【视图】
配置视图
【参数】
hour:配置小时。
<0-23>:小时的值,范围为0-23,单位为小时。
minute:配置分钟。
<0-59>:分钟的值,范围为0-59,单位为分钟。
#配置策略自动分析的时间为12:00。
Host# configure terminal
Host(config)# policy analyze time hour 12 minute 0
Host(config)#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
