- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-安全策略命令
本章节下载: 20-安全策略命令 (656.25 KB)
目 录
1.1.1 accelerate enhanced enable
1.1.10 description (security-policy rule view)
1.1.11 description (security-policy view)
1.1.17 display security-policy
1.1.18 display security-policy hit-count
1.1.19 display security-policy ip query
1.1.20 display security-policy statistics
1.1.21 display security-policy switch-result
1.1.31 reset security-policy automatic-deploy records
1.1.32 reset security-policy learning-records
1.1.33 reset security-policy statistics
1.1.37 security-policy automatic-deploy ipv4-agg-mask
1.1.38 security-policy automatic-deploy learning-time
1.1.39 security-policy config-logging send-time
1.1.40 security-policy default-rule action
1.1.41 security-policy default-rule counting enable
1.1.42 security-policy default-rule logging enable
1.1.43 security-policy default-rule traffic-log drop enable
1.1.44 security-policy default-rule traffic-log session-start enable
1.1.45 security-policy default-rule traffic-log session-end enable
1.1.46 security-policy disable
1.1.47 security-policy object-strict-inspection enable
1.1.48 security-policy rules counting
1.1.49 security-policy rules mandatory-item-control
1.1.50 security-policy send-drop-packet tcp-reset rate-limit
1.1.51 security-policy show-default-action enable
1.1.52 security-policy switch-from object-policy
1.1.57 session persistent aging-time
1.1.68 traffic-log drop enable
1.1.69 traffic-log session-end enable
accelerate enhanced enable命令用来激活安全策略规则的加速功能。
【命令】
accelerate enhanced enable
【视图】
IPv4安全策略视图
【缺省用户角色】
network-admin
【使用指导】
加速功能用于提高报文对安全策略规则的匹配速度。激活安全策略规则加速功能是指对变化(新增、删除、修改或移动)的安全策略规则进行加速。
进入安全策略视图后,系统按照动态时间间隔判断是否需要激活安全策略规则的加速功能。在一个时间间隔内若安全策略规则发生变化,则间隔时间到达后会对当前所有的安全策略规则进行重新加速,否则,不会重新加速。
如安全策略规则发生变化后,也可以手动执行accelerate enhanced enable命令立即对发生变化的安全策略规则进行加速。
安全策略中的规则发生变化后必须对其加速成功,否则这些变化的规则无法进行报文匹配。
激活安全策略规则加速功能时,内存资源不足会导致安全策略规则加速失败。加速失败后,本间隔内发生变化的安全策略规则未进行加速,从而导致变化的安全策略规则不生效,之前已经加速成功的规则不受影响。在下一个时间间隔到达后,系统会再次尝试对安全策略规则进行加速。
【举例】
# 激活安全策略规则的加速功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] accelerate enhanced enable
action命令用来配置安全策略规则的动作。
undo action命令用来恢复缺省情况。
【命令】
action { drop | pass }
undo action pass
【缺省情况】
安全策略规则动作是丢弃。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置动作为丢弃。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action drop
【相关命令】
· display security-policy
any-vrf enable命令用来配置安全策略规则对入接口任意VPN实例的报文有效。
undo any-vrf enable命令用来恢复缺省情况。
【命令】
any-vrf enable
undo any-vrf enable
【缺省情况】
安全策略规则对公网的报文有效。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
非缺省vSystem不支持本命令。
执行any-vrf enable命令后,安全策略规则对入接口任意VPN实例的报文有效,则vrf命令不再生效但不会删除已下发配置。当执行undo any-vrf enable命令后,vrf命令继续生效。
【举例】
# 配置安全策略规则rule1对入接口的任意VPN实例的报文生效。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] any-vrf enable
【相关命令】
· vrf
ap ap-name命令用来配置作为安全策略规则过滤条件的AP。
undo ap 命令用来删除作为安全策略规则过滤条件的AP。
【命令】
ap ap-name
undo ap [ ap-name ]
【缺省情况】
不存在AP过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ap-name:表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“.”、“[”、“]”、“/”及“-”,区分大小写。
【使用指导】
本命令可以用于对指定AP的用户报文进行匹配,并且可通过多次执行本命令,对多个AP的用户报文进行匹配。
【举例】
# 配置作为安全策略规则rule1过滤条件的AP为ap1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 1 name rule1
[Sysname-security-policy-ip-1-rule1] ap ap1
ap-group group-name命令用来配置作为安全策略规则过滤条件的AP组。
undo ap-group 命令用来删除作为安全策略规则过滤条件的AP组。
【命令】
ap-group group-name
undo ap-group [ group-name ]
【缺省情况】
不存在AP组过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
group-name:表示AP组的名称,为1~31个字符的字符串,可以包含字母、数字、下划线、“.”、“[”、“]”、“/”及“-”,不区分大小写。
【使用指导】
本命令可以用于对指定AP组的用户报文进行匹配,并且可通过多次执行本命令,对多个AP组的用户报文进行匹配。
【举例】
# 配置作为安全策略规则rule1过滤条件的AP组为apgroup1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 1 name rule1
[Sysname-security-policy-ip-1-rule1] ap-group apgroup1
app-group命令用来配置作为安全策略规则过滤条件的应用组。
undo app-group命令用来删除作为安全策略规则过滤条件的应用组。
【命令】
app-group app-group-name
undo app-group [ app-group-name ]
【缺省情况】
不存在应用组过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
app-group-name:表示应用组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo app-group命令时若不指定此参数,则表示删除此规则中所有应用组类型的过滤条件。有关应用组的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用组作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用组为app1和app2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] app-group app1
[Sysname-security-policy-ip-0-rule1] app-group app2
【相关命令】
· app-group(DPI深度安全命令参考/APR)
· display security-policy
application命令用来配置作为安全策略规则过滤条件的应用。
undo application命令用来删除作为安全策略规则过滤条件的应用。
【命令】
application application-name
undo application [ application-name ]
【缺省情况】
不存在应用过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
application-name:表示应用的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo application命令时若不指定此参数,则表示删除此规则中所有应用类型的过滤条件。有关应用的详细介绍,请参见“安全配置指导”中的“APR”。
【使用指导】
多次执行本命令,可配置多个应用作为安全策略规则的过滤条件。
为使安全策略中配置的应用可以被识别,必须先放行应用所依赖的基础协议报文。
在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的应用。
【举例】
# 配置作为安全策略规则rule1过滤条件的应用为139Mail和51job。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] application 139Mail
[Sysname-security-policy-ip-0-rule1] application 51job
【相关命令】
· display security-policy
· nbar application(DPI深度安全命令参考/APR)
· port-mapping(DPI深度安全命令参考/APR)
auth portal web-server命令用来在安全策略规则中引用Portal Web服务器。
undo auth portal web-server命令用来删除安全策略规则中引用的Portal Web服务器。
【命令】
auth portal web-server server-name
undo auth portal web-server [ server-name ]
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
产品系列 |
产品型号 |
产品代码 |
说明 |
|
WX2500X-LI系列 |
· WX2510X-LI · WX2510X-PWR-LI · WX2520X-LI · WX2540X-LI · WX2550X-LI · WX2560X-LI · WX2580X-LI |
· EWP-WX2510X-LI · EWP-WX2510X-PWR-LI · EWP-WX2520X-LI · EWP-WX2540X-LI · EWP-WX2550X-LI · EWP-WX2560X-LI · EWP-WX2580X-LI |
不支持 |
|
WSG1800X系列 |
WSG1840X |
EWP-WSG1840X |
支持 |
【缺省情况】
安全策略规则中未引用Portal Web服务器。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
server-name:Portal Web服务器的名称,为1~32个字符的字符串,区分大小写。
【使用指导】
Portal认证通过Web页面接收用户输入的用户名和密码,对用户进行身份认证,本命令将命中安全策略规则且规则引用了Portal Web服务器的流量先重定向到Portal Web进行认证。若未认证通过,则后续流量会持续要求认证;若认证通过,后续流量将由安全策略规则控制放行或丢弃。
安全策略引用Portal Web服务器后,仅会对未认证流量进行认证:
· 未认证流量,命中安全策略规则且规则引用了Portal Web服务器,无论当前规则动作是放行还是丢弃,都会发起Portal认证流程,重定向到Portal Web认证页面。
· 认证过的流量,命中安全策略规则且规则引用了Portal Web服务器,不会发起认证流程,流量按照安全策略规则的动作放行或丢弃。
关于Portal认证的详细介绍,请参见“用户接入与认证配置指导”中的“Portal”。
若配置的Portal Web服务器名称为无效值,配置时命令会执行成功并提示Portal Web服务器不存在。
一条安全策略规则仅支持引用一个Portal Web服务器。
多次执行本命令,最后一次执行的命令生效。
【举例】
#在IPv4安全策略规则rule1中引用名称为ws1的Portal Web服务器。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] auth portal web-server ws1
【相关命令】
· portal web-server(用户接入与认证命令参考/Portal)
· display portal web-server(用户接入与认证命令参考/Portal)
counting enable命令用来开启安全策略规则匹配统计功能。
undo counting enable命令用来关闭安全策略规则匹配统计功能。
【命令】
counting enable [ period value ]
undo counting enable
【缺省情况】
安全策略规则匹配统计功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
period value:指定安全策略规则匹配统计功能开启的时长,取值范围为1~4294967295,单位为分钟。若不指定该参数,则表示永久开启统计功能。
【使用指导】
此功能用来对匹配安全策略规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
开启安全策略规则匹配统计功能时,若指定了period参数,则当到达指定时长后,系统会自动关闭该功能,并删除该配置;若没有指定period参数,则永久开启统计功能,只有执行undo counting enable命令后才可以关闭该功能。
【举例】
# 为安全策略规则rule1开启规则匹配统计功能,并指定开启时长为20分钟。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] counting enable period 20
【相关命令】
· display security-policy
· display security-policy statistics
description命令用来配置安全策略规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略规则的描述信息。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
text:表示安全策略规则的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 为IPv4安全策略规则0配置描述信息为This rule is used for source-ip ip1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] description This rule is used for source-ip ip1
【相关命令】
· display security-policy ip
description命令用来配置安全策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
不存在安全策略的描述信息。
【视图】
IPv4安全策略视图
【缺省用户角色】
network-admin
【参数】
text:表示安全策略的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置安全策略的描述信息为“zone-pair security office to library”。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] description zone-pair security office to library
【相关命令】
· display security-policy
destination-ip命令用来配置作为安全策略规则过滤条件的目的IP地址。
undo destination-ip命令用来删除作为安全策略规则过滤条件的目的IP地址。
【命令】
destination-ip object-group-name
undo destination-ip [ object-group-name ]
【缺省情况】
不存在目的IP地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示目的地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo destination-ip命令时若不指定此参数,则表示删除此规则中所有目的IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
配置目的IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
一条规则下配置的目的地址对象组最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址对象组为client1和client2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip client1
[Sysname-security-policy-ip-0-rule1] destination-ip client2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
destination-ip-host命令用来配置作为安全策略规则过滤条件的目的IPv4主机地址。
undo destination-ip-host命令用来删除作为安全策略规则过滤条件的目的IPv4主机地址。
【命令】
destination-ip-host ip-address
undo destination-ip-host [ ip-address ]
【缺省情况】
不存在目的IPv4主机地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ip-address:指定主机IPv4地址。使用undo destination-ip-host命令时若不指定此参数,则表示删除此规则中所有目的IPv4主机地址类型的过滤条件。
【使用指导】
destination-ip-host命令用来配置单个目的IPv4主机地址过滤条件。
多次执行本命令,可配置多个目的IPv4主机地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.1的IPv4主机地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-host 192.167.0.1
【相关命令】
· display security-policy
destination-ip-range命令用来配置作为安全策略规则过滤条件的目的IPv4范围地址。
undo destination-ip-range命令用来删除作为安全策略规则过滤条件的目的IPv4范围地址。
【命令】
destination-ip-range ip-address1 ip-address2
undo destination-ip-range [ ip-address1 ip-address2 ]
【缺省情况】
不存在目的IPv4范围地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。使用undo destination-ip-range命令时若不指定此参数,则表示删除此规则中所有目的IPv4范围地址类型的过滤条件。
【使用指导】
destination-ip-range命令用来配置指定范围的目的IPv4地址过滤条件。
多次执行本命令,可配置多个目的IP范围地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
在配置时,需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址对象配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址配置。
· 如果指定的ip-address1比ip-address2大,会配置失败,并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.165.0.100到192.165.0.200的IPv4范围地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-range 192.165.0.100 192.165.0.200
【相关命令】
· display security-policy
destination-ip-subnet命令用来配置作为安全策略规则过滤条件的目的IPv4子网地址。
undo destination-ip-subnet命令用来删除作为安全策略规则过滤条件的目的IPv4子网地址。
【命令】
destination-ip-subnet ip-address { mask-length | mask }
undo destination-ip-subnet [ ip-address { mask-length | mask } ]
【缺省情况】
不存在目的IPv4子网地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。使用undo destination-ip-subnet命令时若不指定此参数,则表示删除此规则中所有目的IPv4子网地址类型的过滤条件。
【使用指导】
destination-ip-subnet命令用来配置指定子网的目的IPv4地址过滤条件。
多次执行本命令,可配置多个目的IP地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的目的主机地址、目的子网地址和目的范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的目的地址为192.167.0.0,掩码长度为24的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.167.0.0 24
# 配置作为安全策略规则rule1过滤条件的目的地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] destination-ip-subnet 192.166.0.0 255.255.0.0
【相关命令】
· display security-policy
disable命令用来禁用安全策略规则。
undo disable命令用来启用安全策略规则。
【命令】
disable
undo disable
【缺省情况】
安全策略规则处于启用状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【举例】
# 禁用安全策略规则rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] disable
【相关命令】
· display security-policy
display security-policy命令用来显示安全策略的配置信息。
【命令】
display security-policy ip [ brief | rule name rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
brief:表示显示安全策略的概要信息。若不指定参数,则显示所有安全策略规则的配置信息。
rule:表示显示指定安全策略规则的配置信息。
name rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【举例】
# 显示IPv4安全策略的配置信息。
<Sysname> display security-policy ip
Security-policy ip
rule 0 name der (Inactive)
action pass
profile er
auth portal web-server ws
vrf re
logging enable
counting enable period 20
counting enable TTL 1200
time-range dere
track positive 23
session aging-time 5000
session persistent aging-time 2400
source-zone trust
destination-zone trust
source-ip erer
source-ip-host 1.1.1.4
source-ip-subnet 1.1.1.0 255.255.255.0
source-ip-range 2.2.1.1 3.3.3.3
source-location location1
source-location-group location-group1
destination-ip client1
destination-ip-host 5.5.1.2
destination-ip-subnet 5.5.1.0 255.255.255.0
destination-ip-range 2.2.1.1 3.3.3.3
destination-location location2
destination-location-group location-group2
service ftp
service-port tcp
service-port tcp source lt 100 destination eq 104
service-port tcp source eq 100 destination range 104 2000
service-port udp
service-port udp source gt 100 destination eq 104
service-port udp destination eq 100
service-port icmp 100 122
service-port icmp
service-port sctp
service-port sctp source lt 100 destination eq 104
service-port sctp destination range 104 2000
app-group ere
application 110Wang
terminal-group group1
terminal terminal1
user der
user-group ere
# 显示IPv4安全策略规则名称为der的配置信息。
<Sysname> display security-policy ip rule name der
rule 0 name der (Inactive)
action pass
profile er
vrf re
logging enable
counting enable period 20
counting enable TTL 1200
time-range dere
track positive 23
session aging-time 5000
session persistent aging-time 2400
source-zone trust
destination-zone trust
source-ip erer
source-ip-host 1.1.1.4
source-ip-subnet 1.1.1.0 255.255.255.0
source-ip-range 2.2.1.1 3.3.3.3
source-location location1
source-location-group location-group1
destination-ip client1
destination-ip-host 5.5.1.2
destination-ip-subnet 5.5.1.0 255.255.255.0
destination-ip-range 2.2.1.1 3.3.3.3
destination-location location2
destination-location-group location-group2
service ftp
service-port tcp
service-port tcp source lt 100 destination eq 104
service-port tcp source eq 100 destination range 104 2000
service-port udp
service-port udp source gt 100 destination eq 104
service-port udp destination eq 100
service-port icmp 100 122
service-port icmp
app-group ere
application 110Wang
terminal-group group1
terminal terminal1
user der
user-group ere
表1-1 display security-policy命令显示信息描述表
|
rule id name rule-name (Inactive) |
表示规则的ID、名称和生效状态,此安全策略规则生效状态与Track项联动,且此规则的状态为Inactive,规则的生效状态取值包括: · Active:表示生效状态 · Inative:表示禁用状态 |
|
action pass |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
profile app-profile-name |
表示引用的DPI应用profile |
|
auth portal web-server server-name |
表示引用的Portal Web服务器 |
|
vrf vrf-name |
(暂不支持)表示MPLS L3VPN的VPN实例名称 |
|
logging enable |
表示开启了对符合规则过滤条件的报文记录日志信息的功能 |
|
counting enable period value |
表示开启了安全策略规则匹配统计功能并设置了开启时长,单位为分钟 |
|
counting enable TTL time-value |
表示开启了安全策略规则匹配统计功能后的剩余生效时间,单位为秒 |
|
time-range time-range-name |
表示此规则生效的时间段 |
|
track negative 1 |
表示安全策略规则生效状态与Track项的Negative状态关联 |
|
track positive 1 |
表示安全策略规则生效状态与Track项的Positive或NotReady状态关联 |
|
session aging-time time-value |
表示此规则中设置的会话老化时间,单位为秒 |
|
session persistent aging-time time-value |
表示此规则中设置的长连接会话的老化时间,单位为小时 |
|
source-ip object-group-name |
表示规则配置了源IP地址作为过滤条件 |
|
source-ip-host ip-address |
表示规则配置了源IP主机地址作为过滤条件 |
|
source-ip-subnet ip-address |
表示规则配置了源IP子网地址作为过滤条件 |
|
source-ip-range ip-address1 ip-address2 |
表示规则配置了源IP范围地址作为过滤条件 |
|
destination-ip object-group-name |
表示规则配置了目的IP地址作为过滤条件 |
|
destination-ip-host ip-address |
表示规则配置了目的IP主机地址作为过滤条件 |
|
destination-ip-subnet ip-address |
表示规则配置了目的IP子网地址作为过滤条件 |
|
destination-ip-range ip-address1 ip-address2 |
表示规则配置了目的IP范围地址作为过滤条件 |
|
service object-group-name |
表示规则配置了服务作为过滤条件 |
|
service-port protocol |
表示规则配置了协议的端口号作为过滤条件 |
|
app-group app-group-name |
表示规则配置了应用组作为过滤条件 |
|
application application-name |
表示规则配置了应用作为过滤条件 |
|
user user-name |
表示规则配置了用户作为过滤条件 |
|
user-group user-group-name |
表示规则配置了用户组作为过滤条件 |
【相关命令】
· security-policy ip
display security-policy hit-count命令用来显示安全策略规则匹配次数统计信息。
【命令】
display security-policy ip hit-count top { number | all }
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
ip:表示显示IPv4安全策略的统计信息。
top number:表示显示排名前number的安全策略规则匹配次数统计信息,number的取值范围为1~1000。
top all:表示显示所有规则的匹配次数统计信息。
【使用指导】
排序方式:优先按照命中次数排序,命中次数大的优先显示;若命中次数相同,则按照规则ID排序,规则ID小的优先显示。
counting enable命令可以在指定安全策略规则下开启安全策略规则匹配统计功能,security-policy rules counting命令可以开启所有安全策略规则统计功能。本命令仅支持显示安全策略规则统计功能开启的规则统计信息。
【举例】
# 显示IPv4安全策略下所有规则的匹配统计信息
<Sysname> display security-policy ip hit-count top all
TotalRule: 3
No. ID Name State Action Hits
1 0 default_any active pass 1440
2 2 bbb active pass 980
3 1 aaa active pass 520
表1-2 display security-policy hit-count命令显示信息描述表
|
字段 |
描述 |
|
|
TotalRule |
表示查询到的安全策略规则总数 |
|
|
No. |
表示安全策略规则序号 |
|
|
ID |
表示规则的ID |
|
|
Name |
表示规则的名称 |
|
|
State |
表示规则生效状态。此安全策略规则生效状态取决于时间段、Track项联动或必配项检查功能,规则的生效状态取值包括: · active:表示生效状态 · inactive:表示禁用状态 |
|
|
Action |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
|
Hits |
表示规则的命中次数 |
|
【相关命令】
· display security-policy ip
· counting enable
· security-policy rules counting
display security-policy ip query命令用来显示符合指定查询条件的IPv4安全策略的配置信息。
【命令】
display security-policy ip query { destination-ip { destination-ip-address | any } | destination-zone { name destination-zone-name | any } | protocol { protocol-number | any | { tcp | udp | sctp } * | icmp [ icmp-type icmp-type [ icmp-code icmp-code ] ] } | source-ip { source-ip-address | any } | source-zone { name source-zone-name | any } } * [ brief ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
destination-ip { destination-ip-address | any }:表示显示目的IPv4地址中包含指定IPv4地址的安全策略规则的配置信息。destination-ip-address表示目的IPv4地址,any表示显示未配置目的IP地址、目的地区或地区组的规则的信息。
destination-zone { name destination-zone-name | any }:表示显示包含指定目的安全域安全策略规则的信息。name destination-zone-name表示目的安全域的名称,为1~31个字符的字符串,不区分大小写,any表示显示未配置目的安全域的规则的信息。
protocol:表示显示指定协议安全策略规则的信息。
protocol-number:表示协议类型,取值范围为0~57、59~255。
any:表示显示未配置服务或端口的规则的信息。
tcp:表示协议类型为TCP。
udp:表示协议类型为UDP。
sctp:表示协议类型为SCTP。
icmp:表示协议类型为ICMP。
icmp-type icmp-type:表示ICMP消息类型,取值范围为0~255。
icmp-code icmp-code:表示ICMP消息码,取值范围为0~255。
source-ip { source-ip-address | any }:表示显示源IPv4地址中包含指定IPv4地址的安全策略规则的配置信息。source-ip-address表示源IPv4地址,any表示显示未配置源IPv4地址、源MAC地址、源地区或地区组的规则的信息。
source-zone { name source-zone-name | any }:表示显示包含指定源安全域安全策略规则的信息。name source-zone-name表示源安全域的名称,为1~31个字符的字符串,不区分大小写,any表示显示未配置源安全域的规则的信息。
brief:表示显示指定五元组的安全策略规则的概要信息。若不指定该参数,则表示显示指定五元组的安全策略规则的详细信息。
【使用指导】
当指定的某项查询条件不存在时,则显示未配置该项匹配条件规则的信息。
【举例】
# 显示源IP地址包含1.2.3.4的IPv4安全策略规则的详细配置信息。
<Sysname> display security-policy ip query source-ip 1.2.3.4
Inactive: Time range or track is inactive.
Invalid: This rule is invalid. One or more items of source address and destination address are not configured.
rule 1 name test
action drop
source-zone aa
destination-zone bb
source-ip-host 1.2.3.4
destination-ip-host 2.3.4.5
service udp-s1110-d80
service icmp-3-3
# 显示源IPv4地址包含1.2.3.4的IPv4安全策略规则的概要信息。
<Sysname> display security-policy ip query source-ip 1.2.3.4 brief
ID Name State Action Hits
------------------------------------------------------------------------------------
1 test active drop 0
------------------------------------------------------------------------------------
表1-3 display security-policy ip query命令显示信息描述表
|
字段 |
描述 |
|
rule id name rule-name (Inactive) |
表示规则的ID、名称和状态,仅当安全策略规则配置了时间段、与Track项联动或开启必配项检查功能时才会显示状态,规则的状态取值包括: · Active:表示活跃状态,即时间段或联动Track项处于活跃状态 · Inactive:表示非活跃状态,即时间段或联动Track项处于非活跃状态 · Invalid:表示失效状态,即开启了必配项检查功能,且该规则未配置必配项 · 当规则状态为Inactive或Invalid时,该规则均不会生效 |
|
action pass |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
profile app-profile-name |
表示引用的DPI应用profile |
|
auth portal web-server server-name |
表示引用的Portal Web服务器 |
|
vrf vrf-name |
表示MPLS L3VPN的VPN实例名称 |
|
logging enable |
表示开启了对符合规则过滤条件的报文记录日志信息的功能 |
|
counting enable period value |
表示开启了安全策略规则匹配统计功能并设置了开启时长,单位为分钟 |
|
counting enable TTL time-value |
表示开启了安全策略规则匹配统计功能后的剩余生效时间,单位为秒 |
|
time-range time-range-name |
表示此规则生效的时间段 |
|
track negative 1 |
表示安全策略规则生效状态与Track项的Negative状态关联 |
|
track positive 1 |
表示安全策略规则生效状态与Track项的Positive或NotReady状态关联 |
|
session aging-time time-value |
表示此规则中设置的会话老化时间,单位为秒 |
|
session persistent aging-time time-value |
表示此规则中设置的长连接会话的老化时间,单位为小时 |
|
source-zone zone-name |
表示规则配置了源安全域作为过滤条件 |
|
destination-zone zone-name |
表示规则配置了目的安全域作为过滤条件 |
|
source-ip object-group-name |
表示规则配置了源IP地址作为过滤条件 |
|
source-ip-host ip-address |
表示规则配置了源IP主机地址作为过滤条件 |
|
source-ip-subnet ip-address |
表示规则配置了源IP子网地址作为过滤条件 |
|
source-ip-range ip-address1 ip-address2 |
表示规则配置了源IP范围地址作为过滤条件 |
|
destination-ip object-group-name |
表示规则配置了目的IP地址作为过滤条件 |
|
destination-ip-host ip-address |
表示规则配置了目的IP主机地址作为过滤条件 |
|
destination-ip-subnet ip-address |
表示规则配置了目的IP子网地址作为过滤条件 |
|
destination-ip-range ip-address1 ip-address2 |
表示规则配置了目的IP范围地址作为过滤条件 |
|
source-location location-name |
表示规则配置了源地区作为过滤条件 |
|
source-location-group location-group-name |
表示规则配置了源地区组作为过滤条件 |
|
destination-location location-name |
表示规则配置了目的地区作为过滤条件 |
|
destination-location-group location-group-name |
表示规则配置了目的地区组作为过滤条件 |
|
service object-group-name |
表示规则配置了服务作为过滤条件 |
|
service-port protocol |
表示规则配置了协议的端口号作为过滤条件 |
|
app-group app-group-name |
表示规则配置了应用组作为过滤条件 |
|
application application-name |
表示规则配置了应用作为过滤条件 |
|
terminal terminal-name |
表示规则配置了终端作为过滤条件 |
|
terminal-group terminal-group-name |
表示规则配置了终端组作为过滤条件 |
|
user user-name |
表示规则配置了用户作为过滤条件 |
|
user-group user-group-name |
表示规则配置了用户组作为过滤条件 |
|
ID |
表示规则的ID |
|
Name |
表示规则的名称 |
|
State |
表示规则生效状态。此安全策略规则生效状态取决于时间段、Track项联动或必配项检查功能,规则的生效状态取值包括: · active:表示生效状态 · inactive:表示禁用状态 |
|
Action |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
Hits |
表示规则的命中次数 |
display security-policy statistics命令用来显示安全策略的统计信息。
【命令】
display security-policy statistics ip [ rule rule-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
rule rule-name:表示显示指定安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定此参数,则显示指定IP类型的所有安全策略统计信息。
【举例】
# 显示IPv4安全策略下所有规则的统计信息。
<Sysname> display security-policy statistics ip
ID Name State Action Hits Bytes First hit Last hit
----------------------------------------------------------------------------------------
1 a1 active pass 1633 165705 2023-03-16 15:03:20 2023-03-16 15:24:53
2 b2 active drop 3512 340477 2023-03-16 15:01:10 2023-03-16 15:13:20
3 c3 active drop 0 0 - -
4294967292 default active drop 0 0 - -
# 显示IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> display security-policy statistics ip rule abc
ID Name State Action Hits Bytes First hit Last hit
----------------------------------------------------------------------------------------
2 abc active drop 3512 340477 2023-03-16 15:01:10 2023-03-16 15:13:20
表1-4 display security-policy statistics命令显示信息描述表
|
字段 |
描述 |
|
ID |
表示规则的ID |
|
Name |
表示规则的名称 |
|
State |
表示规则生效状态。此安全策略规则生效状态取决于时间段、Track项联动或必配项检查功能,规则的生效状态取值包括: · active:表示生效状态 · inactive:表示禁用状态 |
|
action |
表示规则动作,其取值如下: · pass:表示允许报文通过 · drop:表示丢弃报文 |
|
Hits |
表示规则的命中次数 |
|
Bytesx packets, y bytes |
表示规则的命中字节数该安全策略规则匹配x个报文,共y字节(本字段仅在配置安全策略规则配置了counting enable或logging enable命令时显示,当未匹配任何报文时不显示本字段) |
|
First hit |
表示规则首次命中时间 |
|
Last hit |
表示规则最新命中时间 |
【相关命令】
· reset security-policy statistics
display security-policy switch-result命令用来显示对象策略转换为安全策略的转换结果。
【命令】
display security-policy switch-result
【视图】
任意视图
【缺省用户角色】
network-admin
【使用指导】
若系统中未执行过security-policy switch-from object-policy命令,则执行此命令时不显示任何信息。执行security-policy switch-from object-policy命令后,无论配置是否转换成功,执行此命令均可以查看到转换结果。
【举例】
# 显示对象策略转换成为安全策略成功的转换结果。
<Sysname> display security-policy switch-result
Time: 2017-03-13 18-11-17
Result: Successful
Object policy file: flash:/chenlu_concon.cfg
Security policy file: flash:/chenlu_concon_secp.cfg
# 显示对象策略转换成为安全策略失败的转换结果。
<Sysname> display security-policy switch-result
Time: 2017-03-13 18-11-15
Result: Failed
Object policy file: flash:/chenlu_convert.cfg
Security policy file: flash:/chenlu_convert_secp.cfg
Failure reason: The switching operation fails because the source or destination security zone is set to any for the zone pair and the action of an object policy rule is set to drop.
表1-5 display security-policy switch result命令显示信息描述表
|
字段 |
描述 |
|
Time |
配置转换的时间,应格式为:年-月-日 时-分-秒 |
|
Result |
配置转换的结果,取值包括如下: · Successful:表示配置转换成功 · Failed:表示配置转换失败 |
|
Object policy file |
转换前配置文件的名称 |
|
Security policy file |
转换后生成的配置文件的名称 |
|
Failure reason |
转换失败的原因,若配置转换成功,则不显示此项 |
【相关命令】
· security-policy switch-from object-policy
group move group-name1 { after | before } { group group-name2 | rule rule-name }命令用来移动安全策略组。
【命令】
group move group-name1 { after | before } { group group-name2 | rule rule-name }
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
group-name1:表示需要被移动的安全策略组的名称,为1~63个字符的字符串,不区分大小写。
after:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之后。
before:表示将安全策略组group-name1移动到安全策略组group-name2或安全策略规则rule-name之前。
group group-name2:表示目标安全策略组的名称,为1~63个字符的字符串,不区分大小写。
rule rule-name:表示目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
通过移动安全策略组可以批量改变安全策略规则的优先级。
如果目标安全策略规则已经属于其他安全策略组,按照其在安全策略组中的位置,受如下原则的约束。
· 如果规则位于策略组中间位置,则不能移动。
· 如果规则位于策略组开始位置,只可以移动到目标规则之前。
· 如果规则位于策略组结束位置,只可以移动到目标规则之后。
【举例】
# 将安全策略组group1移动到安全策略组group2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group move group1 before group group2
group name命令用来创建安全策略组,并将指定的安全策略规则加入此安全策略组。如果指定的安全策略组已经存在,则将指定的安全策略规则加入此安全策略组。
undo group name命令用来删除安全策略组。
【命令】
group name group-name [ from rule-name1 to rule-name2 ] [ description description-text ] [ disable | enable ]
undo group name group-name [ description | include-member ]
【缺省情况】
不存在安全策略组。
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
group-name:表示安全策略组的名称,为1~63个字符的字符串,不区分大小写。
from rule-name1:表示加入安全策略组规则的起始规则,rule-name1是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。若不指定本参数,则表示创建空的安全策略组。
to rule-name2:表示加入安全策略组规则的结束规则,rule-name2是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
description description-text:表示安全策略组的描述信息,为1~127个字符的字符串,区分大小写。缺省情况下,安全策略组不存在描述信息。
disable:表示禁用安全策略组。
enable:表示启用安全策略组,安全策略组缺省处于启用状态。
include-member:执行undo group name命令行时,若指定本参数,则表示删除安全策略组及其策略组中的所有安全策略规则。
【使用指导】
安全策略组可以实现对安全策略规则的批量操作,例如批量启用、禁用、删除和移动安全策略规则。
将安全策略规则加入安全策略组时,会将指定范围内若干连续的安全策略规则加入同一个安全策略组。
只有当安全策略规则及其所属的安全策略组均处于启用状态时,安全策略规则才能生效。
将安全策略规则加入安全策略组时,起始规则要在结束规则前面,并且起始规则和结束规则之间的规则不能属于其他安全策略组。
执行undo group name命令行时的具体功能如下:
· undo group name group-name命令用来仅删除安全策略组,但不删除策略组中的规则。
· undo group name group-name description命令用来仅删除安全策略组的描述信息。
· undo group name group-name include-member命令用来删除安全策略组及其策略组中的所有规则。
【举例】
# 创建一个名称为group1的安全策略组,并将安全策略规则rule-name1到rule-name10之间的所有安全策略规则加入此安全策略组,其描述信息为marketing。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group name group1 from rule-name1 to rule-name10 enable description marketing
group rename命令用来重命名安全策略组。
【命令】
group rename old-name new-name
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
old-name:表示安全策略组的原有名称,为1~63个字符的字符串,不区分大小写。
new-name:表示安全策略组的新名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 把安全策略组group1重命名为group2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] group rename group1 group2
learning enable命令用来开启安全策略规则学习功能。
undo learning enable命令用来关闭安全策略规则学习功能。
【命令】
learning enable
undo learning enable
【缺省情况】
安全策略规则学习功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
在配置安全策略时,一般建议配置严谨、细粒度的安全策略规则,以达到报文的精细化控制。但当无法确定需要放行或阻断的报文属性时,只能先配置较宽泛的报文匹配规则以保证业务的正常转发。此时可以开启规则学习功能,对匹配安全策略规则的报文进行学习并记录报文属性。然后登录设备Web管理页面查看学习结果,从而根据学习结果筛选、分析需要放行或阻断的报文属性,制定更精细化的安全策略。
【举例】
# 为安全策略规则rule1开启安全策略规则学习功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] learning enable
【相关命令】
· reset security-policy learning-records
logging enable命令用来开启安全策略规则记录日志的功能。
undo logging enable命令用来关闭安全策略规则记录日志的功能。
【命令】
logging enable
undo logging enable
【缺省情况】
安全策略规则记录日志的功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能后,设备对匹配规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块或快速日志输出模块处理,信息中心模块或快速日志输出模块的配置将决定日志信息的发送规则和发送方向。
安全策略日志不会输出到控制台和监视终端。当信息中心配置的规则将安全策略日志输出到控制台和监视终端时,若仍需要查看安全策略日志,可通过执行display logbuffer命令或在Web页面中查看。有关信息中心和display logbuffer命令的详细描述,请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 在安全策略规则rule1中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] logging enable
【相关命令】
· display security-policy
move rule命令用来移动安全策略规则。
【命令】
move rule rule-id1 { { after | before } rule-id2 | bottom | down | top | up }
【视图】
IPv4安全策略视图
【缺省用户角色】
network-admin
【参数】
rule-id1:指定待移动安全策略规则的编号,取值范围为0~4294967290。
after:表示移动到指定编号的目标安全策略规则之后。
before:表示移动到指定编号的目标安全策略规则之前。
rule-id2:指定目标安全策略规则的编号,取值范围为0~4294967290或4294967295,其中指定编号为4294967295时表示移动到所有自定义规则之后,安全策略缺省规则之前。
bottom:表示移动到所有安全策略规则之后。
down:表示移动到下一条安全策略规则之后。
top:表示移动到所有安全策略规则之前。
up:表示移动到上一条安全策略规则之前。
【使用指导】
如果rule-id2与rule-id1相同或其指定的规则不存在,则不执行任何移动操作。
【举例】
# 在IPv4安全策略上,将安全策略规则5移动到规则2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule 5 before 2
【相关命令】
· rule
· security-policy ip
move rule name命令用来通过安全策略规则名称移动规则。
【命令】
move rule name rule-name1 { { after | before } name rule-name2 | bottom | down | top | up }
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
rule-name1:待移动的安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
after:表示移动到指定名称的目标安全策略规则之后。
before:表示移动到指定名称的目标安全策略规则之前。
name rule-name2:指定目标安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
bottom:表示移动到所有安全策略规则之后。
down:表示移动到下一条安全策略规则之后。
top:表示移动到所有安全策略规则之前。
up:表示移动到上一条安全策略规则之前。
【使用指导】
通过移动安全策略规则可以改变报文匹配安全策略规则的优先级。
【举例】
# 在IPv4安全策略上,将安全策略规则rule1移动到安全策略规则rule2之前。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] move rule name rule1 before name rule2
【相关命令】
· rule
· security-policy ip
parent-group group-name命令用来配置安全策略规则所属的安全策略组。
undo parent-group命令用来恢复缺省情况。
【命令】
parent-group group-name
undo parent-group
【缺省情况】
安全策略规则不属于安全策略组。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
group-name:表示安全策略规则需要加入的安全策略组的名称,为1~63个字符的字符串,不区分大小写。
【举例】
# 配置安全策略规则rule1属于安全策略组group1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 1 name rule1
[Sysname-security-policy-ip-1-rule1] parent-group group1
profile命令用来在安全策略规则中引用DPI应用profile。
undo profile命令用来删除在安全策略规则中引用的DPI应用profile。
【命令】
profile app-profile-name
undo profile
【缺省情况】
安全策略规则中未引用DPI应用profile。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
app-profile-name:表示DPI应用profile的名称,为1~63个字符的字符串,只能为字母、数字、下划线,不区分大小写。有关DPI应用profile的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
通过在安全策略规则中引用DPI应用profile可实现对符合安全策略过滤条件的报文进行相关DPI业务的处理。有关DPI各业务的详细介绍,请参见“DPI深度安全配置指导”中的相关模块。
此命令仅在安全策略规则动作为允许的情况下才生效。
【举例】
# 在IPv4安全策略规则rule1中引用名称为p1的DPI应用profile。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] profile p1
【相关命令】
· action pass
· app-profile(DPI深度安全命令参考/应用层检测引擎)
· display security-policy ip
reset security-policy automatic-deploy records命令用来清除安全策略自动部署的学习记录。
【命令】
reset security-policy automatic-deploy records
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
非缺省vSystem不支持本命令。
【举例】
# 清除安全策略自动部署的学习记录。
<Sysname> reset security-policy automatic-deploy records
reset security-policy learning-records命令用来清除安全策略规则学习记录。
【命令】
reset security-policy learning-records [ ip ]
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
【参数】
ip:表示清除IPv4安全策略规则学习记录。
【使用指导】
若执行此命令不指定ip参数,则表示清除所有安全策略规则学习记录。
【举例】
# 清除所有安全策略规则学习记录。
<Sysname> reset security-policy learning-records
【相关命令】
· learning enable
reset security-policy statistics命令用来清除安全策略的统计信息。
【命令】
reset security-policy statistics ip [ rule rule-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
rule rule-name:表示清除安全策略规则的统计信息。rule-name是安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
【使用指导】
若未指定任何参数,则清除所有安全策略的统计信息。
【举例】
# 清除IPv4安全策略下名称为abc的规则的统计信息。
<Sysname> reset security-policy statistics ip rule abc
【相关命令】
· display security-policy statistics
rule命令用来创建安全策略规则,并进入安全策略规则视图。如果指定的安全策略规则已经存在,则直接进入安全策略规则视图。
undo rule命令用来删除指定的安全策略规则。
【命令】
rule { rule-id | [ rule-id ] name rule-name }
undo rule { rule-id | name rule-name } *
【缺省情况】
不存在安全策略规则。
【视图】
IPv4安全策略视图
【缺省用户角色】
【参数】
rule-id:指定安全策略规则的编号,取值范围为0~4294967290。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(4294967290),则选择当前未使用的最小编号作为新的编号。
rule-name:表示安全策略规则的名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default,创建规则时必须配置名称。
【举例】
# 为IPv4安全策略创建规则0,并为该规则配置规则名称为rule1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1]
【相关命令】
rule rename命令用来重命名安全策略规则。
【命令】
rule rename old-name new-name
【视图】
安全策略视图
【缺省用户角色】
network-admin
【参数】
old-name:被重命名安全策略规则的名称,为1~127个字符的字符串,不区分大小写。
new-name:重命名后的安全策略规则名称,为1~127个字符的字符串,不区分大小写,且全局唯一,不能为default。
【举例】
# 重命名安全策略规则rule1的名称为rule2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule rename rule1 rule2
【相关命令】
· rule
· security-policy ip
security-policy命令用来进入安全策略视图。
undo security-policy命令用来删除安全策略视图下面的所有配置。
【命令】
security-policy ip
undo security-policy ip
【缺省情况】
安全策略视图下不存在配置。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
undo security-policy ip 命令会直接删除所有安全策略配置,可能导致网络中断。
【举例】
# 进入IPv4安全策略视图。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip]
【相关命令】
· display security-policy
security-policy automatic-deploy ipv4-agg-mask命令用来配置安全策略自动部署IPv4地址自动聚合的掩码长度。
undo security-policy automatic-deploy ipv4-agg-mask命令用来恢复缺省情况。
【命令】
security-policy automatic-deploy ipv4-agg-mask mask-length
undo security-policy automatic-deploy ipv4-agg-mask [ mask-length ]
【缺省情况】
安全策略自动部署IPv4地址自动聚合的掩码长度为24。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-agg-mask mask-length:表示IPv4地址自动聚合的掩码长度,取值范围为1~32。
【使用指导】
非缺省vSystem不支持本命令。
为了精简安全策略的配置,设备在学习完成经过设备的业务流量后,会对学习记录进行智能聚合,并按聚合后的结果自动生成安全策略。设备在聚合源或目的IPv4地址时,将按照此命令配置的掩码进行聚合。
【举例】
# 配置安全策略自动部署的IPv4地址聚合掩码长度为24。
<Sysname> system-view
[Sysname] security-policy automatic-deploy ipv4-agg-mask 24
【相关命令】
· security-policy automatic-deploy learning-time
security-policy automatic-deploy learning-time命令用来配置安全策略自动部署的学习时长。
undo security-policy automatic-deploy learning-time命令用来恢复缺省情况。
【命令】
security-policy automatic-deploy learning-time time
undo security-policy automatic-deploy learning-time [ time ]
【缺省情况】
安全策略自动部署的学习时长为1小时。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
learning-time time:表示策略自动部署的学习时长,取值范围为1~168,单位为小时,默认学习时长为1小时。
【使用指导】
非缺省vSystem不支持本命令。
当设备首次安装使用,管理员对网络流量不够了解的情况下,无法配置正确、合理、严谨的安全策略。此时可通过安全策略自动部署功能,先学习网络流量,然后一键自动根据流量情况完成安全策略部署。安全策略自动部署功能的开启学习和一键部署操作需要通过设备Web管理页面完成。
【举例】
# 配置安全策略自动部署的学习时长为1小时。
<Sysname> system-view
[Sysname] security-policy automatic-deploy learning-time 1
【相关命令】
· reset security-policy automatic-deploy records
· security-policy automatic-deploy ipv4-agg-mask
security-policy config-logging send-time命令用来配置每天发送安全策略内容日志的时间。
undo security-policy config-logging send-time命令用来恢复缺省情况。
【命令】
security-policy config-logging send-time time
undo security-policy config-logging send-time
【缺省情况】
发送安全策略内容日志的时间为每天的零点。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time:配置每天发送安全策略内容日志的时间,time的格式为hh:mm,取值范围为00:00~23:59。
【使用指导】
在快速日志输出模块中开启生成安全策略国家电网日志功能后(即执行customlog format security-policy sgcc命令),设备会在每天指定的时间以国家电网日志的格式发送此时所有处于生效状态安全策略规则的配置信息。有关快速日志输出的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 配置每天发送安全策略内容日志的时间为13点15分。
<Sysname>system-view
[Sysname] security-policy config-loggging send-time 13:15
【相关命令】
· customlog format security-policy sgcc(网络管理和监控命令参考/快速日志输出)
· customlog host export security-policy(网络管理和监控命令参考/快速日志输出)
security-policy default-rule action命令用来配置安全策略缺省规则的动作。
【命令】
security-policy default-rule action { drop | pass }
【缺省情况】
安全策略缺省规则的动作是丢弃。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文通过。
【使用指导】
设备中的流量控制策略优先级如下:
· 安全策略自定义规则动作
· 本命令设置的缺省规则动作。
当报文未匹配到上述前三种流量控制规则时,则会执行本命令设置的缺省规则动作。通过本命令可设置安全策略缺省规则的动作是丢弃还是放行报文。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置安全策略缺省规则动作为丢弃。
<Sysname> system-view
[Sysname] security-policy default-rule action drop
【相关命令】
· display security-policy
security-policy default-rule counting enable命令用来开启安全策略缺省规则匹配统计功能。
undo security-policy default-rule counting enable命令用来关闭安全策略缺省规则匹配统计功能。
【命令】
security-policy default-rule counting enable [ period value ]
undo security-policy default-rule counting enable
【缺省情况】
安全策略缺省规则匹配统计功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
period value:指定安全策略缺省规则匹配统计功能开启的时长,取值范围为1~4294967295,单位为分钟。若不指定该参数,则表示永久开启统计功能。
【使用指导】
此功能用来对匹配安全策略缺省规则的报文进行统计,可通过执行display security-policy statistics命令来查看相关报文的统计信息。
开启安全策略缺省规则匹配统计功能时,若指定了period参数,则当到达指定时长后,系统会自动关闭该功能,并删除该配置;若没有指定period参数,则永久开启统计功能,只有执行undo security-policy default-rule counting enable命令后才可以关闭该功能。
【举例】
# 为安全策略缺省规则开启规则匹配统计功能,并指定开启时长为20分钟。
<Sysname> system-view
[Sysname] security-policy default-rule counting enable period 20
【相关命令】
· display security-policy
· display security-policy statistics
security-policy default-rule logging enable命令用来开启安全策略缺省规则记录日志的功能。
undo security-policy default-rule logging enable命令用来关闭安全策略缺省规则记录日志的功能。
【命令】
security-policy default-rule logging enable
undo security-policy default-rule logging enable
【缺省情况】
安全策略缺省规则记录日志的功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能后,设备对匹配安全策略缺省规则的报文生成安全策略日志信息,此日志信息将会被交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向,但安全策略日志不会输出到控制台和监视终端,可通过执行display logbuffer命令或在Web页面上的安全策略日志中查看。有关display logbuffer命令和信息中心的详细描述,请参见“设备管理配置指导”中的“信息中心”。
【举例】
# 在安全策略缺省规则中开启安全策略规则记录日志的功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] security-policy default-rule logging enable
【相关命令】
· display security-policy
security-policy default-rule traffic-log drop enable命令用来启用安全策略缺省规则丢包流量日志输出功能。
undo security-policy default-rule traffic-log drop enable命令用来恢复缺省情况。
【命令】
security-policy default-rule traffic-log drop enable
undo security-policy default-rule traffic-log drop enable
【缺省情况】
安全策略缺省规则丢包流量日志输出功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,对于命中安全策略缺省规则的流量,设备会在安全策略丢包时生成并发送流量日志。流量日志支持快速日志方式输出,必须配置快速日志输出的相关参数后才能输出流量日志信息,有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 启用丢包流量日志输出功能。
<Sysname> system-view
[Sysname] security-policy default-rule traffic-log drop enable
security-policy default-rule traffic-log session-start enable命令用来启用安全策略缺省规则会话开始流量日志输出功能。
undo security-policy default-rule traffic-log session-start enable命令用来恢复缺省情况。
【命令】
security-policy default-rule traffic-log session-start enable
undo security-policy default-rule traffic-log session-start enable
【缺省情况】
安全策略缺省规则会话开始流量日志输出功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,对于命中安全策略缺省规则的流量,设备会在会话表创建时生成并发送流量日志。流量日志支持快速日志方式输出,必须配置快速日志输出的相关参数后才能输出流量日志信息,有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 启用安全策略缺省规则会话开始流量日志输出功能。
<Sysname> system-view
[Sysname] security-policy default-rule traffic-log session-start enable
security-policy default-rule traffic-log session-end enable命令用来启用安全策略缺省规则会话结束流量日志输出功能。
undo security-policy default-rule traffic-log session-end enable命令用来恢复缺省情况。
【命令】
security-policy default-rule traffic-log session-end enable
undo security-policy default-rule traffic-log session-end enable
【缺省情况】
安全策略缺省规则会话结束流量日志输出功能处于关闭状态,设备是否输出日志由全局流量日志输出功能控制。如果开启了全局流量日志输出功能,则设备会在删除会话表时生成并发送流量日志;如果未开启全局流量日志输出功能,则设备不发送流量日志。有关全局流量日志输出功能的详细介绍,请参见“安全配置指导”中的“流量日志”。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,对于命中安全策略缺省规则的流量,设备会在删除会话表时生成并发送流量日志。
流量日志支持快速日志方式输出,必须配置快速日志输出的相关参数后才能输出流量日志信息,有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 启用会话结束流量日志输出功能。
<Sysname> system-view
[Sysname] security-policy default-rule traffic-log session-end enable
security-policy disable命令用来关闭安全策略功能。
undo security-policy disable命令用来开启安全策略功能。
【命令】
security-policy disable
undo security-policy disable
【缺省情况】
安全策略功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
security-policy disable命令会直接关闭所有安全策略,可能导致网络中断。
只有开启安全策略功能后,配置的安全策略才能生效。
设备启动时,如果配置文件中仅存在对象策略,则设备会自动执行security-policy disable命令关闭安全策略功能;如果配置文件中对象策略和安全策略均不存在或存在安全策略,则设备自动开启安全策略功能。
安全策略功能与对象策略功能在设备上不能同时使用,当安全策略功能处于开启状态时,首次进入安全策略视图后,对象策略功能立即失效。因此在管理员手工逐条将对象策略切换为安全策略时,为避免切换过程中造成业务长期中断,建议管理员在对象策略切换完成后再开启安全策略功能。
配置回滚后,如果需要对象策略生效,配置回滚完成后,则建议用户手工执行security-policy disable命令将安全策略功能关闭。
【举例】
# 关闭安全策略功能
<Sysname> system-view
[Sysname] security-policy disable
security-policy object-strict-inspection enable命令用来开启安全策略严格引用对象功能。
undo security-policy object-strict-inspection enable命令用来关闭安全策略严格引用对象功能。
【命令】
security-policy object-strict-inspection enable
undo security-policy object-strict-inspection enable
【缺省情况】
安全策略严格引用对象功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
安全策略严格引用对象用于禁止安全策略规则引用不存在的对象。
缺省情况下,安全策略规则中引用源地址(地址组、地区、地区组、MAC地址组)、目的地址(地址组、地区、地区组)、服务、应用、时间段、应用组、用户、用户组、终端、终端组、VRF、Profile、URL、源安全域和目的安全域这些对象不存在时可以引用成功。
当该功能开启时,安全策略规则中引用源地址(地址组、地区、地区组、MAC地址组)、目的地址(地址组、地区、地区组)、服务、时间段、应用、应用组、用户、用户组、终端、终端组、VRF、Profile、URL、源安全域和目的安全域这些对象不存在时引用失败。
用户和用户组类型对象仅在开启用户身份识别功能后引用才能被检测该对象是否存在。
该功能只对开启后新增的配置生效,开启前已经引用不存在对象的配置不影响。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启安全策略严格引用对象功能。
<Sysname> system-view
[Sysname] security-policy object-strict-inspection enable
【相关命令】
· security-policy ip
security-policy rules counting命令用来开启或关闭所有安全策略规则统计功能。
【命令】
security-policy rules counting { disable | enable }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
disable:关闭所有安全策略规则统计功能。
enable:开启所有安全策略规则统计功能。
【使用指导】
counting enable命令可以在指定安全策略规则下开启统计功能,若需要开启设备所有安全策略规则的统计功能,则可以使用本命令,本命令等同于在所有安全策略规则下执行counting enable。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启所有安全策略规则统计功能。
<Sysname> system-view
[Sysname] security-policy rules counting enable
【相关命令】
· security-policy ip
· counting enable
security-policy rules mandatory-item-control命令用来开启安全策略必配项检查功能。
undo security-policy rules mandatory-item-control命令用来关闭安全策略必配项检查功能。
【命令】
security-policy rules mandatory-item-control { ip | service } *
undo security-policy rules mandatory-item-control { ip | service } *
【缺省情况】
安全策略必配项检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip:表示对源/目的IP地址对象组、主机地址、范围地址、子网地址或地区/地区组配置项进行检查,若某规则源/目的IP地址对象组、主机地址、范围地址、子网地址和地区/地区组均未配置,则当前规则不生效。
service:表示对服务或服务端口配置项进行检查,若某规则服务和服务端口均未配置,则当前规则不生效。
【使用指导】
安全策略必配项检查功能用于检查规则某些必配项是否配置。
如需启用本功能,请确保当前设备上不存在安全策略规则或已存在的所有安全策略规则中均含有IP或service规则。例如:若要开启IP必配项检查,则需要保证当前设备所有安全策略规则中均包含源IP和目的IP地址对象组;若要开启service必配项检查,则需要保证当前设备所有安全策略规则中均包含service规则。
本功能开启后,若新建或修改的规则中不包含已开启检查的必配项,则相关规则处于不生效状态。例如:设备已开启IP必配项检查后,新建一条安全策略规则,规则仅包含目的地区,则此规则不生效。
IP必配项检查开启时,源/目的IP地址对象组可以配置为any,表示匹配所有源/目的IP地址;IP必配项检查功能关闭时,源/目的IP地址对象组不可以配置为any,未配置该项即表示匹配所有源/目的IP地址。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启安全策略规则IP地址和服务必配项检查功能。
<Sysname> system-view
[Sysname] security-policy rules mandatory-item-control ip service
Enabling this command will force the security policy rule to configure the source address, destination address and service, otherwise the security policy rule will not take effect.Continue? [Y/N]:
security-policy send-drop-packet tcp-reset rate-limit命令用来限制安全策略丢包时发送TCP-RST报文最大速率。
undo security-policy send-drop-packet tcp-reset rate-limit命令用来恢复缺省情况。
【命令】
security-policy send-drop-packet tcp-reset rate-limit limit-value
undo security-policy send-drop-packet tcp-reset rate-limit
【缺省情况】
安全策略丢包时发送TCP-RST报文最大速率缺省为每秒1000个。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
limit-value:安全策略丢包时发送TCP-RST报文最大速率,取值范围1~10000。
【使用指导】
本功能用来限制安全策略丢包时发送TCP-RST报文最大速率。
【举例】
# 限制安全策略丢包时发送TCP-RST报文最大速率为每秒1234个。
<Sysname> system-view
[Sysname] security-policy send-drop-packet tcp-reset rate-limit 1234
【相关命令】
· send-drop-packet
security-policy show-default-action enable命令用来开启安全策略规则显示缺省动作功能。
undo security-policy show-default-action enable命令用来关闭安全策略规则显示缺省动作功能。
【命令】
security-policy show-default-action enable
undo security-policy show-default-action enable
【缺省情况】
安全策略规则显示缺省动作功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
安全策略规则未配置动作时使用缺省动作丢弃匹配的报文,这个缺省动作在配置中不显示。如果要在配置中显示该缺省动作,则可以开启安全策略规则显示缺省动作功能来显示该配置。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启安全策略规则显示缺省动作功能。
<Sysname> system-view
[Sysname] security-policy show-default-action enable
【相关命令】
· security-policy ip
security-policy switch-from object-policy命令用来将对象策略配置转换为安全策略配置。
【命令】
security-policy switch-from object-policy object-filename security-filename
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
object-filename:表示待转换对象策略配置内容所在配置文件的名称,为1~255个字符的字符串,区分大小写,以.cfg结尾,不能包含“/”字符。此配置文件必须在设备存储介质的根目录下已存在且不包含任何安全策略相关配置。
security-filename:表示新生成的配置文件的名称,为1~255个字符的字符串,区分大小写,以.cfg结尾,不能包含“/”字符。新生成的配置文件保存在存储设备根目录下。
【使用指导】
非缺省vSystem不支持本命令。
此功能可以将指定配置文件中的所有对象策略规则批量转换为对应的安全策略规则,从而实现将对象策略快速切换到为安全策略的目的,为使转换后的安全策略规则生效必须重启设备。
【举例】
# 将配置文件startup.cfg中的对象策略配置转换为安全策略配置。
<Sysname> system-view
[Sysname] security-policy switch-from object-policy startup.cfg startup_secp.cfg
Configuration switching begins...
Object policies in the specified configuration file have been switched to securi
ty policies.
This command will reboot the device. Continus? [Y/N]:
send-drop-packet命令用来开启当前安全策略丢包时发送TCP-RST和ICMP差错报文功能。
undo send-drop-packet命令用来恢复缺省情况。
【命令】
send-drop-packet { icmp-destination-unreachable | tcp-reset } enable
undo send-drop-packet { icmp-destination-unreachable | tcp-reset } enable
【缺省情况】
安全策略丢包时不发送TCP-RST和ICMP差错报文。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
icmp-destination-unreachable:表示发送的是ICMP差错报文。
tcp-reset:表示发送的是TCP-RST报文。
【使用指导】
当报文命中的安全策略动作为drop时:
· 对于TCP报文,如果规则开启了send-drop-packet tcp-reset enable命令,发送反馈报文如下:
¡ SYN报文(首包):向发送端发送反馈报文。
¡ 已建立链接(非首包):向发送端和接收端发送反馈报文。
¡ 其他:不发送反馈报文。
· 对于UDP和ICMP报文,如果规则开启了send-drop-packet icmp destination-unreachable命令,则向发送端反馈ICMP差错报文。aspf icmp-error reply命令用来全局开启设备在域间策略丢包时,发送ICMP差错报文功能,本命令可以根据实际情况在指定安全策略规则下,开启发送ICMP差错报文功能。有关ASPF的详细介绍请参见“安全配置指导”中的“ASPF”。
只有安全策略规则的动作为drop时,本命令才能生效。
当被阻断的报文为经过AFT转换的报文、经过隧道封装的报文,设备不会发送反馈报文。
【举例】
# 配置在安全策略阻断流量时发送TCP-RST。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] send-drop-packet tcp-reset enable
# 配置在安全策略阻断流量时发送ICMP不可达。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] send-drop-packet icmp-destination-unreachable enable
【相关命令】
· display security-policy
· aspf icmp-error reply(安全/ASPF)
· action
service命令用来配置作为安全策略规则过滤条件的服务。
undo service命令用来删除作为安全策略规则过滤条件的服务。
【命令】
service { object-group-name | any }
undo service [ object-group-name | any ]
【缺省情况】
不存在服务过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示服务对象组的名称,为1~63个字符的字符串,不区分大小写。
any:表示将设备中的所有服务作为安全策略规则的过滤条件。
【使用指导】
多次执行本命令,可配置多个服务对象组作为安全策略规则的过滤条件。
配置服务作为安全策略规则的过滤条件时,若指定的服务对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置服务对象组,但此条过滤条件不会匹配任何报文。
使用undo service命令时若不指定任何参数,则表示删除此规则中所有服务类型的过滤条件。
一条规则下配置的服务对象组最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务对象组为http和ftp。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service http
[Sysname-security-policy-ip-0-rule1] service ftp
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
service-port命令用来配置作为安全策略规则过滤条件的服务端口。
undo service-port命令用来删除作为安全策略规则过滤条件的服务端口。
【命令】
service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 | port-list } | source { { eq | lt | gt } port | range port1 port2 | port-list } } * | type icmp-type [ code icmp-code-list ] ]
undo service-port protocol [ { destination { { eq | lt | gt } port | range port1 port2 | port-list } | source { { eq | lt | gt } port | range port1 port2 | port-list } } * | type icmp-type [ code icmp-code-list ] ]
【缺省情况】
不存在服务端口过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
protocol:协议类型。
可输入的形式如下:
· 数字:取值范围为0~255;
· 名称:可选取tcp(6)、udp(17)、sctp(132)、icmp(1)或icmpv6(58)。
source:指定源端口。只在protocol为tcp、udp或sctp时有效。
destination:指定目的端口。只在protocol为tcp、udp或sctp时有效。
eq:表示等于。
lt:表示小于。
gt:表示大于。
port:指定端口号,取值范围为0~65535。
range port1 port2:指定端口号范围。port1表示端口号1,取值范围为0~65535。port2表示端口号2,取值范围为0~65535。
port-list:端口号列表。表示方式为port-list = { port1 [ to port2 ] } &<1-15>,port取值范围为0~65535,&<1-15>表示前面的参数最多可以重复输入15次。
type:指定ICMP消息类型,只在protocol为icmp时有效。
code:指定ICMP消息码,只在protocol为icmp时有效。
icmp-type:ICMP消息类型,取值范围为0~255,只在protocol为icmp时有效。
icmp-code:ICMP消息码,取值范围为0~255。
icmp-code-list:ICMP消息码列表。表示方式为icmp-code-list = { icmp-code1 [ to icmp-code2 ] } &<1-15>,icmp-code取值范围为0~255,&<1-15>表示前面的参数最多可以重复输入15次。
【使用指导】
本命令与service命令的区别在于本命令仅可匹配服务端口号,而service命令仅可匹配服务对象组。
新创建的服务端口号不能与已有的服务端口号完全相同,否则该命令执行失败。
一条规则下匹配的服务和服务对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
在配置lt参数时,需要注意的是:
· 不能指定port为0。
· 如果指定port为1,则该配置被视为eq 0。
· 如果指定port为2~65535,则实际生效的端口号为[0,port-1]。
在配置gt参数时,需要注意的是:
· 不能指定port为65535。
· 如果指定port为65534,该配置被视为eq 65535。
· 如果指定port为0~65533,则实际生效的端口号为[port+1,65535]。
在配置range参数时,需要注意的是:
· 如果指定的port1和port2相同,则该配置被视为等于指定的端口号。
· 如果指定port1为0,则该配置被视为lt配置,譬如配置range 0 999,被视为lt 1000。
· 如果指定port2为65535,则该配置被视为gt配置,譬如配置range 50001 65535,被视为gt 50000。
· 如果指定的port1比port2大,会自动调整范围为[port2,port1]。
其他:
· port1 to port2:如果指定的port1比port2大,会自动调整范围为[port2,port1]。
· icmp-code1 to icmp-code2:如果指定的icmp-code1比icmp-code2大,会自动调整范围为[icmp-code2, icmp-code1]。
【举例】
# 配置作为安全策略规则rule1过滤条件的服务为tcp协议的源端口和目的端口的报文。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port tcp destination range 100 200 source eq 100
# 配置作为安全策略规则rule1服务为tcp协议的源端口和目的端口集合。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port tcp destination 10 20 to 30 source 30 to 40
# 配置作为安全策略规则rule1过滤条件的服务为icmp协议消息码的报文。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port icmp 100 150
# 配置作为安全策略规则rule1服务为icmp协议的消息码集合。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] service-port icmp type 100 code 150 180 to 200 210
【相关命令】
· display security-policy
session aging-time命令用来为安全策略规则配置会话的老化时间。
undo session aging-time命令用来恢复缺省情况。
【命令】
session aging-time time-value
undo session aging-time
【缺省情况】
未配置安全策略规则的会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-value:指定会话的老化时间,取值范围为1~2000000,单位为秒。
【使用指导】
此命令用来为匹配某条安全策略规则而生成的稳态会话设置老化时间。此命令的配置不仅影响后续生成的会话,对已经生效的会话同样生效。
若某安全策略规则中配置了会话的老化时间,则匹配上该规则且进入稳定状态的会话需要遵循规则中配置的老化时间进行老化;非稳态会话按照缺省的会话老化时间进行老化。
若进入稳态的会话报文匹配上的安全策略规则中未配置会话老化时间,则该会话基于会话管理模块配置的老化时间(session aging-time application和session aging-time state命令的配置)进行老化。有关会话管理相关配置的详细介绍,请参见“安全配置指导”中的“会话管理”。
【举例】
# 为IPv4安全策略的规则rule1配置会话老化时间为5000秒。
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session aging-time 5000
【相关命令】
· session aging-time application(安全命令参考/会话管理)
· session aging-time state(安全命令参考/会话管理)
· session persistent acl(安全命令参考/会话管理)
session persistent aging-time命令用来为安全策略规则配置长连接会话的老化时间。
undo session persistent aging-time命令用来恢复缺省情况。
【命令】
session persistent aging-time time-value
undo session persistent aging-time
【缺省情况】
未配置安全策略规则的长连接会话老化时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-value:指定长连接会话的老化时间,取值范围为0~24000,单位为小时,0表示永不老化。
【使用指导】
若长连接会话老化时间配置过长,设备会话数量可能会激增,从而导致设备内存使用率过高。
此命令用来为匹配某条安全策略规则而生成的长连接会话设置老化时间。此命令的配置不仅影响后续生成的会话,对已经生效的会话会话管理。
此命令配置的长连接会话老化时间优先级高于session aging-time命令配置的会话老化时间和会话管理模块session persistent acl命令配置的长连接老化时间。有关session persistent acl命令的详细介绍,请参见“安全命令参考”中的“会话管理”。
长连接老化时间仅在TCP会话进入稳态(TCP-EST状态)时生效。
【举例】
# 为IPv4安全策略中规则rule1配置长连接会话老化时间为1小时。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] action pass
[Sysname-security-policy-ip-0-rule1] session persistent aging-time 1
【相关命令】
· display security-policy ip
· session persistent acl(安全命令参考/会话管理)
source-ip命令用来配置作为安全策略规则过滤条件的源IP地址。
undo source-ip命令用来删除作为安全策略规则过滤条件的源IP地址。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情况】
不存在源IP地址过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示源地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo source-ip 命令时若不指定此参数,则表示删除此规则中所有源IP地址类型的过滤条件。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源IP地址作为安全策略规则的过滤条件。
配置源IP地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
一条规则下配置的源地址对象组最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址对象组为server1和server2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip server1
[Sysname-security-policy-ip-0-rule1] source-ip server2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
source-ip-host命令用来配置作为安全策略规则过滤条件的源IPv4主机地址。
undo source-ip-host命令用来删除作为安全策略规则过滤条件的源IPv4主机地址。
【命令】
source-ip-host ip-address
undo source-ip-host [ ip-address ]
【缺省情况】
不存在源IPv4主机地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ip-address:指定主机IPv4地址。
【使用指导】
source-ip-host命令用来配置单个源IPv4主机地址过滤条件。
多次执行本命令,可配置多个源IPv4主机地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址、源范围地址和源对象组数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.1的IPv4主机地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-host 192.167.0.1
【相关命令】
· display security-policy
source-ip-range命令用来配置作为安全策略规则过滤条件的源IPv4范围地址。
undo source-ip-range命令用来删除作为安全策略规则过滤条件的源IPv4范围地址。
【命令】
source-ip-range ip-address1 ip-address2
undo source-ip-range [ ip-address1 ip-address2 ]
【缺省情况】
不存在源IPv4范围地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ip-address1 ip-address2:指定范围IPv4地址。ip-address1表示范围起始IPv4地址,ip-address2表示范围结束IPv4地址。
【使用指导】
source-ip-range命令用来配置指定范围的源IPv4地址过滤条件。
多次执行本命令,可配置多个源IP范围地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址和源范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
配置需要注意的是:
· 如果指定的ip-address1和ip-address2相同,则该配置被视为主机地址配置。
· 如果指定的ip-address1和ip-address2是一个子网的起始地址和结束地址,则该配置被视为子网地址对象配置。
· 如果指定的ip-address1比ip-address2大,会配置失败,并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.165.0.100到192.165.0.200的IPv4范围地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-range 192.165.0.100 192.165.0.200
【相关命令】
· display security-policy
source-ip-subnet命令用来配置作为安全策略规则过滤条件的源IPv4子网地址。
undo source-ip-subnet命令用来删除作为安全策略规则过滤条件的源IPv4子网地址。
【命令】
source-ip-subnet ip-address { mask-length | mask }
undo source-ip-subnet [ ip-address { mask-length | mask } ]
【缺省情况】
不存在源IPv4子网地址过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ip-address { mask-length | mask }:指定子网IPv4地址。mask-length表示子网掩码长度,取值范围为0~32。mask表示接口IPv4地址相应的子网掩码,为点分十进制格式。如果指定mask-length为32或者mask为255.255.255.255,则该配置被视为主机地址配置。
【使用指导】
source-ip-subnet命令用来配置指定子网的源IPv4地址过滤条件。
多次执行本命令,可配置多个源IP子网地址作为安全策略规则的过滤条件。
新创建的地址不能与已有的地址完全相同,否则该命令执行失败,并提示出错。
一条规则下配置的源主机地址、源子网地址和源范围地址数量之和最多为1024个,超出时命令会执行失败并提示出错。
【举例】
# 配置作为安全策略规则rule1过滤条件的源地址为192.167.0.0,掩码长度为24的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.167.0.0 24
# 配置作为安全策略规则rule1过滤条件的源地址为192.166.0.0,掩码为255.255.0.0的IPv4子网地址。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-ip-subnet 192.166.0.0 255.255.0.0
【相关命令】
· display security-policy
source-mac命令用来配置作为安全策略规则过滤条件的源MAC地址。
undo source-mac命令用来删除作为安全策略规则过滤条件的源MAC地址。
【命令】
source-mac object-group-name
undo source-mac [ object-group-name ]
【缺省情况】
安全策略规则中不存在过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
object-group-name:表示源MAC地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。使用undo source-mac命令时若不指定此参数,则表示删除此规则中所有源MAC地址类型的过滤条件。有关MAC地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
【使用指导】
多次执行本命令,可配置多个源MAC地址作为安全策略规则的过滤条件。
配置源MAC地址作为安全策略规则的过滤条件时,若指定的地址对象组不存在,该配置仍会配置成功,同时也会在系统中创建一个名称为指定名称的空配置地址对象组,但此条过滤条件不会匹配任何报文。
【举例】
# 配置作为安全策略规则rule1过滤条件的源MAC地址对象组为mac1和mac2。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] source-mac mac1
[Sysname-security-policy-ip-0-rule1] source-mac mac2
【相关命令】
· display security-policy
· object-group(安全命令参考/对象组)
ssid ssid-name命令用来配置作为安全策略规则过滤条件的SSID。
undo ssid命令用来删除作为安全策略规则过滤条件的SSID。
【命令】
ssid ssid-name
undo ssid [ ssid-name ]
【缺省情况】
不存在SSID过滤条件。
【视图】
IPv4安全策略规则视图
【缺省用户角色】
network-admin
【参数】
ssid-name:表示无线服务模板的SSID,为1~32个字符的字符串,区分大小写。
【使用指导】
本命令可以用于对指定SSID的无线服务的用户报文进行匹配,并且可通过多次执行本命令,对多个SSID的无线服务的用户报文进行匹配。
【举例】
# 配置作为安全策略规则rule1过滤条件的SSID为ssid1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 1 name rule1
[Sysname-security-policy-ip-1-rule1] ssid ssid1
terminal命令用来配置作为安全策略规则过滤条件的终端名称。
undo terminal命令用来删除作为安全策略规则过滤条件的终端名称。
【命令】
terminal terminal-name
undo terminal [ terminal-name ]
【缺省情况】
不存在终端名称过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
terminal-name:表示终端的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo terminal命令时若不指定此参数,则表示删除此规则中所有终端名称的过滤条件。
【使用指导】
终端即网络摄像机终端设备,终端名称为网络摄像机的名称。多次执行本命令,可配置多个终端作为安全策略规则的过滤条件。
为使安全策略中配置的终端名称可以被识别,必须先放行终端所依赖的基础协议报文。
在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的终端。
【举例】
# 配置作为安全策略规则rule1过滤条件的终端名称为terminal1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] terminal terminal1
【相关命令】
· display security-policy
terminal-group命令用来配置作为安全策略规则过滤条件的终端组。
undo terminal-group命令用来删除作为安全策略规则过滤条件的终端组。
【命令】
terminal-group terminal-group-name
undo terminal-group [ terminal-name ]
【缺省情况】
不存在终端组名称过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
terminal-group-name:表示终端组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串invalid和other。使用undo terminal-group命令时若不指定此参数,则表示删除此规则中所有终端组类型的过滤条件。
【使用指导】
多次执行本命令,可配置多个终端组作为安全策略规则的过滤条件。
为使安全策略中配置的终端组可以被识别,必须先放行终端组下属终端所依赖的基础协议报文。
在端口仿冒网络环境中,必须先放行仿冒的基础协议报文,才能识别出仿冒报文中的终端。
【举例】
# 配置作为安全策略规则rule1过滤条件的终端组为group1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] terminal-group group1
【相关命令】
· display security-policy
time-range命令用来配置安全策略规则生效的时间段。
undo time-range [ time-range-name ]命令用来恢复缺省情况。
【命令】
time-range time-range-name
undo time-range
【缺省情况】
不限制安全策略规则生效的时间。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
time-range-name:表示时间段的名称,为1~63个字符的字符串,不区分大小写。为避免混淆,时间段的名称不允许使用英文单词all。使用undo命令时若不指定此参数,表示删除此规则的生效时间段。有关时间段的详细介绍,请参见“安全配置指导”中的“时间段”。
【配置指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置生效时间段为work。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] time-range work
【相关命令】
· display security-policy
· time-range(安全命令参考/时间段)
track命令用来配置安全策略规则与Track项联动。
undo track命令用来取消安全策略规则与Track项联动。
【命令】
track { negative | positive } track-entry-number
undo track
【缺省情况】
安全策略规则未与Track项联动。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
negative:指定安全策略规则与Track项的Negative状态联动。
positive:指定安全策略规则与Track项的Positive状态联动。
track-entry-number:表示关联的Track项序号,取值范围为1~1024。有关Track的详细介绍,请参见“可靠性配置指导”中的“Track”。
【使用指导】
配置安全策略规则与Track项的Negative状态联动后,当安全策略规则收到Negative状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Positive状态的Track通知时,将此规则置为失效状态(Inactive)。
配置安全策略规则与Track项的Positive状态联动后,当安全策略规则收到Positive状态的Track通知时,将此规则置为有效状态(Active),当安全策略规则收到Negative状态的Track通知时,将此规则置为失效状态(Inactive)。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 为安全策略规则rule1配置规则与Track项的Positive状态联动。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] track positive 10
【相关命令】
· display security-policy
· track interface(可靠性命令参考/Track)
· track ip route reachability(可靠性命令参考/Track)
· track nqa(可靠性命令参考/Track)
traffic-log drop enable命令用来开启流量拒绝日志输出功能。
undo traffic-log drop enable命令用来恢复缺省情况。
【命令】
traffic-log drop enable
undo traffic-log drop enable
【缺省情况】
流量拒绝日志输出功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备在安全策略丢包时生成并发送流量日志,便于管理员排查网络问题。
流量日志支持快速日志方式输出,必须配置快速日志输出的相关参数后才能输出流量日志信息,有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 开启流量拒绝日志输出功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip]rule 10 name 10
[Sysname-security-policy-ip-10-10] traffic-log drop enable
traffic-log session-end enable命令用来开启流量结束日志输出功能。
undo traffic-log session-end enable命令用来恢复缺省情况。
【命令】
traffic-log session-end enable
undo traffic-log session-end enable
【缺省情况】
未配置流量结束日志输出功能,设备是否输出日志由全局流量日志输出功能控制。如果开启了全局流量日志输出功能,则设备会在删除会话表时生成并发送流量日志;如果未开启全局流量日志输出功能,则设备不发送流量日志。有关全局流量日志输出功能的详细介绍,请参见“安全配置指导”中的“流量日志”。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会在删除会话表时生成并发送流量日志。
流量日志支持快速日志方式输出,必须配置快速日志输出的相关参数后才能输出流量日志信息,有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 开启流量结束日志输出功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 10 name 10
[Sysname-security-policy-ip-10-10] traffic-log session-end enable
【相关命令】
· traffic-log session-end global enable(安全命令参考/流量日志)
traffic-log session-start enable命令用来开启流量开始日志输出功能。
undo traffic-log session-start enable命令用来恢复缺省情况。
【命令】
traffic-log session-start enable
undo traffic-log session-start enable
【缺省情况】
流量开始日志输出功能处于关闭状态。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备在会话表创建或匹配的安全策略变更时生成并发送流量日志。
流量日志支持快速日志方式输出,必须配置快速日志输出的相关参数后才能输出流量日志信息,有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 开启流量开始日志输出功能。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 10 name 10
[Sysname-security-policy-ip-10-10] traffic-log session-start enable
url-category命令用来配置作为安全策略规则过滤条件的URL过滤分类。
undo url-category命令用来删除作为安全策略规则过滤条件的URL过滤分类。
【命令】
url-category url-category-name
undo url-category [ url-category-name ]
【缺省情况】
不存在URL过滤分类过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
url-category-name:表示URL过滤分类的名称,为1~63个字符的字符串,不区分大小写。使用undo url-category命令时若不指定此参数,则表示删除此规则中所有URL过滤分类类型的过滤条件。有关URL过滤分类的详细介绍,请参见“DPI深度安全配置指导”中的“URL过滤”。
【使用指导】
多次执行本命令,可配置多个URL过滤分类作为安全策略规则的过滤条件。
【举例】
# 配置作为安全策略规则rule1过滤条件的URL过滤分类名称为category1。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] url-category category1
【相关命令】
· display security-policy
· url-filter category(DPI深度安全命令参考/URL过滤)
user命令用来配置作为安全策略规则过滤条件的用户。
undo user命令用来删除作为安全策略规则过滤条件的用户。
【命令】
user username [ domain domain-name ]
undo user [ username [ domain domain-name ] ]
【缺省情况】
不存在用户过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
username:表示用户的名称,为1~55个字符的字符串,区分大小写,不能是a、al和all,且不能包含“@”。使用undo user命令时若不指定此参数,则表示删除此规则中所有用户类型的过滤条件。有关用户的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”和“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。
【使用指导】
多次执行本命令,可配置多个用户作为安全策略规则的过滤条件。
使用undo user命令时若不指定用户,则表示删除此规则中所有用户类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户。
有关身份识别用户和身份识别域的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户为usera和userb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user usera domain test
[Sysname-security-policy-ip-0-rule1] user userb domain test
【相关命令】
· display security-policy
· user-identity enable(用户接入与认证命令参考/用户身份识别与管理)
· user-identity static-user(用户接入与认证命令参考/用户身份识别与管理)
user-group命令用来配置作为安全策略规则过滤条件的用户组。
undo user-group命令用来删除作为安全策略规则过滤条件的用户组。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group [ user-group-name [ domain domain-name ] ]
【缺省情况】
不存在用户组过滤条件。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
user-group-name:表示用户组的名称,为1~200个字符的字符串,不区分大小写。使用undo user-group命令时若不指定此参数,则表示删除此规则中所有用户组类型的过滤条件。有关用户组的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
domain domain-name:表示在指定的身份识别域中匹配此用户组,domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“:”、“*”、“?”、“<”、“>”以及“@”字符。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。
【使用指导】
多次执行本命令,可配置多个用户组作为安全策略规则的过滤条件。
使用undo user-group命令时若不指定用户组,则表示删除此规则中所有用户组类型的过滤条件;若不指定身份识别域,则表示删除此规则中不属于任何身份识别域的用户组。
有关身份识别用户组和身份识别域的详细介绍,请参见“用户接入与认证配置指导”中的“用户身份识别与管理”。
【举例】
# 配置作为安全策略规则rule1过滤条件的用户组为groupa和groupb,身份识别域均为test。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] user-group groupa domain test
[Sysname-security-policy-ip-0-rule1] user-group groupb domain test
【相关命令】
· display security-policy
· user-group(用户接入与认证命令参考/AAA)
vrf命令用来配置安全策略规则对入接口指定VPN多实例中的报文有效。
undo vrf命令用来恢复缺省情况。
【命令】
vrf vrf-name
undo vrf
【缺省情况】
安全策略规则对公网的报文有效。
【视图】
安全策略规则视图
【缺省用户角色】
network-admin
【参数】
vrf-name:表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【配置指导】
非缺省vSystem不支持本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置安全策略规则rule1对入接口的VPN多实例vpn1中的报文生效。
<Sysname> system-view
[Sysname] security-policy ip
[Sysname-security-policy-ip] rule 0 name rule1
[Sysname-security-policy-ip-0-rule1] vrf vpn1
【相关命令】
· display security-policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
